Region

Jurisdiction

Regulator

2023-11-16 | CBE12.2

CBE Regulation Book 12.2 - The Rules Regulating The Provision Of Payment Services Using A Mobile Phone

These rules regulate mobile payment services in Egypt. They cover strategic, operational, and compliance risks, and outline the responsibilities of the bank's board of directors and senior management. The rules also include provisions on information security, customer identification, and anti-money laundering and counter-terrorism financing measures.

Egypt

Central Bank of Egypt

الفصـل الثاني القواعد المنظمة لتقديم خدمات الدفع

1 باستخدام الهاتف المحمول

-1 مقدمـة 1-1 الغـرض

تستهدف خدمات الدفع من خالل الهاتف المحمول تحقيق الشمول المالي، والوصول بالخدمات المصرفية لكل أفراد المجتمع بمن فيهم غير القادرين والشباب والقاطنين باألماكن النائية، وتعمل تلك الخدمات على توفير حساب مصرفي بسيط يفتح المجال لتوسيع قاعدة المتعاملين مع البنوك.

لزيادة توجه الخدمات المصرفية في مصر نحوونظرا االعتماد على التكنولوجيا فإن ذلك يتطلب المزيد من ً اإلصالحات التنظيمية الالزمة في هذا المجال.

2-1 نطاق القواعد

بالرغم من تشابه المخاطر والضوابط بين مختلف قنوات التواصل الخاصة بالخدمات المصرفية إال أن هذه القواعد تختص بخدمات الدفع باستخدام الهاتف المحمول فقط.
ال يغطي نطاق القواعد خدمات الدفع باستخدام قنوات التنفيذ األخرى )مثال: ماكينات الصراف اآللي ATM، والخدمات المصرفية عبر الهاتف األرضي، والخدمات المصرفية عبر اإلنترنت Banking Mobile/Internet)، وقد تم إصدار القواعد التفصيلية المنظمة لبعض هذه الخدمات وسيتم بشكل مستقل.إصدار الباقي تباعاً
تعتبر هذه القواعد والضوابط هي الحد األدنى الالزم لتقديم خدمات الدفع باستخدام الهاتف المحمول بطريقة آمنة، وعلى كافة البنوك أال تكتفى بذلك وأن تتأكد من اتخاذ كافة ما يلزم نحو إدارة المخاطر المرتبطة بتقديم هذا النوع من الخدمات المصرفية.
تتضمن هذه القواعد بعض الضوابط أو األهداف الرقابية العامة المتعلقة باستمرارية األعمال وإسناد األعمال إلى أطراف خارجية وإدارة مخاطر نظم المعلومات، وبالرغم من ذلك سيتم إصدار القواعد التفصيلية المنظمة لهذه المجاالت بشكل مستقل الحقا.ً

1 كتاب السيد المحافظ المؤرخ 5 مايو .2021 1

تسري هذه القواعد فيما يتعلق بتقديم خدمات الدفع باستخدام الهاتف المحمول وذلك دون اإلخالل بالضوابط الرقابية للعمليات المصرفية اإللكترونية السابق صدورها عن البنك المركزي المصري وكذلك التعليمات والقواعد الخاصة بتنفيذ العمليات المصرفية وضوابط مكافحة غسل األموال وتمويل اإلرهاب الصادرة عن البنك المركزي المصري وإجراءات العناية الواجبة بعمالء خدمة الدفع باستخدام الهاتف المحمول الصادرة عن وحدة مكافحة غسل األموال وتمويل االرهاب.

تسري القواعد على جميع البنوك المسجلة لدى البنك المركزي المصري بما فيها فروع البنوك األجنبية وتحل محل" القواعد المنظمة لتقديم خدمات الدفع باستخدام الهاتف المحمول" الصادرة بتاريخ 29 نوفمبر لعام 2016 وتعديالتها.

3-1 المالحق

ملحق )أ(: الحاالت والقواعد الخاصة باالستعانة بمقدمي الخدمة للتعرف على هوية العمالء كما وردت في "إجراءات العناية الواجبة بعمالء خدمة الدفع باستخدام الهاتف المحمول" الصادرة عن وحدة مكافحة غسل األموال وتمويل اإلرهاب لعام 2020
ملحق )ب(: القواعد المنظمة لتقديم اإلقراض واالدخار الرقمي " الصادرة عن البنك المركزي المصري في إبريل .2021
ملحق )ج(: التعريفات

-2 إدارة مخاطر خدمات الدفع باستخدام الهاتف المحمول 1-2 المخاطر المرتبطة بخدمات الدفع باستخدام الهاتف المحمول

يقترن تقديم خدمات الدفع باستتتخدام الهاتف المحمول بالعديد من المخاطر والمميزات في نفا الوقت. وبينما ال تعتبر تلك المخاطر جديدة على البنوك إال أن خصتتائص خدمات الدفع باستتتخدام الهاتف المحمول قد تزيد من درجات المخاطر باإلضتتتافة إلى خلق تحديات جديدة إلدارة تلك المخاطر. وتتمثل هذه المخاطر فيما يلي وذلك على سبيل المثال ال الحصر:

- المخاطر االستراتيجية:

تتمثل في قرار تقديم خدمات الدفع باستخدام الهاتف المحمول ونوع الخدمات المقدمة واختيار الوقت المناسب لتقديمها. ويقصد بذلك على وجه التحديد مدى الجدوى االقتصادية لتقديم هذه الخدمات أو استمرارها وما إذا كانت نسبة العائد على االستثمار سوف تفوق االستثمارات األولية ومصروفات استمرار تقديم هذه الخدمات. كما أن سوء التخطيط لخدمات الدفع باستخدام الهاتف المحمول والقرارات االستثمارية غير المدروسة يمكنها أن تزيد المخاطر االستراتيجية التي تتعرض لها البنوك.

مخاطر التشغيل/ مخاطر المعامالت: تتمثل في المخاطر الناجمة عن االحتيال أو األخطاء في تنفيذ المعامالت، أو الخلل في عمل النظام، أو غيرها من األحداث غير المتوقعة التي قد تؤدى إلى عدم قدرة البنك على تقديم الخدمات أو تعرض البنك أو عمالئه لخسائر مالية. وبينما تكمن المخاطر في كل المنتجات والخدمات المقدمة، إال أن مستوى المخاطر الخاصة بالمعامالت يتأثر بهيكل اإلجراءات والمعامالت البنكية ويتضمن ذلك أنواع الخدمات المقدمة ودرجة تعقيد العمليات والوسائل التكنولوجية المساعدة.

- مخاطر االلتزام/ المخاطر القانونية:

تنشأ هذه المخاطر نتيجة انتشار خدمات الدفع باستخدام الهاتف المحمول واالختالف بين العمليات اإللكترونية والعمليات اليدوية. وقد تتضمن التحديات التنظيمية/القانونية الخاصة ما يلي:

إبرام اتفاقية قانونية إلكترونياً مع العمالء الستخدام خدمات الدفع باستخدام الهاتف المحمول.
األساليب التي تستخدمها البنوك للتعرف على هوية العمالء والتحقق منها باعتبارها أحد مصادر المخاطر القانونية التي ينبغي وضع ضوابط كافية للحد منها.
في ضوء التزام البنوك بقانون البنك المركزي والجهاز المصرفي رقم 194 لسنة ،2020 يتعين على البنوك وضع إجراءات وضوابط للحفاظ على خصوصية البيانات وسرية حسابات العمالء للتمكن من إدارة المخاطر المتزايدة التي تتعلق بتقديم خدمات الدفع باستخدام الهاتف المحمول، وكذلك مسئولية البنوك القانونية تجاه العمالء نتيجة الحتمال حدوث اختراق لخصوصية البيانات، أو أي مشاكل أخرى بسبب عمليات القرصنة أو االحتيال أو اإلخفاقات التكنولوجية األخرى والعمل على حماية تلك البيانات من االستيالء عليها.
تتحمل البنوك التي تقدم خدمات الدفع باستخدام الهاتف المحمول درجة أعلى من مخاطر االلتزام وذلك بسبب الطبيعة المتغيرة للتكنولوجيا والتعديالت الرقابية التي تهدف إلى التعامل مع المشاكل الخاصة بتقديم هذا النوع من الخدمات.
االحتفاظ بمستندات االلتزام المطلوبة والخاصة بالسجالت والتطبيقات وكشوف الحسابات واالفصاحات واإلشعارات.
تحديد وتقييم مخاطر غسل األموال وتمويل اإلرهاب التي قد تنشأ عن خدمات الدفع باستخدام الهاتف المحمول، حيث يجب االنتهاء من هذا التقييم قبل إطالق خدمات الدفع باستخدام الهاتف المحمول، وفي حالة أن الخدمة قائمة بالفعل لدى البنك، فاألمر يتطلب إعادة إجراء هذا التقييم فور صدور هذه القواعد وذلك في ضوء المتطلبات الرقابية الواردة بها وكذا ما يرد بإجراءات العناية الواجبة بعمالء خدمة الدفع باستخدام الهاتف المحمول الصادرة عن وحدة مكافحة غسل األموال وتمويل اإلرهاب.
مخاطر السمعة: يتزايد مستوى المخاطر المتعلقة بالسمعة وذلك نتيجة قرار البنك بتقديم خدمات الدفع باستخدام الهاتف فيما يتعلق بالمعامالت األكثر تعقيدا.ً وفيما يلي بعض المخاطر التي قد تؤثر علىالمحمول، وخاصةً سمعة البنك من خالل تقديم خدمات الدفع باستخدام الهاتف المحمول:
انعدام الثقة نتيجة وجود معامالت غير مصرح بها على حساب ُمستخدم النظام.
اإلفصاح عن معلومات سرية خاصة ب ُمستخدم النظام ألطراف غير مصرح لها، أو سرقتها.
الفشل في تقديم خدمات يمكن االعتماد عليها نتيجة لتكرار تعطل الخدمة أو طول مدة توقفها.
شكاوى ُمستخدم النظام من صعوبة استخدام خدمات الدفع باستخدام الهاتف المحمول أوعدم قدرة موظفي الدعم الفني بالبنك على حل هذه المشاكل.

- مخاطر أمن المعلومات:

ينشأ هذا النوع من المخاطر نتيجة احتمال استغالل إحدى الجهات غير المشروعة لنقاط الضعف بأنظمة خدمات الدفع باستخدام الهاتف المحمول إلحداث الضرر، والذي ينتج عنه آثار تتعلق بمستوى سالمة وإتاحة وسرية البيانات.

2-2 مسئوليات والتزامات مجلس اإلدارة واإلدارة العليا

1-2-2 يتولى مجلا اإلدارة واإلدارة العليا مسئولية اإلشراف على إعداد استراتيجية العمل الخاصة بالبنك وكذا اتخاذ قرار استراتيجي واضح بشأن رغبة البنك في تقديم خدمات الدفع باستخدام الهاتف المحمول من عدمه، وبصفة خاصة يجب على مجلا اإلدارة التأكد مما يلي:

توافق خطط خدمات الدفع باستخدام الهاتف المحمول مع األهداف االستراتيجية للبنك.
تحليل المخاطر الخاصة بخدمات الدفع باستخدام الهاتف المحمول المقترحة.
إعداد إجراءات مناسبة لمراقبة المخاطر والحد منها وذلك فيما يتعلق بالمخاطر التي يتم تحديدها.
المراجعة المستمرة لتقييم نتائج خدمات الدفع باستخدام الهاتف المحمول وفقا للخطط واألهداف المحددة.

1-2-2-2 يجب على مجلا اإلدارة واإلدارة العليا ضمان تحليل المخاطر المرتبطة بخدمات الدفع باستخدام الهاتف المحمول المشار إليها في البند )1-2( والحد منها بالطرق المالئمة، وذلك وفقا لما يلي: 2-2-2-2 وضع رقابة فعالة على المخاطر المرتبطة بتقديم خدمات الدفع باستخدام الهاتف المحمول، بما في ذلك تحديد المسئوليات والسياسات والضوابط الرقابية إلدارة هذه المخاطر: 4

يجب على مجلا اإلدارة واإلدارة العليا اإللمام بجوانب عمليات الدفع باستخدام الهاتف المحمول، والتي قد تفرض تحديات تختلف عن إدارة المخاطر التقليدية على النحو الوارد في البند .1-2 5
يجب على مجلا اإلدارة واإلدارة العليا التأكد من عدم تقديم البنك خدمات جديدة للدفع باستخدام الهاتف المحمول أو تبنى وسائل تكنولوجية جديدة إال إذا توافرت لهذا البنك الخبرات الالزمة التي تمكن من إدارة المخاطر بكفاءة. وينبغي ان تتناسب خبرات الموظفين واإلدارة مع الطبيعة الفنية ودرجة تعقيد التطبيقات والتقنيات الخاصة بخدمات الدفع باستخدام الهاتف المحمول.
يجب على مجلا اإلدارة واإلدارة العليا تحديد درجة قدرة البنك على تقبل المخاطر Risk Appetite وذلك فيما يتعلق بخدمات الدفع باستخدام الهاتف المحمول مع ضمان إدراج عمليات إدارة المخاطر المتعلقة بهذه الخدمات في المنهجية العامة للبنك إلدارة المخاطر. كما يجب أن تتم مراجعة السياسات والعمليات الحالية والخاصة بإدارة المخاطر وذلك للتأكد من كفايتها لتغطية المخاطر الجديدة التي قد تنتج عن خدمات الدفع باستخدام الهاتف المحمول.
يجب على إدارة المراجعة الداخلية أن تقدم لمجلا اإلدارة ولجنة المراجعة واإلدارة العليا تقييم مستقل وموضوعي عن مدى فعالية الضوابط الرقابية التي يتم تطبيقها للحد من المخاطر الناتجة عن تقديم خدمات الدفع باستخدام الهاتف المحمول بما في ذلك مخاطر التكنولوجيا.

3-2-2-2 مراجعة واعتماد الجوانب الرئيسية لعملية الرقابة األمنية الخاصة بالبنك:

يجب على مجلا اإلدارة واإلدارة العليا اإلشراف على التطوير والصيانة المستمرة للبنية التحتية للرقابة األمنية التي توفر الحماية المناسبة لنظم وبيانات خدمات الدفع باستخدام الهاتف المحمول من أي تهديدات داخلية أو خارجية. ومن أجل ضمان فعالية عملية تأمين خدمات الدفع باستخدام الهاتف المحمول، يجب على مجلا اإلدارة واإلدارة العليا التأكد من اتخاذ اإلجراءات اآلتية:
تحديد مسئوليات واضحة خاصة باإلشراف على وضع وإدارة السياسات األمنية الخاصة بالبنك.
توفير الحماية الالزمة لمنع دخول األشخاص غير المصرح لهم إلى بيئة الحاسب اآللي، والتي تتضمن كافة األنظمة الحيوية وخوادم الشبكة وقواعد البيانات والتطبيقات واالتصاالت، واألنظمة األمنية الخاصة بخدمات الدفع باستخدام الهاتف المحمول.
توفير الضوابط اإللكترونية الالزمة والتي من شأنها منع أي أطراف داخلية أو خارجية غير مصرح لها من الوصول إلى التطبيقات وقواعد البيانات الخاصة بخدمات الدفع باستخدام الهاتف المحمول.
المراجعة الدورية لعمليات اختبار اإلجراءات والنظم األمنية - على سبيل المثال إجراء اختبار االختراق دوريًا كما هو موضح في البند )11-3( - بما في ذلك المتابعة المستمرة للتطورات في النظم األمنية في هذا المجال، وتحميل وإعداد التحديثات الخاصة بالبرامج وحزم الخدمات المناسبة والتدابير الالزمة وذلك بعد إجراء االختبارات المطلوبة.

