Outsourcing Regulation for Banks

نظــام التعهــــيد للبنـــوك Outsourcing Regulation for Banks

P a g e 1 صفحة المحتويـــــات CONTENTS الصفحة Page Subject Introduction 2 Objective 2 Scope and Application 3 Article (1) Definitions 3 )1( المادة 5 )2( المادة Governance and Risk Management Article (2) Article (3) Outsourcing Register 7 )3( المادة Article (4) Data Protection 7 )4( المادة Article (5) Outsourcing Agreements 8 )5( المادة Article (6) Outsourcing outside the UAE 9 )6( المادة Article (7) Internal Audit and Compliance 11 )7( المادة 12 )8( المادة Non-objection by the Central Bank Article (8) Article (9) Reporting Requirements 12 )9( المادة Article (10) Islamic Banking 13 )10( المادة Article (11) Enforcement 13 )11( المادة Article (12) Interpretation of Regulation 14 )12( المادة Article (13) Publication and Application 14 )13( المادة

P a g e 2 صفحة OUTSOURCING REGULATION FOR BANKS للبنــوك التعهـــيد نظــام Circular No.: 14/2021 2021/14 Date: 31/5/2021 2021/5/31 To: All Banks الموضوع: التعهيد Outsourcing :Subject INTRODUCTION The Central Bank seeks to promote the effective and efficient development and functioning of the banking system. To this end, any Outsourcing arrangements entered into by a Bank must be subject to appropriate due diligence, approval and ongoing monitoring, in order to identify and mitigate risks inherent in Outsourcing. In introducing this Regulation and the accompanying Standards, the Central Bank wishes to ensure that Banks’ approaches to managing the risks inherent in Outsourcing arrangements are in line with leading international and prudent practices. This Regulation and the accompanying Standards are issued pursuant to the powers vested in the Central Bank under the Central Bank Law. Where this Regulation, or the accompanying Standards, include a requirement to provide information or to take certain measures, or to address certain items listed at a minimum, the Central Bank may impose requirements which are additional to the listing provided in the relevant article. OBJECTIVE The objective of this Regulation is to establish the minimum acceptable standards for Banks’ approach to managing the risks related to Outsourcing arrangements with a view to:

1. Ensuring the soundness of Banks; and .1
2. Contributing to financial stability. .2 The accompanying Standards supplement the Regulation to elaborate on the supervisory expectations of the Central Bank with respect to Outsourcing arrangements.

P a g e 3 صفحة ومن المبادئ التي يرتكز عليها هذا النظام، يجب على البنك التحقق من أن ترتيبات التعهيد ال تقلل من قدرته على الوفاء بالتزاماته تجاه العمالء وتجاه المصرف المركزي، وال تعيق الرقابة الفعالة من قبل المصرف المركزي. المــادة )1(: تعريفـــات As one of the principles underpinning this Regulation, a Bank must ensure that its Outsourcing arrangements, neither diminish its ability to fulfill its obligations to customers and the Central Bank, nor impede effective supervision by the Central Bank. SCOPE AND APPLICATION This Regulation and the accompanying Standards apply to all Banks operating in the UAE. Banks established in the UAE with Group relationships, including Subsidiaries, Affiliates, or international branches, must ensure that the Regulation and the Standards are adhered to on a solo and Group-wide basis. This Regulation and Standards must be read in conjunction with the Risk Management Regulation and Standards which establish the requirements for Banks’ overarching approach to risk management, and the Central Bank’s Operational Risk Management Regulation and Standards, which establish a number of requirements particularly relevant to Outsourcing, including business continuity planning and disaster recovery. ARTICLE (1): DEFINITIONS Affiliate: an entity that, directly or indirectly, 1-1 controls, is controlled by, or is under common control with another entity. The term control as used herein shall mean the holding, directly or indirectly, of voting rights in another entity, or of the power to direct, or cause the direction of the management of another entity. 1.1 2-1 البنك: أي شخص اعتبــاري مرخص له وفقاً ألحكام قانون المصرف المـركزي بممارسة نشاط تلقي الودائع، بشكل رئيسي، وأي من األنشطة المالية المرخصة األخرى. Bank: any juridical person licensed in accordance with the provisions of the Central Bank Law, to primarily carry on the activity of taking deposits and any other Licensed Financial Activities. 1.2 1.3 Board: The Bank’s board of directors. .البنك إدارة مجلس :اإلدارة مجلس 3-1 4-1 المصرف المركزي: مصرف اإلمارات العربية المتحدة المركزي. Central Bank: The Central Bank of the United Arab Emirates. 1.4 5-1 قانون المصرف المركزي: المرسوم بقانون اتحادي رقم )14( لسنة 2018 في شأن المصرف المركزي وتنظيم المنشآت واألنشطة المالية وتعديالته. Central Bank Law: Decretal Federal Law No. (14) of 2018 regarding the Central Bank & Organization of Financial Institutions and Activities and its amendments. 1.5

