1. مواجهة غسل الأموال ومكافحة تمويل الإرهاب: مكافحة غسل الأموال ومكافحة تمويل الإرهاب وتمويل التنظيمات غير المشروعة.
    
2. مقدم الطلب: شركة مؤسسة في دولة الامارات العربية المتحدة وفقا للقانون الاتحادي رقم (2) لسنة 2015 بشأن الشركات التجارية، عدا شركات التضامن والتوصية البسيطة، تتقدم بطلب الحصول على ترخيص لتقديم خدمات تسهيلات القيم المخزنة.
    
3. طلب الترخيص: طلب الترخيص المقدم من قبل مقدم الطلب حسب الاستمارة والوثائق والمعلومات المنصوص عليها في الملحق لإصدار ترخيص تقديم خدمات تسهيلات القيم المخزنة.
    
4. المصرف المركزي: مصرف الامارات العربية المتحدة المركزي.
    
5. قانون المصرف المركزي: المرسوم بقانون اتحادي رقم (14) لسنة 2018 في شأن المصرف المركزي وتنظيم المنشآت والأنشطة المالية وتعديلاته.
    
6. منظومة دفع محدودة النطاق: منظومة دفع يكون نطاق استخدامها محدودا في شراء السلع والخدمات من البائع بالتجزئة أو المنشأة المصدرة لوسيلة الدفع المستخدمة في إطار المنظومة.
    
7. المساهم المسيطر: المساهم الذي لديه القدرة على التأثير أو السيطرة بشكل مباشر او غير مباشر على تعيين غالبية أعضاء مجلس الإدارة او قراراتهم، أو لديه القوة لتوجيه أو فرض توجهات ادارة المنشأة أو سياساتها، إما من خلال الجمعية العمومية للمؤسسة بحكم امتلاكه نسبة من الأسهم، أو من خلال اتفاق أو ترتيب يؤمن له هذا التأثير أو السيطرة.
    
8. الاصول المشفرة: التمثيل الرقمي للقيمة او الحقوق التعاقدية المؤمنّة بالتشفير الرقمي وتكنولوجيا الدفاتر الموزعة، وتكون قابلة للتداول والتحويل والتخزين الكترونياً.
    
9. العميل: شخص طبيعي او اعتباري له عقد مع المرخص له لإتاحة واستخدام تسهيلات القيم المخزنة المرخصة وفقا لهذا النظام.
    
10. العناية الواجبة بالعملاء: التدابير والعمليات الواجب اتخاذها من أجل: (أ) التعرف على العميل والتحقق من هويته باستخدام مصادر موثوقة ومستقلة للوثائق أو البيانات أو المعلومات، (ب) العناية الواجبة المستمرة بشأن العميل أو علاقة عمله والتدقيق في معاملاته طوال هذه العلاقة.
     
11. تسهيلات القيم المخزنة القائمة على الأجهزة: هي تسهيلات تكون فيها القيم مخزنة على شريحة رقمية لبطاقة أو أي جهاز آخر كالبطاقات المسبوقة الدفع او الساعات الذكية أو الحلي.
     
12. مجموعة العمل المالي: هيئة مستقلة متعددة الحكومات تضع معايير دولية تستهدف منع أنشطة غسل الأموال وتمويل الإرهاب في العالم.
     
13. تمويل الإرهاب: أي من الأفعال المذكورة في المادتين (29) و (30) من القانون الاتحادي رقم (7) لسنة 2014 بشأن مكافحة الجرائم الإرهابية.
     
14. أموال العملاء: الأموال او القيم المدفوعة من قبل العملاء الى الشركة المرخص لها بتقديم تسهيلات القيم المخزنة مقابل القيمة المخزنة، بما في ذلك الأموال النقدية والقيمة المعادلة للنقاط والأصول المشفرة والأصول الافتراضية.
     
15. تكنولوجيا المعلومات: استخدام الحواسيب والأجهزة الذكية والأجهزة والبنية التحتية المرافقة لإنشاء ومعالجة وتخزين وحفظ وتداول جميع اشكال المعلومات الرقمية.
     
16. ضوابط تكنولوجيا المعلومات: حزمة من الإجراءات والسياسات التي تهدف الى توفير ضمان معقول بأن التقنيات وأنظمة الكمبيوتر المستخدمة من قبل المنشأة وتعمل على النحو المنشود وبطريقة آمنة وموثوقة، وأن أمن البيانات وسلامتها وموثوقيتها يمكن ضمانها، وأن المنشأة قادرة على الامتثال للقوانين واللوائح المعمول بها.
     
17. الترخيص: الترخيص الممنوح من المصرف المركزي لمقدم الطلب لإصدار وتشغيل خدمات تسهيلات القيم المخزنة في الدولة. ويبقى الترخيص ساري المفعول، ما لم يتم سحبه، أو تعليقه أو إلغاؤه من قبل المصرف المركزي.
     
18. المرخص له: مقدم الطلب الذي تم منحه الترخيص من قبل المصرف المركزي.
     
19. الأنشطة المالية المرخصة: الأنشطة المالية الخاضعة لترخيص ورقابة المصرف المركزي والمحددة في المادة (65) من المرسوم بقانون اتحادي رقم (14) لسنة 2018 في شأن المصرف المركزي وتنظيم المنشآت والأنشطة المالية.
     
20. غسل الأموال: أي فعل من الأفعال المذكورة في البند (1) من المادة (2) من المرسوم بقانون اتحادي رقم (20) لسنة 2018 في شأن مواجهة جرائم غسل الأموال ومكافحة تمويل الإرهاب وتمويل التنظيمات غير المشروعة.
     
21. قيمة الأموال: القيمة المضافة الى تسهيلات القيم المخزنة من قبل العميل، او القيمة المستلمة في حساب تسهيلات العميل، او القيمة المستردة من قبل العميل بما في ذلك الأموال النقدية أو الأصول مثل القيم أو نقاط المكافأة أو الأصول المشفرة أو الأصول الافتراضية. على سبيل المثال يتم تعبئة حساب تسهيلات القيم المخزنة بقيمة على شكل قيم او نقاط مكافأة او أصول مشفرة او أصول افتراضية حصل عليها العميل من شراء السلع والخدمات. وبالمثل، قد تأخذ القيمة المستلمة على حساب تسهيلات العميل على شكل تحويل للقيمة أو النقاط أو الأصول المشفرة أو الأصول الافتراضية مُنجز من قبل عميل آخر بتسهيلات القيم المخزنة.
     
22. تسهيلات القيم المخزنة غير القائمة على الأجهزة: تسهيلات تكون فيها القيم مخزنة على حسابات متواجدة على شبكة يتم الوصول اليها عبر شبكات الحاسب او الانترنت او الهاتف المحمول. على سبيل المثال، منصات الدفع المتوفرة على الانترنت، أو المحافظ الإلكترونية على الهواتف المحمولة التي توفر حسابات متواجدة على الشبكة التي يمكن للعملاء استخدامها لتخزين القيم من أجل دفع مشترياتهم أو انجاز تحويلات فيما بينهم.
     
23. قواعد التشغيل: إجراءات يضعها المرخص له تشمل كامل جوانب تشغيل نظام تسهيلات القيم المخزنة بما في ذلك على سبيل المثال لا الحصر فتح ومتابعة حسابات العملاء، وادراج التجار وإدارة التعاقد مع الشركاء، وعمليات الموافقة على المدفوعات ومعالجتها البعدية.
     
24. الإدارة العليا:فريق من الافراد من المستويات العليا بالإدارة المكلفين بالإدارة اليومية لأعمال المنشآت المرخص لها.
     
25. تسهيلات القيم المخزنة ذات الغرض الوحيد: تسهيلات يتعهد من خلالها المصدر بأنه في حالة استخدام النظام كوسيلة لدفع السلع والخدمات (وليس كنقود أو قيمة نقدية) الموفرة من قبل المصدر، سيقوم المصدر بتوفير السلع والخدمات بموجب قواعد النظام. وتمثل منظومة الدفع محدودة النطاق نموذجا مثاليا لتسهيلات القيم المخزنة ذات الغرض الوحيد.
     
26. الدولة: دولة الامارات العربية المتحدة، بما لا يشمل المناطق الحرة المالية.
     
27. تسهيلات القيم المخزنة (أو منظومات القيم المخزنة): تسهيلات (غير نقدية) يقوم من خلالها العملاء او أشخاص آخرين نيابة عن العملاء بدفع مبالغ مالية (شاملة للنقود أو قيمة الأموال مثل نقاط المكافآت او الأصول المشفرة او الأصول الافتراضية) لمصدر التسهيلات سواء بشكل مباشر او غير مباشر مقابل تخزين قيمة تلك الأموال سواء بشكل كلي أو جزئي بالتسهيلات ومقابل التعهد ذات الصلة. تسهيلات القيم المخزنة تشمل التسهيلات القائمة على الأجهزة وتلك غير القائمة على الأجهزة.
     
28. مُصدر تسهيلات القيم المخزنة: شركة تقوم بتوفير الخدمات المرتبطة بهذه التسهيلات وتكون مسؤولة وخاضعة للمساءلة عن حفظ قيمة الأموال المخزنة للعملاء.
     
29. التعهد ذات الصلة: فيما يخص تسهيلات القيم المخزنة، يعني "التعهد ذات الصلة" تعهد المرخص له بأنه في حال استخدام العميل لتسهيلات القيم المخزنة كوسيلة لدفع السلع أو الخدمات (التي قد تكون أو تشتمل على أموال نقدية أو قيمة الأموال)، او الدفع الى شخص اخر سواء لزم ذلك اجراء اخر أم لا، فان المرخص له أو أي طرف ثالث آخر يتولى هذه المهمة بالنيابة عنه، يقوم وفقا لقواعد التشغيل" بالتالي: (أ) توريد السلع أو الخدمات، (ب) دفع قيمة السلع أو الخدمات، (ج) تحويل الأموال الى الشخص الاخر، أو كما تتطلب الحاجة.
     
30. الأصول الافتراضية: تشمل الأصول الافتراضية الرموز الرقمية (مثل العملات الرقمية، أو الرموز الخاصة بمقدمي الخدمات أو الرموز المميزة المغطاة بالأصول)، بالإضافة الى أي سلع افتراضية أخرى، او أصول مشفرة، او أية أصول أخرى ذات طبيعة مشابهة.
     
31. مزود خدمة الأصول الافتراضية: هي الأعمال الذي يتم من خلالها تنفيذ أنشطة أو عمليات مرتبطة بالأصول الافتراضية لحساب او بالنيابة عن شخص طبيعي او اعتباري آخر. قد تشمل الأنشطة والعمليات التبادل بين الأصول الافتراضية والأوراق النقدية، التبادل بين شكل واحد أو أكثر من الأصول الافتراضية، تحويل الأصول الافتراضية، حفظ و/ أو إدارة الأصول الافتراضية أو الأدوات التي تتيح التحكم في الأصول الافتراضية، وتقديم الخدمات المالية المتعلقة بعروض مُصدر تسهيلات القيم المخزنة و/أو بيع أصول افتراضية.

1. ينطبق هذا النظام على كل تسهيلات القيم المخزنة وفقا للتعريف الوارد في المادة رقم (1) التعريفات.

الترخيص المطلوب لتسهيلات القيم المخزنة

2. يتطلب اصدار وتشغيل تسهيلات القيم المخزنة في الدولة، الحصول على ترخيص مسبق من قبل المصرف المركزي. يحظر القيام بنشاط اصدار وتشغيل نظام تسهيلات القيم المخزنة بدون الحصول على ترخيص مسبق باستثناء تسهيلات القيم المخزنة ذات الغرض الوحيد.

استثناءات لأنواع محددة من تسهيلات القيمة المخزنة

3. بناء على طلب المُصدر، يحق للمصرف المركزي اعفاء تسهيلات القيم المخزنة من متطلبات الترخيص، بعد الاخذ في الاعتبار المخاطر على العملاء المحتملين، وعلى أموال العملاء والنظام المالي.
    
4. تتمثل أنواع تسهيلات القيم المخزنة التي يمكن اعفاءها من متطلب الترخيص بقرار من المصرف المركزي ما يلي:
    
   1. 4.1 .تسهيلات القيم المخزنة المستخدمة لبعض برامج المكافآت النقدية، حيث يتم استخدام هذا النوع من التسهيلات لتخزين فقط الأموال المدفوعة من قبل (أ) المُصدر او (ب) الشخص الذي يوافق على دفع مبلغ من المال للتخزين في التسهيلات بموجب اتفاق مع مُصدر التسهيلات، ولا يجوز استخدام الأموال المخزنة الا لشراء السلع أو الخدمات التي يقدمها مصدر التسهيلات أو شخص آخر بموجب شروط وأحكام محددة من قبل المُصدر. ومن ضمن هذه التسهيلات برامج الولاء المقدمة من المحلات التجارية ومتاجر التجزئة لتقديم مكافآت نقدية لولاء العملاء.
   2.  
   3. 4.2. تسهيلات القيم المخزنة المستخدمة لشراء بعض المنتجات الرقمية المحددة. ولا يتم استخدام مثل هذه التسهيلات إلا كوسيلة لسداد مدفوعات سلع أو خدمات يتم توفيرها واستخدامها فقط من خلال جهاز اتصالات رقمي أو تقني. ويتم تنفيذ المدفوعات من خلال هذا الجهاز، حيث يعمل مشغل الاتصالات أو المشغل الرقمي أو التكنولوجي كوسيط بين عميل التسهيلات ومقدم السلع أو الخدمات .ومن أمثلة هذه المنظومات شراء المحتويات الرقمية مثل نغمات الرنين والموسيقى ومقاطع الفيديو والكتب الإلكترونية والألعاب والتطبيقات التي يمكن استخدامها على الهواتف الذكية أو أجهزة الكمبيوتر أو أجهزة تكنولوجيا المعلومات الأخرى.
   4.  
   5. 4.3. تسهيلات القيم المخزنة لبعص برامج نقاط المكافآت. تستخدم هذه المنظومات لتخزين النقاط او الوحدات (تحت أي من المسميات) التي تمثل قيمة مالية مقدمة من (أ) مُصدر التسهيلات أو (ب) شخص اتفق على تقديم سلع أو خدمات للعميل بموجب اتفاقية مع المُصدر. ويحق للعميل استخدام النقاط او الوحدات لتسديد مدفوعات السلع او الخدمات المقدمة من المُصدر او شخص اخر من خلال (أ) استخدام النقاط او الوحدات فقط او (ب) استخدام النقاط او الوحدات مع إضافة مبلغ نقدي (بأية عملة) مخزن في التسهيلات مؤقتاً لغرض وحيد وهو تنفيذ المدفوعات، حيث يبقى مبلغ الأموال المخزنة على هذا النحو غير قابل للاسترداد نقدا. مثال: برامج الاميال لشركات الطيران وبرامج ولاء العملاء التي تمنح نقاطا غير نقدية للعملاء مكافأة لولائهم، حيث لا يمكن استرداد قيمة هذه النقاط نقدا.
   6.  
   7. 4.4. تسهيلات القيم المخزنة التي لا يمكن استخدامها الا ضمن مجموعة محددة من مزودي السلع أو الخدمات. ويتم استخدامها كوسيلة لسداد المدفوعات فقط للسلع أو الخدمات المقدمة من قبل (أ) المُصدر أو (ب) الشخص الذي يوفر السلع أو الخدمات بموجب اتفاقية مع المُصدر.
   8.  
   9. 4.5. حيث (أ) لا يتجاوز اجمالي قيمة الأموال المخزنة نصف مليون درهم (500,000 درهم اماراتي) او ما يعادله وان لا يتجاوز عدد العملاء 100 عميل. وفي حال رغبة أحد مصدري هذه التسهيلات التقدم بطلب الحصول على هذا الاعفاء الخاص، فيجب عليه اختبار منتجه قبل الإطلاق الكامل للنظام. وفي هذا الصدد يمكن لهذا المُصدر المشاركة في البيئة الرقابية التجريبية التابعة لمكتب التقنيات المالية في المصرف المركزي لإجراء الاختبارات الممكنة.
   10.  
5. يحق للمصرف المركزي طلب أية معلومات من مُصدر تسهيلات القيم المخزنة مُعفى من متطلبات الترخيص لتقييم أحقيته في الاعفاء واستمراره. يحق للمصرف المركزي الاعلان على أن احدى تسهيلات القيم المخزنة أصبحت غير معفاة من متطلبات الترخيص والطلب من المُصدر التقدم بطلب للحصول على ترخيص.

