١.٦ حماية بيانات المستهلك

١.١.٦ السياسات والإجراءات والأنظمة

١.١.١.٦ طبقا للمادة (١٢٠) من المرسوم بقانون اتحادي رقم (١٤) لسنة ٢٠١٨ في شأن المصرف المركزي وتنظيم المنشآت والأنشطة المالية، يجب أن تطبق المنشآت المالية المرخصة سياسات وإجراءات وأطر رقابية فيما يتعلق باستلام بيانات المستهلكين وحمايتها، وسريتها واستخدامها المشروع، على أن يتم إبلاغ العملاء كتابياً فيما يتعلق بكيفية معالجة معلوماتهم الشخصية، على سبيل المثال البيانات المجمعة والمستخدمة والمفصح عنها وعمليات التنقيب في البيانات وتجهيزها لأغراض التنقيب.

٢.١.١.٦ يجب أن تلتزم المنشآت المالية المرخصة بحماية بيانات المستهلك والحفاظ على سرية البيانات، بما في ذلك عندما يتم الاحتفاظ بها أو الوصول إليها أو استخدامها بواسطة الوكلاء المفوضين.

٣.١.١.٦ يجب أن تتحمل المنشآت المالية المرخصة مسؤولية ضمان حماية البيانات وسرية المستهلك الفرد فيما يتعلق بأي تجهيز للبيانات لأغراض التنقيب فيها وتسويق وبيع الخدمات المالية من خلال استخدام التقنيات الجديدة ووسائل التواصل الاجتماعي.

٤.١.١.٦ يجب أن توفر المنشآت المالية المرخصة بيئة آمنة ومأمونة وسرية في جميع قنواتها الخاصة بتقديم الخدمات لضمان مستوى عالٍ من السرية والخصوصية للبيانات الشخصية.

٥.١.١.٦ تتحمل المنشآت المالية المرخصة التزام قانوني بالسرية تجاه المستهلك باستثناء ما يلي:

أ. عندما تفرض سلطة قانونية الإفصاح عن بيانات المستهلك؛ أو

ب. عندما يكون الإفصاح بموافقة صريحة من المستهلك، أو من خلال ممثل معين من المستهلك.

٦.١.١.٦ يجب أن تضع المنشآت المالية المرخصة إطار عمل مناسب لرقابة إدارة البيانات مع سياسات وإجراءات وضوابط نظامية واختبارات وفحوصات لحماية بيانات المستهلك ولاكتشاف أي حوادث لانتهاكات أمن المعلومات وحلها، عند حدوثها.

٧.١.١.٦ عند وجوب التحقق من هوية المستهلك عبر الإنترنت، فيجب أن تلتزم المنشآت المالية المرخصة بتطبيق أكثر من طريقة إثبات واحدة للتحقق من الهوية للخدمات الإلكترونية. تبلغ المنشآت المالية المرخصة المستهلكين بشأن أي محاولات احتيال موجهة ومتكررة عبر الإنترنت على حساباتهم حتى يتخذوا احتياطات إضافية.

٨.١.١.٦ يجب أن تلتزم المنشآت المالية المرخصة بتأمين معالجة وضوابط المعاملات الرقمية، وتنفيذ مراقبة تفصيلية للأنشطة وتحسين أساليب تحديد هوية المستهلك وفقاً لمتطلبات المصرف المركزي لتعزيز القنوات الرقمية.

٩.١.١.٦ يجب أن توفر المنشآت المالية المرخصة برامج لتدريب الموظفين وتوعيتهم بشأن إطارها لرقابة البيانات للوصول إلى بيانات المستهلك ومعالجتها والإبلاغ عن انتهاكات الأمن والسياسة، على أن تشدد المنشآت المالية المرخصة على أهمية حماية بيانات المستهلك كمسؤولية مستمرة للموظفين مع التذكير بها سنوياً.

