السيد رئيس مجلس الادارة بنك

تحية طيبة وبعد،

فى إطار خطة البنك المركزى المصرى لوضع إطار عام لحوكمة أنظمة المعلومات وا ، ٕ بالقطاع المصرفى دارة المخاطر المرتبطة بتقديم الخدمات المصرفية عبر القنوات الإلكترونية يرجى التكرم بالإحاطة بأن مجلس إدارة البنـك المركـزى المصرى قد وافـق بجلسته المنعقـدة بتـاريـخ ٤ نوفمبر ٢٠١٤ على القواعد المنظمة لتقديم الخدمات المصرفية عبر الإنترنت فى القطاع المصرفي المصرى (مرفق ١٠ نسخ) والتى تسرى على جميع البنوك المسجلة لدى البنك المركزى المصرى التى تقدم أو ترغب فى تقديم الخدمات المصرفية عبر الإنترنت.

وتجدر الإشارة بأنه يجب على كافة البنوك السابق حصولها على ترخيص من قبـل البنـك المركـزى المصــــرى يخــــص الخــــدمات المصــــرفية عبــــر الإنترنــــت العمــــل علــــى توفيــــق أوضــــاعها كمــــا جــــاء بالبنــــد ٢-٥ مـــن القواعـــد، مـــع الأخـــذ فـــى الإعتبـــار تقـــديم خطـــة زمنيـــة لتوفيـــق الأوضـــاع فيمــــا يتعلـــق بـــــالفجوات بـــين الوضـــع الحـــــالي بالبنـــك والقواعـــد الصــــادرة مـــن البنـــك المركـــزي المصــــري خـــلال فتـــرة أقصــاها ثلاثــة أشــهر مــن تــاريخ هــذا الكتــاب إلــى قطــاع الرقابــة والإشــراف (إدارة الرقابــة المكتبيــة)، علــى خــلال فتــرة ســماح لا تزيــد عــن اثنــى عشــر شــهرا ً أن يــتم الإنتهــاء مــن أعمــال توفيــق الأوضــاع مــن تــاريخ تقديم الخطة الزمنية.

ً من السادة المعنيين بمجالات الإلتزام، وفي هذا الصدد يرجى التكرم بإيفاد من ترونه مناسبا ا ٕ وا دارة المخاطر (بحد أقصى ٕدارة العمليات المصرفية عبر الإنترنت، وتكنولوجيا وأمن المعلومات، و ٥ أفراد) حيث سيتم عقد جلستى نقاش يومى الثلاثاء والخميس ٢٥ و٢٧ نوفمبر ٢٠١٤ بقاعة ً وذلك للرد علي أي المؤتمرات بالبنك المركزى المصرى الدور السادس الساعة العاشرة صباحا إستفسارات تخص القواعد علي أن يقوم مسئول الإلتزام بمصرفكم بإرسال أية إستفسارات (إن وجد) على البريد الالكترونى ................ فى موعد غايته ١٦ نوفمبر .٢٠١٤ وتفضلوا بقبول فائق الاحترام ،،، البَـَـَـْكَـ القواعد المنظمة لتقديمر الخدمات المصرفية عبر الإنترنت فى القطاع المصرفى المصرى

ﺇﺻﺪﺍﺭ ﻧﻮﻓﻤﺒﺮ ٢٠١٤

البَتْنَكَ المُرَكَرَكَ الْمَتْبَرُكَ

القواعد المنظمة لتقديمر الحدمات المصرفية عبر الإنترنت‌فی القطاع المصرفی المصری

ﺇﺻﺪﺍﺭ ﻧﻮﻓﻤﺒﺮ ٢٠١٤

المحتويات

ﺍ -
١-١ الْـ
۳ ﻧﻄﺎﻕ ﺍﻟﻘﺮﺍﻋﺪ
٣-١ ﺍﻟﻤﻼﺣﻖ .
٢
٢-١ المخاطر المرتبطة بخمات الإنترنت البلكى
0 ﻣﺴﺌﻮﻟﻴﺎﺕ ﻭ ﺇﻟﺘﺰﺍﻣﺎﺕ ﻣﺠﻠﺲ ﺍﻹﺩﺍﺭﺓ ﻭ ﺍﻹﺩﺍﺭ ﺓ ﺍﻟﻄﻠﻴﺎ	۲-۲
٢-٢
٢–٤ ﺗﺼﺎﻧﻴﻒ ﻣﺨﺎﻃﺮ ﺧﻤﺎﺕ ﺍﻹﻧﺘﺮﻧﺖ ﺍﻟﺒﻨﻜﻰ
٢-٠ قواعد مكافحة غسل الأموال وتمويل الإرهاب
۳ - الضوابط الرقابية على الخدمات المصرفية عبر الإثترنت
۳–۱
ﻭﺳﺎﺋﻞ ﺇﺛﺒﺎﺕ ﺍﻟﻬﻮﻳﺔ (ﺍﻟﺘﺼﺪﻳﻖ).	۲-۳
ﺇﺩﺍﺭﺓ ﻛﻠﻤﺔ ﺍﻟﺴﺮ .	۳-۳
الضوابط الخاصة بعمليات تحويل الأموال .	٤-٣
٣-٣ سرية وسلامة المعلومات
۳ -
البنية التحتيّة و المتابعة الأمنية لخمات الإنترنت البنكى .	۷-۳
ﺗﻘﯿﯿﻢ ﺍﻟﻨﻈﺎﻡ ﺍﻷﻣﻠﯽ .	A-T
١٤ - ٩
٣- ١ إعتبار ات الأداء وضمان إستمرازية العمل .
** أمن العملاء وضوابط لبعض المخاطر الأخرى
1 = 1
* * رصد الأشطة غير العادية .
الضوابط الوقائية الخاصة برسائل البريد الالكتروني و المواقع الإلكترونية المزيفة .	۳-٤
١٠
19.
مُحق (1): المعار سات السلومة لإعداد البنية التَحتيَة للإنترنت .
ملحق (ب)؛ أمثلة عن الهجمات الإلكترونية و الثقرات الأكثر شيوعا
ملحق (ج): التعريفات .

1- مقدم

1-1 القرض

صبحت الخدمات المصر فية الإلكارو نية أحد العاصر الجرهرية العديد من القدمات المصرفية، حيث تشكل توقعات العملاء ضغوطاً على البنرك لقنين إستر اتيجيات مصرفية جديدة، ويشير مصطلح الخمات المصرفية الإلكترونية إلى توصيل المنتجات والخمات المصرفية التقليدية بـ شكل الى ومميكن لتحقيق الإسقادة الميشرة للعملاء ونلك عن طريق قوات بتصال بلكترونية وقاعلية. وتضم الخدمات المصرفية الإلكترونية الــنظم اللازمة التى تمكن عملاء البنوك سواء من الأفراد أو الأشخاص الإعتبارية من الذخول على الحسابك وإجــر اء المعـــاملات الخاصـــة بهـم أو الحصول على معلومات عن المنتجات و الخدمات المائية من خلال قنوات اتصال الكترونية.

بالرغم من أن الخل فى الخدمات المصرفية الإلكترونية أو تعطلها قد لا يوثر على البنقرار النظام الصالى، إلا انها تؤثر سلباً على ثقة المتعملين في الخمات المقتمة من خلال قنوات الإتصال الإلكترونية وتهدد سمعة البنك. وتساط القراعد المنظمة البنوك على تقديم تلك الخـــمات بـ يحافظ على سرية وامن المعلومات ويمكن العملاء من الإعتماد عليها من خلال ضبط وتأمين البنية التحتية بالشكل المذاسب.

ونظر الزيلاة توجه الخمات المصرفية فى مصر نص الإعتماد على التكنولوجيا فان ذلك بتطلب المزيد من الإصلاحات التنظيمية اللزمــة فــــ هذا المجال.

نطاق القواعد

r = 1 بالرغم من تشابه المخاطر والضوابط بين مختلف قترات القواصل الخاصة بالخمات المصرفية إلا أن هذه القراع تخص بالخمات @ المصرفية عبر الإنترنت (المعروفة أيضاً بالإثنرنت البنكى) التى يستخدمها العملاء من الأفراد أو الأشخاص الإعتبارية.

لا ينطى نطلق القراع قنوات التقيذ الأخرى (مثال: ملكينات الصراف الأنى ATM، والخمات المصرفية عبر الهاتف الأرضى @ و الخمات المصرفية عبر الهاتف المحمول)، وسيتم إصدار القواعد التقصيلية المنظمة لهذه الخدمات بشكل مستقل لاحقا.

تحتير هذه القواعد والضوابط هى الحد الأننى اللازم لتقديم الخنمات المصرفية عبر شبكة الإنترنت بطريقة أملة، وعلى كاقة البنوك ألا @ تكتقى بذلك وأن تتأكد من إتخاذ كافة ما يلزم نحو إدارة المخاطر المرتبطة بتقديم هذا النوع من الخدمات المصرفية.

تقضمن هذه القراعد بعض الضوابط أو الأهداف الرقابية العامة المتعلقة بإسكررارية الأعمال واستك الأعمال إلى اطراف خارجية @ ودارة مخطر نظم المعلومات، وبالرغم من تلك سيتم إصدار القواعد التقصيلية المنظمة لهذه المجالات بشكل مستقل للحقا.

هذه القواعد لا تتنمل عمليات الخصم من البطاقات المصرفية التى تتم من خلال المنظومة ذات الأطراف الأربعة Four-Party Model .

و عمليات الدقع من المنظومات المغلقة والتي تتم عن طريق الإنترنت.

تسرى هذه القراع فيما يتعلق بتقيم الخمات المصرفية عبر الإنترنت ونلك دون الإخلال بالضوابط الرقابية للعمليات المصرفية @ الإلكترونية السابق صدور ها عن البنك المركزى وكذلك التعليمات والقواعد الخاصة بتتغيذ العمليات المصرفية.

تسرى هذه القواعد على جميم البنوك المسجلة لدى البنك المركزي المصري بما فيها فروع البنوك الأجنبية.

@ الملادق r-1 · ملحق (1): الممارسات السليمة لوضع البنية التحتيّة للخدمات المصرفية عبر الإنترنت

• ملحق (ب): أمنتّة عن الهجمات الإلكترونية الأكثر شيوعا
• ملحق (ج): التعريفات

٢– إدارة مخاطر خدمات الإثترنت البتكى ١-٢ المخاطر المرتبطة بخدمات الإثنرنت البنكى

يقرن تقديم خملت الإنترنت البنكي بالعيد من المخاطر والمميزات في نفس الرقت. وبينما لا تعتير تلك المخطر جديدة على البنــوك إلا أن ضلامن خملت الإنترنت البنكى قد تريد من درجات المخاطر بالإضافة إلى خلق تحديث جديدة لإدار ة تلك المخطر . وتقطّ هذه المخطر فها يلى وذلك على سبيل المثال لا الحصر :

• المخاطر الإستراتيجية: تتمل فى قرار تقدم خدمات الإنترنت البنكى ونوع الخدمات المقتمة وإختيار الوقت المناسب لقديمها. ويقصد بذلك على وجه التحديد مدى الجدوى الإقتصادية لتقديم هذه الخدمات أو البستمرارها وما إذا كانت تسبة العائد على الإستثمار سوف تقوق الإستثمارات الأولية ومصروفات استمرار تقديم هذه الخمات. كما أن سوء التخطيط لخدمات الإنترنت البنكي والقرارات الإستثمارية غير المدروسة بمكنها ان تزيد المخاطر الإستراتيجية التى تتعرض لها البنوك.

مخاطر التشغيل/ مخاطر المعاملات: L

تتمال في المخطر الناجمة عن الإحتيال أو الأخطاء فى تنفيذ المعاملات، أو الخل فى عمل النظام، أو غيرها من الأحداث غير المتوقعة لتى قد تودى إلى عم قدرة البنك على تقديم الخدمات أو تعرض البنك أو عملائه لضائر مالية، ويبنما تكمن المخطر فى كل المنتجات والخمات المقتمة، إلا أن مستوى المخاطر الخاصة بالمعاملات يتأثر بهيكل الإجراءات والمعاملات البنكية ويتضمن ذلك أنواع الخدمات المقدمة ودرجة تعقيد العمليات والوسائل التكنولوجية المساعدة.