تسهيلات القيم المخزنة المتواجدة خارج الدولة

6. يحظر على تسهيلات القيم المخزنة نشر أو الإعلان عن، سواء داخل الدولة أو في أي مكان آخر، سواء كان إعلانًا أو دعوة أو مستنداً يكون بمثابة، أو يحتوي على، دعوة أو التماس للجمهور داخل الدولة، اصدار التسهيلات سواء بشكل شامل أو جزئي دون الحصول على ترخيص مسبق.

العوامل ذات الصلة التي يجب مراعاتها

7. سيأخذ المصرف المركزي في الاعتبار العوامل لتحديد ما إذا كانت تسهيلات القيم المخزنة المتواجدة خارج الدولة قد صدرت بالفعل في الدولة أو أن شخصًا ما ينشر إعلانًا أو دعوة أو مستنداً يكون بمثابة، أو يحتوي على، دعوة أو التماس للجمهور في الدولة يتعلق بإصدار تسهيلات القيم المخزنة.
    
8. وعند تحديد ما إذا كانت تسهيلات القيم المخزنة يتم عرضها او تقديمها على انها صدرت في الدولة، سيأخذ المصرف المركزي في الاعتبار كافة العوامل ذات الصلة وعلى وجه الخصوص ما يلي:
    
   1. 8.1. ما إذا كان موقع تسليم خدمات التسهيلات وتقديم خدمة العملاء ذات الصلة لمستخدمي التسهيلات متواجد داخل الدولة.
   2.  
   3. 8.2. ما إذا كان موقع وطريقة تعبئة القيم المخزنة هما من خلال قنوات داخل الدولة (مثل البنوك المحلية في الدولة).
   4.  
   5. 8.3. ما إذا كانت المواد الترويجية التي تستهدف، من خلال تقنيات يطلق عليها "بوش"، مجموعة أو مجموعات من الأشخاص الذين يعرفهم المُصدر، أو ينبغي أن يعرفهم بشكل معقول، متواجدة داخل الدولة .تتضمن تقنيات "بوش" إرسال معلومات غير مرغوب فيها أو بثها أو توجيهها إلى شخص معين أو مجموعة من الأشخاص من خلال، على سبيل المثال، رسائل البريد الإلكتروني والرسائل النصية القصيرة وأي قنوات التواصل الاجتماعي.
   6.  
   7. 8.4. ما إذا تم استخدام أي مجموعة إخبارية أو لوحة إعلانات او غرف دردشة او أي وسيلة مماثلة للترويج لخدمات تسهيلات القيم المخزنة داخل الدولة،
   8.  
   9. 8.5. وفي حال تم عرض المواد الترويجية وتفاصيل الخدمات على موقع الكتروني، سيقوم المصرف المركزي بتقييم ما إذا كان الموقع مدرجا في محركات البحث على الانترنت بالدولة او الأقسام المخصصة للدولة من محركات البحث على الانترنت، وما إذا كانت إعلانات التسهيلات المطبوعة او الإلكترونية سهلة الوصول داخل الدولة، وما إذا كان قد تم الإعلان عن الموقع الالكتروني للتسهيلات داخل الدولة عبر وكالات الإعلان، او في الدوريات (مثل الصحف او المجلات والإصدارات الالكترونية) او عبر وسائل البث المسموعة او المرئية.
   10.  
9. عند تحديد ما إذا كان محتوى الموقع الإلكتروني لمصدر التسهيلات والمواد الترويجية ذات الصلة يوحي الى ان التسهيلات صادرة في الدولة، فان المصرف المركزي سيتخذ نهجا شموليا ويأخذ في الاعتبار مجموعة من العوامل والتي تشمل على سبيل المثال لا الحصر ما يلي:
    
   1. 9.1. ما إذا كانت الاقرارات المقدمة في أي مواد واعلانات ترويجية توحي الى ان مكان اصدار واستخدام التسهيلات هو داخل الدولة،
   2.  
   3. 9.2. ما إذا كان تصميم الموقع الالكتروني ووظائفه تم بطريقة تشير أو تعطي انطباعا بأن التسهيلات صادرة في الدولة، بما في ذلك لغة الموقع الإلكتروني (مثل اللغة العربية)، او استخدام اسم مجال معين شبيه باسم مجال الدولة على الانترنت، او العملات المقبولة للخدمات كالدرهم الاماراتي، او معلومات تواصل داخل الدولة.سينظر المصرف المركزي في جميع العوامل ذات الصلة، بما في ذلك، على وجه الخصوص، ما إذا كان تم اتخاذ الاحتياطات المعقولة لتجنب اتاحة المواد الترويجية أو الوصول اليها للأشخاص في الدولة، وما إذا كان لدى مُصدر التسهيلات أنظمة لتفادي توفير الخدمات للأشخاص المقيمين في الدولة.
   4.  
10. قد ينظر المصرف المركزي أيضا في مسائل مثل ما إذا كان مُصدر التسهيلات له حضور فعلي داخل الدولة، وما إذا كان قد اقام علاقات عمل مع البنوك او المؤسسات المالية في الدولة لخدمات الدفع أو غيرها من خدمات الدعم المصرفي.
     
11.  العوامل والمعايير المذكورة أعلاه ليست شاملة ولا قاطعة. سيستخدم المصرف
     
12. المركزي نهجًا شاملاً للبث في كل حالة على حدا بناءً على مزاياها ويأخذ في الاعتبار الظروف الخاصة وجميع الحقائق ذات الصلة.

1. وفقا للمادة (65) من قانون المصرف المركزي يعتبر تقديم خدمات تسهيلات القيم المخزنة نشاطا ماليا مرخصا يخضع لترخيص المصرف المركزي ورقابته وفقًا لأحكام قانون المصرف المركزي. وضمن هذا السياق يتوجب على كل مقدم طلب تلبية متطلبات الترخيص المحددة من قبل المصرف المركزي لإصدار تسهيلات القيم المخزنة، والاستمرار في القيام بذلك على أساس متواصل كمرخص له.
    
2. يجب ان يكون مقدم الطلب شركة مسجلة في الدولة بما في ذلك المناطق الحرة باستثناء المناطق الحرة المالية.
    
3. يجب على مقدمي الطلب استيفاء، او اثبات انهم سوف يلبون عند اصدار الترخيص، المتطلبات المنصوص عليها في المواد من (7) الى (14) من هذا النظام المطبقة على المرخص لهم، ولا سيما:
    
   1. 3.1. المتطلبات الخاصة بالموارد المالية المنصوص عليها في المادة (7) من هذا النظام. يجوز للمصرف المركزي كلما رأى ذلك ضروريا إضافة متطلبات مالية جديدة او مراجعة المتطلبات الحالية كشرط لإصدار الترخيص.
   2.  
   3. 3.2. المتطلبات بشأن العمل الأساسي على النحو المنصوص عليه في المادة (7) من هذا النظام. ينبغي على مقدم الطلب بان يفصح للمصرف المركزي عن أية أنشطة وأعمال ثانوية او إضافية يقوم بها او يخطط للقيام بها والتي قد لا تكون مرتبطة مباشرة بإصدار تسهيلات القيم المخزنة.
   4.  
   5. 3.3. المتطلبات الخاصة بالحوكمة المؤسسية وإدارة المخاطر العامة والتدقيق الداخلي والنظام المحاسبي على النحو المبين في المواد من (8) إلى (10) من هذا النظام. على وجه الخصوص، يجب اعتماد مجلس الإدارة والادارة العليا والمساهم المسيطر من قبل المصرف المركزي من حيث ملائمتهم للقيام بمهامهم قبل اصدار الترخيص.
   6.  
   7. 3.4. المتطلبات المتعلقة بسياسات وإجراءات إدارة المخاطر لإدارة وحماية قيمة الأموال، والتي تم تفصيلها في المادة (11) من هذا النظام.
   8.  
   9. 3.5. المتطلبات المتعلقة بالتكنولوجيا والإجراءات والسياسيات المحددة لإدارة المخاطر المتعلقة بتشغيل تسهيلات القيم المخزنة والتي تم تفصيلها في المادة (12) من هذا النظام.
   10.  
   11. 3.6. المتطلبات بشأن ممارسة الأعمال وحماية العملاء والتي تم تفصيلها في المادة (13) من هذا النظام.
   12.  
   13. 3.7. المتطلبات بشأن مواجهة غسل الأموال ومكافحة تمويل الإرهاب والتي تم تفصيلها في المادة (14) من هذا النظام.
   14.  
4. وكجزء من عملية الترخيص، قد يتم عقد اجتماعات بين ممثلي المصرف المركزي ومجلس ادارة مقدم الطلب وادارتهه العليا.

التقييمات المستقلة

5. يتعين على مقدم الطلب تقديم تقرير عن التقييمات المستقلة بشأن سبع مجالات أساسية بناء على النطاق المحدد في الفقرات 3.3 الى 3.7 أعلاه (أ) الحوكمة المؤسسية وإدارة المخاطر (ب) إدارة قيمة الأموال (ج) إدارة مخاطر التكنولوجيا (د) إدارة أمن المدفوعات (ه) إدارة استمرارية الأعمال (و) ممارسة الأعمال وحماية العملاء (ز) أنظمة مراقبة مواجهة غسل الأموال ومكافحة تمويل الإرهاب.
    
6. يتوقع المصرف المركزي أن يقوم مقدم الطلب بتعيين واحدا او أكثر من المقيمين المؤهلين والمستقلين عن وحدات الأعمال التابعة لمقدم الطلب، لإجراء التقييمات المستقلة، ويجب ان لا يكون المقيمون على صلة بالعمليات الي يتم مراجعتها، أوان يكونوا قد شاركوا في اختيار او تنفيذ إجراءات الرقابة المراد مراجعتها، ويحب ان يكون لديهم المعرفة والخبرة ذات الصلة وأن يكونوا قادرين على الإبلاغ عن نتائجهم بشكل مستقل. كما ينبغي عليهم التأكيد للمصرف المركزي بعدم وجود تضارب في المصالح في اجراء التقييمات المستقلة.
    
7. تعفى البنوك التي تعتبر مرخصة لتقديم تسهيلات القيم المخزنة من تقرير التقييم المذكور في الفقرتين (5) و (6) أعلاه، ما لم يطلب المصرف المركزي التقرير منها بشكل صريح.

البنوك المرخصة لإصدار تسهيلات القيم المخزنة

1. على الرغم من أن البنوك المرخصة تعد مخولة لإصدار تسهيلات القيم المخزنة، إلا أنها مطالبة مع ذلك بإخطار المصرف المركزي كتابيا إذا كانت تخطط لإصدار تسهيلات القيم المخزنة والقيام بأعمالها. ويشترط الحصول على خطاب عدم ممانعة من المصرف المركزي قبل مباشرة البنك المرخص المعني لتلك الأعمال.

الاجتماع التمهيدي مع المصرف المركزي

2. يجوز لأي شركة راغبة بالحصول على ترخيص ان تحصل على استمارة تقديم الطلب من إدارة الترخيص في المصرف المركزي.
    
3. ينبغي على الإدارة العليا للشركة مقابلة ممثلي المصرف المركزي لعرض خطة العمل ومناقشتها قبل التقدم بطلب الترخيص.

التشاور مع الجهة التنظيمية المعنية

4. في حال كان الشريك المسيطر لمقدم الطلب خاضعا لجهة تنظيمية أخرى بما في ذلك الجهات التنظيمية خارج نطاق المصرف المركزي، يحق للمصرف المركزي التواصل مع الجهة المعنية بشأن مقدم الطلب. ويجوز للمصرف المركزي الاخذ برأي الجهة المعنية فيما يتعلق بأمور مثل السلامة المالية وبيئة الرقابة الداخلية الشاملة للمساهم المسيطر، وما إذا كانت الجهة التنظيمية لديها قلق أو تحفظات بشأن قيام الشريك المسيطر بتوسيع أعمال تسهيلات القيم المخزنة الى داخل الدولة.

استكمال وتقديم الطلب

5. يجب تقديم الطلب الى المصرف المركزي مع الاستمارة الكاملة والوثائق المطلوبة كما هو مفصل في الملحق.

البت في الطلب

6. يحق للمصرف المركزي طلب معلومات إضافية من مقدم الطلب للتمكن من البت في الطلب المقدم، وتعتمد طبيعة المعلومات الإضافية على حيثيات الطلب. وبالخصوص، يجب على مقدم الطلب تقديم تقرير عن التقييمات المستقلة على النحو المفصل في الفقرتين (5) و (6) من المادة (3). صلاحية التقرير يجب ان لا تتجاوز ستة أشهر من تاريخ اعتماد التقرير والتوقيع عليه.
    
7. أي نقص في المعلومات قد يؤدي الى تأخير في إجراءات البت في الطلب. لذلك يجب على مقدم الطلب الانتباه إلى النقاط التالية:
    
   1. 7.1. يجب تقديم جميع الطلبات مع المعلومات والوثائق المذكورة في الملحق. سيتم اخطار مقدم الطلب كتابيا باكتمال الطلب وبدء البت فيه.
   2.  
   3. 7.2. في حال استلام طلب غير مكتمل او وجود نقص في الوثائق الداعمة أو المعلومات، سيتم اخطار مقدم الطلب كتابيا بأنه سيتم التعامل مع الطلب على أنه "مسودة" وسيُطلب منه إكمال الطلب أو تقديم المعلومات الناقصة قبل تاريخ يحدده المصرف المركزي. بمجرد استلام الطلب المكتمل بشكل صحيح مع جميع الوثائق الداعمة والمعلومات اللازمة، سيتم اخطار مقدم الطلب كتابيا باكتمال الطلب وبدء البت فيه.
   4.  
   5. 7.3. في حال عدم تلقي المعلومات قبل التاريخ الذي حدده المصرف المركزي او قبل التاريخ المعدل الذي يوافق عليه المصرف كتابيا بناء على طلب من مقدم الطلب، يمكن اعتبار الطلب على أنه "معلق" وسيتم اخطار مقدم الطلب كتابيا.
   6.  
   7. 7.4. في حال أصبح الطلب "معلقا"، سيتم اخطار مقدم الطلب كتابيا بوقف البت في الطلب مؤقتا. يتم إعادة تفعيل الطلبات "المعلقة" فقط بعد استكمال المعلومات الناقصة.
   8.  
   9. 7.5. في حال أصبح الطلب "معلقا" لمدة ستة أشهر او أكثر لأي سبب من الأسباب، يجب تقديم طلب جديد إذا رغب مقدم الطلب بمتابعة الامر.

الموافقة على الطلب

8. للمصرف المركزي ان يوافق على طلب الترخيص المقدم في حال تم استيفاء كل متطلبات الترخيص من قبل مقدم الطلب.
    
