Regulatory Alerts2023-03-08
A circular dated March 8, 2023 regarding the rules regulating card coding services on electronic device applications
These rules aim to define the framework for banks and all parties involved in the infrastructure for providing tokenization services for electronic payment cards to allow maximum flexibility and security and provide appropriate banking services to all segments of society, with the aim of promoting the use of electronic payment methods and achieving financial inclusion. The rules include the general definitions, scope of application, risk management, and the responsibilities and obligations of the board of directors and senior management. They also cover anti-money laundering and counter-terrorism financing, as well as the general rules for banks to provide tokenization services on electronic devices. The document also outlines the technical requirements, security measures, and the necessary licenses.
$$\gamma\cdot\gamma\gamma\omega\gamma\lambda\wedge\ldots\lor\lambda\lor\lambda\Delta\phi$$
السيد األستاذ / بنك تحية طيبة وبعد، في ضوء االهتمام الذي يوليه البنك المركزي المصري لتدعيم البنية التحتية للق�طاع المصرفي وتحفيز استخدام أدوات دفع إلكترونية جديدة للعمالء لتنفيذ مختلف المعامالت المصرفية اإللكترونية، وحيث أن لخدمات التي تُس ِهم في تمكين عدد ّد من أهم اخدمات ترميز البطاقات على تطبيقات االجهزة االلكترونية تُعَ كبير من المواطنين من الوصول للخدمات المصرفية بكفاءة وفاعلية وبما يحقق إستقاللية نظم الدفع الوطنية َّم اتساع مظلة استخدام الوسائللنظم وخدمات الدفع ، ومن ثَويواكب أحدث التقنيات المستخدمة عالمياً والقنوات المصرفية.
وفي هذا الصدد، أرجو التكرم باإلحاطة بإعتماد مجلس إدارة البنـك المركزي المصري بجلسته المنعقـدة في 21 فبراير 2023 القواعد المنظمة لخدمات ترميز البطاقات على تطبيقات األجهزة اإللكترونية داخل جمهورية مصر العربية )مرفق(.
برجاء التفضل بالتنبيه باتخاذ ما يلزم نحو االلتزام بالقواعد المشار إليها.
$\left(\epsilon\left\langle\mathbf{a}\right\rangle\right)$ وتفضلوا بقبول فائق االحترام،،، حسن عبد هللا القواعد المنظمة لخدمات ترميز البطاقات على تطبيقات الأجهزة الإلكترونية داخل جمهورية مصر العربية Payment Cards Tokenization on Electronic Devices Applications اصدار الاول | فبراير 2023 القواعد المنظمة لخدمات ترميز البطاقات على تطبيقات األجهزة اإللكترونية داخل جمهورية مصر العربية Payment Cards Tokenization on Electronic Devices Applications اإلصدار اأ�لول | فبراير 2023 البَ
المحتويات
| 5 | مقدمـة |
|---|---|
| 6 | عامة تعريفات |
| 8 | لتطبيق 1 نطاق ا |
| 9 | لكترونية ألجهزة اإل طبيقات ا ت على ت يز البطاقا دمات ترم مخاطر خ 2 إدارة |
| 9 | إللكترونية األجهزة ا ى تطبيقات بطاقات عل ت ترميز ال طة بخدما طر المرتب 1-2 المخا |
| 9 | إلدارة العليا اإلدارة وا مات مجلس يات والتزا 2-2 مسئول |
| 11 | اإلرهاب ال وتمويل غسل األمو ط مكافحة 3-2 ضواب |
| 12 | نية ة اإللكترو ت األجهز ى تطبيقا طاقات عل ترميز الب م خدمات نوك لتقدي منظمة للب د العامة ال 3 القواع |
| 12 | UNIFIED) ISSUER TSP INTERFACE صدرة ) ُ للبنوك الم ز الموحدة جهة الترمي لخاصة بوا الضوابط ا 1-3 |
| 12 | ية ع اإللكترون ألدوات الدف ISSUER ) ر )BANK لبنك المصد ُ التزامات ا 2-3 |
| 16 | ) ACQUIRER BANK قابل ) ات البنك ال 3-3 التزام |
| 18 | ل عالمة القبو ت صاحبة ات الشبكا 4-3 التزام |
| 18 | TOKEN) SERVICE PROVIDER يز )TSP - دمات الترم ات مقدم خ 5-3 التزام |
| 19 | TOKEN) REQUESTOR الرمز ) ليات طالب 6-3 مسؤو |
| 21 | ر بنوك مص ليات شركة 7-3 مسؤو |
| 24 | لكترونية ألجهزة اإل طبيقات ا ات على ت ميز البطاق خدمات تر ة إلدارة بط الرقابي 4 الضوا |
| 24 | لمعلومات ة وسال�مة ا 1-4 سري |
| 25 | ة ية للمنظوم متابعة األمن التحتية وال 2-4 البنية |
| 27 | ي للخدمة لنظام األمن 3-4 تقييم ا |
| 28 | وإداراتها ث الطارئة جابة لألحدا 4-4 االست |
| 29 | لعمل ستمرارية ا وضمان ا رات األداء 5-4 اعتبا |
| 30 | ى اطر األخر عض المخ ضوابط لب عمالء و 5 أمن ال |
| 33 | راخيص ل على الت ت الحصو 6 إجراءا |
AVA 85 7 a 44 4 2 a lar 3 ls f 6 19 -M No p a W 4 | | القواعد المنظمة ات ترميز البطاقات على تطبيقات الأجهزة الإلكترونية داخل جمهورية مصر التربية
مقدمـة
تهــدف هــذه القواعــد إلــى تحديــد إطــار عمــل البنــوك وكافــة األطـراف المشـاركة فـي البنيـة التحتيـة لتقديـم خدمـات ترميـز بطاقــات الدفــع اإللكترونيــة وذلــك إلتاحــة أقصــى قــدر مــن المرونـة واألمــان وتقديــم الخدمــات المصرفيــة المالئمــة لكافـة فئـات المجتمـع، بهـدف نشـر وسـائل الدفـع اإللكترونيـة وتحقيـق الشــمول المالــي.
5
تعريفات عامة
| ويكـون | »الرمـز«، | ـد يسـمى | برمـز فري | قـة الفعليـة | انـات البطا | اسـتبدال بي | قات | ترميز البطا | Cards Tokenization | Token | ب الرمـز ) | طاقـة وطالـ | ثـل رقـم الب | البيانـات م | موعـة مـن | ممثلا لمج | |||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| .)Requestor | |||||||||||||||||||||
| رخـص لها | عـات والم | مـة المدفو | داخـل منظو | ي تتواجـد | هيئـات التــ | أي مــن ال | ت الترميز | مقدم خدما | Token Service | الرموز. | ـدار وادارة | ختـص بإص | ي والتـي ت | زي المصـر | بنـك المركـ | مـن قبـل ال | |||||
| Provider "TSP" | |||||||||||||||||||||
| ميـز عبـر | دمـات التر | ن مقـدم خ | طاقـات مـ | ترميـز الب | تـي تطلـب | الجهـات ال | ز | طالب الرم | Token Requestor | ونيـة. | ت اإللكتر | والتطبيقـا | القنـوات | ||||||||
| ً | ة | ك المصـدر | ُ | مـن البنـو | يـن كال | ـى الربـط ب | ي تعمـل عل | موحـدة التـ | الواجهـة ال | دة للبنوك | ميز الموح | واجهة التر | المصدرة | ُ | رة انشـاء | غـرض إدا | ل وذلـك ب | المـة القبـو | صاحبـة ع | والشـبكات | للبطاقـات |
| Unified Issuer TSP | بيـة. | مصـر �العر | جمهوريـة | رة داخـل | ت المصـد | ُ | فـة البطاقـا | الرمـوز لكا | Interface | ||||||||||||
| ي األجهزة | ـب مصنعـ | هـا مـن جان | يتـم إصدار | قـات التـي | رميـز البطا | تطبيقـات ت | لمصنعي | إللكترونية | التطبيقات ا | ُ | كية | األجهزة الذ | ال الحصـر | يل المثـال | ة علـى سـب | اإللكترونيـ | Apple | Pay | Google ، | )،Pay | |
| Original Equipment | .)Samsung Pay | Manufacturer Wallet | |||||||||||||||||||
| "OEM Wallet" | |||||||||||||||||||||
| صــدرة | البنــوك الم | مــن قبــل | ــم إتاحتهــا | ــة التــي تت | ت المصرفي | هــي األدوا | ية | ع اإللكترون | أدوات الدف | ُ | الحصـر | ل المثـال ال | علـى سـبي | إللكترونيـة | ات الدفـع ا | ا فـي عمليـ | السـتخدامه | ||||
| . | إللكترونيــة | البطاقــات ا | |||||||||||||||||||
| ارها من | ي يتـم إصد | كترونية الت | ألجهـزة اإلل | قـات علـى ا | رميـز البطا | تطبيقـات ت | للبنوك | إللكترونية | التطبيقات ا | ع | خدمات الدف | و مقدمي | المصدرة أ | ُ | الدفع. | ـي خدمات | رة أو مقدم | وك المصد | ُ | جانـب البنـ | |
| Host Card Emulation | Wallet | ||||||||||||||||||||
| "HCE Wallet" | |||||||||||||||||||||
| ت القبول | ديــم خدما | صــري بتق | لمركزي الم | ـن البنــك ا | ــرح لــه مـ | البنك المص | البنك القابل | Acquirer Bank | ل البنــوك | درة مـن قبـ | لفـة المصـ | دفــع المخت | م أدوات ال | ة باسـتخدا | اإللكترونيـ | ُ | |||||
| الضوابط | عمليات مع | فق هــذه ال | كــد من توا | ـويات والتأ | مالت التسـ | وإتمام معا | صري. | مركـزي الم | ن البنــك ال | صــادرة ع | الرقابيــة ال |
يكون لكل من الكلمات والعبارات اآلتي�ة المعنى المبين لها أدناه أينما وردت في هذه القواعد:
| ت الدفـع صـدار أدوا لمصـري بإ المركـزي ا مـن البنـك صـرح لـه البنـك الم | در البنك المص ُ |
|---|---|
| ل للعمالء المـة القبو صاحبة ع ع الشـبكات لمختلفـة م بأنواعهـا ا اإللكترونيـة | Issuer Bank |
| م أدوات م باسـتخدا لات التـي تت يـة والتحوي ملات المال علـى المعا والتصديـق | |
| صـادرة الرقابيـة ال ع الضوابـط لعمليـات مـ افـق هـذه ا أكـد مـن تو الدفـع، والت | |
| لمصري. المركـزي ا عـن البنـك | |
| ن خلال البطاقـة مـ مـن حامـل ها للتحقـق م اسـتخدام ئل التـي يتـ هـي الوسـا | مل البطاقة قق من حا وسائل التح |
| اليـة: البدائـل الت ـتخدام أحـد وذلـك باس إللكترونيـة األجهـزة ا | نية زة اإللكترو على األجه Consumer Device |
| Mobile Phone ستخدم من قبل الم ي للجهاز يف الشخص - رقم التعر | Cardholder |
| .Passcode | Verification Method |
| م بإنشائه. وم المستخد ري الذي يق - الرقم الس | "CDCVM" |
| Biometric User Authentication ستخدم الحيوية للم الخصائص - | |
| ت(. ع / الصو جه / األصب العين / الو مثل )بصمة | |
| توكـوالت ة مــن برو ل مجموعــ مــن خلا ـاق قريــب ال فــي نطـ هــو االتصـ | يب المدى االتصال قر |
| اق قريـب ل عبــر نطـ ن للتواصــ ن أو أداتيــ ــن جهازيــ والتــي تمك التواصــل | Near Field |
| 4 ســم. ال يتعــدى | Communication |
| "NFC" | |
| بط الرقابية من الضوا العتبار أي األخذ في ا خاطر دون مستوى الم | كامنة المخاطر ال |
| ن: من عنصري ك وتتكون ن قبل البن المنفذة م ت المعالجة أو إجراءا | Inherent Risk |
| وث. تمالية الحد التأثير واح | |
| بيـة أو وابـط الرقا تنفيـذه الض البنـك بعـد ـرض لهـا تـي قـد يتع المخاطـر ال | متبقية المخاطر ال |
| كامنـة. لمخاطـر ال لحـد مـن ا إجـراءات ا | Residual Risk |
| انون رقم بموجـب الق ن المنظمة واإلرهابيي اإلرهابيـة م الكيانـات تشـمل قوائـ | لبية القوائم الس |
| ن التابـع جلـس األمـ ادرة عـن م قوائـم الصـ ديالتـه، وال 2015 وتع 8 لسـنة | |
| أسـلحة يـل انتشـار ويلـه وتمو رهـاب وتم الصلـة باإل حـدة ذات لألمـم المت | |
| الرجوع ى ضـرورة بنـك أو يـر ى يعدهـا ال قوائـم أخـر امل، وأيـة الدمـار الشـ | |
| . رجيـن بهـا ـل مـع المد مكـن التعام إليهـا وال ي |
1-1 تسـري هـذه القواعـد علـى كافـة البنـوك العاملـة فـي جمهوريـة مصـر العربيـة ومقدمـي خدمـات ترميـز البطاقـات علـى تطبيقات األجهـزة اإللكترونية المرخص لهـم من قبل البنك المركـزي، وتعتبـر هـذه القواعـد والضوابـط هي الحد األدنـى الالزم على البنـوك ومقدمي خدمـات ترميـز البطاقـات وعليهـم أال يكتفـوا بذلـك وأن يتـم التأكد من اتخـاذ كافة ما يلزم نحـو إدارة المخاطـر المرتبطـة بتقديـم هـذا النوع مـن الخدمات.
