كتاب روابط اجتياز لـ نظام التمويل المفتوح
نظام التمويل المفتوح
C 7/2023 يسري تنفيذه من تاريخ 15/4/2024المقدمة ونطاق التطبيق
يضع نظام التمويل المفتوح (هذا النظام) إطار عمل لترخيص التمويل المفتوح والرقابة عليه وتطبيقه داخل دولة الإمارات العربية المتحدة. ويتألّف إطار التمويل المفتوح من إطار الثِّقة ومركز واجهة برمجة التطبيقات وخدمات البنية التحتية المشتركة، حيث يمكن من خلالها استخدام التمويل المفتوح لمشاركة البيانات عبر مختلف القطاعات، والمباشرة بإجراء المعاملات نيابةً عن المستخدمين.
الكيانات المكلفة بالمشاركة في إطار التمويل المفتوح
يتعيّن على جميع المنشآت المرخّصة أن تُشارك في إطار التمويل المفتوح، فيما يخص المنتجات والخدمات في نطاق عملهم، كما يتعيّن عليهم أيضًا (باعتبارهم محتفظين بالبيانات ومالكي خدمات بموجب هذا النظام تزويد المشاركين في إطار التمويل المفتوح (باعتبارهم متلقِّين للبيانات وجهاتٍ لبدء الخدمات) مع صلاحية الوصول إلى بيانات العملاء، وكذلك القدرة على بدء المعاملات الخاصة بالحسابات والمنتجات للعملاء.
تتوقف خدمات مشاركة البيانات وخدمات بدء المعاملات في جميع الحالات على الحصول على موافقة صريحة من المستخدمين، وتطبيق عمليات المصادقة الملائمة واستخدام وسيلة اتصال آمنة. ولا ينطبق هذا النظام والحقوق التي يمنحها فيما يخص الوصول إلى البيانات والحسابات، على كل ما يتعلق بالأنشطة التي لا تخضع لرقابة المصرف المركزي.
وتشمل المنشآت المرخّصة والمكلّفة بإتاحة الوصول إلى التمويل المفتوح بموجب هذا النظام، ما يأتي:
أ. البنوك التي تأسست داخل دولة الإمارات العربية المتحدة. ب. فروع البنوك الأجنبية / مكاتب تمثيل البنوك الأجنبية. ج. البنوك المتخصصة. د. البنوك محدودة الترخيص. ه. البنوك الإسلامية والنوافذ الإسلامية. و. شركات التمويل. ز. مقدمو خدمات الدفع (الفئات4/3/2/1). ح. مزودو نظم الدفع للتجزئة. ط. مزود وتسهيلات القيمة المخزنة. ي. منشآت الصرافة. ك. شركات التمويل الجماعي القائم على القروض. ل. وسطاء التأمين. م. شركات التأمين (الشركات الوطنية والفروع الأجنبية). ن. أي كيان آخر يعتبره المصرف المركزي منشأة مرخصة ذات صلة. سيتم إدراج المنشآت المرخّصة التي يتعيّن عليها إتاحة الوصول إلى التمويل المفتوح بموجب هذا النظام، على مراحل، حيث ستشمل المرحلة الأولى فقط البنوك بما في ذلك فروع البنوك الأجنبية، وشركات التأمين (الشركات الوطنية والفروع الأجنبية. وسيتم الإعلان عن المراحل اللاحقة من قبل المصرف المركزي عبر القنوات الرسمية.
مزوّدو خدمة التمويل المفتوح وتراخيصهم
ولتسهيل تبنِّي التمويل المفتوح ومشاركة الشركات كمزودين مرخّصين لخدمات مشاركة البيانات و/ أو خدمات بدء الخدمة، يشتمل هذا النظام على فئة جديدة من التراخيص التنظيمية لمزوّدي خدمات التمويل المفتوح. وسيكون مزودو خدمة التمويل المفتوح هم أصحاب هذا الترخيص، والذي يمكنهم من ممارسة خدمات مشاركة البيانات و/ أو خدمات بدء الخدمة.
يمكن لمزودي خدمات التمويل المفتوح اختيار ممارسة خدمات مشاركة البيانات فقط أو خدمات بده الخدمة فقط أو كليهما، بموجب ترخيص التمويل المفتوح.
ودون الإخلال بالتراخيص التنظيمية الأخرى التي يحملونها، لن يسمح ترخيص التمويل المفتوح لحامليه بمزاولة أي فئة أخرى من الأنشطة المرخصة، وتحديداً، لن يتيح لحاملي التراخيص تقديم أي مشورة بأي شكل من الأشكال، أو التوسّط في معاملات الأنشطة المرخصة أو ترتيبها، أو الاحتفاظ بأموال العملاء بأي شكل من الأشكال. ويجب أن يكون لدى مزودي خدمة التمويل المفتوح التراخيص التنظيمية الإضافية اللازمة لمزاولة أي نشاط أو أنشطة مالية مرخّصة أخرى، أو الحصول على تلك التراخيص، بشكل منفصل.
الأشخاص المرخّص لهم تلقائيًا
يتم التعامل مع فئات محدّدة من المنشآت المرخصة الواردة في المادة 3 من هذا النظام، على أنهم أشخاص مرخّص لهم تلقائيا، ويجب على الشخص المرخّص له تلقائيًا إبلاغ المصرف المركزي كتابة بعزمه على تقديم أي خدمة من خدمات التمويل المفتوح مع إيضاح التفاصيل الكاملة للأنشطة التي يعتزم مزاولتها، والحصول على موافقة المصرف المركزي قبل البدء في هذه الأنشطة.
المواد المنطبقة على المنشآت المرخّصة
يتعيّن على جميع المنشآت المرخّصة، سواء كانت تقدِّم خدمات التمويل المفتوح أم لا، الامتثال للمتطلبات الواردة في هذا النظام، وذلك فيما يتعلق بخدمات مشاركة البيانات وخدمات بدء الخدمة من قبل المستخدمين من خلال مزوّدي خدمة التمويل المفتوح، وخصوصًا المتطلبات الواردة في المواد 18 إلى 22 من هذا النظام.