- مخاطر الإلتزام/ المخاطر القانونية:

تتشا هذه المخاطر نتيجة الزيادة السريعة لإستخدام خنمات الإنترنت البنكي والإختلاف بين العمليات الإلكترونية والعمليات اليدوية. وقد تتضمن التحديات التظيمية/القانونية الخاصة ما يلى: ابرام إتفاقية قانونية الكترونياً مع العملاء لإستخدام خدمة الإنترنت البنكى.

' الأساليب التي تستخدمها البنوك للتحقق من هوية العملاء بإعتبارها أحد مصادر المخطر القانونية التي ينبغي وضع ضوابط كافية ' للحد منها.

فى ضوء إلتزام البنوك بقانون البنك المركزي والجهاز المصرفى والتقدرقم ٨٨ لسنة ٢٠٠٢، يتعين على البنوك وضع إجراءات ' وضوابط للخفاظ على خصوصية البيانات وسرية حسابات العملاء للتمكن من إدارة المخاطر المتزايدة التى تتعلق بتقديم خدمات الإثنرت البنكي، وكذلك مسئولية البنوك القانونية تجاه العملاء نتيجة لإحتمال حدوث إختراق لخصوصية البيانات، أو أى مشاكل أخرى بسبب عمليات القرصنة أو الإختيّال أو الإخفقات التكنولوجية الأخرى والعمل على حماية تلك البيانات من الإستيلاه عليها .

تحمل البنوك التي تقدم خمات الإنترنت البنكي درجة اعلى من مخطر الإلتزام ونّك بسبب الطبيعة المتغررة للتكنولوجيا

والتعديلات الرقابية التى تهدف إلى التعامل مع المشاكل الخاصة بتقديم هذا النوع من الخدمات.

الإحتقاظ بمستدات الإلتزام المطلوبة والخاصة بالسجلات والتطبيقات وكتوف الحسابات والإقتعار ات.

تحديد وتقييم مخاطر غسل الأموال وتمويل الارهاب التي قد تتشأ عن الخدمات المصرفية المقدمة عبر شبكة الإنترنت، حيث l يجب الإنتهاء من هذا التقييم قبل إطلاق خدمات الإنترنت البنكى.

= مخاطر المسعة:

يتزايد مسترى المخاطر المتعلقة بالسمعة بشكل كبير ونلك نتيجة قرار البنك بتقديم خنمات الإنترنت البنكى، وخاصة فيما يتعلق بالمعلملات الأكثر تعقداً. وفيما يلى بعض المخاطر التى قد توتّر على سمعة البنك من خلال تقديم خمات الإنترنت البنكى: الحدام الثقة نتيجة وجود معاملات غير مصر ح بها على حساب العميل.

" الإقصاح عن معلومات سرية خاصة بالعميل لأطراف غير مصرح لها، أو سرقتها.

الفقل فى تقديم خدمات يمكن الإعتماد عليها نتيجة لتكرار تعطل الخدمة أو طول مدة توقفها.

شكاوى العمول من صعوبة إستخدام خمات الإنترنت البنكى أوعدم قرة موظفى الدعم القنى بالبنك على حل هذه المشاكل.

" مخاطر أمن المعومات:

ينشا هذا القوع من المخاطر نتيجة إجتمال إستغلال إحدى للجهات غير المشروعة لقاط الضعف بالنظام الإلكترونى لإهداث الضرر، والذى ينتج عنه آثار تتعلق بمستوى سلامة وإتاحة وسرية البيانات.

مسئوليات وإلتزامات مجلس الإدارة والإدارة الطيا

4-4 ٢٠١٠ يقولى مجلس الإدارة و الإدارة العليا مسئولية الإشراف على إعداد إستراتيجية العمل الخاصة بالبنك وكذا إتخاذ قرار إسترائيجي واضح بشأن رغبة البنك فى تقديم خمات الإثترنت البنكى من عدمه، وبصفة خاصة يجب على مجلس الإدارة التأكد مما يلى: توافق خطط الإنترنت البنكى مع الأهداف الإستراتيجية للبنك.

= تحليل المخاطر الخاصة بخدمات الإنترنت البنكى المقترحة.

• إعداد اجراءات مناسبة لمراقبة المخاطر والحد منها وذلك فيما يتطق بالمخاطر التي يتم تحديدها.

= المراجعة المستمرة لتقييم نتائج خدمات الإنترنت البنكى وفقا للخطط والأهداف المحددة.

٢٠١٠ يجب على مجلس الإدارة والإدارة القليا ضمان تحايل المخاطر المرتبطة بخمات الإثنرنت البنكن المشار اليها فى البند ٢–١ ولحد منها بالطرق الملائمة، وذلك وفقا لما يلى: ٢-٢-١- وضع رقابة فعالة على المخطر لمرتبطة بتقديم خدمات الإنترنت البنكي، بما في ذلك تحديد المسئوليك والسواسات والضوابط الرقابية لإدارة هذه المخاطر : " يجب على مجلس الإدارة والإدارة للعليا الإلمام بجوانب عمليات الإنترنت البنكى، والتى قد تقرض تحتيات تختلف عن إدار ة المخاطر التقليدية على النحو الوارد فى البند ٢–١٠.

• يجب على مجلس الإدارة والإدارة الطنيا التأكد من عدم تقديم البنك خمات جديدة للابتكرنت البنكي أو تبنى وسائل تكتولوجية جديدة إلا إذا توافرت لهذا البنك الخبرات اللازمة التى تمكن من إدارة المخاطر بكفاءة. وينيفي ان تتناسب خبرات الموظفين والإدارة مع الطبيعة الفنية ودرجة تعقيد التطبيقات والتقنيات الخاصة بخدمات الإثترنت البنكى.

a يجب على مجلس الإدارة والإدارة العليا تحديد درجة قدرة البنك على تقبل المخاطر Risk Appetite وذلك فيما يتعلق بخمات الإنترنت البنكي مع ضمان إدر اج عمليات إدارة المخاطر المتعلقة بهذه الخمات فى المنهجية العامة للبنك لإدار ة المخاطر . كما يجب أن تتم مراجعة السياسات والعمليات الحالية والخاصة بإذارة المخاطر وذلك للتاكد من كفايتها للقطية المخاطر الجديدة التى قد تتتج عن خدمات الإنترنت البنكى.

" يجب على إدارة المراجعة الداخلية أن تقدم لمجلس الإدارة ولجنة المراجعة والإدارة العليا تقييم مستقل وموضوعى عن مدى فعائية الضوابط الرقابية التى يتم تطبيقها للحد من المخاطر الناتجة عن تقديم خمات الإنترنت البنكى بما فى ذلك مخاطر التكنولوجيا.

مراجعة وإعتماد الجوانب الرئيسية لعملية الرقابة الأمنية الخاصة بالبنك: Y-Y-Y-Y ª يجب على مجلس الإدارة والإدارة العليا الإثنراف على التطوير والصيانة المستمرة للبنية التحتية للرقابة الأمنية التى توفر الحماية المناسبة لنظم وبيانات خمات الإثترنت البنكى من أي تهددات دلخلية أو خارجية. ومن أجل ضمان فعالية علية تأمين خدمات الإنترنت البنكي، يجب على مجلس الإدارة والإدارة العليا التأكد من إتخاذ الإجراءات الأنّية:

• تحديد مسئوليات واضحة خاصة بالإشراف على وضع وادارة السياسات الامنية الخاصة بالبنك.

• توفير الحصاية اللازمة لمنح دخول الأشخاص غير المصرح لهم إلى بيئة الحاسب الألى، والتى تتضمن كاقة الأنظمة الحيوية وخوالم الشبكة وقواعد البيانات والتطبيقات والأنظمة الأمنية الخاصة بخمات الإلترنت البنكي.

توفير الضوابط الإلكترونية اللازمة والتى من شانها منع اي أطراف دلخلية أو خارجية غير مصرح لها من .

الوصول إلى التطبيقات وقواعد البيانات الخاصة بخدمات الإنترنت البنكى.

ﺍﻟﻤﺮﺍﺟﻌﺔ ﺍﻟﺪﻭﺭﻱ ﺍﻟﻌﻤﻠﻴﺎﺕ ﺍﻟﺨﺘﺒﺎﺭ ﺍﻹﺟﺮﺍﺀﺍﺕ ﻭﺍﻟﻨﻈﻢ ﺍﻷﻣﻨﻴﺔ (ﻋﻠﻰ ﺳﺒﻴﻞ ﺍﻟﻤﺜﺎﻝ ﺍﻟﺠﺰﺍﺀ ﺍﻟﺨﺘﺒﺎﺭ ﺍﻹﺧﺘﺮﺍﻕ ﺩﻭﺭﻳﺎ ﻛﻤﺎ هو مرضح فى البند ٣-٨) بما فى ذلك المتابعة المستمرة للتطورات فى النظم الأمنية فى هذا المجال، وتحميل وإعداد التخميثات الخاصة بالبرامج وحزم الخدمات المناسبة و التدابير اللازمة ونلك بعد إجراء الإختبارات المطلوبة.

٢٠١٠ إعداد الية شاملة ومستمرة لإجراء الأبحاث النافية الجهالة Due Diligence والرقابة على عمليات التعهيد وعلاقات البنك بلطر اف خارجية أخرى يتم الإعتماد عليهم لتقيم خدمة الإثنرنت البنكى. مع تركيز مجلس الإدارة والإدارة العليا على النقاط التالية على سييل المثال لا الحصر : الإمام الكامل بالمخاطر المترتبة على ايرام أي ترتيبات خاصة بالإسئاد أو الشراكة فيما يتعلق بنظم أو تطبيقات l خدمات الإنترنت البنكى بالإضافة إلى توفير الموارد اللازمة للابتمراف على هذه الترتيبات.

بجراء الأبحاث الناقية للجهالة اللازمة فيما يتعلق بالكفاءة والبنية التحتية للتظام والقدرة المائية للشريك أو الطرف الخارجي مقدم الخدمة وذلك قبل ايرام أي ابقاقيات خاصة بالإسذاد أو الشر لكة.

تحديد المسؤوليات التعاقدية لكافة الأطر اف الخاصة باتقاقيات الإساد أو الشراكة بشكل واضح. على سبيل المثال، يتم تحديد مسئوليات توفير المعلومات إلى مقتم الخدمة وتلقيها منه بشكل واضح.

تتضمن تقاقدات خممات الاستاد القاقية لعدم الإقصاح عن المعلومات السرية لأطراف خارجية والقاقية مستوى الخدمة والتى تشمل على سبيل المثال لا الحصر: تحديد الأدوار والمستوليات والوقت المطلوب لتتفيذ الخدمة واجراءات وبيانات التصعيد والعقوبات فى حال عدم الإلتزام، هذا بالإضافة إلى البنود التى تحفظ حق البنك في التقبّيق على موردي الخدمات أو الإعتماد على تقارير التقيق المعتمدة (الصادرة عن جهات تدقيق معتمدة).

خضوع كافة النظم والعمليات الخاصة بخدمات الإنترنت البنكي التي تتم من خلال عملية الإستاد لنظام إدارة المخاطر وسياسات الخصوصية وأمن المعلومات اللتى تتقق مع المعايير الخاصة بالبنك.

إجراء التكقق الداخلي وإرو الخارجي بصفة دورية على العمليات التي تتم عن طريق الإسناد، وينبني ألا يقل نطاق تغطية اعمال التدقيق عن مثيلتها التي يتم تطبيقها على المستوى الداخلى فى البنك.

ترفير كافة تقارير التقييم لمفتشي قطاع الرقابة و الإشراف بالبنك المركزي المصري.