2-1 تسـري هـذه القواعـد علـى تقديـم خدمـات ترميـز البطاقـات علـى تطبيقـات األجهـزة اإللكترونيـة وذلـك مـع األخـذ بعيـن االعتبـار الضوابـط والتعليمـات الرقابيـة ذات الصلـة والسـابق صدورهـا عـن البنـك المركـزي المصري وتعديالتهـا وكذا الضوابـط الرقابية في شـأن مكافحـة غسـل االمـوال الصـادرة عـن البنـك المركـزي المصـري وإجـراءات العناية الواجبـة الصـادرة عـن وحـدة مكافحـة غسـل األمـوال وتمويـل اإلرهـاب وقانـون مكافحـة غسـل األمـوال رقـم 80 لسـنة 2002 وتعديالتـه والئحتـه التنفيذيـة وتعديالتهـا. وكـذا االلتـزام بالقواعـد والمواصفـات الفنيـة لتقديـم تلـك الخدمـات وتحديثاتهـا الصـادرة عـن شـركة بنـوك مصـر والمعتمـدة مـن قبـل البنـك المركـزي المصـري.
8 القواعد المنظمة لخدمات ترميز البطاقات على تطبيقات األجهزة اإللكترونية داخل جمهورية مصر العربية
.2 إدارة مخاطر خدمات ترميز البطاقات على تطبي�قات األجهزة
اإللكترونية
1-2 المخاطر المرتبطة بخدمات ترميز البطاقات على تطبيقات األجهزة اإللكترونية يقتــرن تقديــم خدمــات ترميــز البطاقــات علــى تطبيقــات األجهــزة اإللكترونيــة بالعديــد مــن المخاطــر، والتــي ال تعتبــر جديــدة علــى البنــوك مثــل )مخاطــر التشــغيل، مخاطــر عـدم االلتـزام، مخاطـر السـمعة والمخاطـر اإلسـتراتيجية( الموضحـة فـي تعليمـات- إدارة ً إلصالحــات بــازل 3 ديســمبر 2017 الصــادرة فــي 4 ينايــر مخاطــر التشــغيل وفقــا ،2022 والرقابــة الداخليــة فــي البنــوك، وكــذا ضوابــط مزاولــة العمليــات المصرفيــة اإللكترونيـة وإصـدار وســائل دفـع لنقــود إلكترونيـة، إال أن خصائـص خدمــات ترميـز البطاقــات قــد تزيــد مــن درجــات المخاطــر باإلضافــة إلــى خلــق تحديــات جديــدة إلدارة تلــك المخاطــر والتــي يتعيــن علــى كافــة الجهــات المعنيــة بتقديــم تلــك الخدمــات وضــع األطـر والضوابـط الالزمـة إلدارة والحـد مـن تلـك المخاطـر، وفيمـا يلـي بعـض األمثلـة ذات الصلــة المرتبطــة بتقديــم الخدمــة المذكــورة: 1-1-2 مخاطر عدم االلتزام، ومنها على سبيل المثال ال الحصر: األسـاليب/اإلجراءات الواجبـة التـي يسـتخدمها البنك للتحقق من هويـة العمالء حائزي ُ أدوات الدفـع اإللكترونيـة المصـدرة من قبل البنك.
عملية التصديق على المعامالت المالية.
2-1-2 مخاطر السمعة ومنها على سبيل المثال ال الحصر: انعدام الثقة نتيجة وجود عمليات دفع غير مصرح بها على رموز بطاقات العمالء.
الفشـل فـي تقديـم خدمـات يمكـن االعتمـاد عليهـا نتيجة لتكـرار تعطل الخدمـة أو طول مـدة توقفهـا أو أي خلـل أو خطـأ ينشـأ عـن ذلك.
3-1-2 مخاطر أمن المعلومات ومنها على سبيل المثال ال الحصر: مخاطر حجب الخدمة وتأثيرها سلبيا على سير العمل.
مخاطر تسريب البيانات وتأثيرها سلبيا على السمعة والوقوع تحت طائلة القانون.
مخاطر سالمة بيانات العميل وعدم التالعب بها بما يضمن نزاهة سير العمل.
4-1-2 مخاطر االحتيال والتـي تتمثـل فـي أي فعـل عمـدي يهـدف الـى الحصـول علـى منفعـة للنفـس أو للغيـر وينتـج عنـه خسـائر ماديـة أو معنويـة وذلـك بالمخالفـة ألحـكام القانـون أو التعليمـات واللوائـح المنظمـة.
2-2 مسئوليات والتزامات مجلس اإلدارة واإلدارة العليا
يتولــى مجلــس اإلدارة بالبنــك مســئولية اعتمــاد اســتراتيجية العمــل الخاصــة بتقديــم خدمــات ترميـز البطاقـات الموضوعـة مـن قبـل اإلدارة العليـا، واتخـاذ قـرار اسـتراتيجي واضـح بشـأن ً لتعليمـات حوكمـة البنـوك الصـادرة فـي 23 أغسـطس 2011 السـابق تلـك الخدمـات وذلـك وفقـا صدورهـا عـن البنـك المركـزي وتعديالتهـا، واعتمـاد السياسـة الخاصـة بتقديـم الخدمـة علـى أن يتـم التأكـد ممـا يلـي: 1-2-2 وضـع سياسـات وإجـراءات واضحـة لتحديـد قـدرة البنـك علـى تقبـل المخاطـر المصاحبـة للمعامـات الناشـئة عـن خدمـات ترميـز البطاقـات علـى تطبيقـات األجهـزة اإللكترونيـة وكـذا الحـد مـن تلـك المخاطـر علـى أن يتـم تقييـم تلـك السياسـة علـى األقـل مرة سـنويا، وتحديثهـا بصـوره دوريـة علـى أن تشـمل تلـك السياسـة علـى األخـص النقـاط األتيـة: التصديق على المعامالت.
التسويات.
عمليات االعتراض )Disputes).
رد العمليات )Refunds).
االحتيال )Fraud).
مستوي الخدمة وكفاءتها.
2-2-2 ضـرورة أن تكـون منهجيـة التأميـن قائمـة علـى تحليـل المخاطـر والتهديـدات الخاصة، مـع األخـذ فـي االعتبـار المخاطـر الكامنـة )Risk Inherent )والضوابـط الرقابيـة التعويضيــة )Controls Compensating )مــن أجــل الوصــول لمســتوى مــن المخاطــر المتبقيــة )Risk Residual )التــي تقــع ضمــن مســتويات المخاطــر المقبولــة.
3-2-2 اإلشـراف علـى التطويـر والصيانـة المسـتمرة للبنيـة التحتيـة وأنظمـة التأميـن الخاصة بهـا وكذلـك أدوات المراقبـة والمتابعـة المسـتمرة للرقابـة األمنيـة التـي توفـر الحمايـة المناسـبة لنظـم وبيانـات المعامـات التـي يتـم تنفيذهـا مـن البطاقـات التـي تـم ترميزهـا علـى تطبيقـات األجهـزة اإللكترونيـة مـن أي تهديـدات داخليـة أو خارجيـة، ومـن أجـل ضمـان كفايـة وفعاليـة المعامـات الماليـة، يجـب علـى اإلدارة العليـا التأكـد مـن اتخـاذ اإلجـراءات اآلتيـة: 1-3-2-2 تحديـد مسـئوليات واضحـة خاصـة باإلشـراف علـى وضع وإدارة سياسـات األمـن السـيبرانى الخاصـة بالبنـك.
2-3-2-2 التأكـد مـن توفيـر الحمايـة الالزمـة لمنـع دخـول األشـخاص غيـر المصـرح لهـم العمـل علـى أنظمـة البنية التحتيـة، والتي تتضمن كا�فـة األنظمة الحيوية وخـوادم النظـام وقواعـد البيانـات والتطبيقات واالتصـاالت، وأنظمة التأمين الخاصـة بالخدمة.
3-3-2-2 مراجعـة واعتمـاد الجوانب الرئيسـية ألنظمـة تكنولوجيـا المعلومات واألمن السـيبرانى الخاصـة بالبنـك بمـا يشـمل المراجعـة الدوريـة لعمليـات اختبـار البنيـة التحتيـة وأنظمـة األمـن السـيبرانى- علـى سـبيل المثال إجـراء اختبار االختـراق مـرة واحـدة سـنويا بمـا فـي ذلـك المتابعـة المسـتمرة للتطـورات والتحديثـات ألنظمـة البنيـة التحتيـة، التطبيقـات، وأنظمـة األمـن السـيبرانى فـي هـذا المجال.
3-2 ضوابط مكافحة غسل األموال وتمويل اإلرهاب
يجــب علــى البنــوك التــي تقــدم أو تقبــل خدمــات ترميــز البطاقــات علــى تطبيقــات األجهــزة اإللكترونيــة االلتــزام بمــا يلــي: االلتـزام بقانـون مكافحـة غسـل األمـوال الصادر بالقانـون رقم 80 لسـنة 2002 وتعديالته والئحتـه التنفيذيـة وتعديالتهـا والضوابـط الرقابيـة للبنـوك فـي شـأن مكافحـة غسـل األمـوال وتمويـل اإلرهـاب الصـادرة عـن البنـك المركـزي المصـري، وإجـراءات العنايـة الواجبـة بعمـاء البنـوك السـارية الصـادرة عـن وحـدة مكافحـة غسـل األمـوال وتمويـل اإلرهـاب، وآليـة تنفيـذ قـرارات مجلـس األمـن الخاصـة بالعقوبـات ا�لماليـة المسـتهدفة الصـادرة عـن وحـدة مكافحـة غسـل األمـوال وتمويـل اإلرهـاب.
اتبــاع االرشــادات الصــادرة للبنــوك فــي وضــع آليــه لتنفيــذ العقوبــات الماليــة المســتهدفة والتجميــد الفــوري وكــذا إرشــادات المعنييــن بالتنفيــذ فــي شــأن المدرجيــن بقوائــم الحظــر وفقــا للقوائــم المحدثــة المنشــورة علــى موقــع وحــدة مكافحــة غســل األمــوال تحــت بنــد القوائــم الســلبية.
Www.Mlcu.Org.Eg
وجـود آليـة لرصـد العمليـات التـي يشـتبه فـي وجـود غسـل األمـوال أو تمويـل اإلرهـاب والتأكـد مـن ربـط األنظمـة الخاصـة بالمعامـات بأنظمـة مكافحـة غسـل األمـوال وتمويـل اإلرهـاب / أنظمـة الكشـف عـن العمـاء المدرجيـن بالقوائـم السـلبية.
ايـاء عنايـة كافيـة بمـا يتفـق مـع طبيعـة الخدمـة مـن المؤشـرات االسترشــادية للتعـرف علــى العمليــات التــي يشــتبه فــي أنهــا تتضمــن غســل أمــوال أو تمويــل إرهــاب الــواردة بالضوابـط الرقابيـة للبنـوك فـي شـأن مكافحـة غسـل األمـوال وتمويـل اإلرهـاب الصـادرة عـن البنـك المركـزي المصـري.
فــي حالــة االشــتباه فــي أيــة عمليــات تتــم باســتخدام البطاقــات التــي تــم ترميزهــا علــى تطبيقـات األجهـزة اإللكترونيـة وتتضمـن غسـل أمـوال أو متحصـات جريمـة أصليـة أو تمويـل إرهـاب يجـب القيـام علـى الفـور بإخطـار وحـدة مكافحـة غسـل األمـوال وتمويـل اإلرهــاب بشــأنها، وذلــك وفقــا ألحــكام قانــون مكافحــة غســل األمــوال الصــادر بالقانــون رقــم 80 لســنة 2002 والئحتــه التنفيذيــة وتعديالتهــا.
متابعـة موقـع الوحـدة بشـكل دوري للتعـرف علـى التحديثـات علـى القوائـم السـلبية سـواء بالحـذف أو اإلضافـة أو التعديـل.
ً لمــا ورد بــكل مــن األحتفــاظ بالســجالت والمســتندات الخاصــة بالعمــاء والعمليــات وفقــا قانـون مكافحـة غسـل األمـوال الصـادر بالقانـون رقـم 80 لسـنة 2002 وتعديالتـه والئحتـه التنفيذيـة وتعديالتهـا والضوابـط الرقابيـة للبنـوك فـي شـأن مكافحـة غسـل األمـوال وتمويـل اإلرهـاب الصـادرة عـن البنـك المركـزي المصـري.
.3 القواعد العامة المنظمة للبنوك لتقديم خدمات ترميز البطاقات على تطبيقات األجهزة اإللكترونية.
1-3 ُ . الضوابط الخاصة بواجهة الترميز الموحدة للبنوك المصدرة )Unified Issuer TSP Interface( 1-1-3 تقــوم شــركة بنــوك مصــر للتقــدم التكنولوجــي بــدور مقــدم خدمــة واجهــة الترميــز ُ الموحــدة للبنــوك المصــدرة للبطاقــات داخــل جمهوريــة مصــر العربيــة. 2-1-3 ُ تقـوم واجهـة الترميـز الموحـدة للبنـوك المصـدرة بالربـط بصـورة مؤمنـة يراعـي مـن ً ُ مـن البنـوك المصـدرة خاللهـا سـرية البيانـات والمعلومـات التـي يتـم تبادلهـا بيـن كال للبطاقـات والشـبكات صاحبـة عالمـة القبـول وذلـك بغـرض إدارة انشـاء الرمـوز لكافـة ُ البطاقـات المصـدرة داخـل جمهوريـة مصـر العربيـة مـع األخـذ علـى سـبيل المثـال ال الحصـر فـي االعتبـار مـا يلـي: أليات التشفير المستخدم�ة لحماية الشبكات والبيانات طبقا ألفضل الممارسات العالمية.
