1. يجب على مقدمي خدمات الدفع الامتثال لهذه المادة (13) ويتم تشجيعهم للرجوع إلى الملحق 2 للحصول على إرشادات حول أفضل الممارسات الخاصة بمخاطر التكنولوجيا وأمن المعلومات.

مخاطر التكنولوجيا

2. ينبغي على مقدمي خدمات الدفع الأخذ بعين الاعتبار أفضل الممارسات والمعايير الدولية عند تصميم وتنفيذ أنظمة وإجراءات إدارة مخاطر التكنولوجيا والمخاطر الخاصة.
    
3. يجب على مقدم خدمات الدفع إنشاء إطار فعال لإدارة مخاطر التكنولوجيا والأمن السيبراني لضمان ملاءمة ضوابط تكنولوجيا المعلومات، المرونة السيبرانية، الجودة والأمان، بما في ذلك موثوقية وقوة واستقرار وتوفر أنظمة الحاسوب لديها بالإضافة إلى سلامة وكفاءة عمليات خدمات الدفع للتجزئة. يجب أن يفي الإطار بالغرض وأن يتناسب مع المخاطر المرتبطة بطبيعة، حجم، تعقيد، ونوع الأعمال والعمليات، ومع التقنيات المعتمدة ونظام إدارة المخاطر الشامل لمقدم خدمات الدفع. وينبغي النظر في اعتماد المعايير والممارسات الدولية المعترف بها عند صياغة إطار إدارة المخاطر.
    
4. يجب أن يحتوي إطار إدارة مخاطر التكنولوجيا الفعال لمقدم خدمات الدفع على حوكمة مناسبة لتكنولوجيا المعلومات، إجراءات مستمرة لإدارة مخاطر التكنولوجيا وتنفيذ الممارسات السليمة لضوابط تكنولوجيا المعلومات.
    
5. يجب على مقدم خدمات الدفع وضع إطار عام لإدارة المشاريع الرئيسية المتعلقة بالتكنولوجيا، مثل تطوير البرمجيات داخلياً واقتناء أنظمة المعلومات. يجب أن يحدد هذا الإطار، من بين أمور أخرى، منهجية إدارة المشاريع التي سيتم اعتمادها وتطبيقها على هذه المشاريع.
    
6. يجب على مقدمي خدمات الدفع الامتثال والتقيد كحد أدنى بمعايير ضمان أمن المعلومات في الدولة، وما قد يطرأ عليها من تعديلات من وقت لآخر.

حوكمة تكنولوجيا المعلومات

7. يجب على مقدم خدمات الدفع وضع إطار حوكمة مناسب لتكنولوجيا المعلومات، على أن تتناول جوانب مختلفة، بما في ذلك هيكل واضح للوظائف وسياسات المراقبة. في حين قد توجد هياكل مختلفة، يجب أن تشمل الوظائف الرئيسية وظيفة فعالة لتكنولوجيا المعلومات، وظيفة قوية لإدارة مخاطر التكنولوجيا، ووظيفة مستقلة للتدقيق بشؤون التكنولوجيا.
    
8. يكون المجلس، أو اللجنة المعينة من قبله، مسؤول عن ضمان إنشاء إطار سليم وقوي لإدارة المخاطر والمحافظة عليه لإدارة مخاطر التكنولوجيا بطريقة تتناسب مع المخاطر التي تشكلها أنشطة الدفع للتجزئة لمقدم خدمات الدفع.

المتطلبات الأمنية

9. يجب على مقدم خدمات الدفع أن يحدد بوضوح متطلباته الأمنية في مرحلة مبكرة من تطوير النظام أو اقتنائه كجزء من متطلبات العمل، وأن يدرج تلك المتطلبات بشكل مناسب خلال مرحلة تطوير النظام.
    
10. يجب على مقدم خدمات الدفع الذي يستخدم أساليب أجايل لتسريع تطوير البرامج أن يدرج الممارسات الأمنية المناسبة لضمان عدم تعرض البرامج للإختراق في أي مرحلة من مراحل عملية التطوير.
     
