Regulatory Alerts2021-11-17
A circular dated October 26, 2021 regarding the rules regulating real-time payments network services
The Instant Payment Network (IPN) rules and regulations are outlined in this document, which is intended for banks and payment service providers (PSPs) operating in Egypt. The Central Bank of Egypt (CBE) is working to increase financial inclusion and digital transformation, and these rules aim to establish a framework for banks and mobile applications to provide instant payment services to all segments of society. The rules cover a range of topics, including definitions, scope, risk management, strategic, operational, and legal risks, anti-money laundering and counter-terrorism financing, and general provisions.
القواعد المنظمة لخدمات شبكة المدفوعات اللحظية داخل جمهورية مصر العربية (IPN (Network Payment Instant أكتوبر 2021
da so se a seen البَـ CENTRAL BANK OF EGYPT
المحتويات
| ٤ | مقدمة |
|---|---|
| ٦ | عامة تعريفات |
| ٨ | القواعد -1 نطاق |
| ٩ | ة ات اللحظي ة المدفوع دمات شبك مخاطر خ -2 إدارة |
| ٩ | ونية ت اإللكتر خالل القنوا حظية من صرفية الل مليات الم ت تنفيذ الع طة بخدما اطر المرتب .1-2 المخ |
| ١١ | ة العليا رة واإلدار جلس اإلدا زامات م وليات والت .2-2 مسئ |
| ١٥ | اب ويل اإلره موال وتم ة غسل األ ابط مكافح .3-2 ضو |
| ١٦ | حظية فوعات الل شبكة المد ركة في نوك المشا منظمة للب د العامة ال .3 القواع |
| ١٦ | ترونية الدفع اإللك )ألدوات Issuer Bank ر ) ك المصد زامات البن .1-3 الت |
| ١٧ | PSP) Bank اللحظية ) مدفوعات ع لشبكة ال دمات الدف ك مقدم خ زامات البن -3 .2 الت |
| ١٩ | اللحظية مدفوعات ل شبكة ال )من خال Acquirer Bank ك القابل ) امات البن .3-3 التز |
| ٢٠ | ة ت اللحظي المدفوعا قبل شبكة متاحة من خدمات ال .٤-٣ ال |
| ٢٢ | ط عامة -4 ضواب |
| ٢٥ | صر ة بنوك م ليات شرك -5 مسؤو |
| ٢٥ | ات -6 التسوي |
| ٢٦ | ة ت اللحظي المدفوعا مات شبكة ة على خد بط الرقابي .7 الضوا |
| ٢٦ | ت ة المعلوما ية وسالم .1-7 سر |
| ٢٧ | منظومة األمنية لل والمتابعة ية التحتية .2-7 البن |
| ٢٨ | ة مني للخدم النظام األ .3-7 تقيم |
| ٢٩ | اراتها حداث وإد ستجابة لأل .4-7 اال |
| ٣١ | ة العمل استمراري ء وضمان ارات األدا .5-7 اعتب |
| ٣١ | ى اطر األخر عض المخ ضوابط لب لعمالء و -8 أمن ا |
| ٣٦ | راخيص ل على الت ت الحصو .9 إجراءا |
مقدمة فـي إطـار خطـة البنـك المركـزي المصـري لتحقيـق الشـمول المالـي ووصـول الخدمـات المصرفيـة لـكل افـراد المجتمـع، وفـي ضـوء خطـة البنـك المركـزي للتحـول الرقمـي والحاجـة إلي زيادة أعـداد المعامالت االلكترونية واتاحة وسـائل السـداد والتحصيـل المختلفـة لتلبيـة احتياجـات العملاء، تهـدف هـذه القواعد إلى تحديـد إطـار عمـل البنـوك وتطبيقـات الهاتـف المحمـول لمقدمـي الخدمـات علـى شـبكة المدفوعـات اللحظيـة بمـا يتيـح للعملاء والبنـوك القيـام بعمليـات التحويـل اللحظيـة مـن خلال أدوات الدفـع االلكترونية وتقديم الخدمـات المصرفية المالئمة لكافـة فئـات المجتمع.
4 القواعد المنظمة لخدمات شبكة المدفوعات اللحظية داخل جمهورية مصر العربية 5
تعريفات عامة
يكون لكل من الكلمات والعبارات اآلتية المعنى المبين لها أدناه أينما وردت في هذه القواعد:
| سـل ـل المر ت العمي حسـابا ـم مـن ة الخص | ام عمليـ | هـي إتمـ | حظي | الدفع الل | |
|---|---|---|---|---|---|
| .ً لحظيـا المسـتفيد العميـل ت لحسـابا | ـا | وإضافته | |||
| إتاحتهـا تتـم التـي نيـة اإللكترو ـة المصرفي | األدوات | هـي | |||
| كة لال شـب مـن خ خدامها رة السـت المصـد | البنـوك | مـن قبـل | كترونية | دفع اإلل | أدوات ال |
| . اللحظيـة | ات | المدفوعـ | |||
| يـح والتـي تت البنـوك مختلـف ـي بيـن غيل البين | كة التشـ | هـي شـب | دفوعات | شبكة الم | |
| ت الخدمـا مـن والعديـد اللحظـي التحويـل | عمليـات | إتمـام | اللحظية | ||
| وك ـك للبنـ اعـد وذل هـا بالقو شـار الي رى الم | ة األخـ | اإلضافيـ | )IPN) | ||
| ـبوع يـام األس طـوال أ سـاعة و مـدار ال | ـا علـى | وعمالئه | |||
| ق والتصديـ العملاء حسـابات إدارة عـن ل | المسـؤو | البنـك | |||
| ية إللكترون الدفـع ا ل أدوات مـن خلا الماليـة | امالتهـم | علـى مع | صدر | البنك الم | |
| ـدة مـن ل المعتم ات العمـ ً إلجـراء فقـا اللـه وو | ة مـن خ | الصـادر | Issuer) | )Bank | |
| ظيـة. ت اللح | مدفوعـا | شـبكة ال | |||
| ات مي خدم غيل مقد مع وتشـ التعاقـد ؤول عن | ك المسـ | هـو البنـ | |||
| يـة ت اللحظ مدفوعـا شـبكة ال عملاء دماتهـم ل | تاحـة خ | الدفـع وإ | ت الدفع | دم خدما | البنك مق |
| ه خاصة ب ترونية ال يـع اإللك ات التوز عيـل قنو | ة إلـى تف | باإلضافـ | PSP) | )Bank | |
| ي نـت البنك ر اإلنتر ال الحص المثـال ى سـبيل | شـمل عل | والتـي ت | |||
| . ل البنكي | المحمـو | والهاتـف | |||
| ت/ لشـركا تشـغيل ا د مـع و ن التعاقـ ؤول عـ | ك المسـ | هـو البنـ | |||
| وذلـك اللحظيـة ات المدفوعـ شـبكة خلال | مـن | التجـار | ابل | البنك الق | |
| ة الخاصـ دفوعـات بـول الم ر مـن ق ت/التجا | الشـركا | لتمكيـن | ) | Acquirer | )Bank |
| قبول وسـائل ن خلال ظيـة مـ ت اللح مدفوعـا | شـبكة ال | بعملاء | |||
| الشـبكة. ن قبـل تمـدة مـ | ات المع | المدفوعـ |
6 القواعد المنظمة لخدمات شبكة المدفوعات اللحظية داخل جمهورية مصر العربية
| ع مات الدف مقـدم خد ع البنك بالعمل م ص لهـا كة مرخ هـو شـر | ع مات الدف مقدم خد | |
|---|---|---|
| دمـات ال | ت مدفوعا لشبكة ال | |
| ل المحمـو الهاتـف طبيقـات خلال ت د�فـع مـن لتقديـم خ | ||
| يـة وذلك ت اللحظ مدفوعـا شـبكة ال ً لقواعـد ـا بهـا وفق الخاصـة | اللحظية | |
| ة ى موافقـ ول علـ د الحصـ جـار بعـ ـراد والت مـن األف لعمالئهـا | Instant | Payment ) |
| Network | Service | |
| ي. المصر مركـزي البنـك ال | ) Provider | |
| دمات مقدم الخ | ||
| ن النيابة ع مختلفـة ب لوجية ال ت التكنو م الخدما كة لتقديـ هـو شـر | كة | جية لشب التكنولو |
| ية ت اللحظ مدفوعـا شـبكة ال خدمات يخـص لـك فيمـا البنـك وذ | ظية | ت اللح المدفوعا |
| صري. ـزي الم ك المرك فقـة البن على موا صـول بعـد الح | Technology ) | |
| ) Service | Provider | |
| ـي ظيـة وه ت اللح لمدفوعـا بشـبكة ا خـاص يـق آمـن هـي تطب | آلمنة | واجهة ا مكتبة ال |
| ء ة بعملا الخاصـ لحساسـة بيانـات ا شـفير ال ة عـن ت المسـؤول | )" Secure | library )SL" |
| ظيـة. ت اللح مدفوعـا شـبكة ال | ||
| رفي ب مص ل حسـا عميل لك اسـطة ال شـاءه بو ن يتم إن هو عنوا | ظي | دفع اللح عنوان ال |
| ل ـن خلا حظيـة م عـات الل ة المدفو ـى شـبك ريفـه عل ويتـم تع | ||
| ت المعامال اسـتقبال الء مـن ـن العم فـع لتمكي مـات الد مقـدم خد | Instant | Payment ) |
| ظي. | )" | Address IPA " |
| فـع اللح نـوان الد داللـة ع الماليـة ب | ||
| ن إلرهابيي هابية وا ـات اإلر ائم الكيان شـمل قو سـلبية: ت القوائم ال | ||
| ـه، وتعديالت ٢٠١٥ ٨ لسـنة ون رقـم ب القانـ بموجـ المنظمـة | ||
| دة ـم المتحـ ابـع لألم ألمـن الت مجلـس ا رة عـن الصـاد والقوائـم | سلبية القوائم ال | |
| أسـلحة انتشـار وتمويـل وتمويلـه ب باإلرهـا الصلـة ذات | ||
| أو يـرى ا البنـك ى يعدهـ ئـم أخـر وأيـة قوا لشـامل، الدمـار ا | ||
| ع إليهـا. ة الرجـو ضـرور |
7
.1 نطاق القواعد
تسري هذه القواعد على كافة البنوك العاملة في جمهورية مصر العربية وتعتبر هذه القواعد والضوابط هي الحد األدنى الالزم لتقديم البنوك ومقدمي خدمات الدفع المصرح لهم من قبل البنك المركزي المصري للخدمات المختلفة من خالل شبكة المدفوعات اللحظية وعلى كافة البنوك أال تكتفى بذلك وأن تتأكد من اتخاذ كافة ما يلزم نحو إدارة المخاطر المرتبطة بتقديم هذا النوع من الخدمات.
١-١ تتضمن هذه القواعد بعض الضوابط واألهداف الرقابية العامة الواجب التوافق معها لتقديم خدمات شبكة المدفوعات اللحظية تسري هذه القواعد فيما يتعلق بتقديم خدمات شبكة المدفوعات اللحظية وذلك دون اإلخالل بالضوابط الرقابية للعمليات المصرفية اإللكترونية السابق صدورها عن البنك المركزي المصري وكذلك التعليمات والقواعد الخاصة بتنفيذ العمليات المصرفية وضوابط مكافحة غسل األموال وتمويل اإلرهاب الصادرة عن البنك المركزي المصري، وإجراءات العناية الواجبة بعمالء البنوك الصادرة عن وحدة مكافحة غسل األموال وتمويل اإلرهاب.
