1.

في هذه المادة (33)، يشير "مزود خدمة رموز الدفع" إلى المرخص له أو حامل التسجيل، باستثناء مُصدِري رموز الدفع الأجنبية المسجلين.

2.

يجب أن يكون لدى مزود خدمة رموز الدفع هيكل تنظيمي فعّال وقوي وموثق جيداً لحوكمة الشركات، بما في ذلك هيكل تنظيمي واضح يتضمن تسلسل إداري واضح وشفاف ومتسق.

3.

يجب أن تكون ترتيبات الحوكمة المشار إليها في المادة (33)2 شاملة ومتناسبة مع طبيعة الخدمات المقدمة ونطاقها وتعقيدها، و يجب أن تتضمن، على الأقل مايلى:

1.

في هذه المادة (34)، يشير "مزود خدمة رموز الدفع" إلى مزود خدمات رموز الدفع المرخص له أو حامل التسجيل، باستثناء مصدري رموز الدفع الأجنبية المسجلين.

2.

يجب على مزودي خدمات رموز الدفع وضع واعتماد سياسات وإجراءات قوية وشاملة لتحديد وإدارة ومراقبة والإبلاغ عن المخاطر التي تنشأ عن تقديم خدمات رموز الدفع التي قد يتعرضون لها أو قد يتعرضون لها في المستقبل، وآليات رقابة داخلية كافية، بما في ذلك إجراءات إدارية ومحاسبية صحيحة.

3.

يجب أن تخضع سياسات وإجراءات إدارة المخاطر التي يتبعها مزودو خدمات رموز الدفع إلى:

4.

يجب على مزوّدي خدمات رموز الدفع إنشاء وظيفة لإدارة المخاطر، ووظيفة للتدقيق الداخلي، ووظيفة للامتثال.

5.

يجب على مزودي خدمات رموز الدفع تنفيذ عملية فعالة لإدارة كفاية رأس المال الخاص بهم، بحيث تراقب هذه العملية كفاية رأس المال مع مرور الوقت وتتضمن تقديرات مستقبلية لمستوى رأس المال ومتطلبات رأس المال، وضمان التزام مزود خدمة رموز الدفع في جميع الأوقات بمتطلبات رأس المال المنصوص عليها في هذه النظام على الأقل.

6.

يجب على مزودي خدمات رموز الدفع إنشاء وتنفيذ عملية فعالة لإدارة مخاطر السيولة التي تكون مناسبة لحجم وتعقيد عملياتهم. يتمثل الهدف من ذلك في ضمان توافر سيولة كافية لمزود خدمة رموز الدفع لتلبية التزاماته المالية المختلفة المترتبة عن عملياته اليومية وطلبات الاسترداد في جميع الظروف الممكنة.

7.

يجب على مزودي خدمات رموز الدفع وضع نظام رقابة داخلي فاعل لدعم كفاءة العمليات، وحماية الأصول، وتوفير معلومات مالية وإدارية موثوقة، وتمكين الوقاية أو الكشف المبكر عن التجاوزات والاحتيال والأخطاء، وضمان الامتثال للمتطلبات القانونية والتنظيمية ذات الصلة والسياسات الداخلية.

8.

يجب على مزودي خدمات رموز الدفع وضع استراتيجية وخطة عمل شاملة، تتضمن تفاصيل حول الأهداف الاستراتيجية والخطة الزمنية. كما يجب أن تغطي خطة العمل الأعمال المقترحة من حيث نطاق العمليات الجغرافية، والأسواق المستهدفة وتوزيع العملاء، وأنواع العملاء وحجم القاعدة، وعرض المنتجات والخدمات، وقنوات التوزيع، واستراتيجية التسعير، وأنشطة الترويج والتسويق.

9.

يجب على مزودي خدمات رموز الدفع تعيين مدقق خارجي أو عدة مدققين خارجيين واحد أو أكثر للتدقيق، سنوياً:

10.

بناءً على طلب المصرف المركزي، يجب على المدقق الخارجي المعين تقديم تقرير التدقيق، إما مباشرة أو من خلال مزودي خدمات رموز الدفع، في شكل وإطار زمني مقبول لدى المصرف المركزي.