١٠.٢.١.٦ يجب أن تضمن المنشآت المالية المرخصة أن يقتصر الوصول إلى المعلومات الشخصية والبيانات الشخصية للمستهلكين على وحدات العمل المصرح بها وموظفيها حصراً، على أن تحتفظ المنشآت المالية المرخصة بسجلات لأغراض التدقيق والإشراف، وتسجيل أسماء الموظفين الذين تمكنوا من الوصول إلى قواعد بيانات المستهلك وتوقيت الوصول. يجب تقديم هذه السجلات إلى المصرف المركزي عند الطلب.

٢.١.٦ إدارة حماية البيانات

١.٢.١.٦ يجب على مجلس الإدارة إسناد المسؤولية والمساءلة عن قسم إدارة وحماية البيانات إلى مسؤول رفيع في الإدارة يتبع الإدارة العليا مباشرة، على أن يتولى القسم مسؤولية ضمان الإشراف والامتثال لإطار عمل رقابة إدارة البيانات وأي متطلبات ذات صلة لحماية البيانات وقوانين الخصوصية المعمول بها في دولة الإمارات والمصرف المركزي.

٢.٢.١.٦ يجب أن يضمن قسم إدارة وحماية البيانات ما يلي:

أ. وضع الضوابط الوقائية والرقابية الكافية لاكتشاف أي خسارة أو سوء استخدام أو تعديل أو وصول أو إفصاح أو إتلاف غير مصرح به أو عرضي للبيانات الشخصية؛

ب. إجراء عمليات التحقق بانتظام بشأن مشروعية جمع البيانات والوصول إلى البيانات وسلامة البيانات والإجراءات الإلكترونية ومعالجة أي مشكلات يتم التعرف عليها؛

ج. تناسب الضوابط مع أهمية وحساسية الأنظمة والبيانات ذات الصلة التي يتم معالجتها؛ و

د الاحتفاظ بسجلات تفصيلية للمراقبة والإجراءات المتخذة لمدة ٥ سنوات.

٣.٢.١.٦ يجب أن يلتزم قسم إدارة وحماية البيانات بما يلي:

أ. مراجعة وتحسين كفاءة إطار رقابة إدارة البيانات سنوياً لجمع البيانات الشخصية وتصنيفها وتخزينها واستخدامها ونقلها وحمايتها وتصحيحها وإتلافها؛

ب. رصد أي حوادث مادية تتعلق بأي وصول أو فقدان أو تغيير أو نقل أو إتلاف أو استخدام أو تعديل أو إفصاح غير مصرح به أو عرضي للبيانات والتحقيق فيها وإبلاغها للإدارة العليا؛ و

ج. المشاركة في معالجة والتحقيق في شكاوى المستهلك المتعلقة بالخصوصية والإبلاغ عن نتيجة التحقيق إلى رئيس قسم إدارة الشكاوى، الذي سيتواصل بعد ذلك مع المستهلك ويقدم نتائج المنشأة كتابةً.

٤.٢.١.٦ يجب أن يرفع قسم إدارة وحماية البيانات تقارير إلى الإدارة العليا ومجلس الإدارة فورا بشأن الانتهاكات والمخالفات الجسيمة لإدارة البيانات ، ويجب على الإدارة العليا أن تضمن اتخاذ تدابير استباقية لتحسين أنظمة إدارة البيانات وحماية سرية وخصوصية البيانات الشخصية للمستهلكين.

٥.٢.١.٦ يجب أن تلتزم المنشآت المالية المرخصة، دون تأخير، بإبلاغ مستهلكيها بالوصول الغير مصرح به إلى البيانات الشخصية للمستهلكين و/أو فقدانها أو إتلافها أو تغييرها عندما قد يمثل ذلك الحادث خطراً معقولاً على الأمن المالي والشخصي للمستهلك و/أو عندما قد يضر بسمعة المستهلك.

٦.٢.١.٦ يجب أن تبلغ المنشآت المالية المرخصة المصرف المركزي فورا بجميع الانتهاكات الجسيمة للبيانات الشخصية.