٢-١ ٣-١
8 القواعد المنظمة لخدمات شبكة المدفوعات اللحظية داخل جمهورية مصر العربية
.2 إدارة مخاطر خدمات شبكة المدفوعات اللحظية
المخاطر المرتبطة بخدمات تنفيذ العمليات المصرفية اللحظية من خالل القنوات اإللكترونية يقترن تقديم خدمات تنفيذ العمليات المصرفية اللحظية من خالل القنوات اإللكترونية بالعديد من المخاطر، وبينما ال تعتبر تلك المخاطر جديدة على البنوك إال أن خصائص خدمات المدفوعات اللحظية قد تزيد من درجات المخاطر باإلضافة إلى خلق تحديات جديدة إلدارة تلك المخاطر والتي يتعين على كافة الجهات المعنية بتقديم تلك الخدمات وضع األطر والضوابط الالزمة إلدارة والحد من تلك المخاطر وتتمثل هذه المخاطر فيما يلي وذلك على سبيل المثال ال الحصر: ١-٢
المخاطر االستراتيجية ١-١-٢
تتمثل في قرار تقديم العمليات المصرفية اللحظية ونوع الخدمات ال�مقدمة واختيار الوقت المناسب لتقديمها، ويقصد بذلك على وجه التحديد مدى الجدوى االقتصادية لتقديم هذه الخدمات أو استمرارها وما إذا كانت نسبة العائد على االستثمار سوف تفوق االستثمارات األولية ومصروفات استمرار تقديم هذه الخدمات، كما أن سوء تنفيذ العمليات المصرفية اللحظية والقرارات االستثمارية غير المدروسة يمكنها أن تزيد المخاطر االستراتيجية التي تتعرض لها البنوك.
مخاطر التشغيل / مخاطر المعامالت ٢-١-٢
تتمثل في المخاطر الناجمة عن االحتيال أو األخطاء في تنفيذ المعامالت، أو غيرها من األحداث غير المتوقعة التي قد تؤدى إلى عدم قدرة البنك والشركة على تقديم الخدمات أو تعرض البنك أو عمالئه لخسائر مالية. وبينما تكمن المخاطر في كل المنتجات والخدمات المقدمة، إال أن مستوى المخاطر الخاصة بالمعامالت اللحظية يتأثر بهيكل اإلجراءات والمعامالت البنكية ويتضمن ذلك أنواع الخدمات المقدمة ودرجة تعقيد العمليات والوسائل التكنولوجية المساعدة.
9
مخاطر االلتزام / المخاطر القانونية 3-1-2
تنشأ هذه المخاطر نتيجة تفعيل خدمات الدفع من خالل شبكة المدفوعات اللحظية، وقد تتضمن التحديات التنظيمية / القانونية الخاصة ما يلي:
بالنسبة للبنك المصدر ألدوات الدفع اإللكترونية:
األساليب التي يستخدمها البنك للتحقق من هوية العمالء حائزي أدوات الدفع اإللكترونية المصدرة من قبل البنك.
} عملية التصديق على المعامالت المالية.
} االحتفاظ بالسجالت وكشوف الحسابات.
} االلتزام بالقوانين السارية والخاصة بسرية الحسابات وحقوق العمالء وحماية البيانات الشخصية باإلضافة إلى المسؤولية القانونية للبنوك تجاه العمالء نتيجة احتماالت حدوث أية اختراقات لخصوصية البيانات، القرصنة أو االحتياالت واإلخفاقات التكنولوجية.
}
بالنسبة للبنك مقدم خدمات الدفع:
تفعيل قنوات الدفع الخاصة بالبنك )s'eChannel )الستخدامها من قبل عمالء البنك لتنفيذ المعامالت المالية من خالل شبكة المدفوعات اللحظية.
إبرام التعاقدات مع مقدمي خدمات الدفع )PSPs )الستخدام شبكة المدفوعات اللحظية.
} } مسئولية البنوك القانونية تجاه مقدمي خدمات الدفع لضمان آمن وسرية البيانات والعمل على حماية تلك البيانات، أو أي من اإلخفاقات التكنولوجية األخرى.
} مخاطر االلتزام الناشئة عن الطبيعة المتغيرة للتكنولوجيا والتعديالت الرقابية التي تهدف إلى التعامل مع المشاكل الخاصة بتقديم هذا النوع من الخدمات.
} بالنسبة للبنك القابل:
إبرام التعاقدات مع الشركات والتجار.
} االلتزامات القانونية والتنظيمية الناشئة عن التعامالت مع الشركات والتجار.
}
٤-1-2 مخاطر السمعة
يتزايد مستوى المخاطر المتعلقة بالسمعة وذلك نتيجة تطور النظم وزيادة عدد المستخدمين، وفيما يلي بعض المخاطر التي قد تؤثر على سمعة البنك:
10 القواعد المنظمة لخدمات شبكة المدفوعات اللحظية داخل جمهورية مصر العربية انعدام الثقة نتيجة وجود معامالت غير مصرح بها على حسابات العمالء.
الفشل في تقديم خدمات يمكن االعتماد عليها نتيجة لتكرار تعطل الخدمة أو طول مدة توقفها.
} شكاوى العمالء من صعوبة استخدام الخدمات أو عدم قدرة موظفي خدمة العمالء على حل هذه المشكالت.
} استغالل خدمات التحويل اللحظي عبر البنوك في عمليات غسل األموال أو تمويل اإلرهاب.
} ٥-1-2 مخاطر أمن المعلومات واألمن السيبراني: ينشأ هذا النوع من المخاطر نتيجة احتمال استغالل إحدى الجهات غير المشروعة لنقاط الضعف بأنظمة البنك مما ينتج عنه آثار تتعلق بمستوى سالمة وإتاحة وسرية البيانات.
٢-٢ مسئوليات والتزامات مجلس اإلدارة واإلدارة العليا ١-٢-٢ يتولى مجلس اإلدارة بالبنك مسئولية اإلشراف على إعداد استراتيجية العمل الخاصة وكذا اتخاذ قرار استراتيجي واضح بشأن الخدمات التي سوف يقوم البنك بتقديمها، وعلى األخص يجب على مجلس اإلدارة التأكد مما يأتي: ١-١-٢-٢ توافق خطط تطوير خدمات المدفوعات اللحظية المختلفة مع األهداف االستراتيجية ل�لبنك.
2-١-٢-٢ تحديد مدى قدرة البنك على تقبل المخاطر )Appetite Risk ) وذلك فيما يتعلق بالخدمات المصرفية اللحظية مع ضمان إدراج عمليات إدارة المخاطر المتعلقة بهذه الخدمات في المنهجية العامة للبنك إلدارة المخاطر كما يجب أن تتم مراجعة السياسات والعمليات الحالية والخاصة بإدارة المخاطر وذلك للتأكد من كفايتها لتغطية المخاطر الجديدة التي قد تنتج عن خدمات المدفوعات اللحظية.
3-١-٢-٢ وضع أطر الرقابة الفعالة على المخاطر المرتبطة بتقديم تلك الخدمات بما في ذلك تحديد المسؤوليات والسياسات والضوابط الرقابية إلدارة هذه المخاطر.
4-١-٢-٢ وضع سياسة واضحة للحد من المخاطر المصاحبة للمعامالت الناشئة عن شبكة المدفوعات اللحظية على أن يتم تقييم تلك السياسة بصورة سنوية على أن تشمل تلك السياسة علي األخص النقاط األتية:
التصديق على المعامالت.
التسويات.
عمليات االعتراض )Disputes).
رد العمليات )Refunds).
االحتيال )Fraud).
11 اإلفالس للتجار والشركات المشتركة بالخدمة.
مستوي الخدمة وكفاءتها.
2-٢-٢ يجب على اإلدارة العليا ضمان تحليل المخاطر المرتبطة بالمدفوعات اللحظية حال قيام البنك بتقديم هذه الخدمة والحد منها بالطرق المالئمة، وذلك وفقا لما يأتي: ١-2-٢-٢ تحل�يل المخاطر الخاصة بتنفيذ المعامالت اللحظية قبل إطالقها.
2-2-٢-٢ إعداد إجراءات مناسبة لمراقبة المخاطر التي يتم تحديدها والحد منها.
3-2-٢-٢ المراجعة المستمرة لتقييم نتائج الخدمات المقدمة من خالل شبكة المدفوعات اللحظية وفقا للخطط واألهداف المحددة.
4-2-٢-٢ اإلشراف على التطوير والصيانة المستمرة للبنية التحتية للرقابة األمنية التي توفر الحماية المناسبة لنظم وبيانات المعامالت التي يتم تنفيذها من خالل شبكة المدفوعات اللحظية من أي تهديدات داخلية أو خارجية، ومن أجل ضمان فعالية عملية المعامالت المالية، يجب على اإلدارة العليا التأكد من اتخاذ اإلجراءات اآلتية: 1-4-2-٢-٢ تحديد مسئوليات واضحة خاصة باإلشراف على وضع وإدارة السياسات األمنية الخاصة بالبنك.
2-4-2-٢-٢ توفير الحماية الالزمة لمنع دخول األشخاص غير المصرح لهم إلى بيئة الحاسب اآللي، والتي تتضمن كافة األنظمة الحيوية وخوادم الشبكة وقواعد البيانات والتطبيقات واالتصاالت، واألنظمة األمنية الخاصة بشبكة المدفوعات اللحظية.
3-4-2-٢-٢ توفير الضوابط اإللكترونية الالزمة والتي من شأنها منع أي أطراف داخلية أو خارجية غير مصرح لها من الوصول إلى التطبيقات وقواعد البيانات الخاصة بخدمات شبكة المدفوعات اللحظية ووضع أسس لتحديد حق االطالع على البيانات والذي بدوره يتطلب قيا�م البنك بتصنيف البيانات وتحديد صالحيات الوصول إليها.
5-2-٢-٢ ضمان عدم تقديم البنك خدمات جديدة بالتعاون مع مقدمي خدمات الدفع أو تبنى وسائل تكنولوجية جديدة إال إذا توافرت لدي البنك الخبرات الالزمة التي تمكن من إدارة المخاطر بكفاءة وينبغي ان تتناسب خبرات الموظفين واإلدارة مع الطبيعة الفنية ودرجة تعقيد التطبيقات والتقنيات الخاصة بخدمات المدفوعات اللحظية.
٦-2-٢-٢ قيام إدارتي المراجعة الداخلية وااللتزام تقديم تقييم مستقل وموضوعي لمجلس اإلدارة ولجنة المراجعة واإلدارة العليا عن مدى فعالية الضوابط الداخلية التي يتم تطبيقها للحد من المخاطر الناتجة عن تقديم المدفوعات اللحظية بما في ذلك مخاطر التكنولوجيا ومخاطر غسل األموال وتمويل اإلرهاب.
12 القواعد المنظمة لخدمات شبكة المدفوعات اللحظية داخل جمهورية مصر العربية ٧-2-٢-٢ مراجعة واعتماد الجوانب الرئيسية لعملية الرقابة األمنية الخاصة بالبنك بما يشمل المراجعة الدورية لعمليات اختبار اإلجراءات والنظم األمنية ً - على سبيل المثال إجراء اختبار االختراق دوريا كما هو موضح في البند )3-7( بما في ذلك المتابعة المستمرة للتطورات في النظم األمنية في هذا المجال، وتحميل وإعداد التحديثات الخاصة بالبرامج وحزم الخدمات المناسبة والتدابير الالزمة وذلك بعد إجراء االختبارات المطلوبة.
