يتعيّن على جميع المنشآت المرخّصة أن تُشارك في إطار التمويل المفتوح، فيما يخص المنتجات والخدمات في نطاق عملهم، كما يتعيّن عليهم أيضًا (باعتبارهم محتفظين بالبيانات ومالكي خدمات بموجب هذا النظام تزويد المشاركين في إطار التمويل المفتوح (باعتبارهم متلقِّين للبيانات وجهاتٍ لبدء الخدمات) مع صلاحية الوصول إلى بيانات العملاء، وكذلك القدرة على بدء المعاملات الخاصة بالحسابات والمنتجات للعملاء.

تتوقف خدمات مشاركة البيانات وخدمات بدء المعاملات في جميع الحالات على الحصول على موافقة صريحة من المستخدمين، وتطبيق عمليات المصادقة الملائمة واستخدام وسيلة اتصال آمنة. ولا ينطبق هذا النظام والحقوق التي يمنحها فيما يخص الوصول إلى البيانات والحسابات، على كل ما يتعلق بالأنشطة التي لا تخضع لرقابة المصرف المركزي.

وتشمل المنشآت المرخّصة والمكلّفة بإتاحة الوصول إلى التمويل المفتوح بموجب هذا النظام، ما يأتي:

سيتم إدراج المنشآت المرخّصة التي يتعيّن عليها إتاحة الوصول إلى التمويل المفتوح بموجب هذا النظام، على مراحل، حيث ستشمل المرحلة الأولى فقط البنوك بما في ذلك فروع البنوك الأجنبية، وشركات التأمين (الشركات الوطنية والفروع الأجنبية. وسيتم الإعلان عن المراحل اللاحقة من قبل المصرف المركزي عبر القنوات الرسمية.

ولتسهيل تبنِّي التمويل المفتوح ومشاركة الشركات كمزودين مرخّصين لخدمات مشاركة البيانات و/ أو خدمات بدء الخدمة، يشتمل هذا النظام على فئة جديدة من التراخيص التنظيمية لمزوّدي خدمات التمويل المفتوح. وسيكون مزودو خدمة التمويل المفتوح هم أصحاب هذا الترخيص، والذي يمكنهم من ممارسة خدمات مشاركة البيانات و/ أو خدمات بدء الخدمة.

يمكن لمزودي خدمات التمويل المفتوح اختيار ممارسة خدمات مشاركة البيانات فقط أو خدمات بده الخدمة فقط أو كليهما، بموجب ترخيص التمويل المفتوح.

ودون الإخلال بالتراخيص التنظيمية الأخرى التي يحملونها، لن يسمح ترخيص التمويل المفتوح لحامليه بمزاولة أي فئة أخرى من الأنشطة المرخصة، وتحديداً، لن يتيح لحاملي التراخيص تقديم أي مشورة بأي شكل من الأشكال، أو التوسّط في معاملات الأنشطة المرخصة أو ترتيبها، أو الاحتفاظ بأموال العملاء بأي شكل من الأشكال. ويجب أن يكون لدى مزودي خدمة التمويل المفتوح التراخيص التنظيمية الإضافية اللازمة لمزاولة أي نشاط أو أنشطة مالية مرخّصة أخرى، أو الحصول على تلك التراخيص، بشكل منفصل.

يتم التعامل مع فئات محدّدة من المنشآت المرخصة الواردة في المادة 3 من هذا النظام، على أنهم أشخاص مرخّص لهم تلقائيا، ويجب على الشخص المرخّص له تلقائيًا إبلاغ المصرف المركزي كتابة بعزمه على تقديم أي خدمة من خدمات التمويل المفتوح مع إيضاح التفاصيل الكاملة للأنشطة التي يعتزم مزاولتها، والحصول على موافقة المصرف المركزي قبل البدء في هذه الأنشطة.

يتعيّن على جميع المنشآت المرخّصة، سواء كانت تقدِّم خدمات التمويل المفتوح أم لا، الامتثال للمتطلبات الواردة في هذا النظام، وذلك فيما يتعلق بخدمات مشاركة البيانات وخدمات بدء الخدمة من قبل المستخدمين من خلال مزوّدي خدمة التمويل المفتوح، وخصوصًا المتطلبات الواردة في المواد 18 إلى 22 من هذا النظام.

1. يكون الحساب أو المنتج ضمن نطاق هذا النظام متى ارتبط بأي من البنود التالية التي تعرضها أو تُصدرها المنشأة المرخّصة:

   1-1	الودائع؛
   2-1	حسابات وخدمات الدفع؛
   3-1	حسابات التوفير والودائع لأجل؛
   4-1	حسابات ومنتجات بطاقات الائتمان والخصم والشحن (بما في ذلك الحصول على معاملات البطاقات ومعالجتها)؛
   5-1	أوامر الدفع الدائمة؛
   6-1	الخصم المباشر؛
   7-1	تسهيلات القيم المخزنة وحسابات الدفع المدفوعة مسبقًا؛
   8-1	حسابات الدفع الأجل؛
   9-1	حسابات ومنتجات الصرف الأجنبي؛
   10-1	الائتمان والقروض وأي حسابات ومنتجات تمويل شخصي أخرى؛
   11-1	الرهون العقارية والقروض الأخرى المضمونة بممتلكات أو أصول الأخرى؛
   12-1	الحسابات الافتراضية أو المنتجات التي تتيح البنود المحدّدة في الفقرات 1-1 / 1- 11 الواردة أعلاه؛
   13-1	ومنتجات التأمين، بما في ذلك التأمين على الحياة والتأمين العام.

2. للمصرف المركزي، من حين لآخر، أن يُعدل أو يضيف على القائمة الواردة في المادة 5(1) من هذا النظام.
3. لا تشمل القائمة الواردة في المادة 5(1) من هذا النظام الحسابات أو المنتجات التي تنظمها هيئة الأوراق المالية والسلع ما لم توافق هيئة الأوراق المالية والسلع عليها.

1. لغرض الحصول على ترخيص من المصرف المركزي لتقديم خدمة التمويل المفتوح، يُطلب من مزود خدمة التمويل المفتوح أن يحتفظ بمبلغ رأس مال لا يقل عن مليون درهم (1,000,000 درهم إماراتي).
2. يمكن فرض متطلبات رأس مال إضافية من قِبَل المصرف المركزي وفقًا لتقديره الخاص، وإخطار مزود خدمة التمويل المفتوح بها، مع أخذ المصرف المركزي في الاعتبار عوامل مختلفة مثل المخاطر و /أو الحجم و/ أو مستوى التعقيد، المرتبطة بالأنشطة التي يزاولها مزوّد خدمة التمويل المفتوح.