تأميـن واجهـة برمجـة التطبيقات )API )طبقا للممارسـات العالميـة للحد من المخاطر الناتجـة عـن الثغـرات المرتبطـة بها مع اجـراء اختبارات االختـراق الخاصة بها.
القيـام باختبـارات االختـراق )test penetration Infrastructure )للتأكـد مـن تأميـن شـبكات الربـط وأنظمـة البنيـة التحتيـة ضـد اي اختراق.
3-1-3 ُ تكـون واجهـة الترميـز الموحـدة للبنـوك المصـدرة هـي المسـئولة عـن إتمـام عمليـة انشــاء الرمــز )Provisioning Token )مــع جميــع مقدمــي خدمــات الترميــز )TSPs Providers Service Token )المعتمديــن مــن الشــبكات صاحبــة عالمــة القبــول المرخــص لهــا بالعمــل داخــل جمهوريــة مصــر العربيــة.
4-1-3 يتـم إصـدار رمـز إضافـي )Token Auxiliary ُ ) لكافـة البطاقـات المصـدرة داخـل جمهوريـة مصـر العربيـة والتـي تحمل عالمة قبول دوليـة )Card International :)Scheme الرمز األول: صادر عن الشركات صاحبة عالمة القبول الدولية.
الرمـز اإلضافـي )Token Auxiliary): صـادر عن الشـركة صاحبـة عالمة القبول الوطنيـة »ميزة«.
5-1-3 يتم اصدار رمز واحد فقط ال غير يخص منظومة الدفع الوطنية لبطاقات »ميزة«. 2-3 ُ . التزامات البنك المصدر )Bank Issuer )ألدوات الدفع اإللكترونية 1-2-3 ُ يجــب علــى ال�بنــوك الم ُ صــدرة اســتخدام واجهــة الترميــز الموحــدة للبنــوك المصــدرة )Interface TSP Issuer Unified )للربــط مــع الشــبكات صاحبــة عالمــة القبــول.
2-2-3 التأكـد مـن إصـدار رمـز إضافـي )Token Auxiliary ُ ) لكافـة البطاقـات المصـدرة داخـل جمهوريـة مصـر العربيـة والتـي تحمل عالمـة قبـول دوليـة )International :)Card Scheme الرمز األول: صادر عن الشركات صاحبة عالمة القبول الدولية.
الرمز اإلضافي: صادر عن الشركة صاحبة عالمة القبول الوطنية »ميزة«.
3-2-3 ُ يلتــزم البنــك المصــدر الراغــب فــي تفعيــل خدمــة الترميــز بإتاحتهــا لكافــة الشــبكات صاحبـة عالمـة القبـول المتعاقـد معهـا البنـك، وفـي حالـة قيـام البنـك بتفعيـل الخدمـة ألحـد الشـبكات، يلتـزم البنـك بإسـتكمال تفعيـل الخدمـة لكافـة الشـبكات المتعاقـد معهـا البنـك خـال عـام مـن تاريـخ تفعيـل البنـك للخدمـة حـال تفعيـل الشـبكة صاحبـة عالمـة القبـول للخدمـة.
4-2-3 ُ البنـك المصـدر هـو المسـؤول عـن إجـراءات التعـرف علـى هويـة العميـل والتحقـق )Verification & Identification )مــن بيانــات أدوات الدفــع اإللكترونيــة الخاصـة بعمالئـه مـن خـال أي مـن التطبيقـات التكنولوجيـة المعتمـدة وفـق الضوابـط واإلجــراءات المعتمــدة مــن قبــل البنــك المركــزي المصــري.
5-2-3 ُ يجــب التحقــق مــن هويــة حامــل أداة الدفــع اإللكترونيــة المصــدرة مــن قبــل البنــك بـأي مـن وسـائل التحقـق وفقـا لتقييـم المخاطـر لـدي البنـك والتـي تشـمل علـى سـبيل المثـال وليـس الحصـر )إرسـال رسـالة نصيـة تحتـوي علـى الرقـم السـري المسـتخدم لمــرة واحــدة )OTP Password Time One )للهاتــف المســجل لــدي البنــك( ُ وذلــك حــال طلــب ترميــز البطاقــات المصــدرة مــن قبــل البنــك مــن خــال تطبيقــات ترميــز البطاقــات عبــر األجهــزة اإللكترونيــة.
6-2-3 المـدة القصـوى لصالحيـة الرمـز هـي 5 ُ سـنوات وعلـى البنـك المصـدر للبطاقـة وضـع االجـراءات التـي تضمـن أن يتـم إعـادة عمليـة التحقـق مـن العميـل بعـد تلـك الفتـرة وأال ترتبـط تلـك الفتـرة بصالحيـة البطاقـة االصليـة إال فـي الحـاالت اإلسـتثنائية التـي يقرهـا البنـك المركـزي المصـري.
7-2-3 يتعيــن علــى البنــك فــي ضــوء تقييمــه للمخاطــر المرتبطــة بالخدمــة وضــع الحــدود المناسـبة لقيـم وعـدد المعامـات اليوميـة والشـهرية لـكل رمـز وفقـا لتقييـم المخاطـر لــدي البنــك.
8-2-3 ُ قــدرة األنظمــة الخاصــة بالبنــك المصــدر علــى التمييــز والتعامــل مــع الحــركات الــواردة بوســائل التحقــق مــن حامــل البطاقــة علــى ا�ألجهــزة اإللكترونيــة .)Consumer Device Cardholder Verification Method - CDCVM( 9-2-3 ُ يجــب علــى البنــك المصــدر عــدم تجــاوز الحــدود القصــوى للمعامــات الالتالمســية ً التـي تتـم بـدون التحقـق مـن حامـل البطاقـة )Limit CVM )والصـادرة عـن محليـا البنــك المركــزي المصــري، ويســتثنى مــن تلــك الحــدود المعامــات التــي تتــم خــارج جمهوريـة مصـر العربيـة مـع قيـام كل بنـك بوضـع الحـد األقصـى المناسـب لـه وفقـا لتقييــم المخاطــر لــدي البنـك.
13 10-2-3 ُ يتعيـن علـى البنـك المصـدر تحديـد الحـد األقصـى للقيـم االجماليـة وعـدد المعامـات الالتالمســية المتتاليــة التــي تتــم دون إتمــام اجــراءات التحقــق مــن حامــل البطاقــة )Limit CVM )وفقـا لتقييـم المخاطـر لـدي البنـك، وحـال تخطـي العميـل الي مـن تلــك الحــدود يتــم طلــب التحقــق مــن حامــل البطاقــة باســتخدام وســائل التحقــق مــن حامــل البطاقــة علــى األجهــزة اإللكترونيــة )CDCVM )أو ادخــال الرقــم الســري للبطاقــة )PIN).
11-2-3 ُ يتعيـن علـى البنـك المصـدر تقييـم المخاطـر المرتبطـة بالخدمـة وباألخـص تقييـم تأمين المعامـات المنفـذة مـن مختلـف الوسـائل اإللكترونيـة بمـا يشـمل إمكانيـة عـدم إتاحـة الخدمـة إال مـن خـال مصنعـي الهواتـف المحمو�لـة الموثـوق بهـم وبعـد االنتهـاء مـن التقييـم الفنـي الـذي يضمـن أمـان المعامـات المنفـذة مـن خاللهـم بإسـتخدام وسـائل التحقـق مـن حامـل البطاقـة علـى األجهـزة اإللكترونيـة )CDCVM )وإمكانيـة وضـع الحـدود المناسـبة لتلـك المعامـات بمـا يتوافـق مـع تقييـم المخاطـر لـدي البنـك.
12-2-3 فـي حالـة المعامـات التـي تتجـاوز حـد التحقـق مـن حامـل البطاقـة )Limit CVM ) و فـي حالـة عـدم تمكـن نقـاط البيـع اإللكترونيـة مـن التعـرف علـى وسـيلة التحقـق مــن حامــل البطاقــة علــى األجهــزة اإللكترونيــة )CDCVM )فيجــب إدخــال الرقــم الســري او رفــض الحركــة.
13-2-3 ُ يتعيـن علـى البنـك المصـدر وضـع تدابيـر فعالـة للرقابـة المسـتمرة لضمـان سـرعة اكتشــاف أي معامــات غيــر عاديــة علــى ســبيل المثــال وليــس الحصــر )محــاوالت تســجيل البطاقــات الخاطئــة ألكثــر مــن مــرة، فشــل محــاوالت التحقــق مــن حامــل البطاقــة ألكثــر مــن مــرة..، الــخ( ويجــب علــى البنــوك فــي تلــك الحــاالت أن تقــوم بالتحقـق مـن ذلـك مـع أصحـاب هـذه البطاقـات التـي تتـم عليهـا هـذه المعامـات أو ًاألنشـطة فـي أسـرع وقـت ممكـن وإخطـار الجهـات المختصـة وإخطـار العمـاء فـورا فــي حالــة رصــد أي أنشــطة غ�يــر معتــادة علــى بطاقاتهــم.
14-2-3 التأكـد مـن وجـود االتفاقيـات التعاقديـة المناسـبة مـع أي مـن األطـراف المشـاركة فـي تقديـم خدمـة ترميـز البطاقـات والتـي تشـمل مـا يلـي علـى سـبيل المثـال ال الحصـر: التأكـد مـن عـدم إدراج الشـريك / الطـرف الخارجـي أو )األشـخاص الطبيعيـون الذين يملكـون حصـص مسـيطرة علـى الشـركة والتي تمثـل 25 % أو أكثر، أو األشـخاص الطبيعيـون الذيـن يسـيطرون علـى الشـركة مـن خلال أيـة وسـائل أخـري( بـأي مـن قوائـم الحظـر وفقـا للتعريـف السـابق ذكره.
تأميـن سلامة وسـرية وإتاحـة بيانـات حامـل البطاقة التي تتـم معالجتهـا أو تخزينها أو نقلها بواسـطة مقـدم الخدمة.
تحديـد المسـئوليات التعاقديـة لكافة األطـراف الخاصة باتفاقيات التعهيد أو الشـراكة أو الوكالـة بوضـوح ومنها على سـبيل المثال:
يتم تحديد مسئوليات توفير المعلومات وتلقيها بشكل واضح.
اتفاقيـة لعـدم اإلفصـاح عـن المعلومـات السـرية ألطـراف خارجيـة واتفاقية مسـتوى الخدمـة والتـي تشـمل علـى سـبيل المثـال ال الحصـر: تحديـد األدوار والمسـئوليات والوقـت المطلـوب لتنفيـذ الخدمـة وإجـراءات وبيانـات التصعيـد والعقوبـات في حال عـدم االلتـزام، هـذا باإلضافـة إلـى البنـود التـي تحفظ حق البنـك في تدقيـق الخدمات أو االعتمـاد علـى تقاريـر التدقيـق المعتمـدة )الصـادرة عـن جهـات تدقيـق معتمدة(.
خضـوع كافـة النظـم والعمليـات التـي تتـم من خلال عمليـة التعهيد أو الوكالـة لنظام إدارة المخاطـر وسياسـات الخصوصيـة وأمـن المعلومـات التـي تتفـق مـع المعاييـر الخاصـة بالبنك.
توفيـر كافـة تقاريـر التدقيـق والتقييـم لمفتشـي قطاعـي الرقابـة واإلشـراف واألمـن السـيبرانى بالبنـك المركـزي المصـري.
أن تتسـم إجراءات فسـخ/إنهاء التعاقد بالفاعلية، كما يجب أن تضمن هذه اإلجراءات الحفاظ على اسـتمرارية العمل وسلامة البيانات وكذلك نقلها والتخلص منها.
15-2-3 اسـتيفاء موافقـات قطاعـي االلتـزام والمخاطـر بالبنـك مـع تنفيـذ كافة الشـروط واألحكام التـي يتـم وضعهـا مـن جانبهـم للحـد مـن المخاطـر المرتبطـة بتلـك التعامـات.
16-2-3 وضـع اإلجـراءات والقواعـد المناسـبة إللغـاء أو ايقـاف الرمـوز والمفاتيـح المرتبطـة بهـا علـى الفـور وفـق طلـب العميـل أو فـي حـال أي حـدث آخـر قـد يعـرض الرمـوز لالسـتخدام غيـر المصـرح بـه مـع تحديـد مسـئوليات كل طـرف.
17-2-3 يجــب علــى البنــك تحديــد اآلليــة الخاصــة بعمليــات االعتراضــات التــي تخــص تلــك النوعيــة مــن المعامــات.
18-2-3 فـي حالـة اسـتخدام تطبيقـات ترميـز البطاقـات عبـر األجهـزة اإللكترونيـة، يقـوم البنـك ُ المصــدر بقبــول معامــات الصــراف اآللــي المنفــذة مثــل )الســحب النقــدي / اإليــداع النقـدي / االسـتعالم عـن الرصيـد.... الـخ( بعـد التحقـق مـن العميـل عـن طريـق الرقـم السـري للبطاقـة فـي كافـة المعامـات.
19-2-3 ضـرورة إخطـار العمـاء بالمعامـات التـي تمـت باسـتخدام الرمـوز علـى أدوات الدفـع اإللكترونيـة بصـوره واضحـة مـن خـال رسـائل نصيـة أو أيـة وسـيلة فعالـة أخـرى يراهـا البنـك مناسـبة.