P a g e 4 صفحة :ة ا 6-1 Confidential Data: Account or other data ّالسري لبيانات relating to a Bank customer, who is or can be identified, either from the confidential data, or from the confidential data in conjunction with other information that is in, or is likely to come into, the possession of a person or organization that is granted access to the confidential data. 1.6 Group: a group of entities which includes an 7-1 entity (the 'first entity') and: 1.7 1.7.1 any Parent of the first entity; 1-7-1 any Subsidiary of the first entity or of 2-7-1 any Parent of the first entity; and 1.7.2 1.7.3 any Affiliate. 3-7-1 8-1 نظام السجالت الرئيس: تجميع كل البيانات، بما في ذلك البيانات السرية، المطلوبة إلجراء جميع األنشطة األساســية للبنك، بما في ذلك تقديم الخدمات للعمالء وإدارة جمــيع المخاطر، واالمتثال لكافـــة المتطلبات القانونية والرقابية. Master System of Record: the collection of all data, including Confidential Data, required to conduct all core activities of a Bank, including the provision of services to clients, managing all risks, and complying with all legal and regulatory requirements. 1.8 9-1 نشـاط أعمـال جوهري: نشاط من أنشطة البنك يحتمل أن يكـون له تأثير كبير على عمليات أعمال البنك، أو قدرتــه على إدارة المخاطر على نحو فعّال في حــال تعطله. Material Business Activity: An activity of the Bank that has the potential, if disrupted, to have a significant impact on the Bank’s business operations or its ability to manage risks effectively. 1.9 Outsourcing: An agreement with another 10-1 party either within or outside the UAE, including a party related to the Bank, to perform on a continuing basis an activity which currently is, or could be, undertaken by the Bank itself. 1.10 1.11 Parent: an entity (the 'first entity') which: 11-1 holds a majority of the voting rights 1-11-1 in another entity (the 'second entity'); 1.11.1 is a shareholder of the second entity 2-11-1 and has the right to appoint or remove a majority of the board of directors or managers of the second entity; or 1.11.2 is a shareholder of the second entity 3-11-1 and controls alone, pursuant to an agreement with other shareholders, a majority of the voting rights in the second entity. 1.11.3

P a g e 5 صفحة أو؛ ;Or if the second entity is a subsidiary of 4-11-1 another entity which is itself a subsidiary of the first entity. 1.11.4 12-1 الشخص: أي شخص طبيعي أو اعتباري. .person juridical or natural :Person 1.12 13-1 النظـام: أي قرار، أو نظام، أو تعميم، أو قاعدة أو معيار أو إشعار صدر عن المصرف المركزي. Regulation: Any resolution, regulation, circular, rule, standard or notice issued by the Central Bank. 1.13 Risk Governance Framework: the risk 14-1 governance framework as defined under the Risk Management Regulation and Standards. 1.14 ّ معر في نظام 15-1 اإلدارة العليا: اإلدارة العليا حسبما هو ف ومعايير الحوكمة المؤسسية للبنوك. Senior Management: the senior management as defined under the Corporate Governance Regulation and Standards. 1.15 Subsidiary: an entity (the 'first entity') is a 16-1 subsidiary of another entity (the 'second entity') if the second entity: 1.16 holds a majority of the voting rights 1-16-1 in the first entity; 1.16.1 is a shareholder of the first entity and 2-16-1 has the right to appoint, or remove, a majority of the board of directors or managers of the first entity; 1.16.2 is a shareholder of the first entity and 3-16-1 controls alone, pursuant to an agreement with other shareholders, a majority of the voting rights in the first entity. 1.16.3 أو؛ ;Or if the first entity is a subsidiary of 4-16-1 another entity which is itself a subsidiary of the second entity. 1.16.4 المــادة )2(: الحوكمة وإدارة المخاطر RISK AND GOVERNANCE 2: ARTICLE MANAGEMENT 1-2 تتحمل البـنوك كامل المســئولية عن المخاطـــر الناشئة عن أيـــة عملـــية أو نشــــــاط تقــوم بتعهيده. Banks are fully responsible for the risks arising from any process or activity they outsource. 2.1