وضع خطط طوار ئ مناسبة لخدمات الإنترنت البنكى التى تتم عن طريق الإسناد.

l أن تتقمم إجراءات فسخ/إنهاء التعاقد بالقاعلية، كما يجب أن تضمن هذه الإجر اوات الحقاظ على إستمر اربة العمل وسلامة البيانات وكذلك نقلها والتخلص منها.

فى حالة إسكاد خدمات الإثنرنت البنكى لجهات خارج جمهورية مصر العربية، يجب على البنوك إتخاذ التدابير اللازمة للإمتثال للقرانين والتشريعات المصرية وإختصاص المحاكم المصرية بما قد ينشا من مذاز عات.

وققا لما ورد فى البند 1-1، سيتم إصدار قواعد تقصيلية منظمة تحكم أنشطة الإسذاد وذلك على نحر منصل، على أن تثنمل الضوبط الرقابية التقصيلية بالإضافة إلى الأهداف الرقابية وكذلك قائمة بالنظم والخمات المسموح بإسلادها و الإستعائة بمصادر خارجية لتقيّذها. ولحين إصدار هذه القراعه، يجب على البتوك عم ايرام أي القاقيات تتعلق بإسناد خدمات الإنترنت البنكى أر تطبيقاتها دون الحصول على موافقة مسبقة من البنك المركزي المصري.

إعداد سياسة تأمين المطومات

۳ - ۷ ٢-٢-١ يجب على الإدارة العليا التككد من أن سيلسة أمن المعلومات المُطَبَقَة بالبنك - والمُعقدة من مجلس الإدارة ويتم تحديثها بشكل دوري

• تغطى خدمات الإثنرنت البنكي. ويسهم ذلك فى تحديد السياسات والإجراءات والضوابط الرقابية اللاز مة لحماية العمليات البنكية من الإختراقات والإنتهاكات الأمنية، كما يحند المسئوليات الفردية ركذا يوضح آليات التقيذ والإجراءات التى يجب إتخاذها فى حال مخالفة هذه السياسات والإجراءات.

٢-٢ نترلى الإدارة العليا تعزيز ونشر الثقافة الأمنية على كاقة مستويات البنك عن طريق التكود على إلتزامهم بالمعايير العالية لأمن المعلومات، ونشر هذه التقافة على كافة العاملين بالبنك.

تصنيف مخاطر خدمات الإثترنت البنكي

تقدم البنوك مجموعة مختلفة من خمات الإلترنت البلكى لقات منتوعة من العملاء ونتيجة لذلك فهى لا تتطوي عادة على نفس مستوى المخطر المتأصلة. على سيبل المثال، لا يتعرض العملاء المسموح لهم فقط بالإستعلام عن أرصدة حساباتهم عبر الإثترنت لتس مستوى المخاطر التي يتعرض لها عملاء آخرون ممن يقومون بتحويل الأموال إلى حسابات خارجية.

ويتطلب هذا النتوع في تقدم الخممات تبنى البنرك الأساليب أمنية شاملة وتسم بأمرونة فى الوقت ذاته، على أن تكون منهجية التأمين قائمة على تحليل المخطر و التهديدات الخاصة بخمات الإنترنت البنكي، مع الأخذ فى الإعتباز المخطر المخاطر المتأصلة Inherent Risk والضوابط الرقابية التعويضية Compensating Control من أجل الوصول لمستوى من المخاطر المتبقية Residual Risk التى تقع ضمن مستّربات المخاطر المقبولة بالبنك .

قواعد مكافحة غسل الأموال وتمويل الإرهاب 0-4

يجب على البنوك التى تقوم بتقديم خدمات الإنترنت البنكى تتفيذ ما يلى: الإلكزام بقانون مكانحة ضل الأمرال الصادر بالقانون رقم ٨٠ لمنة ٢٠٠ ولائحته التنفينية والضوابط الرقابية للبلوك فى شأن مكافحة

عسل الأموال وتمويل الإرهاب الصلارة عن البنك المركزي المصري عام ٢٠٠٨ وقواع التعرف على هرية العملاء بالينوك الصلارة عن وحدة مكافحة غسل الأموال وتمويل الإر هاب عام ٢٠١١.

تقلبيق إجراءات القطابة المشددة بالنسبة للعملاء والعمليات مرتفعة المخاطر وققا لما ورد بالبند الثامن (إجراءات العابة المشددة الخاصة ■ بغاث العملاء أو الخدمات والعمليات المائية مرتقعة المخاطر) من قواعد القعرف على هوية العملاء بالبنوك الصلارة عن وحدة مكافحة تحسل الأموال وتمويل الإر هاب عام ٢٠١١.

إيلام عانية كانية للموشرات الإستر شادية الواردة بالبند السابع (الموتشرات الإستر شادية للتعرف على العمليات التى يشتبه فى أنها تتضمن ■ غسل أمو ال أو تمويل إر هاب) من الضوابط الرقابية البنوك في شان مكافحة غمل الأموال وتمويل الأر هاب الصدادرة عن البنك المركزي المصري عام ٢٠٠٨.

فى حللة الإثنتباه فى أية عمليات تتم من خلال شبكة الإنترنت، القيام بإخطار وحدة مكافحة غسل الأموال وتمويل الإر هاب بشأنها، وذلك ■ وفقا لأحكام قاتون مكافحة غسل الأموال الصنادر بالقانون رقم ٨٠ لسنة ٢٠٠٢٠٠ .

٣- الضوابط الرقابية على الخدمات المصرفية عبر الإنترنت

١-٣ إدارة حسابات خدمات الانترنت البنكى ٣-١ تلتزم البنوك بعدم السماح للعملاء الجدد (ممن لا يمتلكون حساب مصرفي وليس حساب خمات الإثرنت البنكى) بقتح حساب مصرفى بلبتخدام أي من قنوات تقديم الخدمات الإلكترونية (على سبيل المثال: موقع البنك على الإثترنت، الخ). و يجب أن تطبق البنوك قواعد التعرف على هرية العملاء بالبنوك الصدارة عن وحدة مكافحة غسل الأموال وتمويل الإرهاب لسنة ٢٠١١ على هؤلاء العملاء الجُدد.

٣-٢ تحصل البنوك على توقع يدري من العميل الذى يرغب فى الإثنراك بخملت الإثنرنت البكى على تموذج (نماذج) طلب الخدمة أو العقد (العقود) للتي تحتوى على البيانات الأساسية العميل كحد أدنى (مُتّان: البريد الإلكترونى، رقم الهاتف المحمول والأرضى، عنوان المراسلات، الخ)، بالإضافة إلى الشروط والأحكام التى تحتد الحقوق والإلتزامات بين البنوك والعملاء بشكل واضح (پرجى مراجعة البند رقم ٤–١).

٣-١- ٣-١ تلتزم البنوك باستخدام أساليب يمكن الإعضاد عليها للتحقق من هوية وصلاحيات العملاء الراغبين فى الإشكراك فى خدمات الإثنرنت البنكى، وكذلك التحقق من هوية وصلاحيات العملاء المشتركين بالخدمة الراغبين فى تتفيذ أنشطة مصرفية عبر خدمات الإنترنت البنكى.

٣-١- ٤ بالحسابات المصرفية، وذلك في الحالات التي يصرح فيها لأكثر من مستخدم بالتعامل على هذا الحساب.

٣-١-٥ تلتزم البنوك بالحصول على كلة المستدات القانونية اللازمة لإثبات تقريض الصلاحيات للمستخدمين بلجراء معلملات على حسابات الأشخاص الإعتبارية.

٣-١ تلتزم البنوك بإجراء عمليات التقيق اللازمة للتككد من هوية العمل عند طلبه إجراء تعديل في بيانات حساب خدمات الإثنرنت البنكى الخاص به، أو تعديل أي بيانات يستخمها العميل لمتابعة أنشطة حساباته المصرفية. ويطبق ذلك على عمليات إعادة تقويل الحساب واعادة إصدار كلمة سر جديدة لعميل خمات الإنترنت البنكى وتغيير بيانات الإتصال الخاصة بالعميل ملّ عنوان البريد الإلكترونى ورقم الهاتف المحمول والأرضى وعنوان المراسلات. كما يجب على البنوك أن تلخذ فى الاعتبار تطبيق المعايير التالية عند التعامل مع تلك الطلبات: ٣-١-١ فى حال تقدم العميل بطلب لتحديل البيكات الخاصة به فى أحد الفروع، يتم تطبيق الإجراءات اللازمة للتككد من هويته.

٣-٦-٣ أما فى حال طلبات التعديل المقتمة من خلال خمات الإنترنت البنكى فيجب استخدام وسيلة التصديق الموضحة بالبند ٢–٢ مع التأكد من وجود آليات مر اقبة فعالة.

٣-١-٦ تطليق البنوك الإجراءات اللازمة للتحقق من هوية العميل فى حللة تسليمه معلومات أو أدوات أو أجهزة تثيح له الدخول على حساب الإنترنت البنكى الخاص به (مثال: الرقم السري PIN ولجهزة رموز الأمان Tokens، الخ).

٣-٦-٦ - ٤ فى حال عم توافر معايير مماثلة لتلك الموضحة أعلاه، تتجنب البنوك ارسال المستدات المهمة (مثال: دفاتر الشيكات وأجهزة رموز الأمان البديلة، إلخ الى العملاء الذين قاموا بتغيير عذاوين مراسلاتهم حديثاً على وجه الخصوص.

ويلتزم العميل فى هذه الحالة باستلام هذه المستدات بنفسه من أحد فروع البنك بعد التحقق من هويته طبقا للقواعد المعمول بها.

٣-١-٠ الجراء عمليات التحقق والفحص الإضافية للتلكد من هوية العميل، وذلك فيما يتعلق بالطلبات التى تتم من خلال الهاتف (المكالمات التى ترد من العملاء فقط) لإرسال لجهزة رموز الأمان الجنددة أو أى معنتدات هامة أخرى وكمتال لعملية التحقق الإضافية: سؤال العميل عن مطومات تتغير من وقت لأخر بالإضافة إلى الأسئلة المتعلقة بالتفاصيل الشخصية بصغة عامة (مٿان: الأرصدة التقريبية فى الحساب وآخر معاملات تم تتفيذها على الحساب).

٢-٣ وسائل إثبات الهوية (التصديق)

٣-١ تلتزم البنوك بإستخدام وسائل فقالة يمكن الإعتقاد عليها للتحقق من هوية العملاء المستخدمين لخدمات الإنترنت البنكى. وعلاه ما تكون عملية التصديق أكثر فعالية عند الجمع بين الثنين من العناصر التالية: = أحد الأشياء المعروفة للعميل (متال: إسم المستخدم وكلمة السر).

• احد الأسياء التي بحوزة العميل (مثال: التوقيع الرقمي أو كلمات السر المستخدمة لمرة واحدة التى تصدر باستخدام لجهزة رموز الأمان).

احد السمات المميزة والخاصة بالعميل (مثال: الصغات البيومترية، كالبصمات) T-T اليجب على البنوك إعادة التصديق باستخدام وسيلتين معا (مثال: التوقيع الرقمي أو كلمات السر المستخدمة لمرة واحدة التى تصدر بلبتخدام لجهزة رموز الأمان مع عم السماح بمنح كلمات السر المستخدمة بشكل آلى ومباشر عبر الرسائل النصية للقصيرة أو البريد الإلكتروني للعملاء من الأقراد والأشخاص الإعتبارية، إلخ عند تنفيذ الانشطة ذات المخطر المرتقعة (مال تحويل الأموال لأطراف خارجية، تسجيل مستيدين جد، تغيير بيانات الإتصال بالعميل، التج). ويجب أن تعمل وسيلة التصديق المستخدمة بالتزامن مع الصوابط الأخرى المطبّقة على تعزيز الأبعاد التالية: " عنم الإنكار

• سلامة وتكامل البيانات
• سرية البيانات " صحة الهوية ٣-٢ يجب على اليزك تحديد رسائل التصديق التى ستعتخدمها لخدمات الإثترنت البنكى وذلك بناءُ على تطيل المخاطر المرتبطة بالنظام؛ مع الأخذ فى الإعتبار تقييم نوعية المعاملات المصرفية التى تقدم عبر الإثترنت البنكى.

