تجاوز إلى المحتوى الرئيسي مواجهة غسل الأموال وتمويل الإرهاب والأمن
المادة (23) مواجهة غسل الأموال ومكافحة تمويل الإرهاب وتمويل التنظيمات غير المشروعة
- يجب أن يكون لدى مزوّدي خدمة التمويل المفتوح سياسات وإجراءات وضوابط داخلية شاملة وفعالة معمول بها لمواجهة غسل الأموال ومكافحة تمويل الإرهاب، وذلك لضمان الامتثال لقوانين و أنظمة مواجهة غسل الأموال حسبما يتم تعديلها من حين لآخر.
- يجب أن يكون لدى مزوّدي خدمة التمويل المفتوح سياسات ونظم متينة مطبقة لمواجهة عمليات الاحتيال، والتي ينبغي أن تتناول متطلبات تحديد الهوية وضوابط الوصول، وذلك للامتثال لمتطلبات هذا النظام.
المادة (24) مخاطر التقنية وأمن المعلومات
- يجب على مزوّدي خدمة التمويل المفتوح إنشاء إطار مناسب لحوكمة تقنية المعلومات. ويجب أن تشمل حوكمة تقنية المعلومات جوانب مختلفة، منها وجود هيكل واضح لوظائف تقنية المعلومات، ووضع سياسات ضبط وإدارة مخاطر لتقنية المعلومات، كما يجب أن تتضمّن على الأقل وظيفة فعّالة لتقنية المعلومات، ووظيفة متينة لإدارة مخاطر التقنية، ووظيفة مستقلة لتدقيق نظم التقنية.
- يكون مجلس الإدارة، أو اللجنة التي يعيّنها، مسؤولًا عن ضمان إنشاء إطار سليم ومتين لإدارة المخاطر والحفاظ عليه لإدارة مخاطر التقنية بطريقة تتناسب مع جميع المخاطر التي يتعرّض لها مزوّد خدمة التمويل المفتوح.
- يجب على مزوّدي خدمة التمويل المفتوح الالتزام بمعايير الأمن والمعايير الأخرى التي وضعها المشغّل لضمان عدم اختراق البرمجيات التي يستخدمها مزوّد خدمة التمويل المفتوح في أي مرحلة من مراحل عملية تطو يرها.
- يجب على مزوّدي خدمة التمويل المفتوح اعتماد وتنفيذ المعايير المتبعة في قطاع العمل وأفضل الممارسات المتعلقة بإدارة المخاطر الأمنية، وذلك وفقًا لتوجيهات المصرف المركزي من حين لآخر.
- يجب على مزوّدي خدمة التمويل المفتوح تحديد جميع مخاطر الأمن السيبراني وإدارتها ومعالجتها بطريقة مناسبة من خلال تنفيذ إطار لإدارة مخاطر التقنية. ويجب على مزود خدمة التمويل المفتوح تخصيص ما يكفي من الموظفين ذوي المهارة لضمان قدرته على تحديد المخاطر وحماية بنيته التحتية وخدماته الحيوية ضد أي هجوم، واحتواء الأثر الناجم عن حوادث الأمن السيبراني، واستعادة خدماته.
- يجب على مزوّدي خدمة التمويل المفتوح وضع خطّة للاستجابة لحوادث الأمن السيبراني وإدارتها لعزل وتحديد التهديدات السيبرانية سريعّا، واستئناف الخدمات المتأثرة فى أقرب وقت ممكن. ويجب أن توضح الخطّة، ضمن أمور أخرى، إجراءات الاستجابة للسيناريوهات المعقولة للتهديدات السيبرانية.