٨-2-٢-٢ إعداد آلية شاملة ومستمرة إلجراء األبحاث النافية للجهالة Due Diligence والرقابة على عمليات التعهيد وعالقات المتعهد باألطراف الخارجية األخرى التي يتم االعتماد عليهم لتقديم تلك الخدمات مع تركيز اإلدارة العليا على األخص بالنقاط األتية: 1-٨-2-٢-٢ اإللمام الكامل بالمخاطر المترتبة على إبرام أي ترتيبات خاصة باإلسناد أو الشراكة أو الوكالة فيما يتعلق بالنظم الخاصة بشبكة المدفوعات اللحظية باإلضافة إلى توفير الموارد الالزمة لإلشراف على هذه الترتيبات والحصول على موافقة البنك المركزي المصري قبل الشروع في إسناد الخدمات الخارجية.
٢-٨-2-٢-٢ إجراء األبحاث النافية للجهالة الالزمة فيما يتعلق بالكفاءة والبنية التحتية للنظام والقدرة المالية للشريك أو الطرف الخارجي وذلك قبل إبرام أي اتفاقيات خاصة باإلسناد أو الشراكة أو الوكالة.
٣-٨-2-٢-٢ تحديد المسؤوليات التعاقدية لكافة األطراف الخاصة باتفاقيات اإلسناد أو الشراكة أو الوكالة بشكل واضح على سبيل المثال، يتم تحديد مسئوليات توفير المعلومات إلى مقدم خدمات الدفع وتلقيها منه بشكل واضح وضرورة قيام البنك بتحديد المعايير التنظيمية مع ضمان االلتزام بكافة القواعد والقوانين السارية في هذا الشأن.
٤-٨-2-٢-٢ تتضمن تعاقدات خدمات اإلسناد أو الوكالة اتفاقية لعدم اإلفصاح عن المعلومات السرية ألطراف خارجية واتفاقية مستوى الخدمة والتي تشمل على سبيل المثال ال الحصر: تحديد األدوار والمسؤوليات والوقت المطلوب لتنفيذ الخدمة وإجراءات وبيانات التصعيد والعقوبات في حال عدم االلتزام، هذا باإلضافة إلى البنود التي تحفظ حق البنك في التدقيق على المتعهد أو االعتماد على تقارير التدقيق المعتمدة )الصادرة عن جهات تدقيق معتمدة(.
٥-٨-2-٢-٢ خضوع كافة النظم والعمليات الخاصة بخدمات شبكة المدفوعات اللحظية التي تتم من خالل عملية اإلسناد أو الوكالة لنظام إدارة المخاطر وسياسات الخصوصية وأمن المعلومات التي تتفق مع المعايير الخاصة بالبنك.
٦-٨-2-٢-٢ إجراء التدقيق الداخلي و/أو الخارجي بصفة دورية على العمليات التي تتم عن طريق اإلسناد أو الوكالة، وينبغي أال يقل نطاق
13 تغطية أعمال التدقيق عن مثيلتها التي يتم تطبيقها على المستوى الداخلي في البنك.
٧-٨-2-٢-٢ توفير كافة تقارير التدقيق والتقييم لمفتشي قطاع الرقابة واإلشراف بالبنك المركزي المصري.
٨-٨-2-٢-٢ وضع خطط طوارئ مناسبة لخدمات شبكة المدفوعات اللحظية التي تتم عن طريق اإلسناد أو الوكالة والتأكد من اختبارها بشكل دوري.
٩-٨-2-٢-٢ أن تتسم إجراءات فسخ/إنهاء التعاقد بالفاعلية، كما يجب أن تضمن هذه اإلجراءات الحفاظ على استمرارية العمل وسالمة البيانات وكذلك نقلها والتخلص منها.
١٠-٨-2-٢-٢ وبالرغم من قيام البنك بإسناد بعض الخدمات ألطراف ً مسئولية كاملة تجاه مستخدمي النظام خارجية، فإن البنك يظل مسئوال وتجاه التزام األطراف الخارجية بهذه القواعد، والتأكد مما يأتي: االحتفاظ بسجل محدث يشتمل على جميع اتفاقات وتعاقدات اإلسناد واالستعانة باألطراف الخارجية.
وضع حدود إلسناد أكثر من وظيفة إلى مقدم خدمة واحد للحد من مخاطر التركز والتشغيل.
11-٨-2-٢-٢ يجب على اإلدارة العليا التأكد من أن سياسة أمن المعلومات ُ الم َّطب ُ قة بالبنك - والمعتمدة من مجلس اإلدارة ويتم تحديثها بشكل دوري وإنها تراعي الخدمات المقدمة من خالل شبكة المدفوعات اللحظية، ويسهم ذلك في تحديد السياسات واإلجراءات والضوابط الرقابية الالزمة لحماية العمليات البنكية من االختراقات واالنتهاكات األمنية، كما يحدد المسؤوليات الفردية وكذا يوضح آليات التنفيذ واإلجراءات التي يجب اتخاذها في حال مخالفة هذه السياسات واإلجراءات.
١٢-٨-2-٢-٢ تتولى اإلدارة العليا تعزيز ونشر الثقافة األمنية على كافة مستويات البنك عن طريق التأكيد على التزامهم بالمعايير العالية ألمن المعلومات، ونشر هذه الثقافة على كافة العاملين بالبنك.
١٣-٨-2-٢-٢ ضرورة أن تكون منهجية التأمين قائمة على تحليل المخاطر والتهديدات الخاص�ة، مع األخذ في االعتبار المخاطر المتأصلة )Risk Inherent )والضوابط الرقابية التعويضية )Compensating Controls )من أجل الوصول لمستوى من المخاطر المتبقية )Residual Risk )التي تقع ضمن مستويات المخاطر المقبولة.
14 القواعد المنظمة لخدمات شبكة المدفوعات اللحظية داخل جمهورية مصر العربية
٣-٢ ضوابط مكافحة غسل األموال وتمويل اإلرهاب
١-٣-٢ يجب على البنوك المشتركة بشبكة المدفوعات اللحظية االلتزام بما يلي: االلتزام بقانون مكافحة غسل األموال الصادر بالقانون رقم 80 لسنة 2002 وتعديالته والئحته التنفيذية وتعديالتها والضوابط الرقابية للبنوك في شأن مكافحة غسل األموال وتمويل اإلرهاب الصادرة عن البنك المركزي المصري، وإجراءات العناية الواجبة بالعمالء السارية الصادرة عن وحدة مكافحة غسل األموال وتمويل اإلرهاب.
} اتباع االرشادات الصادرة للبنوك في شأن تنفيذ آليات تنفيذ العقوبات المالية المستهدفة وكذا إرشادات المعنيين بالتنفيذ في شأن قوائم الكيانات اإلرهابية واإلرهابيين بشأن الوصول إلى القوائم المحدثة )المنشورة على موقع وحدة مكافحة غسل األموال وتمويل اإلرهاب eg.org.mlcu.www تحت بند القوائم السلبية(.
ايالء عناية كافية لما يتفق مع طبيعة الخدمة من المؤشرات االسترشادية الواردة بالبند السابع )المؤشرات االسترشادية للتعرف على العمليات التي يشتبه في أنها تتضمن غسل أموال أو تمويل إرهاب( من الضوابط الرقابية للبنوك في شأن مكافحة غسل األموال وتمويل اإلرهاب الصادرة عن البنك المركزي المصري.
في حالة االشتباه في أية عمليات تتم من خالل شبكة المدفوعات اللحظية وتتضمن غسل أموال أو متحصالت جريمة أصلية أو تمويل إرهاب القيام على الفور بإخطار وحدة مكافحة غسل األموال وتمويل اإلرهاب بشأنها، وذلك وفقا ألحكام قانون مكافحة غسل األموال الصادر بالقانون رقم 80 لسنة 2002 وكافة تعديالتها.
} } } تطبيق إجراءات فعالة تشمل استخدام النظم اآللية للكشف عن مدى إدراج العميل ً للتعريف الوارد بإجراءات العناية الواجبة بعمالء البنوك والمستفيد الحقيقي )وفقا الصادرة عن الوحدة وتعديالتها( على القوائم السلبية قبل التعامل بما يشمل قيام بنك مرسل التحويل بالكشف عن مدي ادراج طالب التحويل على القوائم السلبية قبل تنفيذ التحويل وقيام بنك متلقي التحويل بالكشف عن مدي ادراج المستفيد على القوائم السلبية قبل الصرف له أو اإلضافة لحسابه.
} متابعة موقع الوحدة بشكل يومي للتعرف على التحديثات على القوائم السلبية سواء بالحذف أو اإلضافة أو التعديل.
} ً لما ورد بكل االحتفاظ بالسجالت والمستندات الخاصة بالعمالء والعمليات وفقا من قانون مكافحة غسل األموال الصادر بالقانون رقم 80 لسنة 2002 وتعديا�لته والئحته التنفيذية وتعديالتها والضوابط الرقابية للبنوك في شأن مكافحة غسل األموال وتمويل اإلرهاب الصادرة عن البنك المركزي المصري }
15
.٣ القواعد العامة المنظمة للبنوك المشاركة في شبكة المدفوعات اللحظية
يتعين على البنك الراغب في الحصول على ترخيص لالشتراك في شبكة المدفوعات اللحظية التقدم للحصول على الموافقات الالزمة من البنك المركزي المصري ومراعاة ما يلي: االلتزام بالقواعد الصادرة عن البنك المركزي المصري وتحديثاتها.
} االلتزام بالقواعد الصادرة عن شبكة المدفوعات اللحظية وتحديثاتها.
} االلتزام بالمواصفات الفنية للربط الفني وقواعد تشغيل شبكة المدفوعات اللحظية وتحديثاتها.
}
١-٣ التزامات البنك المصدر )Bank Issuer )ألدوات الدفع اإللكترونية
١-١-٣ البنك المصدر هو المسؤول عن توثيق ومصادقة بيانات أدوات الدفع اإللكترونية الخاصة بعمالئه لالشتراك في شبكة المدفوعات اللحظية من خالل أي من تطبيقات مقدمي خدمات الدفع )PSPs )وفق الضوابط واإلجراءات المعتمدة من قبل البنك المركزي المصري.
٢-١-٣ عدم قيام البنك المصدر بإتاحة أي بيانات تخص حسابات العمالء قبل نجاح عملية المصادقة اإللكترونية لعمالئه.
٣-١-٣ البنك المصدر هو المسؤول الرئيسي عن التصديق على أي معامالت لعمالئه المتعاملين على شبكة �المدفوعات اللحظية سواء من خالل تطبيقات مقدمي خدمات الدفع او من خالل قنوات البنك اإللكترونية.
٤-١-٣ يتعين على البنك في ضوء تقييمه للمخاطر المرتبطة بالخدمة قيام البنك بوضع الحدود المناسبة لقيم وعدد العمليات الشهرية وفقا ورؤية إدارة المخاطر لدي البنك وبما ال يتجاوز الحدود التالية في حال قيام العميل باستخدام تطبيقات مقدمي الخدمة المعتمدين: الحد األقصى لقيمة المعاملة: 50,000 )خمسون ألف( جنيها مصريا.
} الحد األقصى اليومي لقيمة المعامالت: 60,000, )ستون ألف( جنيها مصريا.