٣-١ تحتاج البنرك إلى عمل تقييم نقيق لتحديد ما اذا كانت الوسيلة المستخدمة للتصديق مناسبة من الناحية الأمثية حتى إذا كان الحاسب الشخصى الخاص بالعميل عرضة للتهديدات، مثال: عن طريق برامج خبيقة ملّ حصان طروادة وبر امج التجسس عن طريق تسجيل الضغط على لوحة المفاتيح.

• • • • بجب على البنوك استخدام التكنولوجيا المناسبة لاتشاء كلمات السر بالإضافة إلى تطبيق الوسائل اللازمة للخاظ على سرية كلمات السر فى حالة تسليمها للعميل كما هو موضح فى البند ٣-٢.

ال ٢-١ يجب أيضًا على البنوك تطبيق الوسائل المذاسبة للتى تمكن العملاء من التحقق من هوية ومصداقية المواقع الإلكترونية الخاصة بهذه Digital Certificates البنوك رذلك بغلاف معايير التصديق الخاصة بهوية العملاء، وذلك عن طريق تثبيت شهادات التصديق الرقمية والمفاتيح المرتبطة بها من الجهات المعروفة و الموثوق بها على خوادم نظام الإثقرنت البنكي، كما يُوصى بابنتدام شهادات التصديق التى تتضمن تحقق (تاكيد اِضافى Extra Validation.

٣-٢-١ يجب على البنوك إنشاء ألية للتحقق من التصديق على النحو التالي: اخطار العميل بمجرد دخوله على النظم بالمحاولات السابقة الناجحة و/أو القاشلة الخاصة باسم المستخدم الخاص بالعميل ونلك 1-4-4-4 فور دخول العميل على النظام.

مقع تخول المستخدم إلى خممات الإنترنت البنكي بعد عدد من المحار لات القاشلة - لا يتحدى خس محارلات - ويجب Y-V-Y-F على البنك إعداد إجراءات و اضحة لإعادة تقعيل حساب المستخدم الذي تم إيقافه.

منع المستخدم من استخدام اكثر من ناقذة استخدام بشكل متز امن.

۳-۷-۳-۳ عدم اِعطاء أي معلومات بعد المحاولات القاشلة للتخول على النظام إلى الشخص الذى قام بتلك المحارلات مثل الإتصاح عن E-V-Y-F عدم وجود اسم هذا المستخدم أو أن كلمة السر غير صحيحة.

القيام بالرقابة بصورة منتظمة لمحاولات الدخول الناجحة و/أو الفاشلة لخدمات الإنترنت البنكى، وعند إكتئبف أى تجلوز 0-V-Y-Y جسيم، يجب التحقيق فيه وتحديد التهديدات المحتملة واتخاذ التدابير اللازمة.

٣-٣-٣ إدارة كلمة السر

٣-٣-٣-٢ مواصفات كلمة السر: يجب على البنوك مراعاة التدابير الرقابية التّالية عند التعامل مع كلمات السر الخاصة بالعملاء.

= تطبيق الرقابة المزدوجة و/ار الفصل بين المهلم لمعلية إبتشاء كلمات السر وتسيمها للعملاء وعملية تقعيل حسابات خدمات الإثنرنت البنكي .

• تعزيز تأمين عملية إنشاء كلمة السر لضمان عدم تعرضها للكشف.

• التكد من أن كلمات السر لا يتم معالجتها أو ارسالها أو تخزينها كنص واضح.

• وجوب توجيه مستخدمي ومديرى أنظمة الإنترنت البنكي لتقيير كلمة السر الصكرة فور الدخول إلى النظام لأول مرة.

• تطبيق قواعد إنتهاء صلاحية كلمة السر على أساس مدة صلاحية محددة مسيقا من قبل البنك.

• الحفاظ على تاريخ كانمات السر المستخدمة والتأكد من عدم إعادة البتخدامها مرة أخرى خلال عدد مرات او مدة زمنية يحددها البنك.

• فرض استخدام كلمات سر معقدة (مُتّال: تتكون من تُمائية أحرف وتتضمن حروف وأرقام ورموز خاصة، الْبخ).

= يجب تشغير كلمة السر بابستخدام آلية تشغير قرية أو أن يكون طول مفتاح التتفير مناسب (لا يقل عن ١٠٢٤ بايت).

= إستخدام التكنولوجيا المدنبية لإنشاء كلمة السر وإعتماد التقنيات المناسبة للحفاظ على تأمينها أثناء القنايم للعميل إما باليد أو إلكثرونيا.

= التككد من أن أليه "تكر كلمة السر" لا يمكن ابستخدامها (اي " يتم السماح بتخزين كلمة السر في صورة كود تطبيق خاص بالمواقع أو فى ملفات تعريف الإرتباط الخاصة بكلمات السر).

٣-٣-٢ كلمات السر المستخدمة لمرة واحدة التى تصدر باستخدام أجهزة رموز الأمان

• الحد الأننى لمواصفات كلمة السر لمرة واحدة:

• يجب الا تكون كلمة السر أقل من ا رموز.

• يجب آلا يزيد الوقت الزمنى لصلاحية استخدام كلمة السر عن ٩٠ ثانية.

• التأكد من أن نظام الحلول الحسابية Algorithm لإنشاء كلمة السر يوفر العشوائية الكافية من القيم الرمزية.

• يجب أن يتم حماية جهاز رموز الأمان برقم سري طبقا لما يلى:

• يجب أن لا يقل الرقم السرى لجهاز رموز الأمان عن ٤ أرقام.

• لا يَنبغي السماح بالأرقام السهلة كرقم سرى PIN مثال: ١١١١ أو ١٢٣٤

• يجب أن يكون هذك حا أنصى للمحاولات الغير ناجحة لإنخال الرقم السري - لا تتجاوز خمس محاولات - قبل ايقاف جهاز رموز الأمان.

• يجب على البنوك إعداد إجراءات واضحة لإعداد الأرقام السرية الأولية وإعادة تقعيل أجهزة رموز الأمان الموقوفة.

• يجب توجيه العميل لتغيير الرقم السرى عند أول إستخدام وذلك فى حالة إصداره عن طريق البنك.

الضوابط الخاصة يعليات تحويل الأموال ٤ -٣

٣-٤-١ يجب على البنوك التي تقم خمة تحويل الأموال من حسابات عملائها إلى حسابات اطراف أخرى من خلال خمات الإثقرتت البنكى وضع الضرابط المذاسية التى تساعد على تقليل المخاطر المصنحية لتلك الخنمة لتصل إلى مستوى مقبول ومعقد من البنك.

1-1-1 يجرز اللبنوك إستخدام وسيلة تصديق أحادية للتصديق على عمليات تحريل الأموال بين الصنبات الثابعة لنفس العميل والتى تتم داخل نفس البلك بجمهورية مصر العربية، أو سداد إلْتزامات العملِ الخاصة بيطاقات الإثقمان أو القروض أو إنشاء شهادة إيداع أو حساب وديعة لأجل داخل نغس البنك بجمهورية مصر العربية.

٣-٣-٣-٣ يجب على البزوك تطبيق مبدأ الرقابة المزعوجة على الأكل (المعد) المنقق والمصرح) على تمويلات أموال الأشخاص الإعتبارية لمستقيين آخرين - إلا في حالة طلب الشركة أو الشخص الإعتباري غير نلك كتابيا - مع ضرورة ابستخدام كل من المعدار المدقق و المصر ح لوسائل إثبات الهوية (التصديق) الو ادرة بالبند ٣-٢-٠.

٣-٤-٤ يجب على البنوك وضع حد أصحى يومي أو حدود المعاملات التى تتم من خلال خمات الإنترنت البكى لتحويل الأموال من حسابات عملاتها لمستغيلين تخرين على أن تخضع لدراسة المخاطر من قبل البنك، ويجب آلا تتعارض تلك الحدود مع أي حدود أخرى يحندها البنك المركزي المصرى.

٣-٤-٥ تحظر معالجة بعض الوظائف/الخممات بإستخدام نظام التقوذ الآنى المباشر للعمليات، حوث يجب تنهذها بعد أن يتحقق موظفى المكتب الخلفي بالبنك Back Office من صحة الطلب أو المعاملة. وفيما يلى الخدمات المحظور تتفيذها آليا:

• تعريل الأموال لمستقيين خارج جمهورية مصر العربية (بالتوافق مع أي لواتح أو تعليمات صادرة عن البنك المركزي المصري بخصوص تحويل الأموال بالعملة الأجنبية).

• الطلبات المتطقة بالعمليات الإنتمانية (القروض، التسهيلات الإنتمانية، طلبات بطاقات الإنتمان،الخ) حيث يمكن تقديمها عبر الإنترنت ولكن يجب على البنوك الحصول على ترقيع من العميل قبل تنفيذ العملية/الطلب.

٣-٤-٦ وجب على البنوك إغطار عملائها من مستخدمى خمات الإثترنت البنكى بأى معاملات مالية أو الشطة ذات مخطر مرتقعة تتم على حساباتهم - إلا في حللة طلب العميل غير ذلك - وذلك من خلال وسيلة مميكنة بنيلة (مُلل الرسائل النصية القصيرة أو رسائل البريد الإلكترونى).

٣-٤-٧ يُتر التعامل مع خمة سداد القواتير عبر خمات الإنترنت البنكى خصماً على حساب العميل على أنها علية تحريل أموال لمستقيدين آخرين، حتى وان تم تحويلها عن طريق المكتب الخلفى Back Office.

٣-٤-٨ يتعين على البنوك الوفاء بإلتزاماتها الخاصة بتحويلات الأمرال وفقا لما ورد بالجزء القاسع الخاص بالقواعد الخاصة بتحويل الأمرال وتلك ضمن قراعد التعرف على هوية العملاء بالبنوك الصدادرة عن وحدة مكافحة غسل الأمرال وتمويل الإرهاب لسنة ٢٠١١.

سرية وسلامة المطومات 0-۳ ٣-٥-١ يتضمن تقديم خمات الإنترنت البنكي تداول بيانات سرية (مال كلمات السر الخاصة بخمات الإنترنت البنكي والمعاملات المللية، (لخ) عبر شبكة الانترنت والشبكة الداخلية للبنك. لذلك يجب على البنوك المتخدام الأساليب المذاسبة للخاظ على سرية وسلامة المعلومات المتداولة عبر الشبكات الداخلية والخارجية للبنك.

٣-٥-٢ يتم ابستخدلم تكنولوجيا التشغير لحماية سرية وساتمة المعلومات التى تقدم بالصحاسية. حيث يجب على البنوك إذنيكر تكنولوجيا الشؤير التي تتناسب مع حساسية وأهمية المعلومات وكذا درجة الحملية المطلوبة، وفي هذا السياق يوصى دائما بتبنى البنوك لتكنولوجيا التشغير التي تستخم طرق التشغير المتعارف عليها دوليا، حيث تخضع نقط القوة لإختبارات شاملة.

وينبغي ان تطبق البنوك الممارسات السليمة لإدارة مغائيح النتئفير اللازمة لحماية هذه المغائيح.

٣-٥-٣ يجب على البنوك أوضًا تقنيذ ضوابط أخرى بخلاف أساليب النتشير، وذلك للحفاظ على سرية وسلامة المعلومات التي يتم يتم تداولها عبر نظم خدمات الإنترنت البنكى. ويتضمن هذا على سبيل المثال: ٣-١-٣-١٠ الضوابط وأعمال التنقق المدرجة بتطبيقات الإنترنت البنكن التكك من سلامة تسوية أرصدة العملاء بعد تنهذ المعاملات بالإضافة إلى التأكد من سلامة البيانات التى يتم نقلها بين الأنظمة المختلفة.

٣-٥-٣-٢- مراقبة المعاملات غير المعتادة بما فى ذلك المعاملت محل الإشقباه الخاصة بخدمات الإثترنت البنكى أو السجلات للتى يشتبه التلاعب فيها (كما هو موضح فى البند ٤–٢).

