Regulatory Alerts2023-03-08 | CBE12.8CBE Regulation Book 12.8 - The Rules Regulating Card Coding Services On Electronic Device Applications
تهدف هذه القواعد إلى تحديد إطار عمل البنوك ومقدمي خدمات ترميز بطاقات الدفع الإلكترونية في مصر، مما يتيح أقصى قدر من المرونة والأمان وتقديم الخدمات المصرفية المناسبة لجميع فئات المجتمع. وتغطي القواعد المسؤوليات والالتزامات المتعلقة بإدارة المخاطر، ومكافحة غسيل الأموال وتمويل الإرهاب، والضوابط الرقابية، وإجراءات الحصول على التراخيص. كما أنها توفر إرشادات حول سرية وسلامة المعلومات، والبنية التحتية، والمتابعة الأمنية، وتقييم النظام الأمني، ورصد الأنشطة غير العادية، وتوعية العملاء، وما إلى ذلك. ويجب على البنوك التي تقدم خدمات ترميز البطاقات على تطبيقات الأجهزة الإلكترونية الحصول على ترخيص من البنك المركزي المصري.
الفصل الثامن القواعد المنظمة لخدمات ترميز البطاقات على تطبيقات األجهزة 1 اإللكترونية داخل جمهورية مصر العربية
مقدمة
تهدف هذه القواعد إلى تحديد إطار عمل البنوك وكافة األطراف المشاركة في البنية التحتية لتقديم خدمات ترميز بطاقات الدفع اإللكترونية وذلك إلتاحة أقصى قدر من المرونة واألمان وتقديم الخدمات المصرفية المالئمة لكافة فئات المجتمع، بهدف نشر وسائل الدفع اإللكترونية وتحقيق الشمول المالي.
| تع | ||||
|---|---|---|---|---|
| ريفا | ||||
| ت | ||||
| عامة | يكو | |||
| ن لكل م | ||||
| ن الكلما | ||||
| ت والعبارا | ||||
| ت ا | ||||
| آلتية المعن | ||||
| ى المبي | ||||
| ن لها أدناه أينما ورد | ||||
| ت ف | ||||
| ي | ||||
| هذه القوا | ||||
| عد: | ترميز البطاقا | |||
| ت | ||||
| ا | ||||
| ستبدال بيانا | ||||
| ت البطاقة الفعلية برمز فريد ي | ||||
| سم | ||||
| ى "الرمز"، ويكون ممثال لمجمو | ||||
| عة من | Cards Tokenization | |||
| البيانا | ||||
| ت مثل رقم البطاقة وطال | ||||
| ب الرمز ) | ||||
| Requestor | ||||
| Token). | أ | |||
| ي مـن الهيئا | ||||
| ت التـ | ||||
| ي تتواجد داخل منظومة المدفوعا | ||||
| ت والمرخ | ||||
| ص لها من قبل البنك | مقدم خدما | |||
| ت الترميز | ||||
| المركز | ||||
| ي الم | ||||
| صر | ||||
| ي والت | ||||
| ي تخت | ||||
| ص بإ | ||||
| صدار وادارة الرموز. | Token Service Provider "TSP" طالب الرمز | |||
| الجها | ||||
| ت الت | ||||
| ي تطل | ||||
| ب ترميز البطاقا | ||||
| ت م | ||||
| ن مقدم خدما | ||||
| ت الترميز | ||||
| عبر القنوا | ||||
| ت والتطبيقا | ||||
| ت | Token Requestor | |||
| اإللكترونية. | واجهة الترميز الموحدة للبنوك | |||
| الواجهة الموحدة الت | ||||
| ي تعمل عل | ||||
| ى الربط بين كالً م | ||||
| ن البنوك ال ُم | ||||
| صدرة للبطاقا | ||||
| ت وال | ||||
| شبكا | ||||
| ت | صاحبة | |||
| عالمة القبول وذلك بغر | ||||
| ض إدارة ان | ||||
| شاء الرموز لكافة البطاقا | ||||
| ت الم | ||||
| صدرة داخل | ال ُم | |||
| صدرة | ||||
| جمهورية م | ||||
| صر العربية. | Unified Issuer TSP Interface | |||
| تطبيقا | ||||
| ت ترميز البطاقا | ||||
| ت الت | ||||
| ي يتم إ | ||||
| صدارها م | ||||
| ن جان | ||||
| ب م | ||||
| صنع | ||||
| ي األجهزة اإللكترونية عل | ||||
| ى | التطبيقا | |||
| ت اإللكترونية ل ُم | ||||
| صنع | ||||
| ي األجهزة | ||||
| .)Apple Pay, Google Pay, Samsung Pay( | الح | |||
| صر | ال | المثال | سبيل | الذكية |
| Original Equipment Manufacturer Wallet "OEM Wallet" | ||||
| تطبيقا | ||||
| ت ترميز البطاقا | ||||
| ت | ||||
| عل | ||||
| ى األجهزة اإللكترونية الت | ||||
| ي يتم إ | ||||
| صدارها من جان | ||||
| ب البنوك | التطبيقا | |||
| ت اإللكترونية للبنو | ||||
| ك ال ُم | ||||
| صدرة | ||||
| ال ُم | ||||
| صدرة او مقدم | ||||
| ي خدما | ||||
| ت الدفع. | او مق�دم | |||
| ي خدما | ||||
| ت الدفع | ||||
| Host Card Emulation Wallet |
كتاب السيد / محافظ البنك المركزي المصري بتاريخ 8 مارس 2023 1
| "HCE Wallet" | ||
|---|---|---|
| ه | ||
| ي األدوا | ||
| ت الم | ||
| صرفية الت | ||
| ي تتم إتاحتها من قبل البنوك ال ُم | أدوا | |
| ت الدفع اإللكترونية | ||
| صدرة ال | ||
| ستخدامها ف | ||
| ي | ||
| عمليا | ||
| ت | الدفع اإللكترونية عل | |
| ى | ||
| سبيل المثال ال الح | ||
| صر البطاقا | ||
| ت اإللكترونية. | البنك ال ُم | |
| صدر | ||
| البنك الم | ||
| صر | ||
| ح له م | ||
| ن البنك المركز | ||
| ي الم | ||
| صر | ||
| ي بإ | ||
| صدار أدوا | ||
| ت الدفع اإللكترونية بأنوا | ||
| عها | Issuer Bank | |
| المختلفة مع ال | ||
| شبكا | ||
| ت | ||
| صاحبة عالمة القبول للعمالء والت | ||
| صدي | ||
| ق عل | ||
| ى المعامال | ||
| ت المالية | والتحوي | |
| ال | ||
| ت الت | ||
| ي تتم با | ||
| ستخدام أدوا | ||
| ت الدفع، والتأكد من تواف | ||
| ق هذه العمليا | ||
| ت مع ال | ||
| ضوابط | الرقابية ال | |
| صادرة ع | ||
| ن البنك المركز | ||
| ي الم | ||
| صر | ||
| ي. | البنك القابل | |
| البن | ||
| ك الم | ||
| صـر | ||
| ح لـه مـ | ||
| ن البنـ | ||
| ك المركز | ||
| ي الم | ||
| صـر | ||
| ي بتقديـم خدما | ||
| ت القبول اإللكترونية | Acquirer Bank | |
| با | ||
| ستخدام أدوا | ||
| ت الدفـع المختلفة الم | ||
| صدرة م | ||
| ن قبل البنـوك وإتمام معامال | ||
| ت الت | ||
| سـويا | ||
| ت | والتأكـد م | |
| ن تواف | ||
| ق هـذه العمليا | ||
| ت مع ال | ||
| ضوابط الرقابيـة ال | ||
| صـادرة عن البنـ | ||
| ك المركز | ||
| ي | الم | |
| صر | ||
| ي. | ه | |
| ي الو | ||
| سائل الت | ||
| ي يتم ا | ||
| ستخدامها للتحق | ||
| ق م | ||
| ن حامل البطاقة م | ||
| ن خالل األجهزة اإللكترونية | و | |
| سائل التحق | ||
| ق من حامل البطاقة | ||
| عل | ||
| ى | ||
| وذلك با | ||
| ستخدام أحد البدائل التالية: | األجهزة اإللكترونية | |
| - | ||
| رقم التعري | ||
| ف الشخ | ||
| ص | ||
| ي للجهاز من قبل المستخدم | ||
| Phone | ||
| Mobile | Consumer Device | |
| .Passcode | Cardholder Verification | |
| - | ||
| الرقم السر | ||
| ي الذ | ||
| ي يقوم المستخدم بإنشائه. | Method "CDCVM" | |
| - | ||
| الخ | ||
| صائ | ||
| ص الحيو�ية للمستخدم | ||
| Authentication | ||
| User | ||
| Biometric | مثل )ب | |
| صمة العين / الوجه / األ | ||
| صبع / ال | ||
| صو | ||
| ت(. | هـو االت | |
| صال فـ | ||
| ي نطـا | ||
| ق قريـ | ||
| ب مـ | ||
| ن خالل مجمو | ||
| عـة مـ | ||
| ن بروتوكوال | ||
| ت التوا | ||
| صـل والتـ | ||
| ي | االت | |
| صال قري | ||
| ب المد | ||
| ى | ||
| تمكـن جهازيـ | ||
| ن أو أداتيـ | ||
| ن للتوا | ||
| صـل | ||
| عبـر نطـا | ||
| ق قريـ | ||
| ب ال يتعـد | ||
| ى | ||
| 4 | ||
| سـم. | Near Field | |
| Communication "NFC" المخاطر الكامنة | ||
| م | ||
| ستو | ||
| ى المخاطر دون األخذ ف | ||
| ي اال | ||
| عتبار أ | ||
| ي من ال | ||
| ضوابط الرقابية | Inherent Risk | |
| أو إجراءا | ||
| ت المعالجة المنفذة من قبل البنك وتتكون م | ||
| ن | ||
| عن | ||
| صري | ||
| ن: | التأثير واحتمالية الحدو | |
| ث. | المخاطر المتبقية | |
| المخاطر الت | ||
| ي قد يتعر | ||
| ض لها البن | ||
| ك بعد تنفيذه ال | ||
| ضوابط الرقابية أو إجراءا | ||
| ت الحد من | Residual Risk | |
| المخاطر الكامنة. | القوائم ال | |
| سلبية | ||
| ت | ||
| شمل قوائم الكيانا | ||
| ت اإلرهابية واإلرهابيي | ||
| ن المنظمة بموج | ||
| ب القانون رقم | ||
| ٨ ل | ||
| سنة | ||
| ٢٠١٥ | وتعديالته، والقوائم ال | |
| صادرة | ||
| ع | ||
| ن مجل | ||
| س األمن التابع ل | ||
| ألمم المتحدة ذا | ||
| ت ال | ||
| صلة باإلرها | ||
| ب | وتمويله وتمويل انت | |
| شار أ | ||
| سلحة الدمار ال | ||
| شامل، وأية قوائم أخر | ||
| ى يعدها البنك أو ير | ||
| ى | ضرورة الرجو | |
| ع إليها وال يمكن التعامل مع المدرجين بها. |
1-1 تسري هذه القواعد على كافة البنوك العاملة في جمهورية مصر العربية ومقدمي خدمات ترميز البطاقات على تطبيقات األجهزة اإللكترونية المرخص لهم من قبل البنك المركزي، وتعتبر هذه القواعد والضوابط هي الحد األدنى الالزم على البنوك ومقدمي خدمات ترميز البطاقات وعليهم أال يكتفوا بذلك وأن يتم التأكد من اتخاذ كافة ما يلزم نحو إدارة المخاطر المرتبطة بتقديم هذا النوع من الخدمات.