11.

بالإضافة إلى تقرير التدقيق، يمكن للمصرف المركزي طلب من المدقق الخارجى: 

12.

يجب على مزودي خدمات رموز الدفع إنشاء وظائف امتثال وتدقيق داخلى فعالة؛ لضمان الامتثال لجميع المتطلبات القانونية والتنظيمية المعمول بها، فضلاً عن سياساتهم واجراءاتهم وضوابطهم الخاصة. سيقيّم المصرف المركزي، من بين عوامل أخرى، جودة وحدات الامتثال والتدقيق الداخلي لمزودي خدمات رموز الدفع بناءً على:

13.

يجب على مزودي خدمات رموز الدفع تقييم المخاطر سنوياً على الأقل من قبل إدارة المخاطر:

14.

يجب على مزودي خدمات رموز الدفع تقديم أي تقييم بموجب المادة 13(34) إلى المصرف المركزي بعد الموافقة عليه من قبل مجلس الإدارة، مصحوباً بملخص تنفيذي يسلط الضوء على المخاطر الرئيسية والنتائج الأكثر أهمية والإجراءات لتصحيح المشاكل.

15.

في إطار نتائج التقييم السنوي للمخاطر، يجب على مزود خدمة رموز الدفع الذي لا يستطيع تلبية التزاماته الإبلاغ عن هذا الأمر على الفور إلى المصرف المركزي.

16.

يجب على مزودي خدمات رموز الدفع إنشاء وتنفيذ عملية فعالة لإدارة مخاطر السمعة التي تكون مناسبة لحجم وتعقيد عملياتها.

17.

يجب على مزودي خدمات رموز الدفع الاحتفاظ بجميع السجلات اللازمة للبيانات الشخصية وبيانات الدفع لمدة خمس (5) سنوات من تاريخ استلام هذه البيانات، ما لم ينص القانون الساري أو المصرف المركزي على خلاف ذلك.

1.

في هذه المادة (35)، يشير "مزود خدمة رموز الدفع" إلى المرخص له أو حامل التسجيل، باستثناء مصدري رموز الدفع الأجنبية المسجلين.

2.

من المتوقع أن يأخذ مزودو خدمات رموز الدفع في الاعتبار أفضل الممارسات الدولية والمعايير عند تصميم وتنفيذ التكنولوجيا وأنظمة إدارة المخاطر المحددة والعمليات

3.

يجب على مزود خدمة رموز الدفع إنشاء إطار فعال لإدارة مخاطر التكنولوجيا وأمن السيبرانية لضمان كفاية ضوابط تقنية المعلومات، ومقاومة الهجمات السيبرانية، وجودة وأمان أنظمة الحاسوب، بما في ذلك الموثوقية والقوة والاستقرار والتوافر، وسلامة وكفاءة عمليات خدمات رموز الدفع. و يجب أن يكون الإطار مناسباً للغرض المقصود ومتناسباً مع المخاطر المرتبطة بطبيعة العمل وحجمه وتعقيده وأنواعه والتكنولوجيا المعتمدة والنظام الشامل لإدارة المخاطر لمقدم خدمة رموز الدفع. ويجب النظر في اعتماد المعايير والممارسات الدولية المعترف بها عند صياغة مثل هذا الإطار لإدارة المخاطر.

4.

يجب أن يشتمل إطار إدارة مخاطر التكنولوجيا الفعال لمقدم خدمة رموز الدفع على حوكمة تقنية صحيحة، وعملية مستمرة لإدارة مخاطر التكنولوجيا، وتنفيذ ممارسات تحكم تقنية سليمة.

5.

يجب على مزودي خدمات رموز الدفع تطبيق وتلبية على الأقل معايير ضمان المعلومات في الإمارات العربية المتحدة، بما في ذلك التعديلات.

6.