1. يجب على مزوّد خدمة التمويل المفتوح الاحتفاظ في جميع الأوقات بإجمالي أموال رأسمالية بما لا يقل عن الحد الأدنى لمتطلبات رأس المال المحددة في المادة 6 من هذا النظام.
2. يجب أن يكون الحد الأدنى لرأس المال المحتفظ به كإجمالي أموال رأسمالية أعلى من الرقم الوارد في المادة 6 من هذا النظام وتقدير المصرف المركزي لتكاليف إنهاء أعمال مزوّد خدمة التمويل المفتوح.
3. للمصرف المركزي، وفقًا لتقديره الخاص، أن يفرض متطلبات تتعلق بإجمالي الأموال الرأسمالية تكون أعلى من المتطلبات المشار إليها في المادة 7 (1) من هذا النظام إذا اعتبر المصرف المركزي أن هذه المتطلبات الأعلى ضرورية لضمان أن يكون لدى مزوّد خدمة التمويل المفتوح القدرة على الوفاء بالتزاماته بموجب هذا النظام، وذلك مع مراعاة مخاطر أعمال مزوّد خدمة التمويل المفتوح وحجمها ومستوى تعقيدها.

1. تتكون إجمالي الأموال الرأسمالية لمزوّد خدمة التمويل المفتوح من الآتي:

   1-1	رأس المال المدفوع؛
   2-1	الاحتياطيات، باستثناء احتياطيات إعادة التقييم؛
   3-1	والأرباح المحتجزة.

2. لا يمكن تغطية إجمالي الأموال الرأسمالية لمزود خدمة التمويل المفتوح بأي رأس مال محتفظ به داخل مؤسسته يكون مخصصا كأي رأس مال رقابي آخر لأنشطة المالية المرخصة.

3. يجب خصم البنود التالية من إجمالي الأموال الرأسمالية:

   1-3	الخسائر المتراكمة؛
   2-3	السمعة التجارية؛
   3-3	وأي بنود أخرى يحددها المصرف المركزي.

1. يجب أن يكون لدى مزوّد خدمة التمويل المفتوح تأمين للتعويض مهني بمبلغ ونطاق مناسبين ومتناسبين مع المخاطر الناشئة عن خدمة التمويل المفتوح التي يقدمها، وذلك على النحو الذي يحدده المصرف المركزي على أساس كل حالة على حدة. ورهنا بذلك، تكون الحدود الدنيا لمبالغ التعويض في السنة الواحدة كما يلي:

   1-1	خمسة ملايين درهم (5,000,000 درهم إماراتي) للمطالبة الواحدة؛
   1-2	وكقيمة إجمالية، الأعلى من خمسة ملايين درهم (5,000,000 درهم إماراتي) أو مبلغ يعادل 50% من الدخل السنوي من خدمات التمويل المفتوح لمزود خدمة التمويل المفتوح؛

   وللمصرف المركزي أن يقرر بأن على مزود خدمة التمويل المفتوح الاحتفاظ بحدود دنيا للتعويضات تزيد عن المبالغ المذكورة أعلاه.

2. يجب أن يغطي تأمين التعويض المهني على الأقل التزامات مزود خدمة التمويل المفتوح وموظفيه، فيما يتعلق بالمعاملات غير المصرح بها، وفقدان البيانات وخرقها، ومخاطر الأمن السيبراني والمعاملات المتأخرة أو التي تم بدؤها على نحو غير صحيح، ضمن أمور أخرى.

1. يجب ألا يصبح الشخص مسيطرًا على مزوّد خدمة التمويل المفتوح دون الحصول على إذن مسبق من المصرف المركزي.

2. ويمكن أن يمنح المصرف المركزي الإذن بذلك بموجب المادة 10(1) من هذا النظام إذا اعتبر:

   1-2	أنه مع مراعاة التأثير المحتمل للمسيطر، سيظل مزود خدمة التمويل المفتوح ملتزمًا بمتطلبات هذا النظام وأي أنظمة أخرى ذات صلة، بما في ذلك الأنظمة الصادرة وفقًا لهذا النظام، وأي - قانون ذي صلة؛
   2-2	وأنّ المسيطر يفي بمتطلبات الجدارة والنزاهة والملاءمة التي يحددها المصرف المركزي.

3. يمكن منح الموافقة بموجب المادة 10(2) من هذا النظام، مع مراعاة أي شروط قد يفرضها المصرف المركزي على الشخص، بما في ذلك، ولكن ليس على سبيل الحصر:

   1-3	شروطاً تقيّد تخلص الشخص من أو استحواذه على الأسهم و / أو صلاحيات التصويت في مزوّد خدمة التمويل المفتوح؛
   2-3	وشروطاً تقيد ممارسة الشخص الصلاحيات التصويت في مزوّد خدمة التمويل المفتوح.

1. يجب أن يكون لدى مزوّدي خدمة المفتوح ترتيبات حوكمة مؤسسية فعّالة ومتقنة وموثّقة جيدا، والحفاظ عليها، بما في ذلك هيكل تنظيمي واضح مع مسارات مسؤولية محدّدة جيدًا وشفافة ومتّسقة.

2. يجب أن تكون ترتيبات الحوكمة المؤسّسية المشار إليها في المادة 11(1) من هذا النظام شاملة ومتناسبة مع طبيعة وحجم ومستوى تعقيد أعمال مزود خدمة التمويل المفتوح، ويجب أن تتضمن ما يلي على الأقل:

   1-2	هيكل تنظيمي معتمد من قبل مجلس الإدارة، يسجل كتابةً كل - قسم أو إدارة أو وحدة، مع الإشارة إلى اسم كل فرد مسؤول مصحوبًا بوصف للوظيفة والمسؤوليات المعنية؛
   2-2	ضوابط بشأن تضارب المصالح؛
   3-2	ضوابط بشأن نزاهة وشفافية عمليات مزوّد خدمة التمويل المفتوح؛
   4-2	ضوابط لضمان الامتثال للقوانين والأنظمة المعمول بها؛
   5-2	طرق الحفاظ على سرية المعلومات والامتثال لمتطلبات خصوصية البيانات؛
   6-2	وإجراءات للمراقبة والتدقيق بانتظام لجميع ترتيبات الحوكمة المؤسسية.

3. يجب على الإدارة العليا لمزوّد خدمة التمويل المفتوح استيفاء متطلبات الجدارة والنزاهة والملاءمة التي يحدّدها المصرف المركزي من حين لآخر، بما في ذلك أن يكون كل عضو في الإدارة العليا:

   1-3	مؤهلاً وممتلكًا للمعرفة والمهارات والمؤهلات والخبرات اللازمة
   2-3	لديه سِجِل من التصرّف بأمانة وأخلاقية ونزاهة ويتمتع بسمعة جيدة؛
   3-3	لديه سجل جيد من السلوك المالي؛
   4-3	قادرًا على اتخاذ قراراته بطريقة عقلانية وموضوعية ومستقلة، وليس لديه أي تضارب في المصالح يمكن أن يؤثر على سلوكه؛
   5-3	لديه الوقت الكافي لتكريسه لأداء واجباته / مسؤولياته بالكامل بموجب هذا النظام؛
   6-3	يساهم في الملاءمة الجماعية للإدارة العليا؛
   7-3	ويفي بأي متطلبات إضافية محددة في الأنظمة المعمول بها.