الأهداف
خلال ممارسته لسلطاته ومهامه بموجب هذا النظام، يراعِي المصرف المركزي الأهداف الاتية:
أ. ضمان سلامة خدمات التمويل المفتوح؛ ب. تطبيق متطلبات فعّالة وقائمة على المخاطر في عملية الترخيص لخدمات مشاركة البيانات وخدمات بدء الخدمة؛ ج. تعزيز مصداقية وكفاءة خدمات التمويل المفتوح، وكذلك تعزيز ثقة الجمهور؛ د. التشجيع على الابتكار، وتعزيز التنافسية وتحقيق الفائدة للمستهلكين من خلال تعزيز الشفافية المتعلقة بجميع المنتجات والخدمات المالية: ه. وتعزيز مكانة دولة الإمارات العربية المتحدة كمركز رائد للتقنية المالية في المنطقة؛ وحيثما يتضمّن هذا النظام أو الأنظمة المصاحبة له متطلبات بتقديم معلومات أو اتخاذ تدابير معيّنة، أو التعامل مع بنود بعينها مشارٍ إليها كحد أدنى، يجوز للمصرف المركزي أن يفرض متطلبات إضافية على المتطلبات الواردة في المادة ذات الصلة. المادة (1) التعريفات
يكون للمصطلحات التالية المعاني المخصصة لها أدناه لأغراض هذا النظام:
- الحساب: الحساب الذي يحتفظ به المستخدم لدى منشأة مرخصة بشأن واحد أو أكثر من المنتجات المحددة في المادة (5) من هذا النظام.
- المشورة: المشورة بشأن المنتجات أو الحسابات، وتشمل أي تواصل يزوّد المستخدم برأي و / أو تقييم و / أو توصية و / أو معلومات / مقارنات متحيزة، أو عند العمل كوكيل للمستخدم، شريطة أن يتم، على نحوٍ معقول، اعتبار أن هذه المشورة تهدف إلى التأثير في اختيار المستخدم أو قراره باختيار منتج أو حساب معين أو خيارات ذات صلة بهما، أو مصلحة في منتج أو حساب معيّن، أو شراء ذلك أو بيعه أو الاحتفاظ به أو الاشتراك فيه.
- قوانين مواجهة غسل الأموال: المرسوم بقانون اتحادي رقم (20) لسنة 2018 في شأن مواجهة جرائم غسل الأموال ومكافحة تمويل الإرهاب وتمويل التنظيمات غير المشروعة، وقرار مجلس الوزراء رقم (10) لسنة 2019 في شأن اللائحة التنفيذية للمرسوم بقانون اتحادي رقم (20) لسنة 2018 في شأن مواجهة جرائم غسل الأموال ومكافحة تمويل الإرهاب وتمويل التنظيمات غير المشروعة، حسبما يتم تعديلهما، وأي تعليمات وإرشادات وإشعارات حول تنفيذهما.
- مركز واجهة برمجة التطبيقات: مركز واجهة برمجة التطبيقات الذي أنشأه المصرف المركزي، والذي من خلاله ستتمكن الأطراف المعنية من الوصول إلى إطار التمويل المفتوح.
- مقدّم الطلب: أي شخص اعتباري تم تأسيسه في الدولة، والذي يتقدّم بالطلب.
- الطلب: طلب كتابي للحصول على ترخيص التمويل المفتوح.
- البنك: أي شخص اعتباري مرخص له وفقًا لأحكام قانون المصرف المركزي بممارسة نشاط تلقي الودائع بشكل رئيسي وأي من الأنشطة المالية المرخصة الأخرى.
- مجلس الإدارة: مجلس إدارة مقدّم الطلب أو مزوّد خدمة التمويل المفتوح وفقّا لقانون الدولة المعمول به.
- المصرف المركزي: مصرف الإمارات العربية المتحدة المركزي.
- قانون المصرف المركزي: المرسوم بقانون اتحادي رقم (14) لسنة 2018 في شأن المصرف المركزي وتنظيم المنشآت والخدمات المالية، حسبما يتم تعديله.
- الرئيس التنفيذي: المسؤول التنفيذي الأعلى رتبة المُعين من قبل مجلس الإدارة.
- خدمات البنية التحتية المشتركة: الخدمات المحددة في الجدول (1) من هذا النظام.
- البيانات السرية: البيانات المتعلقة بالمستخدم، الذي يتم تحديد هويته أو يمكن التعرف عليه إما من البيانات السرية، أو من البيانات السرية مقرونة بمعلومات أخرى تكون في حوزة شخص أو منظمة أو من المحتمل أن تصبح في حوزة ذلك الشخص أو الكيان، الذي/التي يكون قد تم منحه أو منحها حق الوصول إلى البيانات السرية.
- المسيطر: الشخص الذي يكون لديه بمفرده أو مع شركائه حصة بنسبة 20% على الأقل في أسهم أحد مزودي خدمة التمويل المفتوح أو الذي يسمح له وضعه بالسيطرة على 20% على الأقل من الأصوات في أحد مزودي خدمة التمويل المفتوح.
- المحتفظ / المحتفظة بالبيانات: المنشأة المرخصة التي تحتفظ ببيانات المستخدم.
- خدمة مشاركة البيانات: الخدمة عبر الإنترنت التي يتم من خلالها تزويد المستخدم ببيانات مستخدم موحدة ذات صلة بحساب واحد أو أكثر و/ أو منتجات يتم الاحتفاظ بها مع المحتفظ بالبيانات.
- مزود خدمة مشاركة البيانات: الشخص الاعتباري المرخص له من قبل المصرف المركزي بمزاولة أنشطة مشاركة البيانات.
- شركة التمويل: الشخص الاعتباري المرخّص له كشركة تمويل بموجب نظام شركات التمويل.
- نظام شركات التمويل: تعميم المصرف المركزي رقم 2023/3، حسبما يتم تعديله.
- بدء الخدمة: (1) تعليمات الكترونية لمالك الخدمة لتنفيذ عملية تحويل أو ائتمان أو خصم أو إيداع أو سحب أو استرداد أو بيع أو طلب أو إلغاء؛ أو (2) الإبلاغ عن موافقة المستخدم على فتح أو تنفيذ أو تفعيل حساب أو منتج أو اتخاذ أي إجراء آخر بشأنهما، ولا تشمل عملية "بدء الخدمة" تنفيذ أي معاملة.