11. يجب على مقدم خدمات الدفع الذي يطور واجهة برمجة التطبيقات (API) أو يوفر واجهة برمجة التطبيقات (API) وضع ضمانات لإدارة التطوير والتوفير لواجهات برمجة التطبيقات لتأمين التفاعل وتبادل البيانات بين تطبيقات البرامج المختلفة.

إدارة الشبكة والبنية التحتية

12. يجب على مقدم خدمات الدفع الذي يبلغ متوسط القيمة الشهرية لمعاملات الدفع الخاصة به عشرة (10) ملايين درهم أو ما فوق أن يسند بوضوح المسؤولية العامة لإدارة الشبكات الى الأفراد الذين لديهم الخبرة لأداء مهامهم. يجب توثيق معايير الشبكات، تصميمها، مخططاتها وإجراءات تشغيلها رسميًا وتحديثها وإبلاغها لجميع موظفي الشبكات المعنيين ومراجعتها بشكل دوري.
     
13. يجب على مقدم خدمات الدفع إنشاء وظيفة لإدارة أمن البنية التحتية ومجموعة من الإجراءات الرسمية لإدارة تعيين حقوق صلاحيات الدخول إلى موارد النظام وأنظمة التطبيقات، ومراقبة استخدام موارد النظام للكشف عن أي أنشطة غير اعتيادية أو غير مصرح بها.
     
14. يجب على مقدمي خدمات الدفع توخي العناية الواجبة عند التحكم باستخدام المعرفات ذات الامتيازات ومعرفات الطوارئ والوصول إليها. تشمل إجراءات التحكم الضرورية ما يلي:
     
    1. 14.1 تغيير كلمة المرور الافتراضية؛
    2.  
    3. 14.2 وضع ضوابط صارمة لكلمة المرور، مع تحديد حد أدنى لطول كلمة المرور ومرات استخدامها، وتعقيد كلمة المرور بالإضافة إلى فترة الصلاحية القصوى؛
    4.  
    5. 14.3 تقيد عدد المستخدمين ذوي الامتيازات؛
    6.  
    7. 14.4 تنفيذ ضوابط صارمة على صلاحيات الدخول عن بعد من قبل المستخدمين ذوي الامتيازات؛
    8.  
    9. 14.5 منح الصلاحيات الضرورية للغاية للمعرفات ذات الامتيازات ومعرفات الطوارئ؛
    10.  
    11. 14.6 الموافقة الرسمية من قبل كبار الموظفين المناسبين قبل السماح بالاستخدام؛
    12.  
    13. 14.7 تسجيل، حفظ ورصد الأنشطة التي يتم تنفيذها بواسطة المعرفات ذات الامتيازات ومعرفات الطوارئ (مثل مراجعة الأقران لسجلات الأنشطة)؛
    14.  
    15. 14.8 حظر مشاركة الحسابات ذات الامتيازات؛
    16.  
    17. 14.9 الحماية المناسبة للمعرفات وكلمات المرور ذات الامتيازات والطوارئ (مثل الاحتفاظ بها في مظروف مغلق ومقفل داخل مركز البيانات)؛ و
    18.  
    19. 14.10 تغيير كلمات المرور الخاصة بالمعرفات ذات الامتيازات ومعرفات الطوارئ فور إعادتها بواسطة صاحب الطلب.

خطر الأمن السيبراني

15. في حال اعتماد مقدم خدمات الدفع بشكل كبير على تكنولوجيا الإنترنت وأجهزة الهاتف المحمول لتقديم خدمات الدفع للتجزئة التي يوفرها، يجب إدارة مخاطر الأمن السيبراني بشكل مناسب من خلال عملية إدارة مخاطر التكنولوجيا لمقدم خدمات الدفع. يلتزم مقدم خدمات الدفع أيضًا بتوفير موارد تتمتع بمهارات كافية لضمان قدرته على تحديد المخاطر وحماية خدماته الأساسية من الهجوم، احتواء تأثير حوادث الأمن السيبراني واستعادة الخدمات.
     