٣-٥-٤ ينبتي على البنك تطبيق سياسة الفصل بين المهام، ونك للتككد من عم إمكانية قولم أي موظف دلخل البنك باي عمل غير مصرح له وإغفائه، ويتضمن هذا على سبيل المثال لا الحصر، إدارة حساب المستخدم وتتفيذ المعاملات كما يلى: 1-0-2-1 علم السماح لموظف واحد فظ بالقيام بإشارة حساب مستخدم لخمات الإنترنت البنكى والتصريح بالمواققة عليه وإلغائه دون مشاركة موظفى الادارات الاخرى بالبنك التحقق من سلامة تصرفات هذا الموظف.

٣-٥-١- ٢-١٠ يجب على البنك تصميم الإجراءات الخاصة بتعلملات الإثرات البنكي بما يضمن عم إنفراد أهد الأشخاص بإنشاء التعاملات والمواققة عليها وتقيذها على النظام مما قد يدعم عملية لِحتيال أو إنخاء تقاصيل خاصة بتلك المعاملات.

1-۳ تأمين التطبيقات

يجب على القرك التأكد من ترغير مستوى مذاسب من تأمين التطبيقات الخاصة بخمات الإثنرنت البلكى مع أخذ الممارسات السليمة الثالية بعن الاعتبار: يجب على البنوك عد إختيار أدوات تطوير النظم أو لغات البرمجة من أجل تطوير التطبيقات الخاصة بخدمات الإنترنت البنكى 1-4-1 ان تقوم الخصائص الأمنية التى يمكن أن توفر ها الأدرات أو اللغات المختلفة لضمان إمكانية تتفيذ الحماية القعالة للتطبيقات.

٣-٦ - ٢ يوب إجراء عملية تحقق شاملة وفعالة حول صحة المدخلات (بما فى ذلك البيلنات المدخلة من قبل المستخدم والاستعلام من خلال قواعد البيانات التى قد يقوم المستخدم بطلب تقيذها) ونلك من خلال خوادم الشبكة، و يمنع هذا نظام الإنترنت البنكى من معالجة المطلبات غير الصحيحة التى يتم ادخالها بطريقة متعمدة، الأمر الذي قد يؤدى إلى الوصول غيرر المصرح به إلى البيانـ ٣-٣- ٣ يجب أن تعمل أنظمة خمات الإثرتت البنكى بأقل الصلاحيات الممكنة الخاصة بإدارة النظام. كنك يجب منع إستخدام كلمات السر المعروفة أو كلمات السر الموحدة التى تعد مع نشاة النظام.

٢-٢- ٤ يوب الا تكتف رسائل الأخطاء للتى تصدر من النظم لعملاء خدمات الإثرنت البنكى عن معلومات دقيقة خاصة بالنظم. و يجب تسجيل الأغطاء بشكل مناسب، كما يجب التأكد من عدم احتراء النص المصدري للغة توصيف النصوص المقرابطة e in the server server server على أي من المعلومات الدقيقة الخاصة بالنظام مل أي . Web Application Code ايتارات أو مرجعيات متعلقة بخصائص تصميم كود البر امج/التطبيقات ۳-7 - 0 يوب النهاء ناقذة المعاملة عبر الإثنر نت تلقائيا Session Termination بعد فقرة محددة من الوقت فى حال علم وجود أي نشاط على النظم، إلا إذا تم إعادة تصديق بيانات العميل مرة لُخرى، الأمر الذى يمنع أي مُخترق من الإبقاء على أي نافذة مفتوحة على الإنترنت إلى أجل غير محدد.

1-1 يوب منع برامج التصنح الخاصة بالعمل من خط أو عرض ايم المستخدم أو كلمات السرق الخالها من العملاء المستخدمين لخدمات الإنترنت البنكى وكذلك صغحات الويب الخاصة بتلك الخدمات التى سبق الدخول عليها.

٢-١ يجب على البنوك إتخذ الإجراءات اللازمة لعلاج أي نقط ضعف بنظام الإنترنت البكن يتم بكتشاقها، ونلك البنتاذا إلى الإجراءات الأمنية المتبعة فى البنك.

• السارات المخفية Hidden Directories الخاصة بالموقع الإلكتروني والتي تحتوي على أي صفحات إدارية او معلومات سرية، وذلك عن طريق تطبيق نظام تصديق فعال وآليات معيارية للتحكم في الدخول على كاقة النظم الخاصة بخدمات الإنترنت البنكى.

Structure of File ٣-١- اليجب مسح كاقة الملفات الإختيالية والمشتركة من خرادم شبكة الإصدار أو هيكل مسلرات الملقات . Directories لتجنب وصول المستخدمين غير المصرح لهم بذلك.

• ٢٠ القوام بمراجعة أمنية دورية لهيكل مسارات الملقات Structure of File Directories وصلحيات النقاذ إلى الملقات، وذلك لضمان أن الملقات السرية يتم حمايتها بالشكل الملائم، و لا يتم عرضها من خلال تطبيقات الويب.

٣-١٠ يوب على البارك عمل الترتيبات الأمنية المذسبة لبعض الخدمات التى تتضمن بتصالات مع الشبكات العامة (كخدمات البريد الإلكترونى للتواصل مع عملاء خدمات الإلكرنت البنكى، و نظم أسماء النطاقات DNS لترجمة أسماء المواقع إلى على الشيكة والعكس) لتجنب الهجمات على أنظمة خدمات الإنترنت البنكى من خلال هذه الخدمات.

٢٠٦٠ يمكن للبنك - بجانب استخدام بروتوكول طبقة المناف الأملة SSL - أن يقوم بتأمين عملية تشغير شاملة على مستوى (طبقة) التطبيقات للبيكات المرسلة عبر الإثترنت، حتى لا يتم كتلف الأرقام السرية وكلمات السر الخاصة بالعميل في أي مرحلة وسيطة لتداول البيانات بين المتصفح وخلم الاستضافة Host، حيث يتم التحقق من أرقام التعريف الشخصية وكلمات السر .

٣-٣-١٣-١٣- ١٣-١٠ بالإخبار القيم بالإختبار ات اللازمة للتكد من علم إمكانية تجاوز عملية التصديق أو إغفالها للدخول على النظام.

٢٠١٠ نظرا لسهولة الوصول إلى قواعد البيكات ذات الحملية الضعيفة من خلال الشبكات الداخلية والخارجية، لذا يجب التشديد على توافر الأتى:

• اجر اءات صار مة بشأن تحديد الهوية والصلاحيات للدخول على الأنظمة وقواعد البيانات.

. System Processes تصميم آمن وسليم لعمليات النظام System.

. Audit Trails مسار ات تدقيق ملائمة = 1-1-10 يجب على البنوك استخدام أحد بروككولات التصديق المعيارية لتعريف أسماء المستخدمين وكلمات السر الخاصة بهم على . (LDAP تطبيقات الإثترنت البنكي (ملّل (LDAP).

البنية التحتية والمتابعة الأمنية لخدمات الإلترنت البنكى Y-۳

1 - 1 يوب على البنوك إيثناء بيئة تشغيل ملائمة تعمل على دعم وحصلية الظمتها الخاصة بخمات الإلقرنت البنكى. حيث تحتوي بيئة التشغيل الملائمة على بنية تحتيّة آمنة لخدمات الإلترنت البنكى (والتى تتسل تصميم نطاق لمن DMZ وإعداد خرادم الشبكة و أنظمة إكتشاف وملم الإغتراق واجهزة جدار الحماية Firewall وأجهزه التوجيه) كما تحتوى أيضا على إجراءات حماية ملائمة للشبكات الداخلية وروابط الشبكات مع الجهات الخارجية.

يجب على البنوك مراقبة كل من أنظمة الإنترنت البنكي والبنية التحتية بصورة استباقية بشكل دائم على مدار ٢٤ ساعة طوال Y-V-٣ الأسبوع، وذلك لرصد وتسجيل أى مخالفات لمنية، أو أي إختراقات، أو نقاط ضعف مشتبه فيها، وكذلك أى الشطة غير طبيعية محل اشتباه تتم على الأنظمة .

يجب على البنوك التأكد من وجود مسارات التكوق Audit Trails لكن المعاملات البنكية التى تتم عبر الإنترنت على أنظمة البنك.

۳-۷-۳ كما يجب ضمان حماية تلك المسارات ضد أي تلاعب أو تغيير غير مُصرّح به، وأن يتم الإحتفاظ بها لمدة زمنية تترافق مع ما تحدده ميوابيات البنك تعابيقاً المتطلبات القانونية وطنقاً للمتمرابط والتعليمات الرقابية الصادرة فى هذا اللندان، ويهتف هذا الإجراء إلى تسهول إجراءات التحقيق فى أى عملية إختيال، وحل أي نزاع أو شكوى إذا لزم الأمر . وعند تحديد ما سيتم الإحتقاظ به فى مسارات التدقيق، يمكن الأخذ فى الاعتبار الأنواع التالية من الأنشطة وذلك كحد أدنى: User ID عمليات فتح أو تعديل او إغلاق حساب مستخدم على نظام الانترنت البنكى

• أى عملية ذات تبعات مالية اي تصريح يمنح لعميل ( مستخدم لتجاوز اي من الحدود او الصلاحيات ا أى تعديل أو إضافة أو الغاء لصلاحيات المستخدمين أو إمتيازات خاصة بالدخول على الأنظمة ٣-٢ ـ يجب أن يتم مر اجعة كاقة ما يتم إصدار ه من سجلات تتقيق Audit Logs وإنذار ات التامين اللحظية Real Time Security Alerts (مَلّ إبدارات أنظمة كشف ومنع الإختراق) بو اسطة الموظفين أو فرق العمل المعنية ونلك بطريقة دورية وفى الوقت المذاسب.

٣-٢ - ٥ يوكن للبنوك الرجوع إلى (الملحق ا) الخاص بالممارسات المتحققة بتصميم وإثشاء ومراقبة البنوية التحتيّة لخدمات الإنترنت البنكى.

٨-٣ تقييم النظام الأمنى

• 1 يجب على البنوك دوريا تقييم الوضح الأمنى لكلة الأنظمة (التقليقات، وللشبكات، ولجهزة التأمين، وخوالم نظام أسماء التظقات وخوالم البريد الإلكتروني، إلخ) المتعلقة بأصال الإنترنت البنكى، وذلك فــي المركز الرئيسي للمعلومات والمركز الإحتيّلي الذى يستخدم فى حالات الكوارث. يوضح البندان ٣-٨-٨ و ٣-٨-٣ الحد الأننى من انشطة التقييم الواجب إجراؤها.

T-A-T يجب على البنوك إجراء تقيم لوري لنقط الضنعف Vulnerability Assessment كل ثلاثة أشهر على الأقل أو عند حدوث تغيير !

جو هرباً في البيئة التشغلية لنظم خمات الإلكرنت البنكى لإكتقاف تقاط الضحف في بيئة تكنولوجيا المعلومات، وتقييمها، ويمكن ان يتولى هذا التقييم مستشار أو مقدم خدمة خارجى، أو إدارة أمن المعلومات بالبنك، وذلك على النحو التالى: 』 وجب أن يحقوي نظاق تقييم نقاط الضعف على إختبار الثغرات الشائعة فى الشبكة (مثل: الشغرات التى ثمكّن المخترق من حقن قواعد البيائات SQL Injection وتغرات البرمجة عبر المواقع Cross-Site Scripting، الخ).

• يجب على البنك إعداد خطة لمعالجة المقاكل التى تظهر فى تقييم نقاط الضعف، ثم التحقق من صحة هذه المعالجة عن طريق إعادة الإختبار لإثبات أنه قد تم التعامل مع هذه المشاكل بالكامل.