يجب على مصدري رموز الدفع المرخصين الحفاظ على سياسات وإجراءات بشأن كيفية الاستجابة لأحداث "الانقسام" أو الإجراءات الإدارية السلبية التي تؤثر على تقنية السجلات الموزعة التي تصدر فيها رموز الدفع الخاصة بهم، بما في ذلك عن طريق إنشاء عملية لضمان منح حقوق الاسترداد وفقاً للمادة (21)6(ج)ولمنع استرداد الأشخاص الذين ليسوا حاملي رموز. يجب أن تتناول مثل هذه السياسات والإجراءات كل سلسلة كتل تصدر فيها رموز الدفع.

7.

يجب على مصدري رموز الدفع المرخصين الذين يحتفظون بأي رموز دفع أصدروها (بموجب اختصاصهم الخاص) الاحتفاظ بسياسة حفظ وأمان تحدد طريقة ضمان أمان رموز الدفع تلك.

8.

يجب على مزود خدمة رموز الدفع إنشاء إطار حوكمة مناسب لتقنية المعلومات، و يجب أن تغطى حوكمة تقنية المعلومات جوانب مختلفة، بما في ذلك هيكل واضح لوظائف تقنية المعلومات وإنشاء سياسات تحكم تقنية المعلومات. على الرغم من وجود هياكل مختلفة، يجب أن تشمل الوظائف الرئيسية وظيفة تقنية المعلومات الفعالة، ووظيفة إدارة مخاطر التكنولوجيا القوية، ووظيفة تدقيق التقنية المستقلة.

9.

يكون المجلس، أو اللجنة المعينة من قبل المجلس، مسؤولة عن ضمان وضع واعتماد إطار إدارة مخاطر فاعل بحيث تدار مخاطر التكنولوجيا بطريقة تتناسب مع المخاطر التي تفرضها خدمات رموز الدفع المقدمة.

10.

يجب على مزود خدمة رموز الدفع تحديد متطلباته الأمنية بوضوح في المرحلة المبكرة من تطوير النظام أو الاقتناء كجزء من متطلبات العمل ويجب بناء هذه المتطلبات بشكل كاف خلال مرحلة تطوير النظام.

11.

يجب على مزود خدمة رموز الدفع الذي يطور أو يوفر واجهة برمجة تطبيقات، إنشاء تدابير وقائية لإدارة تطوير وتوفير واجهة البرمجة لتأمين التفاعل وتبادل البيانات بين التطبيقات البرمجية المختلفة.

12.

يجب على مزود خدمة رموز الدفع تحديد المسؤولية العامة لإدارة الشبكة لأفراد مجهزين بالخبرة اللازمة لأداء واجباتهم بشكل واضح. يجب أن تُوثّق رسمياً المعايير والتصميم والمخططات وإجراءات التشغيل للشبكة، ويتم تحديثها باستمرار، وإيصالها إلى جميع الموظفين ذوي الصلة بالشبكة واستعراضها بانتظام.

13.

يجب على مزود خدمة رموز الدفع إنشاء وظيفة إدارة أمان ومجموعة من الإجراءات الرسمية لإدارة تخصيص حقوق الوصول إلى موارد النظام ونظم التطبيقات، ومراقبة استخدام موارد النظام لاكتشاف أي أنشطة غير عادية أو غير مصرح بها.

14.

يجب على مزود خدمة رموز الدفع ممارسة العناية الواجبة عند إدارة استخدام هويات المستخدمين ذوي الامتياز وهويات الطوارئ. تشمل إجراءات الرقابة اللازمة:

15.

يجب على مزود خدمة رموز الدفع التأكد من أن مخاطر أمن الشبكة السيبرانية لديه تُدار بشكل كافٍ من خلال عمليات إدارة مخاطر التكنولوجيا.

16.

و يجب أيضاً على مزود خدمة رموز الدفع تخصيص موارد كافية لضمان قدرته على تحديد المخاطر وحماية خدماته الحرجة ضد الهجمات، واحتواء تأثير حوادث الأمان السيبراني واستعادة الخدمات.

17.

يجب على مزود خدمة رموز الدفع إنشاء خطة للاستجابة لحوادث الشبكة السيبرانية وإدارتها لعزل التهديدات السيبرانية والغائها بسرعة واستئناف الخدمات المتأثرة في أقرب وقت ممكن. ويجب أن تصف الخطة الإجراءات للاستجابة لسيناريوهات التهديد السيبراني المعقولة.