2-1 تسري هذه القواعد على تقديم خدمات ترميز البطاقات على تطبيقات األجهزة اإللكترونية وذلك مع األخذ بعين االعتبار الضوابط والتعليمات الرقابية ذات الصلة والسابق صدورها عن البنك المركزي المصري وتعديالتها وكذا الضوابط الرقابية في شأن مكافحة غسل االموال الصادرة عن البنك المركزي المصري وإجراءات العناية الواجبة الصادرة عن وحدة مكافحة غسل األموال وتمويل اإلرهاب وقانون مكافحة غسل األموال رقم 80 لسنة 2002 وتعديالته والئحته التنفيذية وتعديالتها. وكذا االلتزام بالقواعد والمواصفات الفنية لتقديم تلك الخدمات وتحديثاتها الصادرة عن شركة بنوك مصر والمعتمدة من قبل البنك المركزي المصري.
.2إدارة مخاطر خدمات ترميز البطاقات على تطبيقات األجهزة اإللكترونية 1-2المخاطر المرتبطة بخدمات ترميز البطاقات على تطبيقات األجهزة اإللكترونية يقترن تقديم خدمات ترميز البطاقات على تطبيقات األجهزة اإللكترونية بالعديد من المخاطر، والتي ال تعتبر جديدة على البنوك مثل )مخاطر التشغيل، مخاطر عدم االلتزام، مخاطر السمعة والمخاطر إدارة مخاطر التشغيل وفقا 3 ديسمبر 2017 ً اإلستراتيجية( الموضحة في تعليمات- إلصالحات بازل الصادرة في 4 يناير ،2022 والرقابة الداخلية في البنوك، وكذا ضوابط مزاولة العمليات المصرفية اإللكترونية وإصدار وسائل دفع لنقود إلكترونية، إال أن خصائص خدمات ترميز البطاقات قد تزيد من درجات المخاطر باإلضافة إلى خلق تحديات جديدة إلدارة تلك المخاطر والتي يتعين على كافة الجهات المعنية بتقديم تلك الخدمات وضع األطر والضوابط الالزمة إلدارة والحد من تلك المخاطر، وفيما يلي بعض األمثلة ذات الصلة المرتبطة بتقديم الخدمة المذكورة: 1-1-2 مخاطر عدم االلتزام، ومنها على سبيل المثال ال الحصر:
-
األساليب/اإلجراءات الواجبة التي يستخدمها البنك للتحقق من هوية العمالء حائزي أدوات الدفع اإللكترونية المصدرة من قبل البنك.
-
عملية التصديق على المعامالت المالية.
2-1-2 مخاطر السمعة ومنها على سبيل المثال ال الحصر:
- انعدام الثقة نتيجة وجود عمليات دفع غير مصرح بها على رموز بطاقات العمالء.
3
- الفشل في تقديم خدمات يمكن االعتماد عليها نتيجة لتكرار تعطل الخدمة أو طول مدة توقفها أو أي خلل أو خطأ ينشأ عن ذلك.
3-1-2 مخاطر أمن المعلومات ومنها على سبيل المثال ال الحصر:
-
مخاطر حجب الخدمة وتأثيرها سلبيا على سير العمل.
-
مخاطر تسريب البيانات وتأثيرها سلبيا على السمعة والوقوع تحت طائلة القانون.
-
مخاطر سالمة بيانات العميل وعدم التالعب بها بما يضمن نزاهة سير العمل.
4-1-2 مخاطر االحتيال
- والتي تتمثل في أي فعل عمدي يهدف الى الحصول على منفعة للنفس أو للغير وينتج عنه خسائر مادية أو معنوية وذلك بالمخالفة ألحكام القانون أو التعليمات واللوائح المنظمة.
2-2مسئوليات والتزامات مجلس اإلدارة واإلدارة العليا
يتولى مجلس اإلدارة بالبنك مسئولية اعتماد استراتيجية العمل الخاصة بتقديم خدمات ترميز البطاقات قرار استراتيجي واضح بشأن تلك الخدمات وذلك وفقاً الموضوعة من قبل اإلدارة العليا، واتخاذ لتعليمات حوكمة البنوك الصادرة في 23 أغسطس 2011 السابق صدورها عن البنك المركزي وتعديالتها، واعتماد السياسة الخاصة بتقديم الخدمة على أن يتم التأكد مما يلي: 1-2-2 وضع سياسات وإجراءات واضحة لتحديد قدرة البنك على تقبل المخاطر المصاحبة للمعامالت الناشئة عن خدمات ترميز البطاقات على تطبيقات األجهزة اإللكترونية وكذا الحد من تلك المخاطر على أن يتم تقييم تلك السياسة على األقل مرة سنويا، وتحديثها بصوره دورية على أن تشمل تلك السياسة على األخص النقاط األتية:
-
التصديق على المعامالت.
-
التسويات.
-
عمليات االعتراض (Disputes(.
-
رد العمليات (Refunds(.
-
االحتيال (Fraud(.
-
مستوي الخدمة وكفاءتها.
2-2-2 ضرورة أن تكون منهجية التأمين قائمة على تحليل المخاطر والتهديدات الخاصة، مع األخذ في االعتبار المخاطر الكامنة (Risk Inherent(والضوابط الرقابية التعويضية (Controls Compensating(من أجل الوصول لمستوى من المخاطر المتبقية (Risk Residual(التي تقع ضمن مستويات المخاطر المقبولة.
3-2-2 اإلشراف على التطوير والصيانة المستمرة للبنية التحتية وأنظمة التأمين الخاصة بها وكذلك أدوات المراقبة �والمتابعة المستمرة للرقابة األمنية التي توفر الحماية المناسبة لنظم وبيانات المعامالت التي يتم تنفيذها من البطاقات التي تم ترميزها على تطبيقات األجهزة اإللكترونية من أي تهديدات داخلية أو خارجية، ومن أجل ضمان كفاية وفعالية المعامالت المالية، يجب على اإلدارة العليا التأكد من اتخاذ اإلجراءات اآلتية: 1-3-2-2 تحديد مسئوليات واضحة خاصة باإلشراف على وضع وإدارة سياسات األمن السيبرانى الخاصة بالبنك.
2-3-2-2 التأكد من توفير الحماية الالزمة لمنع دخول األشخاص غير المصرح لهم العمل على أنظمة البنية التحتية، والتي تتضمن كافة األنظمة الحيوية وخوادم النظام وقواعد البيانات والتطبيقات واالتصاالت، وأنظمة التأمين الخاصة بالخدمة.
3-3-2-2 مراجعة واعتماد الجوانب الرئيسية ألنظمة تكنولوجيا المعلومات واألمن السيبرانى الخاصة بالبنك بما يشمل المراجعة الدورية لعمليات اختبار البنية التحتية وأنظمة األمن السيبرانى- على سبيل المثال إجراء اختبار االختراق مرة واحدة سنويا بما في ذلك المتابعة المستمرة للتطورات والتحديثات ألنظمة البنية التحتية، التطبيقات، وأنظمة األمن السيبرانى في هذا المجال.
3-2ضوابط مكافحة غسل األموال وتمويل اإلرهاب
يجب على البنوك التي تقدم أو تقبل خدمات ترميز البطاقات على تطبيقات األجهزة اإللكترونية االلتز�ام بما يلي:
-
االلتزام بقانون مكافحة غسل األموال الصادر بالقانون رقم 80 لسنة 2002 وتعديالته والئحته التنفيذية وتعديالتها والضوابط الرقابية للبنوك في شأن مكافحة غسل األموال وتمويل اإلرهاب الصادرة عن البنك المركزي المصري، وإجراءات العناية الواجبة بعمالء البنوك السارية الصادرة عن وحدة مكافحة غسل األموال وتمويل اإلرهاب، وآلية تنفيذ قرارات مجلس األمن الخاصة بالعقوبات المالية المستهدفة الصادرة عن وحدة مكافحة غسل األموال وتمويل اإلرهاب.
-
اتباع االرشادات الصادرة للبنوك في وضع آليه لتنفيذ العقوبات المالية المستهدفة والتجميد الفوري وكذا إرشادات المعنيين بالتنفيذ في شأن المدرجين بقوائم الحظر وفقا للقوائم المحدثة المنشورة على موقع وحدة مكافحة غسل األموال تحت بند القوائم السلبية.
Www.Mlcu.Org.Eg O
-
وجود آلية لرصد العمليات التي يشتبه في وجود غسل األموال او تمويل اإلرهاب والتأكد من ربط األنظمة الخاصة بالمعامالت بأنظمة مكافحة غسل األموال وتمويل اإلرهاب / أنظمة الكشف عن العمالء المدرجين بالقوائم السلبية.
-
ايالء عناية كافية بما يتفق مع طبيعة الخدمة من المؤشرات االسترشادية للتعرف على العمليات التي يشتبه في أنها تتضمن غسل أموال أو تمويل إرهاب الواردة بالضوابط الرقابية للبنوك في شأن مكافحة غسل األموال وتمويل اإلرهاب الصادرة عن البنك المركزي المصري.
-
في حالة االشتباه في أية عمليات تتم باستخدام البطاقات التي تم ترميزها على تطبيقات األجهزة اإللكترونية وتتضمن غسل أموال أو متحصالت جريمة أصلية أو تمويل إرهاب يجب القيام على الفور بإخطار وحدة مكافحة غسل األموال وتمويل اإلرهاب بشأنها، وذلك وفقا ألحكام قانون مكافحة غسل األموال الصادر بالقانون رقم 80 لسنة 2002 والئحته التنفيذية وتعديالتها.
-
متابعة موقع الوحدة بشكل دوري للتعرف على التحديثات على القوائم السلبية سواء بالحذف أو اإلضافة أو التعديل.
لما ورد بكل من قانون• االحتفاظ بالسجالت والمستندات الخاصة بالعمالء والعمليات وفقاً مكافحة غسل األموال الصادر بالقانون رقم 80 لسنة 2002 وتعديالته والئحته التنفيذية وتعديالتها والضوابط الرقابية للبنوك في شأن مكافحة غسل األموال وتمويل اإلرهاب الصادرة عن البنك المركزي المصري.
.3القواعد العامة المنظمة للبنوك لتقديم خدمات ترميز البطاقات على تطبيقات األجهزة اإللكترونية.