20-2-3 ضـرورة وجـود حمـات التوعيـة الالزمـة مـن قبـل البنـك للعمـاء بكيفيـة التعامـل مـع تلــك الخدمــة المقدمــة لحاملــي البطاقــات مــع ضــرورة توضيــح المخاطــر المرتبطــة باسـتخدام هـذه الخدمـة وكيفيـة التعامـل معهـا.
21-2-3 توفيـر أدوات الدعـم الفنـي الكاملـة للعمـاء بمـا يتناسـب مـع مسـتوي أداء الخدمـات المصرفيــة.
22-2-3 ضـرورة وجـود حمـات التوعيـة والتدريـب الالزمـة لموظفـي البنـك المسـؤولين عـن تشـغيل ودعـم خدمـة ترميـز البطاقـات.
23-2-3 إخطــار العمــاء بالرســوم الخاصــة بتقديــم خدمــة ترميــز البطاقــات الخاصــة بالبنــك بصــوره واضحــة إن وجــدت.
24-2-3 يلتـزم البنـك بإرسـال كافـة التقاريـر الخاصـة بالمعامـات التـي تتـم باسـتخدام الرمـوز للبنـك المركـزي المصـري.
25-2-3 ُ يلتـزم البنـك المصـدر بالحصـول علـى ترخيـص مـن البنـك المركـزي المصـري إلتاحـة ُ الدفـع عبـر تطبيقـات ترميـز البطاقـات علـى األجهـزة اإللكترونيـة للبطاقـات المصـدرة ً للبنـك أو ألحـد مصنعـي بواسـطته لـكل تطبيـق علـى حـده سـواء كان التطبيـق مملـوكا األجهـزة اإللكترونية وعلى سـبيل المثـال )Samsung ،Pay Google ،Pay Apple Pay )أو ألحـد مقدمـي خدمـات الدفـع المرخصيـن مـن البنـك المركـزي المصـري. 26-2-3 ُ يجـب الحصـول علـى موافقـة البنـك المركـزي المصـري حـال رغبـة البنـك المصـدر اسـتخدام خدمـة ترميـز البطاقـات فـي تنفيـذ أي معامـات أخـري غيـر معامالت الشـراء مـن خـال التجـار علـى سـبيل المثـال ال الحصـر )التحويـات بيـن البطاقـات(.
.3-3 التزامات البنك القابل )Bank Acquirer) 1-3-3 يجــب أن تدعــم نقــاط البيــع اإللكترونيــة جميــع وســائل قبــول الرمــوز علــى ســبيل المثــال ال الحصــر تقنيــة ال )NFC -Communications Field Near).
2-3-3 ضــرورة إتبــاع المعاييــر العالميــة 14443 IEC/ISO وتحديثاتهــا فــي وســائل التواصـل الخاصـة بالمعامـات الالتالمسـية بيـن أداة الدفـع الالتالمسـية ونقـاط البيـع اإللكترونيــة.
3-3-3 يلــزم وجــود عالمــة مميــزة لنقــاط البيــع اإللكترونيــة التــي تقبــل الدفــع باســتخدام األدوات الالتالمســية.
4-3-3 فـي حالـة المعامـات التـي تتجـاوز حـد التحقـق مـن حامـل البطاقـة )Limit CVM ) و فـي حالـة عـدم تمكـن نقـاط البيـع اإللكترونيـة مـن التعـرف علـى وسـيلة التحقـق مــن حامــل البطاقــة علــى األجهــزة اإللكترونيــة )CDCVM )فيجــب إدخــال الرقــم ُ الســري أو رفــض الحركــة باســتثناء الرمــوز المصــدرة لبطاقــات مــن بنــوك خــارج جمهوريــة مصــر العربيــة.
5-3-3 يجـوز للبنـك القابـل وضـع الحـدود القصـوى للمعامـات الالتالمسـية للرمـوز والتـي يتـم قبولهـا عـن طريـق وسـائل التحقـق مـن حامـل البطاقـة علـى األجهـزة اإللكترونيـة )CDCVM )ويتــم طلــب ادخــال الرقــم الســري للبطاقــة وفقــا ودراســة المخاطــر المتعلقــة بالخدمــة.
6-3-3 علـى البنـك توفيـر التدريـب الكافـي للتجـار الذيـن لديهـم نقـاط البيـع اإللكترونيـة علـى تعــدد وســائل التحقــق مــن حامــل البطاقــة علــى األجهــزة اإللكترونيــة )CDCVM ) التــي يمكــن اســتخدامها أثنــاء عمليــة الشــراء.
7-3-3 ضمـان وضـع نقـاط البيـع اإللكترونيـة التـي تعمـل بتلـك الخاصيـة مواجهـة مباشـرة للعميــل وبعيــدة عــن أي مصــدر للكهربــاء أو مصــدر معدنــي أخــر يمكــن أن تؤثــر اإلشـارات الخاصـة بـه علـى عمليـة الدفـع بحيـث يكـون الحـد األقصـى بيـن أداة الدفـع الالتالمســية والماكينــة إلتمــام العمليــة هــو 4 ســم فقــط ال غيــر.
8-3-3 ال يجـوز الحصـول علـى توقيـع العميـل علـى أي مـن المعامـات الالتالمسـية ويسـتثني ُ مـن ذلـك الحـركات التـي يتـم تنفيذهـا باسـتخدام أدوات دفـع التالمسـية مصـدرة مـن خـارج جمهوريـة مصـر العربيـة.
9-3-3 ضـرورة وجـود حمـات التوعيـة الالزمـة مـن قبـل البنـك للتجـار بكيفيـة التعامـل مـع ًاألنــواع المختلفــة ألدوات الدفــع الالتالمســية، وأن تتضمــن تلــك الحمــات توعيــة للتجـار بـأدوات الدفـع الجديـدة المسـتحدثة مـن خـال تطبيقـات ترميـز البطاقـات علـى األجهــزة اإللكترونيــة.
10-3-3 يقـوم البنـك بوضـع اإلجـراءات التـي تضمـن عـدم تكـرار الحـركات علـى العمـاء مـن قبـل نقـاط البيـع اإللكترونيـة الخاصـة بالتجـار بطريقـة خاطئـة.
11-3-3 يجـب أن تقـوم نقـاط البيـع اإللكترونيـة برفـض عمليـة الشـراء فـي حالـة وجـود أكثـر مــن أداة دفــع التالمســية قريبــة مــن الماكينــة وذلــك لضمــان أن حامــل أداة الدفــع الالتالمســية لــم يقــم بالدفــع بــاألداة الخاطئــة )Collision )أثنــاء عمليــة الشــراء نتيجــة تداخــل اإلشــارات الخاصــة بالبطاقــات.
12-3-3 يوفـر البنـك التدريـب الـازم للموظفيـن والخـاص بـأدوات الدفـع الالتالمسـية لكـي يتـم الـرد علـى استفسـارات العمـاء ودعمهـم بطريقـة صحيحـة.
13-3-3 قيـام البنـك قبـل تفعيـل الخدمـة بتقييـم المخاطـر الناتجـة عـن تفعيـل قبـول المدفوعـات الالتالمسـية لـدى كل تاجـر.
14-3-3 تمريـر المعامـا ُ ت الناشـئة عـن البطاقـات المصـدرة داخـل جمهوريـة مصـر العربيـة والتـي تحمـل عالمـة قبـول دوليـة باسـتخدام الرمـز اإلضافـي لشـبكة منظومـة �الدفـع الوطنيـة »ميـزة« فقـط للمعامـات التـي صـدر بشـأنها تعليمـات مـن البنـك المركـزي ً علــى ســبيل المثــال ال الحصــر )معامــات نقــاط البيــع المصــري لتمريرهــا محليــا الحكوميــة ومعامــات ماكينــات الصــراف اآللــي(.
15-3-3 يمكــن للبنــك القابــل تفعيــل الســداد عــن طريــق تطبيقــات الدفــع اإللكترونيــة فــي معامــات التجــارة اإللكترونيــة )Commerce-E )بعــد الحصــول علــى موافقــة البنــك المركــزي المصــري.
.4-3 التزامات الشبكات صاحبة عالمة القبول 1-4-3 الربــط مــع شــركة بنــوك مصــر كمقــدم خدمــة واجهــة الترميــز الموحــدة للبنــوك .)Unified Issuer TSP Interface( المصــدرة ُ 2-4-3 ضمان سالمة عملية إنشاء الرمز الخاص بالبطاقة في جميع األوقات. 3-4-3 وضـع آليـة للتدقيـق بصـوره دوريـة علـى أنظمـة الترميـز لكافـة األطـراف المشـاركة فــي تقديــم خدمــات ترميــز البطاقــات للعمــاء.
4-4-3 وضـع اإلجـراءات التـي تكفـل عـدم اكتشـاف رقـم بطاقـة الدفـع اإللكترونيـة الفعلـي من الرمـز والعكـس مـن قبـل أي جهـة باسـتثناء الشـبكات صاحبـة عالمـة القبـول الخاصـة ُ بالبنـك المصـدر للبطاقـة عـن طريـق قاعـدة بيانـات الرمـز )Vault Token).
5-4-3 تحديد أليات حل المنازعات. 6-4-3 ضمـان المراقبـة الكتشـاف أي عطـل أو سـلوك مشـبوه أو وجـود نشـاط غيـر مصـرح بــه فــي عمليــة الترميــز وتنفيــذ إجــراءات لتنبيــه جميــع األطــراف المعنييــن.
7-4-3 أن تسـمح الشـبكة بمعالجـة رد المبالـغ المدفوعـة واسـترداد األمـوال دون الحاجـة إلـى وصـول البنـك القابـل أو احتفاظـه برقـم البطاقـة الفعلـي قبـل الترميـز.
8-4-3 توفير خدمات االعتماد والمصادقة الالزمة لتقديم الخدمات بصورة آمنة.
.5-3 التزامات مقدم خدمات الترميز )TSP - Provider Service Token) 1-5-3 ً يحــق للشــبكات صاحبــة عالمــة القبــول تقديــم خدمــات الترميــز مباشــرة ألعضــاء الشـبكة الخاصـة بهـا، كمـا يحـق لهـا الترخيـص ألحـد مقدمـي خدمـات الدفـع لتقديـم ُ خدمــة الترميــز ألعضــاء تلــك الشــبكة، علــى أن يقــوم البنــك المصــدر الراغــب فــي االسـتفادة مـن خدمـات مقـدم الخدمـة الحصـول علـى موافقـة البنـك المركـزي المصري علــى تعهيــد تلــك الخدمــة.
2-5-3 ُ تنفيـذ طلبـات الترميـز الـواردة مـن كل مـن البنـك المصـدر و/أو طالـب الرمـز، وكذلـك تنفيــذ طلبــات فــك الترميــز الــواردة مــن خــال الشــبكات صاحبــة عالمــة القبــول المعتمــدة.
3-5-3 يجــب أال يكشــف رمــز البطاقــة عــن رقــم البطاقــة الفعلــي أو البيانــا�ت األخــرى مثــل تاريــخ االنتهــاء.
4-5-3 ضـرورة أن يحتفـظ الرمـز بجميـع سـمات البطاقـة االصليـة بمـا فـي ذلـك نـوع البطاقة، وعلـى سـبيل المثـال )بطاقـات الخصـم أو االئتمـان(.
5-5-3 يخضــع نظــام الترميــز لكافــة معاييــر تأميــن بيانــات بطاقــات الدفــع اإللكترونيــة تأميـن ويجـب( Payment Card Industry Token Service Provider PCI-TSP( قاعــدة بيانــات البطاقــات لحمايــة بيانــات حامــل البطاقــة فــي ضــوء احتفــاظ النظــام ُ بكافـة البيانـات الخاصـة بحاملـي البطاقـات المصـدرة، ويجـب أن يكـون معـزوًل عـن كافــة االنظمــة غيــر المتوافقــة مــع معاييــر التأميــن المشــار اليهــا بهــذا البنــد.
6-5-3 التأكد من تأمين ارقام البطاقات الفعلية )PAN )عند حفظ تلك البيانات. 7-5-3 يجــب اســتخدام قواعــد ومفاتيــح التشــفير المتوافقــة مــع معاييــر تأميــن بيانــات ومعامــات بطاقــات الدفــع اإللكترونيــة )DSS PCI )المتعــارف عليهــا وعــدم اســتخدام أدوات تشــفير ضعيفــة أو منتهيــة الصالحيــة.
8-5-3 ضــرورة تأميــن االتصــاالت بيــن التطبيــق الطالــب للرمــز ونظــام الترميــز لمنــع اعتــراض أو التقــاط بيانــات حامــل البطاقــة.
9-5-3 ً أن يكـون نظـام الترميـز قـادرا علـى التمييـز بيـن بيان�ـات حامـل البطاقـة ذات الرمـز وبيــن بيانــات حامــل البطاقــة االصليــة قبــل الترميــز.
10-5-3 تظـل بيانـات حامـل البطاقـة مشـفرة مـن النقطـة التـي تدخـل فيهـا إلـى النظـام حتـى النقطــة التــي يتــم فيهــا تحويلهــا إلــى رمــز لتحقيــق اعلــي معاييــر األمــان.
11-5-3 يجـب إنشـاء الرمـوز باسـتخدام نطـاق رمـوز )Ranges BIN Token )مختلـف عــن نطــاق ارقــام البطاقــات الفعليــة )Ranges BIN PAN Actual )لضمــان عــدم وجــود إمكانيــة إلنشــاء رمــوز الدفــع التــي تتشــابه مــع ارقــام البطاقــات الفعليــة.