٣-٢ يوب على البنك القيم باختبارات الإختراق Penetration Testing وذلك لصل تقييم مفضل ومتعمق للوضع الأمنى للنظام من خلال محاكاة للهجمات القطية على النظام على ان يتم ذلك على الأكل مرة واحدة سنويا، أو قبل البدء في تقدم أي خدمات حيوية جديدة؛ على أن تتم مراعاة ما يلى:

• يجب أن يقولى بجراء إنفتار الإختراق أحد مقتمي الخنمة الخارجين المستقلين، حيث يجب عليه أولا الترقيع على إتفاقية السرية وعدم الإقصاح قبل مزاولة العمل Non-Disclosure Agreement.

e يجب أن يكون لدى البنوك تقرير مبدئى عن البُدَبَار الإختراق وخطة المعالجة Penetration Test Report & Remediation Plan التى تم اصدار ها و الموقعة من مقدم الخدمة الخارجى.

• يجب على البنوك التحقق من صحة معالجة الملاحظات الناتجة عن إختبار الإختراق سواء كان على الأنظمة الرئيسية أو الأنظمة البديلة المستخدمة لمواجهة الكو ار ث.

البَتْنَكَ الْرَكَ حَوْيَ المُقَيْرَكَ

• يجب على مقدم الخنمة الخارجي إصدار تقرير نهائي موقع منه عن إختيار الإختراق لكى يقوم البنك بتقدمه إلى البنك المركزي المصري، بجانب التقرير المبدئى الأول.

• غير مسموح بإختيار نفس مقدم الخدمة الخارجي لأداء أكثر من إختباري إختراق منتاليين.

الإستجابة للأحداث وإدارتها

۹ - ۳ ٣-١ يوب على البنوك وضع إجراءات للإستجابة للحنث وإدارته خلال تقدم الخمة، بهتف الإبلاغ والمعالجة الفورية لأي إختراقات أمنية سواء كانت فعلية أو مشتبه فيها، وكذلك أي حالات لحتيال أو إبقطاع)عم ثبات الخمة في الأنظمة الخاصة بخدمات الإنترنت البلكي، سواء ألثاء أو بعد ساعات العمل. ويجب على البنوك إتخاذ الإجراءات الضرورية الثالية (على سبيل المثال لا الحصر): سرعة إكتئاف مصدر الحدث، وتحديد ما إذا كان قد وقع نتيجة وجود نقاط ضعف في النظم التأمينية بالبنك من عدمه = تقييم النطاق المحتمل للحدث ومدي تائيره = تصعيد الأمر إلى الإدارة العليا للبنك يشكل فورى، إذا كان هذا الحدث قد يضر بسمعة البنك أو يودى إلى خسائر مالية الخطار العملاء المتضررين على الفور، إذا لزم الأمر إحتواء الخسائر المتعلقة باصول البلوك و بياناتها وسمحتها، ويوجه خاص الخسائر المتعلقة بعملاتها

• جمع الأللة الجنائية وخظها بطريقة مناسبة وباسلوب يضمن الرقابة على تلك الأللة، لتمهيل التحقيقات اللاحقة وإقامة دعوي قضائية ضد مخترقى النظام والمشتبه قيهم إذا لزم الأمر بالإضافة إلى تقيذ عملية مر اجعة لهذا الحدث 1-9-1 يجب تكرين فريق للتدخل السريم لإدارة الحنث للتعامل معه بما يتواقق مع الإجراءات الموضحة أعلام على أن يتم منح هذا القريق الصلاحيات اللازمة التصرف فى حلّة الطوارئ، كما يجب أن يتلقى التكريب الكاتى على إستخدام الأجهزة التأمينية، والقدرة على تقسير اهمية البيانات ذات الصلة فى سجلات التقيق، وتحنيد الإجراءات المناسبة اللازم إتخاذها (كمنع حركة مرور معينة على الشبكة، أو غلق بعض الخدمات)، (الملحق ب يحتوي على أمثلة لهذه الهجمات).

٣-١ يجب على البنرك إعداد سجل بالأحداث العارضة المربّطة بخمات الإنترنت البنكي والقاصيل الخاصة بها بالإضافة إلى إعداد تقرير دوري العرض على الإدارة العليا لإتخاذ الإجراءات المذاسبة لتلاقى تكرار ها.

٣-٤ يترلي مسئول الإلتزام بالبنك مسئرلية التأكد من إيلاخ البنك المركزي المصري بصورة صحيحة وفي الوقت المناسب، بكافة الحالات الو ار دة أنناه: = أي هجمات إمتيال لتسريب أو إفتاء هرية العميل أو وثلق إعصاد الشخصية (كالإختيال Phishing، وملفات التجسس (حصان طروادة Trojans)، و البر مجيات الخبيثة Malware، إلّخ).

• الدخول غير المصر ح به إلى أنظمة تكنولوجيا المعلومات بالبنك لتسريب بيانات العميل المتحقة بخدمات الإنترنت البنكى.

= أي عملية تخريبية للبيانات المتعلقة بانظمة خدمات الإنترنت البنكى والتى لا يمكن استرجاعها.

= الإيقاف الثلم المتعمد أو العارض لخدمات الإلكرنت البنكي لفترة تزيد عن الفقرة المحددة كهنف لوقت الإسترجاع RTO المحدد من قبل البنك.

= أي حالة من حالات الإحتيال الداخلى ذات الصلة بخدمات الإنترنت البنكى.

على أن يتم إر سال هذه التقارير إلى البنك المركزي عن طريق إحدى قنوات الإتصال التالية: ارسالها بالفاكس للى رقم : ٢٥٩٧٦.٥٧ أو ٢٥٩٧٦٠٤٧ عناية قطاع الرقابة والإشراف - إدارة الرقابة المكتبية، أو cbe.infosec@cbe.org.eg إرسالها بالبريد الالكتروني على العنوان التالي = عدد وقرع هجمات الِكترونية، ومكن أن يوخذ فى الإعتبار من ضمن التدابير التى يتبناها للبنك التواصل مع فريق النتخل السريع 0-9-۳ لمكافحة الجرائم الإلكترونية EGYPTIAN-CERT التابع لوزارة الإتصالات.

٣–١٠ إعتبارات الأداء وضمان إستمرارية العمل ٣-١٠-١ يجب على البنوك توفير خمات الإثقرنت البلكى على مدار الساعة، مع ضمان أداء الخدمة للعملاء بالسرعة المذاسية طبقا لما تم نكره فى الأحكام والشروط الخاصة بالخدمة مع أخذ توقعات العملاء بعين الاعتبار.

ال- ١٣-١ يجب على البنرك وضع معايير القنيم ومتابعة مستوى أداء تقديم خدمات الإثرات البنكى. كما يجب إتخاذ التدابير اللازمة للتأكد من قدرة نظم خملت الإثنرنت البلكي والنظم الداخلية الخاصة بتقديم الخدمة على التعامل مع حجم العمليات المترقعة واللمو المستقبلي لهذا النوع من الخدمات.

البَـَـَـَـَـَـَـَـَـَـَـَـَـِـَــَ

٣-١٠-١٠ يجب أن تأخذ البنوك في إعتبارها التخطيط لضمان إستمرارية العمل عند تطويرها لخدمات الإنترنت البنكي، على أن يتم أيضا مراعاة الممارسات التالية:

• في حال حموث عطل في الخمة، يجب أن تحقوي خطة ابسترارية العمل على خطوات محددة لكيفية إستئناف أو البترجاع خدمات الإثنرنت البنكى، تحدد هذه الخطوات بناء على أهداف وقت ونقطة الإسترجاع RPO & RPO المحددين مسيقا.

• يجب ان تصتع خطة إستر ارية العمل الخاصة يخممات الإنترنت البنكي بالقرة على التعامل مع أى من الحالات التي يتم فيها الإسناد لأطر اف خارجية لتقديم الخدمة (كمتعهدين لتقديم خدمات الإنترنت البنكى).

٤ - أمن العملاء وضوابط ليعض المخاطر الأخرى

١-٤ عقد تقديم الخدمة / نموذج طلب الخدمة يجب على البنوك أن تحدد بدَة كالة الحقوق والإلتزامات بينها وبين عملائها ضمن عقد تقديم خنمات الإنترنت البنكي، ويجب إستفاء العقد للمتطلبات التالية: · تم صياغة المقد بصورة واضحة ومحددة بحيث يسهل قهمه باللسبة لأى عميل مع تجنب لستخدام الكلمات والعبارات التى تحمل أكثر من معنى.

• يوضح إلتزامات كل من البنك والعميل فى حالة الإخلال باى من شروط التعاقد.

• يحتوي العقد على بنود محددة واضحة والتي من الممكن أن تتضمن ما يلى كحد أننى: التأكيد على أوقات توفير الخدمة طبقا لتقييم البنك لهنت وقت الإسترجاع RTO الوارد في خطة لستمرارية الأعمال، وينبخي اخطار العملاء فى حالة إنقطاع الخدمة لعمل صيانة محددة مسيقا.

توضيح مستوى خصوصية بيانات العملاء ومدى إتاحتها للقير داخل البنك أو خارج البنك بما يتواقق مع التطبيمات للرقابية l الصادرة من البنك المركزى المصرى أو القوانين المنظمة لذلك.

توضيح الألية والخطوات المتبعة والوقت المتوقع للبت في شكاوى أو نزاعات العملاء.

توضيح بشكل مقصل الخطوات الواجب على العميل إتباعها لتقعيل الخمة فى حالة الإشتراك لأول مرة أو فى حالة وقف الخدمة أو إعادة تشغيلها.

التأكيد على إلتزام العميل بقراءة التحذيرات والإخطارات التنبيهات الأمنية أو تتبيهات محاولات الإهترال /

الهنسة الإجتماعية Social Engineering، إلخ) والتكيد أيضًا على أن قبول العميل من خلال الإنترنت البنكي لأى تغيير في الشروط والأحكام الذى سيظهر من خلال النظام الِكترونيا يعتبر التزاما قانونيا.

التككيد بوضوح على أن القوانين المصرية ذات الصلة ولوائحها التقليفية والتطومات والقواعد الرقابية هي التي تحكم الخدمات l التى يقوم البنك بتقديمها للعملاء عبر شبكة الانترنت.

فى حلّة إعضاد البنك على التوقيع الإلكثروني كوسيلة مصادقة ووجود ابتّقاق مع العميل كتابة على إستخدام هذه الوسيلة فإن .

خدمات الإثنرنت البنكى فى هذه الحالة تخضم لأحكام القانون رقم "١٠" لسنة ٢٠٠٤ و لاتحته التقيينية والقرار ات المنقذة له.

رصد الأنشطة غير العلاية 4-6

يتوين على البنوك وضع تدابير فعالة للرقابة المستمرة لضمان سرعة إكشاف أي معاملات غير عادية عبر الإنترنت البنكى وتشبه أن 1-4-2 تودى إلى عمليات غير مشروعة. وعلى وجه الخصوص، ينبغي أن تكون تلك التدابير قادرة على إكتشاف حالات مثل: حتوب العديد من عمليات تحريل أموال عبر الإنترنت البنكى إلى حساب مستقد آخر خلال فقرة زمنية وجيزة، وخاصة إذا كانت المبائغ المحولة تقرب من الحد الأقصى المسموح به. وكذلك الزيادة فى الحد المسموح به لتحويل الأموال أو الزيادة المغاجئة فى الأموال المحولة لحسابات مستقيدين أخرين.

تقيير علوان مراسلات العميل، يتبعه بفترة وجيزة انتقطة قد تكل على وجود عمليات غير مشروعة محتملة مالّ طلّب ارسال بعض الوثائق الهامة (على سبيل المثال، طلب دفتر شيكات أو الرقم السري الخلص ببطاقات الإنتمان أو ذلك الخاص ببطاقة الصراف الألى) على العنوان الجديد.

سلوك غير معاد على الجهاز الذى يستخمه العميل للنخول إلى خمات الإنترنت البنكى (مال تغيير مصدر الموقع الجغرافي II الخاص بيروتوكول الإنترنت Geo-location Source of Internet Protocol).