.1-3 الضوابط الخاصة بواجهة الترميز الموحدة للبنوك ال ُمصدرة ) TSP Issuer Unified )Interface 1-1-3 تقوم شركة بنوك مصر للتقدم التكنولوجي بدور مقدم خدمة واجهة الترميز الموحدة للبنوك ُمصدرة للبطاقات دا�خل جمهورية مصر العربية.ال ُمصدرة بالربط بصورة مؤمنة يراعى من خاللها سرية 2-1-3 تقوم واجهة الترميز الموحدة للبنوك ال ُمصدرة للبطاقات والشبكات صاحبةالبيانات والمعلومات التي يتم تبادلها بين كالً من البنوك ال عالمة القبول وذلك بغرض إدارة انشاء الرموز لكافة البطاقات المصدرة داخل جمهورية مصر العربية مع األخذ على سبيل المثال ال الحصر في االعتبار ما يلي:
-
أليات التشفير المستخدمة لحماية الشبكات والبيانات طبقا ألفضل الممارسات العالمية.
-
تأمين واجهة برمجة التطبيقات (API (طبقا للممارسات العالمية للحد من المخاطر الناتجة عن الثغرات المرتبطة بها مع اجراء اختبارات االختراق الخاصة بها.
-
القيام باختبارات االختراق )Test Penetration Infrastructure )للتأكد من تأمين شبكات الربط وأنظمة البنية التحتية ضد اي اختراق.
)Provisioning Token )مع جميع مقدمي خدمات الترميز ) Service Token TSPs Providers )المعتمدين من الشبكات صاحبة عالمة القبول المرخص لها بالعمل داخل جمهورية مصر العربية.
4-1-3 يتم إصدار رمز إضافي )Token Auxiliary )لكافة البطاقات المصدرة داخل جمهورية مصر العربية والتي تحمل عالمة قبول دولية )Scheme Card International):
-
الرمز االول: صادر عن الشركات صاحبة عالمة القبول الدولية.
-
الرمز اإلضافي )Token Auxiliary): صادر عن الشركة صاحبة عالمة القبول الوطنية "ميزة".
5-1-3 يتم اصدار رمز واحد فقط ال غير يخص منظومة الدفع الوطنية لبطاقات "ميزة".
7 ُمصدرة هي المسئولة عن إتمام عملية انشاء الرمز3-1-3 تكون واجهة الترميز الموحدة للبنوك ال .2-3 التزامات البنك ال ُمصدر (Bank Issuer (ألدوات الدفع اإللكترونية Issuer TSP ( مصدرةُُمصدرة استخدام واجهة الترميز الموحدة للبنوك ال1-2-3 يجب على البنوك ال Interface Unified )للربط مع الشبكات صاحبة عالمة القبول.
2-2-3 التأكد من إصدار رمز إضافي )Token Auxiliary )لكافة البطاقات المصدرة داخل جمهورية مصر العربية والتي تحمل عالمة قبول دولية )Scheme Card International):
-
الرمز االول: صادر عن الشركات صاحبة عالمة القبول الدولية.
-
الرمز اإلضافي: صادر عن الشركة صاحبة عالمة القبول الوطنية "ميزة".
ُمصدر الراغب في تفعيل خدمة الترميز بإتاحتها لكافة الشبكات صاحبة عالمة 3-2-3 يلتزم البنك ال القبول المتعاقد معها البنك، وفي حالة قيام البنك بتفعيل الخدمة ألحد الشبكات، يلتزم البنك بإستكمال تفعيل الخدمة لكافة الشبكات المتعاقد معها البنك خال عام من تاريخ تفعيل البنك للخدمة حال تفعيل الشبكة صاحبة عالمة القبول للخدمة.
ُمصدر هو المسؤول عن إجراءات التعرف على هوية العميل ) & Identification4-2-3 البنك ال Verification )والتحقق من بيانات أدوات الدفع اإللكترونية الخاصة بعمالئه من خالل أي من التطبيقات التكنولوجية المعتمدة وفق الضوابط واإلجراءات المعتمدة من قبل البنك المركزي المصري.
5-2-3 يجب التحقق من هوية حامل أداة الدفع اإللكترونية المصدرة من قبل البنك بأي من وسائل التحقق وفقا لتقييم المخاطر لدي البنك والتي تشمل على سبيل المثال وليس الحصر )إرسال رسالة نصية تحتوي على الرقم السري المستخدم لمرة واحدة )OTP Password Time One )للهاتف المسجل لدي البنك( وذلك حال طلب ترميز البطاقات المصدرة من قبل البنك من خالل تطبيقات ترميز البطاقات عبر األجهزة اإللكترونية.
ُمصدر للبطاقة وضع االجراءات 6-2-3 المدة القصوى لصالحية الرمز هي 5 سنوات وعلى البنك ال التي تضمن أن يتم إعادة عملية التحقق من العميل بعد تلك الفترة وأال ترتبط تلك الفترة بصالحية البطاقة االصلية إال في الحاالت اإلستثنائية التي يقرها البنك المركزي المصري.
7-2-3 يتعين على البنك في ضوء تقييمه للمخاطر المرتبطة بالخدمة وضع الحدود المناسبة لقيم وعدد المعامالت اليومية والشهرية لكل رمز وفقا لتقييم المخاطر لدي البنك.
ُمصدر على التمييز والتعامل مع الحركات الواردة بوسائل التحقق8-2-3 قدرة األنظمة الخاصة بالبنك ال من حامل البطاقة على األجهزة اإللكترونية ) Cardholder Device Consumer .)Verification Method - CDCVM التي تتمُمصدر عدم تجاوز الحدود القصوى للمعامالت الالتالمسية محلياً9-2-3 يجب على البنك ال بدون التحقق من حامل البطاقة )Limit CVM )والصادرة عن البنك المركزي المصري، ويستثنى من تلك الحدود المعامالت التي تتم خارج جمهورية مصر العربية مع قيام كل بنك بوضع الحد األقصى المناسب له وفقا لتقييم المخاطر لدي البنك.
ُمصدر تحديد الحد األقصى للقيم االجمالية وعدد المعامالت 10-2-3 يتعين على البنك ال الالتالمسية المتتالية التي تتم دون إتمام اجراءات التحقق من حامل البطاقة )Limit CVM ) وفقا لتقييم المخاطر لدي البنك، وحال تخطي العميل الي من تلك الحدود يتم طلب التحقق من حامل البطاقة باستخدام وسائل التحقق من حامل البطاقة على األجهزة اإللكترونية )CDCVM ) او ادخال الرقم السري للبطاقة )PIN).
ُمصدر تقييم المخاطر المرتبطة بالخدمة وباألخص تقييم تأمين11-2-3 يتعين على البنك ال المعامالت المنفذة من مختلف الوسائل اإللكترونية بما يشمل إمكانية عدم إتاحة الخدمة إال من خالل مصنعي الهواتف المحمولة الموثوق بهم وبعد االنتهاء من التقييم الفني الذي يضمن أمان المعامالت المنفذة من خاللهم بإستخدام وسائل التحقق من حامل البطاقة على األجهزة اإللكترونية )CDCVM )وإمكانية وضع الحدود المناسبة لتلك المعامالت بما يتوافق مع تقييم المخاطر لدي البنك.
12-2-3 في حالة المعامالت التي تتجاوز حد التحقق من حامل البطاقة )Limit CVM )وفي حالة عدم تمكن نقاط البيع اإللكترونية من التعرف على وسيلة التحقق من حامل البطاقة على األجهزة اإللكترونية )CDCVM )فيجب إدخال الرقم السري او رفض الحركة.
ُمصدر وضع تدابير فعالة للرقابة المستمرة لضمان سرعة اكتشاف 13-2-3 يتعين على البنك ال أي معامالت غير عادية على سبيل المثال وليس الحصر )محاوالت تسجيل البطاقات الخاطئة ألكثر من مرة، فشل محاوالت التحقق من حامل البطاقة ألكثر من مرة..، الخ( ويجب على البنوك في تلك الحاالت أن تقوم بالتحقق من ذلك مع أصحاب هذه البطاقات التي تتم عليها هذه ا لمعامالت أو األنشطة في أسرع وقت ممكن وإخطار الجهات المختصة وإخطار العمالء فوراً في حالة رصد أي أنشطة غير معتادة على بطاقاتهم.
14-2-3 التأكد من وجود االتفاقيات التعاقدية المناسبة مع أي من األطراف المشاركة في تقديم خدمة ترميز البطاقات والتي تشمل ما يلي على سبيل المثال ال الحصر:
-
التأكد من عدم إدراج الشريك / الطرف الخارجي او )األشخاص الطبيعيون الذين يملكون حصص مسيطرة على الشركة والتي تمثل25 % أو أكثر أو األشخاص الطبيعيون الذين يسيطرون على الشركة من خالل أية وسائل أخري( بأي من قوائم الحظر وفقا للتعريف السابق ذكره.
-
تأمين سالمة وسرية وإتاحة بيانات حامل البطاقة التي تتم معالجتها أو تخزينها أو نقلها بواسطة مقدم الخدمة.
-
تحديد المسئوليات التعاقدية لكافة األطراف الخاصة باتفاقيات التعهيد أو الشراكة أو الوكالة بوضوح ومنها على سبيل المثال: o يتم تحديد مسئوليات توفير المعلومات وتلقيها بشكل واضح.
o اتفاقية لعدم اإلفصاح عن المعلومات السرية ألطراف خارجية واتفاقية مستوى الخدمة والتي تشمل على سبيل المثال ال الحصر: تحديد األدوار والمسئوليات والوقت المطلوب لتنفيذ الخدمة وإجراءات وبيانات التصعيد والعقوبات في حال عدم االلتزام، هذا باإلضافة إلى البنود التي تحفظ حق البنك في تدقيق الخدمات أو االعتماد على تقارير التدقيق المعتمدة )الصادرة عن جهات تدقيق معتمدة(.
o خضوع كافة النظم والعمليات التي تتم من خالل عملية التعهيد أو الوكالة لنظام إدارة المخاطر وسياسات الخصوصية وأمن المعلومات التي تتفق مع المعايير الخاصة بالبنك.
o توفير كافة تقارير التدقيق والتقييم لمفتشي قطاعي الرقابة واإلشراف واألمن السيبرانى بالبنك المركزي المصري.
o أن تتسم إجراءات فسخ/إنهاء التعاقد بالفاعلية، كما يجب أن تضمن هذه اإلجراءات الحفاظ على استمرارية العمل وسالمة البيانات وكذلك نقلها والتخلص منها.
15-2-3 استيفاء موافقات قطاعي االلتزام والمخاطر بالبنك مع تنفيذ كافة الشروط واألحكام التي يتم وضعها من جانبهم للحد من المخاطر المرتبطة بتلك التعامالت.
16-2-3 وضع اإلجراءات والقواعد المناسبة إللغاء او ايقاف الرموز والمفاتيح المرتبطة بها على الفور وفق طلب العميل أو في حال أي حدث آخر قد يعرض الرموز لالستخدام غير المصرح به مع تحديد مسئوليات كل طرف.
17-2-3 يجب على البنك تحديد اآللية الخاصة بعمليات االعتراضات التي تخص تلك النوعية من المعامالت.