9. للمصرف المركزي ان يمنح الترخيص دون شروط أو بشروط يتم ارفاقها. وقد تشمل الشروط المرفقة بالترخيص، من بين أمور أخرى، فرض مستوى اعلى من متطلبات رأس المال، أو قيود على أعمال تسهيلات القيم المخزنة او أية اعمال ثانوية او مساعدة، أو متطلبات مرتبطة بحماية قيمة الأموال، أو قيود متعلقة بالحد الأقصى للقيمة التي قد يتم تخزينها في التسهيلات، أو غيرها من المتطلبات.
    
10. في حال تم منح الترخيص الى مقدم الطلب، يقوم المصرف المركزي بما يلي:
     
    1. 10.1. اسناد رقم مرجعي فريد للرخصة الممنوحة،
    2.  
    3. 10.2. تحديد تاريخ دخول سريان الترخيص حيز التنفيذ في الرخصة.
    4.  
11. يجب على المرخص له، على وجه التحديد، التأكد من ان الرقم المرجعي للرخصة مبين بشكل واضح على الموقع الالكتروني والمواد الترويجية الخاصة بالمرخص له.

1. للمصرف المركزي تعليق الترخيص أو سحبه أو إلغائه على النحو المنصوص عليه في قانون المصرف المركزي.
    
2. عند النظر في ممارسة هذه السلطة، سيولي المصرف المركزي الاعتبار الأساسي لضرورة الحفاظ على استقرار نظام الدفع في الدولة، وسمعة دولة الإمارات العربية المتحدة وحماية مصالح العملاء أو العملاء المحتملين للمرخص له المعني.
    
3. في حال تعليق الترخيص أو سحبه أو الغائه، يجب على المرخص له التوقف فورًا عن أخذ أي مبلغ إضافي من المال من العملاء.

1. للمصرف المركزي اتخاذ كافة التدابير والإجراءات التي يراها مناسبة لتحقيق أهدافه وأداء مهامه، وله على وجه الخصوص اتخاذ الإجراءات التالية في حال تبين حدوث مخالفة جوهرية لأحكام هذا النظام:
    
   1. 1.1. يجوز للمصرف المركزي ان يلزم المرخص له المعني باتخاذ الإجراءات اللازمة لتصحيح الوضع بشكل فوري.
   2.  
   3. 1.2. تعيين خبير متخصص، او موظف مؤهل من المصرف المركزي، لتقديم المشورة أو الارشاد للمرخص له المعني، او الاشراف على بعض عملياته لمدة يحددها المصرف المركزي. يلتزم المرخص له بدفع مكافآت الشخص المعين إذا كان خبيرا من خارج المصرف المركزي.
   4.  
   5. 1.3. أو تعيين مدير في حال إذا ما اتضح للمصرف المركزي انه لا يمكن الاعتماد على إدارة المرخص له لاتخاذ الإجراءات المناسبة لتصحيح الوضع. الأهداف الرئيسية لتعين مدير لتولي السيطرة على إدارة المرخص له هي كالتالي:
   6.  
      1. 1.3.1. الاشراف على العمليات، والإدارة اليومية وادارة أملاك المرخص له المتعثر من أجل السيطرة السلسة على العمل، وذلك سعيا لتصحيح وضعه او تصفيته بشكل منظم.
      2.  
      3. 1.3.2. لحماية الأصول والحفاظ على أعمال المرخص له الى حين تعيين مشرف على التصفية.
      4.  
   7. 1.4. اتخاذ أية خطوات او إجراءات لفرض أي عقوبات يراها المصرف المركزي مناسبة.

1. يجب ان يكون العمل الرئيسي للمرخص له هو اصدار تسهيلات القيم المخزنة بموجب الترخيص الممنوح له.
    
2. العمل الرئيسي ومتطلبات الموارد المالية التي سيتم تفصيلها في هذه المادة لا تنطبق على البنوك المرخصة التي تمارس أعمال تسهيلات القيم المخزنة في الدولة.

متطلبات العمل الرئيسي

3. لتفادي الشكوك، يحظر على المرخص له القيام باي نشاط مالي آخر مرخص دون الحصول على ترخيص من السلطة المختصة. في حال رغب المرخص له القيام بأعمال ثانوية او إضافية فيجب عليه طلب موافقة من المصرف المركزي قبل قيامه بتلك الاعمال.

متطلبات الموارد المالية

4. يجب على المرخص له الاحتفاظ بما يلي:
    
   1. 4.1. راس مال مدفوع لا يقل عن 15 مليون درهم (AED 15,000,000) او ما يعادله باي عملة أخرى يوافق عليها المصرف المركزي.
   2.  
   3. 4.2. رأس مال اجمالي لا يقل دائما عن نسبة %5 من مجموع قيمة الأموال المستلمة من العملاء.
   4.  
5. يتكون راس المال الإجمالي من البنود التالية:
    
   1. 5.1. راس المال المدفوع
   2.  
   3. 5.2.الاحتياطيات باستثناء احتياطيات إعادة التقييم
   4.  
   5. 5.3. الأرباح المحتجزة
   6.  
6. يجب عدم احتساب البنود التالية ضمن راس المال الإجمالي:
    
   1. 6.1. الخسائر المتراكمة،
   
   
   2. 6.2. حساب الشهرة.
       
7. يجب أن يكون المرخص له قادرا على اثبات ان موارده المالية كافية لتنفيذ نموذج عمله بشكل آمن وفعال ومستدام، وذلك دون المساس بمصالح العملاء.
    
8. يجب على المرخص له تقديم تفاصيل كافية للمصرف المركزي حول مصدر الأموال التي سيتم استخدامها لدعم الأنشطة التجارية المقترحة.
    
9. يجب على المرخص له اثبات قدرته على الاحتفاظ بموارد مالية كافية لتسهيل عملية التصفية المنظمة لأعمال تسهيلات القيم المخزنة، بما في ذلك سلاسة عملية ارجاع الأموال للعملاء.
    
10. للمصرف المركزي فرض متطلبات موارد مالية أعلى في حال رأى، بعد الاخذ في الاعتبار حجم وتعقيد أعمال المرخص له، أن هذه المتطلبات تعد مهمة لضمان قدرة المرخص له على الوفاء بالتزاماته بموجب هذا النظام. كما يجب توفير ضمان بنكي عن رأس المال المدفوع يكون غير مشروط وغير قابل للإلغاء لصالح المصرف المركزي، يتم ارساله مع طلب الترخيص ويمكن سداده عند أول طلب. يجب أن يكون هذا الضمان قابلاً للتجديد قبل انتهاء صلاحيته أو بناءً على طلب من المصرف المركزي.
     

1. يجب أن يكون لدى المرخص له سياسات وإجراءات إدارة المخاطر الملائمة للتعامل مع المخاطر الناتجة عن اعمال تشغيل تسهيلات القيم المخزنة والتي تتناسب مع حجم وتعقيد التسهيلات.
    
2. لا تنطبق متطلبات الحوكمة المؤسسية المنصوص عليها في هذه المادة على البنوك المرخصة التي تمارس أعمال تسهيلات القيم المخزنة. ويتعين على البنوك الالتزام بأنظمة المصرف المركزي بشأن الحوكمة المؤسسية في البنوك.

مسؤوليات مجلس الإدارة

3. يجب على المرخص أن يكون لديه ترتيبات حوكمة سليمة تهدف الى فعالية اتخاذ القرار والإدارة السليمة والسيطرة على مخاطر أعماله وعملياته. وينبغي ان تشمل هذه الترتيبات، من بين أمور أخرى، هيكل تنظيمي واضح مع مسؤوليات محددة وواضحة ومتسقة. ويجب أن يكون هنالك أيضًا وثائق واضحة حول إجراءات اتخاذ القرار، والتسلسل الاداري، والتقارير الداخلية، وعمليات التواصل.
    
4. يجب على المرخص له كجزء من ترتيبات الحوكمة السليمة، وضع ميثاق للسلوك المهني يحدد معايير النزاهة والأمانة المتوقعة من إدارته وموظفيه. يجب أن يكون لدى المرخص له أيضًا أنظمة مناسبة لتطبيق ميثاق السلوك، تشمل التقييم الدوري للميثاق ومدى ملائمته وفعاليته.
    
5. يكون مجلس الإدارة مسؤولا عن الإدارة السليمة والحكيمة لعمليات تسهيلات القيم المخزنة المرخص لها.
    
6. يجب ان يكون لمجلس الإدارة عدد كاف من الأعضاء والتكوين المناسب لضمان وجود الضوابط والتوازنات الكافية والخبرة الجماعية لضمان فعالية وموضوعية آلية اتخاذ القرارات. عدد وتكوين أعضاء مجلس الإدارة يختلف من مؤسسة الى أخرى حسب حجم المرخص له وطبيعة ونطاق أنشطته.
    
7. يجب على مجلس الإدارة ان يوثق ويحدد بوضوح ممارسات وإجراءات الحوكمة الداخلية المناسبة لتسيير أعماله، وأن يكون لديه الوسائل اللازمة لضمان اتباع هذه الممارسات ومراجعتها بشكل دوري بهدف التحسين المستمر.
    
8. يجب وضع ترتيبات فعالة بحيث يمكن لمجلس الإدارة تقييم أداء الإدارة العليا ومحاسبتها على أدائها.

ملاءمة وأهلية المسؤولين والمساهم المسيطر

9. يحظر تعيين الرئيس التنفيذي او مديرا مسؤولا للمرخص له دون الحصول على موافقة المصرف المركزي. ويجب أيضا الحصول على موافقة المصرف المركزي قبل ان يصبح شخصا ما مساهما مسيطرا في التسهيلات المرخص لها. عند النظر في مناسبة وأهلية الرئيس التنفيذي او المدير المسؤول أو المساهم المسيطر، سيأخذ المصرف المركزي في الاعتبار عوامل تشمل، من بين أمور أخرى، نزاهة واستعداد الشخص المعني لدعم الأخلاقيات المهنية وأفضل الممارسات، بالإضافة الى كفاءته. فيما يلي التوقعات العامة للمصرف المركزي فيما يتعلق بملاءمة وأهلية الرؤساء التنفيذيين والمديرين المسؤولين والمساهمين المسيطرين للمرخص لهم:

المدراء المسؤولين والرؤساء التنفيذيين

10. بالنظر للدور القيادي للمدراء المسؤولين والرؤساء التنفيذيين، سيتم تقييم مناسبتهم وأهليتهم اخذا في الاعتبار نزاهتهم وكفاءتهم، والتي سيتم تقييمها بشكل عام على أساس المعرفة والخبرة وقدرتهم على القيادة والحكم على الأمور. كما سيتم تقييم مدى التزامهم وقدرتهم على تكريس الوقت والاهتمام الكافيين لأعمال تسهيلات القيم المخزنة. تختلف المعايير المطلوبة من الأشخاص في هذا الشأن بناء على حجم وتعقيد عمليات المرخص له.

المساهم المسيطر

11. عند تقييم أهلية وملاءمة المساهم المسيطر، فإن أحد الاعتبارات الرئيسية هو مدى التأثير المحتمل للمساهم المسيطر على مصالح العملاء الحاليين والمستقبليين لتسهيلات القيم المخزنة المعنية. ويجب تقييم ذلك في سياق الظروف المصاحبة لكل حالة. وبشكل عام، كل ما ازداد تأثير المساهم المسيطر على المرخص له، كلما ارتفع مستوى المعايير التي يجب على المساهم المسيطر استيفاءها.

التعهيد

12. يجوز للمرخص له تعهيد أنشطته وعملياته لمزودي خدمات خارجيين مستقلين او لشركات تابعة لنفس مجموعة المرخص له. ويجب أن تتم الموافقة على مثل هذا التعهيد من قبل المصرف المركزي.
     
13. المرخص له هو المسؤول في نهاية المطاف عن مدى كفاية وجودة وأمن ومستوى الخدمة لعملية التعهيد، بما في ذلك موثوقية وقوة واستقرار وتوفر الأنشطة والعمليات التي يتم تعهديها لمزودي الخدمات، وكذلك سلامة وحماية المعلومات التي يحتفظ بها هؤلاء.
     
14. قبل تعهيد نشاط أو عملية لمزودي الخدمات، يجب على المرخص له القيام بما يلي:
     
    1. 14.1. اجراء تقييم شامل ومستقل للمخاطر، وتحديد جميع المخاطر المتعلقة بالعمل، والتأكد من أن جميع المخاطر الجوهرية، بمافي ذلك مخاطر انقطاع الأعمال، بالإضافة الى الضوابط الخاصة بحماية بيانات العملاء، تتم إدارتها بشكل مناسب. ويجب ان يحدد التقييم أي مخاطر إضافية أو زيادة في المخاطر الناجمة عن التعهيد.
    2.  
    3. 14.2. توخي العناية الواجبة المناسبة فيما يتعلق ليس فقط بتكلفة وجودة الخدمات المقدمة، ولكن أيضًا بشأن السلامة المالية لمزود الخدمة وسمعته ومهاراته الإدارية وقدرته الفنية والتشغيلية لتلبية متطلبات المرخص له على المدى الطويل، وقدرته على استيفاء المتطلبات التنظيمية فيما يتعلق بالخدمات المقدمة، وإلمامه بقطاع الدفع، وقدرته على مواكبة الابتكار في السوق.
    4.  
    5. 14.3. كما يجب على المرخص له: (أ) توخي العناية الواجبة المناسبة للتأكد من أن الخدمات التي سيتم تقديمها من قبل مزودي الخدمة تستوفي تمامًا متطلبات الأداء والمتطلبات التنظيمية ذات الصلة، (ب) وجود اتفاقيات التعهيد المناسبة مع مزودي الخدمة تحدد بشكل واضح الترتيبات والحقوق والالتزامات ذات الصلة، و (ج) نقل للعمليات أو الخدمات لمزود الخدمة بشكل مناسب يضمن الانتقال السلس،
    6.  
    7. 14.4. وإدارة ترتيبات التعهيد على نحو صحيح وبشكل مستمر، وذلك من خلال إجراء عمليات التدقيق المناسبة بطريقة منتظمة، و/ أو مراجعة جودة العمليات أو الخدمات التي تم تعهيدها.
    8.  
15. ويجب ان تنص اتفاقية التعهيد بوضوح على ما يلي:
     
    1. 15.1. نوعية ومستوى الخدمات التي سيتم تقديمها ومعايير الأداء الخاصة بمزود الخدمة، بما في ذلك ترتيبات الطوارئ الخاصة به فيما يتعلق بمشاكل التشغيل اليومي ومشاكل الأنظمة.
    2.  
    3. 15.2. الالتزامات والمسؤوليات التعاقدية لمقدم الخدمة
    4.  
    5. 15.3.حقوق وواجبات المرخص له، بما في ذلك الرسوم والتكاليف ذات الصلة المستحقة على المرخص له وحقوق المرخص له في الوصول إلى سجلات دقيقة ومحدثة، واستعادتها بشكل سريع والاحتفاظ بها، وإتاحة تلك السجلات للفحص من قبل السلطات ذات الصلة بما في ذلك المصرف المركزي أو المقيم المستقل المعين من قبل المرخص له أو المصرف المركزي إذا لزم الأمر،
    6.  
    7. 15.4. وضوابط وترتيبات التعامل مع البيانات المتعلقة بالتخزين والنسخ الاحتياطي والحماية والسرية، وترتيبات إزالة البيانات ونقلها عند إنهاء العقد أو انتهاء مدته. ويحق للمرخص له و / أو المصرف المركزي و / أو المقيم المستقل المعين من قبل المرخص له أو المصرف المركزي إجراء فحص داخل موقع مزود الخدمة، ومراجعة لعمليات وضوابط مقدم الخدمة. ويشمل ذلك وصول المصرف المركزي أو المقيم المستقل المعين إلى المباني والأنظمة والسجلات والمستندات ذات الصلة بالنشاط أو العملية التي يتم تعهيدها.
    8.  
16. يجب على المرخص له التأكد من كونه ملما بشكل كافي بخطط الطوارئ لمزود الخدمة الخاص به وان يأخذ في الاعتبار الآثار المترتبة على خططه لاستمرارية الأعمال في حال تعطل الخدمة لدى مزود الخدمة بسبب فشل نظامه. ويجب اختبار خطط الطوارئ بانتظام من قبل المرخص له ومزودي الخدمة حيثما كان ذلك ممكنا.
     