1. يجب على مزوّدي خدمة التمويل المفتوح وضع إطار عمل يحتوي على تدابير التخفيف المناسبة وآليات ضبط الإدارة المخاطر التشغيلية والمخاطر الأخرى التي يتعرضون لها أو يُحتمل تعرّضهم لها.

2. يجب أن يكون الإطار الذي يتم انشاؤه بموجب المادة 12(1) من هذا النظام متناسبًا مع طبيعة وحجم ومستوى تعقيد أعمال مزوّد خدمة التمويل المفتوح ويجب أن يتضمن ما يأتي على الأقل:

   2-1	إجراءات إدارة الحوادث، بما في ذلك الكشف عن الحوادث التشغيلية والأمنية الرئيسية وتصنيفها؛
   2-2	خطط لاستمرارية الأعمال والتعافي من الكوارث، والتي تشمل (أ) برنامجًا مناسبًا لإدارة استمرارية الأعمال، حرصًا على استمراريتها، أو التعافي في الوقت المناسب، أو في الحالات القصوى، التخفيض المنظّم للعمليات بالغة الأهمية في حالة حدوث اضطرابات كبيرة. ويجب أن يشتمل البرنامج على تحليل التأثير على الأعمال واستراتيجيات التعافي، وخطة استمرارية الأعمال، والمواقع البديلة لتعافي الأعمال وتقنية المعلومات؛ و (ب) اعتماد ممارسات ملائمة لدورة حياة تطوير البرمجيات لضمان المرونة التشغيلية وتقليل أعطال التطبيقات التي قد تشكل مخاطر على المستخدمين؛
   2-3	والإجراءات الإدارية والمحاسبية السليمة.

3. يجب على مزوّدي خدمة التمويل المفتوح إنشاء وظيفة لإدارة المخاطر ووظيفة للتدقيق الداخلي ووظيفة للامتثال، والتأكّد من تزويد كلٍ منها بما يكفي من الموارد.
4. يجب على مزوّدي خدمة التمويل المفتوح وضع خطة لإنهاء الأعمال تكون مقبولة لدى المصرف المركزي، والحفاظ عليها بشكل مستمر.
5. يجب أن تكون وظيفة إدارة المخاطر مستقلة ودائمة، وأن ترفع تقاريرها مباشرةً إلى مجلس الإدارة، وأن تقوم بشكل فعال بمراقبة المخاطر التشغيلية والسوقية والائتمانية والقانونية وغيرها من المخاطر التي يتعرض لها مزود خدمة التمويل المفتوح، ورفع التقارير بشأنها، وتخفيفها.
6. يجب أن تكون وظيفة الامتثال مستقلة ودائمة، وأن ترفع تقاريرها مباشرةً إلى مجلس الإدارة، ويجب أن تراقب وتقدم تقريرها حول مراعاة جميع القوانين والأنظمة والمعايير المعمول بها، وكذلك عن التزام الموظفين والإدارة العليا بالمتطلبات القانونية وقواعد السلوك الملائمة ومتطلبات هذا النظام والأنظمة الأخرى، حيثما ينطبق ذلك.
7. يجب أن تكون وظيفة التدقيق الداخلي مستقلة ودائمة، وترفع تقاريرها مباشرةً إلى مجلس الإدارة، وأن تطبق أفضل ممارسات التدقيق الداخلي، وأن تكون فعّالة. كما يجب أن توفر تأكيدًا مستقلًا للإدارة العليا على جودة الضوابط الداخلية وإدارة المخاطر والامتثال والنظم والضوابط لدى مزود خدمة التمويل المفتوح.
8. يجب على مزوّدي خدمة التمويل المفتوح عدم تعهيد أي نشاط جوهري، بما في ذلك إلى أي طرف ذي علاقة دون الحصول على إشعار مسبق بعدم ممانعة المصرف المركزي. ويحتفظ مزودو خدمة التمويل المفتوح بالمسؤولية الكاملة عن الخدمات التي يقدمها أي مزود خدمة تعهيد. ورغم أن جميع طلبات عدم الممانعة سيتم النظر فيها على أساس مزاياها الفردية، لن يسمح المصرف المركزي بوجه عام بتعهيد الأنشطة الأساسية، ووظائف الإدارة والضبط الرئيسية.
9. يمكن وضع متطلبات رقابية لوظائف محددة، بما في ذلك إدارة المخاطر والتدقيق الداخلي والامتثال، في أنظمة منفصلة.

1. يجب على مزوّدي خدمة التمويل المفتوح الاحتفاظ بسجلات تتعلق بتقديم خدمة التمويل المفتوح الخاصة بهم، والتي يجب أن تتضمن على الأقل سجلات للأمور الاتية:

   1-1	موافقة المستخدم على الوصول إلى بيانات المستخدم و/ أو بدء المعاملات كما هو مطلوب بموجب المادة 22 من هذا النظام؛
   2-1	الأدلة الخاصة بجميع بيانات المستخدم المقدمة إلى مزوّد خدمة التمويل المفتوح من قبل المنشآت المرخصة المحتفظة بالبيانات نيابةً عن المستخدمين؛
   3-1	جميع المعاملات التي بدأها مزوّد خدمة التمويل المفتوح بناءً على تعليمات المستخدمين؛
   4-1	والأدلة الخاصة بجميع بيانات المستخدم المتعلّقة بمعاملة والتي تم إتلافها أو التخلص منها بأي شكل من الأشكال.

2. يجب إبقاء جميع السجلات المحفوظة بموجب المادة 13 من هذا النظام بشكل آمن وعبر وسيلة دائمة، مع إمكانية إتاحتها للمصرف المركزي على الفور عند طلبها.
3. يجب على مزوّدي خدمة التمويل المفتوح الاحتفاظ بالسجلات المشار إليها في المادة 13 من هذا النظام لمدة لا تقل عن خمس (5) سنوات اعتبارًا من تاريخ إنشاء هذه السجلات، ما لم تتطلب القوانين المعمول بها أو المصرف المركزي خلاف ذلك.