٣.١.٦ الموافقة الصريحة للمستهلكين

١.٣.١.٦ يجب على المنشآت المالية المرخصة ضمان أن البيانات الشخصية:

أ. يكون الحصول عليها لغرض قانوني يتعلق بمباشرة بالأنشطة المالية المرخصة للمنشأة المالية المرخصة؛

ب. تكون كافية وغير مفرطة فيما يتعلق بالغرض المعلن؛ و

ج. تم جمعها وفقاً لإجراءات أمنية وحماية مناسبة ضد المعالجة الغير مصرح بها او غير القانونية، والفقد او الدمار او التلف العرضي.

٢.٣.١.٦ قبل طلب موافقة المستهلك على مشاركة البيانات الشخصية، يجب أن تبادر المنشآت المالية المرخصة إلى الإفصاح كتابياً إلى المستهلك عن نيتها في استخدام و/أو مشاركة البيانات الشخصية ومع من ستتم مشاركة البيانات الشخصية للمستهلك.

٣.٣.١.٦ يكون للمستهلك مطلق الحرية في تقديم موافقته الصريحة بناء على طلب لاستخدام و/أو مشاركة البيانات الشخصية تقدمه المنشأة المالية المرخصة، على أن يحرر طلب الموافقة بلغة واضحة وصريحة مع إبلاغ المستهلك بحقه في رفض تقديم الموافقة الصريحة.

٤.٣.١.٦ يجب أن تحصل المنشآت المالية المرخصة على موافقة صريحة قبل استخدام البيانات الشخصية للمستهلك ومشاركتها للتسويق المباشر أو نقل البيانات الشخصية إلى الوكلاء المفوضين للتسويق المباشر، على أن يتم الاحتفاظ بنسخة من الموافقة الصريحة لمدة ٥ سنوات بعد إنهاء العلاقة مع المستهلك.

٥.٣.١.٦ يحق للمستهلك سحب الموافقة الصريحة على ما يلي في أي وقت:

أ. معالجة البيانات الشخصية من قبل المنشآت المالية المرخصة باستثناء الحالات التي تكون فيها البيانات الشخصية مطلوبة للعمليات التجارية المتعلقة بمنتجات وخدمات المستهلك؛ و

ب. مشاركة البيانات الشخصية مع الوكلاء المفوضين والغير لأغراض تتضمن على سبيل المثال لا الحصر المبيعات والتسويق.

٦.٣.١.٦ قبل أن يبرم المستهلك أي عقد مع منشأة مالية مرخصة، يجب أن تلتزم المنشأة المالية المرخصة بتقديم الإفصاحات التالية إلى المستهلك:

أ. أن المنشآت المالية المرخصة لن تجمع البيانات / البيانات الشخصية إلا لغرض قانوني مرتبط مباشرة بوظيفة أو نشاط المستهلك؛

ب. ما إذا كان الحصول من المستهلك على البيانات / البيانات الشخصية إلزامياً أو طوعياً؛

ج. بيان التبعات المترتبة على المستهلك عند عدم تقديم البيانات / البيانات الشخصية على النحو المطلوب وذلك في الحالات عندما يكون المستهلك ملزماً بتقديم البيانات / البيانات الشخصية؛

د. لا يؤثر سحب المستهلك لموافقته الصريحة مستقبلاً على قانونية معالجة البيانات المنفذة بناءً على الموافقة الصريحة المسبقة. ما لم ينص على خلاف ذلك، يسري ذلك السحب في غضون ٣٠ يوماً من تقديم المستهلك طلب السحب لدى المنشأة المالية المرخصة؛

ه. تقديم وصف للبيانات / البيانات الشخصية محل المعالجة عندما تتم معالجة البيانات / البيانات الشخصية للمستهلك بواسطة أو نيابة عن المنشأة المالية المرخصة؛

و. عندما تجمع المنشأة المالية المرخصة معلومات خارجية أخرى عن المستهلك ومصدر تلك البيانات / البيانات الشخصية؛

ز. حق المستهلك ووسائله في طلب الوصول إلى البيانات / البيانات الشخصية وطلب تصحيحها وكيفية الاتصال بالمنشأة المالية المرخصة بشأن أي استفسارات أو شكاوى فيما يتعلق بالبيانات / البيانات الشخصية؛ و

ح. الخيارات والوسائل التي توفرها المنشأة المالية المرخصة للمستهلك للحد من معالجة البيانات / البيانات الشخصية.