18-2-3 في حالة استخدام تطبيقات ترميز البطاقات عبر األجهزة اإللكترونية، يقوم البنك ُمصدر بقبول معامالت الصراف اآللي المنفذة مثل )السحب النقدي / اإليداع النقدي / االستعالمال عن الرصيد.... الخ( بعد التحقق من حامل البطاقة عن طريق الرقم السري للبطاقة في كافة المعامالت.
19-2-3 ضرورة إخطار العمالء بالمعامالت التي تمت باستخدام الرموز على أدوات الدفع اإللكترونية بصوره واضحة من خالل رسائل نصية أو أية وسيلة فعالة أخرى يراها البنك مناسبة.
20-2-3 ضرورة وجود حمالت التوعية الالزمة من قبل البنك للعمالء بكيفية التعامل مع تلك الخدمة المقدمة مع ضرورة توضيح المخاطر المرتبطة باستخدام هذه الخدمة وكيفية التعامل معها.
21-2-3 توفير أدوات الدعم الفني الكاملة للعمالء بما يتناسب مع مستوي أداء الخدمات المصرفية.
22-2-3 ضرورة وجود حمالت التوعية والتدريب الالزمة لموظفي البنك المسؤولين عن تشغيل ودعم خدمة ترميز البطاقات.
23-2-3 إخطار العمالء بالرسوم الخاصة بتقديم خدمة ترميز البطاقات الخاصة بالبنك بصوره واضحة إن وجدت.
24-2-3 يلتزم البنك بإرسال كافة التقارير الخاصة بالمعامالت التي تتم باستخدام الرموز للبنك المركزي المصري.
ُمصدر بالحصول على ترخيص من البنك المركزي المصري إلتاحة الدفع 25-2-3 يلتزم البنك ال عبر تطبيقات ترميز البطاقات على األجهزة اإللكترونية للبطاقات المصدرة بواسطته لكل تطبيق للبنك أو ألحد مصنعي األجهزة اإللكترونية وعلى سبيلعلى حده سواء كان التطبيق مملوكاً المثال )Pay Apple، Pay Google، Pay Samsung )أو ألحد مقدمي خدمات الدفع المرخصين من البنك المركزي المصري.
ُمصدر استخدام26-2-3 يجب الحصول على موافقة البنك المركزي المصري حال رغبة البنك ال خدمة ترميز البطاقات في تنفيذ أي معامالت أخري غير معامالت الشراء من خالل التجار على سبيل المثال ال الحصر )التحويالت بين البطاقات(.
-3 .3 التزامات البنك القابل (Bank Acquirer( 1-3-3 يجب أن تدعم نقاط البيع اإللكترونية جميع وسائل قبول الرموز على سبيل المثال ال الحصر .)Near Field Communications - NFC( ال تقنية 2-3-3 ضرورة إتباع المعايير العالمية 14443 IEC/ISO وتحديثاتها في وسائل التواصل الخاصة بالمعامالت الالتالمسية بين أداة الدفع الالتالمسية ونقاط البيع اإللكترونية.
3-3-3 يلزم وجود عالمة مميزة لنقاط البيع اإللكترونية التي تقبل الدفع باستخ�دام األدوات الالتالمسية.
4-3-3 في حالة المعامالت التي تتجاوز حد التحقق من حامل البطاقة )Limit CVM )وفي حالة عدم تمكن نقاط البيع اإللكترونية من التعرف على وسيلة التحقق من حامل البطاقة على األجهزة اإللكترونية )CDCVM )فيجب إدخال الرقم السري أو رفض الحركة باستثناء الرموز ال جمهورية مصر العربية. ُمصدرة لبطاقات من بنوك خارج 5-3-3 يجوز للبنك القابل وضع الحدود القصوى للمعامالت الالتالمسية للرموز والتي يتم قبولها عن طريق وسائل التحقق من حامل البطاقة على األجهزة اإللكترونية )CDCVM )ويتم طلب ادخال الرقم السري للبطاقة وفقا ودراسة المخاطر المتعلقة بالخدمة.
6-3-3 على البنك توفير التدريب الكافي للتجار الذين لديهم نقاط البيع اإللكترونية على تعدد وسائل التحقق من حامل البطاقة على األجهزة اإللكترونية )CDCVM )التي يمكن استخدامها أثناء عملية الشراء.
7-3-3 ضمان وضع نقاط البيع اإللكترونية التي تعمل بتلك الخاصية مواجهة مباشرة للعميل وبعيدة عن أي مصدر للكهرباء أو مصدر معدني أخر يمكن أن تؤثر اإلشارات الخاصة به على عملية الدفع بحيث يكون الحد األقصى بين أداة الدفع الالتالمسية والماكينة إلتمام العملية هو 4 سم فقط ال غير.
8-3-3 ال يجوز الحصول على توقيع العميل على أي من المعامالت الالتالمسية ويستثني من ذلك الحركات التي يتم تنفيذها باستخدام أدوات دفع التالمسية ُمصدرة من خارج جمهورية مصر العربية.
9-3-3 ضرورة وجود حمالت التوعية الالزمة من قبل البنك للتجار بكيفية التعامل مع األنواع المختلفة للتجار بأدوات الدفع الجديدةألدوات الدفع الالتالمسية، وأن تتضمن تلك الحمالت توعيةً المستحدثة من خالل تطبيقات ترميز البطاقات على األجهزة اإللكترونية.
10-3-3 يقوم البنك بوضع اإلجراءات التي تضمن عدم تكرار الحركات على العمالء من قبل نقاط البيع اإللكترونية الخاصة بالتجار بطريقة خاطئة.
11-3-3 يجب أن تقوم نقاط البيع اإللكترونية برفض عملية الشراء في حالة وجود أكثر من أداة دفع التالمسية قريبة من الماكينة وذلك لضمان أن حامل أداة الدفع الالتالمسية لم يقم بالدفع باألداة الخاطئة )Collision )أثناء عملية الشراء نتيجة تداخل اإلشارات الخاصة بالبطاقات.
12-3-3 يوفر البنك التدريب الالزم للموظفين والخاص بأدوات الدفع الالتالمسية لكي يتم الرد على استفسارات العمالء ودعمهم بطريقة صحيحة.
13-3-3 قيام البنك قبل تفعيل الخدمة بتقييم المخاطر الناتجة عن تفعيل قبول المدفوعات الالتالمسية لدى كل تاجر.
ُمصدرة داخل جمهورية مصر العربية والتي14-3-3 تمرير المعامالت الناشئة عن البطاقات ال تحمل عالمة قبول دولية باستخدام الرمز اإلضافي لشبكة منظومة الدفع الوطنية »ميزة « فقط للمعا على سبيلمالت التي صدر �بشأنها تعليمات من البنك المركزي المصري لتمريرها محلياً المثال ال الحصر )معامالت نقاط البيع الحكومية ومعامالت ماكينات الصراف اآللي(.
15-3-3 يمكن للبنك القابل تفعيل السداد عن طريق تطبيقات الدفع اإللكترونية في معامالت التجارة اإللكترونية (Commerce-E (بعد الحصول على موافقة البنك المركزي المصري.
.4-3 التزامات الشبكات صاحبة عالمة القبول ُمصدرة ) Unified1-4-3 الربط مع شركة بنوك مصر كمقدم خدمة واجهة الترميز الموحدة للبنوك ال .)Issuer TSP Interface 2-4-3 ضمان سالمة عملية إنشاء الرمز الخاص بالبطاقة في جميع األوقات.
3-4-3 وضع آلية للتدقيق بصوره دورية على أنظمة الترميز لكافة األطراف المشاركة في تقديم خدمات ترميز البطاقات للعمالء.
4-4-3 وضع اإلجراءات التي تكفل عدم اكتشاف رقم بطاقة الدفع اإللكترونية الفعلي من الرمز والعكس ُمصدر للبطاقة عنمن قبل أي جهة باستثناء الشبكات صاحبة عالمة القبول الخاصة بالبنك ال طريق قاعدة بيانات الرمز )Vault Token).
5-4-3 تحديد أليات حل المنازعات.
6-4-3 ضمان المراقبة الكتشاف أي عطل أو سلوك مشبوه أو وجود نشاط غير مصرح به في عملية الترميز وتنفيذ إجراءات لتنبيه جميع األطراف المعنيين.
7-4-3 أن تسمح الشبكة بمعالجة رد المبالغ المدفوعة واسترداد األموال دون الحاجة إلى وصول البنك القابل او احتفاظه برقم البطاقة الفعلي قبل الترميز.
8-4-3 توفير خدمات االعتماد والمصادقة الالزمة لتقديم الخدمات بصورة آمنة.
.5-3 التزامات مقدم خدمات الترميز )"TSP "Provider Service Token) 1-5-3 يحق للشبكات صاحبة عالمة القبول تقديم خدمات الترميز مباشرةً ألعضاء الشبكة الخاصة بها، كما يحق لها الترخيص ألحد مقدمي خدمات الدفع لتقديم خدمة الترميز ألعضاء تلك الشبكة، ُمصدر الراغب في االستفادة من خدمات مقدم الخدمة الحصول على موافقةعلى أن يقوم البنك ال البنك المركزي المصري على تعهيد تلك الخدمة.
ُمصدر و/أو طالب الرمز، وكذلك تنفيذ طلبات2-5-3 تنفيذ طلبات الترميز الواردة من كل من البنك ال فك الترميز الواردة من خالل الشبكات صاحبة عالمة القبول المعتمدة.
3-5-3 يجب أال يكشف رمز البطاقة عن رقم البطاقة الفعلي أو البيانات األخرى مثل تاريخ االنتهاء.
4-5-3 ضرورة أن يحتفظ الرمز بجميع سمات البطاقة االصلية بما في ذلك نوع البطاقة، وعلى سبيل المثال )بطاقات الخصم أو االئتمان(.
5-5-3 يخضع نظام الترميز لكافة معايير تأمين بيانات بطاقات الدفع اإللكترونية ) Card Payment بيانات قاعدة تأمين ويجب( Industry Token Service Provider "PCI-TSP" البطاقات لحماية بيانات حامل البطاقة في ضوء احتفاظ النظام بكافة البيانات الخاصة بحاملي ويجب أن يكون معزو ًال البطاقات المصدرة، عن كافة االنظمة غير المتوافقة مع معايير التأم�ين المشار اليها بهذا البند.
6-5-3 التأكد من تأمين ارقام البطاقات الفعلية (PAN (عند حفظ تلك البيانات.
7-5-3 يجب استخدام قواعد ومفاتيح التشفير المتوافقة مع معايير تأمين بيانات ومعامالت بطاقات الدفع اإللكترونية )DSS PCI )المتعارف عليها وعدم استخدام أدوات تشفير ضعيفة أو منتهية الصالحية.
8-5-3 ضرورة تأمين االتصاالت بين التطبيق الطالب للرمز ونظام الترميز لمنع اعتراض أو التقاط بيانات حامل البطاقة.
9-5-3 أن يكون نظام الترميز قاد ًرا على التمييز بين بيانات حامل البطاقة ذات الرمز وبين بيانات حامل البطاقة االصلية قبل الترميز.