16. يجب على مقدم خدمات الدفع وضع خطة استجابة وإدارة للحوادث السيبرانية لعزل والقضاء على التهديد السيبراني بسرعة واستئناف الخدمات المتأثرة في أقرب وقت ممكن. يجب أن تتضمن الخطة إجراءات الاستجابة لسيناريوهات التهديد السيبراني المعقولة.
     
17. يجب على مقدم خدمات الدفع الذي يبلغ متوسط القيمة الشهرية لمعاملات الدفع الخاصة به عشرة (10) ملايين درهم أو ما فوق أن يقوم بتقييم دوري لضرورة إجراء اختبار محاكاة الاختراق والهجوم السيبراني. يجب أن تستند التغطية ونطاق الاختبار إلى ملف تحديد مخاطر الأمن السيبراني، والمعلومات الاستخباراتية السيبرانية المتاحة، والتي لا تغطي الشبكات (الخارجية والداخلية) وأنظمة التطبيقات فحسب، بل تشمل أيضاً الهندسة الاجتماعية والتهديدات السيبرانية الناشئة. كما يجب على مقدم خدمات الدفع اتخاذ الإجراءات المناسبة للتخفيف من المشاكل، التهديدات والثغرات التي تم تحديدها في اختبار محاكاة الاختراق والهجمات السيبرانية في الوقت المناسب، بناءً على تحليل التأثير والتعرض للمخاطر.

المصادقة على مستخدمي خدمات الدفع للتجزئة

18. يجب على مقدم خدمات الدفع اختيار وتنفيذ تقنيات مصادقة موثوقة وفعالة للتحقق من هوية وصلاحية مستخدمي خدمات الدفع للتجزئة. يجب استخدام المصادقة المتعددة العوامل للمعاملات العالية المخاطر.
     
19. يجب اعتماد الترميز من طرف إلى طرف لنقل كلمات مرور مستخدم خدمات الدفع للتجزئة بحيث لا يتم كشفها في أي من التقاطعات الوسيطة بين تطبيق أو متصفح جهاز الهاتف المحمول الخاص بمستخدم خدمات الدفع للتجزئة والنظام الذي يتولى التحقق من كلمات المرور.

محاولات تسجيل الدخول وإدارة الجلسات

20. يجب على مقدم خدمات الدفع وضع ضوابط فعالة لعدد محاولات تسجيل الدخول والمصادقة (مثل محاولات الدخول بكلمة مرور غير صحيحة)، وتنفيذ ضوابط خاصة لنفاذ وقت جلسة الدخول ووضع قيود زمنية لصلاحية المصادقة. وفي حال استخدام كلمة مرور واحدة بهدف المصادقة، يجب على مقدم خدمات الدفع مراعاة أن تكون صلاحية مدة جلسة الدخول عند استخدام كلمات المرور أقل ما يمكن.
     
21. يجب على مقدم خدمات الدفع وضع إجراءات من شأنها ضمان تسجيل جميع عمليات الدفع في سجل تدقيق بالشكل المناسب.

إدارة حسابات مستخدم خدمات الدفع للتجزئة

22. يجب على مقدم خدمات الدفع الذي يوفر خدمات إصدار حسابات الدفع عند إجازته لمستخدم خدمات الدفع للتجزئة فتح حساب دفع عن طريق القنوات الالكترونية، إتباع طريقة موثوقة للمصادقة على هوية مستخدم خدمات الدفع للتجزئة. وبشكل عام، فإن الإجراءات المتبعة حالياً لمعرفة العميل إلكترونياً (أي مستخدم خدمات الدفع للتجزئة) (أعرف عميلك إلكترونياً) المعتمدة من المصرف المركزي الخاصة بالبنوك مقبولة للمصادقة على العميل وإجراء عمليات التحقق الخاصة بخدمات إصدار حساب الدفع.
     