17. يجب على المرخص له التأكد من ان ترتيبات التعهيد الخاصة به تتوافق مع متطلبات خصوصية وحماية البيانات الشخصية ذات الصلة، ومع أي ميثاق الممارسة أو إرشادات أو أفضل الممارسات تكون صادرة عن المصرف المركزي أو السلطات ذات الصلة.

مكان تواجد الإدارة العليا

18. يجب ان يكون الرئيس التنفيذي ونائبه عادة مقيمين في الدولة. ويجب على المرخص له التأكد من الالتزام بهذا المتطلب بشكل مستمر، وإضافة الى ذلك، يجب على أعضاء الإدارة العليا والموظفين الرئيسيين المسؤولين عن تشغيل النظام والدعم الفني، وإدارة المخاطر والامتثال لدى المرخص له أن يكونوا مقيمين في الدولة. اعتماداً على طبيعة وحجم وتعقيد الأعمال والهيكل التنظيمي للمرخص له، قد يوافق المصرف المركزي على ترتيبات مختلفة.

1. يجب أن يكون لدى المرخص له سياسات وإجراءات ادارة المخاطر مناسبة للتعامل مع المخاطر الناجمة عن تشغيل تسهيلات القيم المخزنة التي تتناسب مع حجم وتعقيد التسهيلات.
    
2. تنطبق متطلبات إدارة المخاطر العامة وانظمة الرقابة الداخلية المنصوص عليها في هذه المادة أيضا على البنوك المرخصة التي تمارس أعمال تسهيلات القيم المخزنة في الدولة.

إدارة المخاطر

3. يجب أن يكون لدى المرخص له إطار عمل فعال لإدارة المخاطر معتمد من مجلس الإدارة. ويجب أن يتم تخصيص موظفين على قدر عال من المعرفة والخبرة المهنية الكافية للإشراف على عمليات إدارة المخاطر والرقابة الداخلية.

إدارة مخاطر السيولة

4. يجب على المرخص له وضع وتطبيق إجراءات فعالة لإدارة مخاطر السيولة تتناسب مع حجم وتعقيد عملياته. والهدف من ذلك هو ضمان وجود سيولة كافية للوفاء بمختلف الالتزامات المالية الناتجة عن العمليات اليومية وأيضا طلبات استرداد الأموال في جميع الظروف المعقولة.

المراقبة الداخلية

5. يجب وضع نظام رقابة داخلية قوي لتعزيز فعالية وكفاءة عمليات التشغيل، وحماية الأصول، وتوفير معلومات مالية وإدارية موثوقة، والتمكن من منع أو الكشف المبكر عن المخالفات والاحتيال والأخطاء، وضمان الامتثال للمتطلبات القانونية والتنظيمية ذات الصلة والسياسات الداخلية.
    
6. يجب على المرخص له وضع استراتيجية وخطة عمل متكاملة، تشمل تفاصيل عن الأهداف الاستراتيجية وخارطة الطريق. ويجب أن تغطي خطة العمل عادة النطاق الجغرافي للأعمال المقترحة للمرخص له، والأسواق المستهدفة وفئات وأنواع العملاء، والخدمات والمنتجات المقدمة، وقنوات البيع، واستراتيجية التسعير، وأنشطة الترويج والتسويق.

وظائف الامتثال والتدقيق الداخلي

7. يجب على المرخص له الحفاظ على فعالية وظيفة الامتثال ووظيفة التدقيق الداخلي لضمان الامتثال مع كافة المتطلبات القانونية والتنظيمية المعمول بها وكذلك السياسات والاجراءات والضوابط الخاصة بها. وسيتم تقييم جودة وظائف الامتثال والتدقيق الداخلي لدى المرخص له من قبل المصرف المركزي على أساس عدد من الأمور من ضمنها ما يلي:
    
   1. 7.1. إطار حوكمة واضح مدعوم من قبل مجلس الإدارة لضمان وجود سياسات فعالة وصلاحيات كافية لأداء الوظائف.
   2.  
   3. 7.2. المعرفة والخبرة المهنية ذات الصلة
   4.  
   5. 7.3. الاستقلالية عن وحدات العمل الأخرى
   6.  
   7. 7.4. الوصول المباشر وغير المقيد الى مجلس الإدارة
   8.  
   9. 7.5. تغطية وشمولية وفعالية برامج الامتثال والتدقيق الداخلي؛ و
   10.  
   11. 7.6. القدرة على اتخاذ إجراءات تصحيحية في الوقت المناسب عند تحديد حالات عدم امتثال أو وجود قصور أخرى في المراقبة.
   12.  
8. يجب عدم دمج وظيفة الامتثال مع وظيفة الرقابة الداخلية.

تقديم التقارير الى المصرف المركزي

9. يجب أن يكون لدى المرخص له إجراءات فعالة لضمان تقديم المعلومات والبيانات المطلوبة من قبل المصرف المركزي في الوقت المناسب وبطريقة دقيقة، بما في ذلك: (أ) الحوادث التي لها تأثير سلبي جوهري على أعماله أو عملياته أو أصوله أو مخاطره أو سمعته و (ب) ومخالفة أي متطلبات قانونية أوتنظيمية من قبل المرخص له او أي من مسؤوليه او موظفيه.
    
10. يجب على المرخص له إجراء تقييم للمخاطر سنويا على الأقل، من خلال وحدة التدقيق الداخلي او وحدة إدارة المخاطر. وفي حال كانت النتائج تشير إلى ضرورة أجراء تقييم مستقل منفصل، فيجب على المرخص له اجراء هذا التقييم وتغطية المجالات الرئيسية السبعة التالية: (أ) الحوكمة المؤسسية وإدارة المخاطر، و(ب) إدارة أموال العملاء، و(ج) إدارة مخاطر التكنولوجيا، و(د) إدارة أمن المدفوعات، و(ه) إدارة استمرارية الأعمال، و(و) ميثاق العمل وحماية العملاء، و(ز) أنظمة مكافحة غسل الأموال وتمويل الإرهاب. في حال وجود وحدة مستقلة داخل مجموعة المرخص له تتوفر على المعرفة والخبرة ذات الصلة، فانه من الممكن الاستعانة بها لتنفيذ التقييم المستقل، والا فانه من الواجب الاستعانة بطرف خارجي مستقل لإجراء التقييم.
     
11. يجب تقديم التقرير المشار إليه في الفقرة 10 أعلاه الى المصرف المركزي بعد اعتماده من قبل مجلس الإدارة. يجب ان تحتوي هذه التقارير على ملخص يشير الى المخاطر الرئيسية واهم نتائج التقييم والإجراءات اللازمة لمعالجة أية مشاكل تم اكتشافها.
     
12. يجب على المرخص له غير القادر على الوفاء بالتزاماته ابلاغ المصرف المركزي بذلك على الفور.
     
13. يجب على المرخص له ابلاغ المصرف المركزي على الفور بشأن أية خروقات او خروقات محتملة للمتطلبات التنظيمية الواردة في هذا النظام.

1. لا تنطبق متطلبات الأنظمة المحاسبية والمعلوماتية وإدارة المخاطر وأنظمة الرقابة الداخلية المنصوص عليها في هذه المادة على البنوك المرخصة التي تمارس أعمال تسهيلات القيم المخزنة في الدولة . يجب على البنوك الالتزام بالأنظمة ذات الصلة في هذه المجالات الصادرة عن المصرف المركزي للبنوك.

أنظمة المعلومات والمحاسبة

2. يجب أن يكون لدى المرخص له أنظمة المعلومات والمحاسبة قوية للقيام بالتالي (أ) تسجيل جميع الأنشطة التجارية في الوقت المناسب وبطريقة دقيقة، و(ب) توفير جودة المعلومات للإدارة للتمكن من إدارة الأعمال والعمليات بفعالية وكفاءة، و (ج) الاحتفاظ بسجل تدقيق مناسب لإثبات فعالية أدوات الرقابة.
    
3. يجب على المرخص له الاحتفاظ بالسجلات المحاسبية بشكل صحيح وإعداد البيانات والعوائد المالية وفقا للمتطلبات الرقابية للتقارير والمعاير المحاسبية المعمول بها في الدولة.

الاحتفاظ بالسجلات

4. يجب أن يكون لدى المرخص له سياسات وأنظمة ملائمة للاحتفاظ بسجلات دقيقة وكافية لدفاتره وحساباته وقراراته الإدارية وأنشطته التجارية، بما في ذلك معاملات العملاء.

حماية البيانات

5. يجب أن يكون لدى المرخص له سياسات وتدابير وإجراءات ملائمة لحماية المعلومات والأنظمة المحاسبية وقواعد البيانات والدفاتر والحسابات وغيرها من السجلات والوثائق من أية محاولات للوصول اليها من قبل غير المخولين لهم او استرجاعها أو التلاعب بها أو سوء استخدامها.
    
6. يجب على المرخص له أيضًا توفير الحماية الكافية لبيانات العملاء (بما في ذلك هوية العملاء وسجلات معاملاتهم) التي يجب تخزينها والاحتفاظ بها داخل الدولة. ولا يمكن اتاحة هذه البيانات الا للعميل المعني، أو المصرف المركزي، أو السلطات التنظيمية الأخرى بعد الحصول على موافقة مسبقة من المصرف المركزي، او بموجب امر من المحكمة في الدولة. ويجب على المرخص له تخزين جميع بيانات العملاء ومعاملاتهم والاحتفاظ بها لمدة خمس سنوات من تاريخ انشاء بيانات العميل، او لفترة أطول إذا كان ذلك ضروريا بموجب قوانين أخرى.

1. يجب أن يكون لدى المرخص له نظام فعال وقوي لحماية وإدارة أموال العملاء لضمان أن: (أ) كافة الأموال تُستخدم ضمن الإطار المحدد فقط، (ب) وأن الأموال المملوكة للعملاء محمية ضد مطالبات الدائنين الآخرين للمرخص له في جميع الظروف، وأن (ج) الأموال محمية من مخاطر التشغيل والمخاطر الأخرى ذات الصلة.
    
2. قد يحتاج المرخص له الى طلب استشارة قانونية خارجية حول ترتيبات حماية أموال العملاء لضمان السلامة القانونية لتلك الترتيبات، والقيام بمراجعة مستقلة للتأكد من صحة الإجراءات التشغيلية.
    
3. يجب على البنوك المرخصة الالتزام بالمتطلبات المنصوص عليها في الفقرات من 7 الى 16 من هذه المادة، ويتم استثنائهم من باقي فقرات المادة.

حماية أموال العملاء

4. يجب على المرخص له وضع ترتيب تعاقدي فعال لضمان الحق القانوني وأولوية المطالبة بأموال العملاء من قبل العملاء في حال إفلاس المرخص له. وفيما يتعلق بالترتيب التعاقدي، يجب على المرخص له التأكد من أن أصول أموال العملاء محمية بشكل كاف من أية مطالبات محتملة وفي حسابات منفصلة مع البنوك المرخصة أو بنك أجنبي معترف به من قبل المصرف المركزي.
    
5. وكخيار بديل، يمكن للمرخص له استخدام ضمان مصرفي فعال و / أو تغطية تأمينية. وللتأكيد، يتم التعامل مع أية أموال يتلقاها المرخص له ولم يتم ايداعها بعد في حسابات العملاء، أو الأموال التي تم خصمها بالفعل من حسابات العملاء وما زالت بحوزة المرخص له على أنها أموال مستلمة من العملاء ويجب تطبيق نفس مستوى الحماية عليها.
    
6. في حال اوجبت الظروف إعادة اموال العملاء الى العملاء، يجب ان يُفعل الترتيب التعاقدي بحيث تكون المواقف والتراخيص القانونية المناسبة متوفرة لضمان عملية استرداد سلسة وفعالة. يجب وضع إجراءات مفصلة لضمان عملية استرداد سلسة وفعالة. عند تقييم كفاءة عملية الاسترداد، سيأخذ المصرف المركزي في الاعتبار عددا من الأمور تشمل على سبيل المثال لا الحصر: إخطار العملاء المعنيين، والمدة التي يُتوقع من العميل خلالها استلام المبلغ المسترد، والخطوات التي يتعين على العميل اتخاذها للحصول على الأموال المستردة.
    
7. يجب على المرخص له التأكد من وجود أموال كافية لإرجاع أموال العملاء لكافة العملاء في كل الأوقات، ومن أن هناك أموالاً إضافية كافية لدفع تكاليف توزيع أموال العملاء على كافة العملاء عند الضرورة.
    
8. يجب وضع إجراءات واضحة لضمان وجود سجلات دقيقة وفي الوقت المناسب للأموال المدفوعة الى أو المسحوبة من حسابات أموال العملاء لدى المرخص له، مع ضرورة التحقق بانتظام من التوافق بين السجلات والأرصدة الفعلية لهذه الحسابات (على سبيل المثال، أرصدة الحساب المصرفي المخصص الذي يُحتفظ فيه بأموال العملاء). ويجب أن يتم هذا التحقق على أساس يومي على الأقل.
    
9. يجب على المرخص له ضمان ان سجل جميع حسابات العملاء في تسهيلات القيم المخزنة محفوظ بطريقة دقيقة وفي الوقت المناسب، وان الرصيد الإجمالي لجميع حسابات العملاء في التسهيلات يعكس بدقة مع الرصيد الفعلي لأموال العملاء في كل الأوقات.
    
10. يجب الفصل بين الأصول، بما في ذلك الودائع النقدية والمصرفية، التي من خلالها يتم الاحتفاظ بأموال العملاء لتسهيلات القيم المخزنة، والأموال الخاصة بالمرخص له وكذلك الأموال المستلمة جراء أية أنشطة تجارية أخرى للمرخص له.
     
11. يجب على المرخص له أن يضع تدابير وإجراءات رقابة داخلية فعالة، والتي تشكل جزءًا لا يتجزأ من إطار الرقابة الداخلية الشامل للمرخص له، بهدف حماية أموال العملاء من جميع المخاطر التشغيلية، بما في ذلك مخاطر السرقة والاحتيال والاختلاس.

إدارة أموال العملاء

12. يجب أن يكون الهدف من إدارة أموال العملاء لتسهيلات القيم المخزنة بشكل أساسي هو إدارة السيولة لضمان توفر رصيد كافي لتلبية طلبات الاسترداد في كل الأوقات. ويجب على المرخص له وضع سياسات وقواعد وإجراءات رقابة ناجعة لإدارة السيولة بما يتوافق مع طريقة عمل التسهيلات فيما يتعلق بالأصول التي من خلالها يتم الاحتفاظ بأموال العملاء.
     
13. يحظر على المرخص له تبني نموذج عمل بحيث يجني عوائد استثمار من إدارة أموال العملاء كمصدر هام للدخل. ويجب على المرخص له الذي يقترح الاحتفاظ بجزء من أموال العملاء في شكل أصول مالية منخفضة المخاطر غير النقد والودائع المصرفية، الحصول على موافقة كتابية مسبقة من المصرف المركزي بعد ان يُثبت بان أموال العملاء سيتم حمايتها بشكل كافٍ من جميع المخاطر ذات الصلة بما فيها مخاطر الاستثمار ومخاطر السوق المالي ومخاطر التركيز ومخاطر السيولة. ويجب على المرخص له قبل السعي للحصول على الموافقة ان يضع سياسات وارشادات استثمار مناسبة وتدابير رقابة فعالة لحماية أموال العملاء من جميع المخاطر ذات الصلة.
     