- وسيط التأمين: الشخص الاعتباري المرخص له بممارسة نشاط وساطة التأمين في الدولة بموجب قانون التأمين.
- شركة التأمين: أي شخص اعتباري مرخّص له بمزاولة أعمال التأمين في الدولة، بموجب قانون التأمين
وساطة التأمين: نشاط الترويج لعقود التأمين أو التفاوض بشأنها أو بيعها من خلال أي وسيلة، بحيث
أ. يُقصد بكلمة "الترويج" محاولة بيع التأمين أو الطلب من شخص أن يقدِّم طلباً للحصول على نوع معين من التأمين من شركة تأمين معيّنة للحصول على مكافأة؛ ب. يُقصد بكلمة "التفاوض" عملية التشاور المباشرة مع مشترٍ أو مشترٍ محتمل، أو تقديم المشورة إليه مباشرة، بشأن عقد تأمين معين من حيث أي من المزايا أو الأحكام أو الشروط الموضوعية للعقد، شريطة أن يقوم الشخص المعني بتلك العملية ببيع التأمين أو الحصول على التأمين من شركات التأمين للمشترين؛ ج. يُقصد بكلمة "بيع" مبادلة عقد التأمين بأي وسيلة مقابل مبلغ مالي أو ما يعادله نيابة عن شركة تأمين. - قانون التأمين: المرسوم بقانون اتحادي رقم (48) لسنة 2023 في شأن تنظيم أعمال التأمين، ولائحته التنفيذية، وأي تعديلات تطرأ عليهما.
- اكتتاب التأمين: تقييم المخاطر وتحديد سعر التأمين.
- الأنشطة المالية المرخّصة: الأنشطة المالية الخاضعة لترخيص ورقابة المصرف المركزي والمحددة في المادة (65) من قانون المصرف المركزي.
- المنشأة المالية المرخّصة: البنوك والمؤسسات المالية الأخرى المرخّصة وفقاً لأحكام قانون المصرف المركزي الممارسة نشاط أو أكثر من الأنشطة المالية المرخصة، ويشمل ذلك تلك التي تمارس كافة أو جزء من أعمالها وفقا لأحكام الشريعة الإسلامية. وتكون تلك المنشآت كافة أو جزء من أعمالها وفقا لأحكام الشريعة الإسلامية. وتكون تلك المنشآت إما مؤسسة داخل الدولة أو في مناطق إختصاص أخرى أو لها فروع أو شركات تابعة أو مكاتب تمثيل داخل الدولة.
- المنشأة المرخّصة: البنوك وشركات التأمين ووسطاء التأمين والمؤسسات المالية الأخرى.
- نظام السجلات الرئيس: تجميع كل البيانات، بما في ذلك البيانات السرية المطلوبة لإجراء جميع الأنشطة الأساسية للمنشأة المرخصة، بما في ذلك تقديم الخدمات للعملاء وإدارة جميع المخاطر، والامتثال لكافة المتطلبات القانونية والرقابية.
- إطار عمل التمويل المفتوح: إطار عمل خدمات التمويل المفتوح الذي يتم إنشاؤه وتشغيله بموجب المادة 2 من هذا النظام.
- ترخيص التمويل المفتوح: الترخيص الممنوح بموجب هذا النظام لتقديم خدمات مشاركة البيانات و/ أو خدمات بدء الخدمة.
- مزوّد خدمة التمويل المفتوح: الشخص الاعتباري المرخص له من قِبَل المصرف المركزي لمزاولة خدمات التمويل المفتوح.
- خدمة التمويل المفتوح: خدمات مشاركة البيانات و/ أو خدمات بدء الخدمة.
- المؤسسات المالية الأخرى: أي شخص اعتباري، غير البنوك، مرخص له وفقًا لأحكام قانون المصرف المركزي بممارسة نشاط مالي واحد أو أكثر من الأنشطة المالية المرخصة.
- التعهيد: اتفاقية مبرمة مع طرف آخر سواءً داخل دولة الإمارات العربية المتحدة أو خارجها، بما يشمل الأطراف ذوي الصلة بمزود خدمة التمويل المفتوح، لأداء نشاط على أساس مستمر، المفتوح يقوم مزود خدمة التمويل المفتوح بأدائه بنفسه في الوقت الحالي أو يُمكن أن يؤديه بنفسه.
- الطرف المدفوع له: الشخص المقصود لتلقي الأموال التي تخضع للمعاملة.
- جهة الدفع: الشخص الذي لديه حساب دفع ويُصدر أمر دفع من هذا الحساب؛ أو في حال عدم وجود حساب دفع الشخص الذي يعطي أمر دفع.
- حساب الدفع: حساب مع مقدم خدمات الدفع يُحتفظ به باسم مستخدم واحد على الأقل لخدمة الدفع للتجزئة، ويتم استخدامه لتنفيذ معاملات الدفع.
- مقدم خدمات الدفع: شخص اعتباري حائز على ترخيص بموجب نظام خدمات الدفع للتجزئة ومنظومات البطاقات لتقديم خدمة واحدة أو أكثر من خدمات الدفع للتجزئة، والمدرج في سجل المنشآت المالية المرخصة وفقا للمادة 73من قانون المصرف المركزي.
- الشخص: الشخص الطبيعي أو الاعتباري، حسب مقتضى الحال.
- البيانات الشخصية: أي معلومات ترتبط بشخص طبيعي محدد أو قابل للتحديد.
- الشخص المرخص له تلقائيا: الشخص المحدد في المادة (3) من هذا النظام على أنه مرخص له تلقائيا بموجب هذا النظام.
- المعالجة: فيما يتعلق بالبيانات الشخصية ولأغراض المادة (22) من هذا النظام أي عملية أو مجموعة عمليات يتم إجراؤها على بيانات شخصية أو على مجموعات من البيانات الشخصية، سواء بوسائل آلية أو غيرها؛ مثل التحصيل أو التسجيل أو التنظيم أو الهيكلة أو التخزين أو التكيف أو التغيير أو الاسترجاع أو الاستشارة أو الاستخدام أو الإفصاح عن طريق الإرسال أو النشر أو إتاحة البيانات بطريقة أخرى، أو التنسيق أو الدمج أو التقييد أو المسح أو الإتلاف.
- المنتج: المنتج المحدد في المادة 5 من هذا النظام.