23. يجب على مقدم خدمات الدفع القيام بالتحقق المناسب من هوية مستخدم خدمات الدفع للتجزئة عند القيام بأي طلب لتغيير معلومات حساب الدفع الخاص به او معلومات الاتصال التي يتلقى من خلالها المعلومات الهامة أو يقوم بواسطتها بمراقبة العمليات المنفذة على حساب الدفع الخاص به.
     
24. يجب على مقدم خدمات الدفع وضع ضوابط فعالة، مثل المصادقة الثنائية، لإعادة المصادقة على مستخدم خدمات الدفع للتجزئة قبل تنفيذ المعاملات العالية المخاطر. يجب أن تشمل المعاملات العالية المخاطر، على الأقل، ما يلي:
     
    1. 24.1 معاملات الدفع التي تجاوزت سقف (سقوف) عدد المعاملات المحدد مسبقاً؛
    2.  
    3. 24.2 تغيير بيانات الاتصال الشخصية؛ و
    4.  
    5. 24.3 ما لم يكن من غير العملي تنفيذه، معاملات الدفع التي تجاوزت سقف القيمة الإجمالية المسموح به (أي القيمة الإجمالية لمعاملات الدفع خلال فترة زمنية محددة).

استمرارية الأعمال

25. يجب أن يكون لدى مقدم خدمات الدفع برنامج ملائم لإدارة استمرارية الأعمال لضمان استمرارها، تعافيها في الوقت المناسب أو في الحالات القصوى التقليص المنظم للعمليات الحيوية في حالة حدوث اضطرابات كبيرة ناجمة عن سيناريوهات طارئة مختلفة. يشمل برنامج إدارة استمرارية الأعمال الملائم تحليل التأثير على الأعمال، استراتيجيات التعافي، خطة استمرارية الأعمال والمواقع البديلة لتعافي الأعمال وتكنولوجيا المعلومات.
     
26. يجب عل مقدم خدمات الدفع وضع مجموعة من استراتيجيات التعافي لضمان أن جميع الوظائف المهمة المحددة ضمن دراسة تحليل التأثير على الأعمال قادرة على التعافي وفقاً للإطار الزمني المحدد مسبقاً. ويجب ان يتم توثيق استراتيجيات التعافي هذه بشكل واضح، وأن يتم اختبارها بدقة ومراجعتها بشكل دوري للحرص على تحقيق أهداف التعافي.
     
27. يجب على مقدم خدمات الدفع وضع ضوابط فعالة لضمان أن جميع السجلات الخاصة بالأعمال، وبشكل خاص سجلات مستخدم خدمات الدفع للتجزئة، يمكن استرجاعها بشكل سريع في حال ضياعها، تلفها أو فقدانها. كما يجب على مقدم خدمات الدفع أن يجيز لمستخدمي خدمات الدفع للتجزئة بالدخول إلى سجلاتهم في وقت مناسب. يجب على مقدم خدمات الدفع إخطار مستخدمي خدمات الدفع للتجزئة عن أي فقدان في سجلاتهم بسبب فشل تشغيلي أو السرقة، وبذل الجهود المعقولة لضمان عدم استخدام السجلات الشخصية المفقودة على نحو خاطئ.
     
28. يجب على مقدم خدمات الدفع تطوير خطة استمرارية الأعمال بناءً على تحليل التأثير على الأعمال واستراتيجيات التعافي المرتبطة بها. يجب أن تتضمن خطة إدارة استمرارية الأعمال، على الأقل، ما يلي:
     