12-5-3 التأكد من عدم امكانية استرداد رقم البطاقة األصلي )PAN )من الرمز حسابيا. 13-5-3 اال يحتــوي أي رد علــى التاجــر اثنــاء عمليــة الدفــع علــى رقــم البطاقــة الفعلــي قبــل الترميــز.
14-5-3 ُ يجـب ان يوفـر مقـدم خدمـة الترميـز للبنـك المصـدر األليـات التـي تتيـح لـه إمكانيـة إدارة الرمــوز بمــا يشــمل: إلغاء التنشيط / إعادة التنشيط / الحذف.
الحصول على إحصائيات حول الرموز والمعامالت.
االستعالم عن المعامالت.
تحديث بيانات البطاقة األصلية في حالة إعادة إصدار البطاقة أو إصدار بطاقة جديدة.
.6-3 مسؤوليات طالب الرمز )Requestor Token) 1-6-3 ُ يمكــن للبنــك المصــدر اتاحــة الدفــع عبــر تطبيقــات ترميــز البطاقــات علــى األجهــزة ً اإللكترونيــة ســواء أن تكــون تلــك الخدمــة مدمجــة داخــل تطبيــق الهاتــف البنكــي ُ الخــاص بالبنــك المصــدر أو مــن خــال تطبيــق منفصــل مخصــص لتلــك الخدمــة وذلــك علــى أن يكــون خــادم إدارة تطبيقــات ترميــز البطاقــات مســتضاف لــدي البنــك أحــد لــدي أو( Locally Hosted Wallet Management Server( مقدمــي الخدمــة المعتمديــن مــن قبــل البنــك المركــزي المصــري.
2-6-3 يمكـن لمقدمـي خدمـات الدفـع أو مصنعـي األجهـزة اإللكترونيـة علـى سـبيل المثـال لترميـز تطبيقـات توفيـر( Apple Pay، Google Pay، Samsung Pay( ُ البطاقـات المصـدرة مـن البنـوك )Wallets OEM & HCE )وذلـك بعـد الحصـول ُ علـى موافقـة البنـك المركـزي المصـري مـن قبـل البنـك المصـدر للبطاقـات الراغـب في تفعيـل الخدمـة مـن خلال التطبيقـات الخاصة بهم، علـى ان يتم االلتزام بإبـرام تعاقد مع ُ كل مـن الشـبكات والبنـوك المصـدرة للبطاقـات والمشـتركة بالنظـام، وفي كافـة األحوال يلتـزم طالـب الرمـز بإبـرام تعاقـد مع شـبكة منظومة الدفـع الوطنية »ميـزة« وذلك لكي يتمكـن مـن إصـدار رمـز إضافـي )Token Auxiliary )لكافـة البطاقـات الدوليـة. 3-6-3 ُ فـي كافـة األحـوال يلتـزم البنـك المصـدر بالحصـول علـى ترخيـص مـن البنـك المركزي المصــري إلتاحــة الدفــع عبــر تطبيقــات ترميــز البطاقــات علــى األجهــزة اإللكترونيــة ًُ للبطاقــات المصــدرة بواســطته لــكل تطبيــق علــى حــده ســواء كان التطبيــق مملــوكا للبنـك أو ألحـد مصنعـي األجهـزة اإللكترونيـة وعلـى سـبيل المثـال )،Pay Apple Pay Samsung ،Pay Google )أو ألحـد مقدمـي خدمـات الدفـع المرخصيـن مـن البنـك المركـزي المصـري.
4-6-3 اجــراء التعديــات الالزمــة للحصــول علــى الرمــز اإلضافــي )Token Auxiliary ) لكافـة البطاقـات التـي تحمـل عالمـة قبـول دوليـة وتفعيـل الرموز بعـد التأكد مـن اإلصدار الناجـح للرمـز الثنائـي )الرمـز الخـاص بالشـركة صاحبـة عالمـة القبول للبطاقـة والرمز الخـاص بمنظومـة الدفـع الوطنيـة »ميـزة«( دون االعتمـاد علـى أحدهمـا فقـط.
5-6-3 فيمـا يخـص بطاقـات الدفـع الوطنيـة »ميـزة« يتـم اصـدار رمـز واحـد فقـط ال غيـر يخــص منظومــة الدفــع الوطنيــة »ميــزة«.
6-6-3 ضــرورة ان يقــوم تطبيــق ترميــز البطاقــات علــى األجهــزة اإللكترونيــة بربــط الرمــز ُ بجهــاز الهاتــف المحمــول المصــدر للرمــز. 7-6-3 يجــب ان يكــون التطبيــق طالــب الرمــز متوافــق مــع المعايــر والمتطلبــات وأفضــل ُ الممارســات المصــدرة مــن EMVCO.
8-6-3 يجـب أن يوفـر تطبيـق ترميـز البطاقـات علـى األجهـزة اإللكترونيـة وسـائل التحقـق مــن حامــل البطاقــة علــى األجهــزة اإللكترونيــة )CDCVM).
9-6-3 يجـب علـى التطبيـق طالـب الرمـز التأكيـد علـى حامـل البطاقـة علـى أهميـة ضبـط رقـم التعريـف الشـخصي للجهـاز من قبـل المسـتخدم )Passcode Phone Mobile ) وعـدم مشـاركته مـع أحـد قبـل إتمـام عمليـة تخزيـن رمـز البطاقـة علـى الجهـاز.
10-6-3 فـي حالـة المعامـات التـي تتجـاوز حـد التحقـق مـن حامـل البطاقـة )Limit CVM ) علــى التطبيــق طالــب الرمــز اجــراء التحقــق مــن حامــل البطاقــة علــى األجهــزة اإللكترونيــة )CDCVM )عنــد إتمــام كل عمليــة دفــع علــى حــدي وعــدم االعتمــاد علــى أي عمليــة تحقــق مــن حامــل البطاقــة ســابقة.
11-6-3 يلتــزم طالــب الرمــز بــأن تظــل بيانــات البطاقــة األصليــة مشــفرة مــن نقطــة إدخــال العميــل لهــا مــن خــال التطبيــق المعــد لذلــك وأثنــاء تبادلهــا مــع كافــة األطــراف .ًالخارجيــة مــع ضــرورة عــدم االحتفــاظ بتلــك البيانــات بالمنظومــة نهائيــا 12-6-3 إجــراء جميــع االختبــارات الالزمــة علــى تطبيــق ترميــز البطاقــات علــى األجهــزة اإل�لكترونيــة واجتيــاز جميــع اختبــارات الشــبكات صاحبــة عالمــة القبــول فــي هــذا الشــأن.
13-6-3 يلتــزم طالــب الرمـز بموافــاة البنــك المركـزي المصــري بتقريــر اختبــارات االختـراق )Report Test Penetration), وتقاريـر تقييـم نقـاط الضعـف )Credential assessment vulnerability )علــى بيئــة العمــل الفعليــة و كذلــك األنظمــة البديلـة فـي مركـز الطـوارئ بمـا يشـمل جميـع األنظمـة و التطبيقـات و البنيـة التحتيـة و أســاليب التأميــن المتبعــة علــى ان تكــون هــذه االختبــارات تتــم بصــورة شــاملة تتيـح اكتشـاف جميـع الثغـرات و المشـاكل الفنيـة والـذي يفيـد عـدم وجـود أي نقـاط ضعــف عاليــة أو متوســطة الخطــورة عــن طريــق جهــة مســتقلة باإلضافــة الــى تقاريـر االلتـزام بالمعايـر )Compliance on Report DSS PCI )ومـن ثـم الحصـول علـى موافقـة البنـك المركـزي المصـري بتفعيـل الخدمـة، علـى ان يتـم تقديـم التقريـر المشـار اليـه إلـى البنـك المركـزي المصـري فـي مـدة ال تتجـاوز ثالثـة أشـهر مـن تاريـخ إصـداره والخاصـة بكافـة الخدمـات المذكـورة اعـاه.
14-6-3 يكـون للعميـل الحريـة فـي اسـتخدام أو الغـاء أي مـن البطاقـات المسـجلة فـي تطبيـق طالـب الرمـز.
15-6-3 ضمـان الحفـظ اآلمـن للرمـوز والمفاتيـح المرتبطـة بهـا بواسـطة طالـب الرمـز عنـد التســجيل الناجــح للبطاقــة بكافــة أنظمــة التشــغيل وتطبيقــات ترميــز البطاقــات علــى األجهــزة اإللكترونيــة المملوكــة لطالــب الرمــز.
.7-3 مسؤوليات شركة بنوك مصر 1-7-3 ُ توفيــر واجهــة الترميــز الموحــدة للبنــوك المصــدرة )TSP Issuer Unified Interface )باعتبارهــا الواجهــة الرئيســية والموحــدة فــي التعامــل مــع الشــبكات صاحبـة عالمـة القبـول، وإصـدار قواعـد الربـط الفنـي وتوفيـر البيئـة الالزمـة لتقديـم خدمــات تلــك الواجهــة وتحديثاتهــا وذلــك بعــد اســتيفاء موافقــة البنــك المركــزي المصــري.
2-7-3 تنفيـذ أعمـال التكامـل مـع كافـة الشـبكات الدوليـة المرخـص لهـا بالعمـل بجمهورية مصر ُ العربيـة وذلـك فـي إطـار توفيـر خدمـات واجهـة الترميـز الموحـدة للبنـوك المصـدرة. 3-7-3 إصـدار الرمـز اإلضافـي الخـاص بمنظومـة الدفـع الوطنيـة لكافـة البطاقـات التـي تحمـل عالمـة قبـول دوليـة.
4-7-3 إتاحـة التقاريـر الالزمـة للبنـوك المشـاركة بخدمـة واجهـة الترميـز الموحـدة للبنـوك ُ المصــدرة وخدمــة إصــدار الرمــز اإلضافــي الخــاص بمنظومــة الدفــع الوطنيــة. 5-7-3 إدارة المعامــات الناشــئة عــن البطاقــات الدوليــة الصــادرة عــن البنــوك المحليــة باسـتخدام الرمـز اإلضافـي وذلـك فقـط للمعامـات التـي صـدر بشـأنها تعليمـات مـن ً علـى سـبيل المثـال ال الحصـر )معامـات البنـك المركـزي المصـري لتمريرهـا محليـا نقــاط البيــع الحكوميــة ومعامــات ماكينــات الصــراف اآللــي(.
6-7-3 توفيـر أدوات رقابيـة وأنظمـة للمراجعـة الداخليـة للتأكـد مـن توافـر الضوابـط الالزمـة لتاميـن األنظمـة.
7-7-3 االخـذ فاالعتبـار كافـة القوانيـن الصـادرة عـن البنـك المركـزي المصـري وأطـر العمـل الخاصــة باألمــن الســيبرانى.
8-7-3 آليـات حوكمـة تكنولوجيـا المعلومـات وسـبل تعزيزهـا مـن سياسـات وإجـراءات ونظـم رقابــة وإدارة المخاطــر المتعلقــة باألمــن الســيبرانى.
9-7-3 القيـام باختبـارات اختـراق ألنظمـة الشـركة وتقييـم نقـاط الضعـف بصفـة دوريـة علـى ان تتــم هــذه االختبــارات بصــورة شــاملة تتيــح اكتشــاف جميــع الثغــرات والمشــاكل الفنيــة فــي التطبيقــات وأنظمــة البنيــة التحتيــة المســتخدمة وأي أنظمــة وســيطة، وإعــداد تقاريــر عنهــا وعرضهــا علــى مجلــس اإلدارة أو لجنــة األمــن الســيبرانى الخاصــة بالشــركة واخطــار البنــك المركــزي بمخرجــات هــذه التقاريــر.
10-7-3 تقديم التقارير الخاصة ب 2 Type 2 SOC الى البنك المركزي المصري. 11-7-3 إعــداد السياســات واإلجــراءات الخاصــة بأمــن المعلومــات ومراجعتهــا وتحديثهــا بصفــة دوريــة.
12-7-3 إبـاغ مجلـس اإلدارة و/ أو لجنـة االمـن السـيبرانى بـأي مخاطـر جوهريـة ذات الصلـة بأمـن المعلومـات.
13-7-3 أجراء تقييم مخاطر الطرف الثالث. 14-7-3 تأميــن اتصــاالت بيانــات المحــور المركــزي )system-Eco )والنظــام البيئــي التشــغيلي لألنظمــة المتصلــة باألطــراف الخارجيــة.
15-7-3 توفيــر التكنولوجيــا الالزمــة وضوابــط األمــن الســيبراني لتأميــن كافــة المعلومــات والبيانـات المتعلقـة بخزينـة الرمـز )Vault Token )فـي حاالتهـا المختلفـة مـن نقـل ومعالجـة وتخزيـن وحفـظ فـي نسـخ احتياطيـة والتخلـص منهـا بمـا يضمـن الحفـاظ علـى سـرية وسـامة وإتاحـة البيانـات. فـي جميـع حاالتهـا بمـا يتوافـق مـع اإلطـار العـام لألمـن السـيبرانى.
16-7-3 يجــب ضمــان مراقبــة ومتابعــة حــوادث األمــن الســيبراني علــى مــدار الســاعة مــع وضــع األليــات واإلجــراءات التــي ســيتم اتباعهــا فــي هــذا الشــأن.
17-7-3 يجــب ضمــان تنفيــذ سياســات االســتجابة لحــوادث األمــن الســيبرانية بمــا يشــمل إجــراءات اكتشــاف هــذه الحــوادث وطــرق االســتجابة الســريعة والتعافــي للحــد مــن المخاطــر الناتجــة عنهــا.