- الأنظمة: أي قرار أو نظام أو تعميم أو قاعدة أو معيار أو إشعار صادر عن المصرف المركزي.
- خدمة الدفع للتجزئة: أي نشاط تجاري منصوص عليه في الملحق 1 من نظام خدمات الدفع بالتجزئة ومنظومات البطاقات، حسبما يتم تعديله.
- نظام خدمات الدفع للتجزئة ومنظومات البطاقات: تعميم المصرف المركزي رقم 2021/15، حسبما يتم تعديله
- الإدارة العليا: الإدارة التنفيذية لمزود خدمة التمويل المفتوح المسؤول أمام مجلس الإدارة عن الإدارة اليومية السليمة والاحترازية لمزود خدمة التمويل المفتوح، وتشمل بصورة عامة، ولكن ليس على سبيل الحصر، الرئيس التنفيذي والمسؤول المالي الرئيسي ومسؤول المخاطر الرئيسي، ورؤساء وظائف الامتثال والتدقيق الداخلي.
- البيانات الحسّاسة: أي بيانات شخصية تتعلق بصحة الشخص، مثل حالته حالتها الجسدية أو النفسية أو الوراثية أو الجنسية، بما في ذلك المعلومات المتعلقة بخدمات الرعاية الصحية المقدمة له لها والتي تكشف عن حالته حالتها الصحية.
- خدمات بدء الخدمة: خدمة بدء معاملة بالوسائل الإلكترونية فيما يتعلق بحساب أو منتج.
- مزود خدمات بدء الخدمة: الشخص الاعتباري المرخص له بواسطة المصرف المركزي بمزاولة أنشطة بدء الخدمة.
- مالك الخدمة: المنشأة المرخصة التي تحتفظ بحساب أو منتج للمستخدم.
- الدولة: دولة الإمارات العربية المتحدة.
- نظام تسهيلات القيم المخزنة: تعميم المصرف المركزي رقم 2020/6 حسبما يتم تعديله.
- مزوّد الخدمة الفنية: الشخص الذي يقدم الدعم الفني لأطراف ثالثة لتوفير خدمات التمويل المفتوح، بما في ذلك خدمات تقنية المعلومات، وتوفير شبكة الاتصالات، ومعالجة وتخزين البيانات والحصول على معلومات الحساب والمنتج ومعالجتها، وخدمات الثقة وحماية الخصوصية.
- المعاملة: الإجراء الذي يبدأه المستخدم من خلال مزود خدمات بدء الخدمة لتنفيذ عملية تحويل أو ائتمان أو خصم أو إيداع أو سحب أو استرداد أو بيع أو أمر أو إلغاء، مرتبطة بحساب أو منتج.
- إطار الثقة: إطار الثقة الذي تم إنشاؤه وتشغيله وفقًا للمادة 2 والجدول 1 من هذا النظام.
- المعاملة غير المصرح بها: معاملة لم يوافق المستخدم على تنفيذها أو بدئها.
- المستخدم: الشخص الذي يستخدم خدمات مشاركة البيانات أو خدمات بدء الخدمة.
- بيانات المستخدم: المعلومات المرتبطة بالمستخدم وهي: (1) المعلومات المرتبطة بالحسابات والمنتجات كما هو محدد في المادة 5 من هذا النظام؛ و (2) البيانات الموضحة بشكل أكثر تحديدًا في الأنظمة ذات الصلة الصادرة عن المصرف المركزي لهذا الغرض.
نطاق إطار التمويل المفتوح
متطلبات الحصول على ترخيص
المادة (2) الترخيص وإجراءاته
- لا يجوز لأي شخص اعتباري مزاولة خدمة التمويل المفتوح داخل الدولة ما لم يحصل على ترخيص التمويل المفتوح من المصرف المركزي، أو إذا كان ذلك الشخص الاعتباري من ضمن الأشخاص المرخص لهم تلقائيًا.
- يجب على مقدم طلب الحصول على ترخيص التمويل المفتوح تقديم طلب ترخيص (مصحوبًا بالمستندات والمعلومات الداعمة المطلوبة) إلى المصرف المركزي وفقا للإجراءات التي تحدّدها إدارة التراخيص بالمصرف المركزي ووفقًا لإرشادات الترخيص الخاصة به.
- يجب على مقدّم الطلب تقديم طلب ترخيص يتضمّن الخيارات التي يرغب في التقدم لها فيما يتعلق بخدمات مشاركة البيانات أو بخدمات بدء الخدمة. وفي حالة رغبة مقدّم الطلب لاحقاً في تغيير الخيارات المحدّدة بموجب ترخيصه فيجب عليه إعادة تقديم الطلب والحصول على موافقة من المصرف المركزي.
- يجب على مقدّم الطلب، عند تقديم طلب الترخيص الخاص به، استيفاء جميع المتطلبات المتعلّقة بالشكل القانوني والحد الأدنى لرأس المال ومتطلبات الجدارة والنزاهة المناسبة وأي متطلبات أخرى يحددها المصرف المركزي.
- يُصدر المصرف المركزي قراره بالموافقة على الطلب أو رفضه خلال مدة لا تتجاوز (60) يوم عمل من تاريخ استيفاء مقدّم الطلب جميع شروط ومتطلبات الترخيص. ويعتبر انقضاء هذه المدة دون البتَ في الطلب رفضًا ضمنيًا له.
- يسمح منح المصرف المركزي ترخيص التمويل المفتوح لحامله بتقديم خدمة التمويل المفتوح (مشاركة البيانات و / أو بدء الخدمة) دون أي أنشطة أو خدمات مالية مرخّصة أخرى.
- ليس مطلوبًا من مزود الخدمة الفنية الحصول على ترخيص التمويل المفتوح شريطة أن تقتصر خدماته على تقديم خدمات الدعم لمزودي خدمة التمويل المفتوح و / أو الأشخاص المرخص لهم تلقائيًا، وألا يمارس أي أنشطة خاضعة للرقابة تحت هذا النظام.
- في حالة الاستعانة بمزود خدمة فنية من قبل مزود خدمة التمويل المفتوح أو شخص مرخص له تلقائيًا، فلا يمكن نقل المسؤولية والمتطلبات الرقابية والأساس القانوني والالتزامات الناتجة عن العمل ضمن إطار التمويل المفتوح إلى مزود الخدمة الفنية أو أي طرف ثالث آخر.