P a g e صفحة 6 2.2 2

2 2.3 3

2 2.4 4

2 5

2 Banks must have a process for determining the materiality of outsourced activities. This process should consider the potential of the outsourced activity to adversely affect the Bank’s operations and its ability to manage risks, if disrupted or performed poorly. Banks’ Risk Governance Framework must include policies and procedures for the assessment of any proposed Outsourcing and the identification, measurement, monitoring and reporting of any risks associated with existing and proposed Outsourcing arrangements. The Risk Governance Framework must provide a Bank-wide or, if applicable, Group-wide view of the risks associated with Outsourcing, including any services the Bank provides to, or receives from, other Group members. The Risk Governance Framework must, at a minimum, provide for the following with respect to Outsourcing: 2.5 A Board -approved policy that sets out 1

5

2 how the materiality of a proposed Outsourcing arrangement is assessed and requiring any material Outsourcing arrangements to be approved by the Board, or a committee of the Board; 2.5.1 Policies and procedures to ensure that 2

5

2 potential conflicts of interest are identified, managed and appropriately mitigated, or avoided; 2.5.2 Policies and procedures that clearly 3

5

2 identify and assign to the Bank’s departments, committees, internal control functions, or other individuals, the roles and responsibilities with regard to Outsourcing and determine in which cases and at which stage, they should be involved; 2.5.3 Policies and procedures to ensure all 4

5

2 material risks related to Outsourcing are identified, measured, managed or mitigated, and reported to the Board 2.5.4

P a g e 7 صفحة in a timely and comprehensive manner; 5-5-2 التحقق من أن أي وظيفة من وظائف األعمال الجوهرية التي تم تعهيدها، قد تمت تغطيتها في خطط التعافي من الكوارث واستمرارية األعمال، وأن مزودي خدمات التعهيد على استعداد تام لتطبيقها، وأن لدى مزودي خدمات التعهيد خطط للتعافي من الكوارث واستمرارية األعمال خاصة بهم لمعالجة حاالت التعطل واالنقطاع التي قد تحدث لديهم. Ensure that any outsourced critical business functions are covered in their disaster recovery and business continuity plans, that Outsourcing service providers are fully prepared to implement them and that Outsourcing service providers have their own disaster recovery and business continuity plans to resolve disruptions at their end. 2.5.5 6-2 يجب على البنوك التحقق من احتفاظ مزودي خدمات التعهيد بمستويات مالئمة من أمن المعلومات، وإدارة المخاطر وتقديــم الخدمــات. Banks must ensure that Outsourcing service providers maintain an appropriate level of information security, risk management, and service delivery. 2.6 7-2 تكون البنوك مســئولة عـــن االمتثال لكل القوانين واألنظمـــة التي تنطبق على أنشطتها التي يتم تعهــيدها. Banks are responsible for the compliance with all relevant laws and regulations applicable to their outsourced activities. 2.7 المــادة )3(: سجـــل التعهـــيد REGISTER OUTSOURCING 3: ARTICLE Banks must maintain a comprehensive and 1-3 updated register of all Outsourcing arrangements, including both material and non-material Outsourcing arrangements, on a solo and group wide basis. 3.1 2-3 يجب أن يحتوي هذا السجل على المعلومات األساسية لكل ترتيبات تعهيد، وكحــد أدنى يجب أن يحتوي على: This register must contain key information for each Outsourcing arrangement, and at a minimum: 3.2 1-2-3 البيانات األساسية التي ال تتعلق بالمخاطر، مثل تفاصيل مزود خدمات التعهيد، تاريخ بداية ونهاية الترتيبات، ووصف موجـز للخدمات المقدمة؛ Key non-risk related data, such as the details of the Outsourcing service provider, start and end date of the arrangement, and a brief description of the service delivered; 3.2.1 2-2-3 ما إذا كانت ترتيبات التعهيد تتضمن أية معلومات ســريّة؛ Whether the Outsourcing arrangement involves any Confidential Data; and 3.2.2 3-2-3 ما إذا كانـت ترتيبات التعهيد تعتبر جوهــرية. Whether the Outsourcing arrangement is considered material. 3.2.3 المــادة )4(: حمــاية البيانات PROTECTION DATA 4: ARTICLE 1-4 يتعين على البنوك، عند قيامها بالتعهيد، أن تتحقق من االمتثال لكافة التشريعات واألنظمة المطبقة في Banks must ensure compliance with all the applicable UAE legislation and regulations in 4.1