4-2-2-2 إعداد آلية شاملة ومستمرة إلجراء األبحاث النافية للجهالة Diligence Due والرقابة على عمليات التعهيد وعالقات البنك بأطراف خارجية أخرى يتم االعتماد عليهم لتقديم خدمات الدفع باستخدام الهاتف المحمول. مع تركيز مجلا اإلدارة واإلدارة العليا على النقاط التالية على سبيل المثال ال الحصر:

اإللمام الكامل بالمخاطر المترتبة على إبرام أي ترتيبات خاصة باإلسناد أو الشراكة أو الوكالة فيما يتعلق بنظم أو تطبيقات خدمات الدفع باستخدام الهاتف المحمول باإلضافة إلى توفير الموارد الالزمة لإلشراف على هذه الترتيبات.
إجراء األبحاث النافية للجهالة الالزمة فيما يتعلق بالكفاءة والبنية التحتية للنظام والقدرة المالية للشريك أو الطرف الخارجي ُمقدم الخدمة وذلك قبل إبرام أي اتفاقيات خاصة باإلسناد أو الشراكة أو الوكالة.
تحديد المسئوليات التعاقدية لكافة األطراف الخاصة باتفاقيات اإلسناد أو الشراكة أو الوكالة بشكل واضح. على سبيل المثال، يتم تحديد مسئوليات توفير المعلومات إلى ُمقِّ دم الخدمة وتلقيها منه بشكل واضح.
تتضمن تعاقدات خدمات اإلسناد أو الوكالة اتفاقية لعدم اإلفصاح عن المعلومات السرية ألطراف خارجية واتفاقية مستوى الخدمة والتي تشمل على سبيل المثال ال الحصر: تحديد األدوار والمسئوليات والوقت المطلوب لتنفيذ الخدمة وإجراءات وبيانات التصعيد والعقوبات في حال عدم االلتزام، هذا باإلضافة إلى البنود التي تحفظ حق البنك في التدقيق على موردي الخدمات أو االعتماد على تقارير التدقيق المعتمدة )الصادرة عن جهات تدقيق معتمدة(.
خضوع كافة النظم والعمليات الخاصة بخدمات الدفع باستخدام الهاتف المحمول التي تتم من خالل عملية اإلسناد أو الوكالة لنظام إدارة المخاطر وسياسات الخصوصية وأمن المعلومات التي تتفق مع المعايير الخاصة بالبنك.
إجراء التدقيق الداخلي و/أو الخارجي بصفة دورية على العمليات التي تتم عن طريق اإلسناد أو الوكالة، وينبغي أال يقل نطاق تغطية أعمال التدقيق عن مثيلتها التي يتم تطبيقها على المستوى الداخلي في البنك.
توفير كافة تقارير التدقيق والتقييم لمفتشي قطاع الرقابة واإلشراف بالبنك المركزي المصري.
وضع خطط طوارئ مناسبة لخدمات الدفع باستخدام الهاتف المحمول التي تتم عن طريق اإلسناد أو الوكالة.
أن تتسم إجراءات فسخ/إنهاء التعاقد بالفاعلية، كما يجب أن تضمن هذه اإلجراءات الحفاظ على استمرارية العمل وسالمة البيانات وكذلك نقلها والتخلص منها.
وبالرغم من قيام البنك بإسناد بعض الخدمات ألطراف خارجية، فإن البنك يظل مسئوالً مسئولية كاملة تجاه مستخدمي النظام وتجاه التزام األطراف الخارجية بهذه القواعد.

5-2-2-2 يجب على مسؤولي االلتزام؛ إجراء مراجعات دورية - مرة سنويًا على األقل- لضمان االلتزام بأحكام هذه التعليمات.

وفقً ،2-1 سيتم إصدار قواعد تفصيلية منظمة تَح ُكم أنشطة اإلسناد وذلك على نحو ا لما ورد في البند منفصل، على أن تشمل الضوابط الرقابية التفصيلية باإلضافة إلى األهداف الرقابية وكذلك قائمة بالنظم والخدمات المسموح بإسنادها واالستعانة بمصادر خارجية لتنفيذها. ولحين إصدار هذه القواعد، يجب على البنوك عدم إبرام أي اتفاقيات تتعلق بإسناد خدمات الدفع باستخدام الهاتف المحمول أو تطبيقاتها دون الحصول على موافقة مسبقة من البنك المركزي المصري.

3-2 إعداد سياسة تأمين المعلومات

ُمعتمدة من مجلا اإلدارةُمطَّبقة بالبنك - وال1-3-2 يجب على اإلدارة العليا التأكد من أن سياسة أمن المعلومات ال ويتم تحديثها بشكل دوري - تغطي خدمات الدفع باستخدام الهاتف المحمول. ويسهم ذلك في تحديد السياسات واإلجراءات والضوابط الرقابية الالزمة لحماية العمليات البنكية من االختراقات واالنتهاكات األمنية، كما يحدد المسئوليات الفردية وكذا يوضح آليات التنفيذ واإلجراءات التي يجب اتخاذها في حال مخالفة هذه السياسات واإلجراءات.

2-3-2 تتولى اإلدارة العليا تعزيز ونشر الثقافة األمنية على كافة مستويات البنك عن طريق التأكيد على التزامهم بالمعايير العالية ألمن المعلومات، ونشر هذه الثقافة على كافة العاملين بالبنك.

4-2 تصنيف مخاطر خدمات الدفع باستخدام الهاتف المحمول

تقدم البنوك مجموعة مختلفة من خدمات الدفع باستخدام الهاتف المحمول لفئات متنوعة من العمالء ونتيجة لذلك فهي ال تنطوي عادةً على ذات مستوي المخاطر المتأصلة.

ويتطلب هذا التنوع في تقديم الخدمات تبنى البنوك ألساليب أمنية شاملة وتتسم بالمرونة في الوقت ذاته، على أن تكون منهجية التأمين قائمة على تحليل المخاطر والتهديدات الخاصة بخدمات الدفع باستخدام الهاتف المحمول، مع األخذ في االعتبار المخاطر المتأصلة Risk Inherent والضوابط الرقابية التعويضية Controls Compensating من أجل الوصول لمستوى من المخاطر المتبقية Risk Residual التي تقع ضمن مستويات المخاطر المقبولة بالبنك.

5-2 قواعد مكافحة غسل األموال وتمويل اإلرهاب

يجب على البنوك التي تقوم بتقديم خدمات الدفع باستخدام الهاتف المحمول تنفيذ ما يلي:

االلتزام بقانون مكافحة غسل األموال الصادر بالقانون رقم 80 لسنة 2002 والئحته التنفيذية والضوابط الرقابية للبنوك في شأن مكافحة غسل األموال وتمويل اإلرهاب الصادرة عن البنك المركزي المصري، وكذا إجراءات العناية الواجبة بعمالء خدمة الدفع باستخدام الهاتف المحمول الصادرة عن وحدة مكافحة غسل األموال وتمويل اإلرهاب.
إيالء عناية كافية لما يتفق مع طبيعة الخدمة من المؤشرات اإلسترشادية الواردة بالبند السابع )المؤشرات اإلسترشادية للتعرف على العمليات التي يشتبه في أنها تتضمن غسل أموال أو تمويل إرهاب( من الضوابط الرقابية للبنوك في شأن مكافحة غسل األموال وتمويل اإلرهاب الصادرة عن البنك المركزي المصري عام .2008
في حالة االشتباه في أية عمليات تتم من خالل تطبيقات الهاتف المحمول، القيام بإخطار وحدة مكافحة غسل األموال وتمويل اإلرهاب بشأنها، وذلك وفقا ألحكام قانون مكافحة غسل األموال الصادر بالقانون رقم 80 لسنة .2002

1-3 إصدار النقود اإللكترونية وإدارة النظام

1-1-3 يقتصر حق إصدار وحدات النقود اإللكترونية على البنوك الخاضعة لرقابة البنك المركزي المصري وذلك بعد الحصول على موافقته.

2-1-3 يُ ِّعد البنك ُمصدر وحدات النقود اإللكترونية ويُ َش ِّغل نظاماً إلدارة سجالت النقود اإللكترونية بشكل كامل ودقيق ومستمر وتوضح هذه السجالت قيمة النقود ال مي النظام و ُمقدمي الخدمة وبيان ُمصدرة و ُمستخد رصيد الحسابات الخاصة بكل منهم وإجمالي هذه األرصدة. ويراقب هذا النظام حركة أوامر الدفع الخاصة بوحدات النقود اإللكترونية وإصدار تقارير ُمفصلة Trail Audit عن أوامر الدفع، مع ربط العمليات بُمستخدمي النظام و ُمقدمي الخدمة. ويمثل عجز النظام عن إصدار تقارير صحيحة - سواء بشكل متعمد إخالالً بهذه القواعد. أو غير متعمد - 3-1-3 يجب أن تعادل كل وحدة نقود إلكترونية في خدمة الدفع باستخدام الهاتف المحمول، قيمة نقدية تساوي جنيهاً مصرياً واحدا.ً 4-1-3 ال يتم إصدار وحدات نقود إلكترونية إال إذا كان البنك يحتفظ لديه بإيداعات نقدية )بالجنيه المصري( ال تقل قيمتها عن قيمة الوحدات ال ى البنك ُمصدرة، ويراقب البنك المركزي المصري من خالل التفتيش عل ُمصِّدر ال ُم المرخص له مدى االلتزام بهذه القاعدة والتأكد من أن صَدقيمة الوحدات ال رة بمعرفة البنك ال تزيد عن اإليداعات النقدية بالجنيه المصري المحتفظ بها لديه لهذا الغرض.

5-1-3 يتعين على البنك في ضوء تقييمه للمخاطر المرتبطة بالخدمة وضع حد أقصى مناسب لوحدات النقود اإللكترونية ال زي عند كل تغيير لهذا الحد. ُمصدرة على أن يتم إحاطة البنك المرك

2-3 االستعانة بمقدم الخدمة

1-2-3 يحق للبنك االستعانة بُمقدمي خدمة للوصول إلى ُمستخدمي النظام وتقديم خدمات تخص هذا النظام بعد موافقة البنك المركزي المصري مع مراعاة كافة ما جاء بالبند ،3-2-2-2 ويتم االتفاق بين البنك و ُمقدم العمليات التي يقوم بها ُمقدم الخدمة، على أال تتعدى العمليات اآلتية: الخدمة على 1-1-2-3 في حالة أن مقدم الخدمة ضمن الجهات الواردة بالبند )3( من إجراءات العناية الواجبة بعمالء خدمة الدفع بإستخدام الهاتف المحمول الصادرة عن وحدة مكافحة غسل األموال وتمويل اإلرهاب:

التعرف على هوية طالب استخدام النظام والتحقق منها وفقا لإلجراءات الصادرة عن وحدة مكافحة غسل األموال وتمويل اإلرهاب في هذا الشأن.
استالم وتسجيل نماذج طلبات فتح الحسابات أو أية طلبات أخرى خاصة بالخدمة.
تقديم التوعية والمعلومات اإلرشادية الستخدام النظام.
الحصول على نقد )جنيه مصري( من مستخدمي النظام في حدود رصيد مقدم الخدمة من وحدات نقود إلكترونية بالبنك.

ُمستخدم النظام مقابل استالم وحدات نقود إلكترونية منه.▪ تسليم نقد )جنيه مصري( ل 2-1-2-3 في حالة أن مقدم الخدمة جهة أخرى بخالف الجهات الواردة بالبند )3(:

تقديم التوعية والمعلومات اإلرشادية الستخدام النظام.
الحصول على نقد )جنيه مصري( من ُمستخدمي النظام في حدود رصيد ُمقدم الخدمة من وحدات نقود إلكترونية بالبنك.

ُمستخدم النظام مقابل استالم وحدات نقود إلكترونية منه.▪ تسليم نقد )جنيه مصري( ل 2-2-3 يجب أن يتمتع ُمقدم الخدمة بوضع مالي جيد ويكون حسن السمعة.

3-2-3 يقوم مقدم الخدمة بفتح حساب دائن لدى البنك.

ُمقدم الخدمة على مقدار ما أودعه نقدا )جنيه مصري( 4-2-3 يقتصر حجم وحدات النقود اإللكترونية الممنوحة ل ُم ، ُمقدم أو ضمانات لدي البنك ليقوم بتحويلها إلى ستخدمي النظام مقابل متحصالت نقدية منهم وال يجوز ل خدمة تلقي أموال من ُم إلكترونية لهم وال يجوز له استالم ال ستخدمي النظام دون تحويل وحدات نقود وحدات النقود اإللكترونية منهم دون تسليمهم نقد )جنيه مصري(.

5-2-3 يلتزم مقدم الخدمة بإرسال مستندات التعرف على هوية طالب فتح الحساب للبنك وفقا لما تنص عليه إجراءات العناية الواجبة بعمالء خدمة الدفع باستخدام الهاتف المحمول الصادرة عن وحدة مكافحة غسل األموال وتمويل اإلرهاب.

6-2-3 يُ ِّعد مقدم الخدمة مكانا مناسبا إلجراء المعامالت المالية المتعلقة بالنظام.

7-2-3 يلتزم ُمقدم الخدمة بتوفير سيولة نقديه لتغطية عمليات السحب النقدي المتوقعة.

8-2-3 يكون البنك مسئوالً مسئولية كاملة تجاه ُمستخدمي النظام وتجاه التزام ُمقدمي الخدمة بتنفيذ هذه القواعد وكذا األحكام والضوابط والقواعد واإلجراءات الصادرة في شأن مكافحة غسل األموال وتمويل اإلرهاب.

ُمقدم الخدمة إسناد تنفيذ تعاقده مع البنك إلى آخرين، وال يحق له حوالة تعاقده مع البنك أو التنازل 9-2-3 ال يحق ل عنه لصالح آخرين، ويتم النص على ذلك صراحة في التعاقد بين البنك و ُمقدم الخدمة.

10-2-3 يجب على البنك حال استعانته بمقدمي الخدمة للتعرف على هوية العمالء والتحقق منها أو في عمليات اإليداع والسحب النقدي، إلزامهم باإلقرار بجميع البيانات الخاصة بشبكة التجار ومنافذ تقديم الخدمة التابعة لآللية التي يحددها البنكلهم وفقا ، على أن يقوم البنك بتوفير آلية مناسبة لعمالئه لالستعالم عن مقدمي ً الخدمة التابعين له.

3-3 إدارة حسابات خدمات الدفع باستخدام الهاتف المحمول

1-3-3 يلتزم البنك عند فتح حسابات الهاتف المحمول بالتعرف على هوية طالب استخدام النظام والتحقق منها وفقا "إلجراءات العناية الواجبة بعمالء خدمة الدفع باستخدام الهاتف المحمول" الصادرة عن وحدة مكافحة غسل األموال وتمويل اإلرهاب، كما يلتزم بقانون مكافحة غسل األموال الصادر بالقانون رقم 80 لسنة 2002 والئحته التنفيذية والضوابط الرقابية للبنوك في شأن مكافحة غسل األموال وتمويل اإلرهاب الصادرة عن البنك المركزي المصري.

2-3-3 يلتزم البنك بتوثيق كافة البيانات الخاصة بمكان وتوقيت فتح حسابات الهاتف المحمول وكذا عمليات السحب واإليداع.

3-3-3 تحتفظ البنوك بكافة الوثائق الخاصة بالنظام وذلك بطريقة حفظ آمنة وللمدد القانونية المقررة.

4-3-3 يتم ربط كل رقم هاتف محمول بحساب هاتف محمول واحد فقط.

5-3-3 يقتصر فتح حسابات الهاتف المحمول لمستخدمي النظام من األشخاص الطبيعيين على الحاصلين على الجنسية المصرية فقط.

6-3-3 يُسمح لمستخدم النظام بفتح أكثر من حساب للهاتف المحمول بحد أقصي ثالثة حسابات على مستوي كافة البنوك التي تقدم الخدمة في مصر.

7-3-3 تلتزم البنوك بتطبيق كافة اإلجراءات والضوابط الرقابية التي تمكنها من تحديد هوية القائمين بأي معامالت إلكترونية مرتبطة بالحسابات المصرفية، وذلك في الحاالت التي يصرح فيها ألكثر من مستخدم بالتعامل على هذا الحساب.

8-3-3 تلتزم البنوك بالحصول على كافة المستندات القانونية الالزمة إلثبات تفويض الصالحيات للمستخدمين بإجراء معامالت على حسابات األشخاص االعتبارية.

9-3-3 تلتزم البنوك بتطبيق الضوابط الخاصة بالتشغيل البيني المشار إليها بالبند .7-3 11 10-3-3 يتم فتح حساب لكل ُمستخدم للنظام أو ُمقدم خدمة للتعامل عليه من خالل النظام - يسمي حساب هاتف مح ُمول - ويكون البنك مسئوالً عن إدارة هذا الحساب، ويودع به وحدات نقود إلكترونية بمقدار ما أودعه ُمستخدم النظام أو ُمقدم الخدمة من نقد - جنيه مصري - لدى البنك لتغذية حساب الهاتف المح ُمول، ويجوز منح عائد على حسابات الهاتف المحمول لمستخدمي النظام من األشخاص الطبيعية للمحددات الواردة بقواعد االدخار الرقمي من والشركات متناهية الصغر فقط على أن يتم ذلك طبقاً خالل خدمة الدفع باستخدام الهاتف المحمول الصادرة عن البنك المركزي في إبريل 2021 والمشار اليها بالملحق )ب(.

11-3-3 تلتزم البنوك بالتأكد بصفة دورية من حيازة صاحب حساب الهاتف المحمول لنفا رقم الهاتف المحمول ال على النظام. ُمسجل 12-3-3 يقوم البنك ومقدم الخدمة بتطبيق أحكام الحفاظ على سرية الحسابات وفقا لما يقتضيه قانون البنك المركزي والجهاز المصرفي الصادر بالقانون رقم 194 لسنة 2020 وتعديالته.

13-3-3 ال يجوز منح ُمقدم الخدمة أي ائتمان بأي شكل من األشكال مقابل وحدات النقود اإللكترونية.

14-3-3 تلتزم البنوك باستخدام أساليب يمكن االعتماد عليها للتحقق من هوية المودع في حالة تغذية حساب الهاتف المحمول.

15-3-3 تلتزم البنوك باستخدام أساليب يمكن االعتماد عليها للتحقق من هوية وصالحيات العمالء الراغبين في االشتراك في خدمات الدفع باستخدام الهاتف المحمول.