الحد األقصى الشهري لقيمة المعامالت: 200,000 )مائتان ألف( جنيها مصريا.
} } ولمحافظ البنك المركزي المصري أن يعدل تلك الحدود القصوى.
16 القواعد المنظمة لخدمات شبكة المدفوعات اللحظية داخل جمهورية مصر العربية ٥-١-٣ يمكن للبنك زيادة تلك الحدود في حال قيام البنك باستخدام وسائل تصديق ً على ترخيص البنك كبنك مقدم إضافية من خالل قنوات البنك اإللكترونية وذلك بناءا خدمات دفع من خالل قنوات البنك اإللكترونية )Bank PSP authorized-Pre). ٦-١-٣ إتاحة استخدام العمالء لحساباتهم المصرفية من خالل تطبيقات مقدمي خدمات الدفع المعتمدين والتي تشمل إتاحة أنواع الحسابات المصرفية التالية كحد أدني للتعامل على شبكة المدفوعات اللحظية )حساب جاري-حساب توفير(.
٧-١-٣ توفير أدوات الدعم الفني الكاملة للعمالء بما يتناسب مع مستوي أداء الخدمات المصرفية.
٨-١-٣ ضرورة إخطار العمالء بالرسوم الخاصة بالمعامالت بصوره واضحة قبل تنفيذ أي معاملة.
٩-١-٣ ضرورة إخطار العمالء بالمعامالت التي تمت على أدوات الدفع اإللكترونية الخاصة بهم بصوره واضحة من خالل رسائل نصية أو أية وسيلة أخرى يتم اعتمادها ١٠-١-٣ تخضع رسوم المعامالت المنفذة من خالل التطبيقات الخاصة بمقدمي خدمات الدفع )PSPs )إلى قواعد شبكة المدفوعات اللحظية.
2-3 التزامات البنك مقدم خدمات الدفع لشبكة المدفوعات اللحظية )Bank Psp)
١-٢-٣ يمكن للبنك مقدم خدمات الدفع الحصول على التراخيص التالية: مقدم خدمات دفع من خالل قنوات البنك اإللكترونية )authorized-Pre Bank PSP).
} مقدم خدمات الدفع من خالل تطبيقات مقدمي خدمات الدفع )Fledge Full Bank PSP).
} حال قيام البنك بالحصول على ترخيص تقديم خدمات الدفع من خالل قنوات البنك اإللكترونية )Bank PSP authorized-Pre )يلتزم البنك بإتاحة خدمات شبكة المدفوعات اللحظية من خالل القنوات اإللكترونية المختلفة للبنك فقط ال غير وذلك مع االلتزام بالمحددات التالية: } يمكن للبنك تفعيل القنوات اإللكترونية مثل اإلنترنت البنكي )Internet Banking )وتطبيق الهاتف المحمول البنكي )Banking Mobile).
ًيقوم البنك بتحديد الحدود القصوى لعدد وقيم المعامالت اليومية والشهرية وفقا لتقييم المخاطر لدي البنك.
يقتصر تفعيل تلك الخدمة على قنوات البنك اإللكترونية الخاصة بالبنك فقط ال غير وللحسابات الصادرة عن البنك فقط.
17 2-٢-٣ حال قيام البنك بالحصول على ترخيص مقدم خدمات الدفع )Fledge Full Bank PSP )فيمكن للبنك التعاقد مع مقدمي خدمات الدفع وذلك بعد استيفاء كافة الموافقات الالزمة من البنك المركزي المصري ومراعاة ما يلي: } يتم السماح للبنك مقدم الخدمة )Bank PSP Fledge Full )بإطالق عدد 5 تطبيقات كحد أقصي مع مقدمي الخدمة المعتمدين.
ولمحافظ البنك المركزي المصري أن يقوم بتعديل عدد مقدمي خدمات الدفع التي يتم السماح للبنك مقدم الخدمة بالتعاقد معهم.
ُيسمح للبنك مقدم خدمات الدفع التعاقد مع مقدمي خدمات الدفع لتوفير القنوات اإللكترونية لعمالء شبكة المدفوعات اللحظية من خالل تطبيق هاتف محمول خاص بمقدم خدمات الدفع يستخدم من قبل العمالء لتنفيذ عمليات مالية مختلفة من خالل حساباتهم لدي البنوك المصدرة.
} يسمح لمقدم خدمات الدفع )PSP )بالتعاقد مع بنك واحد فقط ال غير كبنك مقدم خدمات الدفع )Bank PSP).
} يكون البنك مقدم خدمات الدفع مسئول عما يلي: التعاقد مع مقدمي الخدمة وإتاحة خدمتهم للعمالء وذلك بعد الحصول على موافقة البنك المركزي المصري.
}
توافق والتزام مقدمي خدمات الدفع )PSPs )بكافة التعليمات والقواعد الصادرة عن البنك المركزي المصري وشبكة المدفوعات اللحظية.
الربط المباشر مع شبكة المدفوعات اللحظية وتفعيل تطبيق الواجهة اآلمنة )SL "library Secure )"الخاصة بشبكة المدفوعات اللحظية على كافة تطبيقات مقدمي خدمات الدفع.
معامل التصديق األول )authentication of factor st1 )من خالل عملية الربط مع هاتف العميل المحمول )Binding Hard )وذلك بالتعاون ً لقواعد شبكة المدفوعات اللحظية.مع مقدم خدمات الدفع )PSP )وفقا يتم معالجة كافة البيانات التي تتسم بالسرية من خالل تطبيق الواجهة اآلمنة )SL "library Secure )"والتي تشمل على سبيل المثال ال الحصر على بيانات التصديق وتأكيد الهوية، الرقم السري الخاص بحساب العميل )IPN PIN)، الرقم السري المتغير )OTP - Password Time One)، عرض رصيد العميل وكذلك كشف الحساب المختصر الخاص به.
يحظر علي مقدم خدمات الدفع )PSP )تسجيل أو طلب او عرض اي ً والمشار إليها كذلك في من البيانات التي تتسم بالسرية المشار لها سابقا قواعد شبكة المدفوعات اللحظية خارج تطبيق الواجهة اآلمنة )Secure SL "library)".
التأكد من أن كافة المعامالت والمعلومات المعالجة بواسطة مقدمي خدمات الدفع )المرخص لهم تتم على أنظمة مؤمنة متواجدة داخل جمهورية مص�ر العربية( وال يتم معالجة هذه المعامالت خارج جمهورية مصر العربية إال بعد الحصول على موافقة البنك المركزي المصري.
إتمام عمليات التفتيش الدوري على مقر وأنظمة مقدمي خدمات الدفع للتأكد من توافق قواعد العمل التي يتم إتباعها مع القواعد المصدرة من البنك المركزي المصري وشبكة المدفوعات اللحظية وشروط التعاقد الخاصة بالبنك.
يتعين على البنك في ضوء تقييمه للمخاطر المرتبطة بالخدمة القيام بوضع ً ألعلي المعايير.اآلليات والسبل الالزمة للتأكد من تشغيل المنظومة بكفاءة وفقا
٣-3 التزامات البنك القابل )Bank Acquirer )من خالل شبكة المدفوعات اللحظية
١-3-٣ يلتزم البنك القابل لمعامالت شبكة المدفوعات اللحظية بقبول كافة المعامالت ً والمواصفات الفنية القياسية المحددة من قبل شبكة المدفوعات اللحظية.وفقا ٢-٣-٣ يلتزم البنك القابل بقبول كافة المعامالت من قبل أي تطبيق/ قناة الكترونية معتمدة من قبل البنك المركزي المصري وشبكة المدفوعات اللحظية.
٣-٣-٣ اعتماد وسيلة القبول اإللكتروني من قبل البنك المركزي المصري وشبكة المدفوعات اللحظية.
٤-٣-٣ إمكانية قيام البنك القابل بالتعاقد مع التجار/الشركات مباشرة أو من خالل االستعانة بميسري عمليات الدفع )Facilitator Payment )بعد الحصول على الموافقات الالزمة من قبل البنك المركزي المصري.
الخدمات المتاحة من قبل شبكة المدفوعات اللحظية 4-3 يمكن للبنوك تقديم الخدمات التالية للعمالء من خالل شبكة المدفوعات اللحظية: ١-4-٣ المعامالت المالية: تحويل األموال.
عمليات الشراء.
2-4-٣ المعامالت غير المالية: االستعالم عن الرصيد.
كشف الحساب المختصر.
تعيين رقم سري )PIN IPN )لكل حساب مصرفي مسجل 3-4-٣ تسجيل العمالء من خالل تطبيقات مقدمي خدمات الدفع وتشمل ما يلي: إنشاء عنوان دفع لحظي لكل حساب )IPA - Address Payment Instant). ربـط رقـم الهاتـف المحمـول بعنـوان الدفـع اللحظـي )Number Mobile IPA to Mapped).
تفعيل الحسابات على شبكة المدفوعات اللحظية وتعيين الرقم السري للحساب.
...
CENTRAL BANK OF ECIPI يجب على جميع أطراف منظومة شبكة المدفوعات اللحظية االلتزام بتنفيذ جميع المعامالت المالية والغير مالية بصورة لحظية على مدار ال 24 ساعة وطوال العام وفقا لقواعد شبكة المدفوعات اللحظية.
١-٤ ٢-٤ يحق للبنك االستعانة بمقدم خدمة تكنولوجية )- Provider Service Technology TSP )بعد اعتماده من قبل البنك المركزي المصري وشبكة المدفوعات اللحظية للقيام ببعض المهام التكنولوجية بالنيابة عن البنك كتوفير وإدارة نظم البنك اإللكترونية المتعاملة مع شبكة المدفوعات اللحظية على أن يكون هناك تعاقد مباشر بين البنك ومقدم الخدمات التكنولوجية.
٣-٤ االلتزام بتعليمات حما�ية حقوق العمالء الصادرة عن البنك المركزي المصري في فبراير 2019 وكافة تعديالتها، كما يلتزم كافة أطراف المنظومة بالنقاط التالية على سبيل المثال ال الحصر: ١-٣-٤ إخطار العمالء برسوم المعامالت قبل تنفيذها.
٢-٣-٤ عدم استخدام بيانات العمالء بما يخالف الشروط واألحكام التي تمت موافقة العمالء عليها.
ً بنتيجة المعاملة المنفذة )مقبولة أو مرفوضة(.٣-٣-٤ إخطار العمالء لحظيا ً من وإلى حسابات العمالء.٤-٣-٤ إضافة أو خصم المبالغ المالية لحظيا ٥-٣-٤ توفير وسائل خدمة ودعم فني مناسبة للعمالء. ٦-٣-٤ توفير آليات لقيام العمالء بعمليات االعتراض.
١-٤-٤ موافقة العميل علي الشروط واألحكام الخاصة بالخدمة وذلك بعد تحقق البنك ً للشروط المشار اليها بالبند الخاص بإدارة المصدر ألدوات الدفع اإللكترونية وفقا وسائل التصديق والذي بدوره يعد موافقة من قبل العميل على تنفيذ المعامالت من خالل التطبيق الخاص بمقدم الخدمة.
فيما يخص تطبيقات الهاتف المحمول الخاصة بمقدمي الخدمات، فيلتزم البنك مقدم خدمات الدفع بالتأكد مما يلي: ٤-٤ ٢-٤-٤ ُ يفضل ان تكون لغة التطبيق موحدة مع لغة نظام التشغيل )Operating System )الخاص بجهاز المحمول مع اتاحة حرية االختيار للعميل في تغيير اللغتين العربية/اإلنجليزية فيما يخص عناوين المستفيدين )Addresses Payment )فيتم االلتزام بما يلي: يتم السماح بتبادل المعامالت المالية من خالل أحد عناوين المستفيدين التالية: رقم الحساب وكود البنك.