1=1 يوب أن تتقتع الية الرقابة المتبعة بالقرة على سرعة إصدار تحذير ات إلى المختصين بالمتابعة والرصد لخمات الإثنرنت البنكى، عند حدوث أو تحويل أمرال محل شبهة، وكذلك أي أنشطة غير معتادة عبر الإنترنت البلكي. ويجب على البنوك في تلك الحالات أن تقوم باتحقق من ذلك مع أصحاب هذه الحسابات التى تتم عليها هذه المعملات أو الانشطة فى أسرع وقت ممكن واخطار الجهات المختصة.

٤-٢ ابخطار العملاء فورا فى حالة رصد أي انشطة غير معتادة على حساباتهم.

٤-٢ الضوابط الوقائية الخاصة برسائل البريد الالكتروني و المواقع الإلكترونية المزيفة

يمكن للبنوك لدارة المخطر المرتبطة بحالات الإهتيان الخلصة برسائل البريد الإلكتروني والمواقع الإلكترونية التى تم تصميمها لإستدراج عملائهم للكشف عن بياناتهم مل رقم الحساب أو كلمة السر الخاصة بخدمات الإنترنت البنكى، بإتخاذ الإجراءات التالية: £ £ - التأكيد على العملاء وتوعيتهم أن موظفي البنك - أو وكلاره = لا يجوز لهم أن يطلبوا من العميل الإلصاح عن البيانات السرية (كالارقام التعريفية أو كلمات السر) عن طريق البريد الإلكتروني أو غيره. وفي حالة وقوع ذلك يجب على العميل الإتصال بالبنك فى أسرع وقت ممكن.

1-1 ترعية عملاء خمات الإنترنت البنكي بالطرق التي يمكنهم من خلالها التأكد من صحة الموقع الرسمي للبنك، فعلى سيول المئان: يمكن القيام بالضغط على رمز القل أو علامة المفتاح الكائنة بأسفل المتصفح لديهم التأكد من تقاصيل شهادة التصديق الرقمية لموقع معاملات الإثنرنت البنكى، أو الدخول على الموقع الإلكترونى للبنك من خلال خاصية الإثنارات المرجعية الخاصة بمتصفح الريب Bookmarks وتلك بعد تأكدهم - باشكل للكافي– من مصداقية الموقع المشار باليه وينيفي التتبيه على العملاء بعدم الدخرل إلى موقع البنك الخاص بخدمات الإلترنت البنكي من خلال روابط التحويل غير المباشرة Hyperlinks الواردة في البريد الإلكترونيء إلا إذا تم التحقق من أنه الموقع الحقيقي، كالتأكد مثلاً من صلاحية شهادة التصديق الرقمية للموقم.

1-1 اللبحث بصنعة دورية فى الإنترنت عن أي مواقع إلكترونية لأطراف أخرى تحمل أسماء نطاق Domain Names وعلارين مشابهة يمكن الخلط بينها وبين الموقم الخاص بالبنك، أو موقع أشأت روابط فرعية لموقع البنك لأغراض مشبوهة، وينيغى على البنك أن ينظر أني حجب الوصول إلى مرقم البنك من خلال تلك المواقع (من خلال جذار الحملية Firewall أو جهاز التوجيه Router) مع ابتخاذ الإجراءات اللازمة بشأن استخدام أسماء النطاق للتّك المواقع. كما يمكن للبنك النظر في تبنى مبلارة لتسجيل أى أسماء نطاق مشابهة لإسم النطاق الرسمي للبنك أو تؤدى إلى حدوث اللبس لدى العملاء.

1-1 يوب على البنوك إجراء البحث عن تطبيقات اليهوكف الموجودة لموجودة فى متاجر ومواقع توزيع التطبيقات، ونكه من لجل الحد من مخاطر البرمجيات الخينة Malware التى تستخم الحصول على بيانات العميل الخاصة بالدخول على خمات الإنترنت البنكي.

٤-٤ توعية العميل

1-2-1 نظرا لأن الأجهزة للتى يستخدمها العملاء للدخول على خمات الإنترنت البكتى تقع خارج نطلق سيطرة البنك، فإن إحتمال ظهور مخاطر أمنية تزداد فى حالة عدم معرفة العميل بالإحتياطات الأمنية الضرورية لإستخدام الخدمة أو سرء فهمها ولذلك، يجب على البنك أن يولى إهتماما خاصاً لتوعية العملاء عن طريق تقديم نصائح سهلة القهم وواضحة تتعلق بالإحتياطات الأمنية الولجب اتخاذها عند التعامل مع خدمات الإنترنت البنكي والتزامهم حيال ذلك.

1-1 تختلف اللصائح الخاصة بالإختياطات الأمنية الواجب إتباعها وققا لطبيعة العملاء، وطيعة خدمات الإثنرنت للبنكي المقدمة، و تشمل النصائح ما يلى كحد أننى: t == 1 إنتيّار وحماية كلمات الس الخاصة بخدمات الإثقرت البنكى (رأيضا اليم المستخدم في حلقة السماح للميل بإختيار م). على سيل المثار، يجب على البقرك أن تتصح العملاء بعدم بختيار كلمات سر تتضمن معلومات ملل تاريخ الميلاد أو رقم الهاتف أو جزء من إسم العميل يسهل التعرف عليها.

1-6-1 الصملية ضد تقرات الهندسة الإجتماعية Social Engineering Techniques هيث يجب توعية العملاء بضرورة عدم الأقصاح عن اي معلومات شخصية (كبطاقة الهوية أو جواز السفر أو العذاوين او ارقم حسابات البنك الخاصة بهم) لأي شخص لم يتكك من هريته أو موقع إلكترونية موضم شك. كما يجب التكيد على العملاء بعتم الإقصاح عن كلمات السر لأى شخص بما فى ذلك موظفى البنك أو وكلانه.

1-2-1- يوب تتكير العملاء بضرورة عمم التخول على خمات الإنترنت البنكى من خلال لجهزة الكمبيرتز العامة أو المشتركة (كمقاهى الانترنت أو المكتبات العامة).

1-1-1 إتباع الإحتياطات التي تحمي العملاء من حدوث اللبس أو الإنتخاع بالرسائل أو اللهواقع الإلكترونية الإعتيالية كما هو موضح في البند ١-٣٠٠.

1-1-1-0 توجيه التصح للعملاء بضرورة التاكك من أن الأجهزة الخاصة بهم تم إعدادها بشكل آمن وتزويدها ببرامج وأدوات الحملية الحزمة ضد الفيروسات والبرامج الخبيقة، وذلك كحد أدنى لإستفاء المتطلبات المحددة من قبل البنك، مثل تثبيت برنامج جدار حماية وتحديث بر امج مكافحة الفيروسات بصفة دورية.

1- 1- 1 يجب على البنوك مراجعة القصائح والإرشاذات الخاصة بالإحتياطات التأمينية التى يتم تقديمها للعملاء للتأكد من كفليتها وملائمتها للتغير ات التى تستجد على البيئة التكنولوجية وخمات الإنترنت البنكى.

٤-٤-٤ ﻹﻳﻼﻍ ﺍﻟﻌﻤﻼﺀ ﻭﺗﻮﻋﻴﺘﻬﻢ ﺑﺎﻹﺣﺘﻴﺎﻃﺎﺕ ﺍﻟﺘﺄﻣﻴﻨﻴﺔ ﺍﻟﺘﻲ ﻳﺠﺐ ﺇﺗﺨﺬﻫﺎ ﻣﻦ ﺟﺎﺗﺒﻬﻢ. ﻭﻳﻤﻜﻦ ﻟﻠﺒﻨﻚ ﺍﻹﺳﻘﺎﺩﺓ ﻣﻦ ﺍﻟﻌﺪﻳﺪ ﻣﻦ ﺍﻷﺳﺎﻟﻴﺐ (كالمواقع الإلكترونية للبنك، والرسائل المطبوعة على كشوف حسابات العملاء، والمنشورات الترويجية، وكذلك في الأحوال التي يتواصل فيها عادة موظفي المكاتب الأمامية للبنك مع العملاء) للتأكيد على ضرورة الإلتزام ببعض التدابير الإختياطية الأساسية.

ه - إجراءات الحصول على ترخيص لتقديم الخدمة

0-1 يجب على الينوك التى ترغب فى تقدم خمات الإنترنت البنكى لعملاتها أو البنرك التى حصلت على ترخيص بعد إصدار القواعا وترد أن تضيف وظائف جديدة أن تقدم بطلب للحصول على مواققة البنك المركزي المصري وذلك بإستيفاء المستدات التالية كحد ادنی: قائمة بالوظائف والخدمات التى يرغب البنك فى تقديمها أو إضافتها.

• بيان يوضح أي حالة من حالات عمر الإلتزام الجزئى أو الكلى بالقواعد الخاصة بتقدم الخمات المصرفية عبر الإنترنت الصادرة من البنك المركزي المصري.

تقرير إغتبارات الإختراق Penetration Test Report الذى تم على بيئة التشغيل القعلية قبل إطلاق الخمة، على أن يكون قد ■ تم اجرائزه وفقا للبند ٣-٨-٨ وفى فقرة لا تتجاوز ثلاثة أشهر سابقة لتاريخ إرسال طلب البنك. نِمَكن تكجيل تقديم هذا التقرير إلى ما بعد الحصول على مواققة البنك المركزى المصرى الميدئية مع التزام البنك بعدم إطلاق الخدمة إلا بعد إرسال التقرير إلى البنك المركزى المصرى وتصريحه للبنك بتفعيل الخدمة.

٣٠ يجب على البنوك السابق حصولها على ترخيص بمزاولة تقدم خمات الإنترنت البنكي قبل إصدار تلك القواعد أن تقوم بتوفق أوضاعها والإلتزام بما يلى: = تقديم المستندات المذكور ة في اليند 0-1.

• تقديم خطة توفيق الأوضاع طبقا لجنول زمنى محد ونلك فيما يتغلق بالقجوات بين الوضع الحالى بالبنك والمعايير والضرابط الصادرة من البنك المركزي المصري وذلك خلال فترة أقصاها ثلاثة أشهر من تاريخ إصدار هذه القواعد.

= تلترم البنوك بتوفيق أوضاعها مع القواعد الصادرة من البنك المركزي المصري وننك خلال قترة سماح لا تزيد عن ١٢ شهرا من تاريخ تقديم خطة توفيق الأوضاع.

• عم توفيق البنك للأوضاع خلال الفقرة الزمنية المحددة قد يودي إلى إلغاء رخصة تقديم الخمات المصرفية عبر الإنترنت الممنوحة للبنك مسيقا.

ملحق (أ): الممارسات السليمة لإعداد البنبة التحتبة للانتر نت Annex A: Sound practices for the establishment of internet infrastructure

Writing Conventions

Throughout this appndix, statements are written using words such as "shall" and "should." The following paragraphs are intended to clarify how these statements are to be interpreted.

A reference that uses "shall," indicate mandatory compliance.

A reference to "should" indicates a recommendation that further enhances the security posture of the Bank.

A1. Background

This annex provides Banks with sound practices for the establishment of their internet infrastructure, including the design and configuration of servers in the DMZ, firewalls (i.e WAF, NGFW, or State-full FWs .. etc) and routers, and the use of IDS/IPSs. It should be stressed that this annex is not intended to be exhaustive. Banks shall also make reference to the industry sound practices and put in place internet infrastructure which is commensurate with the risks associated with their Internet banking services. Banks may find it useful to refer to other references on security of internet infrastructure like SANS (System Administration, Networking and Security) Institute (www.sans.org), the Computer Emergency Response Team (www.cert.org), and National Institute of Standards and Technology (www.nist.gov).

A2. Servers In Dmz

The internet infrastructure or DMZ normally houses various kinds of servers, including the application servers, web servers, the DNS server and the mail server. Depending on the types of implementation, some servers may handle the front-end processing of the internet-based Internet banking system, such as validation of data entered by customers or responding to customers. Given the exposure of these servers to attacks from any user via the internet, confidential data shall not be stored in these servers.

A3.

A3.1

Firewalls And Routers

Firewalls and routers shall be appropriately chosen, configured and installed. There shall be "external firewall(s)" to control the traffic between the internet and the servers housed in the DMZ so that only acceptable communication methods for connecting to these servers would be allowed as attackers may exploit certain communication methods to pose threats to these servers. Sensitive or system information shall not be unveiled when the firewalls respond to malicious network traffic from the internet.