16-3-3 تلتزم البنوك بإجراء عمليات التدقيق الالزمة للتأكد من هوية ُمستخدم النظام عند طلبه إجراء تعديل في بيانات حساب خدمات الدفع باستخدام الهاتف المحمول الخاص به، أو تعديل أي بيانات يستخدمها ُمستخدم النظام لمتابعة أنشطة حساب الهاتف المحمول. ويطبق ذلك على عمليات إعادة تفعيل الحساب وإعادة إصدار كلمة سر جديدة ل تف المحمول وتغيير بيانات االتصال ُمستخدم نظام خدمات الدفع باستخدام الها الخاصة به مثل عنوان البريد اإللكتروني ورقم الهاتف األرضي وعنوان المراسالت. كما يجب على البنوك أن تأخذ في االعتبار تطبيق المعايير التالية عند التعامل مع تلك الطلبات:

في حال تقدم ُمستخدم النظام بطلب لتعديل البيانات الخاصة به في أحد الفروع أو لدى أحد منافذ مقدم الخدمة، يتم تطبيق اإلجراءات الالزمة للتأكد من هويته.
أما في حال طلبات التعديل المقدمة من خالل أنظمة الدفع عن طريق الهاتف المحمول فيجب استخدام وسائل التصديق الموضحة بالبند 1-5-4-3 مع التأكد من وجود آليات مراقبة فعالة.
تطبيق البنوك اإلجراءات الالزمة للتحقق من هوية ُمستخدم النظام في حالة تسليمه معلومات أو أدوات أو أجهزة تتيح له الدخول على حساب الدفع عن طريق الهاتف المحمول الخاص به )مثال: الرقم السري PIN وأجهزة رموز األمان Tokens..إلخ(.
في حال عدم توافر معايير مماثلة لتلك الموضحة أعاله، تتجنب البنوك إرسال المستندات أو األدوات المهمة )مثال: أجهزة رموز األمان البديلة ..إلخ( إلى العمالء الذين قاموا بتغيير عناوين مراسالتهم حديثا باستالم هذه المستندات أو األدوات ً على وجه الخصوص. ويلتزم ُمستخدم النظام في هذه الحالة بنفسه من أحد فروع البنك بعد التحقق من هويته طبقا للقواعد المعمول بها.
إجراء عمليات التحقق والفحص اإلضافية للتأكد من هوية ُمستخدم النظام، وذلك فيما يتعلق بالطلبات التي تتم من خالل الهاتف - المكالمات التي ترد من العمالء فقط - إلرسال أجهزة رموز األمان الجديدة أي مستندات هامة أخرى وكمثال لعملية التحقق اإلضافية: سؤال ُم أو ستخدم النظام عن معلومات تتغير من وقت آلخر باإلضافة إلى األسئلة المتعلقة بالتفاصيل الشخصية بصفة عامة )مثال: األرصدة التقريبية في الحساب وآخر معامالت تم تنفيذها على الحساب(.

17-3-3 يراعى عند إغالق الحساب، أو إنهاء التعاقد الخاص برقم هاتف محمول، وضع اإلجراءات المناسبة التي تكفل سحب وحدات النقود اإللكترونية الموجودة بحساب الهاتف المحمول والتأكد من شخصية الساحب وتوثيق إغالق الحساب.

18-3-3 تلتزم البنوك بإتاحة آلية فورية مناسبة تمكن العميل من االستعالم عن حسابات الهاتف المحمول الخاصة يا :17-3-3 ً به وكذا طلب غلقها إلكترون وذلك من خالل القنوات التالية بما ال يتعارض مع البند

التطبيق اإللكتروني الخاص بالخدمة.
خاصية بيانات الخدمة التكميلية غير المنظمة )USSD).
أي قناة تابعة للبنك على سبيل المثال ال الحصر )االنترنت البنكي(.
أي قنوات أخري يقرها البنك المركزي.

19-3-3 تلتزم البنوك بالتأكد من توافر آلية فورية ومجانية للعميل تمكنه من القيام بما يلي على حساب محفظة الهاتف المحمول الخاصة به في أي وقت:

االستعالم واالطالع على الرصيد.
االستعالم واالطالع على جميع المعامالت التاريخية التي تمت على حساب محفظة الهاتف المحمول الخاص بالعميل لمدة ستة أشهر، على أن يلتزم البنك بتوفير آلية مناسبة تتيح حصول العميل على كشف حساب قابل للطباعة أو االستعالم عن المعامالت التاريخية التي تتخطى المدة المذكورة-حال رغبته.

لدى البنك20-3-3 يجوز للبنك فتح حساب هاتف محمول لعمالئه الحاليين باستخدام البيانات المسجلة مسبقاً لما يلي:والخاصة بالتعرف على هوية العميل طبقاً

التحقق من هوية العميل أثناء عملية التسجيل في الخدمة باستخدام طرق التحقق اإللكترونية المعتاد استخدامها ألي منتج من منتجاته، على سبيل المثال ال الحصر )المصادقة باستخدام الكود اآلمن لبطاقات الدفع أو بيانات المصادقة لخدمة االنترنت البنكي، إلخ(.
يجب على البنك التأكد من ملكية أو حيازة العميل لرقم الهاتف المحمول المستخدم في عملية التسجيل عن طريق المنصة الخاصة بذلك.
يتعين على البنك في ضوء تقييمه للمخاطر المرتبطة بالخدمة وبمستخدم النظام وضع حدود قصوى للرصيد وقيمة وعدد كل من العمليات اليومية والشهرية التي تتم على حساب الهاتف المحمول بما ال يتعدى الحدود القصوى الموضحة بالبند .6-6-3 21-3-3 يجب على البنوك االحتفاظ بسجالت العميل وتوثيق أي معامالت يقوم بها الحتواء جميع البيانات المتعلقة بالعناية الواجبة تجاه العمالء لمدة ال تقل عن خما سنوات من تاريخ إتمام المعاملة أو تاريخ انتهاء العالقة مع العميل، حسب االقتضاء، وتحديث هذه البيانات بشكل دوري.

22-3-3 يجوز للبنك إتاحة خدمتي اإلقراض واالدخار الرقمي من خالل خدمة الدفع باستخدام الهاتف المحمول وفقا للقواعد الصادرة من البنك المركزي في إبريل 2021 بهذا الشأن والموضحة بالملحق )ب(.

4-3 وسائل إثبات الهوية )التصديق(

1-4-3 تلتزم البنوك باستخدام وسائل فعَّالة يمكن االعتماد عليها إلثبات هوية العمالء المستخدمين لخدمات الدفع باستخدام الهاتف المحمول. وعادةً ما تكون عملية التصديق أكثر فاعلية عند الجمع بين اثنين من العناصر التالية:

أحد األشياء المعروفة للعميل )مثال: اسم المستخدم وكلمة السر(.
أحد األشياء التي بحوزة ُمستخدم النظام )مثال: التوقيع الرقمي أو كلمات السر المستخدمة لمرة واحدة التي تصدر باستخدام أجهزة رموز األمان(.
أحد السمات المميزة والخاصة ب ُمستخدم النظام )مثال: الصفات البيو مترية، كالبصمات(.

2-4-3 يجب على البنوك تحديد وسائل التصديق التي ستستخدمها لخدمات الدفع باستخدام الهاتف المحمول وذلك ًء على تحليل المخاطر المرتبطة بالنظام، مع األخذ في االعتبار تقييم نوعية المعامالت المصرفية التيبنا تقدم عبر خدمات الدفع باستخدام الهاتف المحمول.

3-4-3 تحتاج البنوك إلى عمل تقييم دقيق لتحديد ما إذا كانت الوسيلة المستخدمة للتصديق مناسبة من الناحية األمنية حتى إذا كان الهاتف المحمول الخاص ب ُمستخدم النظام عرضة للتهديدات، مثال: سرقة/ضياع الهاتف المحمول أوعن طريق برامج خبيثة وبرامج التجسا عن طريق تسجيل الضغط على لوحة المفاتيح.

4-4-3 في حالة الدخول إلى نظام الدفع من خالل التطبيق على الهاتف المحمول وحيث ال يمكن التحقق من رقم الهاتف، يجب أن يشمل التحقق من هوية الدخول من خالل رمز إشاري غير قابل للتكرار- قد يكون رقم الهاتف نفسه - ورقم التعريف الشخصي PIN الذي يجب أن تتوافر به مواصفات الرقم السري PIN المذكورة في البند .2-5-3 وفي حالة تصنيف الخدمات المتاحة للعميل كخدمات ذات مخاطر مرتفعة يجب استبدال رقم التعريف الشخصي PIN بكلمة سرية معقدة على النحو المذكور في البند رقم .3-5-3 5-4-3 يجب على البنوك إعادة التصديق عند إجراء عمليات الدفع على النحو التالي: 1-5-4-3 في حالة تنفيذ األنشطة ذات المخاطر المرتفعة )يشمل ذلك على سبيل المثال ال الحصر: أوامر الدفع الخاصة بتحويل األموال ألكثر من مستفيد في المرة الواحدة، أوامر الدفع المستثناة من ب ُم الحد األقصى للتحويل، تغيير بيانات االتصال ستخدم النظام ..إلخ( وحيث ال يُسمح بتنفيذ يجب استخدام وسيلتين معاً األنشطة ذات المخاطر المرتفعة إال من خالل تطبيق إلكتروني، )مثال: كلمات السر المستخدمة لمرة واحدة التي تصدر باستخدام أجهزة/تطبيقات رموز األمان على النحو المذكور في البند رقم 4-5-3 مع عدم السماح بمنح كلمات السر المستخدمة بشكل آلي ومباشر عبر الرسائل النصية القصيرة أو البريد اإللكتروني للعمالء من األفراد واألشخاص االعتبارية ..إلخ(.

ُمطبَّقة علىُمستخدمة بالتزامن مع الضوابط األخرى الحيث يجب أن تعمل وسيلة التصديق ال تعزيز األبعاد التالية:

عدم اإلنكار
سالمة وتكامل البيانات
سرية البيانات
صحة الهوية 2-5-4-3 في حالة تنفيذ المعـامالت التي ال تُصنف كمعـامالت ذات مخاطر مرتفعة يجب إعادة التصديق على المعامالت بإدخال رقم التعريف الشخصي PIN. ويطبق ذلك أيضاً على خدمات الدفع ببروتوكول USSD.يجب على البنوك إنشاء آلية للتحقق من التصديق على النحو التالي:
منع دخول المستخدم إلى خدمات الدفع باستخدام الهاتف المحمول بعد عدد محدد من المحاوالت الفاشلة - يحدده البنك - ويجب على البنك إعداد إجراءات واضحة إلعادة تفعيل حساب المستخدم الذي تم إيقافه.
عدم إعطاء أي معلومات بعد المحاوالت الفاشلة للدخول على النظام إلى الشخص الذي قام بتلك المحاوالت مثل اإلفصاح عن عدم وجود اسم هذا المستخدم أو أن كلمة السر غير صحيحة.
القيام بالرقابة بصورة منتظمة لمحاوالت الدخول الفاشلة لخدمات الدفع باستخدام الهاتف المحمول، وعند اكتشاف أي تجاوز جسيم، يجب التحقيق فيه وتحديد التهديدات المحتملة واتخاذ التدابير الالزمة.

5-3 إدارة كلمة السر

1-5-3 يجب على البنوك مراعاة التدابير الرقابية التالية عند التعامل مع كلمات السر الخاصة بالعمالء وإتباع مواصفات كلمات السر الموضحة أدناه.

تطبيق الرقابة المزدوجة و/أو الفصل بين المهام لعملية إنشاء كلمات السر وتسليمها للعمالء وعملية تفعيل حسابات خدمات الدفع باستخدام الهاتف المحمول.
يجب على البنوك استخدام التكنولوجيا المناسبة إلنشاء كلمات السر. كما يجب استخدام آلية تشفير قوية أو أن يكون طول مفتاح التشفير مناسب.
تعزيز تأمين عملية إنشاء كلمة السر لضمان عدم تعرضها للكشف.
التأكد من أن كلمات السر ال يتم معالجتها أو إرسالها أو تخزينها كنص واضح، وأال يظهر الرقم السري بشكل مقرُوء على أي جزء من الشبكة أو نظم الحاسب التي تُدير النظام وذلك في أية مرحلة من العملية.
تطبيق الوسائل الالزمة للحفاظ على سرية كلمات السر في حالة تسليمها للعميل إما باليد أو إلكترونيا.ً
وجوب توجيه مستخدمي ومديري أنظمة الدفع عن طريق الهاتف المحمول لتغيير كلمة السر الصادرة فور الدخول إلى النظام ألول مرة.
الحفاظ على تاريخ كلمات السر المستخدمة والتأكد من عدم إعادة استخدامها مرة أخرى خالل عدد مرات أو مدة زمنية يحددها البنك.
يجب أن يكون هناك حد أقصى للمحاوالت الغير ناجحة إلدخال الرقم السري - ال تتجاوز خما محاوالت - قبل إيقاف حساب المستخدم.
يجب على البنوك وضع إجراءات واضحة لما يلي:
إعداد األرقام السرية األولية.
إعادة تفعيل حساب المستخدم الموقوف.
تطبيق قواعد انتهاء صالحية كلمة السر على أساا مدة صالحية محددة مسبقا من قبل البنك.

2-5-3 الحد األدنى لمواصفات الرقم السري PIN:

يجب أال يقل الرقم السري عن ستة أرقام كحد أدنى )ويفضل ثمانية أرقام(.
ال ينبغي السماح باألرقام السهلة كرقم سرى PIN مثال: 111111 أو .123456 3-5-3 مواصفات كلمة السر لتطبيقات الدفع على الهاتف المحمول:
أن تكون كلمات سر معقدة )مثال: تتكون من ثمانية أحرف وتتضمن حروف وأرقام ورموز خاصة..

إلخ(.

التأكد من أن آلية "تذكر كلمة السر" ال يمكن استخدامها )أي ال يتم السماح بتخزين كلمة السر على تطبيقات الهاتف المحمول(.

4-5-3 كلمات السر المستخدمة لمرة واحدة التي تصدر باستخدام أجهزة/تطبيقات رموز األمان:

يجب على البنوك مراعاة الحد األدنى لمواصفات كلمة السر لمرة واحدة والتي يتم استخدامها إلجراء طبقا 2-4-3( و)-5-4-3 ً المعامالت ذات المخاطر المرتفعة - لتقييم البنك كما هو موضح بالبندين ) 1( - على أن تكون كما يلي:
يجب أال تكون كلمة السر أقل من 6 رموز.
يجب أال يزيد الوقت الزمنى لصالحية استخدام كلمة السر عن 90 ثانية.
التأكد من أن نظام الحلول الحسابية Algorithm إلنشاء كلمة السر يوفر العشوائية الكافية من القيم الرمزية.

لما يلي:▪ يجب أن يتم حماية جهاز/تطبيق رموز األمان برقم سري PIN طبقاً

يجب أن يكون الحد األدنى لمواصفات كلمة السر PIN على النحو الوارد بالبند .2-5-3
يجب أن يكون هناك حد أقصى للمحاوالت الغير ناجحة إلدخال الرقم السري - ال تتجاوز خما محاوالت - قبل إيقاف جهاز/تطبيق رموز األمان.
يجب على البنوك وضع إجراءات واضحة إلعادة تفعيل أجهزة/تطبيقات رموز األمان الموقوفة.

6-3 الضوابط الخاصة بعمليات تحويل األموال

1-6-3 باستثناء ما تم ذكره بالبند ،10-6-3 تتم عمليات التحويل داخل جمهورية مصر العربية فقط وبالعملة المحلية )الجنيه المصري( فقط وال ي ُسمح بتبادل عمالت أخرى أو إجراء عمليات تبادل للعمالت أو مقاصة بين حسابات العمالء ذات العمالت األخرى دون الرجوع إلى البنك المركزي المصري للحصول على موافقة تشمل ضوابط التحويل.

2-6-3 تقتصر عمليات تحويل األموال على الحاالت اآلتية: 1-2-6-3بين حسابات الهواتف المحمولة المختلفة لمستخدمي النظام.

2-2-6-3بين أي حساب مصرفي خاص بمستخدمي النظام أو مقدمي الخدمة لدى أي بنك وأي حساب هاتف محمول لدى أي بنك.

ولمحافظ البنك المركزي اعتماد أية حاالت أخرى.

3-6-3 يجب أن يتيح النظام تحويل األموال إلى أنظمة دفع هاتف محمول أخرى مشابهة، وسيقوم البنك المرسل ُمشابهة في األنظمة األخرى وفقا بتحويل األموال من الحسابات الخاصة بهذا النظام إلى الحسابات ال للضوابط الخاصة بالتشغيل البيني بالبند .7-3 4-6-3 يجب على البنوك التي تقدم خدمة تحويل األموال من حسابات عمالئها إلى حسابات أطراف أخرى من خالل خدمات الدفع عن طريق الهاتف المحمول، وضع الضوابط المناسبة التي تساعد على تقليل المخاطر المصاحبة لتلك الخدمة لتصل إلى مستوى مقبول ومعتمد من البنك.