المادة (3) الأشخاص المرخص لهم تلقائيًا
تتضمن البنود التالية الأشخاص المرخّص لهم تلقائيًا:
1-1 البنوك المرخّصة وفقًا لقانون المصرف المركزي؛ 2-1 شركات التمويل المرخصة وفقًا لنظام شركات التمويل؛ 3-1 الأشخاص المرخّص لهم بواسطة المصرف المركزي بتقديم خدمات الدفع للتجزئة بموجب نظام خدمات الدفع بالتجزئة ومنظومات البطاقات؛ 4-1 وسطاء التأمين المرخّص لهم وفقًا لقانون التأمين؛ 5-1 شركات التأمين المرخّصة وفقًا لقانون التأمين؛ 6-1 ومزوّد وتسهيلات القيم المخزنة المرخّص لهم وفقًا لنظام تسهيلات القيم المخزنة. - يجب على الشخص المرخّص له تلقائيًا تقديم إشعار كتابي مسبق إلى المصرف المركزي بعزمه على تقديم خدمة التمويل المفتوح. ويجب أن يكون الإشعار بالشكل الذي يحدده المصرف المركزي من حينٍ لآخر، كما يجب أن يقدم وصفا لخدمة التمويل المفتوح التي يعتزم تقديمها والموارد التي سيتم استخدامها في تقديم خدمة التمويل المفتوح وترتيبات الحوكمة المتعلقة بها. كما يجب الحصول على موافقة المصرف المركزي قبل البدء في تقديم خدمة التمويل المفتوح. ويُصدر المصرف المركزي قراره بالموافقة أو الرفض خلال مدة لا تتجاوز ستين (60) يوم عمل من تاريخ الإشعار. ويعتبر انقضاء هذه المدة دون البت في الطلب رفضًا ضمنيًا له.
- تسري جميع مواد هذا النظام على الأشخاص المرخص لهم تلقائيًا، عندما يتم منحهم الموافقة على تقديم خدمة التمويل المفتوح من قبل المصرف المركزي.
المادة (4) القيود
يجب على مزوّد خدمة التمويل المفتوح الامتناع عما يلي:
1-1 تلقي أي أموال لصالح المستخدم أو نيابةً عنه، أو الاحتفاظ بها أو تحويلها؛ 2-1 تقديم المشورة للمستخدم فيما يتعلق بحساب أو منتج معيّن؛ 3-1 تقديم أي توصية شخصية ومحددة للمستخدم فيما يتعلق بحساب أو منتج معيّن؛ 4-1 تلقي أي رسوم أو عمولة أو مدفوعات أو مزايا أخرى من مزود الحساب أو المنتج؛ 5-1 معالجة أي بيانات حساسة من بيانات المستخدم لتوفير أي من خدمات التمويل المفتوح، حتى وإن كان ذلك مع الحصول على موافقة صريحة من المستخدم؛ 6-1 التفاوض أو التوسط أو التأثير أو إبرام أي اتفاقية أو معاملة نيابةً عن المستخدم فيما يتعلق بحساب أو منتج؛ 7-1 أو ممارسة أي شكل من أشكال وساطة التأمين أو الاكتتاب في التأمين. - لا تمنع القيود المحدّدة في المادة 4(1) من هذا النظام مزوّد خدمة التمويل المفتوح من تزويد المستخدمين بالمعلومات، بما في ذلك المعلومات القائمة على التحليلات المتعلقة بالحسابات و/ أو المنتجات المتاحة تجاريا ولكنها غير محددة. ويمكن تقديم هذه المعلومات عن طريق عرضها عبر الإنترنت أو غير ذلك، ولكن يجب ألا يتضمن ذلك تقديم المشورة.
- لا تسري القيود المحددة في المادة 4(1) من هذا النظام على مزود خدمة التمويل المفتوح الحائز من المصرف المركزي على أي ترخيص إضافي مطلوب لمزاولة الأنشطة ذات الصلة.
الحسابات والمنتجات ضمن نطاق التمويل المفتوح
المادة (5) الحسابات والمنتجات
يكون الحساب أو المنتج ضمن نطاق هذا النظام متى ارتبط بأي من البنود التالية التي تعرضها أو تُصدرها المنشأة المرخّصة:
1-1 الودائع؛ 2-1 حسابات وخدمات الدفع؛ 3-1 حسابات التوفير والودائع لأجل؛ 4-1 حسابات ومنتجات بطاقات الائتمان والخصم والشحن (بما في ذلك الحصول على معاملات البطاقات ومعالجتها)؛ 5-1 أوامر الدفع الدائمة؛ 6-1 الخصم المباشر؛ 7-1 تسهيلات القيم المخزنة وحسابات الدفع المدفوعة مسبقًا؛ 8-1 حسابات الدفع الأجل؛ 9-1 حسابات ومنتجات الصرف الأجنبي؛ 10-1 الائتمان والقروض وأي حسابات ومنتجات تمويل شخصي أخرى؛ 11-1 الرهون العقارية والقروض الأخرى المضمونة بممتلكات أو أصول الأخرى؛ 12-1 الحسابات الافتراضية أو المنتجات التي تتيح البنود المحدّدة في الفقرات 1-1 / 1- 11 الواردة أعلاه؛ 13-1 ومنتجات التأمين، بما في ذلك التأمين على الحياة والتأمين العام. - للمصرف المركزي، من حين لآخر، أن يُعدل أو يضيف على القائمة الواردة في المادة 5(1) من هذا النظام.
- لا تشمل القائمة الواردة في المادة 5(1) من هذا النظام الحسابات أو المنتجات التي تنظمها هيئة الأوراق المالية والسلع ما لم توافق هيئة الأوراق المالية والسلع عليها.
المتطلبات الأوّلية والمستمرة
المادة (6) الحد الأدنى لرأس المال
- لغرض الحصول على ترخيص من المصرف المركزي لتقديم خدمة التمويل المفتوح، يُطلب من مزود خدمة التمويل المفتوح أن يحتفظ بمبلغ رأس مال لا يقل عن مليون درهم (1,000,000 درهم إماراتي).