14. ما لم يتم وضع سياسات وإرشادات وتدابير رقابة فعالة لإدارة مخاطر العملات، لا يُسمح بعدم التطابق بين العملة المرتبطة بأموال العملاء وتلك المرتبطة بالأصول التي يتم من خلالها الاحتفاظ بأموال العملاء، باستثناء عدم التطابق بين الارصدة بالدرهم الإماراتي والدولار الأمريكي.
     
15. عند وجود أسباب مشروعة تجعل من المحتم على المرخص له التعامل مع عدم التطابق بين العملات كما هو موضح في الفقرة 14 من هذه المادة، يجب ان يحصل المرخص له على استثناء من قبل المصرف المركزي. وعلى المرخص له المستثنى من هذا المتطلب وضع إجراءات وسياسات ملاءمة لمراقبة وإدارة مخاطر الصرف الأجنبي وذلك لضمان كفاية أموال العملاء.

تقديم التقارير الى المصرف المركزي

16. فيما يتعلق بحماية وإدارة أموال العملاء، يجب على المرخص له ابلاغ المصرف المركزي فورا بشأن أي حالة عدم امتثال جوهري مع أي من المتطلبات التنظيمية أو السياسات أو الإجراءات أو الضوابط الداخلية وكذلك أي اختلاف جوهري فيما يخص تطابق الأرصدة لم يتم حله، مع تبيان التدابير التصحيحية المناسبة المتخذة، وذلك من خلال قنوات الاتصال القائمة.

1. ينبغي على المرخص له اعتماد أفضل الممارسات والمعايير الدولية عند تصميم وتنفيذ أنظمة وإجراءات إدارة مخاطر التكنولوجيا والمخاطر المحددة.
    
2. تنطبقجميع متطلباتإدارة مخاطر التكنولوجيا والمخاطر المحددة المنصوص عليها في هذه المادة أيضًا على البنوك المرخصة التي تمارس أعمال تسهيلات القيم المخزنة في الدولة.

إدارة مخاطر التكنولوجيا

3. يجب على المرخص له انشاء إطار فعال لإدارة مخاطر التكنولوجيا والأمن السيبراني لضمان التالي: (أ) ملاءمة ضوابط تكنولوجيا المعلومات، (ب) المرونة السيبرانية، (ج) الجودة والأمن، بما في ذلك الموثوقية، والمتانة والاستقرار الخاصة بأجهزة الكمبيوتر وأنظمة الدفع وتوفرها، و (د) سلامة وكفاءة عمليات تسهيلات القيم المخزنة. يجب أن يفي الإطار بالغرض وأن يتناسب مع المخاطر المرتبطة بطبيعة الأعمال والعمليات وحجمها وتعقيدها وأنواعها، والتقنيات المعتمدة ونظام إدارة المخاطر الشامل للمرخص له. وينبغي النظر في اعتماد المعايير والممارسات الدولية المعترف بها عند صياغة إطار إدارة المخاطر.
    
4. يجب على المرخص له إنشاء إطار عمل لإدارة الحوادث مع إشراف إداري كاف لضمان الاستجابة الفعالة للحوادث والقدرة الإدارية على التعامل مع الحوادث الهامة بشكل صحيح. ويشمل هذا الإطار: (أ) إبلاغ المصرف المركزي في الوقت المناسب بأي حالات احتيال مرتبطة بالتكنولوجيا أو اختراقات أمنية كبيرة، بما في ذلك الهجمات السيبرانية، وحالات انقطاع الخدمة لفترات طويلة، والحوادث المنهجية التي يعاني فيها العملاء من خسارة مالية أو تأثر لمصالحهم (على سبيل المثال، تسرب البيانات) و (ب) استراتيجية تواصل لمعالجة أية مخاوف للجهات المعنية قد تنشأ عن الحوادث، واصلاح الضرر الذي قد يلحق بالسمعة بسبب هذه الحوادث.
    
5. يجب ان يحتوي الإطار الفعال لإدارة مخاطر التكنولوجيا على حوكمة تكنولوجيا المعلومات ملائمة، واجراءات إدارة مخاطر التكنولوجيا مستمرة وتنفيذ ممارسات مراقبة تكنولوجيا المعلومات سليمة.

حوكمة تكنولوجيا المعلومات

6. تشمل حوكمة تكنولوجيا المعلومات عدة أمور، من ضمنها، هيكل واضح لوظائف تكنولوجيا المعلومات ووضع سياسات مراقبة تكنولوجيا المعلومات. وبالرغم من امكانية وجود مجموعة مختلفة من الهياكل التنظيمية، فان الوظائف الرئيسية عادة ما تشمل وظيفة فعالة تكنولوجيا المعلومات، ووظيفة قوية لإدارة مخاطر التكنولوجيا، ووظيفة مستقلة للتدقيق على التكنولوجيا.
    
7. يجب وضع مجموعة من سياسات التحكم في تكنولوجيا المعلومات التي تناسب نموذج الأعمال وتطبيقات التكنولوجيا للمرخص له، حيث يجب اعتماد سياسات التحكم في تكنولوجيا المعلومات التي تحدد القواعد الأساسية لضوابط تكنولوجيا المعلومات رسميًا من قبل الإدارة العليا، وتنفيذها بشكل صحيح من قبل كل من وظائف تكنولوجيا المعلومات ووحدات الأعمال. كما يجب أيضًا تحديد العمليات المستخدمة للتحقق من الامتثال مع سياسات التحكم في تكنولوجيا المعلومات وعملية الحصول على الموافقة المناسبة من قبل الإدارة العليا للإعفاء من سياسات التحكم في تكنولوجيا المعلومات، كما يجب تحديد العواقب المرتبطة بأي فشل في الالتزام بهذه العمليات.

اجراءات إدارة مخاطر التكنولوجيا

8. يجب على المرخص له وضع نظام فعال لإدارة المخاطر يتناسب مع نموذج الأعمال وتصنيف المخاطر الخاص به.
    
9. يجب إنشاء عملية قوية لإدارة جميع التغييرات (مثل التغييرات الناشئة عن المنتجات الجديدة أو الخدمات أو العمليات أو شروط العقد أو أي تغييرات في العوامل الخارجية مثل القانون والأنظمة) التي قد تغير تعرض المرخص له لمخاطر التكنولوجيا. يجب تقييم جميع المخاطر المحددة بشكل حاسم ومراقبتها والتحقق منها بشكل مستمر.
    
10. يجب وضع إطار عام لإدارة المشاريع الرئيسية المتعلقة بالتكنولوجيا، مثل تطوير البرمجيات داخليا واقتناء أنظمة المعلومات .يجب أن يحدد هذا الإطار، من بين أمور أخرى، منهجية إدارة المشروع التي سيتم اعتمادها وتطبيقها على هذه المشاريع.

دورة حياة المشروع

11. يجب اعتماد وتطبيق منهجية لدورة حياة المشاريع تحكم عمليات تطوير، وتنفيذ، وصيانة انظمة الحاسب والدفع الرئيسية.
     
12. يجب وضع عمليات رسمية لاقتناء البرمجيات من أجل إدارة المخاطر الناشئة عن الاقتناء، مثل خروقات اتفاقية ترخيص البرمجيات او مخالفة حقوق الملكية الفكرية، وذلك في حال اقتناء المرخص له لبرمجيات من مزودين خارجيين.
     
13. يجب اجراء عمليات التأكد من الجودة في المشاريع الكبيرة المتعلقة بالتكنولوجيا من قبل جهة مستقلة بالاستعانة بوظائف الامتثال والشؤون القانونية إذا لزم الأمر.

المتطلبات الأمنية

14. يجب تحديد المتطلبات الأمنية بوضوح في المراحل المبكرة من تطوير الأنظمة او اقتناءها، كجزء من متطلبات العمل، ويجب ان يتم تحديدها بشكل مناسب اثناء مرحلة تطوير الأنظمة.

ممارسات البرمجة

15. يجب وضع مبادئ توجيهية ومعاير لتطوير البرمجيات وفقا للممارسات المقبولة عمومًا بشأن التطوير الآمن. يجب إجراء مراجعة رمز البرمجة (مثل مراجعة الأقران ومراجعة التحليل الآلي)، والتي يمكن ان تكون قائمة على المخاطر، كجزء من عملية ضمان جودة البرمجيات.

اختبار النظام والقبول والنشر

16. يجب وضع عملية رسمية لاختبار وقبول الأنظمة للتأكد من أنه يتم الترويج فقط للأنظمة المختبرة والمعتمدة بشكل صحيح في البيئة التشغيلية. يجب أن يغطي نطاق الاختبارات قوانين عمل النظام، والضوابط الأمنية وأداء النظام في ظل سيناريوهات اختبارات الإجهاد المختلفة وظروف استعادة النظام.
     
17. يجب الحفاظ على بيئات منفصلة لأغراض التطوير والاختبار والتشغيل الفعلي. يجب إجراء اختبار النظام واختبار قبول المستخدم بشكل صحيح في بيئة الاختبار. لا ينبغي استخدام بيانات البيئة التشغيلية في التطوير أو اختبار القبول ما لم يتم التحقق من حساسية البيانات والحصول على موافقة مسبقة من مالك المعلومات.

الفصل بين الواجبات

18. يجب الحفاظ على فصل بين الواجبات بين فرق تكنولوجيا المعلومات بشكل صحيح. يجب ألا يتمكن المطورون من الوصول إلى مكتبات ونشر شفرات البرمجيات على البيئة التشغيلية. في حالة استخدام إجراءات تلقائية لنشر الشفرات على البيئة التشغيلية، يجب إجراء المراقبة الكافية والمراجعات والفحوصات من قبل فرق مستقلة. كذلك يجب مراقبة عن كثب صلاحيات دخول مقدمي الخدمات إلى بيئة اختبار قبول المستخدم، إذا لزم الأمر.

حوسبة المستخدم النهائي

19. يجب الاحتفاظ بقائمة جرد للبرمجيات المطورة للمستخدم النهائي، وعند الحاجة، تحديد إجراءات المراقبة والمسؤوليات فيما يتعلق بحوسبة المستخدم النهائي لتغطية مجالات مثل الملكية ومعايير التطوير وأمن البيانات والتوثيق وتخزين البيانات / الملفات والنسخ الاحتياطي، واستعادة النظام، بالإضافة الى مسؤوليات التدقيق والتدريب.

خدمات دعم تكنولوجيا المعلومات – إدارة المشاكل

20. يجب وضع إجراءات إدارة المشاكل لتحديد وتصنيف وترتيب الأولويات ومعالجة جميع مشاكل تكنولوجيا المعلومات في الوقت المناسب. يجب إجراء تحليل اتجاهي بشكل منتظم عن الحوادث الماضية لتسهيل تحديد ومنع المشاكل المماثلة.

إدارة التغيير

21. يجب تطوير إجراءات لإدارة التغيير لضمان سلامة وموثوقية البيئة التشغيلية، وأن التغييرات التي تطرأ على أنظمة التطبيقات وبرامج النظام (مثل أنظمة التشغيل والمرافق) والأجهزة وأنظمة الشبكات وغيرها من مرافق ومعدات تكنولوجيا المعلومات مناسبة وليس لها أي تأثير غير مرغوب فيه على البيئة التشغيلية. يجب أيضًا وضع إجراءات رسمية لإدارة التغييرات الطارئة (بما في ذلك حفظ السجلات وترتيبات المصادقة) لتمكين معالجة المشكلات غير المتوقعة في الوقت المناسب وبطريقة محكمة.

معايير الأمان الأساسية

22. يجب توثيق إجراءات التحكم ومتطلبات الأمن الأساسية، بما في ذلك جميع التكوينات والإعدادات لأنظمة التشغيل وبرامج النظام وقواعد البيانات والخوادم وأجهزة الشبكة بشكل ملاءم ودقيق. يجب إجراء مراجعات دورية حول امتثال إعدادات الأمان لمعايير الأمان الأساسية.

عمليات تكنولوجيا المعلومات – جدولة المهام

23. يجب الموافقة على جدولة المهام الأولية وأية تغييرات تطرأ عليها بشكل مناسب. يجب أن تكون الإجراءات في مكانها الصحيح لتحديد والتحقق والموافقة على حالات الخروج عن جداول العمل الموافق عليها.

إدارة الثغرات الأمنية وحلولها

24. يجب نشر مجموعة من الأدوات التلقائية والأساليب اليدوية لإجراء تقييمات شاملة لأي ثغرات أمنية بشكل منتظم، وفي حالة تطبيقات الويب يجب ان يشمل نطاق التقييمات الثغرات الأمنية المعروفة لشبكة الانترنت.
     
25. يجب صياغة إجراءات لإدارة الحلول الأمنية لتشمل تحديد وتصنيف وتقييم الأولويات وإعداد الحلول المستخدمة في سد الثغرات الأمنية، وذلك لضمان تنفيذ الحلول الأمنية في وقت مناسب، ويجب تحديد الإطار الزمني للتنفيذ لكل فئة من الحلول الأمنية بناء على شدتها ومدى تأثيرها على الأنظمة.
     
26. يجب تنفيذ أدوات للمراقبة الأمنية للاحتفاظ بسجلات النظام والتطبيقات وأجهزة الشبكات لتسهيل عمليات التحقق عند الضرورة وفقاً لسياسة الاحتفاظ بالسجلات المحددة للمرخص له. يجب أن تقوم الأدوات أيضاً بمراقبة التكوينات وإعدادات الأمان المهمة والإبلاغ عنها، لحظيا إن أمكن، لتحديد التغييرات غير المصرح بها لهذه الإعدادات وحظر الأنشطة غير المتعارف عليها، على سبيل المثال سلوكيات المستخدم غير الطبيعية وعمليات النظام غير العادية والدخول غير المصرح إلى الذاكرة وعمليات الاستدعاء الضارة للأجهزة

صيانة مرافق ومعدات تكنولوجيا المعلومات

27. يجب صيانة مرافق ومعدات تكنولوجيا المعلومات وفقاً لأفضل الممارسات، وفترات الخدمة والمواصفات الموصى بها من قبل الموردين لضمان دعم المرافق والمعدات بشكل جيد.

حوسبة الأجهزة المحمولة

28. عندما يوفر المرخص له أجهزة محمولة لموظفيه، يجب تطوير سياسات وإجراءات تغطي، من بين أمور أخرى، طلبات الشراء، والمصادقة، والتشديد، والترميز، والنسخ الاحتياطي للبيانات والاحتفاظ بها.

إدارة الشبكة والبنية التحتية

29. يجب أن تُسند المسؤولية العامة لإدارة الشبكة بوضوح إلى الأفراد الذين لديهم خبرة فنية لأداء واجباتهم. ويجب توثيق معايير الشبكة، وتصميمها، ومخططاتها، وإجراءات تشغيلها رسميا بالإضافة إلى تحديثها وإبلاغها لجميع موظفي الشبكة المختصين ومراجعتها بشكل منتظم.
     
30. يجب أن يكون لدى المرخص له تدابير مناسبة للحفاظ على الفصل المناسب لقواعد البيانات لأغراض مختلفة لمنع الدخول غير المصرح به أو غير المقصود أو الاسترجاع، ويجب فرض ضوابط دخول قوية لضمان سرية وسلامة قواعد البيانات. فيما يتعلق بأي بيانات شخصية للعملاء، بما في ذلك التجار، يجب على المرخص له في جميع الأوقات الالتزام بهذا النظام، وقوانين حماية البيانات ذات الصلة وكذلك أي قواعد أو إرشادات أو أفضل الممارسات ذات الصلة الصادرة عن السلطات المختصة من وقت لآخر.
     