1. يجب أن يكون مزوّد خدمة التمويل المفتوح منفتحًا ومتعاونًا مع المصرف المركزي، وأن يُخطر المصرف المركزي بجميع المسائل التي قد يطلب المصرف المركزي إشعارًا بها بشكل معقول، بما في ذلك لدعم أداء وظائف المصرف المركزي الرقابية.
2. يجب على مزوّد خدمة التمويل المفتوح الامتثال لجميع متطلبات إعداد التقارير الرقابية، بما في ذلك المتطلبات المستمرة التي يحدّدها المصرف المركزي من حينٍ لآخر.
3. في حالة حدوث أي تغيير جوهري يؤثر على دقة واكتمال المعلومات المقدمة في الطلب، يجب على مقدّم الطلب أو مزوّد خدمة التمويل المفتوح، كما يقتضي الحال، إخطار المصرف المركزي فورًا بهذا التغيير وتقديم جميع المعلومات والمستندات اللازمة.
4. يجب على مزوّد خدمة التمويل المفتوح إخطار المصرف المركزي على الفور بأي مخالفة أو مخالفة محتملة لمتطلب جوهري تحت هذا النظام أو أي متطلب قانوني أو رقابي آخر معمول به.

5. يجب على مزود خدمة التمويل المفتوح إخطار المصرف المركزي فورًا عندما يصبح على علم بوقوع، أو باحتمالية وقوع أي من الأحداث الآتية:

   1-5	رفض المحتفظ بالبيانات أو مالك الخدمة، بشكل غير مبرر، إتاحة الوصول إلى حساب أو منتج و/ أو المعلومات المتعلّقة بهم؛
   2-5	أي حدث يمنع الوصول إلى الحالة التشغيلية أو الأمنية لمزوّد خدمة التمويل المفتوح، أو يُحدث اضطرابا بها؛
   3-5	أي إجراء قانوني يُتخذ ضد مزوّد خدمة التمويل المفتوح أو أي عضو في إدارته العليا أو عضو في مجلس إدارته سواء داخل الدولة أو خارجها؛
   4-5	بدء إجراءات إعسار مالي أو إنهاء أو تصفية أعمال أو ما يعادل ذلك ضد مزوّد خدمة التمويل المفتوح أو أي عضو في إدارته العليا أو عضو في مجلس إدارته، أو تعيين أي حارس قضائي أو مدير أو مسؤول تصفية مؤقت؛
   5-5	أي إجراء تأديبي أو جزاء يُتخذ ضد مزوّد خدمة التمويل المفتوح أو أي عضو من أعضاء إدارته العليا أو عضو مجلس الإدارة أو أي إجراء أو جزاء يوقع على أي منهم من قبل جهة أخرى غير المصرف المركزي سواء داخل الدولة أو خارجها؛
   6-5	أي تغيير جوهري في المتطلبات الرقابية التي يخضع لها مزود خدمة التمويل المفتوح بخلاف متطلبات المصرف المركزي سواء داخل الدولة أو خارجها؛
   7-5	أو أي حدث آخر يحدّده المصرف المركزي.

1. يجب على المنشآت المرخّصة المحتفظة بالبيانات ومالكي الخدمات:

   1-1	إنشاء، والحفاظ على واجهة مخصّصة لتوفير وصول آمن عبر الإنترنت إلى الحسابات والمنتجات من قبل مزودي خدمة التمويل المفتوح من خلال واجهة برمجة التطبيقات ومكونات إطار التمويل المفتوح الأخرى ذات الصلة؛
   1-2	في غضون أربعة عشر (14) يومًا من استلام موافقة من المصرف المركزي بأداء خدمات التمويل المفتوح، التسجيل والحفاظ على التسجيل كمشارك في إطار الثقة 3-1 والتعاون بشكل منفتح وفي الوقت المناسب، على النحو المحدد في هذا النظام وأية أنظمة مصاحبة مع مزود الخدمة التمويل المفتوح
   1-3	والتعاون بشكل منفتح وفي الوقت المناسب، على النحو المحدّد في هذا النظام وأية أنظمة مصاحبة، مع مزوّد لخدمة التمويل المفتوح فيما يتعلق بمشاركة بيانات المستخدم الخاصة بمستخدمي المنشأة المرخصة و / أو بدء المعاملات، بشرط الحصول على موافقة المستخدم. يجب على المنشأة المرخصة عدم مشاركة أي بيانات مستخدم في حوزتها إذا لم يكن هذا المستخدم عميلا للمنشأة المرخصة، أو عندما تتلقى المنشأة المرخصة بيانات المستخدم من مالك الخدمة.

2. لا يجوز لأي شخص المشاركة في نشاط استخلاص البيانات أو أي نشاط آخر مشابه لاستخراج البيانات، سواء كان ذلك مقترنًا بالإدخال الآلي للبيانات أو لم يكن بهدف ممارسة أي أنشطة تخضع لهذا النظام، باستثناء ما تُجيزه القوانين المعمول بها. كما لا يجوز لأي شخص أن يقوم باعتراض الاتصالات الرقمية، بما في ذلك، ولكن ليس على سبيل الحصر، واجهة برمجة التطبيقات، بين الواجهات الخاصة بالجمهور والنظم الأخرى للتطبيقات الإلكترونية عبر الإنترنت أو تطبيقات الهاتف المتحرك والخاصة بالمنشأة المرخصة، من خلال إجراء هندسة عكسية أو أي نشاط مشابه آخر، باستثناء ما تُجيزه القوانين السارية في الدولة.

1. تنطبق التزامات خدمات مشاركة البيانات بموجب هذه المادة 16 من هذا النظام فيما يتعلق فقط ببيانات المستخدم.

2. مع مراعاة الحصول على موافقة المستخدم وفقًا للمادة 22 من هذا النظام، إذا استعمل المستخدم خدمات مشاركة البيانات المقدمة من قبل مزود خدمة البيانات، لدمج المعلومات المتعلقة ببيانات المستخدم الخاصة بذلك المستخدم، فإنه يجب على المحتفظ بالبيانات:

   1-2	توفير المعلومات المتعلّقة ببيانات المستخدم وفقاً للطلب الوارد؛
   2-2	التعامل مع طلب الحصول على المعلومات المتعلقة ببيانات المستخدم بنفس الطريقة التي يتم التعامل بها مع طلب يتم استلامه حصرًا وبصورة مباشرة من المستخدم فقط؛
   3-2	والتواصل بشكل آمن مع مزوّد خدمات مشاركة البيانات بموجب هذا النظام والأنظمة المطبقة الأخرى ومتطلبات إطار التمويل المفتوح.

3. يجب على مزوّد خدمات مشاركة البيانات:

   1-3	توفير مشاركة البيانات فقط طبقًا الموافقة المستخدم الصريحة وتعليماته؛
   2-3	عدم معالجة أي بيانات مستخدم تكون بيانات حساسة لتوفير خدمات مشاركة البيانات، حتى مع موافقة صريحة من المستخدم؛
   3-3	التأكّد من أن بيانات اعتماد الأمان المخصصة للمستخدم، مثل أرقام التعريف الشخصي و / أو كلمات المرور: 1-3-3  غير متاحة لأطراف أخرى، باستثناء جهة إصدار بيانات الاعتماد؛ 2-3-3 ويتم نقلها عبر قنوات آمنة وفعالة.