٥-٤ z } رقم الحساب المصرفي الدولي )IBAN).
} رقم محفظة هاتف محمول مقبولة من خالل المحول القومي لخدمات الدفع باستخدام الهاتف المحمول.
} 22 القواعد المنظمة لخدمات شبكة المدفوعات اللحظية داخل جمهورية مصر العربية األكواد اإلشارية الخاصة بشبكة المدفوعات اللحظية والتي تشمل ما يلي: } ـ عنوان المدفوعات اللحظي )IPA (Address Payment Instant.
ـ رقم الهاتف المحمول )Number Mobile).
ـ الكود التعريفي للتاجر )ID Merchant).
فيما يخص عنوان الدفع اللحظي فيتم اإللتزام بالمعايير التالية: ٦-٤ ١-٦-٤ إمكانية تعيين عنوان دفع لحظي )IPA - Address Payment Instant ) لكل حساب مصرفي يتم إضافته من خالل تطبيقات مقدمي خدمات الدفع.
٢-٦-٤ عنوان الدفع اللحظي هو عنوان ال يتكرر على مستوي الشبكة وتعود ملكيته األصلية إلي العميل ويقوم على حفظه مقدمي خدمات الدفع.
٣-٦-٤ يتم تعيين المميز اإلشاري الخاص بمقدم خدمات الدفع من خالل شبكة المدفوعات اللحظية.
فيما يخص إدارة وسائل التصديق: ٧-٤ ١-٧-٤ تخضع كافة المعامالت المالية المنفذة من خالل شبكة المدفوعات اللحظية لعامل توثيق مزدوج )authentication of factors two).
فيما يخص المعامالت المنفذة من خالل تطبيقات مقدمي خدمات الدفع )PSPs): ٨-٤ ١-٨-٤ التأكد من التزام مقدم خدمات الدفع بكافة اإلجراءات الواجبة للمحافظة على تنفيذ عملية التصديق األول )authentication of factor st1 )بشكل سليم والتأكد من إتمام عملية الربط مع هاتف العميل المحمول )Binding Hard )والذي يقوم بربط بصمة الجهاز المحمول )MDF - Fingerprint Device Mobile )ورقم ً لقواعد شبكة ً الهاتف المحمول )بناء على عملية التنشيط( في أنظمة مقدم الخدمة وفقا المدفوعات اللحظية.
٢-٨-٤ التزام البنك المصدر بأن يكون الرقم السري الخاص بكل حساب مصرفي داخل شبكة المدفوعات اللحظية )PIN IPN )هو معامل التصديق الثاني )factor nd2 authentication of )ويكون مسؤولية البنك المصدر ألداة الدفع اإللكترونية ،ً على أن يقوم العميل بتعيين )Bank Issuer )الذي يدير الحساب المصرفي منفردا رقم سري )PIN IPN )خاص بكل حساب يقوم بتسجيله من خالل تطبيقات الدفع المقدمة من خالل مقدمي خدمات الدفع.
٣-٨-٤ التزام البنك المصدر بإنشاء الرقم السري عند إضافة الحساب ألول مره على أي من تطبيقات الدفع وذلك من خالل استخدام مكتبة التأمين المشفرة الخاصة بشبكة المدفوعات اللحظية )Library Secure IPN).
٤-٨-٤ التزام البنك المصدر بالحفاظ على الرقم السري الخاص بحساب العميل بصورة مشفرة وفي كل األحوال يحظر على أطراف المنظومة بما فيهم شبكة المدفوعات اللحظية تسجيل او حفظ الرقم السري الخاص بالعميل )أو اي بيانات سرية آخري( وتكون مسؤولية حفظ وحماية الرقم السري هي مسئولية مشتركة بين البنك المصدر للحساب والعميل الخاص به.
٥-٨-٤ فيما يخص المعامالت المنفذة من خالل قنوات البنك اإللكترونية )s'eChannel)، تخضع العمليات المنفذة من خالل قنوات البنك اإللكترونية )-Pre s'eChannel through transaction authorized )لنفس معايير المصادقة ً للموافقات الخاصة بها والصادرة عن البنك المركزي الخاصة بهذه القنوات وفقا المصري.
فيما يخص إدارة الرقم السري من خالل شبكة المدفوعات اللحظية )PIN IPN ) فيلتزم البنك بما يلي: ٩-٤ ١-٩-٤ الرقم السري يتكون من 6 ارقام وال يحتوي على حروف او رموز خاصة ٢-٩-٤ ال ينبغي السماح باألرقام السهلة كرقم سرى مثال: 111111 أو .123456 ٣-٩-٤ يجب تشفير الرقم السري باستخدام آلية تشفير قوية ال يوجد لها أي ثغرات او نقاط ضعف معروفة وان يكون طول مفتاح التشفير مناسب.
٤-٩-٤ أن الرقم السري ال يتم معالجته او ارساله او تخزينه كنص واضح وأال يظهر الرقم السري بشكل مقروء على أي جزء من شبكة المدفوعات اللحظية.
٥-٩-٤ التزام البنك المصدر ألداة الدفع اإللكترونية بالتنبيه على العمالء ان الرقم السري )PIN IPN )هو أساس تأمين حساباتهم وضرورة عدم تبادله مع اي طرف آخر.
٦-٩-٤ أن يتم تعليق التعامل على أداة الدفع من خالل شبكة المدفوعات اللحظية بشكل مؤقت عند تكرار دخول الرقم السري بطريقه خاطئة مع تحديد آليه واضحة إلعادة التفعيل.
فيما يخص االستعانة بمقدمي الخدمات التكنولوجية )Service Technology TSP - Provider )فيلتزم البنك باإلجراءات التالية: ١٠-٤ ١-١٠-٤ تحديد المسؤوليات التعاقدية للبنك ومقدم الخدمة في التعاقد بشكل واضح على سبيل المثال ال الحصر، يتم تحديد مسؤوليات إدارة وتشغيل األنظمة بشكل واضح ومسؤوليات كل طرف.
٢-١٠-٤ بنود تخص بإدارة البنك لبيانات عمالءه والتزام مقدم الخدمة بالحفاظ علي سرية تلك البيانات وعدم اإلفصاح عنها أو استخدامها إال في حدود التعاقد مع البنك أو لألسباب القانونية المعتد بها.
٣-١٠-٤ وضع بنود تخص حق البنك والبنك المركزي في الرقابة والتفتيش على أداء مقدم الخدمة ودورية ذلك.
٤-١٠-٤ أن تتسم إجراءات فسخ/إنهاء التعاقد بالفاعلية، كما يجب أن تضمن هذه اإلجراءات الحفاظ على استمرارية العمل وسالمة البيانات وكذلك نقلها والتخلص منها.
24 القواعد المنظمة لخدمات شبكة المدفوعات اللحظية داخل جمهورية مصر العربية ٥-١٠-٤ ال يصرح لمقدم الخدمة بالتعاقد مع شركات أخرى )أطراف ثالثة( من الباطن )Contracting-Sub )للقيام باألعمال الموكلة له من قبل البنك من خالل هذا التعاقد إال بالموافقة الكتابية من البنك مع بيان قائمة باألعمال المسندة من قبل مقدم الخدمة لألطراف اآلخرين.
٦-١٠-٤ التزام مقد�مي الخدمات من خالل العقود المبرمة معهم بإخطار البنك عن أية أحداث يمكن أن يكون لها أثر كبير على مقدرتهم باالضطالع بالمهام الموكلة إليهم بالفاعلية المطلوبة.
٧-١٠-٤ ضرورة التزام مقدم الخدمة بإخطار البنك في حالة حدوث أي حاالت قد يشتبه أنها غير مشروعه سواء كانت فعلية أو مشتبه بها أو انقطاع / عدم ثبات الخدمة على األنظمة.
.٥ مسؤوليات شركة بنوك مصر شركة بنوك مصر هي المسؤولة عن إصدار قواعد شبكة المدفوعات اللحظية وتحديثاتها وذلك بعد استيفاء موافقة البنك المركزي المصري.
١-٥ تحدد شركة بنوك مصر اللوائح والمبادئ التوجيهية واألدوار والمسؤوليات وااللتزامات الخاصة بالمشاركين فيما يتعلق بشبكة المدفوعات اللحظية ويشمل ذلك ً أيضا معالجة المعامالت وتسويتها، وإدارة المنازعات.
٢-٥ تدير شركة بنوك مصر شبكة المدفوعات اللحظية )Payment Instant - IPN Network).
٣-٥ تحديد العموالت التبادلية ألطراف المنظومة.
٤-٥ ٥-٥ تحديد القواعد واألطر التنظيمية إلنشاء عنوان الدفع اللحظي وتحديثها بصورة دورية بما يضمن وجود قائمة بالعناوين المحظور استخدامها على المنظومة.
تقوم شركة بنوك مصر بتسوية كافة معامالت شبكة المدفوعات اللحظية من خالل منظومة التسويات اللحظية للمدفوعات كبيرة القيمة )Gross Time Real Settlement )الخاصة بالبنك المركزي على حسابات الب�نوك األعضاء بالشبكة. ٦-٥ تلتزم شركة بنوك مصر بكافة القواعد الصادرة عن البنك المركزي المصري.
٧-٥ .٦ التسويات تتم عملية التسوية في حسابات البنوك داخل البنك المركزي المصري من خالل منظومة التسوية اللحظية بالجنيه المصري.
١-٦ يجب على البنك في ضوء تقييمه لمخاطر التسوية التأكد من وجود رصيد كاف لتسوية كافة المعامالت.
٢-٦
.٧ الضوابط الرقابية على خدمات شبكة المدفوعات اللحظية ١-٧ سرية وسالمة المعلومات
١-١-٧ يتضمن تقديم خدمات التحويل اللحظية من خالل تطبيقات الدفع اإللكترونية لمقدمي خدمات الدفع تداول بيانات سرية عبر تطبيقات الهاتف المحمول والشبكة الداخلية للبنك لذلك يجب على البنوك ومقدمي خدمات الدفع لشبكة المدفوعات اللحظية استخدام األساليب المناسبة للحفاظ علي سرية وسالمة المعلومات المتداولة عبر الشبكة الداخلية والخارجية للبنك وذلك بما يتوافق مع متطلبات شبكة المدفوعات اللحظية.
٢-١-٧ يجب على البنوك اختيار تكنولوجيا التشفير التي تتناسب مع حساسية وأهمية المعلومات وكذا درجة الحماية المطلوبة، وفي هذا السياق يوصى دائما بتبني البنوك ،ً حيث تخضع نقاط لتكنولوجيا التشفير التي تستخدم طرق التشفير المتعارف عليها دوليا القوة في هذه الطرق الختبارات شاملة. وينبغي أن تطبق البنوك الممارسات السليمة �إلدارة مفاتيح التشفير الالزمة لحماية هذه المفاتيح وذلك بما يتوافق مع متطلبات شبكة المدفوعات اللحظية.
٣-١-٧ قيام البنك بتأمين عملية تبادل أي بيانات أو ملفات بين البنك وشركاءه من مقدمي خدمات الدفع على أن تكون البيانات او الملفات مشفرة ويكون التبادل من خالل القنوات التالية:
خط ربط مؤمن )Line Leased).