31. يجب تقييد الوصول إلى المعلومات وأنظمة التطبيقات من خلال آلية مصادقة مناسبة مرتبطة بقواعد التحكم في الوصول. ويجب اعتماد إطار عمل للتحكم في صلاحيات الدخول قائم على الأدوار ويجب منح صلاحيات الدخول فقط على أساس الحاجة إلى الحصول عليها.
     
32. يجب إنشاء وظيفة أمنية إدارية ومجموعة من الإجراءات الرسمية لإدارة تخصيص حقوق صلاحيات الدخول إلى موارد النظام وأنظمة التطبيقات، ومراقبة استخدام موارد النظام للكشف عن أي أنشطة غير اعتيادية أو غير مصرح بها.
     
33. يجب توخي العناية الواجبة عند التحكم في استخدام المعرفات ذوي الامتيازات ومعرفات الطوارئ والوصول إليها. تشمل إجراءات التحكم الضرورية ما يلي: (أ) تغيير كلمة المرور الافتراضية، و(ب) تقييد عدد المستخدمين ذوي الامتيازات، و(ج) تنفيذ ضوابط قوية على صلاحيات الدخول عن بعد من قبل المستخدمين ذوي الامتيازات، و(د) منح الصلاحيات الضرورية للغاية للمعرفات ذوي الامتيازات ومعرفات الطوارئ، و(هـ) الموافقة الرسمية من قبل كبار الموظفين المناسبين قبل السماح بالاستخدام، و(و) تسجيل وحفظ ورصد الأنشطة التي يتم تنفيذها بواسطة المعرفات ذوي الامتيازات ومعرفات الطوارئ (مثل مراجعة الزملاء لسجلات الأنشطة)، و(ز) حظر مشاركة الحسابات ذوي الامتيازات، و(ح) الحماية المناسبة للمعرفات وكلمات المرور ذوي الامتيازات والطوارئ (مثل الاحتفاظ بها في مظروف مغلق ومغلقة داخل مركز البيانات)، و (ط) تغيير كلمات المرور الخاصة بالمعرفات ذوي الامتيازات ومعرفات الطوارئ فور إعادتها بواسطة صاحب الطلب.

المرونة السيبرانية

تقييم مخاطر الأمن السيبراني

34. يجب إدارة مخاطر الأمن السيبراني بشكل مناسب من خلال إطار إدارة مخاطر تكنولوجيا المعلومات عندما يعتمد المرخص له بشكل كبير على تقنيات الإنترنت والهاتف المحمول لتقديم خدماته، ويجب على المرخص له أيضًا تخصيص موارد كافية لضمان قدراته على تحديد المخاطر وحماية خدماته الحيوية من الهجوم واحتواء تأثير الحوادث الأمنية واستعادة الخدمات بشكل مناسب.

معلومات التهديد السيبراني

35. يجب على المرخص له مواكبة اتجاهات التهديدات السيبرانية، وقد يكون ذلك عن طريق الاشتراك في خدمات معلومات التهديد السيبراني ذات الصلة بأعمال المرخص له، وذلك لتعزيز قدرته على الاستجابة بدقة لأي نوع جديد من التهديدات في الوقت المناسب. قد يبحث المرخص له أيضًا عن فرص للتعاون مع المنظمات الأخرى لمشاركة وجمع معلومات عن التهديدات السيبرانية بهدف الارتقاء بمستوى إدارة المخاطر الأمنية لنظام تسهيلات القيم المخزنة.

اختبار محاكاة الاختراق والهجمات السيبرانية

36. يجب على المرخص له إجراء تقييم بشكل منتظم لضرورة إجراء اختبار محاكاة الاختراق والهجمات السيبرانية. يجب أن تستند التغطية ونطاق الاختبار إلى ملف تعريف مخاطر الأمن السيبراني، والمعلومات الإلكترونية المتاحة والتي لا تغطي الشبكات (الخارجية والداخلية) وأنظمة التطبيقات فحسب، بل تغطي أيضًا الهندسة الاجتماعية والتهديدات السيبرانية الناشئة. كما ينبغي أن يتخذ الإجراءات المناسبة للتخفيف من المشاكل والتهديدات ونقاط الضعف التي تم تحديدها في اختبار محاكاة الاختراق والهجمات السيبرانية في الوقت المناسب، وذلك بناءً على تحليل التأثير والتعرض للمخاطر.

الأجهزة المتصلة بشبكة الإنترنت

37. مع تطور الإنترنت، تم تضمين المزيد من الأجهزة أو الأدوات إمكانية الاتصال بالإنترنت، وقد تمثل تلك الأجهزة المتصلة بالإنترنت بشكل دائم نقطة دخول ممكنة للمخترقين للوصول بشكل غير قانوني للبنية التحتية لتكنولوجيا المعلومات الحيوية للمرخص له. يجب على المرخص له الانتباه إلى المخاطر ذات الصلة واتخاذ الإجراءات المناسبة وفقًا لذلك.

إدارة أمن عمليات الدفع

38. يجب على المرخص له وضع إطار قوي لإدارة أمن عمليات الدفع يتناسب مع حجم وطبيعة المخاطر الأمنية المرتبطة بالعمليات المنفذة ضمن تسهيلات القيم المخزنة من أجل المراقبة الفعّالة للمخاطر الأمنية الناشئة من تلك العمليات، وتحديدها وتقييمها والتعامل معها والتخفيف من التأثيرات المترتبة عليها.
     
39. يجب أن يكون لدى المرخص له سياسات وإجراءات مناسبة بشأن ملكية المعلومات التي تم جمعها من العملاء وتصنيفها وتخزينها ونقلها ومعالجتها والاحتفاظ بها من خلال تسهيلات القيم المخزنة وعمليات الدفع، وذلك لضمان سرية وسلامة المعلومات.

ملكية المعلومات

40. يجب تعيين مالك للمعلومات التي يتم جمعها، ومعالجتها، وإنشائها وصيانتها. يجب أن يكون مالك المعلومات مسؤولاً عن التصنيف وترخيص الاستخدام وحماية المعلومات التي تتم معالجتها بواسطة الأنظمة وتخزينها فيها.

تصنيف المعلومات

41. يجب تصنيف المعلومات إلى فئات مختلفة بناء على درجة الحساسية للدلالة على درجة الحماية المطلوبة لهذه المعلومات. للمساعدة في عملية التصنيف، يجب على المرخص له وضع مبادئ توجيهية وتعريفات لكل تصنيف وتحديد مجموعة مناسبة من الإجراءات لحماية المعلومات وفقًا لنظام التصنيف.

تخزين المعلومات

42. يجب تأمين البيانات الحساسة المخزنة في أجهزة المستخدم النهائي وكذلك الأنظمة الخلفية للمرخص لهم، مثل بيانات الدفع ومعلومات التعريف الشخصية وبيانات التوثيق بشكل مناسب ضد السرقة والوصول غير المصرح به أو التعديل. ويجب ترميز البيانات الحساسة وتخزينها في بيئة تخزين آمنة، باستخدام تقنيات ترميز قوية ومعترف بها على نطاق واسع.

نقل المعلومات

43. يجب على المرخص له التأكد عند نقل البيانات الهامة، على سبيل المثال من جهاز العميل إلى خادم المرخص له، يتم اعتماد ترميز قوي وآمن بين الطرفين والحفاظ عليه من أجل حماية سرية البيانات وسلامتها باستخدام تقنيات ترميز قوية ومعترف بها على نطاق واسع.
     
44. حيثما ينطبق، يجب مراعاة أن تكون قنوات الاتصال لتبادل البيانات مفتوحة فقط على أساس الحاجة إلى الاستخدام، على سبيل المثال، حيثما ينطبق، يجب السماح بالاتصالات عبر الاتصال اللاسلكي فقط بعد التنشيط من قبل العميل وفي غضون فترة زمنية محدودة.

معالجة المعلومات

45. إذا عرض المرخص له خدمات تحصيل المعاملات، يجب ان يقوم المرخص له بمطالبة التجار باتخاذ الإجراءات المطلوبة لحماية البيانات الهامة المتعلقة بعمليات الدفع، ويجب الامتناع عن تقديم الخدمات للتجار غير القادرين على توفير الحماية المطلوبة للبيانات. يجب ان يحرص المرخص له أيضا على تنفيذ ضوابط كافية للحفاظ على سلامة المعلومات التي تعالجها أنظمته والتحقق منها.

الاحتفاظ والتخلص من المعلومات

46. يجب على المرخص له تنفيذ سياسة الاحتفاظ بالمعلومات والتخلص منها للحد من كمية تخزين البيانات ووقت الاحتفاظ بها، مع مراعاة المتطلبات القانونية والرقابية والتجارية المعمول بها.

تقليل المعلومات

47. يجب ان يراعي المرخص له تقليل المعلومات اثناء تصميم، وتطوير، وصيانة خدمات الدفع ويكون هذا مبدأ أساسي للتعامل مع الوظائف الأساسية مثل تجميع، أو تحويل، أو معالجة، أو تخزين او أرشفة البيانات.
     
48. يجب على المرخص له تنفيذ تدابير أمنية مناسبة لحماية كل قناة دفع (بما في ذلك البطاقات وأجهزة الدفع المستخدمة من العملاء) متاحة للعملاء ضمن نظام تسهيلات القيم المخزنة، ضد جميع نقاط الضعف المادية أو هجمات أمنية. كذلك يجب على المرخص له الذي يقدم خدمات بطاقات الدفع تنفيذ إجراءات وقائية كافية لحماية بيانات بطاقة الدفع الحساسة.

أجهزة العملاء

49. يجب على المرخص له افتراض ان أجهزة العملاء معرضة للاختراق الأمني واتخاذ التدابير اللازمة بناء على ذلك عند تصميم، أو تطوير أو صيانة خدمات الدفع. يجب مراعاة وجود ضوابط أمنية للحماية ضد السيناريوهات المختلفة بما في ذلك الدخول غير المصرح الى الأجهزة، أو البرامج الضارة أو الفيروسات، وحالات عدم وجود حماية او التعرض للمخاطر خاصة بأجهزة المحمول او الاستخدام غير المصرح لتطبيقات الأجهزة المحمول.

قبول عمليات الدفع بواسطة الأجهزة المحمولة

50. في حال توفير الجهاز المحمول للتاجر لقبول عمليات الدفع الخاصة بالمرخص له، يجب تنفيذ تدابير أمنية اضافية لحماية عمليات الدفع بواسطة الأجهزة المحمولة، بما يشمل كشف العمليات غير الاعتيادية، وتسجيل بيانات الاستخدام في تقارير، وتقديم معلومات وافية عن التاجر للعملاء للتأكد من صحة البيانات التعريفية للتاجر.

مصادقة العملاء

51. يجب على المرخص له اختيار تقنيات مصادقة موثوقة وفعالة للتحقق من هوية وصلاحية عملائه ، ومن المتوقع بشكل عام ان يتم تفعيل التحقق المرتكز على عاملين لعمليات الدفع العالية المخاطر، حيث يوفر ذلك حماية أكبر من خلال الجمع بين أي عاملين من العوامل الثلاثة التالية: (أ) شيء يعرفه العميل (مثال: رقم تعريف شخصي او كلمة مرور)؛ (ب) شيء ما يملكه العميل (على سبيل المثال، كلمات مرور لمرة واحدة تم إنشاؤها بواسطة رمز أمان أو أنظمة أمان خاصة بالمرخص له)؛ (ج) شيء ما يمثله العميل (مثل شبكية العين أو بصمة الإصبع أو التعرف على الصوت).
     
52. يجب على المرخص له وضع ضوابط أمنية مناسبة فيما يتعلق بقوة كلمات المرور (مثال: الحد الأدنى لعدد الخانات) عند استخدام كلمة المرور (بما يشمل رقم التعريف الشخصي) كرمز دخول.

محاولات تسجيل الدخول وإدارة الجلسات

53. يجب وضع ضوابط لعدد محاولات تسجيل الدخول (مثال: كلمة مرور غير صحيحة) وتنفيذ تدابير أمنية لنفاذ وقت جلسة الدخول، ويجب مراعاة أن تكون صلاحية مدة جلسة الدخول عند استخدام كلمة مرور المرة الواحدة أقل ما يمكن.

تسجيل الأنشطة

54. يجب أن يراعي المرخص له تسجيل جميع العمليات في سجل تدقيق بالشكل المناسب.
     
55. يجب ان يكون لدى المرخص له سجل تدقيق قوي يسمح باسترجاع أي بيانات تاريخية بما يشمل جميع التفاصيل الخاصة بالتعديلات، الإضافات او عمليات المسح لمختلف العمليات المسجلة. ويتم السماح فقط للأفراد ذوي المميزات بمثل هذه الأدوات ويجب ان تكون مدققة هي الأخرى.
     
56. يجب منح القنوات المناسبة للمستخدمين لمراجعة عملياتهم السابقة.

أنظمة كشف الاحتيال

57. يجب على المرخص له تشغيل نظم مراقبة للعمليات مصممة للكشف عن، وحظر أي عمليات مشبوهة، او عالية المخاطر ويجب ان يتم التحقق منها من خلال نظام منفصل يختص بتنقية وتقييم العمليات المشابهة.
     
58. يجب على المرخص له تنفيذ إجراءات تحقق مناسبة عندما يتم ربط بطاقة خصم، ائتمان او مسبقة الدفع بتسهيلات القيم المخزنة كمصدر للتمويل، ويجب ان يتم ذلك من خلال مصدر البطاقة (مثال: رسالة قصيرة تحتوي على كود التحقق او أي وسيلة حماية أخرى) للتأكد من موافقة صاحب البطاقة على ربط بطاقته بتسهيلات القيمة المخزنة. ويجب ان يتم التحقق على الأقل مرة واحدة اثناء ربط أو استخدام البطاقة للمرة الأولى، على ان يقوم المرخص له برفض ربط البطاقة إذا لم يقم مصدر البطاقة بدعم التحقق او تأكيده او في حالة فشل التحقق لأي سبب كان.
     
59. يجب على المرخص له ان يقوم بتنفيذ التدابير الأمنية اللازمة عند تفعيل المستخدم النهائي لحساب القيمة المخزنة لإعداد عملية خصم مباشر من حساب بنكي لضمان الموافقة على هذه العملية واعتمادها بنجاح من مالك الحساب البنكي.

إدارة حسابات العملاء

60. يجب على المرخص له إتباع طريقة موثوق بها للتأكد من هوية العميل والمصادقة عليه في حالة السماح له بفتح حساب عن طريق القنوات الإلكترونية، وبشكل عام الإجراءات المتبعة حاليا من البنوك المرخصة لإجراء عمليات اعرف عميلك الإلكترونية معتمدة لفتح حسابات القيم المخزنة.
     
61. يحب على المرخص له إجراء التحقق المناسب للتأكد من هوية العميل عند القيام بأي طلب للتغيير على معلومات العميل او معلومات الاتصال المستخدمة لاستقبال أي معلومات هامة او مراقبة العمليات المنفذة على حسابات العميل.