4. يجب على مزوّد خدمات مشاركة البيانات تعريف نفسه والتواصل بشكل آمن مع المحتفظ بالبيانات والمستخدم.
5. يجب على مزوّد خدمات مشاركة البيانات عدم استخدام أي معلومات أو الوصول إليها أو تخزينها لأي غرض بخلاف توفير خدمات مشاركة البيانات التي يطلبها المستخدم صراحة، باستثناء الحالات اللازمة للامتثال لأي قانون معمول به في الدولة.

1. تنطبق الالتزامات المنصوص عليها في هذه المادة 17 والمتعلقة بخدمات بدء الخدمة فيما يتعلق فقط بالحسابات والمنتجات ذات الصلة.

2. عندما يمنح المستخدم موافقته الصريحة على بدء معاملة من خلال مزود خدمات بدء الخدمة، يجب على مالك الخدمة:

   1-2	التواصل بشكل آمن مع مزود خدمات بدء الخدمة وفقًا للأنظمة ومتطلبات إطار التمويل المفتوح؛
   2-2	مباشرةً بعد استلام التعليمات لبدء معاملة للمستخدم، توفير أو إتاحة جميع المعلومات اللازمة لبدء المعاملة لمزود خدمات بدء الخدمة، ثم بعد ذلك عرض حالة المعاملة على المستخدم حتى اكتمالها؛
   3-2	والتعامل مع التعليمات لبدء المعاملة بنفس الطريقة التي يتم التعامل بها مع التعليمات التي يتم حصرًا تلقيها بصورة مباشرة من المستخدم.

3. يجب على مزوّد خدمات بدء الخدمـة:

   1-3	توفير خدمات بدء الخدمة فقط طبقًا لموافقة المستخدم الصريحة وتعليماته؛
   2-3	التأكّد من أن بيانات اعتماد الأمان المخصصة للمستخدم، مثل أرقام التعريف الشخصي و / أو كلمات المرور: 1-2-3 لا يمكن الوصول إليها من قبل الأطراف أخرى، باستثناء جهة إصدار بيانات الاعتماد؛ 2-2-3 ويتم نقلها عبر قنوات آمنة وفعالة.

    

4. يجب على مزوّد خدمات بدء الخدمة تعريف نفسه لمالك الخدمة والتواصل بشكل آمن مع مالك الخدمة في كل مرة يتم فيها بدء معاملة.
5. يجب على مزوّد خدمات بدء الخدمة، عند توفير خدماته، عدم استخدام أي معلومات أو الوصول إليها أو تخزينها لأي غرض آخر بخلاف توفير الخدمات التي يطلبها المستخدم صراحة، باستثناء الحالات الضرورية للامتثال لأي قانون معمول به في الدولة.

1. يجب على المنشآت المرخّصة التي تعد محتفظة بالبيانات ومالكة خدمات، يجب عليها تطبيق إجراءات المصادقة وفقا للمادة 18(2) من هذا النظام عندما يقوم المستخدم:

   1-1	بالوصول إلى معلومات حساب أو منتج من خلال مزوّد خدمات مشاركة البيانات الذي يزاول أنشطة مشاركة البيانات؛
   2-1	أو ببدء معاملة من خلال مزوّد خدمات بدء الخدمة الذي يزاول أنشطة بدء الخدمة.

2. يجب على المنشآت المرخصة التي تعدّ محتفظة بالبيانات و / أو مالكة خدمات أن تحدّد وتنفّذ عملية مصادقة موثوقة وفعالة للتثبت من هوية المستخدم والتحقق من صلاحيته. ويجب أن تستوجب هذه العملية على الأقل إجراء مصادقة ثنائية بما في ذلك عناصر المعرفة أو الحيازة أو تلك المتأصلة بالمستخدم. ويجب تطبيق إجراءات إضافية في الظروف عالية المخاطر. كما يجب على المنشأت المرخصة التي تعد محتفظة بالبيانات و / أو مالكة خدمات الامتثال لأي متطلبات إضافية يحدّدها المصرف المركزي من حينٍ لآخر.
3. يمكن لمزوّدي خدمات مشاركة البيانات و / أو خدمات بدء الخدمة الاعتماد على إجراءات المصادقة التي يقوم بها المحتفظ بالبيانات أو مالك الخدمة، حسبما هو مناسب.

1. يجب على جميع المشاركين في التمويل المفتوح استخدام معايير اتصال مفتوحة ومشتركة وآمنة لغرض تحديد الهوية والمصادقة والإخطار والمعلومات، وكذلك لتنفيذ التدابير الأمنية، بين المنشآت المرخصة التي تعد محتفظة بالبيانات و / أو مالكة الخدمات بالإضافة إلى مزودي خدمات مشاركة البيانات ومزودي خدمات بدء الخدمة والمستخدمين وجهات الدفع والمدفوع لهم والأطراف الأخرى ذات الصلة.
2. يجب إجراء جميع الاتصالات وفقًا للأنظمة المنصوص عليها من حين لآخر من قبل المصرف المركزي، استنادًا إلى إطار التمويل المفتوح.

3. يجب أن يكون للمنشآت المرخّصة التي تُوفر حسابات أو منتجات يمكن الوصول إليها إلكترونيًا عبر الإنترنت واجهة واحدة على الأقل تفي بكل من المتطلبات التالية:

   1-3	يمكن لمزوّدي خدمات مشاركة البيانات ومزودي خدمات بدء الخدمة تعريف أنفسهم للمنشآت المرخّصة؛
   2-3	يمكن لمزوّدي خدمات مشاركة البيانات التواصل بشكل آمن لطلب وتلقي معلومات حول منتج و/ أو حساب واحد أو أكثر؛
   3-3	ويمكن لمزوّدي خدمات بدء الخدمة التواصل بشكل آمن لتوفير خدمات بدء الخدمة وتلقي معلومات حول خدمات بدء الخدمة والمعاملات المتعلقة بها.

4. يجب على المنشآت المرخّصة إنشاء الواجهة المشار إليها في المادة 19(3) من هذا النظام عن طريق واجهة مخصصة، أو عن طريق السماح لمزودي خدمة التمويل المفتوح باستخدام الواجهة المستخدمة للمصادقة والاتصال مع المستخدم التابع للمنشأة المرخصة.
5. بالنسبة للرسائل المالية، يجب على المنشآت المرخصة أيضًا التأكّد من أنّ أي واجهة مخصصة مشار إليها في المادة 19(3) من هذا النظام تستخدم عناصر 20022 ISO أو مكوناته أو تعريفات الرسائل المعتمدة، حسبما يتم تعديلها أو تحديثها من وقت لآخر.
6. لا يجوز الوصول إلى المعلومات لدى المُحتفظ بالبيانات أو مالك الخدمة إلا لأغراض توفير خدمة التمويل المفتوح وأي أنشطة ذات صلة بذلك وتمتثل لمتطلبات هذا النظام.