- يمكن فرض متطلبات رأس مال إضافية من قِبَل المصرف المركزي وفقًا لتقديره الخاص، وإخطار مزود خدمة التمويل المفتوح بها، مع أخذ المصرف المركزي في الاعتبار عوامل مختلفة مثل المخاطر و /أو الحجم و/ أو مستوى التعقيد، المرتبطة بالأنشطة التي يزاولها مزوّد خدمة التمويل المفتوح.
المادة (7) إجمالي الأموال الرأسمالية
- يجب على مزوّد خدمة التمويل المفتوح الاحتفاظ في جميع الأوقات بإجمالي أموال رأسمالية بما لا يقل عن الحد الأدنى لمتطلبات رأس المال المحددة في المادة 6 من هذا النظام.
- يجب أن يكون الحد الأدنى لرأس المال المحتفظ به كإجمالي أموال رأسمالية أعلى من الرقم الوارد في المادة 6 من هذا النظام وتقدير المصرف المركزي لتكاليف إنهاء أعمال مزوّد خدمة التمويل المفتوح.
- للمصرف المركزي، وفقًا لتقديره الخاص، أن يفرض متطلبات تتعلق بإجمالي الأموال الرأسمالية تكون أعلى من المتطلبات المشار إليها في المادة 7 (1) من هذا النظام إذا اعتبر المصرف المركزي أن هذه المتطلبات الأعلى ضرورية لضمان أن يكون لدى مزوّد خدمة التمويل المفتوح القدرة على الوفاء بالتزاماته بموجب هذا النظام، وذلك مع مراعاة مخاطر أعمال مزوّد خدمة التمويل المفتوح وحجمها ومستوى تعقيدها.
المادة (8) أدوات رأس المال
تتكون إجمالي الأموال الرأسمالية لمزوّد خدمة التمويل المفتوح من الآتي:
1-1 رأس المال المدفوع؛ 2-1 الاحتياطيات، باستثناء احتياطيات إعادة التقييم؛ 3-1 والأرباح المحتجزة. - لا يمكن تغطية إجمالي الأموال الرأسمالية لمزود خدمة التمويل المفتوح بأي رأس مال محتفظ به داخل مؤسسته يكون مخصصا كأي رأس مال رقابي آخر لأنشطة المالية المرخصة.
يجب خصم البنود التالية من إجمالي الأموال الرأسمالية:
1-3 الخسائر المتراكمة؛ 2-3 السمعة التجارية؛ 3-3 وأي بنود أخرى يحددها المصرف المركزي.
المادة (9) تأمين التعويض المهني
يجب أن يكون لدى مزوّد خدمة التمويل المفتوح تأمين للتعويض مهني بمبلغ ونطاق مناسبين ومتناسبين مع المخاطر الناشئة عن خدمة التمويل المفتوح التي يقدمها، وذلك على النحو الذي يحدده المصرف المركزي على أساس كل حالة على حدة. ورهنا بذلك، تكون الحدود الدنيا لمبالغ التعويض في السنة الواحدة كما يلي:
1-1 خمسة ملايين درهم (5,000,000 درهم إماراتي) للمطالبة الواحدة؛ 1-2 وكقيمة إجمالية، الأعلى من خمسة ملايين درهم (5,000,000 درهم إماراتي) أو مبلغ يعادل 50% من الدخل السنوي من خدمات التمويل المفتوح لمزود خدمة التمويل المفتوح؛ وللمصرف المركزي أن يقرر بأن على مزود خدمة التمويل المفتوح الاحتفاظ بحدود دنيا للتعويضات تزيد عن المبالغ المذكورة أعلاه.
- يجب أن يغطي تأمين التعويض المهني على الأقل التزامات مزود خدمة التمويل المفتوح وموظفيه، فيما يتعلق بالمعاملات غير المصرح بها، وفقدان البيانات وخرقها، ومخاطر الأمن السيبراني والمعاملات المتأخرة أو التي تم بدؤها على نحو غير صحيح، ضمن أمور أخرى.
المادة (10) ضوابط المسيطرين
- يجب ألا يصبح الشخص مسيطرًا على مزوّد خدمة التمويل المفتوح دون الحصول على إذن مسبق من المصرف المركزي.
ويمكن أن يمنح المصرف المركزي الإذن بذلك بموجب المادة 10(1) من هذا النظام إذا اعتبر:
1-2 أنه مع مراعاة التأثير المحتمل للمسيطر، سيظل مزود خدمة التمويل المفتوح ملتزمًا بمتطلبات هذا النظام وأي أنظمة أخرى ذات صلة، بما في ذلك الأنظمة الصادرة وفقًا لهذا النظام، وأي - قانون ذي صلة؛ 2-2 وأنّ المسيطر يفي بمتطلبات الجدارة والنزاهة والملاءمة التي يحددها المصرف المركزي. يمكن منح الموافقة بموجب المادة 10(2) من هذا النظام، مع مراعاة أي شروط قد يفرضها المصرف المركزي على الشخص، بما في ذلك، ولكن ليس على سبيل الحصر:
1-3 شروطاً تقيّد تخلص الشخص من أو استحواذه على الأسهم و / أو صلاحيات التصويت في مزوّد خدمة التمويل المفتوح؛ 2-3 وشروطاً تقيد ممارسة الشخص الصلاحيات التصويت في مزوّد خدمة التمويل المفتوح.
المادة (11) الحوكمة المؤسّسية
- يجب أن يكون لدى مزوّدي خدمة المفتوح ترتيبات حوكمة مؤسسية فعّالة ومتقنة وموثّقة جيدا، والحفاظ عليها، بما في ذلك هيكل تنظيمي واضح مع مسارات مسؤولية محدّدة جيدًا وشفافة ومتّسقة.