10-5-3 تظل بيانات حامل البطاقة مشفرة من النقطة التي تدخل فيها إلى النظام حتى النقطة التي يتم فيها تحويلها إلى رمز لتحقيق اعلي معايير األمان.
11-5-3 يجب إنشاء الرموز باستخدام نطاق رموز )Ranges BIN Token )مختلف عن نطاق ارقام البطاقات الفعلية )Ranges BIN PAN Actual )لضمان عدم وجود إمكانية إلنشاء رموز الدفع التي تتشابه مع ارقام البطاقات الفعلية.
12-5-3 التأكد من عدم امكانية استرداد رقم البطاقة األصلي (PAN (من الرمز حسابيا.
13-5-3 اال يحتوي أي رد على التاجر اثناء عملية الدفع على رقم البطاقة الفعلي قبل الترميز.
ُمصدر األليات التي تتيح له إمكانية إدارة14-5-3 يجب ان يوفر مقدم خدمة الترميز للبنك ال الرموز بما يشمل:
-
إلغاء التنشيط / إعادة التنشيط / الحذف.
-
الحصول على إحصائيات حول الرموز والمعامالت.
-
االستعالم عن المعامالت.
-
تحديث بيانات البطاقة األصلية في حالة إعادة إصدار البطاقة أو إصدار بطاقة جديدة.
-3 .6 مسؤوليات طالب الرمز )Requestor Token)
ًءُمصدر اتاحة الدفع عبر تطبيقات ترميز البطاقات على األجهزة اإللكترونية سوا1-6-3 يمكن للبنك ال ُمصدر أو من خالأن تكون تلك الخدمة مدمجة داخل تطبيق الهاتف البنكي الخاص بالبنك ال تطبيق منفصل مخصص لتلك الخدمة وذلك على أن يكون خادم إدارة تطبيقات ترميز البطاقات مستضاف لدي البنك )Server Management Wallet Hosted Locally )أو لدي أحد مقدمي الخدمة المعتمدين من قبل البنك المركزي المصري.
2-6-3 يمكن لمقدمي خدمات الدفع او مصنعي األجهزة اإللكترونية على سبيل المثال )Pay Apple، Pay Google، Pay Samsung )توفير تطبيقات لترميز البطاقات المصدرة من البنوك )Wallets OEM & HCE )وذلك بعد الحصول على موافقة البنك المركزي المصري من ُمصدر للبطاقات الراغب في تفعيل الخدمة من خالل التطبيقات الخاصة بهم، علىقبل البنك ال ُمصدرة للبطاقات والمشتركة بالنظام،ان يتم االلتزام بإبرام تعاقد مع كل من الشبكات والبنوك ال وفي كافة األحوال يلتزم طالب الرمز بإبرام تعاقد مع شبكة منظومة الدفع الوطنية "ميزة" وذلك لكي يتمكن من إصدار رمز إضافي )Token Auxiliary )لكافة البطاقات الدولية.
ُمصدر بالحصول على ترخيص من البنك المركزي المصري3-6-3 في كافة األحوال يلتزم البنك ال إلتاحة الدفع عبر تطبيقات ترميز البطاقات على األجهزة اإللكترونية للبطاقات المصدرة للبنك أو ألحد مصنعي األجهزةبواسطته لكل تطبيق على حده سواء كان التطبيق مملوكاً أو( Samsung Pay ،Google Pay ،Apple Pay( المثال سبيل وعلى اإللكترونية ألحد مقدمي خدمات الدفع المرخصين من البنك المركزي المصري.
4-6-3 اجراء التعديالت الالزمة للحصول على الرمز اإلضافي )Token Auxiliary )لكافة البطاقات التي تحمل عالمة قبول دولية وتفعيل الرموز بعد التأكد من اإلصدار الناجح للرمز الثنائي )الرمز الخاص بالشركة صاحبة عالمة القبول للبطاقة والرمز الخاص بمنظومة الدفع الوطنية "ميزة"( دون االعتماد على أحدهما فقط.
5-6-3 فيما يخص بطاقات الدفع الوطنية "ميزة" يتم اصدار رمز واحد فقط ال غير يخص منظومة الدفع الوطنية "ميزة".
6-6-3 ضرورة ان يقوم تطبيق ترميز البطاقات على األجهزة اإللكترونية بربط الرمز بجهاز الهاتف المحمول ال . ُمصدر للرمز 7-6-3 يجب ان يكون التطبيق طالب الرمز متوافق مع المعاير والمتطلبات وأفضل الممارسات المصدرة من EMVCO.
8-6-3 يجب أن يوفر تطبيق ترميز البطاقات على األجهزة اإللكترونية وسائل التحقق من حامل البطاقة على األجهزة اإللكترونية )CDCVM).
9-6-3 يجب على التطبيق طالب الرمز التأكيد على حامل البطاقة على أهمية ضبط رقم التعريف الشخصي للجهاز من قبل المستخدم )Passcode Phone Mobile )وعدم مشاركته مع أحد قبل إتمام عملية تخزين رمز البطاقة على الجهاز.
10-6-3 في حالة المعامالت التي تتجاوز حد التحقق من حامل البطاقة )Limit CVM )على التطبيق طالب الرمز اجراء التحقق من حامل البطاقة على األجهزة اإللكترونية )CDCVM ) عند إتمام كل عملية دفع على حدي وعدم االعتماد على أي عملية تحقق من حامل البطاقة سابقة.
11-6-3 يلتزم طالب الرمز بأن تظل بيانات البطاقة األصلية مشفرة من نقطة إدخال العميل لها من خالل التطبيق المعد لذلك وأثناء تبادلها مع كافة األطراف الخارجية مع ضرورة عدم االحتفاظ بتلك البيانات بالمنظومة نهائيا.ً 12-6-3 إجراء جميع االختبارات الالزمة على تطبيق ترميز البطاقات على األجهزة اإللكترونية واجتياز جميع اختبارات الشبكات صاحبة عالمة القبول في هذا الشأن.
13-6-3 يلتزم طالب الرمز بموافاة البنك المركزي المصري بتقرير اختبارات االختراق )Report Test Penetration), وتقارير تقييم نقاط الضعف ) Credential assessment vulnerability )على بيئة العمل الفعلية و كذلك األنظمة البديلة في مركز الطوارئ بما يشمل جميع األنظمة و التطبيقات و البنية التحتية و أساليب التأمين المتبعة على ان تكون هذه االختبارات تتم بصورة شاملة تتيح اكتشاف جميع الثغرات و المشاكل الفنية والذي يفيد عدم وجود أي نقاط ضعف عالية أو متوسطة الخطورة عن طريق جهة مستقلة باإلضافة الى تقارير االلتزام بالمعاير )Compliance on Report DSS PCI )ومن ثم الحصول على موافقة البنك المركزي المصري بتفعيل الخدمة، على ان يتم تقديم التقرير المشار اليه إلى البنك المركزي المصري في مدة ال تتجاوز ثالثة أشهر من تاريخ إصداره والخاصة بكافة الخدمات المذكورة اعاله.
14-6-3 يكون للعميل الحرية في استخدام او الغاء أي من البطاقات المسجلة في تطبيق طالب الرمز.
15-6-3 ضمان الحفظ اآلمن للرموز والمفاتيح المرتبطة بها بواسطة طالب الرمز عند التسجيل الناجح للبطاقة بكافة أنظمة التشغيل وتطبيقات ترميز البطاقات على األجهزة اإللكترونية المملوكة لطالب الرمز.
.7-3 مسؤوليات شركة بنوك مصر
)Unified Issuer TSP Interface( مصدرةُ1-7-3 توفير واجهة الترميز الموحدة للبنوك ال باعتبارها الواجهة الرئيسية والموحدة في التعامل مع الشبكات صاحبة عالمة القبول، وإصدار قواعد الربط الفني وتوفير البيئة الالزمة لتقديم خدمات تلك الواجهة وتحديثاتها وذلك بعد استيفاء موافقة البنك المركزي المصري.
2-7-3 تنفيذ أعمال التكامل مع كافة الشبكات الدولية المرخص لها بالعمل بجمهورية مصر العربية ُمصدرة.وذلك في إطار توفير خدمات واجهة الترميز الموحدة للبنوك ال 3-7-3 إصدار الرمز اإلضافي الخاص بمنظومة الدفع الوطنية لكافة البطاقات التي تحمل عالمة قبول دولية.
ُمصدرة وخدمة4-7-3 إتاحة التقارير الالزمة للبنوك المشاركة بخدمة واجهة الترميز الموحدة للبنوك ال إصدار الرمز اإلضافي الخاص بمنظومة الدفع الوطنية.
5-7-3 إدارة المعامالت الناشئة عن البطاقات الدولية الصادرة عن البنوك المحلية باستخدام الرمز اإلضافي وذلك فقط للمعامالت التي صدر بش�أنها تعليمات من البنك المركزي المصري لتمريرها محليا على سبيل المثال ال الحصر )معامالت نقاط البيع الحكومية ومعامالت ماكينات الصراف ً اآللي(.
6-7-3 توفير أدوات رقابية وأنظمة للمراجعة الداخلية للتأكد من توافر الضوابط الالزمة لتامين األنظمة.
7-7-3 االخذ فاالعتبار كافة القوانين الصادرة عن البنك المركزي المصري وأطر العمل الخاصة باألمن السيبرانى.
8-7-3 آليات حوكمة تكنولوجيا المعلومات وسبل تعزيزها من سياسات وإجراءات ونظم رقابة وإدارة المخاطر المتعلقة باألمن السيبرانى.
9-7-3 القيام باختبارات اختراق ألنظمة الشركة وتقييم نقاط الضعف بصفة دورية على ان تتم هذه االختبارات بصورة شاملة تتيح اكتشاف جميع الثغرات والمشاكل الفنية في التطبيقات وأنظمة البنية التحتية المستخدمة وأي أنظمة وسيطة، وإعداد تقارير عنها وعرضها على مجلس اإلدارة أو لجنة األمن السيبرانى الخاصة بالشركة واخطار البنك المركزي بمخرجات هذه التقارير.
10-7-3 تقديم التقارير الخاصة ب 2 Type 2 SOC الى البنك المركزي المصري.
11-7-3 إعداد السياسات واإلجراءات الخاصة بأمن المعلومات ومراجعتها وتحديثها بصفة دورية.
12-7-3 إبالغ مجلس اإلدارة و/ أو لجنة االمن السيبرانى بأي مخاطر جوهرية ذات الصلة بأمن المعلومات.
13-7-3 أجراء تقييم مخاطر الطرف الثالث.
14-7-3 تأمين اتصاالت بيانات المحور المركزي )system-Eco )والنظام البيئي التشغيلي لألنظمة المتصلة باألطراف الخارجية.
15-7-3 توفير التكنولوجيا الالزمة وضوابط األمن السيبراني لتأمين كافة المعلومات والبيانات المتعلقة بخزينة الرمز )Vault Token )في حاالتها المختلفة من نقل ومعالجة وتخزين وحفظ في نسخ احتياطية والتخلص منها بما يضمن الحفاظ على سرية وسالمة وإتاحة البيانات. في جميع حاالتها بما يتوافق مع اإلطار العام لألمن السيبرانى.