1. يجب أن يلتزم مزودو خدمة التمويل المفتوح بالحكمة والأخلاقية وبالكفاءة خلال عملهم بطريقة لا تؤثر سلبًا على مصالح المستخدم أو المستخدم المحتمل.
2. يجب على مزودي خدمة التمويل المفتوح تزويد المستخدم بشروط وأحكام كتابية تحكم علاقتهم التعاقدية مع المستخدم قبل الدخول في علاقة مع المستخدم لتزويده بخدمات التمويل المفتوح.
3. يجب أن تكون الشروط والأحكام المشار إليها في المادة 20(2) من هذا النظام مكتوبة بلغة واضحة وخالية من التعقيد ومفهومة بطريقة غير مضللة، ويجب أن تكون متاحة باللغتين العربية والإنجليزية على الأقل. وطبقا للحد الذي يحق فيه لمزود خدمة التمويل المفتوح تعاقديا إجراء تغييرات على شروطه وأحكامه، يجب على مزود خدمة التمويل المفتوح تقديم إشعار مدته ستون (60) يوما تقويميًا على الأقل للمستخدم بهذه التغييرات.
4.  يحق للمستخدم إنهاء علاقته مع مزود خدمة التمويل المفتوح دون أي رسوم مباشرة أو غير مباشرة إذا لم يقبل المستخدم التغيير / التغييرات على شروط وأحكام مزود خدمة التمويل المفتوح والتي يتم إخطار المستخدم بها بموجب المادة 20(3) من هذا النظام.

5. يجب أن تبين شروط وأحكام مزود خدمة التمويل المفتوح مع المستخدمين على الأقل ما يلي:

   1-5	جدول الرسوم والتكاليف؛
   2-5	تفاصيل الاتصال بمزود خدمة التمويل المفتوح، بما يشمل الاسم القانوني والعنوان المسجل وعنوان الوكيل، حيثما ينطبق ذلك؛
   3-5	قناة / قنوات التواصل بين مزود خدمة التمويل المفتوح والمستخدم؛
   4-5	الطريقة والجدول الزمني لقيام المستخدم بإخطار مزود خدمة التمويل المفتوح في حالة بدء الخدمة بشكل غير مصرح به أو متأخر أو غير صحيح؛
   5-5	معلومات عن مسؤوليات كل من مزود خدمة التمويل المفتوح والمستخدم بشأن المعاملات غير المصرح بها؛
   6-5	معلومات حول إجراءات الشكاوى الخاصة بمزود خدمة التمويل المفتوح؛
   7-5	معلومات عن الطريقة التي يتم بها حل المنازعات بين مزود خدمة التمويل المفتوح والمستخدم؛
   8-5	وإجراءات مزود خدمة التمويل المفتوح للإبلاغ عن المعاملات غير المصرح بها.

1. يكون مزود خدمة التمويل المفتوح مسؤولا تجاه المستخدم عن الخسائر أو الأضرار التي يتكبدها المستخدم في حالة الوصول غير المصرح به إلى بيانات المستخدم التي يحتفظ بها مزود خدمة التمويل المفتوح أو فقدانها.
2. فيما يتعلق بخدمات بدء الخدمة، يتحمل مزود خدمات بدء الخدمة المسؤولية تجاه المستخدم عن الخسائر أو الأضرار التي يتكبدها المستخدم فيما يتعلق بعدم تنفيذ المعاملة أو تنفيذها بشكل متأخر أو التي تشتمل على أوجه قصور الناشئة عن البدء المتأخر و/ أو المعالجة المتأخرة لبدء المعاملات، بما في ذلك عند وجود فشل من قبل مزود خدمات بدء الخدمة للتأكد من أنه تم التصريح بالمعاملة بشكل مناسب، والمصادقة عليها أو تسجيلها بدقة، أو فشله في استخدام طرق اتصال آمنة مناسبة.
3. في حالة وجود نزاع بين مزود خدمات بدء الخدمة والمستخدم فيما يتعلق بمسؤولية مزود خدمات بدء الخدمة بموجب المادة 21(2) من هذا النظام، فإن على مزود خدمات بدء الخدمة إثبات أن المعاملة قد تمت معالجتها بشكل صحيح، مع تقديم الأدلة الداعمة لذلك.
4. فيما يتعلق بخدمات بدء الخدمة، يكون مالك الخدمة مسؤولاً تجاه المستخدم عن الخسائر أو الأضرار التي يتكبدها المستخدم فيما يتعلق بعدم تنفيذ المعاملة أو تنفيذها بشكل متأخر أو التي تشتمل على أوجه قصور، ما لم تحدث هذه الخسائر أو الأضرار نتيجة لأي فعل أو إهمال من جهة مزود خدمات بدء الخدمة على النحو الوارد في المادة 21(2) من هذا النظام.
5. إن أي اختراق أمني أو حدث آخر يؤدي إلى الوصول غير القانوني أو غير المصرح به أو العرضي أو تغيير أو تدمير أو إفشاء أو فقدان بيانات المستخدم التي تكون بيانات شخصية للمستخدم وذلك خلال تخزينها أو نقلها أو غير ذلك، والذي يسببه بشكل مباشر أو غير مباشر، كليا أو جزئيا، مزود خدمة التمويل المفتوح، فإنه قد يعرض مزود خدمة التمويل المفتوح لجزاءات وعقوبات إدارية ومالية حسبما يراه المصرف المركزي مناسبًا، وذلك دون الإخلال بأي جزاءات أو عقوبات أخرى تفرضها القوانين المعمول بها.

1. يجب على مزوّد خدمة التمويل المفتوح عدم معالجة أي بيانات شخصية لتوفير خدماته ما لم يحصل على موافقة صريحة من المستخدم للقيام بذلك. وتخضع المادة 22 من هذا النظام لتقييدات معالجة البيانات الحساسة المنصوص عليها في المادة 4(1)(5) وفي المادة 16(3)(2) من هذا النظام.

2. يجب أن تكون موافقة المستخدم:

   1-2	محدّدة للغرض الذي يتم منحها من أجله، ومستنيرة، وغير غامضة، وممنوحة بحرية؛
   2-2	ممنوحة باستخدام بيان أو إجراء واضح وموضوعي وإيجابي للدلالة على الموافقة على معالجة البيانات الشخصية الخاصة بذلك المستخدم؛
   3-2	إذا كانت المعالجة تهدف إلى تغطية أغراض متعددة، يتم الحصول عليها لكل غرض بطريقة يمكن تمييزها بوضوح؛
   4-2	في حالة تكرار المعاملة، تُحدّد فترة صلاحية الموافقة، ويكون الحد أقصى لذلك اثني عشر(12) شهراً؛
   5-2	وأن يكون المستخدم قادرًا على سحبها في أي وقت ولأي سبب، عند إشعار مزوّد خدمة التمويل المفتوح.