P a g e 8 صفحة دولة اإلمارات العربية المتحدة، في إدارتها ومعالجتها للبيانات. managing and processing data, when Outsourcing. Banks must ensure that they retain ownership 2-4 of all data provided to an Outsourcing service provider, and that their customers retain ownership of their data, including but not limited to Confidential Data, and can effectively exercise their rights and duties in this regard. 4.2 3-4 في الحاالت التي يقوم فيها مزود خدمة التعهيد بإحالة عناصر من الخدمة لمتعاقد من الباطن تتضمن بيانات سرية، يجب على البنوك التأكد من أن المتعاقد معه من ً الباطن يمتثل تماما للمتطلبات المعمول بها، حسبما ينص عليها القانون وبموجب أحكام هذا النظــام. Where the Outsourcing service provider subcontracts elements of the service which involve Confidential Data, Banks must ensure that the subcontractor fully complies with the applicable requirements as established by law and under this regulation. 4.3 4-4 يجب على البنوك أن تتحقق من حماية بياناتها من الوصــول غير المصـرح له ، بمــا في ذلك الوصول غـــير المصرح له من قبل مــزود خدمة التعهيد أو موظفيه. Banks must ensure their data is secured from unauthorized access, including unauthorized access by the Outsourcing service provider or its staff. 4.4 المــادة )5(: اتفاقيات التعهــيد AGREEMENTS OUTSOURCING 5: ARTICLE 1-5 يجــب أن تضـــمن اتفاقيات التعـــهيد ما يفيد احتفاظ البنك بالملكية الكاملة للبيانات التي يشــاركها مع ّ مــزود خدمـة التعهيد، وتضمن أن يظل عمالؤها محتفظين بالملكية الكاملة لبياناتهم، وأن بإمكان المصرف المركزي الوصول إلى هذه البيانات عند الطلب. Outsourcing agreements must ensure that the Bank retains full ownership of the data it shares with the Outsourcing service provider, and that their customers retain full ownership over their data, and that the Central Bank of the UAE can access this data upon request. 5.1 2-5 يجـــب أن تضمن اتفاقـــيات التعهيد ما يفيد احتفاظ البنك بإمكانية وصـــول غير مقـــيدة لكافة البيانات طوال فترة سريان االتفاقيـة، بما في ذلك عند انتهاء االتفاقية. Outsourcing agreements must ensure that the Bank has unfettered access to all of its data for the duration of the agreement, including upon termination of the agreement. 5.2 3-5 يجب أن تتضمن اتفاقيات التعهيد بشكل مناسب أحكاما لحمايــة بيانات البنك، بمـا في ذلك اتفاقيات عدم فصاح، وأحكاماً اإل تتعلق بإتالف البيانات عقــب انتهاء االتفاقيــة. Outsourcing agreements must include appropriate provisions to protect a Bank’s data, including non-disclosure agreements and provisions related to the destruction of the data after termination of the agreement. 5.3 Outsourcing agreements must specifically 4-5 establish standards for data protection, including any nationally recognised information assurance standards in the UAE. 5.4 5-5 يجــب أن ي نَص في اتفاقيات التعهيد بشكل خاص، على عدم تزويد مزود خدمة التعهيــد أو أي من المتعاقدين معه من الباطن أي طرف ثالث، بإمكانية الوصول إلى Outsourcing agreements must specifically establish that the Outsourcing service provider, or any of its subcontractors must not provide any other party with access to 5.5