}
شبكة ربط افتراضية )Network Private Virtual).
}
٤-١-٧ في حالة استخدام مقدمي خدمات الدفع بنية تحتية خارج مقره من قبل مقدمي البنية التحتية، فيجب على البنك الحصول على موافقة من البنك المركزي المصري قبل التعاقد مع مقدم خدمات الدفع.
٥-١-٧ أال يتم اتصال البنك واألنظمة الخاصة به بالشبكة العالمية )االنترنت( أو أي من الشبكات غير المعتمدة دون الحصول على موافقة البنك المركزي المصري.
ً تنفيذ ضوابط أخرى بخالف أساليب التشفير، وذلك ٦-١-٧ يجب على البنوك أيضا للحفاظ على سرية وسالمة المعلومات التي يتم تداولها من خالل المنظومة ويتضمن هذا على سبيل المثال ال الحصر: الضوابط وأعمال التدقيق الالزمة للتأكد من سالمة تسوية أرصدة العمالء بعد تنفيذ المعامالت باإلضافة إلى التأكد من سالمة البيانات التي يتم نقلها بين األنظمة المختلفة.
} مراقبة المعامالت غير المعتادة بما في ذلك المعامالت محل االشتباه أو السجالت التي يشتبه التالعب �فيها } يجب على البنوك التأكد من تشفير العملية بداية من قناة الدفع المستخدمة إلجراء ً إلى أجهزة الخادم Servers الخاصة بتنفيذ أمر الدفع.العملية وصوال }
26 القواعد المنظمة لخدمات شبكة المدفوعات اللحظية داخل جمهورية مصر العربية 7-١-٧ ينبغي على البنك تطبيق سياسة الفصل بين المهام، وذلك للتأكد من عدم إمكانية قيام أي موظف داخل البنك بأي عمل غير مصرح له وإخفائه، ويتضمن هذا على سبيل المثال ال الحصر، إدارة حساب المستخدم وتنفيذ المعامالت وحفظ وإدارة مفاتيح الشفرة الخاصة بالنظام وإدارة النظام Administration System وتشغيله System Operations.
8-١-٧ يجب الحد من تخزين بيانات على الذاكرة الداخلية للهاتف المحمول، وفى حالة االحتفاظ باي بيانات على الهاتف المحمول - للضرورة القصوى - يجب استخدام الوسائل المناسبة لحماية ما تم تخزينه.
9-١-٧ يجب بان يقوم تطبيق الهاتف المحمول بتنفيذ أليات كشف كافية تضمن ان الهاتف المحمول ليس عرضة للمخاطر مثل Rooted/Jailbroken مثال: يقوم المخترق بتحميل برنامج على الجهاز المحمول يمكنه من الدخول إلى الملفات السرية الخاصة بالمستخدم.
10-١-٧ يجب بأن يتم حماية تطبيقات الهاتف المحمول ضد أي لقطات تلقائية Screenshots والتي يمكن أن تتم عن طريق برامج تجسس تعمل على نفس جهاز الهاتف المحمول حال وجود إمكانية فنية لتطبيقه.
11-١-٧ يجب أن تخضع أنظمة البنك وكذلك تطبيقات مقدمي خدمات الدفع إلى ُ اختبارات م ُ تعددة قبل التشغيل للتأكد من قدرتها على القيام بالمهام الموكلة لها وفى حالة تحديث تلك األنظمة يتم إعادة اختبارها بذات الوسائل لضمان استمرار سالمتها.
12-١-٧ يجب استخدام وتفعيل المصادقة الثنائية )authentication factor2- ) في جميع التطبيقات.
٢-٧ البنية التحتية والمتابعة األمنية للمنظومة
1-2-٧ يجب على البنوك إنشاء بيئة تشغيل مالئمة تعمل على دعم وحماية أنظمتها الخاصة المرتبطة بتطبيقات شبكة المدفوعات اللحظية، بحيث تحتوي تلك البيئة على بنية تحتية آمنة لتلك الخدمات - والتي تشمل على سبيل المثال ال الحصر إعداد خوادم الشبكة وأنظمة اكتشاف ومنع االختراق وأجهزة جدار الحماية Firewall وأجهزه التوجيه وخالفه - كما تحتوي أيضا على إجراءات حماية مالئمة للشبكات الداخلية وروابط الشبكات مع الجهات الخارجية بما يشمل شركة بنوك مصر بصفتها الشركة المسؤولة عن شبكة المدفوعات اللحظية.
2-2-٧ تقع المسؤولية الكاملة لتقديم الخدمات على البنوك المشتركة بالخدمة والتي يجب عليها بذل العناية الواجبة لضمان أمان كافة المعامالت، وكذا مراقبة كل من األنظمة المتصلة بالشبكة والبنية التحتية بصورة استباقية بشكل دائم على مدار 24 ساعة طوال األسبوع، وذلك لرصد وتسجيل أي مخالفات أمنية�، أو أي اختراقات، أو نقاط ضعف مشتبه فيها، وكذلك أي أنشطة غير طبيعية محل اشتباه تتم على األنظمة.
3-2-٧ يجب على البنوك التأكد من وجود مسارات التدقيق Trails Audit لكل المعامالت المصرفية التي تتم عبر أنظمة/تطبيقات شبكة المدفوعات اللحظية كما يجب
27 ُ ضمان حماية تلك المسارات ضد أي تالعب أو تغيير غير م َّصرح به، وأن يتم االحتفاظ ًً للمتطلبات القانونية وطبقابها لمدة زمنية تتوافق مع ما تحدده سياسات البنك تطبيقا للضوابط والتعليمات الرقابية الصادرة في هذا الشأن ويهدف هذا اإلجراء إلى تسهيل إجراءات التحقيق في أي عملية احتيال، وحل أي نزاع أو شكوى إذا لزم األمر وعند تحديد ما سيتم االحتفاظ به في مسارات التدقيق، يمكن األخذ في االعتبار األنواع التالية ٍ من األنشطة وذلك كحد أدنى: } عمليات فتح أو تعديل أو إغالق حساب مستخدم على االنظمة المختلفة الخاصة بالخدمة.
أي عملية ذات تبعات مالية.
} أي تصريح يمنح مستخدم لتجاوز أي من الحدود أو الصالحيات.
أي تعديل أو إضافة أو إلغاء لصالحيات المستخدمين أو امتيازات خاصة بالدخول على األنظمة } } 4-2-٧ يجب أن يتم مراجعة كافة ما يتم إصداره من سجالت تدقيق Logs Audit وإنذارات التأمين اللحظية Alerts Security Time Real -مثل إنذارات أنظمة كشف ومنع االختراق - بواسطة الموظفين أو فرق العمل المعنية وذلك بطريقة دورية وفى ا�لوقت المناسب.
5-2-٧ تطبيق معايير وإجراءات حصيفة فيما يخص إمكانية الدخول إلى أماكن عمل النظام Security Physical ُ بما في ذلك البرامج واألجهزة الم ِشغلة للنظام والشبكات وأجهزة التشفير ومراكز المعلومات التي تقوم بتشغيل جزء أو أجزاء من النظام.
٣-٧ تقييم النظام األمني للخدمة
ً تقييم الوضع األمني لكافة األنظمة - التطبيقات، 1-3-٧ يجب على البنوك دوريا والشبكات، وأجهزة التأمين، وخوادم نظام أسماء النطاقات وخوادم البريد اإللكتروني، إلخ - المتعلقة بتشغيل المنظومة، وذلك فـي المركز الرئيسي للمعلومات والمركز االحتياطي الذي يستخدم في حاالت الكوارث.
2-3-٧ يجب على البنوك إجراء تقييم دوري لنقاط الضعف Vulnerability ً في البيئة ً جوهرياAssessment كل ثالثة أشهر على األقل أو عند حدوث تغييرا التشغيلية لألنظمة المختلفة الخاصة بالخدمة الكتشاف نقاط الضعف في بيئة تكنولوجيا المعلومات، وتقييمها. ويمكن أن يتولى هذا التقييم مستشار أو مقدم خدمة خارجي للبنك وأن يكون مقدم الخدمة مختلف عن مقدم الخدمة القائم باختبارات االختراق، أو أن يتولى هذا التقييم إدارة أمن المعلومات بالبنك، وذلك على النحو التالي: يجب أن يحتوي نطاق تقييم نقاط الضعف على اختبار الثغرات الشائعة في الشبكة ُ ِّمكن المخترق من حقن قواعد البيانات Injection SQL)مثل: الثغرات التي ت وتخطى عملية التصديق Bypass Authentication والتخزين غير اآلمن للبيانات Storage Insecure.. إلخ(.
}
28 القواعد المنظمة لخدمات شبكة المدفوعات اللحظية داخل جمهورية مصر العربية يجب على البنك إعداد خطة لمعالجة المشاكل التي تظهر في تقييم نقاط الضعف، ثم التحقق من صحة هذه المعالجة عن طريق إعادة االختبار إلثبات أنه قد تم التعامل مع هذه المشاكل بالكامل.
} 3-3-٧ التزام البنك بعدم إطالق الخدمات الجديدة قبل االنتهاء من موافاة البنك المركزي المصري بتقرير اختبارات االختراق Report Test Penetration على بيئة العمل الفعلية والذي يفيد عدم وجود أي نقاط ضعف عالية أو متوسطة الخطورة ومن ثم الحصول على موافقة البنك المركزي المصري بتفعيل الخدمة، على ان يتم تقديم التقرير المشار اليه إلى البنك المركزي المصري في مدة ال تتجاوز ثالثة أشهر من تاريخ اصداره.
4-3-٧ يجب على البنك القيام باختبارات االختراق Testing Penetration وذلك لعمل تقييم مفصل ومتعمق للوضع األمني للنظام من خالل محاكاة للهجمات الفعلية على النظام على أن يتم ذلك على األقل مرة واحدة سنويا، أو عند حدوث تغيير في النظام، على أن تتم مراعاة ما يلي: يجب أن يتولى إجراء اختبار االختراق أحد مقدمي الخدمة الخارجيين المستقلين، ً التوقيع على اتفاقية السرية وعدم اإلفصاح قبل مزاولة حيث يجب عليه أوال العمل Agreement Disclosure-Non.
} يجب أن ي�كون لدى البنوك تقرير مبدئي عن اختبار االختراق وخطة المعالجة Plan Remediation & Report Test Penetration، التي تم اصدارها والموقعة من مقدم الخدمة الخارجي.
} يجب على البنوك التحقق من صحة معالجة المالحظات الناتجة عن اختبار االختراق سواء كان على األنظمة الرئيسية أو األنظمة البديلة المستخدمة لمواجهة الكوارث مع مراعاة إجراء اختبار االختراق على االنظمة في مركز الطوارئ.
} يجب على مقدم الخدمة الخارجي إصدار تقرير نهائي موقع منه عن اختبار االختراق لكي يقوم البنك بتقديمه إلى البنك المركزي المصري، بجانب التقرير المبدئي األول.
غير مسموح باختيار نفس مقدم الخدمة الخارجي ألداء أكثر من اختباري اختراق متتاليين.
} }
٤-٧ االستجابة لألحداث وإداراتها
١-٤-٧ يجب على البنوك وضع إجراءات لالستجابة للحدث وإدارته خالل تقديم الخدمة، بهدف اإلبالغ والمعالجة الفورية ألي اختراقات أمنية سواء كانت فعلية أو مشتبه فيها، وكذلك أي حاالت احتيال أو انقطاع/عدم ثبات الخدمة، سواء أثناء أو بعد ساعات العمل.