3. يجب على مزوّد خدمة التمويل المفتوح، في وقت الحصول على الموافقة، إبلاغ المستخدم بهذا الحقّ في سحب الموافقة وكيفية ممارسة هذا الحق. وينبغي ألا يتطلب سحب الموافقة جهدًا غير مبّرر من جانب المستخدم، وينبغي أن يتم على الأقل بنفس الدرجة من البساطة والسرعة والسهولة التي مُنحت بها الموافقة. ولا يؤثر سحب الموافقة على قانونية المعالجة التي تتم قبل تاريخ سحب الموافقة، ولا يَمنع مزوّد خدمة التمويل المفتوح من الاحتفاظ بالبيانات الشخصية المطلوبة للامتثال للمادة 13 من هذا النظام أو القوانين المعمول بها.

4. في حالة خدمات بدء الخدمة، يجب الحصول على موافقة المستخدم فيما يتعلق بكل معاملة سيتم البدء بها من قبل مزوّد خدمات بدء الخدمة أو، في حالة المعاملة المتكررة، يجب الحصول على موافقة المستخدم في الوقت الذي يُنشئ فيه المستخدم المعاملة المتكررة لأول مرة، ومعاييرها. ويجب أن تتضمن موافقة المستخدم في حالة خدمات بدء الخدمة تفاصيل حول ما يأتي، حسب الاقتضاء:

   1-4	الحساب / الحسابات أو المنتج / المنتجات المعنية التي ترتبط بها المعاملة / المعاملات؛
   2-4	طبيعة المعاملة / المعاملات المعنية التي سيتم بدؤها (بما في ذلك ما إذا كانت معاملة متكررة)؛
   3-4	قيمة / قيم المعاملة / المعاملات المعنية؛
   4-4	المستفيد / المستفيدون من المعاملة / المعاملات المعنية؛
   5-4	وتاريخ / تواريخ قيمة المعاملة / المعاملات المعنية.

5. لن تُعتبر موافقة المستخدم صالحة في الظروف التي يحصل فيها مزوّد خدمة التمويل المفتوح على موافقة المستخدم على معالجة البيانات الشخصية التي تتضمن بيانات شخصية تكون غير ذات صلة، أو لا تقتصر على، ما هو ضروري للغرض المقصود الذي تم منحها من أجله.
6. إذا كانت بيانات المستخدم تحتوي على بيانات شخصية لأشخاص طبيعيين بخلاف المستخدم، فيجب على مزوّدي خدمة التمويل المفتوح إخفاء هويّة هذه البيانات الشخصية لهؤلاء الأشخاص الطبيعيين الآخرين، أو التأكّد من الحصول على موافقة هؤلاء الأشخاص الطبيعيين الذين تتعلق بهم البيانات الشخصية قبل معالجة هذه البيانات الشخصية وفقًا لهذا النظام (ما لم تكن معالجة تلك البيانات الشخصية مسموح بها بموجب القوانين المعمول بها فيما يتعلق بحماية البيانات الشخصية).
7. لا يوجد في هذا النظام ما ينتقص من التزامات المنشأة المرخّصة بموجب جميع القوانين والأنظمة الأخرى المعمول بها فيما يتعلق بحماية البيانات الشخصية، بما في ذلك الأنظمة الأخرى.
8. يجب على مزوّدي خدمة التمويل المفتوح الامتثال لجميع القوانين والأنظمة الأخرى المعمول بها فيما يتعلق بحماية البيانات الشخصية.

9. دون الإخلال بالمادة 22(7) و22(8) من هذا النظام، يجب للبيانات الشخصية التي تعالجها المنشأة المرخصة أو مزوّد خدمة التمويل المفتوح فيما يتعلق بخدمات التمويل المفتو ح:

   1-9	أن تتم معالجتها بشكل قانوني وعادل وبطريقة شفافة؛
   2-9	أن يتم جمعها لأغراض محدّدة وصريحة ومشروعة، وألا تتم معالجتها في أي وقت بطريقة لا تتوافق مع تلك الأغراض؛
   3-9	أن تكون كافية، وذات صلة، ومقتصرة على ما هو ضروري فيما يتعلق بالأغراض التي تتم من أجلها معالجتها؛
   4-9	أن تكون دقيقة، وعند الضرورة، يتم تحديثها، ويجب اتخاذ كل خطوة معقولة لضمان محو البيانات الشخصية غير الدقيقة، مع مراعاة الأغراض التي تتم من أجلها معالجتها، أو تصحيحها دون تأخير؛
   5-9	وأن تتم معالجتها بطريقة تضمن الأمن المناسب للبيانات الشخصية، بما في ذلك حمايتها من المعالجة غير المصرّح بها أو غير القانونية ومن الفقدان أو التدمير أو التلف بصورة عرَضية، وذلك باستخدام التدابير الفنية أو التنظيمية المناسبة.

10. يجب على مزوّدي خدمة التمويل المفتوح اتلاف بيانات المستخدم التي هي بيانات شخصية تسمح بتحديد هوية المستخدم بعد اكتمال الغرض من تقديمها إلى مزوّد خدمة التمويل المفتوح، مع مراعاة متطلبات الاحتفاظ بالسجلات في المادة 13 من هذا النظام وأي متطلبات إلزامية للاحتفاظ بالبيانات بموجب القوانين المعمول بها، بما في ذلك قوانين مواجهة غسل الأموال.

11. يجب على مزوّدي خدمة التمويل المفتوح تخزين جميع البيانات المتعلّقة بخدمات التمويل المفتوح داخل الدولة، ولا يُسمح لهم بالاحتفاظ بنسخ من البيانات التي يحصلون عليها من خلال خدمات التمويل المفتوح خارج الدولة ما لم يقم مزوّد خدمة التمويل المفتوح بالحصول على:

    1-11	موافقة من المصرف المركزي وموافقات إضافية من أي سلطة مختصّة أخرى ذات صلة، حسبما يكون ذلك ضروريًا؛
    2-11	موافقة كتابية مسبقة من المستخدم . ولغرض الحصول على مثل هذه الموافقة من المستخدم، يجب إبلاغ المستخدم بالمعلومات التالية، وذلك قبل أو عندما يُطلب منه إعطاء الموافقة: 1-2-11  أين سيتم تخزين بيانات المستخدم؛ 2-2-11  لماذا سيتم تخزينها خارج الدولة؛ 3-2-11  يتم طلب هذه الموافقة فقط للغرض الذي تمت الموافقة عليه من قبل المصرف المركزي؛
    3-11	وإقرار كتابي من المستخدم بإمكانية الوصول إلى بياناته بموجب إجراءات قانوذية خارج الدولة في مثل هذه الظروف.