5-6-3 يجب على البنوك تطبيق مبدأ الرقابة المزدوجة على األقل - المعد/المدقق والمصرح - على تحويالت أموال األشخاص االعتبارية لمستفيدين آخرين - إال في حالة طلب الشركة أو الشخص االعتباري غير ذلك كتابيا - مع ضرورة استخدام كل من المعد/المدقق والمصرح لوسائل إثبات الهوية - التصديق - ً الواردة بالبند .4-3 6-6-3 يتعين على البنك في ضوء تقييمه للمخاطر المرتبطة بغسل األموال وتمويل اإلرهاب وكذا بأي مخاطر أخرى متعلقة بالخدمة وبمستخدم النظام، وضع حدود قصوى للرصيد وقيمة وعدد كل من العمليات اليومية والشهرية )اجمالي عمليات السحب و/أو التحويالت الصادرة و/أو أي عمليات خصم و/أو المشتريات( 2 التي تتم على حساب الهاتف المحمول طبقا لآلتي : 1-6-6-3 بالنسبة لألشخاص الطبيعية "أفراد": أ- الحد األقصى لرصيد الحساب: يقوم بتحديده البنك.

ب- الحد األقصى اليومي: 60 ألف جنيه.

ج- الحد األقصى الشهري: 200 ألف جنيه.

2-6-6-3 بالنسبة للشركات والمنشآت متناهية الصغر التي يتوافر لديها مستندات أو مقر أو يتم التحقق 3 منها باستخدام أي وسيلة أخرى )فئة أ( : أ- الحد األقصى لرصيد الحساب: يقوم بتحديده البنك.

ب- الحد األقصى اليومي: 80 ألف جنيه.

ج - الحد األقصى الشهري: 400 ألف جنيه.

3-6-6-3 بالنسبة للشركات والمنشآت متناهية الصغر أو أصحاب المهن الحرة وأصحاب الحرف التي ال التحقق باستخدام أي وسيلة أخرى ويزاولون نشاطاً يتوافر لديها مستندات أو مقر أو إمكانية اقتصاديا ويتم ادراجهم تحت مسمى "نشاط اقتصادي" )فئة ب( ً 4 : أ- الحد األقصى لرصيد الحساب: يقوم بتحديده البنك.

ب- الحد األقصى اليومي: 60 ألف جنيه.

ج- الحد األقصى الشهري: 200 ألف جنيه.

4-6-6-3 يلتزم البنك بوضع حدود قصوى مناسبة لرصيد حساب الهاتف المحمول الخاص بعمالئه في ضوء تقييمه للمخاطر المرتبطة بغسل األموال وتمويل اإلرهاب وكذا بأي مخاطر أخرى متعلقة بالخدمة وبمستخدم النظام.

ولمحافظ البنك المركزي المصري أن يعدل تلك الحدود القصوى.

كتاب السيد / محافظ البنك المركزي المصري بتاريخ 15 نوفمبر 2023 2 وفقاً الفئة )أ( من األشخاص االعتبارية للتعريف الصادر باإلصدار الثالث للقواعد المنظمة لتقديم خدمات الدفع باستخدام الهاتف المحمول 3 للتعريف الصادر باإلصدار الثالث للقواعد المنظمة لتقديم خدمات الدفع باستخدام الهاتف المحمول 4الفئة )ب ( من األشخاص االعتبارية وفقاً 7-6-3 يستثنى من الخضوع للحدود المذكورة بالبند 6-6-3 مستخدمي النظام الذين خضعوا إلجراءات التعرف والتحقق من هويتهم بموجب قواعد التعرف على هوية العمالء بالبنوك الصادرة عن وحدة مكافحة غسل األموال وتمويل االرهاب في مارس 2020 وتعديالتها على أن يلتزم البنك بما يلي: 1-7-6-3تقييم المخاطر المرتبطة بالخدمة وبمستخدم النظام ووضع حدود قصوى للرصيد وقيمة وعدد كل من العمليات اليومية والشهرية التي تتم على حساب الهاتف المحمول.

2-7-6-3في ضوء تقييم البنك للمخاطر المتعلقة بالخدمة يتعين على البنك النظر في مدي مالئمة اعتبار الخدمة ذات مخاطر مرتفعة وتطبيق إجراءات العناية المشددة تجاه مستخدم النظام والتعامالت الخاصة به.

3-7-6-3 األخذ في االعتبار بوسائل التصديق المذكورة بالبند .1-5-4-3 4-7-6-3التأكد من عدم تركز النقود اإللكترونية في عدد محدود من العمالء.

5-7-6-3يتم إيالء عناية خاصة للعميل، بما يشمل مراقبة التحويالت المتعلقة به بشكل منتظم، والتأكد من عدم وجود أي شبهة تتعلق بغسل األموال أو تمويل اإلرهاب أو أية جريمة.

6-7-6-3الحصول على إقرار كتابي من المفوض بالتوقيع عن الشخص االعتباري بأن التحويالت من وإلى هذه الحسابات مرتبطة بعالقة عمل أو عالقة تعاقدية مع بيان طبيعة هذه العالقة.

8-6-3 يجب على البنوك إخطار عمالئها من مستخدمي خدمات الدفع عن طريق الهاتف المحمول بأي معامالت مالية أو أنشطة ذات مخاطر مرتفعة تتم على حساباتهم - إال في حالة طلب ُمستخدم النظام غير ذلك – وذلك من خالل وسيلة مميكنة بديلة )مثل الرسائل النصية القصيرة أو رسائل البريد اإللكتروني(.

9-6-3 ال يتم إنشاء أمر الدفع من خالل رسائل SMS ويتاح استخدام هذه الرسائل للتأكيد على إتمام عملية الدفع.

10-6-3 يسمح لمستخدمي النظام بتلقي التحويالت من الخارج بالعمالت األجنبية وإضافتها إلى حساب الهاتف المحمول بالجنيه المصري وفقا للضوابط اآلتية: ً 1-10-6-3 تقتصر هذه الخدمة على العمالء من األشخاص الطبيعيين.

2-10-6-3 يتم إيالء عناية خاصة لمراقبة التحويالت الواردة إلى العمالء بشكل منتظم، والتأكد من عدم وجود أي شبهة تتعلق بغسل األموال أو تمويل اإلرهاب أو أية جريمة.

3-10-6-3 يقوم البنك بتحديد الحد األقصى للتحويل من الخارج طبقا لتقييم المخاطر والقواعد المقررة لذلك على أن يلتزم بما ورد بالبند 6-6-3 و.7-6-3 4-10-6-3 يتخذ البنك اإلجراءات المناسبة للتأكد من أن التحويل يخص ذات ُمستخدم النظام وأن القيمة قد تم إضافتها بالجنيه المصري لحساب الهاتف المحمول الخاص به.

5-10-6-3 يتعين أال يتم إضافة قيم التحويالت الواردة من الخارج إلى حساب الهاتف المحمول قبل فحص هذه التحويالت للقيام بما يلي:

تحديد التحويالت التي ال تتضمن الحد األدنى من المعلومات المشار إليها بإجراءات العناية لهاتف المحمول، والتعامل بشأنها وفقا في ً الواجبة بعمالء خدمة الدفع باستخدام ا لما ورد هذا الشأن بإجراءات العناية الواجبة المذكورة.
التحقق من عدم إدراج طرفي التحويل بالقوائم السلبية المحلية والدولية وأية قوائم أخرى يرى البنك ضرورة الرجوع إليها.

7-3 الضوابط الخاصة بالتشغيل البيني Interoperability

1-7-3 يقوم المحول القومي بإتاحة خدمات تحويل األموال بين أنظمة دفع الهاتف المحمول المختلفة.

2-7-3 تقوم شركة بنوك مصر للتقدم التكنولوجي بدور المحول القومي.

3-7-3 تتم التحويالت بين حسابات الهاتف المحمول لحظياً على أن تتم التسويات بين البنوك طبقا للقواعد التي تصدر من المحول القومي.

4-7-3 تلتزم البنوك الحاصلة على ترخيص لتقديم خدمات الدفع باستخدام الهاتف المحمول بما يلي: 1-4-7-3 الربط مع المحول القومي طبقا للبند 2-5 على أن يتم استخدام رسائل قياسية معتمدة في اإلرسال واالستقبال.

ُمعتمدة من البنك المركزي2-4-7-3 االلتزام بقواعد التشغيل التي تصدر عن المحول القومي وال المصري.

3-4-7-3 إمداد المحول القومي ببيانات مستخدمي النظام الحاليين والجدد طبقا لما هو منصوص عليه بقواعد التشغيل المعتمدة المذكورة بالبند 1-5-7-3 ويعتبر ذلك شرط رئيسي إلتمام عملية تسجيل مستخدمي النظام لدى المحول القومي.

4-4-7-3 إمداد المحول القومي بشكل لحظي بكل البيانات الالزمة إلجراء تحويل أوامر الدفع ما بين البنوك.

5-4-7-3 إبالغ المحول القومي بإلغاء تسجيل أي من مستخدمي النظام لديه حيث يعتبر شرط رئيسي إلتمام عملية اإللغاء.

5-7-3 يلتزم المحول القومي بكافة ما يحدده البنك المركزي المصري من ضوابط ومتطلبات بحد أدني ما يلي: 1-5-7-3 إصدار قواعد التشغيل بما ال يتعارض مع البند 7-3 واعتمادها من البنك المركزي المصري.

2-5-7-3 اعتماد رسوم مقابل الخدمة من البنك المركزي المصري.

3-5-7-3 التحويل والمقاصة للعمليات الخاصة بحسابات الهاتف المحمول بين البنوك.

بأن سجالت المحول القومي هي حجة قاطعة بشرط عدم 4-5-7-3 إصدار قواعد لحل المنازعات علماً حدوث خلل في النظام وبشرط وجود سجالت كاملة للمعامالت محل المنازعة.

ُمصدر للتحويل عند طلبه وذلك ألغراض5-5-7-3 توفير البيان الخاص بإسم المستفيد إلى البنك ال مكافحة غسل األموال وتمويل اإلرهاب.

6-5-7-3 التأكد من ربط كل رقم هاتف محمول واحد لحساب هاتف محمول واحد.

7-5-7-3 التأكد من عدم تجاوز عدد حسابات الهاتف المحمول المتعلقة بمستخدم النظام ألكثر من ثالثة حسابات على مستوى كافة البنوك المقدمة للخدمة.

8-5-7-3 تطبيق أحكام الحفاظ على سرية الحسابات وفقا لما يقتضيه قانون البنك المركزي والجهاز المصرفي الصادر بالقانون رقم 194 لسنة 2020 وتعديالته.

9-5-7-3 توفير خدمات التشغيل البيني لخدمات الدفع باستخدام الهاتف المحمول بين البنوك على مدار طبقا لقواعد التشغيل الخاصة بالمحول القومي ً الساعة، مع ضمان أداء الخدمة للبنوك والمعتمدة من البنك المركزي المصري.

10-5-7-3 التأكد من وجود سجالت لكافة الحسابات والمعامالت الخاصة بخدمات التشغيل البيني التي تتم عبر أنظمة المحول القومي. كما يجب ضمان حماية تلك السجالت ضد أي تالعب أو تغيير غير ُمص َّرح به، وأن يتم االحتفاظ بها لمدة زمنية تتوافق مع ما تحدده سياسات المحول للمتطلبات القانونية وطبقاً القومي للضوابط والتعليمات الرقابية الصادرة في هذاتطبيقاً الشأن.

11-5-7-3 وضع الخطط المناسبة لضمان استمرارية العمل على أن يتم مراعاة الممارسات التالية:

في حال حدوث عطل في الخدمة، يجب أن تحتوي خطة استمرارية العمل على خطوات محددة لكيفية استئناف أو استرجاع خدمات الدفع عن طريق الهاتف المحمول، تحدد هذه الخطوات بناء على أهداف وقت ونقطة االسترجاع RPO & RTO المحددة بقواعد التشغيل الخاصة بالمحول القومي والمعتمدة من البنك المركزي المصري.
يتم إبالغ البنك المركزي المصري في حاله وجود أي أعطال تتخطي أوقات ونقطة االسترجاع المشار إليها بقواعد التشغيل.

12-5-7-3 تطبيق إجراءات أمن المعلومات الواردة بالقواعد المنظمة لتقديم خدمات الدفع باستخدام الهاتف المحمول والصادرة عن البنك المركزي المصري أو أية قواعد مستقبلية تخص حوكمة نظم المعلومات باإلضافة إلى إتباع المعايير القياسية وأفضل الممارسات المطبقة في هذا الشأن.

13-5-7-3 إرسال الملفات الخاصة بعمليات حسابات الهاتف المحمول للتسوية على حسابات البنوك لدي البنك المركزي المصري.

14-5-7-3 إتاحة خدمات الربط مع أنظمة دفع قومية أخرى بعد أخذ موافقة البنك المركزي المصري.

15-5-7-3 موافاة البنك المركزي المصري بكافة التقارير المتعلقة بخدمة الدفع من خالل الهاتف المحمول بالطريقة التي يحددها البنك 16-5-7-3 ال يحق لشركة بنوك مصر أن تقوم بتعهيد )إسناد( أي من التزاماتها أو مهامها الخاصة بالتشغيل البيني إال بالموافقة الكتابية من البنك المركزي المصري.

كما يلتزم المحول القومي بأي ضوابط أو تعديالت تصدر عن البنك المركزي المصري فيما يخص "القواعد المنظمة لتقديم خدمات الدفع باستخدام الهاتف المحمول" والضوابط الخاصة بالتشغيل البيني.

8-3 سرية وسالمة المعلومات

1-8-3 يتضمن تقديم خدمات الدفع باستخدام الهاتف المحمول تداول بيانات سرية - مثل كلمات السر الخاصة بخدمات الدفع باستخدام الهاتف المحمول والمعامالت المالية.. إلخ - عبر تطبيقات الهاتف المحمول والشبكة الداخلية للبنك. لذلك يجب على البنوك استخدام األساليب المناسبة للحفاظ على سرية وسالمة المعلومات المتداولة عبر الشبكات الداخلية والخارجية للبنك.

2-8-3 يتم استخدام تكنولوجيا التشفير لحماية سرية وسالمة المعلومات التي تتسم بالحساسية. حيث يجب على البنوك اختيار تكنولوجيا التشفير التي تتناسب مع حساسية وأهمية المعلومات وكذا درجة الحماية المطلوبة، وفي هذا السياق يوصى دائما بتبني البنوك لتكنولوجيا التشفير التي تستخدم طرق التشفير المتعارف عليها دوليا أو نقاط ضعف معروفة، حيث ً حيث يجب ان تكون مصنفه على انها قوية وال يوجد لها أي ثغرات تخضع نقاط القوة في هذه الطرق الختبارات شاملة. وينبغي أن تطبق البنوك الممارسات السليمة إلدارة مفاتيح التشفير الالزمة لحماية هذه المفاتيح.

3-8-3 يجب على البنوك أيضاً تنفيذ ضوابط أخرى بخالف أساليب التشفير، وذلك للحفاظ على سرية وسالمة المعلومات التي يتم تداولها عبر نظم خدمات الدفع باستخدام الهاتف المحمول. ويتضمن هذا على سبيل المثال: 1-3-8-3الضوابط وأعمال التدقيق المدرجة بتطبيقات خدمات الدفع باستخدام الهاتف المحمول للتأكد من سالمة تسوية أرصدة العمالء بعد تنفيذ المعامالت باإلضافة إلى التأكد من سالمة البيانات التي يتم نقلها بين األنظمة المختلفة.

2-3-8-3مراقبة المعامالت غير المعتادة بما في ذلك المعامالت محل االشتباه الخاصة بخدمات الدفع باستخدام الهاتف المحمول أو السجالت التي يشتبه التالعب فيها، كما هو موضح في البند.2-4 إلى أجهزةُمستخدم إلجراء العملية وصوالً4-8-3 يجب على البنوك تشفير العملية بداية من الهاتف المحمول ال الخادم Servers الخاصة بتنفيذ أمر الدفع.

5-8-3 ينبغي على البنك تطبيق سياسة الفصل بين المهام، وذلك للتأكد من عدم إمكانية قيام أي موظف داخل البنك بأي عمل غير مصرح له وإخفائه، ويتضمن هذا على سبيل المثال ال الحصر، إدارة حساب المستخدم وتنفيذ المعامالت وحفظ وإدارة مفاتيح الشفرة الخاصة بالنظام وإدارة النظام System Administration وتشغيله Operations System كما يلي: 1-5-8-3عدم السماح لموظف واحد فقط بالقيام بإنشاء حساب مستخدم لخدمات الدفع باستخدام الهاتف المحمول والتصريح بالموافقة عليه وإلغائه دون مشاركة موظفين آخرين بالبنك للتحقق من سالمة تصرفات هذا الموظف.

2-5-8-3يجب على البنك تصميم اإلجراءات الخاصة بتعامالت الدفع باستخدام الهاتف المحمول بما يضمن عدم انفراد أحد األشخاص بإنشاء التعامالت والموافقة عليها وتنفيذها على النظام مما قد يدعم عملية احتيال أو إخفاء تفاصيل خاصة بتلك المعامالت.

6-8-3 يجب أن تنفذ جميع عمليات التحقق من الصالحيات المتاحة للمستخدم Checks Authorization وكذلك القواعد المنظمة لعمليات التحويل على جانب الخادم، أي في النظم الخلفية بالبنك، قبل إتمام العملية المطلوبة )مثال: تنفيذ عمليات التحويل بشكل عكسي بسبب عدم التحقق من صالحيات المستخدم والتي قد تُمكن ُمستخدم النظام من إضافة األموال إلى حساب هاتفه المحمول بدالً من الخصم عليه(.