ويجب على البنوك اتخاذ اإلجراءات الضرورية التالية )على سبيل المثال ال الحصر(: سرعة اكتشاف مصدر الحدث، وتحديد ما إذا كان قد وقع نتيجة وجود نقاط ضعف في النظم التأمينية بالبنك من عدمه.
} تقييم النطاق المحتمل للحدث ومدي تأثيره.
} تصعيد األمر إلى اإلدارة العليا للبنك بشكل فوري، إذا كان هذا الحدث قد يضر بسمعة البنك أو يؤدى إلى خسائر مالية.
} إخطار العمالء المتضررين على الفور، إذا لزم األمر.
} احتواء الخسائر المتعلقة بأصول البنوك وبياناتها وسمعتها، وبوجه خاص الخسائر المتعلقة بعمالئها.
} جمع األدلة الجنائية الرقمية واألدلة الجنائية وحفظها بطريقة مناسبة وبأسلوب يضمن الرقابة على تلك األدلة وضمان عدم التالعب بها لتغيير محتواها، لتسهيل التحقيقات الالحقة وإقامة دعوى قضائية ضد مخترقي النظام والمشتبه فيهم إذا لزم األمر باإلضافة إلى تنفيذ عملية مراجعة لهذا الحدث.
} ٢-٤-٧ يجب تكوين فريق للتدخل السريع إلدارة الحدث للتعامل معه بما يتوافق مع اإلجراءات الموضحة أعاله على أن يتم منح هذا الفريق الصالحيات الالزمة للتصرف في حالة الطوارئ، كما يجب أن يتلقى التدريب الكافي على استخدام األجهزة التأمينية، والقدرة على تفسير أهمية البيانات ذات الصلة في سجالت التدقيق، وتحديد اإلجراءات المناسبة الالزم اتخاذها - كمنع حركة مرور معينة على الشبكة، أو غلق بعض الخدمات.
٣-٤-٧ يجب على البنوك إعداد سجل باألحداث العارضة المرتبطة بالخدمة المقدمة والتفاصيل الخاصة بها باإلضافة إلى إعداد تقرير دوري للعرض على اإلدارة العليا التخاذ اإلجراءات المناسبة لتالفي تكرارها.
٤-٤-٧ يتولى مسئول االلتزام بالبنك مسئولية التأكد من إبالغ البنك المركزي المصري بصورة صحيحة وفي خالل 6 ساعات من اكتشاف الحادث بكافة الحاالت الواردة أدناه: ُ أي هجمات احتيال لتسريب أو إفشاء هوية مستخدم النظام أو وثائق اعتماد الشخصية )كاالحتيال Phishing، وملفات التجسس )حصان طروادة )Trojans، والبرمجيات الخبيثة Malware.. إلخ(.
} الدخول غير المصرح به إلى أنظمة تكنولوجيا المعلومات بالبنك لتسريب بيانات ُمستخدم النظام المتعلقة بالخدمات المقدمة.
} أي عملية تخريبية للبيانات المتعلقة بأنظمة الخدمات المقدمة والتي ال يمكن استرجاعها.
} اإليقاف التام المتعمد أو العارض للخدمات المقدمة لفترة تزيد عن الفترة المحددة كهدف لوقت االسترجاع RTO المحدد من قبل البنك.
} أي حالة من حاالت االحتيال الداخلي ذات الصلة بتلك الخدمات المقدمة يتم إرسال جميع التقارير بالبريد االلكتروني على العناوين التالية: eg.org.cbe@infosec.cbe eg.org.cbe@fincirt-eg }
30 القواعد المنظمة لخدمات شبكة المدفوعات اللحظية داخل جمهورية مصر العربية
5-٧ اعتبارات األداء وضمان استمرارية العمل
١-٥-٧ يجب على البنوك توفير الخدمات المقدمة على مدار الساعة، مع ضمان أداء الخدمة للعمالء بالسرعة المناسبة طبقا لما تم ذكره في األحكام والشروط الخاصة بالخدمة مع أخذ توقعات العمالء بعين االعتبار.
٢-٥-٧ يجب على البنوك وضع معايير لتقييم ومتابعة مستوى أداء تقديم الخدمات المقدمة كما يجب اتخاذ التدابير الالزمة للتأكد من قدرة نظم تلك الخدمات والنظم الداخلية الخاصة بتقديم الخدمة على التعامل مع حجم العمليات المتوقعة والنمو المستقبلي لهذا النوع من الخدمات.
٣-٥-٧ يجب أن تأخذ البنوك في اعتبارها التخطيط لضمان استمرارية العمل عند تطويرها للخدمات المقدمة، على أن يتم أيضا مراعاة الممارسات التالية: في حال حدوث عطل في الخدمة، يجب أن تحتوي خطة استمرارية العمل على خطوات محددة لكيفية استئناف أو استرجاع تلك الخدمات، تحدد هذه الخطوات ً مع بناء على أهداف وقت ونقطة االسترجاع RPO & RTO المحددين مسبقا ضرورة دورية المراجعة والتحديث بأي مستجدات أو مخاطر.
} وجود نسخ احتياطية للبيانات الستعادة البيانات ووجود خطط عمل بديلة للطوارئ.
} يجب أن تتمتع خطة استمرارية العمل الخاصة بالخدمات المقدمة بالقدرة على التعامل مع أي من الحاالت التي يتم فيها اإلسناد ألطراف خارجية.
}
.٨ أمن العمالء وضوابط لبعض المخاطر األخرى
يجب على البنوك أن تحدد بدقة كافة االحكام والشروط بينها وبين عمالئها من خالل تطبيقات مقدمي خدمات الدفع او من خالل أي قناة دفع الكترونية متصلة بشبكة المدفوعات اللحظية وبما ال يتعارض مع تعليمات حماية حقوق عمالء البنوك المصدرة في فبراير 2019 وكافة تعديالتها مع مراعاة ما يلي: ١-8 ١-١-٨ تحديد كافة الشروط واالحكام الخاصة باالشتراك على شبكة المدفوعات اللحظية وتنفيذ المعامالت من خالل تطبيق الهاتف المحمول وانه ال يتم االشتراك في الخدمة اال بعد الموافقة الكترونيا على تلك الشروط واالحكام.
٢-١-٨ صياغة الشروط واالحكام بصورة واضحة ومحددة بحيث يسهل فهمه بالنسبة ألي عميل مع تجنب استخدام الكلمات والعبارات التي تحمل أكثر من معنى.
٣-١-٨ ُ توضيح التزامات كل من مقدم خدمات الدفع ومستخدم النظام في حالة اإلخالل بأي من شروط التعاقد.
٤-١-٨ تحتوي الشروط واالحكام على بنود محددة واضحة والتي يجب أن تتضمن ما يلي كحد أدنى:
31 تفويض مقدم خدمات الدفع بإرسال المعامالت لشبكة المدفوعات اللحظية لتقديم الخدمات المتفق عليها واحقية العميل في ايقاف الخدمة.
} توضيح مستوى خصوصية بيانات العمالء ومدى إتاحتها للغير بما يتوافق مع التعليمات الرقابية الصادرة من البنك المركزي المصري أو القوانين المنظمة لذلك.
توضيح ُ بشكل م َّ فص ُ ل الخطوات الواجب على مستخدم النظام إتباعها لتفعيل الخدمة في حالة االشتراك ألول مرة أو في حالة وقف الخدمة أو إعادة تشغيلها، ً ِ الوقت الالزم إليقاف الخدمة من لحظة طلب إيقافها م�ن ق ُ بل مستخدم موضحا النظام والطرق المختلفة لطلب إيقاف الخدمة.
} } إتاحة امكانية إيقاف استخدام الخدمة عند إساءة استخدامها من قبل مستخدم النظام.
٥-١-٨ يقوم البنك المصدر الداه الدفع اإللكترونية وكذلك مقدم خدمات الدفع بإيجاد ُ آلية لدراسة الشكاوى وينص صراحة في بنود واحكام تقديم الخدمة على طريقة تقديم ُ الشكوى إلى البنك أو مقدم خدمات الدفع والحد األقصى للوقت المستغرق للتحقيق في ِ الشكوى من قبل األطراف المختلفة.
} ٦-١-٨ ِ في حالة وجود منازعات على المعامالت المالية أو وجود شكاوى من قبل ُم ُ ستخدمي النظام، تخضع عمليات تسوية المنازعات إلى قواعد ثابتة وم ُ علنة لمستخدم ً بأن ً لقواعد شبكة المدفوعات اللحظية، علماالنظام وتكون تسوية المنازعات وفقا سجالت النظام هي حجة قاطعة بشرط عدم حدوث خلل في النظام وبشرط وجود سجالت كاملة للمعامالت محل المنازعة.
٧-١-٨ ُ التأكيد على التزام مستخدم النظام بقراءة التحذيرات واإلطارات التنبيهية )مثل التنبيهات األمنية أو تنبيهات محاوالت االحتيال/الهندسة االجتماعية Social Engineering ً .. إلخ( والتأكيد أيض ُ ا على أن قبول مستخدم النظام ألي تغيير في الشروط واألحكام التي ستظهر من خالل النظام إلكترونيا والموافقة عليها الكترونيا لالستمرار في الحصول على الخدمة.
٨-١-٨ التأكيد بوضوح على أن القوانين المصرية ذات الصلة ولوائحها التنفيذية والتعليمات والقواعد الرقابية هي التي تحكم الخدمات التي يقوم البنك ومقدمي خدمات الدفع )PSPs )بتقديمها للعمالء من خالل شبكة المدفوعات اللحظية ويتم تسوية النزاعات داخل جمهورية مصر العربية.
٩-١-٨ ُ توضيح مسئوليات المستخدم في الحفاظ على كلمة السر/الرقم السري الخاص به وإبالغ البنك في حال فقدانه للرقم السري او اشتباه العميل في ان بياناته السرية التي قد تؤدي إلي اإلخالل بسالمة حساباته قد تم االطالع عليها من قبل الغير.
٢-8 رصد األنشطة غير العادية
32 القواعد المنظمة لخدمات شبكة المدفوعات اللحظية داخل جمهورية مصر العربية ١-٢-٨ يتعين على البنوك وضع تدابير فعالة للرقابة المستمرة لضمان سرعة اكتشاف ُ أي معامالت غير عادية تحدث من خالل المنظومة يشتبه أن تؤدى إلى عمليات احتيال وعلى وجه الخصوص، ينبغي أن تكون تلك التدابير قادرة على اكتشاف حاالت مثل: } حدوث العديد من عمليات تحويل أموال باستخدام تطبيقات الهاتف المحمول إلى حساب مستفيد آخر خالل فترة زمنية وجيزة، وخاصة إذا كانت المبالغ المحولة تقترب من الحد األقصى المسموح به. وكذلك الزيادة المفاجئة في األموال المحولة لحسابات مستفيدين.
٢-٢-٨ يجب أن تتمتع آلية الرقابة المتبعة بالقدرة على سرعة إصدار تحذيرات إلى المختصين بالمتا�بعة والرصد للخدمات المقدمة عند حدوث أي تحويل أموال محل شبهة احتيال، وكذلك أي أنشطة غير معتادة ويجب على البنوك في تلك الحاالت أن تقوم بالتحقق من ذلك مع أصحاب هذه الحسابات التي تتم عليها هذه المعامالت أو األنشطة في أسرع وقت ممكن وإخطار الجهات المختصة.