يجب على مزود خدمة رموز الدفع تقييم ضرورة إجراء اختبارات اختراق ومحاكاة للهجمات السيبرانية بانتظام، بناءً على تقييم مستند إلى المخاطر لاحتمالية هجوم سيبراني وتأثيره (باعتبار أشياء أخرى مثل حجم وطبيعة عمله). ويجب أن تكون تغطية ونطاق الاختبار استناداً إلى ملف المخاطر الأمنية السيبرانية الموجود والمعلومات الاستخباراتية السيبرانية المتاحة، وتشمل ليس فقط الشبكات (الخارجية والداخلية) وأنظمة التطبيقات ولكن أيضاً الهندسة الاجتماعية والتهديدات السيبرانية الناشئة. يجب أن يتخذ مزود خدمة رموز الدفع إجراءات مناسبة للتخفيف من المشاكل والتهديدات والضعف المحددة في اختبارات اختراق ومحاكة الهجمات السيبرانية في الوقت المناسب، استناداً إلى تحليل التأثير وتعريض المخاطر. قد يطلب المصرف المركزي دليلاً على التقييم القائم على المخاطر المشار إليه في هذه الفقرة، ويمكنه توجيه إجراءات اختبارات اختراق ومحاكة هجمات سيبرانية أخرى أو بديلة.

18.

يجب على مزود خدمة رموز الدفع اختيار وتنفيذ تقنيات موثوقة وفعّالة للتحقق من هوية وصلاحية عملائه أو حاملى الرموز. و يجب فرض المصادقة متعددة العوامل.

19.

يجب تنفيذ تشفير من طرف إلى طرف لنقل كلمات مرور العملاء بحيث لا تتعرض فى أي وقت للكشف في أي عقد بين تطبيق الجوال أو المتصفح الخاص بالعميل والنظام الذي يتم التحقق فيه من الكلمات السرية.

20.

يجب على مزود خدمة الرموز الدفع تنفيذ ضوابط فعّالة لتقييد عدد محاولات تسجيل الدخول أو المصادقة (على سبيل المثال، إدخال كلمات مرور خاطئة)، وتنفيذ ضوابط الإنهاء وتحديد فترات زمنية لصلاحية التحقق. إذا تم استخدام كلمات مرور مرة واحدة لأغراض المصادقة، يجب على مزود خدمة الرموز الدفع التأكد من أن فترة صلاحية مثل هذه الكلمات المرور محدودة إلى الحد الأدنى الضروري.

21.

يجب على مزود خدمة الرموز الدفع اعتماد عمليات تضمن تسجيل جميع عمليات تحويل رموز الدفع التي تحدث في سياق خدمات الرموز الدفع الخاصة به مع سجل تدقيق مناسب.

22.

يجب على مزود خدمة الرموز الدفع تشغيل آليات مراقبة عمليات الدفع مصممة لمنع وكشف وحجب عمليات الدفع الاحتيالية، بطريقة تتناسب مع تقييم مبني على المخاطر لاحتمالية وقوع عمليات الدفع الاحتيالية وتأثيرها (مع مراعاة، بين أمور أخرى، حجم وطبيعة أعماله). يجب أن تخضع المعاملات المشبوهة أو ذات المخاطر العالية لإجراء فحص وتصفية وتقييم محدد. يمكن للمصرف المركزي طلب الأدلة على مثل هذا التقييم المبني على المخاطر، وقد يوجه بأن تتم اعتماد آليات مراقبة إضافية أو بديلة.

23.

يجب على مزود خدمة رموز الدفع توفير نصائح مهمة سهلة الفهم ودورية عبر وسائل فعالة وعدة قنوات لعملاء وحاملي الرموز بشأن التدابير الاحترازية الأمنية.

24.

يجب على مزود خدمة رموز الدفع إدارة المخاطر المرتبطة بالرسائل الإلكترونية الاحتيالية والمواقع الإلكترونية وتطبيقات الجوال، التي تم تصميمها لخداع العملاء للكشف عن معلومات المستخدم الحساسة مثل معرفات تسجيل الدخول وكلمات المرور وكلمات المرور لمرة واحدة.

25.