يجب على البنوك التأكد من توفير مستوى مناسب من تأمين التطبيقات الخاصة بخدمات الدفع باستخدام الهاتف المحمول مع أخذ الممارسات السليمة التالية بعين االعتبار: 1-9-3 يجب على البنوك عند اختيار أدوات تطوير النظام أو لغات البرمجة من أجل تطوير التطبيقات الخاصة بخدمات الدفع باستخدام الهاتف المحمول أن تقيم الخصائص األمنية التي يمكن أن توفرها األدوات أو اللغات المختلفة لضمان إمكانية تنفيذ الحماية الفعالة للتطبيقات.

2-9-3 يجب إجراء عملية تحقق شاملة وفعالة حول صحة المدخالت - بما في ذلك البيانات المدخلة من قبل المستخدم واالستعالم من خالل قواعد البيانات التي قد يقوم المستخدم بطلب تنفيذها - وذلك من خالل خوادم الشبكة، ويمنع هذا نظام الدفع باستخدام الهاتف المحمول من معالجة المعطيات غير الصحيحة التي يتم إدخالها بطريقة متعمدة، األمر الذي قد يؤدى إلى الوصول غيـر المصرح به إلى البيانــات، أو تنفيذ األوامـر الواردة في هذه المعطيات، أو حدوث هجمات تؤدى إلى تجاوز سعة الذاكرة.

3-9-3 يجب أن تعمل أنظمة خدمات الدفع باستخدام الهاتف المحمول بأقل الصالحيات الممكنة الخاصة بإدارة النظام. كذلك يجب منع استخدام كلمات السر المعروفة أو كلمات السر الموحدة التي تعد مع نشأة النظام.

4-9-3 يجب أال تكشف رسائل األخطاء التي تصدر من النظام لعمالء خدمات الدفع باستخدام الهاتف المحمول عن معلومات دقيقة خاصة بالنظام ويجب تسجيل األخطاء بشكل مناسب.

5-9-3 يجب على البنوك اتخاذ اإلجراءات الالزمة لعالج أي نقاط ضعف بنظام الدفع باستخدام الهاتف المحمول استنادا إلى اإلجراءات األمنية المتبعة في البنك. ً يتم اكتشافها، وذلك 6-9-3 في حال إطالق البنك إلصدار جديد لتطبيق الدفع باستخدام الهاتف المحمول Application Mobile يتعلق بأمن وسرية المعلومات فيجب على البنك اتخاذ االجراءات التي تلزم العميل بتحميل اإلصدار الجديد قبل استخدام التطبيق.

7-9-3 يجب على البنوك عمل الترتيبات األمنية المناسبة لبعض الخدمات التي تتضمن اتصاالت مع الشبكات العامة - كخدمات البريد اإللكتروني للتواصل مع عمالء خدمات الدفع باستخدام الهاتف المحمول - لتجنب الهجمات على أنظمة/تطبيقات خدمات الدفع باستخدام الهاتف المحمول من خالل هذه الخدمات.

8-9-3 على البنك أن يقوم بتأمين عملية تشفير شاملة على مستوى طبقة التطبيقات Layer Application لمحمول، حتى ال يتم كشف األرقام السرية وكلمات السر الخاصة ب ُم للبيانات المرسلة عبر الهاتف ا ستخدم النظام في أي مرحلة وسيطة لتداول البيانات بين التطبيقات وخادم االستضافة Host، حيث يتم التحقق من أرقام التعريف الشخصية PIN وكلمات السر.

9-9-3 يجب على البنوك القيام باالختبارات الالزمة للتأكد من عدم إمكانية تجاوز عملية التصديق أو إغفالها للدخول على النظام/التطبيق.

10-9-3 عندما يتم نشر تطبيق الدفع عن طريق الهاتف المحمول على مخازن البرامج Stores Applications، يجب نشرها من خالل الحساب الرسمي للبنك مع العالمة التجارية المناسبة. ويمكن إتاحة الرابط الخاص بتحميل التطبيق من مخازن البرامج وذلك على الموقع اإللكتروني الخاص بالبنك. كما يجب على البنوك إجراء البحث عن تطبيقات الهواتف المحمولة المزيفة الموجودة في متاجر ومواقع توزيع التطبيقات من حصول على بيانات ُم أجل الحد من مخاطر البرمجيات الخبيثة Malware التي تستخدم لل ستخدم النظام الخاصة بالدخول على خدمات الدفع باستخدام الهاتف المحمول.

11-9-3 يجب التأكد من توفير ضوابط أمنية كافية عند استخدام مكونات/أجزاء تطبيقات جاهزة مقدمة من طرف ثالث Library Party Third لبناء تطبيق الدفع باستخدام الهاتف المحمول.

12-9-3 يجب أال تعرض تطبيقات الدفع باستخدام الهاتف المحمول أي خدمة لتطبيق طرف ثالث يعمل على نفا الجهاز أو قادم من أي مصدر خارجي آخر باستثناء األنظمة الخلفية للبنك.

لسهولة الوصول إلى قواعد البيانات ذات الحماية الضعيفة من خالل الشبكات الداخلية والخارجية،13-9-3 نظراً لذا يجب التشديد على توافر اآلتي:

إجراءات صارمة بشأن تحديد الهوية والصالحيات للدخول على األنظمة وقواعد البيانات.
تصميم آمن وسليم لعمليات النظام. Processes System
مسارات تدقيق مالئمة. Trails Audit
استخدام أدوات حماية متعددة لحماية قواعد البيانات من الهجمات الخارجية أو الداخلية 14-9-3 يجب الحد من تخزين بيانات على الذاكرة الداخلية للهاتف المحمول، وفى حالة االحتفاظ بأي بيانات على الهاتف المحمول - للضرورة القصوى - يجب استخدام الوسائل المناسبة لحماية ما تم تخزينه.

15-9-3 يجب منع تطبيق الدفع باستخدام الهاتف المحمول من حفظ أو عرض كلمات السر السابق إدخالها من ُمستخدم النظام.

بعد فترة من الوقت - يقوم 16-9-3 يجب إنهاء تسجيل الدخول على تطبيقات الدفع باستخدام الهاتف المحمول تلقائياً في حال عدم وجود أي نشاط على النظام/التطبيق، إال إذا تم إعادة تصديق بيانات ُم البنك بتحديدها - ستخدم يمنع أي ُم التطبيق مفتوح على الهاتف المحمول إلى النظام مرة أخرى، األمر الذي خترق من اإلبقاء على أجل غير محدد.

17-9-3 يُوصى بأن يقوم تطبيق الدفع باستخدام الهاتف المحمول بتنفيذ آليات كشف كافية تضمن أن الهاتف المحمول ليا عرضة للمخاطر مثل Rooted/Jailbroken مثال: يقوم المخترق بتحميل برنامج على الجهاز المحمول يمكنه من الدخول إلى الملفات السرية الخاصة بالمستخدم.

18-9-3 يُوصى بأن يتم حماية التطبيق الخاص بالهواتف الذكية من الهندسة العكسية Engineering Reverse .)Code Obfuscation:مثال) 19-9-3 يُوصى بأن يتم حماية تطبيقات الدفع باستخدام الهاتف المحمول ضد أي لقطات تلقائية Screenshots والتي يمكن أن تتم عن طريق برامج تجسا تعمل على نفا جهاز الهاتف المحمول.

20-9-3 يجب أن تخضع أنظمة خدمات الدفع باستخدام الهاتف المحمول إلى اختبارات ُمتعددة قبل التشغيل للتأكد ُموكلة لها.من قدرتها على القيام بالمهام ال

10-3 البنية التحتية والمتابعة األمنية لخدمات الدفع باستخدام الهاتف المحمول

1-10-3 يجب على البنوك إنشاء بيئة تشغيل مالئمة تعمل على دعم وحماية أنظمتها الخاصة بخدمات الدفع باستخدام الهاتف المحمول، بحيث تحتوي تلك البيئة على بنية تحتية آمنة لخدمات الدفع باستخدام الهاتف المحمول

والتي تشمل على سبيل المثال ال الحصر إعداد خوادم الشبكة وأنظمة اكتشاف ومنع االختراق وأجهزة جدار الحماية Firewall وأجهزه التوجيه وخالفه - كما تحتوي أيضا على إجراءات حماية مالئمة للشبكات الداخلية وروابط الشبكات مع الجهات الخارجية.

2-10-3 تتم إدارة النظام تحت اإلشراف والمسئولية الكاملة للبنوك حيث تقوم البنوك بتقديم الخدمة بمراعاة عناية الرجل الحريص، ويجب على البنوك مراقبة كل من أنظمة/تطبيقات الدفع باستخدام الهاتف المحمول والبنية التحتية بصورة استباقية بشكل دائم على مدار 24 ساعة طوال األسبوع، وذلك لرصد وتسجيل أي مخالفات أمنية، أو أي اختراقات، أو نقاط ضعف مشتبه فيها، وكذلك أي أنشطة غير طبيعية محل اشتباه تتم على األنظمة.

3-10-3 يجب على البنوك التأكد من وجود مسارات التدقيق Trails Audit لكل المعامالت المصرفية التي تتم عبر أنظمة/تطبيقات الدفع باستخدام الهاتف المحمول على أنظمة البنك. كما يجب ضمان حماية تلك المسارات ضد أي تالعب أو تغيير غير ُمص َّرح به، وأن يتم االحتفاظ بها لمدة زمنية تتوافق مع ما تحدده للضوابط والتعليمات الرقابية الصادرة في هذا الشأن.للمتطلبات القانونية وطبقاًسياسات البنك تطبيقاً ويهدف هذا اإلجراء إلى تسهيل إجراءات التحقيق في أي عملية احتيال، وحل أي نزاع أو شكوى إذا لزم األمر. وعند تحديد ما سيتم االحتفاظ به في مسارات التدقيق، يمكن األخذ في االعتبار األنواع التالية من األنشطة وذلك كحٍد أدنى:

عمليات فتح أو تعديل أو إغالق حساب مستخدم ID User على نظام الدفع باستخدام الهاتف المحمول.
أي عملية ذات تبعات مالية.
أي تصريح يمنح لعميل/ مستخدم لتجاوز أي من الحدود أو الصالحيات.
أي تعديل أو إضافة أو إلغاء لصالحيات المستخدمين أو امتيازات خاصة بالدخول على األنظمة.

4-10-3 يجب أن يتم مراجعة كافة ما يتم إصداره من سجالت تدقيق Logs Audit وإنذارات التأمين اللحظية Alerts Security Time Real -مثل إنذارات أنظمة كشف ومنع االختراق - بواسطة الموظفين أو فرق العمل المعنية وذلك بطريقة دورية وفى الوقت المناسب.

5-10-3 يمكن للبنوك الرجوع إلى )الملحق أ( الخاص بالممارسات المتعلقة بتصميم وإنشاء ومراقبة البنية التحتية المنصوص عليه في القواعد المنظمة لتقديم الخدمات المصرفية عبر اإلنترنت في القطاع المصرفي المصري الصادرة في نوفمبر .2014 6-10-3 تطبيق معايير وإجراءات حصيفة فيما يخص إمكانية الدخول إلى أماكن عمل النظام Physical ُمش ِّغلة للنظام والشبكات وأجهزة التشفير ومراكز المعلومات Security بما في ذلك البرامج واألجهزة ال التي تقوم بتشغيل جزء أو أجزاء من النظام.

11-3 تقييم النظام األمني لخدمات الدفع باستخدام الهاتف المحمول

تقييم الوضع األمني لكافة األنظمة - التطبيقات، والشبكات، وأجهزة التأمين، 1-11-3 يجب على البنوك دورياً وخوادم نظام أسماء النطاقات وخوادم البريد اإللكتروني، إلخ - المتعلقة بأعمال الدفع باستخدام الهاتف المحمول، وذلك فـي المركز الرئيسي للمعلومات والمركز االحتياطي الذي يستخدم في حاالت الكوارث.

يوضح البندان 2-11-3 و3-11-3 الحد األدنى من أنشطة التقييم الواجب إجراؤها.

2-11-3 يجب على البنوك إجراء تقييم دوري لنقاط الضعف Assessment Vulnerability كل ثالثة أشهر على األقل أو عند حدوث تغييرا ع باستخدام الهاتف المحمول ً جوهرياً في البيئة التشغيلية لنظام خدمات الدف الكتشاف نقاط الضعف في بيئة تكنولوجيا المعلومات، وتقييمها. ويمكن أن يتولى هذا التقييم مستشار أو مقدم خدمة خارجي، أو إدارة أمن المعلومات بالبنك، وذلك على النحو التالي:

يجب أن يحتوي نطاق تقييم نقاط الضعف على اختبار الثغرات الشائعة في الشبكة )مثل: الثغرات التي تُم ك Injection SQL وتخطى عملية التصديق ِّن المخترق من حقن قواعد البيانات Bypass Authentication والتخزين غير اآلمن للبيانات Storage Insecure.. إلخ(.
يجب على البنك إعداد خطة لمعالجة المشاكل التي تظهر في تقييم نقاط الضعف، ثم التحقق من صحة هذه المعالجة عن طريق إعادة االختبار إلثبات أنه قد تم التعامل مع هذه المشاكل بالكامل.

3-11-3 يجب على البنك القيام باختبارات االختراق Testing Penetration وذلك لعمل تقييم مفصل ومتعمق للوضع األمني للنظام من خالل محاكاة للهجمات الفعلية على النظام على أن يتم ذلك على األقل مرة واحدة سنويا، أو قبل البدء في تقديم أي خدمات حيوية جديدة، على أن تتم مراعاة ما يلي:

يجب أن يتولى إجراء اختبار االختراق أحد مقدمي الخدمة الخارجيين المستقلين، حيث يجب عليه أوالً التوقيع على اتفاقية السرية وعدم اإلفصاح قبل مزاولة العمل Agreement Disclosure-Non.
يجب أن يكون لدى البنوك تقرير مبدئي عن اختبار االختراق وخطة المعالجة Test Penetration Plan Remediation & Report، التي تم اصدارها والموقعة من مقدم الخدمة الخارجي.
يجب على البنوك التحقق من صحة معالجة المالحظات الناتجة عن اختبار االختراق سواء كان على األنظمة الرئيسية أو األنظمة البديلة المستخدمة لمواجهة الكوارث.
يجب على مقدم الخدمة الخارجي إصدار تقرير نهائي موقع منه عن اختبار االختراق لكي يقوم البنك بتقديمه إلى البنك المركزي المصري، بجانب التقرير المبدئي األول.
غير مسموح باختيار نفا مقدم الخدمة الخارجي ألداء أكثر من اختباري اختراق متتاليين.

4-11-3 يجب أن يتضمن نطاق أنشطة التقييم الواردة بالبندين 2-11-3 و3-11-3 على تقييم كافة اإلصدارات لتطبيق الدفع عن طريق الهاتف المحمول Application Mobile المتاحة الستخدام عمالء البنك.

12-3 االستجابة لألحداث وإدارتها

1-12-3 يجب على البنوك وضع إجراءات لالستجابة للحدث وإدارته خالل تقديم الخدمة، بهدف اإلبالغ والمعالجة الفورية ألي اختراقات أمنية سواء كانت فعلية أو مشتبه فيها، وكذلك أي حاالت احتيال أو انقطاع/عدم ثبات الخدمة في األنظمة الخاصة بخدمات الدفع باستخدام الهاتف المحمول، سواء أثناء أو بعد ساعات العمل. ويجب على البنوك اتخاذ اإلجراءات الضرورية التالية( على سبيل المثال ال الحصر:

سرعة اكتشاف مصدر الحدث، وتحديد ما إذا كان قد وقع نتيجة وجود نقاط ضعف في النظم التأمينية بالبنك من عدمه.
تقييم النطاق المحتمل للحدث ومدي تأثيره.

29

تصعيد األمر إلى اإلدارة العليا للبنك بشكل فوري، إذا كان هذا الحدث قد يضر بسمعة البنك أو يؤدى إلى خسائر مالية.
اخطار العمالء المتضررين على الفور، إذا لزم األمر.
احتواء الخسائر المتعلقة بأصول البنوك وبياناتها وسمعتها، وبوجه خاص الخسائر المتعلقة بعمالئها.
جمع األدلة الجنائية وكذا األدلة الجنائية الرقمية وحفظها بطريقة مناسبة وبأسلوب يضمن الرقابة على تلك األدلة وعدم التالعب بها، لتسهيل التحقيقات الالحقة وإقامة دعوى قضائية ضد مخترقي النظام والمشتبه فيهم إذا لزم األمر باإلضافة إلى تنفيذ عملية مراجعه لهذا الحدث.

2-12-3 يجب تكوين فريق للتدخل السريع إلدارة الحدث للتعامل معه بما يتوافق مع اإلجراءات الموضحة أعاله على أن يتم منح هذا الفريق الصالحيات الالزمة للتصرف في حالة الطوارئ، كما يجب أن يتلقى التدريب الكافي على استخدام األجهزة التأمينية، والقدرة على تفسير أهمية البيانات ذات الصلة في سجالت التدقيق، وتحديد اإلجراءات المناسبة الالزم اتخاذها - كمنع حركة مرور معينة على الشبكة، أو غلق بعض الخدمات.