18-7-3 وضع خطط البرامج التدريبية لمديري األنظمة ومسؤولي األمن السيبراني. 19-7-3 وضـع خطـط البرامـج التدريبيـة الهادفـة لزيـادة الوعـي األمنـي لـدى جميـع موظفـي الشــركة وباألخــص القائميــن علــى توفيــر هــذه الخدمــة للحــد مــن مخاطــر هجمــات الهندســة االجتماعيــة )Engineering Social). 20-7-3 وضـع الضوابـط األمنيـة المتبعـة للتحكـم فـي الدخـول المصـرح علـى أنظمـة البيئـة الفعليـة وكذلـك البنيـة التحتيـة الخاصـة بهـذه الخدمـة أو أي أنظمـة أخـرى قـد تـؤدى الـى اختـراق األنظمـة الخاصـة بالترميـز.
21-7-3 فـي حالـه حـدوث أي اختراقـات أو تسـريبات لمعلومـات تتعلـق باألمـن السـيبرانى يتـم ابـاغ مركـز االسـتجابة لطـوارئ الحاسـب اآللـي للقطـاع المالـي فـي خـال 6 سـاعات.
23
.4 الضوابط الرقابية إلدارة خدمات ترميز البطاقات على تطبيقات األجهزة اإللكترونية
.1-4 سرية وسالمة المعلومات 1-1-4 يتضمـن تقديـم خدمـات ترميـز البطاقـات علـى تطبيقـات األجهـزة اإللكترونيـة تـداول بيانــات ســرية عبــر تطبيقــات ترميــز البطاقــات علــى األجهــزة اإللكترونيــة والشــبكة الداخليـة للبنـك لذلـك يجـب علـى البنـوك ومقدمـي خدمـات الترميـز اسـتخدام األسـاليب المناسـبة للحفـاظ علـي سـرية وسـامة المعلومـات المتداولـة عبـر الشـبكة الداخليـة والخارجيــة للبنــك وذلــك بمــا يتوافــق مــع متطلبــات تأميــن بيانــات بطاقــات الدفــع اإللكترونيــة وكــذا التعليمــات الصــادرة مــن جانــب البنــك المركــزي المصــري.
2-1-4 يجــب علــى البنــوك ومقدمــي خدمــات الترميــز اختيــار تكنولوجيــا التشــفير التــي تتناسـب مـع حساسـية وأهميـة المعلومـات وكـذا درجـة الحمايـة المطلوبـة، وفـي هـذا السـياق يوصـى دائمـا بتبنـي البنـوك لتكنولوجيـا التشـفير التـي تسـتخدم طرق التشـفير ،ً حيـث تخضـع نقـاط القـوة فـي هـذه الطـرق الختبارات شـاملة. المتعـارف عليهـا دوليـا وينبغــي أن تطبــق البنــوك الممارســات الســليمة إلدارة مفاتيــح التشــفير الالزمــة لحمايـة هـذه المفاتيـح وذلـك بمـا يتوافـق مـع متطلبـات تأميـن بيانـات بطاقـات الدفـع اإللكترونيـة وكـذا التعليمـات الصـادرة مـن جانـب البنـك المركـزي المصـري.
3-1-4 يجـب الحـد مـن تخزيـن بيانـات علـى الذاكـرة الداخليـة للهاتـف المحمـول، وفـى حالـة االحتفـاظ بـاي بيانـات علـى الهاتـف المحمـول - للضـرورة القصـوى - يجب اسـتخدام الوسـائل المناسـبة لحمايـة مـا تـم تخزينـه.
4-1-4 يجــب بــان يقــوم تطبيــق الهاتــف المحمــول بتنفيــذ أليــات كشــف كافيــة تضمــن ان الهاتـف المحمـول ليـس عرضـة للمخاطـر مثـل Rooted/Jailbroken علـى ان تتضمــن إجــراءات تأميــن التطبيقــات علــى ســبيل المثــال ال الحصــر: أن يطلب التطبيق الحد األدنى من مجموعة الصالحيات المطلوبة.
حفظ مفاتيح تشفير التطبيق على األجهزة الذكية بشكل امن.
.ً أن تكون حزمة التطبيق موقعة رقميا اسـتخدام التطبيـق لقنـاة اتصـال امنـة مثـل اسـتخدام pinning SSL/Certificate مـع التأكـد مـن ان مفاتيـح التشـفير مدمجـة داخـل التطبيق.
أال يخـزن التطبيـق أي معلومـات علـى الجهـاز تتعلـق بمعاملات الدفـع أو بيانـات العميـل بخلاف البيانـات الالزمـة لعمـل التطبيـق.
أال يقـوم التطبيـق بتخزيـن بيانـات تسـجيل الدخول وإعـادة اسـتخدامها )end-Back
.)Authentication Required عدم السماح بتثبيت التطبيقات على أنظمة تشغيل قديمة أو منتهية الصالحية.
5-1-4 يجــب أن يتــم حمايــة تطبيقــات الهاتــف المحمــول ضــد أي لقطــات تلقائيــة Screenshots والتـي يمك�ـن أن تتـم عـن طريـق برامـج تجسـس تعمـل علـى نفـس جهــاز الهاتــف المحمــول حــال وجــود إمكانيــة فنيــة لتطبيقــه.
6-1-4 أال يتـم اتصـال انظمـة البنـك المشـاركة فـي خدمـات ترميـز البطاقـات بالشـبكة العالميـة )االنترنــت( أو أي مــن الشــبكات غيــر المعتمــدة دون الحصــول علــى موافقــة البنــك المركــزي المصــري.
7-1-4 ينبغــي علــى البنــك ومقدمــي خدمــات الترميــز تطبيــق سياســة الفصــل بيــن المهــام والرقابـة الثنائيـة، وذلـك للتأكـد مـن عـدم إمكانيـة قيـام أي موظـف داخـل البنـك بـأي عمـل غيـر مصـرح لـه وإخفائـه، ويتضمـن هـذا علـى سـبيل المثـال ال الحصـر، إدارة حسـاب المسـتخدم وتنفيـذ المعامـات وحفـظ وإدارة مفاتيـح الشـفرة الخاصـة بالنظـام .System Operations وتشــغيله System Administration النظــام وإدارة 8-1-4 ُ يجـب أن تخضـع أنظمـة البنـك ومقدمـي خدمـات الترميـز إلـى اختبـارات متعـددة قبـل ُ التشـغيل للتأكـد مـن قدرتهـا علـى القيـام بالمهـام الموكلـة لهـا وفـى حالـة تحديـث تلـك األنظمـة يتـم إعـادة اختبارهـا بـذات الوسـائل لضمـان اسـتمرار سـامتها.
9-1-4 يجــب علــى البنــك ومقدمــي خدمــات الترميــز الســماح بالولــوج الــى االنظمــة بنــاء علـى المهـام الوظيفيـة بمـا يضمـ�ن عـدم تضـارب المصالـح ويجـب علـى البنـك التحكـم فـي ولولـج الموظفيـن ومديـري االنظمـة مـن خـال نظـام تحكـم مركـزي مـع مراعـاة اســتخدام المصادقــة الثنائيــة.
.2-4 البنية التحتية والمتابعة األمنية للمنظومة 1-2-4 يجـب علـى البنـوك ومقدمـي خدمـات الترميـز إنشـاء بيئـة تشـغيل مالئمـة تعمـل علـى دعـم وحمايـة أنظمتهـا الخاصـة المرتبطـة بأنظمـة الترميـز، بحيـث تحتـوي تلـك البيئـة علـى بنيـة تحتيـة آمنـة لتلـك الخدمـات - والتـي تشـمل علـى سـبيل المثـال ال الحصـر إعــداد خــوادم النظــام وأنظمــة اكتشــاف ومنــع اإلختــراق وأجهــزة جــدار الحمايــة Firewall وأجهــزه التوجيــه وخالفــه - كمــا تحتــوي أيضــا علــى إجــراءات حمايــة مالئمـة للشـبكات الداخليـة وروابـط الشـبكات مـع الجهـات الخارجيـة بما يشـمل شـركة بنـوك مصـر بصفتهـا الشـركة المسـؤولة عـن إدارة واجهـة الترميـز الموحـدة للبنـوك ً عـن خطـط الطـوارئ الالزمـة واألنظمـة البديلـة حـال فشـل األنظمـة ُ المصـدرة، فضـا األصليـة.
2-2-4 تقـع المسـؤولية الكاملـة لتقديـم الخدمـات علـى البنـوك المشـتركة بالخدمـة ومقدمـي خدمــات الترميــز والتــي يجــب عليهــا بــذل العنايــة الواجبــة لضمــان أمــان كافــة المعامـات، وكـذا مراقبـة كل مـن األنظمـة المتصلـة بالنظـام والبنيـة التحتيـة بصـورة اسـتباقية بشـكل دائـم علـى مـدار 24 سـاعة طـوال األسـبوع، وذلـك لرصـد وتسـجيل أي مخالفـات أمنيـة، أو أي اختراقـات، أو نقـاط ضعـف مشـتبه بهـا، وكذلـك أي أنشـطة غيـر طبيعيـة محـل اشـتباه قـد تتـم علـى األنظمـة وذلـك يجـب ان يتـم مـن خـال تفعيـل مركـز عمليـات لألمـن السـيبرانى SOC. 3-2-4 يجــب علــى البنــوك ومقدمــي خدمــات الترميــز التأكــد مــن وجــود مســارات التدقيــق Trails Audit لكافــة العمليــات التــي تتــم عبــر أنظمة/تطبيقــات ترميــز البطاقــات وكذلـك البنيـة التحتيـة الخاصـة بهـذه الخدمـة كمـا يجـب ضمـان حمايـة تلـك المسـارات ُ ضــد أي تالعــب أو تغييــر غيــر م َّصــرح بــه، وأن يتــم االحتفــاظ بهــا لمــدة زمنيــة ً للضوابـط ً للمتطلبـات القانونيـة وطبقـاتتوافـق مـع مـا تحـدده سياسـات البنـك تطبيقـا والتعليمــات الرقابيــة الصــادرة فــي هــذا الشــأن ويهــدف هــذا اإلجــراء إلــى تســهيل إجـراءات التحقيـق فـي أي عمليـة احتيـال، وحـل أي نـزاع أو شـكوى إذا لـزم األمـر وعنـد تحديـد مـا سـيتم االحتفـاظ بـه فـي مسـارات التدقيـق، يمكـن األخـذ فـي االعتبـار ٍ األنـواع التاليـة مـن األنشـطة وذلـك كحـد أدنـى: عمليات فتح أو تعديل أو إغالق حساب مستخدم على االنظمة المختلفة الخاصة بالخدمة.
أي عملية ذات تبعات مالية.
أي تصريح يمنح مستخدم لتجاوز أي من الحدود أو الصالحيات.
أي تعديـل أو إضافـة أو إلغـاء لصالحيـات المسـتخدمين أو امتيـازات خاصـة بالدخول علـى األنظمة.
4-2-4 يجــب أن يتــم مراجعــة كافــة مــا يتــم إصــداره مــن ســجالت تدقيــق Logs Audit وإنــذارات التأميــن اللحظيــة Alerts Security Time Real -مثــل إنــذارات أنظمــة كشــف ومنــع االختــراق - بواســطة الموظفيــن أو فــرق العمــل المعنيــة وذلــك بطريقــة دوريــة وفــى الوقــت المناســب.
5-2-4 تطبيــق معاييــر وإجــراءات حصيفــة فيمــا يخــص إمكانيــة الدخــول إلــى أماكــن عمــل النظـام Security Physical ُ بمـا فـي ذلـك البرامـج واألجهـزة الم ِشـغلة للنظـام والشـبكات وأجهـزة التشـفير ومراكـز المعلومـات التـي تقـوم بتشـغيل جـزء أو أجـزاء مـن النظـام.
6-2-4 يجــب الرجــوع الــى اإلطــار العــام لألمــن الســيبرانى الخــاص بالممارســات المتعلقــة بتصميـم، تنفيـذ وسـائل التأميـن المختلفـة وانشـاء ومراقبـة البنيـة التحتيـة لخدمـات الترميــز.
7-2-4 يتعيـن علـى البنـوك الحصـول علـى موافقـة مسـبقة مـن البنـك المركـزي المصـري فـي حـال ابـرام اتفاقيـات تتعلـق بإسـناد خدمـات ترميـز البطاقـات علـى تطبيقـات األجهـزة اإللكترونيـة أو تطبيقاتهـا. وفـي حالـة قيـام البنـك بإسـناد بعـض الخدمـات ألطـراف ً مسـئولية كاملـة تجـاه مسـتخدمي النظـام وتجـاه خارجيـة، فـإن البنـك يظـل مسـئوال التـزام األطـراف الخارجيـة بهـذه القواعـد، والتأكـد ممـا يأتـي: االحتفـاظ بسـجل محـدث يشـتمل علـى جميـع اتفاقـات وتعاقـدات اإلسـناد واالسـتعانة باألطـراف الخارجيـة.
وضـع حـدود إلسـناد أكثـر مـن وظيفة إلى مقـدم خدمة واحـد للحد من مخاطـر التركز والتشغيل.
يلتـزم البنـك بوضـع سياسـة للموظفيـن لـدى األطـراف الخارجيـة الذيـن تـم إخلاء طرفهـم أو تـم تغيـر مسـئولياتهم وإلغـاء صالحياتهـم علـى جميـع األنظمـة واألنظمـة
.ًالخارجيـة وأنظمـة المسـاعدة )portals support )ومراجعـة الصالحيـات دوريـا 1-3-4 يجــب ان يتــم تعهيــد الخدمــات األمنيــة الــى شــركات أو افــراد تتوافــق مــع القوانيــن المصريــة.