    1. 28.1 إجراءات تعافي مفصلة لضمان الإنجاز الكامل لاستراتيجيات تعافي الخدمات؛
    2.  
    3. 28.2 إجراءات التصعيد وبروتوكول إدارة الكوارث (مثل: إنشاء مركز قيادة، تقديم التقارير للمصرف المركزي في وقت مناسب، إلخ) في حالة توقف الخدمة الحاد أو لمدة طويلة؛
    4.  
    5. 28.3 استراتيجية استباقية للاتصال (مثل تنبيه مستخدمي خدمات الدفع للتجزئة، الرد الإعلامي، إلخ.)؛
    6.  
    7. 28.4 تحديث بيانات الاتصال بالأشخاص المهمين المعنيين بخطة استمرارية الأعمال؛ و
    8.  
    9. 28.5 تعيين موظف رئيسي ونائب له لتولي مهام التعافي للأنظمة الهامة.
    10.  
29. يجب على مقدم خدمات الدفع اختبار خطة استمرارية الأعمال على الأقل مرة واحدة سنوياً. ويجب أن تشارك الإدارة والموظف الرئيسي ونائبه في الاختبار السنوي للتعرف على مسؤولياتهم فيما يخص التعافي.
     
30. يجب على مقدم خدمات الدفع مراجعة جميع المخاطر والافتراضات المتعلقة بخطة استمرارية الأعمال لضمان دقتها وملاءمتها كجزء من التخطيط والاختبار السنوي. يجب إعداد تقارير اختبار رسمية تتضمن خطة الاختبار، السيناريوهات، الإجراءات والنتائج. كما يجب إعداد تقرير مراجعة عند الانتهاء ليوقع رسمياً من الإدارة.

مواقع احتياطية لتعافي الأعمال وتكنولوجيا المعلومات

31. يجب أن يقوم مقدم خدمات الدفع بدراسة درجة تركيز وتجميع المهام الرئيسية للأعمال في المكان نفسه أو في أماكن مجاورة، والمسافة بين المواقع الاحتياطية والرئيسية. يجب ان تتواجد المواقع الاحتياطية على مسافة وبعد كافٍ لتجنب أي مخاطر مشتركة أو التأثر بنفس الكارثة.
     
32. يجب أن يكون الموقع الاحتياطي لمقدم خدمات الدفع قابل للوصول إليه بسرعة، مجهز بالمرافق اللازمة، متوفر وجاهز لمباشرة العمل بحسب المتطلب الزمني المحدد في خطة استمرارية الأعمال. كما يجب وضع ضوابط تسجيل الدخول إلى المكان. وعند وجوب عمل بعض أفراد فريق العمل من المنزل في حالة وقوع كارثة، يجب توفير بشكل مسبق أنظمة الحاسوب ومعدات الاتصال الملائمة.
     
33. يجب تجهيز المواقع الاحتياطية لتعافي تكنولوجيا المعلومات بالمعدات التقنية الكافية، بما يشمل معدات الاتصال ذات معايير وقدرة تتناسب مع متطلبات التعافي.
     
34. يجب على مقدم خدمات الدفع تجنب الاعتماد بشكل مفرط على المزودين الخارجيين لدعم خطة استمرارية الأعمال، بما يشمل توفير الموقع الاحتياطي والمعدات والمرافق الاحتياطية. يجب على مقدم خدمات الدفع أن يتحقق بنفسه من تمتع كل مزود خارجي بالقدرة الكافية لتقديم الخدمات المطلوبة عند الحاجة، وتحديد مسؤولياتهم التعاقدية بشكل واضح، وبما يشمل المهلة الزمنية لتقديم خدمات الطوارئ الضرورية، أنواع الدعم والقدرة الاستيعابية.
     
35. في حال اعتماد مقدم خدمات الدفع بيئة حوسبة مشتركة مقدمة من مزود خدمات خارجي، مثل الاستضافة السحابية، لدعم التعافي من الكوارث، يجب عليه إدارة المخاطرة المتعلقة بهذه الخدمة.

إدارة مخاطر السمعة

36. يجب على مقدم خدمات الدفع وضع وتنفيذ إجراءات فعالة لإدارة المخاطر المتصلة بالسمعة بما يتناسب مع حجم وتعقيد عملياته.