يجب أن تكون ترتيبات الحوكمة المؤسّسية المشار إليها في المادة 11(1) من هذا النظام شاملة ومتناسبة مع طبيعة وحجم ومستوى تعقيد أعمال مزود خدمة التمويل المفتوح، ويجب أن تتضمن ما يلي على الأقل:
1-2 هيكل تنظيمي معتمد من قبل مجلس الإدارة، يسجل كتابةً كل - قسم أو إدارة أو وحدة، مع الإشارة إلى اسم كل فرد مسؤول مصحوبًا بوصف للوظيفة والمسؤوليات المعنية؛ 2-2 ضوابط بشأن تضارب المصالح؛ 3-2 ضوابط بشأن نزاهة وشفافية عمليات مزوّد خدمة التمويل المفتوح؛ 4-2 ضوابط لضمان الامتثال للقوانين والأنظمة المعمول بها؛ 5-2 طرق الحفاظ على سرية المعلومات والامتثال لمتطلبات خصوصية البيانات؛ 6-2 وإجراءات للمراقبة والتدقيق بانتظام لجميع ترتيبات الحوكمة المؤسسية. يجب على الإدارة العليا لمزوّد خدمة التمويل المفتوح استيفاء متطلبات الجدارة والنزاهة والملاءمة التي يحدّدها المصرف المركزي من حين لآخر، بما في ذلك أن يكون كل عضو في الإدارة العليا:
1-3 مؤهلاً وممتلكًا للمعرفة والمهارات والمؤهلات والخبرات اللازمة 2-3 لديه سِجِل من التصرّف بأمانة وأخلاقية ونزاهة ويتمتع بسمعة جيدة؛ 3-3 لديه سجل جيد من السلوك المالي؛ 4-3 قادرًا على اتخاذ قراراته بطريقة عقلانية وموضوعية ومستقلة، وليس لديه أي تضارب في المصالح يمكن أن يؤثر على سلوكه؛ 5-3 لديه الوقت الكافي لتكريسه لأداء واجباته / مسؤولياته بالكامل بموجب هذا النظام؛ 6-3 يساهم في الملاءمة الجماعية للإدارة العليا؛ 7-3 ويفي بأي متطلبات إضافية محددة في الأنظمة المعمول بها.
المادة (12) إدارة المخاطر والامتثال والتدقيق الداخلي
- يجب على مزوّدي خدمة التمويل المفتوح وضع إطار عمل يحتوي على تدابير التخفيف المناسبة وآليات ضبط الإدارة المخاطر التشغيلية والمخاطر الأخرى التي يتعرضون لها أو يُحتمل تعرّضهم لها.
يجب أن يكون الإطار الذي يتم انشاؤه بموجب المادة 12(1) من هذا النظام متناسبًا مع طبيعة وحجم ومستوى تعقيد أعمال مزوّد خدمة التمويل المفتوح ويجب أن يتضمن ما يأتي على الأقل:
2-1 إجراءات إدارة الحوادث، بما في ذلك الكشف عن الحوادث التشغيلية والأمنية الرئيسية وتصنيفها؛ 2-2 خطط لاستمرارية الأعمال والتعافي من الكوارث، والتي تشمل (أ) برنامجًا مناسبًا لإدارة استمرارية الأعمال، حرصًا على استمراريتها، أو التعافي في الوقت المناسب، أو في الحالات القصوى، التخفيض المنظّم للعمليات بالغة الأهمية في حالة حدوث اضطرابات كبيرة. ويجب أن يشتمل البرنامج على تحليل التأثير على الأعمال واستراتيجيات التعافي، وخطة استمرارية الأعمال، والمواقع البديلة لتعافي الأعمال وتقنية المعلومات؛ و (ب) اعتماد ممارسات ملائمة لدورة حياة تطوير البرمجيات لضمان المرونة التشغيلية وتقليل أعطال التطبيقات التي قد تشكل مخاطر على المستخدمين؛ 2-3 والإجراءات الإدارية والمحاسبية السليمة. - يجب على مزوّدي خدمة التمويل المفتوح إنشاء وظيفة لإدارة المخاطر ووظيفة للتدقيق الداخلي ووظيفة للامتثال، والتأكّد من تزويد كلٍ منها بما يكفي من الموارد.
- يجب على مزوّدي خدمة التمويل المفتوح وضع خطة لإنهاء الأعمال تكون مقبولة لدى المصرف المركزي، والحفاظ عليها بشكل مستمر.
- يجب أن تكون وظيفة إدارة المخاطر مستقلة ودائمة، وأن ترفع تقاريرها مباشرةً إلى مجلس الإدارة، وأن تقوم بشكل فعال بمراقبة المخاطر التشغيلية والسوقية والائتمانية والقانونية وغيرها من المخاطر التي يتعرض لها مزود خدمة التمويل المفتوح، ورفع التقارير بشأنها، وتخفيفها.
- يجب أن تكون وظيفة الامتثال مستقلة ودائمة، وأن ترفع تقاريرها مباشرةً إلى مجلس الإدارة، ويجب أن تراقب وتقدم تقريرها حول مراعاة جميع القوانين والأنظمة والمعايير المعمول بها، وكذلك عن التزام الموظفين والإدارة العليا بالمتطلبات القانونية وقواعد السلوك الملائمة ومتطلبات هذا النظام والأنظمة الأخرى، حيثما ينطبق ذلك.
- يجب أن تكون وظيفة التدقيق الداخلي مستقلة ودائمة، وترفع تقاريرها مباشرةً إلى مجلس الإدارة، وأن تطبق أفضل ممارسات التدقيق الداخلي، وأن تكون فعّالة. كما يجب أن توفر تأكيدًا مستقلًا للإدارة العليا على جودة الضوابط الداخلية وإدارة المخاطر والامتثال والنظم والضوابط لدى مزود خدمة التمويل المفتوح.
- يجب على مزوّدي خدمة التمويل المفتوح عدم تعهيد أي نشاط جوهري، بما في ذلك إلى أي طرف ذي علاقة دون الحصول على إشعار مسبق بعدم ممانعة المصرف المركزي. ويحتفظ مزودو خدمة التمويل المفتوح بالمسؤولية الكاملة عن الخدمات التي يقدمها أي مزود خدمة تعهيد. ورغم أن جميع طلبات عدم الممانعة سيتم النظر فيها على أساس مزاياها الفردية، لن يسمح المصرف المركزي بوجه عام بتعهيد الأنشطة الأساسية، ووظائف الإدارة والضبط الرئيسية.
- يمكن وضع متطلبات رقابية لوظائف محددة، بما في ذلك إدارة المخاطر والتدقيق الداخلي والامتثال، في أنظمة منفصلة.