الضوابط على المعاملات عالية المخاطر

62. يجب على المرخص له تنفيذ ضوابط فعالة، مثل المصادقة المرتكزة على عاملين، لإعادة المصادقة على العميل قبل تنفيذ كل المعاملات عالية المخاطر. يجب أن تشمل المعاملات عالية المخاطر، على الأقل، ما يلي: (أ) المعاملات التي تجاوزت سقف عدد المعاملات المحدد مسبقًا؛ (ب) تغيير بيانات الاتصال الشخصية؛ و (ج) ما لم يكن ذلك عمليا في نظام تسهيلات القيم المخزنة المعني، المعاملات التي تجاوزت سقف القيمة الإجمالية المسموح به (أي القيمة الإجمالية للمعاملات على مدى فترة زمنية).
     
63. يجب على المرخص له تعريف حد أقصى لكل معاملة والحد الإجمالي للمعاملات خلال فترة زمنية محددة لدواعي تعزيز مراقبة الاحتيال، والحد الأقصى في حسابات تسهيلات القيم المخزنة (حيثما ينطبق)، الحد اليومي للإيداع (حيثما ينطبق) وأي أساليب أخرى للحماية من محاولات الاحتيال. يجب ان يتم عرض الحدود المعرفة على العملاء بشكل واضح.

إدارة استمرارية الأعمال

64. يجب أن يكون لدى المرخص له برنامج مناسب لإدارة استمرارية الأعمال والحرص على استمرار العمل، التعافي السريع، او خفض العمليات الهامة في الحالات القصوى للاضطرابات الهائلة للأعمال عن طريق سيناريوهات اضطرابات مختلفة. يتكون برنامج استمرارية الاعمال المناسب من تحليلات للتأثيرات على الأعمال، خطط تعافي، خطة استمرارية العمل وخطط بديلة للمواقع لمباشرة العمل وتعافي تكنولوجيا المعلومات. جميع ما سبق تم تفصيله فيما يلي:

تحليل أثر الأعمال التجارية

65. يتكون عادة تحليل أثر الأعمال التجارية من قسمين، القسم الأول هو (أ) تعريف سيناريوهات مختلفة التي من شأنها ان تعيق الخدمات المقدمة من المرخص له خلال فترة زمنية و (ب) تعريف الحد الأدنى من الخدمات الهامة الخاصة بالأعمال والدفع والتي يجب صيانتها في حالة توقف الخدمة لفترة أطول من المتوقع.
     
66. الجزء الثاني من تحليل أثر الأعمال التجارية هو تقييم وقت التعافي، ويهدف إلى تطوير أهداف رئيسية وعملية لوقت التعافي، يمكن قياسها وتحقيقها: (أ) الحد الأقصى من التحمل لوقف النظام للسماح بالتعافي ومعاودة الحد الأدنى من الخدمات الهامة بما يتعلق بالأعمال والدفع و (ب) هدف وقت التعافي لاستعادة المواد الهامة الخاصة بتكنولوجيا المعلومات والأعمال وخدمات الدفع و (ج) هدف لمكان تعافي البيانات بشكل آمن، وقت مناسب، وصلابة تامة.

استراتيجيات التعافي

67. يجب وضع مجموعة من استراتيجيات التعافي لضمان أن جميع الوظائف المهمة التي لها تأثير على الأعمال معرفة وقادرة على التعافي في فترة زمنية معرفة مسبقا، ويجب ان يتم توثيق هذه الاستراتيجيات بشكل واضح، وأن يتم اختبارها ومراجعتها بشكل دوري للحرص على استيفاء أهدافها.
     
68. وجود سجل صحيح هو أحد عناصر تعافي الخدمة، ويجب على المرخص له وضع ضوابط فعّالة لضمان أن جميع السجلات الخاصة بالأعمال، وبشكل خاص سجل العملاء، يمكن استرجاعها بشكل لحظي في حال ضياعها أو تلفها او فقدانها. من المهم للمرخص له ان يسمح للعملاء بالدخول إلى سجلاتهم في وقت سريع.
     
69. يجب الوضع في الاعتبار عددا من العوامل عند تحديد المستوى الأدنى من الخدمات وأهداف التعافي للمرخص له، من ضمنها العلاقات بين الأنظمة والخدمات الهامة، وتوقعات العملاء وأصحاب المصالح من حيث السرعة، والاستقرار، ودرجة الثقة في الخدمة، والمخاطر القانونية ومخاطر السمعة.

خطة استمرارية الأعمال

70. يجب تطوير خطة لاستمرارية الأعمال بناء على تحليل أثر الأعمال التجارية واستراتيجيات التعافي المرتبطة بها، ويجب ان تتضمن على الأقل (أ) خطة مفصلة لإجراءات التعافي لضمان تحقيق كامل لاستراتيجية التعافي،(ب) وإجراءات التصعيد وسياسة إدارة الكوارث (مثال: إنشاء مركز قيادة، تقرير دوري للمصرف المركزي، إلخ) في حالة توقف الخدمة لوقت طويل،(ج) واستراتيجية لمبادرة التواصل (مثال: تنبيه العملاء، الصحف، إلخ) (د) وتحديث بيانات الاتصال للأشخاص المختصين بخطة استمرارية الاعمال، (هـ) وتعيين شخص رئيس وآخر ينوب عنه لتولي مهام التعافي للأنظمة الهامة.

مواقع احتياطية لتعافي الاعمال وتكنولوجيا المعلومات

71. يجب ان يقوم المرخص له بمراجعة درجة تركيز المهام الرئيسية للأعمال في نفس المكان او أماكن مجاورة، والمسافة بين المواقع الاحتياطية والرئيسية. يجب ان تكون المواقع الاحتياطية ملائمة من حيث المسافة بشكل فعّال لتجنب أي مخاطر قد تنتج من نفس القطاع الجغرافي.
     
72. يجب ان يكون موقع المرخص له الاحتياطي مسموح الوصول إليه وبجاهزية عالية، حيث يكون مجهزا بالأدوات اللازمة ومتوفرا لبدء العمل حسب الخطة الزمنية المقررة في خطة استمرارية الأعمال، كما يجب تنفيذ ضوابط تسجيل الدخول إلى المكان، وفي حالة وجوب العمل من المنزل لأفراد الفريق، يجب توفير الأجهزة المحمولة والتطبيقات للأنظمة بشكل مسبق.
     
73. يجب تجهيز المواقع الاحتياطية بالمتطلبات التكنولوجية بشكل كافي بما يشمل أجهزة الاتصالات كما يتناسب مع طبيعة ونوع متطلبات التعافي.
     
74. على المرخص له تجنب الاعتماد بشكل كبير على شركات خارجية لدعم خطة استمرارية العمل بما يشمل توفير موقع التعافي الاحتياطي، الأدوات والأجهزة الاحتياطية. يجب على المرخص له بنفسه ان يتحقق من ان الشركات الخارجية لديها القدرة الكافية لتقديم الخدمات المطلوبة عند الحاجة، والمسؤوليات القانونية بما يشمل وقت ونوع الدعم والقدرة الاستيعابية بشكل واضح ومكتوب.
     
75. في حالة اعتماد المرخص له على بيئة تكنولوجية مشتركة مقدمة من احدى الشركات الخارجية، مثل الاستضافة السحابية، لدعم التعافي من الكوارث، يجب إدارة المخاطرة المتعلقة بهذه الخدمة.

إشراف الإدارة العليا

76. يجب على الإدارة العليا للمرخص له تحديد المسؤولية بشكل واضح لكل مهام إدارة استمرارية العمل وإجراءاتها، والتأكد من وجود موارد وخبرات كافية لتنفيذها.
     
77. نظرا لأهمية إدارة استمرارية العمل، يجب على المدير التنفيذي للمرخص له تجهيز وتوقيع تصريح سنوي يتم تقديمه إلى مجلس الإدارة عما إذا كانت استراتيجيات التعافي مازالت فعّالة وخطة استمرارية العمل تم اختبارها ومراجعتها بشكل صحيح.

تنفيذ خطة استمرارية العمل

78. من المتوقع ان يقوم المرخص له باختبار خطة استمرارية العمل مرة واحدة على الأقل سنويا، وتقوم الإدارة العليا والمسؤول الأول والمسؤول المناوب بالمشاركة في الاختبار السنوي ليتم تعريفهم بمسؤولياتهم.
     
79. يجب مراجعة جميع الخطط والمخاطر المتعلقة، والافتراضات الخاصة باستمرارية العمل لضمان الدقة والصحة وذلك كجزء من التخطيط والاختبار السنوي. يجب إصدار تقرير رسمي موثق (يتضمن خطة الاختبار، السيناريوهات، الإجراءات والنتائج)، وتجهيز تقرير نهائي بعد الانتهاء وتوقيعه من الإدارة العليا.

إدارة مخاطر السمعة

80. يجب على المرخص له وضع وتنفيذ عملية فعالة لإدارة مخاطر السمعة بما يتناسب مع حجم وتعقيد عملياته. يجب على المرخص له أن يدمج في عملياته التجارية أعمال العناية الواجبة المناسبة من أجل (أ) إجراء تقييم نقدي للآثار المحتملة على السمعة لخططه وأنشطته بالنسبة للمرخص له وللقطاع ككل، و(ب) اتخاذ إجراءات استباقية لتجنب أو احتواء المخاطر المحددة، و (ج) الاستجابة بسرعة للتخفيف من الأثر المحتمل في حالة حدوث مثل هذه المخاطر.
     
81. يجب على المرخص له أيضًا تخصيص الموارد المناسبة لإجراء أعمال المراقبة بهدف تحديد أي مشكلات لها آثار على السمعة لعملياته. الهدف هوحماية المرخص له من التهديدات المحتملة لسمعته، وفي حالة وجود حدث يتعلق بالسمعة، يجب تقليل آثار مثل هذا الحدث.
     
82. يجب على المرخص له التأكد من أن العملية ذات الصلة قادرة على الكشف عن التهديدات الجديدة والناشئة التي تهدد السمعة والاستجابة لها بسرعة، ومراقبة الوضع المتغير للمخاطر، وتوفير الإنذار المبكر بشأن المشكلات المحتملة للتمكن من اتخاذ الإجراءات العلاجية، وتقديم ضمانات بأن المخاطر التي تؤثر على السمعة تحت السيطرة.

1. يجب تشغيل تسهيلات القيم المخزنة بحكمة وكفاءة بحيث الا يتأثر العميل سلبا، او العملاء المحتملين للمرخص له. يجب على جميع المرخص لهم الامتثال أيضًا للمتطلبات التنظيمية الحالية لحماية المستهلك للمصرف المركزي.
    
2. متطلبات ممارسة الأعمال وحماية العملاء المنصوص عليها في هذه المادة تطبق أيضا على البنوك المرخصة التي تمارس أعمال تسهيلات القيم المخزنة في الدولة.

معايير ممارسات الأعمال

3. يجب ان يتأكد المرخص له ان اعماله تدار بشكل مسؤول، صادق، ومهني. يجب على المرخص له معاملة جميع العملاء والتجار بشكل متساوي، وصادق وعادل في كل مراحل العلاقة مع المرخص له، كما يجب دائما التصرف بشكل لا يؤثر سلبا على العملاء او العملاء المحتملين او استقرار أي من أنظمة الدفع في الدولة.
    
4. يجب على المرخص له ان يكون مسؤولا عن تصرفات موظفيه، مقدمي خدماته، ووكلائه فيما يخص سلوك العمل. يجب تدريب وتأهيل الموظفين والوكلاء بشكل مناسب.
    
5. يجب على المرخص له تبني، او تطوير إذا دعت الحاجة، ممارسات اعمال جيدة تعكس معايير مناسبة لممارسة العمل بما يتضمن:
    
   1. 5.1. يجب تنفيذ العناية الواجبة من المرخص له لضمان أن تكون جميع المواد الاعلانية التي يصدرها دقيقة وغير مضللة.
   2.  
   3. 5.2. يمكن للمرخص له استخدام الموقع الالكتروني وتطبيقات الجوال لتقديم روابط إلى بوابات التجارة الالكترونية والبوابات الالكترونية الأخرى التابعة للتجار. عند مشاركة الروابط، يجب على المرخص له ان يحرص على العناية الواجبة لبوابات التجارة الالكترونية والتجار للحرص على حسن نيتهم واعتمادهم ممارسات أعمال مشروعة لإدارة مخاطر السمعة.
   4.  
   5. 5.3. يمكن للمرخص له من خلال المواقع الالكترونية وتطبيقات الجوال توفير روابط فقط لمواقع أخرى تقدم نصائح او مبيعات لمنتجات وخدمات مالية، بشرط ان يقوم بالأخذ في الاعتبار الرأي القانوني لضمان مطابقة الإجراءات لجميع المتطلبات القانونية والرقابية.

النُظم وقواعد التشغيل

6. يجب ان تكون قواعد تشغيل تسهيلات القيم المخزنة عادلة لجميع الأطراف المعنية، ويجب تشغيل التسهيلات طبقا للقواعد التشغيلية ذات العلاقة.
    
7. في حالة ارتباط المرخص له بشريك عمل (مثال: شركاء لإدراج التجار) يجب ضمان ان الإجراءات مع شركاء العمل لن تؤثر على التزاماته تحت هذا النظام لضمان عمليات فعّالة وآمنة لتسهيلات القيم المخزنة وبشكل خاص:
    
   1. 7.1. يجب على المرخص له ان يقوم بالعناية الواجبة لشركاء العمل للحرص على تقييم المخاطر ذات العلاقة وذلك قبل المباشرة في علاقة العمل، وضرورة وضع الضوابط المناسبة للتقليل من المخاطر المكتشفة.
   2.  
   3. 7.2. يجب على المرخص له ضمان ان التعاقد بينه وبين شركاء العمل (مثال: التجار) مبني ونافذ بشكل واضح مع وجود تحديد واضحللمسؤوليات والواجبات،مدعوم باتفاقيات مستويات الخدمة، ووجود ضمانات كافية لضمان الأمان التشغيلي والفعّال لتسهيلات القيم المخزنة.
   4.  
   5. 7.3. يجب على المرخص له وضع ضوابط وإشراف مناسب على الترتيبات مع شركاء العمل (مثال: مؤسسات ادراج التجار) لضمان توفرهم على الأنظمة المناسبة لعمليات التسوية مع التجار ولتقليل من مخاطر غسل الأموال وتمويل الإرهاب المحتملة.
   6.  
   7. 7.4. ويجب على المرخص له ضمان امتثال إجراءات التعاقد مع شركاء العمل مع متطلبات حماية وسرية البيانات الشخصية، وكذلك مع هذا النظام وغيره من القواعد الارشادية بخصوص حماية البيانات لضمان مصلحة عملاءه.
   8.  
8. يجب أن تضمن القواعد التشغيلية لتسهيلات القيم المخزنة ان المبالغ المستلمة من قبل المرخص له او وكلائه من العملاء يتم ايداعها في حسابات العملاء وتكون متوفرة للاستخدام من قبل العملاء في وقت مناسب، تماشيا مع القواعد التشغيلية.
    
9. بالرغم من عدم قيام المصرف المركزي بتحديد بشكل مباشر سقفا للمبالغ المخزنة بالنسبة لكل نوع من أنواع حسابات القيم المخزنة، إلا انه يجب تحديد سقفا مناسبا يكون مدعوما بالمبررات المتعلقة بالأعمال والضوابط الواجب اتخاذها للمبالغ التي يسمح تخزينها في كل نوع من أنواع حسابات العملاء في تسهيلات القيم المخزنة. ويمكن تعريف سقوف مختلفة وفقا لأنواع حسابات العملاء بناء على خصائصهم. ويجب ان يتم ذكر جميع السقوف في القواعد التشغيلية. وقد يطلب المصرف المركزي من المرخص له تغيير تلك السقوف كل حالة على حدا، في حال رأى المصرف المركزي أن تغيير السقوف ضروريا، أو أن المبررات المقدمة أو الضوابط المتخذة من قبل المرخص له غير مناسبة.
    