3-12-3 يجب على البنوك إعداد سجل باألحداث العارضة المرتبطة بخدمات الدفع باستخدام الهاتف المحمول والتفاصيل الخاصة بها باإلضافة إلى إعداد تقرير دوري للعرض على اإلدارة العليا التخاذ اإلجراءات المناسبة لتالفي تكرارها.

4-12-3 يتولى مسئول االلتزام بالبنك مسئولية التأكد من إبالغ البنك المركزي المصري بصورة صحيحة وفي الوقت المناسب، بكافة الحاالت الواردة أدناه:

أي هجمات احتيال لتسريب أو إفشاء هوية ُمستخدم النظام أو وثائق اعتماد الشخصية )كاالحتيال Phishing، وملفات التجسا )حصان طروادة Trojans(، والبرمجيات الخبيثة Malware..

إلخ(.

الدخول غير المصرح به إلى أنظمة تكنولوجيا المعلومات بالبنك لتسريب بيانات ُمستخدم النظام المتعلقة بخدمات الدفع باستخدام الهاتف المحمول.
أي عملية تخريبية للبيانات المتعلقة بأنظمة خدمات الدفع باستخدام الهاتف المحمول والتي ال يمكن استرجاعها.
اإليقاف التام المتعمد أو العارض لخدمات الدفع باستخدام الهاتف المحمول لفترة تزيد عن الفترة المحددة كهدف لوقت االسترجاع RTO المحدد من قبل البنك.
أي حالة من حاالت االحتيال الداخلي ذات الصلة بخدمات الدفع باستخدام الهاتف المحمول.

على أن يتم إرسال هذه التقارير إلى البنك المركزي عن طريق إحدى قنوات االتصال التالية:

إرسالها بالفاكا إلى رقم: 25976057 أو 25976047 عناية قطاع الرقابة واإلشراف - إدارة الرقابة المكتبية، أو
إرسالها بالبريد االلكتروني على العنوان التالي eg.org.cbe@infosec.cbe 5-12-3 عند وقوع هجمات إلكترونية، يمكن أن يؤخذ في االعتبار من ضمن التدابير التي يتبناها البنك التواصل مع فريق التدخل السريع لمكافحة الجرائم اإللكترونية CERT-EGYPTIAN التابع لوزارة االتصاالت.

6-12-3 يجب على البنوك االلتزام بقانون جرائم تقنية المعلومات رقم 175 لسنة 2018 والئحته التنفيذية فيما يخص هذا الشأن.

13-3 اعتبارات األداء وضمان استمرارية العمل

1-13-3 يجب على البنوك توفير خدمات الدفع باستخدام الهاتف المحمول على مدار الساعة، مع ضمان أداء الخدمة للعمالء بالسرعة المناسبة طبقا لما تم ذكره في األحكام والشروط الخاصة بالخدمة مع أخذ توقعات العمالء بعين االعتبار.

2-13-3 يجب على البنوك إتاحة آلية مناسبة ومعتمدة من البنك المركزي في التطبيقات الخاصة بخدمة الدفع باستخدام الهاتف المحمول لجميع البنوك المرخص لها بتقديم تلك الخدمة، بهدف تحقيق التالي كحد أدنى:

تقييم جودة الخدمات المقدمة وخاصة تلك التي يتم تقديمها من خالل مقدمي الخدمة كعمليات اإليداع والسحب النقدي.
توفير آلية سريعة الستقبال والتعامل مع شكاوى العمالء بشكل عادل وبشفافية.
نشر قائمة بأسعار الخدمات التي تقدمها.

3-13-3 يجب على البنوك وضع معايير لتقييم ومتابعة مستوى أداء تقديم خدمات الدفع باستخدام الهاتف المحمول.

كما يجب اتخاذ التدابير الالزمة للتأكد من قدرة نظم خدمات الدفع باستخدام الهاتف المحمول والنظم الداخلية الخاصة بتقديم الخدمة على التعامل مع حجم العمليات المتوقعة والنمو المستقبلي لهذا النوع من الخدمات.

4-13-3 يجب أن تأخذ البنوك في اعتبارها التخطيط لضمان استمرارية العمل عند تطويرها لخدمات الدفع باستخدام الهاتف المحمول، على أن يتم أيضا مراعاة الممارسات التالية:

في حال حدوث عطل في الخدمة، يجب أن تحتوي خطة استمرارية العمل على خطوات محددة لكيفية استئناف أو استرجاع خدمات الدفع باستخدام الهاتف المحمول، تحدد هذه الخطوات بناء على أهداف وقت ونقطة االسترجاع RPO & RTO المحددين مسبقا.ً
وجود نسخ احتياطية للبيانات لاستعادة البيانات ووجود خطط عمل بديلة للطوار ئ.
يجب أن تتمتع خطة استمرار ية العمل الخاصة بخدمات الدفع باستخدام الهاتف المحمول بالقدرة على التعامل مع أي من الحالات التي يتم فيها الإسناد لأطراف خارجية لتقديم الخدمة (كمتعهدين لتقديم خدمات الدفع باستخدام الهاتف المحمول).

٤- ﺃﻣﻦ ﺍﻟﻌﻤﻼﺀ ﻭﺿﻮﺍﺑﻂ ﻟﺒﻌﺾ ﺍﻟﻤﺨﺎﻃﺮ ﺍﻷﺧﺮﻯ ١-٤ عقد تقديم الخدمة / نموذج طلب الخدمة

يجب على البنوك الالتزام بالتعليمات الخاصة بحماية حقوق عملاء البنوك الصادرة من البنك المركزي المصر ي بتاريخ ١٩ فبر اير ٢٠١٩ كما يجب عليها أن تحدد بدقة كافة الحقوق والالتزامات بينها وبين عملائها ضمن عقد تقديم خدمات الدفع باستخدام الهاتف المحمول، ويجب استيفاء العقد للمتطلبات التالية:

تتم صياغة العقد بصور ة واضحة ومحددة بحيث يسهل فهمه بالنسبة لأي عميل مع تجنب استخدام الكلمات والعبارات التي تحمل أكثر من معنى.
يوضح التزامات كل من البنك ومُستخدم النظام في حالة الإخلال بأي من شروط التعاقد.
يحتوي العقد على بنود محددة واضحة والتي يجب أن تتضمن ما يلي كحد أدنى: التأكيد على أوقات توفير الخدمة طبقا لتقييم البنك لهدف وقت الاسترجاع RTO الوارد في خطة استمر ارية الأعمال، وينبغي إخطار العملاء في حالة انقطاع الخدمة لعمل صيانة محددة مسبقا.

توضيح مستوى خصوصية بيانات العملاء ومدى إتاحتها للغير داخل البنك أو خارج البنك بما يتو افق مع التعليمات الرقابية الصادرة من البنك المركزي المصري أو القوانين المنظمة لذلك.

توضيح بشكل مُغصَلَ الخطوات الو اجب على مُستخدم النظام إتباعها لتَعْعِيل الخدمة فى حالة الاشتر اك لأول مرة أو في حالة وقف الخدمة أو إعادة تشغيلها، موضحا الوقت اللازم لإيقاف الخدمة من لحظة طَلب إيقافها من قَبِل مُستخدم النظام والطرق المختلفة لطلب ايقاف الخدمة.

اِتَاحة امكانية إيقاف استخدام الخدمة عند إساءة استخدامها من قبل مستخدم النظام.

يقوم البنك بايجاد آلية لدر اسة الشكاوى ويُنص صر احة في عقد الاشتراك بالخدمة على طريقة تقديم

الشكوى إلى البنك والحد الأقصى للوقت المُستغرق للتحقيق في الشكوى من قبل البنك.

في حالة وجود مذاز عات على المعاملات المالية أو وجود شكاوى من قِبْل مُستخدمي النظام، تخضع عمليات تسوية المذاز عات إلى قو اعد ثابتة ومُعلَنة لمُستخدم النظام ويجب أن تكون هذه القواعد واردة في العقد بين مُستخدم النظام والبنك، علما بأن سجلات النظام هى حجة قاطعة بشرط عدم حدوث خلل في النظام وبشرط وجود سجلات كاملة للمعاملات محل المناز عة.

التاكيد على التزام مُستخدم النظام بقراءة التحذيرات والإطار ات التنبيهية (مثل التنبيهات الأمنية أو تنبيهات محاو لات الاحتيال/الهندسة الاجتماعية Social Engineering. .إلخ) و التأكيد أيضًا على أن قبول مُستخدم النظام من خلال تطبيق الهاتف المحمول لأى تغيير في الشروط والأحكام الذى سيظهر من خلال النظام إلكترونيا يعتبر التزاما قانونياً.

التاكيد على أن يكون الهاتف المحمول الخاص بمُستخدم النظام والمستخدم في عمليات الدفع عن طريق الهاتف المحمول غير مخترق Rooted/Jailbroken.

التأكيد بوضوح على أن القوانين المصرية ذات الصلة ولوائحها التنفيذية والتعليمات والقواعد الرقابية هي التي تحكم الخدمات التي يقوم البنك بتقديمها للعملاء عبر الهاتف المحمول ويتم تسوية النز اعات داخل جمهورية مصر العربية.

توضيح مسئوليات المُستخدم في الحفاظ على كلمة السر/الرقم السري الخاص به والإبلاغ عن فقد هاتفه المحمول فور فقده، ويجب نشر نسخة من نموذج العقد على الموقع الخاص بالبنك على شبكة الإنترنت.

توضيح مسئولية مستخدم النظام في إيلاغ البنك/مقدم الخدمة في حالة تخليه عن رقم الهاتف المحمول المُستخدم في انشاء الحساب تمهيدا لإغلاق الحساب.

النص على حق مُستخدم النظام في استبدال وحدات النقود الإلكترونية بالنقد (جنيه مصري) في أي وقت وشروط الاستبدال، إن وجدت، وعلى أي مقابل لأداء الخدمة أو أية رسوم لإجراء عملية الاستبدال، ان وجدت، وإعلام مستخدم النظام بأي تغيير ات تطراً على مقابل الخدمة.

في حالة إنهاء عمل النظام من قبل البنك أو في أي أحوال أخرى ينتج عنها توقف تقديم الخدمة لمستخدم النظام، بلتزم البنك با لو فاء بتعهداته قِبل مُستخدمي النظام بما في ذلك القيام باستبدال و حدات النقود الإلكترونية بالنقد (جنيه مصري) طبقا للشروط الواردة في العقد بين البنك ومُستخدم النظام وفي آسر ع وقت ممكن.

يجب آن يحصل اللبنك على توقيع يدو ي من العميل على العقد الخاص بالخدمة، على أن يستثني من ذلك العملاء الذين قاموا مسبقا بالموافقة كتابيا على قبول استخدام البنك للوسائل الإلكترونية للحصول على موافقة العميل على أي تغيير ات في الشروط والأحكام الخاصة بالخدمات المصرفية على أن تشمل تلك الموافقة كافة قنو ات تقديم الخدمات المصرفية و في تلك الحالة يقوم العميل بالمو افقة على الشر وط و الأحكام الْكترونيا.

٤-١- ١ يتيين على البنوك وضع تدابير فعالة للرقابة المستمر ة لضمان سر عة اكتشاف أي معاملات غير عادية عبر الهاتف المحمول نِشتبه أن تَوْدى إلى عمليات احتيال. وعلى وجه الخصوص، ينبخي أن تكون تلك التدابير قادرة على اكتشاف حالات مثل: حدوث العديد من عمليات تحويل أموال باستخدام الهاتف المحمول إلى حساب مستقيد آخر خلال فثرة زمنية وجيزة، وخاصة إذا كانت المبالغ المحولة تقترب من الحد الأقصى المسموح به. وكذلك الزيادة المفاجئة في الأموال المحولة لحسابات مستغيدين آخرين.

تغيير عنوان مر اسلات مُستخدم النظام، يتبعه بفترة وجيز ة أنشطة قد تدل على وجود عمليات غير مشروعة محتملة مثل طلب إرسال بعض الوثائق الهامة - على سبيل المثال، طلب إرسال الرقم السري الخاص بالخدمة - على العنوان الجديد.

٤-٤- ٢ يجب أن تتمتع آلية الرقابة المنبعة بالقدرة على سرعة إصدار تحذيرات إلى المختصين بالمتابعة والر صد لخدمات الدفع باستخدام الهاتف المحمول عند حدوث أي تحويل أموال محل شبهة احتيال، وكذلك أي أنشطة غير معتادة باستخدام الهاتف المحمول. ويجب على البنوك في تلك الحالات أن تقوم بالتحقق من ذلك مع أصحاب هذه الحسابات التي تتم عليها هذه المعاملات أو الأنشطة في أسر ع وقت ممكن وإخطار الجهات المختصة.

٤-٢-١ ﺇﺧﻄﺎﺭ ﺍﻟﻌﻤﻼﺀ ﻓﻮﺭﺍ ﻓﻲ ﺣﺎﻟﺔ ﺭﺻﺪ ﺃﻱ ﺃﻧﺸﻄـﺔ ﻏﻴﺮ ﻣﻌﺘﺎﺩﺓ ﻣﺤﻞ ﺷﺪﺑﻬﺔ ﺍﺣﺘﻴﺎﻝ ﻋﻠﻰ ﺣﺴﺎﺑﺎﺗﻬﻢ.

٤-٤ يجب على البنك تطبيق إجر اءات محددة و مُعتمدة للقعامل مع حالات الاحتيال.

٣-٤

٤-٢-١ نظر1 لأن الأجهزة التي يستخدمها العملاء للدخول على خدمات الدفع باستخدام الهاتف المحمول تقع خارج نطاق سبطرة البنك، فإن احتمال ظهور مخاطر أمنية تزداد في حالة عدم معرفة مُستخدم النظام بالاحتياطات الأمنية الضرورية لاستخدام الخدمة أو سوء فهمها ولذلك، يجب على البنك أن يولي اهتماما خاصا لتوعية العملاء عن طريق تقديم نصائح سهلة الفهم وواضحة تتعلق بالاحتياطات الأمنية الواجب اتخاذها عند التعامل مع خدمات الدفع باستخدام الهاتف المحمول والتزامهم حيال ذلك.

التأكيد على العملاء وتوعيتهم أن موظفي البنك - أو وكلاءه - لا يجوز لهم أن يطلبوا من مُستخدم النظام ۲-۲-٤ الإفصاح عن البيانات السرية (كالأرقام التعربفية أو كلمات السر ) عن طريق البريد الإلكتروني أو غيره.

وفي حالة وقوع ذلك يجب على مُستخدم النظام الاتصال بالبنك في أسر ع وقت ممكن.

٤-٢ توعية عملاء خدمات الدفع باستخدام الهاتف المحمول بالطرق التي يمكنهم من خلالها التأكد من صحة التطبيق الرسمي للبنك.

٤-٢-٤-٤ تختلف النصائح الخاصة بالاحتياطات الأمنية الواجب إتباعها وفقا لطبيعة العملاء، وطبيعة خدمات الدفع باستخدام الهاتف المحمول المقدمة، وتشمل النصائح ما يلي كحد أدنى: ٤-٤-١ اختيار وحماية كلمات السر الخاصة بخدمات الدفع باستخدام الهاتف المحمول (وأيضا اسم المستخدم في حالة السماح للعميل باختياره). على سبيل المثال، يجب على البنوك أن تنصح العملاء بازشاء كلمة سر معقدة وعدم اختيار كلمات سر تتضمن معلومات مثل تاريخ الميلاد أو رقم الهاتف أو جزء من اسم مُستخدم النظام يسهل التعرف عليها.

٤-٤-٢ الحماية ضد تقنيات الهندسة الاجتماعية Social Engineering Techniques حيث يجب توعية العملاء بضرورة عدم الإفصاح عن أي معلومات شخصية ـ كبطاقة الهوية أو جواز السفر أو العناوين أو أرقام حسابات البنك الخاصة بهم - لأي شخص لم يتأكد من هويته أو استخدام تطبيقات هو اتف محمولة موضع شك. كما يجب التأكيد على العملاء بعدم الإفصاح عن كلمات السر لأي شخص بما في ذلك موظفي البنك أو وكلائه.

٤ ـ ٢-١ ـ يجب على البنوك مراجعة النصائح والإرشادات الخاصة بالاحتياطات التأمينية التى يتم تقديمها للعملاء للتأكد من كفايتها وملائمتها للتغير ات التي تستجد على البيئة التكنولوجية وخدمات الدفع باستخدام الهاتف المحمول.

٤ - ٦ - يتم إخطار عميل النظام بوسيلة التصرف في حالة اكتشاف أي شخص آخر للرقم السري الخاص بمُستخدم النظام.

٤-٢-٢ نظر1 لوجود صعوبة في توفير العملاء لوقت طويل لاستيعاب الإرشادات الطويلة و المعقدة، يمكن للبنوك ابتكار أساليب وقنوات فعالة لإبلاغ العملاء وتو عيتهم بالاحتياطات التأمينية التي يجب اتخاذها من جانبهم.