16-7-3 يجب ضمان مراقبة ومتابعة حوادث األمن السيبراني على مدار الساعة مع وضع األليات واإلجراءات التي سيتم اتباعها في هذا الشأن.
17-7-3 يجب ضمان تنفيذ سياسات االستجابة لحوادث األمن السيبرانية بما يشمل إجراءات اكتشاف هذه الحوادث وطرق االستجابة السريعة والتعافي للحد من المخاطر الناتجة عنها.
18-7-3 وضع خطط البرامج التدريبية لمديري األنظمة ومسؤولي األمن السيبراني.
19-7-3 وضع خطط البرامج التدريبية الهادفة لزيادة الوعي األمني لدى جميع موظفي الشركة وباألخص القائمين على توفير هذه الخدمة للحد من مخاطر هجمات الهندسة االجتماعية .)Social Engineering( 20-7-3 وضع الضوابط األمنية المتبعة للتحكم في الدخول المصرح على أنظمة البيئة الفعلية وكذلك البنية التحتية الخاصة بهذه الخدمة أو أي أنظمة أخرى قد تؤدى الى اختراق األنظمة الخاصة بالترميز.
21-7-3 في حاله حدوث أي اختراقات او تسريبات لمعلومات تتعلق باألمن السيبرانى يتم ابالغ مركز االستجابة لطوارئ الحاسب اآللي للقطاع المالي في خالل 6 ساعات.
.4الضوابط الرقابية إلدارة خدمات ترميز البطاقات على تطبيقات األجهزة اإللكترونية
.1-4 سرية وسالمة المعلومات
1-1-4 يتضمن تقديم خدمات ترميز البطاقات على تطبيقات األجهزة اإللكترونية تداول بيانات سرية عبر تطبيقات ترميز البطاقات على األجهزة اإللكترونية والشبكة الداخلية للبنك لذلك يجب على البنوك ومقدمي خدمات الترميز استخدام األساليب المناسبة للحفاظ علي سرية وسالمة المعلومات المتداولة عبر الشبكة الداخلية والخارجية للبنك وذلك بما يتوافق مع متطلبات تأمين بيانات بطاقات الدفع اإللكترونية وكذا التعليمات الصادرة من جانب البنك المركزي المصري.
2-1-4 يجب على البنوك ومقدمي خدمات الترميز اختيار تكنولوجيا التشفير التي تتناسب مع حساسية وأهمية المعلومات وكذا درجة الحماية المطلوبة، وفي هذا السياق يوصى دائما بتبني البنوك لتكنولوجيا التشفير التي تستخدم طرق التشفير المتعارف عليها دوليا،ً حيث تخضع نقاط القوة في هذه الطرق الختبارات شاملة. وينبغي أن تطبق البنوك الممارسات السليمة إلدارة مفاتيح التشفير الالزمة لحماية هذه المفاتيح وذلك بما يتوافق مع متطلبات تأمين بيانا�ت بطاقات الدفع اإللكترونية وكذا التعليمات الصادرة من جانب البنك المركزي المصري.
3-1-4 يجب الحد من تخزين بيانات على الذاكرة الداخلية للهاتف المحمول، وفى حالة االحتفاظ باي بيانات على الهاتف المحمول - للضرورة القصوى - يجب استخدام الوسائل المناسبة لحماية ما تم تخزينه.
4-1-4 يجب بان يقوم تطبيق الهاتف المحمول بتنفيذ أليات كشف كافية تضمن ان الهاتف المحمول ليس عرضة للمخاطر مثل Rooted/Jailbroken على ان تتضمن إجراءات تأمين التطبيقات على سبيل المثال ال الحصر:
-
أن يطلب التطبيق الحد األدنى من مجموعة الصالحيات المطلوبة.
-
حفظ مفاتيح تشفير التطبيق على األجهزة الذكية بشكل امن.
-
أن تكون حزمة التطبيق موقعة رقميا.ً
-
استخدام التطبيق لقناة اتصال امنة مثل استخدام pinning SSL/Certificate مع التأكد من ان مفاتيح التشفير مدمجة داخل التطبيق.
-
أال يخزن التطبيق أي معلومات على الجهاز تتعلق بمعامالت الدفع أو بيانات العميل بخالف البيانات الالزمة لعمل التطبيق.
-
أال يقوم التطبيق بتخزين بيانات تسجيل الدخول وإعادة استخدامها ) end-Back .)Authentication Required
-
عدم السماح بتثبيت التطبيقات على أنظمة تشغيل قديمة او منتهية الصالحية.
5-1-4 يجب أن يتم حماية تطبيقات الهاتف المحمول ضد أي لقطات تلقائية Screenshots والتي يمكن أن تتم عن طريق برامج تجسس تعمل على نفس جهاز الهاتف المحمول حال وجود إمكانية فنية لتطبيقه.
6-1-4 أال يتم اتصال انظمة البنك المشاركة في خدمات ترميز البطاقات بالشبكة العالمية )االنترنت( أو أي من الشبكات غير المعتمدة دون الحصول على موافقة البنك المركزي المصري.
7-1-4 ينبغي على البنك ومقدمي خدمات الترميز تطبيق سياسة الفصل بين المهام والرقابة الثنائية، وذلك للتأكد من عدم إمكانية قيام أي موظف داخل البنك بأي عمل غير مصرح له وإخفائه، ويتضمن هذا على سبيل المثال ال الحصر، إدارة حساب المستخدم وتنفيذ المعامالت وحفظ وإدارة مفاتيح الشفرة الخاصة بالنظام وإدارة النظام Administration System وتشغيله .System Operations 8-1-4 يجب أن تخضع أنظمة البنك ومقدمي خدمات الترميز إلى اختبارات ُمتعددة قبل التشغيل للتأكد ُموكلة لها وفى حالة تحديث تلك األنظمة يتم إعادة اختبارها بذاتمن قدرتها على القيام بالمهام ال الوسائل لضمان استمرار سالمتها.
9-1-4 يجب على البنك ومقدمي خدمات الترميز السماح بالولوج الى االنظمة بناء على المهام الوظيفية بما يضمن عدم تضارب المصالح ويجب على البنك التحكم في ولولج الموظفين ومديري االنظمة من خالل نظام تحكم مركزي مع مراعاة استخدام المصادقة الثنائية.
.2-4 البنية التحتية والمتابعة األمنية للمنظومة
1-2-4 يجب على البنوك ومقدمي خدمات الترميز إنشاء بيئة تشغيل مالئمة تعمل على دعم وحماية أنظمتها الخاصة المرتبطة بأنظمة الترميز، بحيث تحتوي تلك البيئة على بنية تحتية آمنة لتلك الخدمات - والتي تشمل على سبيل المثال ال الحصر إعداد خوادم النظام وأنظمة اكتشاف ومنع اإلختراق وأجهزة جدار الحماية Firewall وأجهزه التوجيه وخالفه - كما تحتوي أيضا على إجراءات حماية مالئمة للشبكات الداخلية وروابط الشبكات مع الجهات الخارجية بما يشمل شركة ُمصدرة، فضالًبنوك مصر بصفتها الشركة المسؤولة عن إدارة واجهة الترميز الموحدة للبنوك ال عن خطط الطوارئ الالزمة واألنظمة البديلة حال فشل األنظمة األصلية.
2-2-4 تقع المسؤولية الكاملة لتقديم الخدمات على البنوك المشتركة بالخدمة ومقدمي خدمات الترميز والتي يجب عليها بذل العناية الواجبة لضمان أمان كافة المعامالت، وكذا مراقبة كل من األنظمة المتصلة بالنظام والبنية التحتية بصورة استباقية بشكل دائم على مدار 24 ساعة طوال األسبوع، وذلك لرصد وتسجيل أي مخالفات أمنية، أو أي اختراقات، أو نقاط ضعف مشتبه بها، وكذلك أي أنشطة غير طبيعية محل اشتباه قد تتم على األنظمة وذلك يجب ان يتم من خالل تفعيل مركز عمليات لألمن السيبرانى SOC.
3-2-4 يجب على البنوك ومقدمي خدمات الترميز التأكد من وجود مسارات التدقيق Trails Audit لكافة العمليات التي تتم عبر أنظ�مة/تطبيقات ترميز البطاقات وكذلك البنية التحتية الخاصة بهذه الخدمة كما يجب ضمان حماية تلك المسارات ضد أي تالعب أو تغيير غير ُمص َّرح به، وأن للمتطلبات القانونية وطبقاً يتم االحتفاظ بها لمد ة زمنية تتوافق مع ما تحدده سياسات البنك تطبيقاً للضوابط والتعليمات الرقابية الصادرة في هذا الشأن ويهدف هذا اإلجراء إلى تسهيل إجراءات التحقيق في أي عملية احتيال، وحل أي نزاع أو شكوى إذا لزم األمر وعند تحديد ما سيتم االحتفاظ به في مسارات التدقيق، يمكن األخذ في االعتبار األنواع التالية من األنشطة وذلك كحٍد أدنى:
-
عمليات فتح أو تعديل أو إغالق حساب مستخدم على االنظمة المختلفة الخاصة بالخدمة.
-
أي عملية ذات تبعات مالية.
-
أي تصريح يمنح مستخدم لتجاوز أي من الحدود أو الصالحيات.
-
أي تعديل أو إضافة أو إلغاء لصالحيات المستخدمين أو امتيازات خاصة بالدخول على األنظمة.
4-2-4 يجب أن يتم مراجعة كافة ما يتم إصداره من سجالت تدقيق Logs Audit وإنذارات التأمين اللحظية Alerts Security Time Real -مثل إنذارات أنظمة كشف ومنع االختراق - بواسطة الموظفين أو فرق العمل المعنية وذلك بطريقة دورية وفى الوقت المناسب.
5-2-4 تطبيق معايير وإجراءات حصيفة فيما يخص إمكانية الدخول إلى أماكن عمل النظام Physical ُمش ِغلة للنظام والشبكات وأجهزة ال�تشفير ومراكزSecurity بما في ذلك البرامج واألجهزة ال المعلومات التي تقوم بتشغيل جزء أو أجزاء من النظام.
6-2-4 يجب الرجوع الى اإلطار العام لألمن السيبرانى الخاص بالممارسات المتعلقة بتصميم، تنفيذ وسائل التأمين المختلفة وانشاء ومراقبة البنية التحتية لخدمات الترميز.
7-2-4 يتعين على البنوك الحصول على موافقة مسبقة من البنك المركزي المصري في حال ابرام اتفاقيات تتعلق بإسناد خدمات ترميز البطاقات على تطبيقات األجهزة اإللكترونية او تطبيقاتها.
وفي حالة قيام البنك بإسناد بعض الخدمات ألطراف خارجية، فإن البنك يظل مسئوالً مسئولية كاملة تجاه مستخدمي النظام وتجاه التزام األطراف الخارجية بهذه القواعد، والتأكد مما يأتي:
-
االحتفاظ بسجل محدث يشتمل على جميع اتفاقات وتعاقدات اإلسناد واالستعانة باألطراف الخارجية.