يجب على مزودي خدمة رموز الدفع الإبلاغ عن الحوادث الأمنية والتشغيلية الكبيرة بما في ذلك فترات التعطل للمصرف المركزي، إما فوراً أو على الأساس الذي قد يوجه المصرف المركزي به من وقت لآخر، أو كما هو محدد في نظام المصرف المركزي.

1.

في هذه المادة (36)، يشير "مزود خدمة رموز الدفع" إلى المرخص له أو حامل التسجيل، باستثناء مُصدِري رموز الدفع  الأجنبية المسجلين.

2.

يجب أن يكون لدى مزود خدمة رموز الدفع برنامج مناسب لإدارة استمرارية الأعمال لضمان الاستمرار أو التعافي في الوقت المناسب أو في الحالات القصوى التقليص المنظم للعمليات الحيوية في حالة حدوث اضطرابات كبيرة ناجمة عن سيناريوهات طوارئ مختلفة. يشتمل البرنامج المناسب لإدارة استمرارية الأعمال على تحليل تأثير الأعمال واستراتيجيات التعافي وخطة استمرارية الأعمال والمواقع البديلة لاستعادة الأعمال وتكنولوجيا المعلومات.

3.

يجب على مزود خدمة رموز الدفع وضع مجموعة من استراتيجيات التعافي لضمان استعادة جميع وظائف العمل الحرجة المحددة في تحليل تأثير الأعمال وفقاً لإطار زمني محدد. ويجب توثيق هذه الاستراتيجيات بوضوح، واختبارها بشكل شامل، ومراجعتها بانتظام لضمان تحقيق أهداف الاستعادة.

4.

يجب على مزود خدمة الرموز الدفع وضع تدابير فعالة لضمان أن جميع السجلات التجارية، ولا سيما سجلات العملاء، يمكن استعادتها في الوقت المناسب في حال فقدانها أو تلفها أو تدميرها. كما يجب على مزود خدمة الرموز الدفع السماح للعملاء بالوصول إلى سجلاتهم الخاصة في الوقت المناسب. ويجب على مزود خدمة الرموز الدفع إخطار العملاء بأي فقد في سجلاتهم من خلال فشل تشغيلي أو سرقة، وبذل جهد معقول لضمان عدم استخدام السجلات الشخصية المفقودة بطريقة غير صحيحة.

5.

يجب على مزود خدمة رموز الدفع وضع خطة لاستمرارية العمل بناء على تحليل تأثير الأعمال واستراتيجيات التعافي ذات الصلة. و يجب أن تشتمل خطة استمرارية الأعمال، كحد أدنى، على ما يلى:

6.

يجب على مزود خدمة رموز الدفع إجراء اختبار لخطة استمرارية الأعمال مرة على الأقل سنوياً، مع ضمان مشاركة الإدارة العليا والموظفين الرئيسيين والبديلين المعنيين في الاختبار السنوي للتعرف على دورهم في تنفيذ مسؤوليات التعافي.

7.

يجب على مزود خدمة رموز الدفع مراجعة جميع المخاطر والافتراضات ذات الصلة بالتخطيط لاستمرارية الأعمال للتأكد من مدى جدوى وملاءمتها كجزء من التخطيط السنوي للاختبار. يجب إعداد وثائق الاختبار الرسمية، بما في ذلك خطة الاختبار والسيناريوهات والإجراءات والنتائج. كما يجب إعداد تقرير مراجعة لاحقة للتوقيع الرسمي من قبل الإدارة العليا.

8.

لتقليل الأثر المحتمل الذي قد يحدثه فشل أو اضطراب أو خروج مزود خدمة رموز الدفع على العملاء وأنظمة الدفع في الدولة، يجب على مزود خدمة رموز الدفع اعتماد خطط قابلة للتنفيذ لخروج منتظم لأعماله وعملياته في حال عدم توفر خيارات أخرى.

9.

يجب أن تتضمن خطة الخروج من الأعمال، بين أمور أخرى ما يلى:

10.

يجب على مزود خدمة رموز الدفع مراجعة الخطة بشكل سنوي لضمان ملاءمتها وقابليتها للتنفيذ.