ً تقييــم الوضــع األمنــي لكافــة 2-3-4 يجــب علــى البنــوك ومقدمــي خدمــات الترميــز دوريــا األنظمـة - التطبيقـات، والشـبكات، وأجهـزة التأميـن، وخـوادم نظـام أسـماء النطاقـات وخــوادم البريــد اإللكترونــي، إلــخ - المتعلقــة بتشــغيل الخدمــة�، وذلــك فـــي المركــز الرئيســي للمعلومــات والمركــز االحتياطــي الــذي يســتخدم فــي حــاالت الكــوارث.
3-3-4 يجــب علــى البنــوك ومقدمــي خدمــات الترميــز إجــراء تقييــم دوري لنقــاط الضعــف Assessment Vulnerability كل ثالثــة أشــهر علــى األقــل أو عنــد حــدوث ً فــي البيئــة التشــغيلية وبيئــة الطــوارئ لألنظمــة المختلفــة الخاصــة ً جوهريــاتغييــرا بالخدمـة الكتشـاف نقـاط الضعـف فـي بيئـة تكنولوجيـا المعلومـات وتقييمهـا. ويمكـن أن يتولــى هــذا التقييــم مستشــار أو مقــدم خدمــة خارجــي للبنــك وأن يكــون مقــدم الخدمــة مختلــف عــن مقــدم الخدمــة القائــم باختبــارات االختــراق، أو أن يتولــى هــذا التقييــم إدارة أمــن المعلومــات بالبنــك، وذلــك علــى النحــو التالــي: يجـب أن يحتـوي نطـاق تقييـم نقـاط الضعف علـى اختبار الثغرات الشـائعة فـي النظام علـى سـبيل المثال ال الحصـر )Attacks Ten Top OWASP).
يجـب علـى البنـك ومقدمـي خدمـات الترميز إعداد خطـة لمعالجة المشـاكل التي تظهر فـي تقييـم نقـاط الضعـف، والتأكيـد علـى غلـق الثغـرات بالخطـة خلال وقت متناسـب مـع تصنيـف نقـاط الضعـف ثـم التحقـق مـن صحـة هـذه المعالجـة عـن طريـق إعـادة االختبـار إلثبـات أنـه قـد تـم التعامـل بفعاليـة مـع هـذه المشـاكل بالكامـل وفـي التوقيت المناسب.
4-3-4 التـزام البنـك بعـدم إطـاق الخدمـات الجديـدة قبـل االنتهـاء مـن موافـاة البنـك المركـزي المصـري بتقريـر اختبـارات االختـراق )Report Test Penetration )وتقاريـر تقييــم نقــاط الضعــف )assessment vulnerability Credential )علــى بيئـة العمـل الفعليـة بمـا يشـمل جميـع األنظمـة و التطبيقـات و البنية التحتية و أسـاليب التأميـن المتبعـة علـى ان تكـون هـذه االختبـارات تتـم بصـورة شـاملة تتيـح اكتشـاف جميـع الثغـرات و المشـاكل الفنيـة والـذي يفيـد عـدم وجـود أي نقـاط ضعـف عاليـة أو متوسـطة الخطـورة ومـن ثـم الحصـول علـى موافقـة البنـك المركـزي المصـري بتفعيـل الخدمـة، علـى ان يتـم تقديـم التقريـر المشـار اليـه إلـى البنـك المركـزي المصـري فـي مـدة ال تتجـاوز ثالثـة أشـهر مـن تاريـخ اصـداره مـن مقـدم خدمـة خارجـي مسـتقل.
5-3-4 يجــب علــى البنــك ومقدمــي خدمــات الترميــز القيــام باختبــارات االختــراق )Testing Penetration )وذلــك لعمــل تقييــم مفصــل ومتعمــق للوضــع األمنــي للنظـام مـن خـال محـاكاة للهجمـات الفعليـة علـى البيئـة الفعليـة واالحتياطيـة علـى أن يتـم ذلـك علـى األقـل مـرة واحـدة سـنويا، أو عنـد حـدوث تغييـر فـي النظـام، �علـى أن تتــم مراعــاة مــا يلــي: يجـب أن يتولـى إجـراء اختبـار االختـراق أحـد مقدمـي الخدمـة الخارجيين المسـتقلين، ً التوقيـع علـى اتفاقية السـرية وعدم اإلفصاح قبـل مزاولة العمل حيـث يجـب عليـه أوال .Non-Disclosure Agreement يجـب أن يكـون لـدى البنـوك ومقدمـي خدمـات الترميـز تقريـر مبدئـي عـن اختبـار Penetration Test Report & Remediation المعالجـة وخطـة االختـراق Plan، التـي تـم اصدارهـا والموقعـة مـن مقـدم الخدمـة الخارجـي.
يجـب علـى البنوك ومقدمـي خدمات الترميز التحقق من صحة معالجة المالحظات الناتجة عـن اختبـار االختـراق سـواء كان علـى األنظمـة الرئيسـية أو األنظمـة البديلـة المسـتخدمة لمواجهـة الكـوارث مـع مراعـاة إجـراء اختبـار االختـراق على االنظمـة في مركز الطـوارئ.
يجـب علـى مقـدم الخدمـة الخارجـي إصـدار تقريـر نهائـي موقـع منـه عـن اختبـار االختـراق لكـي يقـوم البنـك بتقديمـه إلـى البنـك المركـزي المصـري، بجانـب التقريـر المبدئـي األول.
غيـر مسـموح باختيـار نفـس مقـدم الخدمـة الخارجـي ألداء أكثر من اختبـاري اختراق متتاليين.
.4-4 االستجابة لألحداث الطارئة وإداراتها
1-4-4 يجــب علــى البنــوك ومقدمــي خدمــات الترميــز وضــع إجــراءات لالســتجابة للحــدث وإدارتــه خــال تقديــم الخدمــة، ب�هــدف اإلبــاغ والمعالجــة الفوريــة ألي اختراقــات أمنيــة ســواء كانــت فعليــة أو مشــتبه بهــا، وكذلــك أي حــاالت احتيــال أو انقطــاع/ عـدم ثبـات الخدمـة، سـواء أثنـاء أو بعـد سـاعات العمـل. ويجـب علـى البنـوك اتخـاذ اإلجــراءات الضروريــة التاليــة )ومنهــا علــى ســبيل المثــال ال الحصــر(: سـرعة اكتشـاف مصـدر الحـدث، وتحديد مـا إذا كان قد وقع نتيجـة وجود نقاط ضعف فـي النظـم التأمينيـة بالبنك من عدمه.
تقييم النطاق المحتمل للحدث ومدي تأثيره.
تصعيـد األمـر إلـى اإلدارة العليـا للبنـك بشـكل فـوري، إذا كان هـذا الحـدث قـد يضـر بسـمعة البنـك أو يـؤدى إلـى خسـائر ماليـة.
إخطار العمالء المتضررين على الفور، إذا لزم األمر.
احتـواء الخسـائر المتعلقـة بأصول البنـوك وبياناتها ومدي تأثيرها علي سـمعة البنوك،
وبوجـه خاص الخسـائر المتعلقة بعمالئها.
جمـع األدلـة الجنائيـة الرقميـة واألدلـة الجنائيـة وحفظهـا بطريقـة مناسـبة وبأسـلوب يضمـن الرقابـة علـى تلـك األدلـة وضمان عـدم التالعب بهـا لتغيير محتواها، لتسـهيل التحقيقـات الالحقـة وإقامـة دعـوى قضائية ضـد مخترقي النظام والمشـتبه فيهم إذا لزم األمـر باإلضافـة إلـى تنفيـذ عمليـة مراجعة لهـذا الحدث.
2-4-4 يجــب علــى البنــوك إعــداد ســجل باألحــداث العارضــة المرتبطــة بالخدمــة المقدمــة والتفاصيــل الخاصــة بهــا باإلضافــة إلــى إعــداد تقريــر دوري بحــد اقصــى كل ســتة أشــهر للعــرض علــى اإلدارة العليــا التخــاذ اإلجــراءات المناســبة لتالفــي تكرارهــا.
3-4-4 يتولـى مسـئول االلتـزام بالبنـك مسـئولية التأكـد مـن إبـاغ البنـك المركـزي المصـري بــأي حــادث امــن ســيبراني بصــورة صحيحــة وفــي خــال 6 ســاعات مــن اكتشــاف الحــادث وبكافــة الحــاالت الــواردة أدنــاه علــى ســبيل المثــال ال الحصــر: ُ أي هجمـات احتيـال لتسـريب أو إفشـاء هويـة مسـتخدم النظـام أو وثائـق اعتمـاد الشخصية )كاالحتيال Phishing)، وملفات التجسس )حصان طروادة Trojans)، والبرمجيـات الخبيثـة وبرمجيـات الفديـة )Malware Ransomware.. إلـخ(.
الدخـول غيـر المصـرح بـه إلـى أنظمـة تكنولوجيـا المعلومـات بالبنك لتسـريب بيانات
ُمسـتخدم النظـام المتعلقـة بالخدمـات المقدمة.
أي عملية تخريبية للبيانات المتعلقة بأنظمة الخدمات المقدمة والتي ال يمكن استرجاعها.
اإليقـاف التـام المتعمـد أو العـارض للخدمـات المقدمـة لفتـرة تزيـد عن الفتـرة المحددة كهـدف لوقـت االسـترجاع RTO المحـدد مـن قبـل البنك.
أي هجمـات سـيبرانية ذات الصلـة بت�لـك الخدمـات المقدمـة علـى أن يتـم إرسـال هـذه التقاريـر بالبريـد االلكترونـي علـى العناويـن التاليـة:
cbe.infosec@cbe.org.eg eg-fincirt@cbe.org.eg
.5-4 اعتبارات األداء وضمان استمرارية العمل
1-5-4 يجــب علــى البنــوك ومقدمــي خدمــات الترميــز توفيــر الخدمــات المقدمــة علــى مــدار السـاعة، مـع ضمـان أداء الخدمـة للعمـاء بالسـرعة والكفـاءة والدقـة المناسـبة طبقـا لمــا تــم ذكــره فــي األحــكام والشــروط الخاصــة بالخدمــة مــع أخــذ توقعــات العمــاء بعيــن االعتبــار مــع إبــاغ العمــاء مســبقا فــي حــال توقــف أو تعطــل الخدمــة.
2-5-4 يجـب علـى البنـوك ومقدمـي خدمـات الترميـز وضـع معاييـر لتقييـم ومتابعـة مسـتوى أداء الخدمــات المقدمــة كمــا يجــب اتخــاذ التدابيــر الالزمــة للتأكــد مــن قــدرة النظــم الداخليـة الخاصـة بتقديـم تلـك الخدمـات علـى التعامـل مـع حجـم المعامـات المتوقعـة والنمــو المســتقبلي لهــذا النــوع مــن الخدمــات.
3-5-4 يجــب أن تأخــذ البنــوك ومقدمــي خدمــات الترميــز فــي اعتبارهــا التخطيــط لضمــان اســتمرارية العمــل عنــد تطويرهــا للخدمــات المقدمــة، علــى أن يتــم أيضــا مراعــاة الممارســات التاليــة: فـي حـال حـدوث عطـل فـي الخدمـة، يجـب أن تحتـوي خطـة اسـتمرارية العمـل على خطـوات محـددة لكيفيـة اسـتئناف أو اسـترجاع تلـك الخدمـات وتحـدد هـذه الخطـوات ً مـع بنـاء علـى أهـداف وقـت ونقطـة االسـترجاع RPO & RTO المحدديـن مسـبقا ضـرورة دوريـة المراجعـة والتحديـث بـأي مسـتجدات أو مخاطـر محتملـة.
وجود نسخ احتياطية للبيانات الستعادتها ووجود خطط عمل بديلة للطوارئ.
يجـب أن تضمـن خطـة اسـتمرارية العمـل الخاصـة بالخدمـات المقدمـة القـدرة علـى التعامـل مـع أي مـن الحـاالت التـي يتـم فيهـا التعهيـد ألطـراف خارجيـة.
.5 أمن العمالء وضوابط لبعض المخاطر األخرى
.1-5 يجـب علـى البنـوك أن تحـدد بدقـة كافـة االحـكام والشـروط لعمالئهـا مـن خلال تطبيقـات ُ ترميـز البطاقـات وبمـا ال يتعـارض مـع تعليمات حماية حقوق عمالء البنـوك المصدرة في فبرايـر 2019 وكافـة تعديالتهـا وغيرهـا مـن التعليمـات ذات الصلـة مـع مراعـاة ما يلي: 1-1-5 أال يتــم االشــتراك فــي الخدمــة اال بعــد الموافقــة الكترونيــا علــى تلــك الشــروط ُ واالحـكام. وبحيـث تتضمـن توضيـح بشـكل م َّ فص ُ ـل الخطـوات الواجـب علـى مسـتخدم النظــام إتباعهــا لتفعيــل الخدمــة فــي حالــة االشــتراك ألول مــرة أو فــي حالــة وقــف ً الوقـت الـازم إليقـاف الخدمـة مـن لحظـة طلـب الخدمـة أو إعـادة تشـغيلها، موضحـا إيقافهــا مــن قِ ُ بــل مســتخدم النظــام والطــرق المختلفــة لطلــب إيقــاف الخدمــة. 2-1-5 إتاحة امكانية إيقاف استخدام الخدمة عند إساءة استخدامها من قبل مستخدم النظام. 3-1-5 ايضـاح إذا كان هنـاك أي تكلفـة إضافيـة أو رسـوم إلسـتخدام تلـك الخدمـات ومقدارهـا ودوريتهــا.