٣-٢-٨ يتم الرجوع الى العمالء فور رصد أي معاملة غير اعتيادية للتحقق من قيامهم بها.
٤-٢-٨ ُ يجب على البنك تطبيق إجراءات محددة ومعتمدة للتعامل مع المعامالت المشتبه بها.
3-8 توعية مستخدمين النظام
ً ألن األجهزة التي يستخدمها العمالء للدخول على تطبيق الهاتف المحمول ١-٣-٨ نظرا الخاص بمقدمي خدمات الدفع وكذلك القنوات اإللكترونية الخاصة بالبنك تقع خارج ُ نطاق سيطرة البنك، فإن احتمال ظهور مخاطر أمنية تزداد في حالة عدم معرفة مستخدم النظام باالحتياطات األمنية الضرورية الستخدام الخدمة أو سوء فهمها ولذلك يجب ً لتوعية العمالء عن طريق تقديم نصائح سهلة الفهم ً خاصاعلى البنك أن يولي اهتماما وواضحة تتعلق باالحتياطات األمنية الواجب اتخاذها عند التعامل مع تلك الخدمات والتزامهم حيال ذلك.
٢-٣-٨ التأكيد على العمالء وتوعيتهم أن موظفي البنك أو وكالءه أو مقدمي خدمات ُ الدفع ال يجوز لهم أن يطلبوا من مستخدم النظام اإلفصاح عن البيانات السرية )كاألرقام التعريفية أو كلمات السر( عن طريق البريد اإللكتروني أو غيره وفي حالة وقوع ذلك ُ يجب على مستخدم النظام االتصال بالبنك في أسرع وقت ممكن.
٣-٣-٨ توعية عمالء تلك الخدمات بالطرق التي يمكنهم من خاللها التأكد من صحة التطبيق الرسمي.
٤-٣-٨ تختلف النصائح الخاصة باالحتياطات األمنية الواجب إتباعها وفقا لطبيعة العمالء، وطبيعة الخدمات المقدمة، وتشمل النصائح ما يلي كحد أدنى:
33 اختيار وحماية كلمات السر الخاصة بالعميل )وأيضا اسم المستخدم في حالة السماح للعميل باختياره(. على سبيل المثال، يجب على البنوك أن تنصح العمالء بإنشاء كلمة سر معقدة وعدم اختيار كلمات سر تتضمن معلومات مثل تاريخ الميالد أو رقم الهاتف قد يكون من السهل التعرف عليها.
} الحماية ضد تقنيات الهندسة االجتماعية Engineering Social Techniques حيث يجب توعية العمالء بضرورة عدم اإلفصاح عن أي معلومات شخصية - كبطاقة الهوية أو جواز السفر أو العناوين أو أرقام حسابات البنك الخاصة بهم - ألي شخص لم يتأكد من هويته أو استخدام تطبيقات هواتف محمولة موضع شك. كما يجب التأكيد على العمالء بعدم اإلفصاح عن كلمات السر ألي شخص بما في ذلك موظفي البنك أو وكالئه.
} يجب على البنوك مراجعة النصائح واإلرشادات الخاصة باالحتياطات التأمينية التي يتم تقديمها للعمالء للتأكد من كفايتها ومالئمتها للتغيرات التي تستجد على البيئة �التكنولوجية والخدمات المقدمة.
} يتم إخطار مستخدم النظام بوسيلة التصرف في حالة اكتشاف أي شخص آخر ُ للرقم السري الخاص بمستخدم النظام.
} ً لوجود صعوبة في توفير العمالء لوقت طويل الستيعاب اإلرشادات ٥-٣-٨ نظرا الطويلة والمعقدة، يمكن للبنوك ابتكار أساليب وقنوات فعالة إلبالغ العمالء وتوعيتهم باالحتياطات التأمينية التي يجب اتخاذها من جانبهم, ويمكن للبنك االستفادة من العديد من األساليب - كالمواقع اإللكترونية للبنك، ووسائل التواصل االجتماعي المعتمدة، والرسائل المطبوعة واإللكترونية لكشوف حسابات العمالء، والمنشورات الترويجية، ُ وكذلك في األحوال التي يتواصل فيها عادة موظفي المكاتب األمامية للبنك أو مقدم الخدمة مع العمالء - للتأكيد على ضرورة االلتزام ببعض التدابير االحتياطية األساسية.
34 القواعد المنظمة لخدمات شبكة المدفوعات اللحظية داخل جمهورية مصر العربية ...
CENTRAL BANK OF ECIPI
.٩ إجراءات الحصول على التراخيص
يجب على البنوك التي ترغب في الحصول على تراخيص العمل كبنك مصدر )Issuer Bank )من خالل شبكة المدفوعات اللحظية أن تتقدم بطلب للحصول على موافقة البنك المركزي المصري، وذلك مع استيفاء ما يلي: 1-9 ١-١-٩ االلتزام بإنهاء كافة االختبارات واإلجراءات الخاصة بشبكة المدفوعات اللحظية ً لخطة عمل ال تتجاوز 6 أشهر اعتبارا من تاريخه.وفقا ٢-١-٩ تقديم خطة عمل لمدة ثالث سنوات تتضمن التالي: عدد الحسابات والبطاقات الخاصة بالعمالء المستهدف إتاحتها لشبكة المدفوعات اللحظية.
z عدد وقيم المعامالت السنوية المستهدف تنفيذها.
z تقديم خطة تسويقية شاملة للتعريف بالخدمة وتفعيل استخدامها على أن يوضح بالخطة الميزانية المعتمدة لذلك.
z يجب على البنوك التي ترغب في الحصول على تراخيص العمل كبنك مقدم خدمات الدفع )Bank PSP )من خالل شبكة المدفوعات اللحظية أن تتقدم بطلب للحصول على موافقة البنك المركزي المصري وذلك مع استيفاء ما يلي: 2-9 ١-2-٩ في حال طلب ترخيص مقدم خدمات دفع من خالل قنوات البنك اإللكترونية )Bank PSP authorized-Pre ): االلتزام بإنهاء كافة االختبارات واإلجراءات الخاصة بشبكة المدفوعات اللحظية.
z القنوات اإللكترونية التي سيتم إتاحتها لتنفيذ المعامالت على سبيل المثال ال الحصر )اإلنترنت البنكي –تطبيق الهاتف المحمول البنكي(.
تقديم خطة عمل لمدة ثالث سنوات تتضمن ما يلي: z z عدد وقيم المعامالت السنوية المستهدف تنفيذها.
} تقديم خطة تسويقية شاملة للتعريف بالخدمة وتفعيل استخدامها على ان يوضح بالخطة الميزانية المعتمدة لذلك.
} 2-2-٩ في حال تقديم البنك تطبيق هاتف محمول خاص به لجميع عمالء شبكة المدفوعات اللحظية )Bank PSP Fledge Full): بيان يوضح اسم التطبيق والفئات المستهدفة به.
z إسم الشركة الراغبة في الحصول على ترخيص مقدم خدمات دفع )PSP )من خالل شبكة المدفوعات اللحظية.
z سجل تجاري ساري وبطاقة ضريبية سارية للشركة الراغبة في الحصول على الترخيص.
قيام البنك بإخضاع مالكي الشركة والقائمين على إدارتها إلجراءات العناية z z
36 القواعد المنظمة لخدمات شبكة المدفوعات اللحظية داخل جمهورية مصر العربية الواجبة بعمالء البنوك وجمع أي معلومات يري ضرورة الحصول عليها بشأنهم.
قيام البنك بالتحقق من عدم تعرض أي من مالكي الجهة والقائمين على إدارتها لعقوبات تتعلق بجنايات أو عقوبات على جرائم مخلة بالشرف أو األمانة.
z z تضمين شروط التعاقد مع الجهة ضرورة توافر نظم وإجراءات لديها تشترط توافر مستويات مرتفعة من الكفاءة والنزاهة لدى العاملين بها وبالمنافذ التابعة لها، على أن تتضمن هذه النظم واالجراءات كحد أدنى االستفسار عن العمل السابق والحصول على صحيفة الحالة الجنائية.
z االلتزام بإنهاء كافة االختبارات واإلجراءات الخاصة بشبكة المدفوعات اللحظية.
z قائمة بأنواع الخدمات التي سوف يقوم مقدم الخدمة بتقديمها.
خطوات العمل التفصيلية التي سيتم اتباعها لكل خدمة على حدة.
تقديم خطة عمل لتفعيل الخدمة مدتها ثالث سنوات تتضمن التالي: z z z عدد وقيم المعامالت الشهرية والسنو�ية المستهدف تنفيذها.
} خطة تسويقية شاملة للتعريف بالخدمة وتفعيل استخدامها على ان يوضح بالخطة الميزانية المعتمدة لذلك.
} نموذج التسعير الخاص بالخدمة.
} يجب على البنوك التي ترغب في الحصول على تراخيص العمل كبنك قابل )Acquirer Bank )من خالل شبكة المدفوعات اللحظية أن تتقدم بطلب للحصول على موافقة البنك المركزي المصري وذلك باستيفاء المستندات التالية كحد أدنى: ٣-9 ١-٣-٩ بيان يوضح ما إذا كان نشر القبول لدي التجار سوف يتم من خالل البنك مباشرة أو من خالل مقدم خدمات دفع )PSP )متعاقد مع البنك.
٢-٣-٩ بيان يوضح الفئات المستهدفة من خالل البنك او مقدمي خدمات الدفع )PSPs). ٣-٣-٩ االلتزام بإنهاء كافة االختبارات واإلجراءات الخاصة بشبكة المدفوعات اللحظية.
٤-٣-٩ قائمة بأنواع الخدمات التي سوف يقوم مقدم الخدمة بتقديمها.
٥-٣-٩ خطوات العمل التفصيلية التي سيتم اتباعها لكل خدمة على حدة.
٦-٣-٩ بيان يوضح قنوات التوزيع التي يرغب البنك أو مقدم خدمات الدفع )PSP )في الحصول على ترخيص لها فعلي سبيل المثال ال الحصر )القبول اإللكتروني من خالل رمز االستجابة السريع )Code QR - )القبول اإللكتروني من خالل تطبيقات هاتف محمول خاصة بالتجار - القبول اإللكتروني من خالل نقاط البيع - القبول اإللكتروني من خالل الشراء عبر األنترنت(.
٧-٣-٩ تقد�يم خطة عمل لتفعيل الخدمة مدتها ثالث سنوات تتضمن التالي:
37 خطة البنك لعدد التجار المستهدف التعاقد معهم.
z عدد وقيم معامالت الشراء المستهدف قبولها من خالل جميع قنوات التوزيع على شبكة المدفوعات اللحظية.
z خطة تسويقية شاملة للتعريف بالخدمة وتفعيل استخدامها على أن يوضح بالخطة الميزانية المعتمدة لذلك.
z في حال تعاقد البنك مع مقدم الخدمات التكنولوجية )Service Technology Provider )يلتزم البنك بتقديم نفس البيانات الخاصة السابق ذكرها فيما يخص التعاقد مع الشركات مقدمة خدمات الدفع )PSPs).
4-9
< Back Money Received Check your Bala ……… CENTRAL BANK OF ECIPI 39 | | PAYMENT SYSTEMS | | Banking Operations & Payment Systems Sector الفرع الرئيسي العنوان: 54 شارع الجمهورية ,11511 القاهرة, مصر الموقع اإللكتروني: eg.org.cbe.www البريد اإللكتروني: eg.org.cbe@info التليفون: 16777