P a g e 9 صفحة مسبقا على تفـــويض ً البيانات السريّة دون الحصــول محدد بذلك من البنك أو من العميل، حسب الحالة. Confidential Data without first obtaining the specific authorization of the Bank, or the customer, as the case may be. 6-5 يجــب أن تحدد اتفاقيات التعــهيد إلى أي مــدى ي سمح بالتعاقــــد من الباطــن وبناء على أية شروط. Outsourcing agreements must specify to what extent subcontracting is allowed and under which conditions. 5.6 Outsourcing agreements must include an 7-5 explicit provision giving the Central Bank, and any agent appointed by the Central Bank, access to the Outsourcing service provider. 5.7 This provision must include the right to conduct on-site visits at the Outsourcing service provider if deemed necessary by the Central Bank and require the Outsourcing service provider to provide the Central Bank, or its appointed agent, any data or information required for supervisory purposes. Outsourcing agreements must include an 8-5 obligation for the Outsourcing service provider to notify the Bank without undue delay of any breach of the Bank’s data and in particular, breaches of Confidential Data. 5.8 9-5 يجب أن تخضع جميع عمليات التعهيد لعقود تعهيد رسمية بين البنك ومزود خدمة التعهيد. All Outsourcing must be governed by formal Outsourcing contracts between the Bank and the Outsourcing service provider. 5.9 ARTICLE 6: OUTSOURCING OUTSIDE THE UAE الدولة خارج التعهيد :(6 )المــادة 1-6 يجب على البنك التحقق من أن نظام السجالت الرئيس، الذي يحتوي على كافة البيانات السريّة، محتفظ به ّ ومخزن بصورة مستمرة داخل دولة اإلمارات العربية المتحدة. Banks must ensure that the Master System of Record, which includes all Confidential Data, is continuously maintained and stored within the UAE. 6.1 2-6 وكاستثناء من الفقرة )1-6( أعاله، وبشرط موافقة المصرف المركزي، يجوز لفروع البنوك األجنبية االمتثال لهذا المتطلب عن طريق االحتفاظ داخل دولة اإلمارات العربية المتحدة بنسخة عن نظام السجالت الرئيس، يتم تحديثها على أساس يومي على األقل. As an exception to paragraph (6.1) above and subject to Central Bank approval, branches of foreign banks may comply with this requirement by retaining a copy of the Master System of Record, updated on at least a daily basis, within the UAE. 6.2 3-6 يجب االمتناع عن مشاركة بيانات العميل السريّة خارج دولة اإلمارات العربية المتحدة بدون موافقة المصرف المركزي والحصول على موافقة خطية مسبقة من العميل. ويجب على البنك الحصول على إقرار خطي من العميل يخول الوصول إلى بياناته/بياناتها السريّة لدواعي إجراءات قانونية خارج دولة اإلمارات العربية المتحدة في تلك الحاالت. Banks customer’s Confidential Data must not be shared outside the UAE without Central Bank approval and obtaining prior written consent from the customer. Banks must also obtain written acknowledgement from the customer that his/her Confidential Data may be accessed under legal proceedings outside the UAE in such circumstances. 6.3