٤.١.٦ المشاركة مع الوكلاء المفوضين

١.٤.١.٦ يجب أن تضمن المنشآت المالية المرخصة أن أي وكيل مفوض يُعهد إليه تأدية بعض أو كامل نطاق المنتج و/أو الخدمة المالية يفي بالسياسة الملائمة والسديدة فيما يتعلق بإدارة البيانات وحمايتها بما في ذلك إجراءات المعالجة الآمنة وتطبيق الضوابط المناسبة.

٢.٤.١.٦ يجب أن تضمن المنشآت المالية المرخصة مشروعية وصول الوكلاء المفوضين إلى البيانات الشخصية للمستهلك بموجب تفويضات كتابية حسب الأصول تقدمها المنشأة المالية المرخصة، ورقابة وصولهم بانتظام وتقييده بشكل مناسب بما يتماشى مع الغرض من الوصول الممنوح، على أن تتضمن جميع العقود القانونية المبرمة مع الوكلاء المفوضين فيما يتعلق بتعهيد الوظائف والخدمات أحكاماً مناسبة لحماية سرية البيانات الشخصية وتحظر الإفصاح غير المصرح به عن البيانات الشخصية السرية من قبل الوكلاء المفوضين. يتوجب على الوكلاء المعتمدين إبلاغ قسم إدارة وحماية بيانات لدى المنشأة المالية المرخصة عن الانتهاكات الجسيمة للبيانات الشخصية. يمتد التزام المنشأة المالية المرخصة بحماية جميع بيانات المستهلك لتشمل إجراءات جميع الوكلاء المفوضين.

٣.٤.١.٦ عند مشاركة البيانات الشخصية والاحتفاظ بها خارج الشبكة الخاصة بمنشأة مالية مرخصة، مثل الوكلاء المفوضين، يجب أن تلتزم المنشآت المالية المرخصة والوكلاء المفوضين باستخدام تقنيات التشفير لتشفير بيانات المستهلك بشكل مناسب واتخاذ تدابير لنقل البيانات بشكل آمن.

٤.٤.١.٦ تتحمل المنشآت المالية المرخصة مسؤولية ضمان أن أي تقنية خارجية تستخدم أو تحتفظ بالبيانات الشخصية تفي بأعلى معايير الأمان والتشفير والحماية ويتم تدقيقها بانتظام والتحقق منها بحثاً عن نقاط الضعف.

٥.٤.١.٦ في حالة إنهاء عقد التعهيد مع طرف ثالث، يجب على المنشآت المالية المرخصة أن تبدي تأكيدها واستطاعتها على إثبات أن جميع البيانات الشخصية تم استرجاعها من الطرف الثالث و/أو إتلافها.

٦.٤.١.٦ عندما يقدم المستهلك موافقته الصريحة إلى المنشآت المالية المرخصة لمشاركة البيانات مع طرف ثالث، يجب أن تؤكد المنشآت المالية المرخصة في أي عقد مع أي طرف ثالث أن الطرف الثالث ليس له أي حق آخر في مشاركة البيانات أو استخدامها لأغراض أخرى غير مصرح بها ما لم تكن مطلوبة بموجب قوانين دولة الإمارات.

٥.١.٦ المشاركة مع وكالات المعلومات الائتمانية المعتمدة

١.٥.١.٦ يجب على المنشآت المالية المرخصة تقديم بيانات المستهلك إلى وكالات المعلومات الائتمانية المعتمدة من الحكومة على النحو المطلوب، على أن يتم إبلاغ المستهلكين بهذا الشرط والقيود المحتملة على الحصول على المنتجات و/أو الخدمات المالية في المستقبل بناءً على سجلات المستهلك المقدمة إلى هذه الوكالات.