ويمكن للبنك الاستفادة من الحديد من الأساليب - كالمواقع الإلكترونية للبنك، والرسائل المطبوعة على كشوف حسابات العملاء، والمنشورات الترويجية، وكذلك في الأحوال التي يتواصل فيها عادة موظفي المكاتب الأمامية للبنك أو مُقدم الخدمة مع العملاء - للتأكيد على ضرورة الالتزام ببعض اللتدابير الاحتياطية الأساسية.

٤-٢-٨ يتعين على البنوك ومقدمى الخدمة اتخاذ تدابير فعالة لإخطار العملاء بشأن التغييرات الجو هرية الخاصة بتطبيقات خدمة الدفع باستخدام الهاتف المحمول المستخدمة.

٤-٢- بلتزم البنك بترفير شرح مبسط للعملاء عن الخدمة، وكيفية الحصول عليها واستخدام وسائل التوعية الإرشادية المبسطة لذلك سواء كان ذلك بالوسائل البصرية و/أو السمعية و/أو المكتوبة، على نحو يكفل القهم الواضح لكيفية استخدام هذا النوع من الخدمات وطبيعته والمخاطر المرتبطة به، وكذا على نحو يوضح حقوق العملاء والتزاماتهم.

٤-٢-١٠ نوصى أن تكون التطبيقات الخاصة بخدمة الذفع باستخدام الهاتف المحمول تسمح بدمج ذوي الهمم وتر اعي احتياجاتهم المختلفة.

هـ إجراءات الحصول على ترخيص لتقديم الخدمة

يجب على البنوك التي ترغب في تقديم خدمات الدفع باستخدام الهاتف المحمول لعملائها أو البنوك التي 1-0 حصلت على ترخيص بعد إصدار القواعد وتود أن تضيف وظائف جديدة أن تتقدم بطلب للحصول على موافقة البنك المركز ي المصر ي وذلك باستيفاء المستندات التالية كحد أدنى:

قائمة بالوظائف والخدمات التي يرغب البنك في تقديمها أو اِضافتها.
بيان يوضح أي حالة من حالات عدم الالتزام الجزني أو الكلى بالقواعد الخاصة بتقديم خدمات الدفع باستخدام الهاتف المحمول الصادرة من البنك المركزي المصري.

تقرير اختبارات الاختراق Penetration Test Report الذى تم على بيئة التشغيل الفعلية قبل

ابطلاق الخدمة، على أن يكون قد تم إجراؤه وفقا للبند ٣-١١-٢ وفى فترة لا تتجاوز ثلاثة أشهر سابقة لتاريخ إرسال طلب البنك. يُمكن تأجيل تقديم هذا التقرير إلى ما بعد الحصول على مواققة البنك المركزي المصري المبدئية مع التزام البنك بعدم اطلاق الخدمة إلا بعد إرسال التقرير الى البنك المركزي المصري وتصريحه للبنك بتفعيل الخدمة.

يجب على البنوك السابق حصولها على ترخيص بمزاولة تقديم خدمات الدفع باستخدام الهاتف المحمول ۲-0 قبل اِصدار تلك القواعد أن تقوم بتوفيق أوضاعها و الالتزام بما يلي:

تلتزم البنوك بتوفيق أوضاعها مع هذه القواعد وذلك خلال فترة سماح لا تزيد عن ستة أشهر من تاريخ صدورها.

عدم توفيق البنك للأوضاع خلال الفقرة الزمنية المحددة قد يؤدي إلى إلحاء رخصه تقديم خدمات الدفع " باستخدام الهاتف المحمول الممنوحة للبنك مسبقا.

٠ ٣ يجب ابلاغ البنك المركزي المصري وابلاغ مستخدمي النظام بطريقة معلنة بأية تعديلات في تعريفة الخدمة.

يقوم البنك بتقديم تقارير شهرية إلى البنك المركز ي المصر ي تشمل حجم وحدات النقود الإلكترونية الأصدر ة ٤-٥ و عدد مُستخدمي النظام الذين لديهم أر صدة وعدد مُستخدمي النظام الذين ليس لديهم أر صدة وعدد مقدمي الخدمة وحجم المعاملات اليومية بأنواعها المختلفة و أية بيانات أخرى يطلبها البنك المركزي المصر ي.

تنطبق المعايير على مُشغل النظام ككل أو أي مُشغل يقوم بتشغيل جزئي للنظام ويحق للبنك المركزي 0-0 المصر ي التقنيش على أي جزء من أجزاء النظام للتأكد من مطابقته للمعايير وللمواصغات المبلغة من قبل البنك المركزي المصري ويعتبر عدم تسهيل مهمة البنك المركزي المصري في هذا الشأن إخلالا بهذه القواعد من قبل البنك الذي يُدير النظام.

ملحق (أ): الحالات والقواعد الخاصة بالاستعانة بمقدمي الخدمة للتعرف على هوية العملاء كما وردت في "!جراءات العناية الواجية بعملاء خدمة الدقع باستخدام الْهاتف المحمول" الصادرة عن وحدة مكافحة غسل الأموال وتمويل الإرهاب لعام ٢٠٢٠ يمكن للبنك الاســــتعانة بمقدم الخدمة في تطبيق إجراءات "التعرف على هوية العملاء والتحقق منها" الواردة في "إجراءات العناية الواجبة بعملاء خدمة الدفع باستخدام الهاتف المحمول"، وذلك في الحالات التالية: ١. أن يكون مقدم الخدمة شركة هاتف محمول مرخص لها بالعمل في جمهورية مصر العربية طبقا لقانون الاتصالات رقم ١٠ لسنة ٢٠٠٣ من قبل الجهة المختصة، سواء تم تقديم الخدمة من خلال أحد فروعها أو منافذها الثابتة أو المتنقلة، على أن يتم تطبيق اجراءات "التعرف على هوية العملاء والتحقق مذها" من قبل أحد موظفي الشركة.

٢. أن يكون مقدم الخدمة أحد مكاتب البريد القابعة للهيئة القومية للبريد، على أن يتم تطبيق اجراءات "التعرف على هوية العملاء والتحقق منها" من قبل أحد موظفي الهيئة المذكورة.

٣. أن يكون مقدم الخدمة شركة أو جمعية أو مؤسسة أهلية حاصلة على ترخيص بممارسة نشاط التمويل متناهي الصغر من الهيئة العامة للرقابة المالية وفقا لأحكام القانون رقم ١٤ لسنة ٢٠١٤ والقرارات الصادرة تنفيذا له، على أن يتوافر ما يلي:

أن يكون للجهة سجل تجاري ساري وبطاقة ضريبية سارية في حالة الشركات أو نظام أساسي معتمد من وزار ة التضامن الاجتماعي في حالة الجمعيات والمؤسسات الأهلية.
- خطاب من الهيئة العامة للرقابة المالية يفيد الموافقة على أن تكون الجهة مقدم للخدمة.

أن يقتصر تقديم الجهة للخدمة على عملائها الحاصلين على تمويل متناهي الصغر ، وبما لا يخالف أحكام " القانون رقم ١٤ لسنة ٤١٤ والقرارات الصدادرة تنفيذا له.

٤. أن يكون مقدم الخدمة جهة أخرى بخلاف ما ورد في البنود السابقة على أن يتوافر ما يلي:

أن يكون للجهة سجل تجاري ساري وبطاقة ضريبية سارية.
في حالة تقديم الجهة للخدمة من خلال منفذ تابع لها بجهة أخر ى، يكون للجهة الأخرى ســـجل تجار ي ساري وبطاقة ضريبية سارية.
قيام البنك بإخضاع مالكي الجهة والقائمين على إدارتها لإجر اءات العذاية الواجبة بعملاء البنوك، وجمع اَية معلومات يرى ضرورة الحصول عليها بشأنهم.
قيام البنك بالتحقق من عدم تعرض أي من مالكي الجهة والقائمين على إدارتها لعقوبات تتعلق بجنايات أو عقوبات على جرائم مخلة بالشرف أو الأمانة.
تضمين شروط التعاقد مع الجهة ضرورة توافر نظم وإجراءات لديها تشترط توافر مستويات مرتقعة من الكفاءة والنزاهة لدى العاملين بها وبالمنافذ التابعة لها، على أن تتضـــمن هذه النظم والاجر اءات كحد أدنى الاستفسار عن العمل السابق والحصول على صحيفة الحالة الجنائية.

وفى كل الأحوال السابقة يتعين تطبيق القواعد التالية: ١. يقوم البنك بتحديد اجراءات "التعرف على هوية العملاء والتحقق منها" بما يتفق مع ما ورد بالبند رقم (٥) من الإجراءات المذكورة بعاليه ، ويقوم مقدم الخدمة بتطبيق هذه الاجراءات باعتباره وكيلا عن البنك في تطبيقها، ويكون البنك مسئولا مسئولية كاملة عن سلامة هذه الاجراءات وفعالية تطبيقها.

٢. يتعين على البنك وضع إجراءات مناسبة للتحقق بشكل دوري من التزام مقدم الخدمة بكافة إجر اءات "التعرف على هوية العملاء والتحقق منها"، وفى حالة وجود مخالفات جو هرية أو متكررة فى هذا الشأن - وفقا لمعابير يضعها البنك ـ يتعين أن ينظر البنك في مدى ملاءمة استمراره في الاستعانة بمقدم الخدمة لتطبيق اجر اءات "التعرف على هوية العملاء والتحقق منها".

٣. يتعين أن يتضمن العقد الموقع من قبل البنك مع مقدم الخدمة التزامات ومسئوليات كل طرف بالنسبة لتطبيق إجراءات "التعرف على هوية العملاء والتحقق منها"، بما يشمل التزام مقدم الخدمة بالسماح لمفتشي البنك المركزي المصر ي بزيارة مقار تقديم الخدمة للتحقق من سلامة وفعالية تطبيق هذه الإجر اءات .

٤. يقوم البنك بالتحقق من تلقي العاملين بالفروع والمنافذ التابعة لمقدم الخدمة التدريب اللازم للقيام بإجراءات "التعرف على هوية العملاء والتحقق منها".

. يتعين على مقدم الخدمة أن يرسل للبنك كافة المستندات المتحلقة بفتح حساب الخدمة للعميل وذلك بحد أقصى ثلاثين يوماً من تاريخ فتح الحساب، وفى حالة عدم الالتزام بذلك يتم إيقاف الحساب، وخلال تلك الفترة يتعين على البنك تطبيق الاجراءات اللازمة لإدارة مخاطر غسل الأموال وتمويل الإر هاب، بما يشمل وضع حدود على عدد وقيم ونوعية العمليات التى يمكن تنفيذها.

ويلتزم البنك بما يصدر من وحدة غسل الأموال ومكافحة تمويل الارهاب في هذا الشأن.

ملحق (ب): القواعد المنظمة لتقديم الإقراض والادخار الرقمى: مقدمة:

في ضــو ء اهتمام البنك المركزي بدعم وتحقيق الشــمول المالي وفي إطار تنفيذ اســتراتيجية الدولة نحو التحول إلى مجتمع أقل اعتمادا على أوراق النّقد، وزيادة الاعتماد على المنتجات والقنوات الرقمية في الوصـــول إلى الخدمات المصرفية بسـهولة وكفاءة وفاعلية لكافة فئات المجتمع خاصلة فكات الشباب و المرأة والمشروعات متناهية الصغر والصغيرة بالإضافة الى القاطنين بالأماكن النائية، وحيث أن خدمتي الإقراض والادخار من أهم الخدمات المصرفية التى تمثل ركنا أصـيلا فى تحقيق الشـمول المالى وتمثل دور1 هاما فى تلبية وتوفير احتياجات المواطنين الهالية، فقد ار تأى البنك المركز ي أهمية اصدار قواعد منظمة لتّلك الخدمات بهدف اتاحتها بشكل موحد وسليم وإمكانية الرقابة والإشراف عليها.

وتختص هذه التعليمات بوضع القواعد الخاصة بِتقديم خدمات الإفراض والانخار الرقمي باستخدام محافظ الهاتف المحمول فقط كمرحلة أولى على أن يتم إصدار القواعد الخاصة بالقنوات الأخرى تباعاً.

	أولاً: التعريفات:
هو تسهيل انتماني قصير الأجل-بحد أقصى عام- في شكل	الإقر اض الرقمي من خلال خدمة الدفع باستخدام
نقود الكترونية يقوم العملاء بالتقدم لطلبه ويتم منحه من	الهاتف المحمول
قبل البنوك بشكل فورى بصورة إلكترونية من خلال خدمة	Digital Lending Through Mobile )
الدفع باستخدام الهاتف المحمول دون حاجة العميل إلى	(Wallet
الذهاب الْى أي من فروع البنك أو مقدمي الخدمة التابعين
له للتوقيع على الطلب الخاص بتلك الخدمة، ويرمز إليه
	في القواعد بـ "التسهيل".
هي خدمة تتيح للعملاء طلب منتجات الادخار بصورة	الادخار الرقمي من خلال خدمة الدفع باستخدام الهاتف
إلكترونية من خلال خدمة الدفع باستخدام الهاتف المحمول	ﺍﻟﻤﺤﻤﻮﻝ
دون الحاجة للذهاب الى أي من فروع البنك أو مقدمي	Digital Saving Through Mobile )
الخدمة التابعين له للتوقيع على الطلب الخاص بتلك	(Wallet
الخدمة، ويرمز الْيه في القواعد بـ "الادخار "
هي الشركات والمنشآت متناهية الصغر التي يتوافر لديها	الفئة (أ) من الأشخاص الاعتبارية
مستندات أو مقر أو يتم التحقق من نشاطها باستخدام أي
وسيلة أخرى، الذين قاموا بغتح حساب هاتف محمول لدى

البنك أو أحد مقدمي الخدمة التابعين له وفقا للبند ٥-٢-٢-
٢ من اجراءات العناية الواجبة بعملاء خدمة الدفع
باستخدام الهاتف المحمول الصادرة عن وحدة مكافحة
غسل الأموال وتمويل الإرهاب في مارس ٢٠٢٠
	وتعديلاتها.
هى الشركات والمنشآت متناهية الصغر أو اصحاب المهن	الفئة (ب) من الأشخاص الاعتبارية
الحرة وأصحاب الحرف التي لا يتوافر لديها أيا مما سبق
الإشارة اليه في الغنة (أ) من الأشخاص الاعتبارية
ويزاولون نشاطا اقتصاديا "على سبيل المثال: حرفي،
كهربائي، سباك، نجار ، ... الخ"، الذين يتم ادراجهم تحت
مسمى "نشاط اقتصادي" وفقا للمذكرة التفسيرية التي سيتم
ابصدار ها لاحقا من البنك المركزي ووحدة مكافحة غسل
الأموال و تمويل الإر هاب في هذا الشأن، الذين قاموا بفتح
حساب هاتف محمول لدى البنك أو أحد مقدمي الخدمة
التابعين له وفقا للبند ٥-٢-٢-٢ من إجراءات العناية
الواجبة بعملاء خدمة الدفع باستخدام الهاتف المحمول
الصادر ة عن وحدة مكافحة غسل الأموال وتمويل الإر هاب
	فى مارس ٢٠٢٠ وتعديلاتها.

ئاتياً: قواعد عامة للإقراض والادخار الرقمى من خلال خدمة الدقع باستخدام الهاتف المحمول:

١) تسر ي كافة الضوابط و المتطلبات الرقابية الخاصة بمنح الائتمان الصادرة عن البنك المركز ي أو قواعد إتّاحة المنتجات الادخارية فيما لم يرد بشأنه نص في قواعد خدمتي الإقراض والادخار الرقمي من خلال خدمة الدفع باستخدام الهاتف المحمول و على الاخص ما يلي:

نسب السيولة متضمنة نسبتى تغطيه السيولة وصافى التمويل المستقر .
الحد الأدنى لمعيار كفاية رأس المال المقرر.
عدم وجود عجز في المخصصات المكونة طبقا لمتطلبات معيار ٩ بموجب التعليمات الصادرة في ٢٦ فبراير ٢٠١٩ وأسس تقييم الجدارة الائتمانية للعملاء وتكوين المخصصات الصدادرة عن البنك المركزي المصري بتاريخ آيونيو ٢٠٠٥ والتعليمات ذات الصلة.

٢) المحمول لعملائها على استخدام أحد القنوات الرقمية فقط، فعلى سبيل المثال لا الحصر :

تطبيق "المحفظة الالكترونية" المثبت على الهاتف المحمول (USSD) خاصية بيانات الخدمات التكميلية غير المنظمة (IVR) خاصية الرد الآلى (IVR)
ماكينة الصراف الألى أي قنوات رفمية أخرى مثبلة ٣) يتعين آلا يتم قبول طلب العميل للحصول على خدمتي الإقراض والانخار الرقمي من خلال خدمة الدفع باستخدام الهاڌ ف المحمول إلا بعد الحصول على موافقته على الشروط والأحكام الخاصة بالخدمة الِكترونيا باستخدام وسائل إثبات الهوية "التصديق" الواردة بالبند ٢-٤ وقيام البنك بالاحتفاظ بما يغيد اطلاع وموافقة العميل على تلك الشروط والأحكام.

٤) يجب أن يلتزم البنك بتقديم الخدمة للعميل بصورة لحظية فور طلبه، وذلك حال الموافقة على الطلب بعد قيام البنك بكافة الإجراءات الواجبة لتقديم الخدمة وفقا للقواعد السارية.