P a g e 10 صفحة 4-6 يجب على البنك االمتناع عن الدخول في اتفاقية تعــهيد تتضمن مشاركة بيانات سرية مع مزود خدمـــات تعهيد مقيم في بلد ال تستطيع توفـير نفس مستويات الحماية للبيانات السرية، التي كانت ستطبق إذا كانت البيانات محتفظا بها في دولة اإلمارات العربية المتحدة. وينطبق هذا األمر على كل الدول ذات الصلة باالتفاقية. Banks must not enter into an Outsourcing agreement that involves sharing Confidential Data with a service provider domiciled in a jurisdiction that cannot provide the same level of safeguarding of Confidential Data that would apply if the data was kept in the UAE. This applies to all jurisdictions relevant to the agreement. 6.4 5-6 يجب أن تتضمن كل اتفاقيات التعهيد المبرمة مع طرف كائن خارج دولة اإلمارات العربية المتحدة، نص ا يضمن احتفاظ البنك بملكية البيانات في جميع ً األوقـات، ويتيح للمصرف المركزي إمكانية الوصول إلى بيانات البنك عند الطلب. Any Outsourcing agreement with a party located outside the UAE, must ensure that the Bank and the customer retain ownership of the data at all times, and that the Central Bank can access the Bank’s data upon request. 6.5 6-6 لن يسمح للبنوك بإبرام اتفاقية تعهيد تقترح تخزين البيانات في أية بلد تكون قوانين السرية المصرفية لديه، أو أية قوانين أخرى، تحظر أو تقيد الوصول إلى بيانات ضرورية ألغراض رقابية. Banks are not permitted to enter into an Outsourcing agreement that proposes the storage of data in any jurisdiction where bank secrecy, or other laws, restrict or limit access to data necessary for supervisory purposes. 6.6 7-6 يتعيـــن على البنك أن يأخذ في االعتبار، على نحو صــريح إمكـــانية أن تؤثر األوضاع االقتصــادية، أو السياسية أو االجتماعية أو القانونية أو الرقابية على قدرة مزود الخدمة خارج دولة اإلمارات العربية المتحدة للوفاء بشروط االتفاقية. Banks must explicitly consider the possibility that changes in economic, political, social, legal or regulatory conditions may affect the ability of a service provider outside the UAE to fulfil the terms of the agreement. 6.7 ويجب إدارة هذه المخاطر من خالل االختيار الحصيف لمزودي الخدمة والبلدان/مناطق االختصاص، والتحقق من كفاية الترتيبات التعاقدية والعملية والتخطيط السليم الستمرارية األعمال. This risk must be managed by a careful selection of service providers and jurisdictions, adequate contractual and practical arrangements, and appropriate business continuity planning. 8-6 يجب على البنك أن يراعي على نحو صريح أية مخاطر أخرى ذات صلة تنشأ عندما يكون مزود الخدمة مقيما خارج دولة اإلمارات العربية المتحدة ً وهذه قد تشمل على سبيل المثال ال الحصر، ما يلي: Banks must explicitly consider any other relevant risks arising when the service provider is located outside the UAE. These may include but are not limited to: 6.8 1-8-6 مستويات مخاطر تشغيلية عالية، تعزى إلى ضعف البنية التحتية في بلد آخر. Higher levels of operational risk due to poor infrastructure in another jurisdiction; 6.8.1 2-8-6 مخاطر قانونية ناشئة عن اختالف القوانين، وأوجه قصور محتملة في النظام القانوني في الدول التي يتم تقديم الخدمة منها. Legal risk due to differing laws and possible shortcomings in the legal system in the countries where the service is provided; and 6.8.2 3-8-6 مخاطر السمعة. .risk Reputation 6.8.3

P a g e 11 صفحة 9-6 يجــب على البنك التحقق من االمتثال ألية تشــريعات أو أنظمــة قائمة بشأن حماية البيانات الشخصية، قبل الدخــول في أية اتفاقية تعهيد مع مزود خدمة، أو طرف ثالــث مقيم خارج دولة اإلمارات العربية المتحدة. A Bank must ensure compliance with all relevant personal data protection legislations and regulations prior to entering into an Outsourcing agreement with an Outsourcing service provider or third party outside the UAE. 6.9 10-6 يجب على البنك أن يضع سياسات وعمليات بشأن ضوابط وأنشطة المراقبة تعالج تحديداً األعمال التي تربط بين البنك ومزود خدمة التعهيــد، والتي تتضمن مشاركة البيانات السرية خارج دولة اإلمارات العربية المتحدة. A Bank must establish policies and processes regarding controls and monitoring activities specifically addressing the business relationship of the Bank with an Outsourcing service provider, which includes the sharing of Confidential Data outside the UAE. 6.10 11-6 يجب على البنك، بالنسبة لكل األعمال التي تربطه مع مزود خدمات التعهيد والتي تتضمن مشاركة البيانات السرية خارج دولة اإلمارات العربية المتحدة، أن يحدد متطلبات أمنية معينة كما يجب عليه التحقق من يه مدربون تدريبا فيما يتعلق بهذه ً كافياً أن موظف المتطلبات. For each of its business relationships a Bank holds with an Outsourcing service provider, which includes the sharing of Confidential Data outside the UAE, the Bank must define concrete security requirements and must ensure that its staff is sufficiently trained in respect of these requirements. 6.11 12-6 في الحاالت التي يقوم فيها مزود خدمة التعهيد بإحالة عناصر من الخدمة لمتعاقد من الباطن وتكون متضمنة بيانات سرية، يجب على البنك التحقق من امتثال المتعاقد معه من الباطن التام بااللتزامات المتضمنة في هذا النظام، المتعلقة بمشاركة البيانات السرية خارج دولة اإلمارات العربية المتحدة. Where the Outsourcing service provider subcontracts elements of the service to other providers, which entail Confidential Data, the Bank must ensure that the subcontractor fully complies with the obligations contained in this Regulation related to the sharing of Confidential Data outside the UAE. 6.12 13-6 يجب على البنك التحقق من أن أي طرف ثالث يطبق ويحتفظ بالمستويات المالئمة فيما يتعلق بأمن المعلومات وتقديم الخدمــة. Banks must ensure third parties implement and maintain the appropriate level of information security and service delivery. 6.13 14-6 يجوز للمصرف المركزي، فيما يتعلق بمزودي خدمة التعهيد الكائنين خارج دولة اإلمارات العربية المتحدة، أن يمارس صالحياته من خالل التعاون مع السلطات ذات الصلة في أي بلد ذي صلة. With regard to Outsourcing service providers located outside the UAE, the Central Bank may exercise its powers through collaboration with the relevant authorities of any relevant jurisdiction. 6.14 ARTICLE 7: INTERNAL AUDIT AND COMPLIANCE واالمتثال الداخلي التدقيق :(7 )المــادة 1-7 تظــل أنشـــطة التعهيد بكاملها ضمـــن نطاق مسئوليات ومهام وظيفة التدقيق الداخلي واالمتثال في البنك. Outsourced activities remain fully in scope of the Bank’s internal audit and compliance responsibilities. 7.1 2-7 يتعيّن على وظيفة التدقيق الداخلي أن تقوم بالمراجعة المنتظمة ورفع التقارير لمجلس اإلدارة أو لجنة التدقيق التابعة لمجلس اإلدارة، بشأن االمتثال لسياسات وإجراءات التعهيد المعتمدة لدى البنك، ومدى فعاليتها. The internal audit function must regularly review and report to the Board, or the Board audit committee, on compliance with and the effectiveness of the Bank’s Outsourcing policies and procedures. 7.2