٢.٥.١.٦ تصحيح المعلومات الائتمانية المقدمة:

أ. فيما يتعلق بأي خطأ أو إغفال أو عدم دقة في معلومات المستهلك والبيانات الشخصية المقدمة إلى وكالات المعلومات الائتمانية من قبل منشأة مالية مرخصة، يجب أن تلتزم المنشأة المالية المرخصة بتصحيح أي خطأ أو إغفال أو عدم دقة في غضون ٧ أيام عمل كاملة من علمها؛

ب. بالنسبة للبيانات الشخصية التي تم جمعها والإبلاغ عنها بشكل غير قانوني بواسطة المنشآت المالية المرخصة، يجب أن تطلب المنشآت المالية المرخصة حذف هذه البيانات لتقليل بقاء البيانات الشخصية الخاطئة لدى وكالات المعلومات الائتمانية؛ و

ج. عندما يخطر المستهلكون ويطلبون من منشأة مالية مرخصة تحديث أو تصحيح بياناتهم المقدمة الي وكالات المعلومات الائتمانية، يجب أن تلتزم المنشأة المالية المرخصة بالإقرار بالاستلام والتحقق من صحة الطلب. إذا كان التحديث أو التصحيح مطلوباً، كما يجب أن تخطر المنشآت المالية المرخصة وكالات المعلومات الائتمانية بالتحديث أو التصحيح في غضون ٧ أيام عمل كاملة من إخطار المنشأة المالية المرخصة من قبل المستهلك.

٦.١.٦ معايير الاحتفاظ بسجلات المستهلك

١.٦.١.٦يجب الاحتفاظ بجميع البيانات الشخصية والوثائق والسجلات والملفات بشكل آمن لمدة لا تقل عن ٥ سنوات. تبدأ فترة الاحتفاظ، حسب الظروف، من التاريخ الأحدث لأي من الحالات التالية:

أ. إنهاء علاقة العمل أو إغلاق حساب المستهلك لدى المنشأة المالية المرخصة؛ و

ب. إتمام معاملة غير رسمية (فيما يتعلق بمستهلك لا توجد معه علاقة عمل).

يجب العمل بمقتضى جميع المعايير المتعلقة بالسرية والأمن بعد إنهاء العلاقة حتى حذفها من البيانات الشخصية.

٢.٦.١.٦ يجب ألا تقوم المنشآت المالية المرخصة بمعالجة أو استخدام البيانات الشخصية لأي فترة أطول مما هو ضروري لتحقيق الغرض المطلوب من أجله تلك البيانات الشخصية. بعد انقضاء الفترة الإلزامية للاحتفاظ بسجلات المستهلك، ويجب أن تتخذ المنشآت المالية المرخصة جميع الخطوات المعقولة لضمان إتلاف جميع البيانات / البيانات الشخصية أو حذفها نهائياً إذا لم تعد مطلوبة للغرض الذي تم جمعها ومعالجتها من أجله أو إذا لم تعد مطلوبة بموجب القانون.

٣.٦.١.٦ يجب أن تحتفظ جميع المنشآت المالية المرخصة وتخزن كافة بيانات العملاء والمعاملات داخل دولة الإمارات على النحو الذي يحدده المصرف المركزي. كحد أدنى، تلتزم المنشآت المالية المرخصة أيضاً بإنشاء نسخة احتياطية آمنة ومأمونة لجميع بيانات ومعاملات المستهلك في مكان منفصل طوال فترة الاستبقاء المطلوبة والمحددة بموجب القسم ٦.١.٦.

٤.٦.١.٦ يجب أن تضمن المنشآت المالية المرخصة الحفظ الآمن لبيانات المستهلك التي من شأنها منع أي خسارة أو سوء استخدام أو تعديل أو وصول أو إفصاح أو إتلاف غير مصرح به أو عرضي، على أن تراجع المنشآت المالية المرخصة إجراءاتها وطرق استبقاء وحفظ ببيانات المستهلك على أساس سنوي.