12. ورهنًا بموافقة المصرف المركزي ووفقًا للقوانين والأنظمة ذات الصلة، يمكن للفروع المرخصّة للبنوك الأجنبية تخزين البيانات المتعلّقة بخدمات التمويل المفتوح خارج الدولة، على أن يتم تخزين نسخة من نظام السجلات الرئيس داخل الدولة، وأن يتم تحديثه بشكل يومي على الأقل.

1. يجب أن يكون لدى مزوّدي خدمة التمويل المفتوح سياسات وإجراءات وضوابط داخلية شاملة وفعالة معمول بها لمواجهة غسل الأموال ومكافحة تمويل الإرهاب، وذلك لضمان الامتثال لقوانين و أنظمة مواجهة غسل الأموال حسبما يتم تعديلها من حين لآخر.
2. يجب أن يكون لدى مزوّدي خدمة التمويل المفتوح سياسات ونظم متينة مطبقة لمواجهة عمليات الاحتيال، والتي ينبغي أن تتناول متطلبات تحديد الهوية وضوابط الوصول، وذلك للامتثال لمتطلبات هذا النظام.

1. يجب على مزوّدي خدمة التمويل المفتوح إنشاء إطار مناسب لحوكمة تقنية المعلومات. ويجب أن تشمل حوكمة تقنية المعلومات جوانب مختلفة، منها وجود هيكل واضح لوظائف تقنية المعلومات، ووضع سياسات ضبط وإدارة مخاطر لتقنية المعلومات، كما يجب أن تتضمّن على الأقل وظيفة فعّالة لتقنية المعلومات، ووظيفة متينة لإدارة مخاطر التقنية، ووظيفة مستقلة لتدقيق نظم التقنية.
2. يكون مجلس الإدارة، أو اللجنة التي يعيّنها، مسؤولًا عن ضمان إنشاء إطار سليم ومتين لإدارة المخاطر والحفاظ عليه لإدارة مخاطر التقنية بطريقة تتناسب مع جميع المخاطر التي يتعرّض لها مزوّد خدمة التمويل المفتوح.
3. يجب على مزوّدي خدمة التمويل المفتوح الالتزام بمعايير الأمن والمعايير الأخرى التي وضعها المشغّل لضمان عدم اختراق البرمجيات التي يستخدمها مزوّد خدمة التمويل المفتوح في أي مرحلة من مراحل عملية تطو يرها.
4. يجب على مزوّدي خدمة التمويل المفتوح اعتماد وتنفيذ المعايير المتبعة في قطاع العمل وأفضل الممارسات المتعلقة بإدارة المخاطر الأمنية، وذلك وفقًا لتوجيهات المصرف المركزي من حين لآخر.
5. يجب على مزوّدي خدمة التمويل المفتوح تحديد جميع مخاطر الأمن السيبراني وإدارتها ومعالجتها بطريقة مناسبة من خلال تنفيذ إطار لإدارة مخاطر التقنية. ويجب على مزود خدمة التمويل المفتوح تخصيص ما يكفي من الموظفين ذوي المهارة لضمان قدرته على تحديد المخاطر وحماية بنيته التحتية وخدماته الحيوية ضد أي هجوم، واحتواء الأثر الناجم عن حوادث الأمن السيبراني، واستعادة خدماته.
6. يجب على مزوّدي خدمة التمويل المفتوح وضع خطّة للاستجابة لحوادث الأمن السيبراني وإدارتها لعزل وتحديد التهديدات السيبرانية سريعّا، واستئناف الخدمات المتأثرة فى أقرب وقت ممكن. ويجب أن توضح الخطّة، ضمن أمور أخرى، إجراءات الاستجابة للسيناريوهات المعقولة للتهديدات السيبرانية.

1. للمصرف المركزي أن يُجري عمليات تفتيش دورية على عمل مزوّدي خدمة التمويل المفتوح للتأكّد من السلامة المالية وامتثالهم بمتطلبات هذا النظام وجميع القوانين والأنظمة المعمول بها.
2. يجب على مزوّدي خدمة التمويل المفتوح إتاحة الوصول الكامل وغيرالمقيّد إلى مقارهم وإدارتهم العليا وموظفيهم وحساباتهم وسجلاتهم ومستنداتهم من قبل المصرف المركزي، ويجب عليهم أيضّا تقديم المعلومات والتسهيلات التي قد يطلبها المصرف المركزي على الفور لإجراء عمليتي المراقبة والتفتيش المشار إليها في المادة 25(1) من هذا النظام.

1. للمصرف المركزى، من حينٍ لآخر، وبالتعاون مع الهيئات الحكومية المعنية والتشاور مع أصحاب المصلحة ذوي الصلة، أن يطوِّر ويصدر معايير فنية رقابية موجّهة إلى مزوّدي خدمة التمويل المفتوح بهدف وضع متطلبات إضافية و / أو توفير تفاصيل وضوابط وإرشادات إضافية للمجالات ذات الصلة بتقديم خدمات التمويل المفتوح ضمن نطاق أنشطة التمويل المفتوح، بما في ذلك، ولكن ليس على سبيل الحصر:

   1-1	مواصفات الوصول الرقمي؛
   2-1	الأمن السيبراني؛
   3-1	التصميم العام لرحلة العميل؛
   4-1	إدارة الموافقات المركزية ودوراتها، بما في ذلك الموافقة من تطبيق إلى آخر؛
   5-1	الحق في فرض رسوم محدّدة أو منع فرضها على أي طرف ثالث من مزوّدي الخدمات؛
   6-1	وأي مجال آخر، حسب الاقتضاء.

1. قد تؤدّي مخالفة أي حكم من أحكام هذا النظام أو ارتكاب أي من المخالفات المنصوص عليها في قانون المصرف المركزي أو القوانين الأخرى المعمول بها إلى تعرّض مزوّد خدمة التمويل المفتوح و / أو المنشأة المرخصّة لجزاءات وعقوبات إدارية ومالية حسبما يراه المصرف المركزي مناسبًا.

1. يخضع مزوّدو خدمة التمويل المفتوح لقوانين حماية المستهلك السارية والأنظمة المطبِّقة لها وأي أنظمة تم إصدارها.

1. تكون إدارة تطوير الأنظمة الرقابية بالمصرف المركزي هي المرجع في تفسير أحكام هذا النظام.

1.  يُنشر هذا النظام في الجريدة الرسمية باللغتين العربية والإنجليزية، و يدخل حيز التنفيذ على مراحل حسبما يتم الإخطار به من قِبَل المصرف المركزي.

خالد محمد بالعمى 

محافظ مصرف الإمارات العربية المتحدة المركزي