○) يجب على البنك التأكد من توافر آلية للعميل تمكنه من القيام بما يلي على حساب محفظة الهاتف المحمول الخاصة به فى أي وقت:

الاستعلام عن مبلغ التسهيل أو المبلغ المدخر
الاستعلام عن المبالغ المستحقة ومواعيد استحقاقها ٦) يلتزم البنك بوضع سياسات وإجراءات عمل معتمدة من مجلس إدار ته خاصة بالخدمة.

Y) يلتزم البنك بموافاة البنك المركزي بتقرير شهر ي عن الخدمة المقدمة لعملائه وذلك وفقا لنماذج الثقارير التي يصدر ها البنك المركزي فى هذا الشأن.

Digital Lending ) ، تائثا: الإقراض الرقمى من خلال خدمة الدفع باستخدام الهاتف المحمول :(Through Mobile Wallet

ا) يجب على البنك - طبقا لرؤيته ودراسته لمستوى المخاطر المرتبطة بالخدمة والعميل –وضع السياسات والإجر اءات الائتمانية بما يتناسب مع حجم وطبيعة التسهيلات الممنوحة للعملاء.

٢) يجوز للبنك استخدام البيانات البديلة للتقييم الانتماني من خلال نماذج التقييم الرقمي مثل "Behavioral Scoring Models"، وخاصة في حالة العملاء الذين ليس لديهم أي تاريخ التماني، على أن يتم وضع استراتيجية للتعامل مع المخاطر والخسائر المتوقعة بالإضافة إلى نسبة القروض غير المنتظمة المتوقعة، كما يجب أن يتم وضع إجر اءات ومعايير لاختبار وتقييم النموذج وتعديله بشكل دوري وفقا لنتائج هذه الإجراءات.

٤ ٢

٣) لا تسر ي التعليمات الخاصة بحساب نسبة إجمالي الأفساط الشهر ية من إجمالي الدخل الشهر ي للفر د " "DBR على خدمة الإقراض الرقمي من خلال خدمة الدفع باستخدام الهاتف المحمول.

٤) يتم المنح من خلال قروض بأقساط ثابتة محددة التواريخ والمبلخ والعوائد سلفا وليس من خلال حد جاري مدين، على أن يتساوى الحد المصر ح به مع المبلغ المستخدم، ويتم تخفيضهما بقيمة الأقساط التي يتم سدادها.

ه) يجب ألا تزيد مدة التسهيل بأي حال من الأحوال عن عام من تاريخ تحويل مبلغ التسهيل للعميل.

٦) يجب على البنك الاستعلام عن العميل لدى شركات الاستعلام والتصنيف الانتماني المرخص لها بذلك وخاصة الجمالي مبالغ التسهيلات الرقمية القائمة للعميل والتي تم منحها عبر خدمة الدفع باستخدام الهاتف المحمول.

٧) يلتزم البنك بالإفرار لشركات الاستعلام والتصنيف الانتماني المرخص لها لحظيا عند منح التسهيل للعميل وكذا عند سداده.

^) يتم الإقرار وتصنيف العميل في حالة عدم الانتظام في السداد وفقا لقواعد تسجيل الانتمان الصادرة من البنك المركز ي المصر ي في هذا الشأن، ويتَم ذلك من خلال نظام تسجيل الانتمان بالبنك المركزي ولدي شركات الاستعلام والتصنيف الانتماني.

٩) لأغراض حماية حقوق العملاء الراغبين في الحصول على تسهيل انتماني، يجب على البنك الالتزام ﺑﺎﻷﺗﻲ:

الحصول على موافقة العميل المسبقة لاستخدام البيانات والمعلومات الشخصية الخاصة به المطلوبة لأغر اض تقديم التسهيل باستخدام البيانات البديلة للتقييم الانتماني من خلال نماذج التقييم الرقمي، مع التعهد بالحفاظ على خصوصية هذه البيانات والمعلومات، وضمان عدم اساءة استخدامها من قبل البنك أو أحد موظفيه أو وكلائه، أو مشاركتها مع آخرين دون موافقة العميل وفى حدودها.

الإفصاح للعملاء عن جميع البيانات والشروط ومحددات الخدمة وعلى الأخص:

مبلغ التسهيل الذي تم الموافقة عليه.
اجمالي المبلغ الذي سيقوم العميل بسداده شاملاً مبلغ العائد والمصروفات التي سوف يتحملها العميل و آلية تحصيلها.

ـ مواعيد استحقاق الأقساط (إن وجدت).

شروط وإجراءات السداد المبكر .

للمعاملة.

توفير آلية الكترونية سهلة وواضحة للعميل للاستعلام عن كافة تفاصيل التسهيل الممنوح مثل مواعيد الاستحقاق والمصروفات وأسعار العائد الفعلي.
وضع إجراءات يتم اتباعها حال عدم التزام العميل بالسداد على أن يتم استخدام وسائل سر يعة ملائمة لمدابعة المديونية وابلاغه وتنبيهه بالإجر اءات المتبعة بشكل واضح ودقيق.

يتعين الا يتجاوز اجمالي التسهيلات الممنوحة للعملاء من خلال الإقراض الرقمي باستخدام ( ) · محفظة الهاتف المحمول في أي وقت من الأوقات - على مستوى جميع حسابات المحافظ الالكترونية الخاصة بهم لدى كافة البنوك - الحدود القصوى التالية بخلاف العوائد المهمشة:

الأشخاص الطبيعية: مبلغ ٥٠٠ (خمسة آلاف) جنيها مصريا.

الأشخاص الاعتبارية الفئة (أ): مبلغ ١٥٫٠٠٠ (خمسة عشر الف) جنيها مصريا.

الأشخاص الاعتبارية الفئة (ب): مبلغ ١٠,٠٠٠ (عشرة آلاف) جنيها مصريا.

ولمحافظ البنك المركز ي تعديل تلك الحدود القصوى المشار إليها.

رابعاً: الادخان الرقمى من خلال خدمة الدفع باستخدام الهاتف المحمول ( Digital Saving

:(Through Mobile Wallet

١) يمكن للبنك إتاحة خدمة الادخار الرقمي من خلال خدمة الدفع باستخدام الهاتف المحمول للأشخاص الطبيعيين والشركات متناهية الصغر فقط دون غير هم.

٢)تقتير أرصدة العملاء بهذه الخدمة جزء من ودائع البنك وتخضع للنسب الرقابية لاحتساب الاحتياطي القانوني والسيولة وغير ها.

٣)يجب على البنك التأكد من توافر آليه للعميل تمكنه من سحب/تحويل أي مبالغ من رصيد حساب محفظة الهاتف المحمول الخاصة به في أي وقت.

٤) لأغراض حماية العملاء الراغبين في الحصول على خدمة الانخار الرقمي من خلال خدمة الدفع باستخدام الهاتف المحمول، يجب على البنك الالتزام بالإفصاح عن جميع بيانات وشروط ومحددات الخدمة ـخاصة في حالة وجود عدة برامج ادخاريةـ وعلى الأخص: كيفية احتساب مبلغ العائد وموعد استحقاقه.

جميع التكاليف والمصروفات التي سوف يتحملها العميل وآلية تحصيلها.
كيفية الِغاء الخدمة ومحدداتها.
سعر العائد الفعلى.

	ملحق (ج): التعريفات
الدفع
في مصر و التي يرخص لها البنك المركز ي المصري بتشغيل النظام التي يصدر ها المستخدم	المحمول
	ويرسلها إلى البنك الذي يتعامل معه عن طريق الهاتف المحمول الخاص بالمستخدم ذاته.	النظام
نظام إلكتروني يضعه ويشغله بنك مسجل في مصر للدفع عن طريق الهاتف المحمول وفقا
	لهذه القواعد، وذلك بعد الحصول على ترخيص من البنك المركزي المصري.
وحدات الِكترونية ذات قيمة نقدية تعادل كل وحدة جنيه مصري فقط دون غيره من العملات	وحدات النقود الإلكترونية
الأخرى يصدر ها بنك مسجل بالبنك المركزي المصري، وهذه الوحدات تمثل التزاما على
البنك المصدر لها، وذلك شريطة استلام البنك قيمة من النقد (الجنيه المصري) لا تقل عن قيمة
	وحدات النقود الإلكترونية، ويكون لهذه الوحدات المحددات التالية:
	- مُخزنة على أجهزة أو وسائط الِكترونية.
- تقبْل على أنها وسيلة دفع من قبل أشخاص أو جهات أخرى بالإضافة للبنك
	المُصدر لها.
	- قابلة للاستبدال إلى نقد (الجنيه المصري).
- مصدرة طبقا للقواعد الصادرة عن البنك المركزي المصرى شريطة الحصول
	على ترخيص من البنك المركزي المصر ي لتشغيل النظام.	still
الجهة المنوط بها الاحتفاظ بالإيداعات النقدية المتعلقة بالعمليات الخاصة بإصدار وحدات النقود
الإلكترونية، والتأكد من اتقاق هذه العمليات مع الضوابط الرقابية الخاصة بمكافحة غسل
الأموال وتمويل الإر هاب الصادرة عن البنك المركزي المصري وإجراءات العناية الواجبة
بعملاء خدمة الدفع باستخدام الهاتف المحمول الصادر ة عن وحدة مكافحة غسل الأموال وتمويل
الإر هاب، خاصة في مجال تحديد هوية مُستخدمي النظام (العملاء) وُمقدمي الخدمة (وفقا
للتعريف الوارد أدناه)، ووضع إطار لإدارة المخاطر المرتبطة بهذه الخدمة، وتشغيل نظم
	الحاسبات وإدارة التسويات على حسابات مُستخدمي النظام ومُقدمي الخدمة.
الشركة المرخص لها داخل جمهورية مصر العربية و هي الجهة المنوط بها توفير البنية التحتية	شركة الهاتف المحمول
للاتصالات وتوفير التقنيات اللازمة لإرسال أوامر الدفع عن طريق الهواتف المحمولة وإرسال
	التأكيدات الخاصة بتنفيذ هذه الأوامر ، ويمكن للبنك القيام بتلك الأدوار .
	الشخص الطبيعي أو الاعتباري المشترك في خدمة الدفع عن طريق الهاتف المحمول.	مُستخدم النظام

أي من المنشآت التي يتعاقد معها البنك لتقديم الخدمات الواردة بالبند ٢-٢ الخاص بمقدمي	مُقَدم الخدمة
الخدمة، شريطة قيام تلك المنشآت بايداع نقود (جنيه مصري) أو ضمانات مناسبة لدى البنك
مقابل تلقي وحدات نقود الكترونية منه، ويجوز لمقدم الخدمة تحويل هذه الوحدات الي
	مُستخدمي النظام وفقا للتغصيل الوارد بالبند ٢-٢ الخاص بمقدمي الخدمة.
حساب يتم فتحه لدى أحد البنوك المسجلة و المرخص لها بتشغيل النظام باسم كل مُستخدم للنظام	حساب الهاتف المحمول
أو مُقدم للخدمة، ويتم من خلاله عمليات الإيداع والتحويل والسحب الخاصة بهذا المُستخدم أو
	مُقدم الخدمة.
هي الشركات والمنشآت متناهية الصغر التي يتوافر لديها مستندات أو مقر أو يتم التحقق من	الفئة (أ) من الأشخاص
نشاطها باستخدام أي وسيلة أخرى، الذين قاموا بفتح حساب هاتف محمول لدى البنك أو أحد	الاعتبارية
مقدمى الخدمة التابعين له وفقا للبند ٥-٣-٢-١ من إجر اءات العناية الواجبة بعملاء خدمة الدفع
باستخدام الهاتف المحمول الصادرة عن وحدة مكافحة غسل الأمو ال وتمويل الإر هاب الصادر ة
	في مارس ٢٠٢٠ وتعديلاتها.
هي الشركات والمنشآت متناهية الصغر أو اصحاب المهن الحرة وأصحاب الحرف التي لا	الْفَنَة (بَ) من الأشخاص
يتوافر لديها أيا مما سبق الإشارة إليه في الفئة (أ) من الأشخاص الاعتبارية ويزاولون نشاطاً	الاعتبارية
اقتصاديا "على سبيل المثال: حرفي، كهربائي، سباك، نجار ، ... الخ"، الذين يتم ادر اجهم تحت
مسمى "نشاط اقتصادي" وفقاً للمذكرة التفسيرية التي سيتم إصدار ها لاحقا من البنك المركزي
في هذا الشأن، الذين قاموا بفتح حساب هاتف محمول لدى البنك أو أحد مقدمي الخدمة التابعين
له وفقا للبند ٥-٣-٢- من إجراءات العناية الواجبة بعملاء خدمة الدفع باستخدام الهاتف
ﺍﻟﻤﺤﻤﻮﻝ ﺍﻟﺼﺎﺩﺭﺓ ﻋﻦ ﻭﺣﺪﺓ ﻣﻜﺎﻓﺤﺔ ﻏﺴﻞ ﺍﻷﻣﻮﺍﻝ ﻭﺗﻤﻮﻳﻞ ﺍﻹﺭﻫﺎﺏ ﺍﻟﺼﺎﺩﺭﺓ ﻓﻲ ﻣﺎﺭﺱ
	٢٠٢ ﻭﺗـﻌﺪﻳﻼﺗـﻬﺎ.	المخاطر المتأصلة
مستوى المخاطر دون الأخذ في الاعتبار أي من الضوابط الرقابية أو إجراءات المعالجة المنفذة
	من قبل البنك وتتكون من عنصرين: التأثير واحتمالية الحدوث.	Inherent Risk
	المخاطر المتبقية
المخاطر التي قد يتعرض لها البنك بعد تنفيذه لضوابط أو إجر اءات تعويضيه خاصة بالمخاطر
	المتأصلة.	Residual Risk
الأساليب و الإجراءات والعمليات المستخدمة لتدقيق الهوية و الصلاحية للعملاء الجدد و الحاليين.	التصديق
	Authentication

| كلمات السر المستخدمة لمرة | كلمة السر المستخدمة والصالحة لأغراض التصديق لمرة واحدة فقط للدخول على النظام أو | | |---------------------------------------------------------------------------------------------------------------|-------------------------| | لْفَترة ز منية محددة - مڻال: نحو ۹۰ ثانية - لضمان عدم إعادة استخدامها لأغراض التصديق | واحدة | | في مرات لاحقة في حال تسجيلها عن طريق الهاكرز . | One-Time | | | Password | | إعداد وتدقيق خطط لوجستية لكيفية تعافى البنك واستعادة الوظائف الحيوية التى تم اعتر اضها | خطة استمر ارية العمل | | بصور ت جزئية أو كلية (العاجلة) وذلك خلال فترة زمنية محددة مسبقا بعد الكوارث أو استمر ار | Business Continuity | | تعطل الخدمة. ويطلق على هذه الخطة اللوجستية خطة استمر ارية العمل. | Plan | | يتكون رقم التعريف الشخصي من مجموعة من الأرقام السرية التي ثستخدم للتصديق على | الرقم السري | | دخول المستخدم على النظام. وبصفة أساسية، بطلب من المستخدم إدخال معلومة غير سرية | Personal | | كاسم مُستخدم النظام ومعلومة سرية و هي الرقم السري للدخول على النظام. وفور استلام اسم | Identification | | المستخدم والرقم السري، يقارن النظام الرقم السري باسم المستخدم بالإضافة إلى مقارنة الرقم | Number(PIN) | | السر ي الصادر بالمسجل. و عندئذ يتم منح المستخدم صلاحية الدخول على النظام عند مطابقة | | | الأرقام التى تم إدخالها مع تلك المسجلة على النظام. | إدارة المخاطر | | العملية المستمرة لتحديد وقياس ومراقبة وإدارة التعرضات للمخاطر المحتملة. | Risk Management | | مستوى المخاطر التى يمكن للبنك تحملها لتحقيق أهداف الأعمال. | القدرة على تحمل المخاطر | | | Risk Appetite | | | خطة المعالجة | | الخطة اللاز مة لتنفيذ إجر اءات المعالجة لتهديد أو عدد من التهديدات الذي يو اجه نظام المؤسسة. | | | وتتضمن الخطة بصفة أساسية عدد من الخيارات المطلوبة لإزالة هذه التهديدات والأولويات | Remediation Plan | | | الخاصة بخطة المعالجة. | | اتفاقية مستوى الخدمة - يشار إليها اختصار SLA - هي جزء من عقد الخدمة والتي يتم من | اتفاقية مستوى الخدمة | | خلالها تحديد مستوى الخدمة بصفة رسمية. وبصورة عملية، بشير هذا المصطلح عادة إلى | Service Level | | الزمن اللازم للتنفيذ طبقا للعقد أو أداء العقد. | Agreement | | يبحث المسح الخاص بالثغرات في النظام والتقارير ويكشف التعرضات المحتملة. ويغطي | تقييم نقاط الضحف | | النظاق بصور ة أساسية كافة البنى التحتية فى بيئة البنوك العاملة. | Vulnerability | | | Assessment | | الاختبار اليدوي المصمم لاستغلال نقاط الضعف في هيكل النظام أو بينة الحاسب الألي. | اختبار الاختراق | | | Penetration Testing |