٧.١.٦ إخطار المصرف المركزي

١.٧.١.٦ عند حدوث انتهاكات لإطار رقابة إدارة البيانات فيما يتعلق بالوصول أو الإفشاء غير المصرح به للبيانات الشخصية للمستهلك، يجب أن تلتزم المنشآت المالية المرخصة بتسجيل أي إجراءات تأديبية يتم اتخاذها في حق أي موظف أو وكلاء أو مقاولين مسؤولين عن الانتهاك، على أن تحتفظ المنشأة المالية المرخصة بسجلات عن هذه الأحداث لمدة ٥ سنوات بعد تسجيل الحدث وعلى أن يتم إتاحة السجلات للمصرف المركزي عند الطلب.

٢.٧.١.٦ يجب أن تبلغ المنشآت المالية المرخصة المصرف المركزي بأي انتهاكات جوهرية للبيانات أو خسائر أو إتلاف أو تغييرات عند حدوثها، على النحو الذي قد يحدده المصرف المركزي.

٢.٦ حماية أصول ومعلومات وبيانات المستهلك ضد الجرائم المالية وسوء الاستغلال وإساءة الاستخدام.

١.٢.٦ حماية الأصول

١.١.٢.٦ يجب أن تضمن المنشآت المالية المرخصة أنها أسندت بوضوح المسؤولية والمساءلة عن أمن الأصول إلى الإدارة العليا التي يجب أن تضمن وجود هياكل الرقابة الداخلية ومراقبتها بما في ذلك:

أ. الفصل الصحيح بين واجبات ومهام ومسؤوليات الإدارة والموظفين داخل المنشأة المالية المرخصة؛

ب. تخفيف المخاطر التشغيلية؛

ج. تطبيق أمن الاطلاع اللوجستي؛

د. حقوق الاطلاع والأمن على البيانات الإلكترونية والأصول؛

ه. الأمن المادي لأصول المستهلك وسجلاته؛ و

و. اكتمال الوثائق المتعلقة بأنشطة العمل والسياسات والضوابط والمتطلبات الفنية وفقاً لإرشادات مكافحة غسل الأموال وتمويل الإرهاب المعمول بها في دولة الإمارات.

٢.١.٢.٦ تلتزم المنشآت المالية المرخصة بتنفيذ إجراءات وقائية وعمليات تحقق صارمة من أجل حماية الأصول غير المطالب بها بما في ذلك الأصول في شكل تسهيلات ذات قيمة مخزنة ، والأموال الرقمية ، والحسابات الخامدة ولضمان المراقبة الفعالة والإبلاغ عن أي محاولات للوصول إليها.

٣.١.٢.٦ تلتزم المنشأة المالية المرخصة بتأمين وحماية الضمانات المقدمة من المستهلك / الضامن حسب الأصول، على أن تتصرف المنشأة المالية المرخصة بأمانة ونزاهة ومهنية وأن تراعي مصالح المستهلك العليا، أثناء إدارة الأصول المضمونة.

٤.١.٢.٦ الأموال غير المطالب بها: تضمن دور الصرافة تقييم الأموال غير المطالب بها وتوثيقها ومراقبتها والإفصاح عنها شهرياً على النحو الذي يحدده المصرف المركزي.

٥.١.٢.٦ يجب أن تضع المنشآت المالية المرخصة سياسة داخلية قوية قائمة على المخاطر لتحديث مستندات "اعرف عميلك" الخاصة بالمستهلكين، بما في ذلك وثائق الهوية منتهية الصلاحية. في حالة عدم رد المستهلكين على الإشعارات الكتابية الصادرة عن المنشآت المالية المرخصة والتي تطلب من المستهلك تقديم بيانات الهوية المطلوبة لتحديث سجلات المنشأة المالية المرخصة، يجب على البنوك بعد فترة إشعار مدتها ٩٠ يوماً أو بعد تلك الفترة التي قد يحددها المصرف المركزي تجميد بطاقات الخصم والائتمان مؤقتاً لجميع أنواع المعاملات، بما في ذلك عمليات السحب من أجهزة الصراف الآلي، غير أنه يُسمح بجميع العمليات الأخرى في حسابات المستهلكين من خلال الفرع، على ألا تفرض المنشآت المالية المرخصة أي رسوم على هذا التجميد المؤقت لاستخدام المستهلكين لبطاقاتهم.