P a g e 12 صفحة 3-7 يجـــب على وظيفة االمــــتثال أن تقوم بالمراجعة المنتظمة ورفع التقارير لإلدارة العليا أو مجلس اإلدارة، حـــول امتثال مزودي خدمـــات التعهيد بالتشريعات واألنظمــة والسياسات المعتمــدة في البنــك. The compliance function must regularly review and report to Senior Management, or to the Board as necessary, on the compliance of Outsourcing service providers with the legislations, regulations and policies applicable to the Bank. 7.3 المــادة )8(: عــدم الممانعــة من المصرف المركزي CENTRAL THE BY OBJECTION-NON 8: ARTICLE BANK Prior to Outsourcing any material activity, 1-8 including to any related party, Banks must obtain a prior notice of non-objection from the Central Bank. 8.1 Although all requests for non-objection will 2-8 be considered on their individual merits, the Central Bank will, in general, not permit the Outsourcing of core banking activities, and key management and control functions, including: 8.2 1-2-8 إشراف اإلدارة العليا؛ ;oversight Management Senior 8.2.1 2-2-8 إدارة المخاطر؛ ;management Risk 8.2.2 3-2-8 االمتثال؛ ;Compliance 8.2.3 4-2-8 التدقيق الداخلي، و and; audit Internal 8.2.4 5-2-8 إدارة الوظـــائف التي تأخــذ المخاطر، بما في ذلك االئتمان، واالستثمار، وإدارة الخزانــة. Management of risk-taking functions including credit, investment and treasury management. 8.2.5 المــادة )9(: متطلبات رفع التقارير REQUIREMENTS REPORTING 9: ARTICLE Banks must regularly report to the Central 1-9 Bank on their Outsourcing arrangements in the format and frequency prescribed by the Central Bank. 9.1 Banks must provide upon request any specific 2-9 information with respect to Outsourcing arrangements that the Central Bank may require. 9.2 ّ ن على البنوك أن تزو 3-9 د المصرف المركزي بسجل يتعيّ التعهيد الخاص بها، حسبما هو مطلوب بموجب المادة )4( من هذا النظام، عندما يطلب المصرف المركزي ذلك. Banks must provide the Central Bank with their Outsourcing register as required under Article 4 of this regulation upon the Central Bank’s request. 9.3