4-1-5 ُ يقـوم البنـك المصـدر ألداة الدفـع اإللكترونيـة وكذلـك مقـدم خدمـات الدفـع بإيجـاد آليـة ُ لدراســة الشــكاوى وينــص صراحــة فــي بنــود واحــكام تقديــم الخدمــة علــى طريقــة ُ تقديـم الشـكوى إلـى البنـك والحـد األقصـى للوقـت المسـتغرق للتحقيـق فـي الشـكوى مـن قِبـل األطـراف المختلفـة والـرد علـى العميـل.
5-1-5 ُ التأكيـد علـى التـزام مسـتخدم النظـام بقـراءة التحذيـرات واإلطـارات التنبيهيـة )مثـل التنبيهــات األمنيــة أو تنبيهــات محــاوالت االحتيال/الهندســة االجتماعيــة Social Engineering ً .. إلـخ( والتأكيـد أيض ُ ـا علـى أن قبـول مسـتخدم النظـام ألي تغييـر فـي الشـروط واألحـكام ا لـذي سـيظهر مـن خـال النظـام إلكترونيـا والموافقـة عليهـا الكترونيــا لالســتمرار فــي الحصــول علــى الخدمــة.
6-1-5 ُ توضيــح مســئوليات المســتخدم فــي الحفــاظ علــى الجهــاز المقتــرن بالرمــز الخــاص بـه وإبـاغ البنـك فـي حـال فقدانـه أو اشـتباه العميـل فـي ان بياناتـه السـرية قـد تـم االطــاع عليهــا مــن قبــل الغيــر.
.2-5 رصد األنشطة غير العادية 1-2-5 يتعيـن علـى البنـوك وضـع تدابيـر فعالـة للرقابـة المسـتمرة لضمـان سـرعة اكتشـاف أي معامـات غيـر عاديـة أو تسـريب بيانـات أو معلومـات تحـدث مـن خـال الخدمـة ُيشـتبه أن تـؤدى إلـى عمليـات احتيـال أو نشـاط ينطـوي علـى شـبهة غسـل أمـوال أو تمويـل إرهـاب وعلـى وجـه الخصـوص، ينبغـي أن تكـون تلـك التدابيـر قـادرة علـى اكتشـاف حـاالت مثـل: حـدوث العديـد مـن عمليـات الدفـع باسـتخدام تطبيقـات ترميـز البطاقات علـى األجهزة اإللكترونيـة خلال فتـرة زمنيـة وجيـزة، وخاصـة علـى سـبيل المثـال ال الحصـر إذا كانـت المبالـغ المدفوعـة تقتـرب مـن الحـد األقصـى المسـموح بـه. وكذلـك الزيـادة المفاجئـة فـي عمليـات الدفـع باسـتخدام الرمـز.
تفعيـل السـيناريوهات أو التقاريـر الالزمـة لرصـد األنشـطة الغيـر عادية وفقـا لطبيعة المنتـج مـع التأكـد مـن رفـع تقاريـر اشـتباه الـي وحـدة مكافحة غسـل األمـوال وتمويل اإلرهـاب عنـد اللزوم.
2-2-5 يجــب أن تتمتــع آليــة الرقابــة المتبعــة بالقــدرة علــى ســرعة إصــدار تحذيــرات إلــى المختصيـن بالمتابعـة والرصـد للخدمـات المقدمـة عنـد حـدوث أي عمليـات دفـع محـل شـبهة احتيـال، وكذلـك أي أنشـطة غيـر معتـادة ويجـب علـى البنـوك فـي تلـك الحـاالت ان تبـذل العنايـة الواجبـة للتصـدي لحـاالت االحتيـال المحتملـة فضـا عـن التحقـق مـن ذلــك مــع أصحــاب هــذه الرمــوز التــي تتــم عليهــا هــذه المعامــات أو األنشــطة فــي أســرع وقــت ممكــن واخطــار إدارة مكافحــة االحتيــال بالبنــك المركــزي وكــذا اخطــار الجهــات المختصــة.
3-2-5 يتم الرجوع الى العمالء فور رصد أي معاملة غير اعتيادية للتحقق من قيامهم بها. 4-2-5 ُ يجب على البنك تطبيق إجراءات محددة ومعتمدة للتعامل مع المعامالت المشتبه بها. 5-2-5 يجـب اإلبـاغ عـن أي حالـة مـن حـاالت االحتيـال ذات الصلـة بتلـك الخدمـات المقدمـة علـى أن يتـم إرسـال هـذه التقاريـر بالبريـد االلكترونـي علـى العناويـن التاليـة أو أي وســيلة مســتحدثة: fraudcombating@cbe.org.eg .3-5 توعية العمالء مستخدمين النظام ً ألن األجهـزة التـي يسـتخدمها العمـاء للدخـول علـى تطبيقـات ترميـز البطاقـات 1-3-5 نظـرا علــى األجهــزة اإللكترونيــة تقــع خــارج نطــاق ســيطرة البنــك، فــإن احتمــال ظهــور ُ مخاطــر أمنيــة تــزداد فــي حالــة عــدم معرفــة مســتخدم النظــام باالحتياطــات األمنيــة الضروريــة الســتخدام الخدمــة أو ســوء فهمهــا ولذلــك يجــب علــى البنــك أن يولــي ً لتوعيــة العمــاء عــن طريــق تقديــم حمــات توعيــة مختلفــة وكــذا ً خاصــااهتمامــا نصائــح ســهلة الفهــم وواضحــة تتعلــق باالحتياطــات األمنيــة الواجــب اتخاذهــا عنــد التعامــل مــع تلــك الخدمــات والتزامهــم حيــال ذلــك.
2-3-5 التأكيـد علـى العمـاء وتوعيتهـم أن موظفـي البنـك أو وكالءه أو مقدمـي خدمـات الدفـع ُ ال يجـوز لهـم أن يطلبـوا مـن مسـتخدم النظـام اإلفصـاح عـن البيانـات السـرية )كأرقـام البطاقـات أو كلمـات السـر( عـن طريـق البريـد اإللكترونـي أو غيـره وفـي حالـة وقـوع ُ ذلـك يجـب علـى مسـتخدم النظـام االتصـال بالبنـك فـي أسـرع وقـت ممكـن. 3-3-5 توعيــة عمــاء تلــك الخدمــات بالطــرق التــي يمكنهــم مــن خاللهــا التأكــد مــن صحــة التطبيـق الرسـمي والتـزام البنـك بإطـاق حمـات دعائيـة تخـص زيـادة وعـي العمـاء فيمـا يخـص الخدمـات المشـار اليهـا.
4-3-5 تختلــف النصائــح الخاصــة باالحتياطــات األمنيــة الواجــب إتباعه�ــا وفقــا لطبيعــة العمــاء، وطبيعــة الخدمــات المقدمــة، وتشــمل النصائــح مــا يلــي كحــد أدنــى: اختيار وحماية وسائل التحقق الخاصة بالعميل.
الحماية ضد تقنيات الهندسـة االجتماعية Techniques Engineering Social حيـث يجـب توعيـة العملاء بضـرورة عـدم اإلفصـاح عـن أي معلومـات شـخصية - كبطاقـة الهويـة أو جـواز السـفر أو العناويـن أو أرقـام حسـابات البنـك الخاصـة بهـم - ألي شـخص لـم يتأكـد مـن هويتـه أو اسـتخدام تطبيقـات هواتـف محمولة موضع شـك. كمـا يجـب التأكيـد علـى العملاء بعـدم اإلفصاح عن كلمات السـر ألي شـخص بما في ذلـك موظفـي البنـك أو وكالئه.
يجـب علـى البنوك مراجعة النصائح واإلرشـادات الخاصـة باالحتياطات التأمينية التي يتـم تقديمهـا للعملاء للتأكـد مـن كفايتهـا ومالئمتهـا للتغيـرات التـي تسـتجد علـى البيئة التكنولوجيـة والخدمـات المقدمة.
يتـم إخطـار مسـتخدم النظـام باإلجـراءات الواجـب اتباعهـا فـي حالـة اكتشـاف أي
ُ شـخص آخـر لوسـائل التحقـق الخاصـة بمسـتخدم النظـام.
32 القواعد المنظمة لخدمات ترميز البطاقات على تطبيقات األجهزة اإللكترونية داخل جمهورية مصر العربية
.6 إجراءات الحصول على التراخيص
1-6 ُ يجـب علـى البنـوك المصـدرة التـي ترغـب فـي الحصـول علـى تراخيـص لتقديـم خدمـات ترميـز البطاقـات لعمالئهـا أن تتقـدم بطلـب لقطـاع الشـئون المصرفيـة بالبنـك المركـزي المصـري للحصـول علـى الموافقـة الالزمـة، وذلـك لـكل تطبيـق يتـم قبـول بطاقـات البنـك مـن خاللـه علـى حـده، وذلـك مـع اسـتيفاء مـا يلـي: 1-1-6 دورة العمل التفصيلية. 2-1-6 بيانات البنية التحتية للمنظومة التي سيتم استخدامها. 3-1-6 التكنولوجيــا الالزمــة وضوابــط األمــن الســيبرانى لتأميــن البنيــة التحتيــة واألنظمــة والتطبيقــات وكافــة المعلومــات والبيانــات فــي حاالتهــا المختلفــة مــن نقــل ومعالجــة وتخزيــن وحفــظ فــي نســخ احتياطيــة بمــا يضمــن ســرية وســامة وإتاحــة البيانــات والتوافــق مــع اإلطــار العــام لألمــن الســيبرانى.
4-1-6 خطــة العمــل الخاصــة بالربــط الفنــي مــع شــركة بنــوك مصــر والشــركات صاحبــة عالمــة القبــول.
5-1-6 البيانــات المتعلقــة بالتطبيــق الخــاص بطالــب الرمــز )Requestor Token )إن ُ وجــدت وذلــك للبطاقــات المصــدرة مــن البنــك. 6-1-6 ُ دور البنك والجهات المصرح لها طلب ترميز البطاقات المصدرة من البنك. 7-1-6 البيانــات المتعلقــة بأنظمــة إدارة تطبيقــات ترميــز البطاقــات اإللكترونيــة )Wallet Server Management )أن وجــدت. 8-1-6 تقديم خطة عمل لمدة ثالث سنوات تتضمن التالي: عدد العمالء والبطاقات الخاصة بالعمالء المستهدف تقديم الخدمة لهم.
عدد وقيم المعامالت السنوية المستهدف تنفيذها باستخدام البطاقات التي تم ترميزها.
تقديـم خطـة تسـويقية شـاملة للتعريـف بالخدمـة وتفعيـل اسـتخدامها علـى أن يوضـح بالخطـة الميزانيـة المعتمـدة لذلـك.
2-6 يجب موافاة البنك المركزي المصري بما يلي قبل اإلطالق الفعلي للخدمة: 1-2-6 تقريــر اختبــارات االختــراق )Report Test Penetration ),وتقاريــر تقييــم نقــاط الضعــف )assessment vulnerability Credential )علــى بيئــة العمــل الفعليــة والطــوارئ بمــا يشــمل جميــع األنظمــة و التطبيقــات و البنيــة التحتيــة و أســاليب التأميــن المتبعـة علـى ان تكـون هـذه االختبـارات تتـم بصـورة شـاملة تتيـح اكتشـاف جميـع الثغـرات و المشـاكل الفنيـة والـذي يفيـد عـدم وجـود أي نقـاط ضعـف عاليـة أو متوسـطة الخطـورة ومـن ثـم الحصـول علـى موافقـة البنـك المركـزي المصـري بتفعيـل الخدمـة، علـى ان يتـم تقديـم التقريـر المشـار اليـه إلـى البنـك المركـزي المصـري فـي مـدة ال تتجـاوز ثالثـة أشـهر مـن تاريـخ إصـداره مـن مقـدم خدمـة خارجـي مسـتقل والخاصـة بكافـة الخدمـات المذكـورة اعـاه.
2-2-6 مــا يفيــد اجتيــاز التطبيقــات اإللكترونيــة لكافــة االختبــارات الفنيــة التــي ســيتم تقديــم الخدمــة مــن خاللهــا ســواء كانــت تطبيقــات لمصنعــي األجهــزة الذكيــة )OEM Wallet ُ ) أو تطبيقـات تخـص البنـوك المصـدرة )Wallet HCE )أو التطبيقـات مـن مقــدم خدمــة.
3-2-6 تقييـم المخاطـر الـذي تـم مـن جانـب البنـك علـى الخدمـة والـذي يوضـح أن الضوابـط التـي سـيتم تطبيقهـا تصـل بمسـتوى المخاطـر للمسـتوى المقبـول وتوضـح إجـراءات إدارة ورصـد ايـة مخاطـر بصـورة فعالـه.
34 القواعد المنظمة لخدمات ترميز البطاقات على تطبيقات األجهزة اإللكترونية داخل جمهورية مصر العربية قطـــاع الـعمليـــات الـمـصرفيـــة ونظـــم الـدفـــع Banking Operations & Payment Systems Sector لظـ CENTRAL BANK OF LEVEL 35 هذه الوثيقة للتداول الخارجي بين البنك المركزي المصري والبنوك العاملة بجمهورية مصر العربية واألطراف ذوي الصلة، وال يجوز ،ً بأية صورة من الصور أو من خالل أي وسيلة من وسائل ً أو جزئياتصوير أي جزء منها أو إعادة طبعه أو بيعه أو نقله ألي شخص؛ كليا نقل المعلومات إال بمقتضى تصريح كتابي مسبق من البنك المركزي المصري.
جميع الحقوق محفوظة للبنك المركزي المصري 2023 ©