٦.١.٢.٦ يجب أن تنفذ المنشآت المالية المرخصة مبادرات توعية المستهلك وحملات توعية عن الاحتيال كل عام وبشكل متكرر إذا كان هناك دليل على وجود نشاط احتيالي متزايد.

٧.١.٢.٦ تتحمل المنشآت المالية المرخصة واجباً مستمراً لتوعية وإرشاد المستهلكين كتابياً فيما يتعلق بالاحتياطات الأمنية الواجب اتخاذها من أجل الحصول على خدماتها المالية بما في ذلك:

أ. تجنب استخدام كلمات مرور بسيطة أو أرقام مرتبطة بالتواريخ الشخصية؛

ب. يتحمل المستهلكين المسؤولية المالية إذا قدموا رقم التعريف الشخصي أو كلمة المرور الخاصة بهم إلى أي شخص أو تركها مكتوبة ويمكن للآخرين رؤيتها؛

ج. نصح المستهلكين حول كيفية تغيير كلمات المرور وأرقام التعريف الشخصية بانتظام؛

د. إدخال رقم التعريف الشخصي بحذر في أجهزة الصراف الآلي أو نقاط البيع لضمان عدم اطلاع الغير عليها؛ و

ه. الحماية من الوصول الي دفتر شيكاتهم.

٨.١.٢.٦ يجب تحديث أدوات / أجهزة الدفع (مثل أجهزة الصراف الآلي) والقنوات المصرفية عبر الإنترنت بشكل تدريجي بأحدث التقنيات، ولا سيما لمنع استخدام البطاقات المزيفة، وفحصها بانتظام وفقاً لإرشادات المصرف المركزي بشأن منع عمليات الاحتيال باستخدام بطاقات الصراف الآلي.

٩.١.٢.٦ يجب أن تضمن المنشآت المالية المرخصة آمن أجهزة الصراف الآلي آمنة والقيام بما يلي:

أ. تثبيت واقيات للوحة مفاتيح الأرقام السرية وصيانتها لمنع تسجيل أرقام التعريف الشخصية للمستهلك أثناء استخدام أجهزة الصراف الآلي أو أجهزة نقاط البيع؛

ب. تثبيت أجهزة منع نسخ البطاقات لمنع قراءة الشريط المغناطيسي، على أن يسحب المشغلون فوراً أي جهاز صراف آلي تم اختراقه من الخدمة؛

ج. تركيب أجهزة استشعار لاكتشاف وجود أجهزة نسخ البطاقات وإرسال التنبيهات إلى المشغل و/أو إيقاف تشغيل جهاز الصراف الآلي؛

د. ضمان وجود كاميرات المراقبة الرقمية داخل أجهزة الصراف الآلي؛

ه. تطبيق أي تقنيات أمنية جديدة حسب الضرورة لحماية المستهلكين؛ و

و. رصد والتحقيق في مشاكل أجهزة الصراف الآلي المبلغ عنها من المستهلكين.

١٠.١.٢.٦ يجب أن تجري المنشآت المالية المرخصة الصيانة الدورية لجميع أجهزة الصراف الآلي بما في ذلك التحقق من وظائفها المناسبة وضمان عدم اختراق أمنها (مثل أجهزة نسخ لوحة مفاتيح الأرقام السرية والكاميرات غير القانونية)، على أن يتم الاحتفاظ بسجل لعمليات التحقق الخاصة بكل جهاز لمدة عام واحد وإتاحته لتفتيش المصرف المركزي.