P a g e 13 صفحة Banks must immediately notify the Central 4-9 Bank when they become aware of a material breach of the terms of an Outsourcing agreement, or other development with respect to an outsourced Material Business Activity, that has, or is likely to have, a significant impact on the Bank’s operations, reputation or financial condition. 9.4 المــادة )10(: الصيرفة اإلسالمية BANKING ISLAMIC 10: ARTICLE 1-10 يجب على البنك الذي يقدم خدمات مالية اسالمية أن يتحقق من أن سياسات وإجراءات وترتيبات التعهيد المعتمدة لديه، التي تكون لها صلة بالخدمات المالية اإلسالمية التي يقدمها، متوافقة مع أحكام ومبادئ الشريعة اإلسالمية، التي تنطبق في حال ما إذا كان البنك قد تولى بنفسه القيام بالنشاط الذي تم تعهيده. A Bank offering Islamic financial services must ensure that its Outsourcing policies and arrangements, insofar as they relate to the offering of Islamic financial services, are consistent with Shari’ah rules and principles that would apply if the activity were undertaken by the bank itself. 10.1 2-10 يجب على البنك الذي يقدم خدمات مالية اسالمية أن يتحقق من أن السياسات واإلجراءات المعتمدة لديه لتقييم أي ترتيبات تعهيد مقترحة، تأخذ في االعتبار تحــديدا المخاطـــر التشغيلية ومخاطـــر السمعة التي ً تنجم عن إخفاق مزود الخدمة في االلتزام بأحكام ومبادئ الشريعة اإلسالمية. A bank offering Islamic financial services must ensure that its policies and procedures for the assessment of any proposed Outsourcing arrangement specifically consider operational and reputational risks from failure by the Outsourcing service provider to adhere to Shari’ah rules and principles. 10.2 المــادة )11(: اإلنفاذ ENFORCEMENT 11: ARTICLE Violation of any provision of this Regulation 1-11 and Standards may be subject to supervisory action as deemed appropriate by the Central Bank. 11.1 2-11 وقــد تتضمن اإلجــراءات الرقابية والجزاءات اإلدارية والمــــالية التي يفرضها المصـــرف المركزي، سحــب أو استبدال أو تقـــييد صالحيات اإلدارة العليا أو أعضاء مجلس اإلدارة أو تعيين إدارة مؤقتة للبنك، أو فرض غرامات أو حظر أفراد من العمل في القطاع المصرفي بدولة اإلمارات العربية المتحدة. Supervisory action and administrative & financial sanctions by the Central Bank may include withdrawing, replacing or restricting the powers of Senior Management or members of the Board, providing for the interim management of the Bank, imposition of fines or barring individuals from the UAE banking sector. 11.2 3-11 ويجوز للمصرف المركزي أن يلزم البنك بإنهاء ترتيبات التعهيد عندما تكون الترتيبات غير متوافقة، أو لم تعد متوافقة مع هذا النظام أو في الحاالت التي ّ يشكل فيها التعهيد مخاطر ال داعي لها تؤثر على سالمة أوضاع البنك، أو أمن المعلومات السريّة أو النظام المالي. The Central Bank may require a Bank to terminate an Outsourcing arrangement when the arrangement is not or no longer compliant with this Regulation or where the Outsourcing presents undue risks to the soundness of the Bank, the security of Confidential Data, or to the financial system. 11.3

P a g e 14 صفحة ARTICLE 12: INTERPRETATION OF REGULATION النظـام تفســير :(12 )المــادة The Regulatory Development Division of the Central Bank shall be the reference for interpretation of the provisions of this Regulation. ARTICLE 13: PUBLICATION AND APPLICATION والتطبيق النشر :(13 )المــادة 1-13 ينشر هذا النظام والمعايير المصاحبة له في الجريدة الرسمية، ويعمل به بعد شهر واحد )1( من تاريخ النشــر. This Regulation and accompanying Standards shall be published in the Official Gazette and shall come into effect one (1) month from the date of publication. 13.1 2-13 يتعــيّن أن تمتثــل كافـة ترتيبات التعهيد المبرمة أو التي يتم تجديدها بعد دخــول هذا النظـام حيز النفاذ، بشكل تام لمتطلبات هذا النظام. All Outsourcing arrangements concluded or renewed after this regulation coming into force must fully comply with the requirements of this regulation. 13.2 3-13 وفي جميع األحوال، يجـــب أن تكون كافــة اتفاقيات التعهيد، بما في ذلك االتفاقيات التي تم إبرامها قبل دخول هذا النظام حيّز النفاذ، ممتثلة تماماً ألحكام هذا النظام، في موعـد أقصاه 31 ديسمــبر .2023 In any case, all Outsourcing agreements, including those concluded prior to the coming into force of this Regulation, must fully comply with this Regulation by no later than 31 December 2023. 13.3 خالد محمد بالعمى محافظ مصرف الإمارات العربیة المتحدة المركزي Khaled Mohamed Balama Governor of the Central Bank of the UAE