A3.2 In ensuring that only the allowed types of traffic can pass through from the servers in the DMZ to the Bank's trusted internal networks; Banks shall ideally install another tier of "internal firewall(s)" to control the traffic between the servers in the DMZ and the bank's trusted internal networks. In addition, if two or more tiers of firewalls are used, Banks may consider using firewalls of different types/brands to prevent similar security vulnerabilities from being exploited in different firewalls.

A3.3 The effectiveness of firewalls and routers as a security tool is heavily dependent upon how the firewalls or routers are configured and the policies in place in respect of their configuration and maintenance. It is important that banks shall formulate and document formal policies for the configuration, monitoring and maintenance of their firewalls and routers, so that all changes to the configuration are properly controlled, tested and tracked.

A3.4 Banks shall perform frequent reviews and timely updates of the firewall and router configurations to enhance protection from newly identified vulnerabilities and system weaknesses. Given the complexity involved in this process, it is important for banks to carefully select reputable vendors who are able to keep abreast of the latest improvements needed in the firewalls and routers to protect from the latest attack techniques.

A3.5 Any direct dial-up connections or other network connections with third-parties bypassing the firewalls shall be generally prohibited. If a dial-up connection is necessary for a specific task, this connection shall be properly approved, monitored and removed immediately after completion of the task.

A3.6 Network traffic for firewall administration shall be confined within a system administration segment of bank's internal networks, which is separated from the network segment connected to the production systems, so that the production network and systems would not be affected by the firewall administration activities.

A4. Additional Security Measures

A4.1 Any unused programs and computer processes of the servers, firewalls and routers shall be deactivated or removed. Banks shall establish accountability for the timely review, testing and application of appropriate patches to servers, firewalls and routers. Moreover, anti-virus software shall be installed and updated on servers as necessary. Only the minimum number of user accounts that are necessary for the operation of the routers, firewalls and servers shall be maintained.

A4.2 The programs and other information kept in the servers, firewalls and routers shall be updated only by strongly authenticated user accounts or authorized computer processes. They shall also be subject to strict change control procedures. Banks should use appropriate scanning tools to identify any potential security issues of the operating environment on a regular basis. Periodic integrity checks on the programs and static data (e.g. configuration) kept in servers and firewalls should be conducted to validate that they have not been altered.

A4.3 A4.4

A5.

A5.1 A5.2 A5.3 A5.4 A5.5 Redundancies shall be built into the critical components of the internet infrastructure to avoid any single points of failure which can bring down the entire network and infrastructure.

Use Of Intrusion Detection And Prevention Systems

Banks shall identify cautiously the information necessary to detect an intrusion in the internet infrastructure. This information facilitates banks to determine what audit logs of the servers, firewalls and routers shall be enabled and, if necessary, what other data (e.g. system resources utilization, network traffic) shall be monitored.

Appropriate controls shall be in place to protect and backup the audit logs, and to ensure that the clocks of the systems generating the logs are synchronized with NTP Servers (Preferably GPS Network Time Server). Audit logs should generally be reviewed on a daily basis, banks may Implement a SIEM Security information and event management solution to collect, correlate and analyze the audit/activity logs from the internet infrastructure to recognize any offense activity.

In selecting IDS/IPS products, banks shall consider whether the products can provide the information required for detecting potential intrusion including inspection of encrypted traffic and whether the vendors are able to offer timely updates of attack signatures (i.e. predefined patterns of activities for detection of possible intrusion), also have a bypass capability in case of its failure.

Banks should use Host-based IDS to detect probable intrusion of a host (e.g. web server) by identifying unauthorized activities recorded in audit logs or alteration of its configuration or other important files.

IDS/IPSs shall be tested and their attack signatures and alert settings shall be fine-tuned periodically to improve their effectiveness while reducing false alarms. A process shall be in place to ensure that the relevant support staff should respond to important alerts generated by IDS/IPSs on 24 hours by 7 days basis.

All access to the servers, firewalls and routers using privileged or emergency accounts (e.g. system administrator or "super user") shall be tightly controlled, recorded and monitored (e.g. peer reviews). For example, logins from these accounts shall be restricted only from physically secure terminals or, if servers, firewalls and routers are administrated remotely, strong authentication and encryption of system information shall be in place to protect them from unauthorized access.

ملحق (ب); أمثلة عن الهجمات الإلكترونية و التغرات الأكثر شيوعا Annex B: Example of Most Common Attacks & Vulnerabilities B.1 Distributed Denial of Service (DDoS) B1.1 The normal amount of network bandwidth and system capacity sizing of even a large commercial organization is unlikely to withstand a sustained DDoS offensive by a sizeable botnet or a group of botnets. The immense quantity of computing resources amassed by botnets to unleash an attack would rapidly deplete the network bandwidth and processing resources of a targeted system, inevitably inflicting massive service disruption.

B1.2 The bank providing internet banking services shall be responsive to unusual network traffic conditions.

volatile system performance or a sudden surge in system resource utilization as these may be symptomatic of a DDoS attack. The success of any pre-emptive and reactive actions the bank may take hinges on the deployment of appropriate tools to effectively detect, monitor and analyze anomalies in networks and systems.

B1.3 The bank cannot defend itself from DDoS attacks alone. An effective countermeasure would often rely on the ISPs to dampen an attack in upstream networks.

B1.4 The bank should determine the following considerations when selecting the ISP: B1.4.1Whether an ISP offers DDoS protection or clean pipe services to assist in detecting and deflecting malicious traffic.

B1.4.2 The ability of the ISP to scale up network bandwidth on demand. B1.4.3 The adequacy of an ISP's incident response plan.

B1.4.4 The ISP's capability and readiness in responding quickly to an attack.

B1.5 The bank should include a plan detailing the immediate steps to be taken to counter an attack, invoke escalation procedures, activate service continuity arrangements, trigger customer alerts, and report any such attack to The Egyptian Computer Emergency Response Team (EG-CERT), and inform the Central Bank of Egypt & sharing the information with other banks to help identifying and mitigating new threats and tactics.

B1.6 Defending against DDoS attack includes ensuring that the bank itself is not the source of attacks and its networks do not forward attacks.

B.2 Heartbleed Web Vulnerability

B2.1 The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library.

This weakness can allow an attacker - unfortunately without any traces - to steal information that is normally protected by the SSL/TLS encryption used to secure communications on the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).

B2.1.1 The Heartbleed bug allows anyone on the Internet to read up to 64K of memory on systems using the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users.

B2.1.2 To remediate this bug, the bank shall install patches/hotfixes on the affected systems, and regenerate private keys and upgrading SSL certificates.

الْبَحْنَكَ الْمَيْرَكْ الْمُيْرَكْ

ملحق (ج): التعريقات

مستوى المخاطر دون الأخذ فى الإعتبار أى من الضوابط الرقابية أو إجراءات المعالجة المنفدة من قبل البنك وتكون من	المخاطر المتاصلة
عنصرين: التأثير واحتمالية الحدوث.	Inherent Risk
هي المخاطر التي قد يتعرض لها البنك بعد تتفيذه لضوابط أو إجر اوات تعويضيه خاصه بالمخاطر المتأصلة.	المخاطر المتبقية
	Residual Risk
حجب الخدمة.	Deinal of Service(DoS)
الأساليب و الأجر اءات و العمليات المستخدمة لتنقيق الهوية و الصلاحية للعملاء الجند و الحاليين.	التصنيق
	Authenticaion
كافة البنوك العاملة فى جمهورية مصر العربية.	الينو ك
	Banks
هي كلمة السر المستخدمة والصنالحة لأغراض التصديق لمرة واحدة قطط للدخول على النظام أو لقرة زمنية محددة (مُثال:	كلمات السر المستخدمة لمرة واحدة
نحو	One-Time Password
إعداد وتقوّق خطط لوجستية لكيفية تعاقى البنك وإستعادة الوظائف الحيوية التى تم إعتراضتها بصورة جزئية أو كلية	خطة إستمر اربية العمل
(العاجلة) وذلك خلال فترة زمنية محددة مسبقاً بعد الكوار ث أو استمرار تعطل الخمة. ويطلق على هذه الخطة اللوجستية	Business Continuity Plan
خطة استمر ارية العمل.
الجهة المسؤولة عن إصدار شهادات التصنيق الرقمية للإستخدام من قبل الجهات الأخرى.	هيئة الشهادات
	Certificate Authority(CA)
وثيّة أبكثر ونية تستخدم التوقيع الرقمى للربط بين المفتاح الشغرى العام بالهوية وذلك من خلال معلومات مثّل اسم الشخص	شهادات التصنيق الرقمية
او الجهة والعنوان، الخ	Digital Certificate
تشير إلى تطلق إدارة البيانات وذلك في إطار أمن الحاسبات الآلية و هي الشبكة الغر عبة اللوجسته أو الملادية التى تحتوى	نطاق التحكم الأمن
على الخمات الخارجية للموسسة وتقلها إلى شبكة أكبر وغير مؤمنة وعادة ما يتصد بهذا النطاق الخدمات البنكية عبر	Demilitarized Zone (DMZ)
الإنترنت. ويهيف هذا انتطاق إلى إضافة مستوى أمنى إضافي للقبكة الداخلية ويقصر نقاذ المهاجم الخارجى على
الأجهزة الخاصة بهذا النطاق بدلا من الشبكة بالكامل.
يتكون رقم التعريف الشخصى من مجموعة من الأرقام السرية التى تستخدم للتصديق على دخول المستخدم على النظام.	الرقم السري
ويصفة اساسية، وطلب من المستخدم إذخال معلومة غير سرية كاسم العمل ومعلومة سرية وهى الرقم السري للدخول على	Personal Identification
التظم. وفور استلام إسم المستخدم والرقم السري، يقارن النظام الرقم السري بابم المستختم بالإضافة إلى مقارنة الرقم	Number(PIN)
السرري الصائر بالمنجل. وعندئ يتم منح المستخدم صلاحية اللقاذ عند مطابقة الأرقام التى تم إيخالها مع تلك المسجلة
على النظام
العملية المستمر ة لتحديد وقياس ومر اقبة وإدار ة التعرضات للمخاطر المحتملة.	إدارة المخاطر
	Risk Management
مستوى المخاطر التي يمكن للبنك تحملها لتحقيق أهداف الأعمال.	القدرة على تحمل المخاطر
	Risk Appetite
الخطة اللازمة لتنفيذ إجراءات المعالجة لتهديد أو عدد من التهديدات الذى يواجه نظام الموسسة, وتتضمن الخطة بصفة	خطة المعالجة
أساسية عدد من الخيار ات المطلوبة لإز الة هذه التهديدات والأولويات الخاصة بخطة المعالجة.	Remediation Plan
إتقاقية مستوى الخمة (يشار إليها اختصار أ SLA) هي جزء من عقد الخمة والتى يتم من خلالها تحديد مستوى الخدمة	إتفاقية مستوى الخدمة
بصنفة رسمية. وبصورة عملية، يشير هذا المصطلح عادة إلى الزمن اللازم التقيذ طبقاً للعقد أو أداء المقد.	Service Level Agrement
تقديم و تتفيذ المعاملات/الطلبات دو ن تدخل يدو ي	تقيد العمليات المداشر STP)
التدخل اليدوى فى تنفيذ المعاملات/ الطلبات.	المكتب الحافى
	Back Office
يحث المسحم الخاص بالتغرات في النظام والتقارير ويكشف التعرضات المحتملة. ويغطى النطاق بصورة أساسية كافة	تقييم التعرض للهجمات
البنى التحتية فى بينة البنوك العاملة.	Vulnerability Assessment
الإختبار اليدوي المصمم لإستغلال نقاط الضعف فى هيكل النظام او بيتة الحاسب الألى.	اختبار الإختراق
	Penetration Testing

طبع بمطابع البنك المركزى المصرى www.cbe.org.eg