١١.١.٢.٦ قد تتحمل المنشآت المالية المرخصة المسؤولية عن أي خسائر مباشرة تنتج عن أي خرق للضوابط الأمنية للمنشآت المالية المرخصة.

١٢.١.٢.٦ يجب على المنشآت المالية المرخصة أداء وتوثيق إجراءات العناية الواجبة بالفعالية المنشودة عند التحقق من خلفية وكفاءة أي طرف ثالث يمثل المنشآت المالية المرخصة و/أو يكون لديه الحق في الوصول إلى أصول المستهلك ومعلوماته وبياناته أو حيازتها.

١٣.١.٢.٦ يجب أن تضمن المنشآت المالية المرخصة تمتع وكلائها المفوضين بمستوى متكافئ من أنظمة مكافحة الاحتيال والتنسيق والمراقبة لجميع الأنشطة التي ينفذها موظفوهم نيابة عن المنشآت المالية المرخصة.

١٤.١.٢.٦ يجب أن تجري المنشآت المالية المرخصة فحوصات العناية الواجبة قبل تعيين الموظفين وضمان أن جميع المتطلبات المناسبة والملائمة متكافئة تماماً مع مسؤوليات ووظائف الأقسام.

١٥.١.٢.٦ يجب أن توفر المنشآت المالية المرخصة تدريباً مناسباً وحديثاً للموظفين على إطار الرقابة لضمان التعامل مع أصول المستهلكين بشكل آمن.

٢.٢.٦ كشف الاحتيال

١.٢.٢.٦ يجب أن تضع المنشآت المالية المرخصة أنظمة وعمليات مناسبة لمراقبة أنشطة الاحتيال الخارجية والاستجابة لها بما يتناسب مع نوع المخاطر المرتبطة بالمنتج أو الخدمة المالية وتكرار معاملات المستهلك.

٢.٢.٢.٦ يجب أن تخطر المنشآت المالية المرخصة المستهلك بإجراءات الإبلاغ عن حالات السرقة والفقد والاحتيال.

٣.٢.٢.٦ يجب أن تلتزم المنشآت المالية المرخصة بمراقبة وتوثيق حالات التكرار المتعلقة بعدد ونوع حوادث الاحتيال ومحاولات الاحتيال وشكاوى المستهلكين من أجل تحديد ما إذا كان هناك أي دليل على ضعف إجراءات الأمن والكشف. يجب على المنشآت المالية المرخصة الإبلاغ عن حوادث الاحتيال الجسيمة على الفور إلى المصرف المركزي بالطريقة التي يحددها.

٣.٢.٦ التحقيق في الاحتيال والإبلاغ عنه

١.٣.٢.٦ يجب أن يكون لدى المنشآت المالية المرخصة قسم مختص بالإبلاغ عن الاحتيال للتحقيق في الامتثال لقواعد مكافحة الجرائم المالية.

٢.٣.٢.٦ عند تحديد نمط معين من عمليات النصب أو الاحتيال، يتوجب على المنشآت المالية المرخصة إصدار إشعارات في الوقت المناسب إلى المستهلكين لتعزيز الوعي والتدابير الوقائية، على أن يتضمن ذلك الإشعار بيان طريقة اتصال للمستهلكين للإبلاغ عن حوادث الاحتيال أو طلب الإيضاحات.

٣.٣.٢.٦ يجب أن تخطر المنشآت المالية المرخصة عن جميع شكاوى المستهلكين الناشئة عن عمليات الاحتيال الخارجية والداخلية ومحاولات الاحتيال، بالإضافة إلى أي نقاط ضعف واضحة في أنظمة الأمن والأنظمة الإلكترونية إلى المصرف المركزي على أساس ربع سنوي.

٤.٣.٢.٦ ترفع المنشآت المالية المرخصة تقرير سنوي موجز بحلول ٣١ يناير إلى المصرف المركزي حول حالات التكرار والحوادث الجسيمة المتعلقة بالاحتيال ومحاولة الاحتيال مع بيان الإجراءات الوقائية المتخذة.