-
وضع حدود إلسناد أكثر من وظيفة إلى مقدم خدمة واحد للحد من مخاطر التركز والتشغيل.
-
يلتزم البنك بوضع سياسة للموظفين لدى األطراف الخارجية الذين تم إخالء طرفهم أو تم تغير مسئولياتهم وإلغاء صالحياتهم على جميع األنظمة واألنظمة الخارجية وأنظمة ( ومراجعة الصالحيات دورياً المساعدة )portals support .
.3-4 تقييم النظام األمني للخدمة
1-3-4 يجب ان يتم تعهيد الخدمات األمنية الى شركات او افراد تتوافق مع القوانين المصرية.
تقييم الوضع األمني لكافة األنظمة - التطبيقات، 2-3-4 يجب على البنوك ومقدمي خدمات الترميز دورياً والشبكات، وأجهزة التأمين، وخوادم نظام أسماء النطاقات وخوادم البريد اإللكتروني، إلخ - المتعلقة بتشغيل الخدمة، وذلك فـي المركز الرئيسي للمعلومات والمركز االحتياطي الذي يستخدم في حاالت الكوارث.
3-3-4 يجب على البنوك ومقدمي خدمات الترميز إجراء تقييم دوري لنقاط الضعف Vulnerability Assessment كل ثالثة أشهر على األقل أو عند حدوث تغييراً جوهرياً في البيئة التشغيلية وبيئة الطوارئ لألنظمة المختلفة الخاصة بالخدمة الكتشاف نقاط الضعف في بيئة تكنولوجيا المعلومات وتقييمها. ويمكن أن يتولى هذا التقييم مستشار أو مقدم خدمة خارجي للبنك وأن يكون مقدم الخدمة مختلف عن مقدم الخدمة القائم باختبارات االختراق، أو أن يتولى هذا التقييم إدارة أمن المعلومات بالبنك، وذلك على النحو التالي:
- يجب أن يحتوي نطاق تقييم نقاط الضعف على اختبار الثغرات الشائعة في النظام على سبيل .)OWASP Top Ten Attacks( الحصر ال المثال
- يجب على البنك ومقدمي خدمات الترميز إعداد خطة لمعالجة المشاكل التي تظهر في تقييم نقاط الضعف، والتأكيد على غلق الثغرات بالخطة خالل وقت متناسب مع تصنيف نقاط الضعف ثم التحقق من صحة هذه المعالجة عن طريق إعادة االختبار إلثبات أنه قد تم التعامل بفعالية مع هذه المشاكل بالكامل وفي التوقيت المناسب.
4-3-4 التزام البنك بعدم إطالق الخدمات الجديدة قبل االنتهاء من موافاة البنك المركزي المصري بتقرير اختبارات االختراق )Report Test Penetration )وتقارير تقييم نقاط الضعف )assessment vulnerability Credential )على بيئة العمل الفعلية بما يشمل جميع األنظمة و التطبيقات و البنية التحتية و أساليب التأمين المتبعة على ان تكون هذه االختبارات تتم بصورة شاملة تتيح اكتشاف جميع الثغرات و المشاكل الفنية والذي يفيد عدم وجود أي نقاط ضعف عالية أو متوسطة الخطورة ومن ثم الحصول على موافقة البنك المركزي المصري بتفعيل الخدمة، على ان يتم تقديم التقرير المشار اليه إلى البنك المركزي المصري في مدة ال تتجاوز ثالثة أشهر من تاريخ اصداره من مقدم خدمة خارجي مستقل.
5-3-4 يجب على البنك ومقدمي خدمات الترميز القيام باختبارات االختراق ) Penetration Testing )وذلك لعمل تقييم مفصل ومتعمق للوضع األمني للنظام من خالل محاكاة للهجمات الفعلية على البيئة الفعلية واالحتياطية على أن يتم ذلك على األقل مرة واحدة سنويا، أو عند حدوث تغيير في النظام، على أن تتم مراعاة ما يلي:
-
يجب أن يتولى إجراء اختبار االختراق أحد مقدمي الخدمة الخارجيين المستقلين، حيث يجب عليه أوالً -Non التوقيع على اتفاقية السرية وعدم اإلفصاح قبل مزاولة العمل .Disclosure Agreement
-
يجب أن يكون لدى البنوك ومقدمي خدمات الترميز تقرير مبدئي عن اختبار االختراق تم التي ،Penetration Test Report & Remediation Plan المعالجة وخطة اصدارها والموقعة من مقدم الخدمة الخارجي.
-
يجب على البنوك ومقدمي خدمات الترميز التحقق من صحة معالجة المالحظات الناتجة عن اختبار االختراق سواء كان على األنظمة الرئيسية أو األنظمة البديلة المستخدمة لمواجهة الكوارث مع مراعاة إجراء اختبار االختراق على االنظمة في مركز الطوارئ.
-
يجب على مقدم الخدمة الخارجي إصدار تقرير نهائي موقع منه عن اختبار االختراق لكي يقوم البنك بتقديمه إلى البنك المركزي المصري، بجانب التقرير المبدئي األول.
-
غير مسموح باختيار نفس مقدم الخدمة الخارجي ألداء أكثر من اختباري اختراق متتاليين.
.4-4 االستجابة لألحداث الطارئة وإداراتها
1-4-4 يجب على البنوك ومقدمي خدمات الترميز وضع إجراءات لالستجابة للحدث وإدارته خالل تقديم الخدمة، بهدف اإلبالغ والمعالجة الفورية ألي اختراقات أمنية سواء كانت فعلية أو مشتبه بها، وكذلك أي حاالت احتيال أو انقطاع/عدم ثبات الخدمة، سواء أثناء أو بعد ساعات العمل. ويجب على البنوك اتخاذ اإلجراءات الضرورية التالية )ومنها على سبيل المثال ال الحصر(:
-
سرعة اكتشاف مصدر الحدث، وتحديد م�ا إذا كان قد وقع نتيجة وجود نقاط ضعف في النظم التأمينية بالبنك من عدمه.
-
تقييم النطاق المحتمل للحدث ومدي تأثيره.
-
تصعيد األمر إلى اإلدارة العليا للبنك بشكل فوري، إذا كان هذا الحدث قد يضر بسمعة البنك أو يؤدى إلى خسائر مالية.
-
إخطار العمالء المتضررين على الفور، إذا لزم األمر.
-
احتواء الخسائر المتعلقة بأصول البنوك وبياناتها ومدي تأثيرها علي سمعة البنوك، وبوجه خاص الخسائر المتعلقة بعمالئها.
-
جمع األدلة الجنائية الرقمية واألدلة الجنائية وحفظها بطريقة مناسبة وبأسلوب يضمن الرقابة على تلك األدلة وضمان عدم التالعب بها لتغيير محتواها، لتسهيل التحقيقات الالحقة وإقامة دعوى قضائية ضد مخترقي النظام والمشتبه فيهم إذا لزم األمر باإلضافة إلى تنفيذ عملية مراجعة لهذا الحدث.
2-4-4 يجب على البنوك إعداد سجل باألحداث العارضة المرتبطة بالخدمة المقدمة والتفاصيل الخاصة بها باإلضافة إلى إعداد تقرير دوري بحد اقصى كل ستة أشهر للعرض على اإلدارة العليا التخاذ اإلجراءات المناسبة لتالفي تكرارها.
3-4-4 يتولى مسئول االلتزام بالبنك مسئولية التأكد من إبالغ البنك المركزي المصري بأي حادث امن سيبراني بصورة صحيحة وفي خالل 6 ساعات من اكتشاف الحادث وبكافة الحاالت الواردة أدناه على سبيل المثال ال الحصر:
-
أي هجمات احتيال لتسريب أو إفشاء هوية ُمستخدم النظام أو وثائق اعتماد الشخصية )كاالحتيال Phishing، وملفات التجسس )حصان طروادة Trojans)، والبرمجيات الخبيثة وبرمجيات الفدية Malware Ransomware.. إلخ(.
-
الدخول غير المصرح به إلى أنظمة تكنولوجيا المعلومات بالبنك لتسريب بيانات ُمستخدم النظام المتعلقة بالخدمات المقدمة.
-
أي عملية تخريبية للبيانات المتعلقة بأنظمة الخدمات المقدمة والتي ال يمكن استرجاعها.
-
اإليقاف التام المتعمد أو العارض للخدمات المقدمة لفترة تزيد عن الفترة المحددة كهدف لوقت االسترجاع RTO المحدد من قبل البنك.
-
أي هجمات سيبرانية ذات الصلة بتلك الخدمات المقدمة على أن يتم إرسال هذه التقارير بالبريد االلكتروني على العناوين التالية: cbe.infosec@cbe.org.eg o eg-fincirt@cbe.org.eg o .5-4 اعتبارات األداء وضمان استمرارية العمل 1-5-4 يجب على البنوك ومقدمي خدمات الترميز توفير الخدمات المقدمة على مدار الساعة، مع ضمان أداء الخدمة للعمالء بالسرعة والكفاءة والدقة المناسبة طبقا لما تم ذكره في األحكام والشروط الخاصة بالخدمة مع أخذ توقعات العمالء بعين االعتبار مع إبالغ العمالء مسبقا في حال توقف او تعطل الخدمة.
2-5-4 يجب على البنوك ومقدمي خدمات الترميز �وضع معايير لتقييم ومتابعة مستوى أداء الخدمات المقدمة كما يجب اتخاذ التدابير الالزمة للتأكد من قدرة النظم الداخلية الخاصة بتقديم تلك الخدمات على التعامل مع حجم المعامالت المتوقعة والنمو المستقبلي لهذا النوع من الخدمات.
3-5-4 يجب أن تأخذ البنوك ومقدمي خدمات الترميز في اعتبارها التخطيط لضمان استمرارية العمل عند تطويرها للخدمات المقدمة، على أن يتم أيضا مراعاة الممارسات التالية:
-
في حال حدوث عطل في الخدمة، يجب أن تحتوي خطة استمرارية العمل على خطوات محددة لكيفية استئناف أو استرجاع تلك الخدمات وتحدد هذه الخطوات بناء على أهداف وقت ونقطة االسترجاع RPO & RTO المحددين مسبقاً مع ضرورة دورية المراجعة والتحديث بأي مستجدات أو مخاطر محتملة.
-
وجود نسخ احتياطية للبيانات الستعادتها ووجود خطط عمل بديلة للطوارئ.
-
يجب أن تضمن خطة استمرارية العمل الخاصة بالخدمات المقدمة القدرة على التعامل مع أي من الحاالت التي يتم فيها التعهيد ألطراف خارجية.