10. يجب على المرخص له، توضيح اهم الخصائص، والمخاطر، والأحكام والشروط، والرسوم، والمصاريف والعمولات المتعلقة بمنظومته، وتسهيلاته، وخدماتها ومنتجاتها. ويجب توضيح التفاصيل بشكل فعّال للعملاء، ويجب ان يتم توفيرها للعملاء بشكل واضح، وكذلك التجار. كما ينبغي الحرص على الإفصاح، بما في ذلك الانذارات المناسبة، الذي يوفر المعلومات المتناسبة مع طبيعة، ودرجة عمق، والمخاطر المتعلقة بالمنظومات، والتسهيلات، والخدمات والمنتجات.
     
11. يجب ان يكون المرخص له هو المسؤول الوحيد عن فعالية تسهيلات القيم المخزنة، بحيث يتحمل وحده الخسارة الكاملة للقيم المخزنة في حساب العميل في حال عدم ارتكاب العميل لأي خطأ. وبشكل عام، يجب على عميل المرخص له الا يتحمل أي خسارة مباشرة نتيجة أي عمليات غير مصرح بها تم إنجازها على حسابه.

إطار مكافحة الاحتيال

12. يجب على المرخص له وضع إطار مكافحة الاحتيال، يتضمن الواجبات والالتزامات للمدير التنفيذي، ولجنة الامتثال، وآلية المتابعة واعداد تقارير الاحتيال، كما يجب توفير تدريب مناسب وموثق لجميع الموظفين حول مكافحة الاحتيال.

نصائح أمنية للعملاء

13. يجب على المرخص له من وقت إلى الآخر تقديم نصائح إلى العملاء عن التدابير الاحترازية الأمنية تكون سهلة الفهم، وواضحة وتتم مراجعتها بانتظام، وذلك من خلال قنوات اتصال فعّالة ومتعددة.
     
14. على المرخص له إدارة المخاطر المرتبطة بالاحتيال عبر البريد الالكتروني، والمواقع والتطبيقات الالكترونية المصممة لخداع العملاء، من أجل الكشف عن معلوماتهم الشخصية مثل بيانات المستخدم، كلمات المرور او كلمات المرور للمرة الواحدة.

خطة الخروج من الأعمال

15. اعتبارا لهدف تقليل التأثير المحتمل على العملاء وأنظمة الدفع على مستوى الدولة الذي قد يسببه فشل، انقطاع، او إيقاف خدمات المرخص له، يجب على المرخص له تجهيز خطط قابلة للتطبيق من أجل الخروج وبشكل منظم من الأعمال والعمليات في حالة عدم وجود أي حلول أخرى للاستمرار.
     
16. من بين أمور أخرى، يجب على خطة الخروج من الأعمال (أ) تحديد مجموعة من السيناريوهات البعيدة ولكن المعقولة التي قد تجعل من الضروري للمرخص له التفكير في الخروج،(ب) وضع مؤشرات للمخاطر لقياس مدى معقولية السيناريوهات المحددة، (ج) وضع خطوات عمل مفصلة وملموسة وممكنة تتخذ عند بدء خطة الخروج من الأعمال، (د) تقييم الوقت والتكلفة اللازمين لتنفيذ خطة الخروج بطريقة منظمة، (هـ) وضع إجراءات واضحة لضمان توفر الوقت والموارد المالية الكافية لتنفيذ خطة الخروج. يجب مراجعة الخطة على أساس سنوي للتأكد من ملاءمتها وقابليتها للتطبيق.

قابلية التشغيل البيني للأنظمة

17. يجب على المرخص له التأكد من أن نظم تسهيلات القيم المخزنة قابلة للتشغيل البيني مع أنظمة الدفع الرئيسية الأخرى في الدولة للسماح بترابط جميع خدمات الدفع الرئيسية. وهذا أمر مهم لبناء نظام دفع رقمي فعال من حيث التكلفة والكفاءة في الدولة.
     
18. يتوقع المصرف المركزي أن يتبنى المرخص لهم نهجًا قائمًا على المخاطر والامتناع عن تبني ممارسات من شأنها أن تؤدي إلى الإقصاء المالي، لا سيما فيما يتعلق بالحاجة إلى وصول الشركات والأفراد ذوي ن النية الحسنة إلى منتجات وخدمات تسهيلات القيم المخزنة.
     
19. يجب أن تكون عمليات تقييم المخاطر قادرة على التمييز بين مخاطر العملاء الفرديين داخل قطاع أو مجموعة معينة من خلال تطبيق مجموعة من العوامل، بما في ذلك مخاطر الدولة، ومخاطر الأعمال، ومخاطر المنتج / الخدمة، ومخاطر قناة التسليم / التوزيع. ومن غير المناسب للمرخص له اعتماد نهج ذات سعة واحدة لجميع ما سبق ذكره من العوامل.

1. يجب على جميع المرخص لهم الامتثال للمتطلبات القانونية والتنظيمية الحالية الخاصة بمواجهة غسل الأموال ومكافحة تمويل الإرهاب المحددة من قبل المصرف المركزي والتصدي لمخاطر غسل الأموال وتمويل الإرهاب من خلال التدابير الوقائية المناسبة لردع إساءة استخدام القطاع كقناة للأموال غير المشروعة، والكشف عن غسل الأموال وأنشطة تمويل الإرهاب وإبلاغ وحدة المعلومات المالية في المصرف المركزي عن أي معاملات مشبوهة.
    
2. يطلب المصرف المركزي من المرخص لهم إجراء تحديد دوري للمخاطر وتقييمها بناءً على متطلبات مواجهة غسل الأموال ومكافحة تمويل الإرهاب

عوامل الخطر

3. ترتبط مخاطر منتجات تسهيلات القيم المخزنة إلى حد كبير، بتصميمها ووظائفها وتدابير الحماية المطبقة. عند تقييم مخاطر منتجات تسهيلات القيم المخزنة، يجب على المرخص له اخذ عوامل المخاطر التالية في الاعتبار:
    
   1. 3.1. الحد الأقصى للقيمة المخزنة أو مبلغ المعاملات لتسهيلات القيم المخزنة - منتجات بقيمة معاملات أعلى أو حد اقصى للقيمة المخزنة أعلى قد يزيد من مخاطر غسل الأموال وتمويل الإرهاب
   2.  
   3. 3.2. طرق التمويل - قد ينجم عن منتجات تسهيلات القيم المخزنة التي تسمح بالتمويل عن طريق النقد مع وجود تدقيق ضئيل أو معدوم، مخاطر أعلى لغسل الأموال وتمويل الإرهاب. من ناحية أخرى، يمكن أن يؤدي التمويل من قبل أطراف لم يتم التحقق منها أو عبر طرق دفع أخرى دون تحديد هوية العميل أيضًا إلى إنشاء آلية تمويل مجهولة وبالتالي إمكانية ارتباطها بمخاطر أعلى لغسل الأموال وتمويل الإرهاب.
   4.  
   5. 3.3. الاستخدام عبر الحدود - بشكل عام، قد تؤدي منتجات تسهيلات القيم المخزنة التي تستخدم عبر الحدود إلى زيادة المخاطر حيث قد تخضع المعاملات لمتطلبات مختلفة لمواجهة غسل الأموال ومكافحة تمويل الإرهاب والرقابة من جهات رقابية مختلفة، كما تؤدي إلى صعوبات في مشاركة المعلومات.
   6.  
   7. 3.4. وظيفة تحويل الأموال من شخص لآخر - قد يؤدي منتج تسهيلات القيم المخزنة الذي يسمح بتحويل الأموال من شخص إلى آخر إلى زيادة مخاطر غسل الأموال وتمويل الإرهاب.
   8.  
   9. 3.5. وظيفة السحب النقدي - قد يؤدي منتج تسهيلات القيم المخزنة الذي يسمح بالوصول إلى النقد على سبيل المثال من خلال شبكات أجهزة الصرف الآلي إلى زيادة مستوى مخاطر غسل الأموال وتمويل الإرهاب.
   10.  
   11. 3.6. الاحتفاظ بحسابات / بطاقات متعددة - منتجات تسهيلات القيم المخزنة التي تسمح للعميل بامتلاك أكثر من حساب أو بطاقة قد تزيد أيضًا من مخاطر غسل الأموال وتمويل الإرهاب حيث يمكن استخدامها من قبل طرف ثالث غير العميل.
   12.  
   13. 3.7. بطاقات متعددة مرتبطة بالحساب نفسه - قد تنتج عن منتجات تسهيلات القيم المخزنة التي تسمح بهذه الوظيفة مخاطر أعلى لغسل الأموال وتمويل الإرهاب، لا سيما عندما يكون العميل صاحب البطاقة المرتبطة غير معرف.
   14.  
   15. 3.8. الدفع مقابل الأنشطة عالية المخاطر - بعض الأنشطة التجارية، على سبيل المثال، المراهنة تنطوي على مخاطر أعلى لغسل الأموال وتمويل الإرهاب.
   16.  
4. يمكن الحد من مخاطر غسل الأموال وتمويل الإرهاب لمنتجات تسهيلات القيم المخزنة عن طريق تنفيذ تدابير تخفيف المخاطر، والتي قد تشمل: (أ) تطبيق حدود على قيم التخزين القصوى، أو حجم التداول التراكمي أو مبالغ المعاملات؛ (ب) عدم السماح بمصادر تمويل ذات مخاطر أعلى؛ (ج) تقييد استخدام منتجات تسهيلات القيم المخزنة في الأنشطة عالية المخاطر؛ (د) تقييد الوظائف ذات المخاطر العالية مثل الحصول على النقد؛ و(هـ) تنفيذ الإجراءات للكشف عن حسابات / بطاقات أنظمة القيم المخزنة التابعة لنفس العميل أو مجموعة من العملاء.
    
5. يعتمد مستوى مخاطر غسل الأموال وتمويل الإرهاب التي يشكلها منتج معين من منتجات تسهيلات القيم المخزنة على النظر في جميع عوامل المخاطر، ووجود وفعالية تدابير التخفيف من المخاطر ووظائفها.
    
6. يجب على المرخص له تقييم ما إذا كانت علاقة العمل تنطوي على مخاطر أعلى لغسل الأموال وتمويل الإرهاب وتعيين تصنيف مخاطر ذات صلة. بشكل عام، سوف يعتمد تقييم مخاطر العميل على المعلومات التي تم جمعها خلال مرحلة تحديد الهوية. يجب على المرخص له التأكد من أن نماذج العناية الواجبة الخاصة به مصممة للتعامل مع المخاطر المحددة المرتبطة بملف تعريف العميل وميزات منتج تسهيلات القيم المخزنة.

ترتيبات إدارة الامتثال ووظيفة التدقيق المستقل

7. يجب أن يكون لدى المرخص له ترتيبات إدارة امتثال مناسبة تسهل تنفيذ تسهيلات القيم المخزنة لأنظمة مواجهة غسل الأموال ومكافحة تمويل الإرهاب للامتثال للالتزامات القانونية والتنظيمية ذات الصلة ولإدارة مخاطر غسل الأموال وتمويل الإرهاب بشكل فعال. يجب أن تتضمن ترتيبات إدارة الامتثال كحد أدنى الإشراف من قبل الإدارة العليا للمرخص له، وتعيين مسؤول الامتثال ومسؤول الإبلاغ عن عمليات غسل الأموال.
    
8. بالإضافة إلى ذلك، يجب على المرخص له وضع سياسات وإجراءات شاملة لمواجهة غسل الأموال ومكافحة تمويل الإرهاب وفقاً لقانون وأنظمة مواجهة غسل الأموال ومكافحة تمويل الإرهاب.

استخدام التكنولوجيا

9. يدعم المصرف المركزي الوسائل المبتكرة التي يستخدمها المرخص لهم لتنفيذ أنظمة مواجهة غسل الأموال ومكافحة تمويل الإرهاب بشكل فعال وكذلك الحرص على الاستخدام الأكبر للتكنولوجيا والأدوات التحليلية في العمل الإشرافي. يتوقع المصرف المركزي من المرخص لهم، قبل تقديم أي منتج أو خدمة أو تكنولوجيا جديدة، إجراء تقييمات كافية للمخاطر والتأكد من أن أية مخاطر محددة يتم إدارتها والتخفيف منها بشكل فعال.
    
10. بشكل عام، فإن عملية اعرف عميلك الإلكترونية المعتمدة حاليًا من قبل البنوك المرخصة للإدراج الرقمي للعملاء مقبولة لفتح حساب قيمة مخزنة ولا يلزم إجراء اجتماعات حضوريا مع العميل أو التحقق من المستندات المادية طالما أن المصادقة الرقمية للعميل والتحقق الرقمي من جميع المستندات المطلوبة يمكن إجراؤها وفقًا للمتطلبات الحالية للمصرف المركزي.
     
11. اعتماداًعلى طبيعة العلاقة، يجوز للمرخص لهم اتخاذ إجراءات العناية الواجبة الإضافية، بما في ذلك جمع المعلومات الكافية لفهم طبيعة عمل مزودي خدمة الأصول الافتراضية بشكل مناسب؛ تحديد بناء على المعلومات المتاحة للجمهور ما إذا كان مقدمو خدمات الأصول الافتراضية مرخصين أم مسجلين، ويخضعون لإشراف مواجهة غسل الأموال ومكافحة تمويل الإرهاب؛ وتقييم ضوابط مواجهة غسل الأموال ومكافحة تمويل الإرهاب لمقدمي خدمات الأصول الافتراضية حسب الحاجة. يجب أن يتناسب مدى إجراءات العناية الواجبة تجاه العملاء مع تقييم مخاطر غسل الأموال وتمويل الإرهاب لمقدمي خدمات الأصول الافتراضية.
     
12. إلى جانب ذلك، هناك مجموعة ناشئة من المنتجات والخدمات الجديدة على مستوى العالم تتضمن الأصول الافتراضية. تماشياً مع معايير مجموعة العمل المالي، قبل أن يقدم المرخص له أي منتجات جديدة تتعلق بالأصول الافتراضية، يجب أن يقوم بتقييم مخاطر غسل الأموال وتمويل الإرهاب واتخاذ التدابير المناسبة لإدارة المخاطر المحددة والتخفيف منها وفقًا للمتطلبات القانونية والتنظيمية المعمول بها. يتم تشجيع المرخص لهم للرجوع إلى الاقتراحات المقدمة من مجموعة العمل المالي فيما يتعلق بالإرشادات الخاصة بالنهج القائم على المخاطر لمقدمي خدمات الأصول الافتراضية والأصول الافتراضية.

1. يخضع أي انتهاك لأي حكم من أحكام هذا النظام لإجراءات رقابية وعقوبات وتدابير إدارية ومالية حسبما يراه المصرف المركزي مناسبًا.
    
2. قد تشمل الإجراءات الرقابية والعقوبات الإدارية والمالية من قبل المصرف المركزي استبدال أو تقييد صلاحيات الإدارة العليا أو مجلس الإدارة، أو توفير الإدارة المؤقتة للمرخص له، أو فرض غرامات أو منع الأفراد من القطاع المصرفي للدولة.

تكون إدارة التطوير التنظيمي بالمصرف المركزي المرجع لتفسير أحكام هذا النظام.

يُلغي هذا النظام ويحل محل نظام "الإطار الرقابي للقيم المخزنة ونظم الدفع الإلكتروني" الصادر في الدولة بتاريخ 13/12/2016.

ينشر هذا النظام في الجريدة الرسمية باللغتين العربية والإنجليزية ويعمل بها بعد شهر من تاريخ نشره. في حالة وجود أي تعارض بين اللغتين العربية والإنجليزية، تسود النسخة العربية.