.5أمن العمالء وضوابط لبعض المخاطر األخرى
-5 1 يجب على البنوك أن تحدد بدقة كافة االحكام والشروط لعمالئها من خالل تطبيقات ترميز البطاقات وبما ال يتعارض مع تعليمات حماية حقوق عمالء البنوك ال ُمصدرة في فبراير 2019 وكافة تعديالتها وغيرها من التعليمات ذات الصلة مع مراعاة ما يلي: 1-1-5 أال يتم االشتراك في الخدمة اال بعد الموافقة الكترونيا على تلك الشروط واالحكام. وبحيث تتضمن توضيح بشكل ُمف َّصل الخطوات الواجب على ُمستخدم النظام إتباعها لتفعيل الخدمة في الوقت الالزمحالة االشتراك ألول مرة أو في حالة وقف الخدمة أو إعادة تشغيلها، موضحاً إليقاف الخدمة من لحظة طلب إيقافها من ِقبل ُمستخدم النظام والطرق المختلفة لطلب إيقاف الخدمة.
2-1-5 إتاحة امكانية إيقاف استخدام الخدمة عند إساءة استخدامها من قبل مستخدم النظام.
3-1-5 ايضاح إذا كان هناك أي تكلفة إضافية أو رسوم إلستخدام تلك الخدمات ومقدارها ودوريتها.
ُمصدر ألداة الدفع اإللكترونية وكذلك مقدم خدمات الدفع بإيجاد آلية لدراسة الشكاوى4-1-5 يقوم البنك ال ويُنص صراحة في بنود واحكام تقديم الخدمة على طريقة تقديم الشكوى إلى البنك والحد األقصى ُمستغرق للتحقيق في الشكوى من قِبل األطراف المختلفة والرد على العميل.للوقت ال 5-1-5 التأكيد على التزام ُمستخدم النظام بقراءة التحذيرات واإلطارات التنبيهية )مثل التنبيهات األمنية أو تنبيهات محاوالت االحتيال/الهندسة االجتماعية Engineering Social.. إلخ( والتأكيد أي ًضا على أن قبول ُمستخدم النظام ألي تغيير في الشروط واألحكام ا لذي سيظهر من خالل النظام إلكترونيا والموافقة عليها الكترون�يا لالستمرار في الحصول على الخدمة.
ُمستخدم في الحفاظ على الجهاز المقترن بالرمز الخاص به وإبالغ البنك 6-1-5 توضيح مسئوليات ال في حال فقدانه او اشتباه العميل في ان بياناته السرية قد تم االطالع عليها من قبل الغير.
.2-5 رصد األنشطة غير العادية
1-2-5 يتعين على البنوك وضع تدابير فعالة للرقابة المستمرة لضمان سرعة اكتشاف أي معامالت غير عادية أو تسريب بيانات او معلومات تحدث من خالل الخدمة يُشتبه أن تؤدى إلى عمليات احتيال او نشاط ينطوي على شبهة غسل أموال او تمويل إرهاب وعلى وجه الخصوص، ينبغي أن تكون تلك التدابير قادرة على اكتشاف حاالت مثل:
-
حدوث العديد من عمليات الدفع باستخدام تطبيقات ترميز البطاقات على األجهزة اإللكترونية خالل فترة زمنية وجيزة، وخاصة على سبيل المثال ال الحصر إذا كانت المبالغ المدفوعة تقترب من الحد األقصى المسموح به. وكذلك الزيادة المفاجئة في عمليات الدفع باستخدام الرمز.
-
تفعيل السيناريوهات او التقارير الالزمة لرصد األنشطة الغير عادية وفقا لطبيعة المنتج مع التأكد من رفع تقارير اشتباه الي وحدة مكافحة غسل األموال وتمويل اإلرهاب عند اللزوم.
2-2-5 يجب أن تتمتع آلية الرقابة المتبعة بالقدرة على سرعة إصدار تحذيرات إلى المختصين بالمتابعة والرصد للخدمات المقدمة عند حدوث أي عملي�ات دفع محل شبهة احتيال، وكذلك أي أنشطة غير معتادة ويجب على البنوك في تلك الحاالت ان تبذل العناية الواجبة للتصدي لحاالت االحتيال المحتملة فضال عن التحقق من ذلك مع أصحاب هذه الرموز التي تتم عليها هذه المعامالت أو األنشطة في أسرع وقت ممكن واخطار إدارة مكافحة االحتيال بالبنك المركزي وكذا اخطار الجهات المختصة.
3-2-5 يتم الرجوع الى العمالء فور رصد أي معاملة غير اعتيادية للتحقق من قيامهم بها.
4-2-5 يجب على البنك تطبيق إجراءات محددة و ُمعتمدة للتعامل مع المعامالت المشتبه بها.
5-2-5 يجب اإلبالغ عن أي حالة من حاالت االحتيال ذات الصلة بتلك الخدمات المقدمة على أن يتم إرسال هذه التقارير بالبريد االلكتروني على العناوين التالية او أي وسيلة مستحدثة: fraudcombating@cbe.org.eg o
.3-5 توعية العمالء مستخدمين النظام
1-3-5 نظراً ألن األجهزة التي يستخدمها العمالء للدخول على تطبيقات ترميز البطاقات على األجهزة اإللكترونية تقع خارج نطاق سيطرة البنك، فإن احتمال ظهور مخاطر أمنية تزداد في حالة عدم معرفة ُمستخدم النظام باالحتياطات األمنية الضرورية الستخدام الخدمة أو سوء فهمها ولذلك لتوعية العمالء عن طريق تقديميجب على البنك أن يولي اهتماما حمالت توعية مختلفة ً خاصاً وكذا نصائح سهلة الفهم وواضحة تتعلق باالحتياطات األمنية الواجب اتخاذها عند التعامل مع تلك الخدمات والتزامهم حيال ذلك.
2-3-5 التأكيد على العمالء وتوعيتهم أن موظفي البنك أو وكالءه أو مقدمي خدمات الدفع ال يجوز لهم أن يطلبوا من ُمستخدم النظام اإلفصاح عن البيانات السرية )كأرقام البطاقات أو كلمات السر( عن طريق البريد اإللكتروني أو غيره وفي حالة وقوع ذلك يجب على ُمستخدم النظام االتصال بالبنك في أسرع وقت ممكن.
3-3-5 توعية عمالء تلك الخدمات بالطرق التي يمكنهم من خاللها التأكد من صحة التطبيق الرسمي والتزام البنك بإطالق حمالت دعائية تخص زيادة وعي العمالء فيما يخص الخدمات المشار اليها.
4-3-5 تختلف النصائح الخاصة باالحتياطات األمنية الواجب إتباعها وفقا لطبيعة العمالء، وطبيعة الخدمات المقدمة، وتشمل النصائح ما يلي كحد أدنى:
-
اختيار وحماية وسائل التحقق الخاصة بالعميل.
-
الحماية ضد تقنيات الهندسة االجتماعية Techniques Engineering Social حيث يجب توعية العمالء بضرورة عدم اإلفصاح عن أي معلومات شخصية - كبطاقة الهوية أو جواز السفر أو العناوين أو أرقام حسابات البنك الخاصة بهم - ألي شخص لم يتأكد من هويته أو استخدام تطبيقات هواتف محمولة موضع شك. كما يجب التأكيد على العمالء بعدم اإلفصاح عن كلمات السر ألي شخص بما في ذلك موظفي البنك أو وكالئه.
-
يجب على البنوك مراجعة النصائح واإلرشادات الخاصة باالحتياطات التأمينية التي يتم تقديمها للعمالء للتأكد من كفايتها ومالئمتها للتغيرات التي تستجد على البيئة التكنولوجية والخدمات المقدمة.
-
يتم إخطار مستخدم النظام باإلجراءات الواجب اتباعها في حالة اكتشاف أي شخص آخر لوسائل التحقق الخاصة ب ُمستخدم النظام.
.6إجراءات الحصول على التراخيص
1-6 يجب على البنوك ال ُمصدرة التي ترغب في الحصول على تراخيص لتقديم خدمات ترميز البطاقات لعمالئها أن تتقدم بطلب لقطاع الشئون المصرفية بالبنك المركزي المصري للحصول على الموافقة الالزمة، وذلك لكل تطبيق يتم قبول بطاقات البنك من خالله على حده، وذلك مع استيفاء ما يلي: 1-1-6 دورة العمل التفصيلية.
2-1-6 بيانات البنية التحتية للمنظومة التي سيتم استخدامها.
3-1-6 التكنولوجيا الالزمة وضوابط األمن السيبرانى لتأمين البنية التحتية واألنظمة والتطبيقات وكافة المعلومات والبيانات في حاالتها المختلفة من نقل ومعالجة وتخزين وحفظ في نسخ احتياطية بما يضمن سرية وسالمة وإتاحة البيانات والتوافق مع اإلطار العام لألمن السيبرانى.
4-1-6 خطة العمل الخاصة بالربط الفني مع شركة بنوك مصر والشركات صاحبة عالمة القبول.
5-1-6 البيانات المتعلقة بالتطبيق الخاص بطالب الرمز )Requestor Token )إن وجدت وذلك للبطاقات المصدرة من البنك.
6-1-6 دور البنك والجهات المصرح لها طلب ترميز البطاقات المصدرة من البنك.
7-1-6 البيانات المتعلقة بأنظمة إدارة تطبيقات ترميز البطاقات اإللكترونية Wallet( (Server Management أن وجدت.
8-1-6 تقديم خطة عمل لمدة ثالث سنوات تتضمن التالي:
-
عدد العمالء والبطاقات الخاصة بالعمالء المستهدف تقديم الخدمة لهم.
-
عدد وقيم المعامالت السنوية المستهدف تنفيذها باستخدام البطاقات التي تم ترميزها.
-
تقديم خطة تسويقية شاملة للتعريف بالخدمة وتفعيل استخدامها على أن يوضح بالخطة الميزانية المعتمدة لذلك.
2-6 يجب موافاة البنك المركزي المصري بما يلي قبل اإلطالق الفعلي للخدمة:
1-2-6 تقرير اختبارات االختراق )Report Test Penetration), وتقارير تقييم نقاط الضعف )assessment vulnerability Credential )على بيئة العمل الفعلية والطوارئ بما يشمل جميع األنظمة و التطبيقات و البنية التحتية و أساليب التأمين المتبعة على ان تكون هذه االختبارات تتم بصورة شاملة تتيح اكتشاف جميع الثغرات و المشاكل الفنية والذي يفيد عدم وجود أي نقاط ضعف عالية أو متوسطة الخطورة ومن ثم الحصول على موافقة البنك المركزي المصري بتفعيل الخدمة، على ان يتم تقديم التقرير المشار اليه إلى البنك المركزي المصري في مدة ال تتجاوز ثالثة أشهر من تاريخ إصداره من مقدم خدمة خارجي مستقل والخاصة بكافة الخدمات المذكورة اعاله.
2-2-6 ما يفيد اجتياز التطبيقات اإللكترونية لكافة االختبارات الفنية التي سيتم تقديم الخدمة من خاللها سواء كانت تطبيقات لمصنعي األجهزة الذكية )Wallet OEM )او تطبيقات تخص البنوك ال Wallet HCE )أو التطبيقات من مقدم خدمة. ُمصدرة ) 3-2-6 تقييم المخاطر الذي تم من جانب البنك على الخدمة والذي يوضح أن الضوابط التي سيتم تطبيقها تصل بمستوى المخاطر للمستوى المقبول وتوضح إجراءات إدارة ورصد اية مخاطر بصورة فعاله.