المادة (13) حفظ السجلات
يجب على مزوّدي خدمة التمويل المفتوح الاحتفاظ بسجلات تتعلق بتقديم خدمة التمويل المفتوح الخاصة بهم، والتي يجب أن تتضمن على الأقل سجلات للأمور الاتية:
1-1 موافقة المستخدم على الوصول إلى بيانات المستخدم و/ أو بدء المعاملات كما هو مطلوب بموجب المادة 22 من هذا النظام؛ 2-1 الأدلة الخاصة بجميع بيانات المستخدم المقدمة إلى مزوّد خدمة التمويل المفتوح من قبل المنشآت المرخصة المحتفظة بالبيانات نيابةً عن المستخدمين؛ 3-1 جميع المعاملات التي بدأها مزوّد خدمة التمويل المفتوح بناءً على تعليمات المستخدمين؛ 4-1 والأدلة الخاصة بجميع بيانات المستخدم المتعلّقة بمعاملة والتي تم إتلافها أو التخلص منها بأي شكل من الأشكال. - يجب إبقاء جميع السجلات المحفوظة بموجب المادة 13 من هذا النظام بشكل آمن وعبر وسيلة دائمة، مع إمكانية إتاحتها للمصرف المركزي على الفور عند طلبها.
- يجب على مزوّدي خدمة التمويل المفتوح الاحتفاظ بالسجلات المشار إليها في المادة 13 من هذا النظام لمدة لا تقل عن خمس (5) سنوات اعتبارًا من تاريخ إنشاء هذه السجلات، ما لم تتطلب القوانين المعمول بها أو المصرف المركزي خلاف ذلك.
المادة (14) متطلبات الإخطار والإبلاغ
- يجب أن يكون مزوّد خدمة التمويل المفتوح منفتحًا ومتعاونًا مع المصرف المركزي، وأن يُخطر المصرف المركزي بجميع المسائل التي قد يطلب المصرف المركزي إشعارًا بها بشكل معقول، بما في ذلك لدعم أداء وظائف المصرف المركزي الرقابية.
- يجب على مزوّد خدمة التمويل المفتوح الامتثال لجميع متطلبات إعداد التقارير الرقابية، بما في ذلك المتطلبات المستمرة التي يحدّدها المصرف المركزي من حينٍ لآخر.
- في حالة حدوث أي تغيير جوهري يؤثر على دقة واكتمال المعلومات المقدمة في الطلب، يجب على مقدّم الطلب أو مزوّد خدمة التمويل المفتوح، كما يقتضي الحال، إخطار المصرف المركزي فورًا بهذا التغيير وتقديم جميع المعلومات والمستندات اللازمة.
- يجب على مزوّد خدمة التمويل المفتوح إخطار المصرف المركزي على الفور بأي مخالفة أو مخالفة محتملة لمتطلب جوهري تحت هذا النظام أو أي متطلب قانوني أو رقابي آخر معمول به.
يجب على مزود خدمة التمويل المفتوح إخطار المصرف المركزي فورًا عندما يصبح على علم بوقوع، أو باحتمالية وقوع أي من الأحداث الآتية:
1-5 رفض المحتفظ بالبيانات أو مالك الخدمة، بشكل غير مبرر، إتاحة الوصول إلى حساب أو منتج و/ أو المعلومات المتعلّقة بهم؛ 2-5 أي حدث يمنع الوصول إلى الحالة التشغيلية أو الأمنية لمزوّد خدمة التمويل المفتوح، أو يُحدث اضطرابا بها؛ 3-5 أي إجراء قانوني يُتخذ ضد مزوّد خدمة التمويل المفتوح أو أي عضو في إدارته العليا أو عضو في مجلس إدارته سواء داخل الدولة أو خارجها؛ 4-5 بدء إجراءات إعسار مالي أو إنهاء أو تصفية أعمال أو ما يعادل ذلك ضد مزوّد خدمة التمويل المفتوح أو أي عضو في إدارته العليا أو عضو في مجلس إدارته، أو تعيين أي حارس قضائي أو مدير أو مسؤول تصفية مؤقت؛ 5-5 أي إجراء تأديبي أو جزاء يُتخذ ضد مزوّد خدمة التمويل المفتوح أو أي عضو من أعضاء إدارته العليا أو عضو مجلس الإدارة أو أي إجراء أو جزاء يوقع على أي منهم من قبل جهة أخرى غير المصرف المركزي سواء داخل الدولة أو خارجها؛ 6-5 أي تغيير جوهري في المتطلبات الرقابية التي يخضع لها مزود خدمة التمويل المفتوح بخلاف متطلبات المصرف المركزي سواء داخل الدولة أو خارجها؛ 7-5 أو أي حدث آخر يحدّده المصرف المركزي.
المتطلبات المتعلقة بمشاركة البيانات وبدء المعاملات
المادة (15) التزامات المنشآت المرخّصة
يجب على المنشآت المرخّصة المحتفظة بالبيانات ومالكي الخدمات:
1-1 إنشاء، والحفاظ على واجهة مخصّصة لتوفير وصول آمن عبر الإنترنت إلى الحسابات والمنتجات من قبل مزودي خدمة التمويل المفتوح من خلال واجهة برمجة التطبيقات ومكونات إطار التمويل المفتوح الأخرى ذات الصلة؛ 1-2 في غضون أربعة عشر (14) يومًا من استلام موافقة من المصرف المركزي بأداء خدمات التمويل المفتوح، التسجيل والحفاظ على التسجيل كمشارك في إطار الثقة 3-1 والتعاون بشكل منفتح وفي الوقت المناسب، على النحو المحدد في هذا النظام وأية أنظمة مصاحبة مع مزود الخدمة التمويل المفتوح 1-3 والتعاون بشكل منفتح وفي الوقت المناسب، على النحو المحدّد في هذا النظام وأية أنظمة مصاحبة، مع مزوّد لخدمة التمويل المفتوح فيما يتعلق بمشاركة بيانات المستخدم الخاصة بمستخدمي المنشأة المرخصة و / أو بدء المعاملات، بشرط الحصول على موافقة المستخدم. يجب على المنشأة المرخصة عدم مشاركة أي بيانات مستخدم في حوزتها إذا لم يكن هذا المستخدم عميلا للمنشأة المرخصة، أو عندما تتلقى المنشأة المرخصة بيانات المستخدم من مالك الخدمة. - لا يجوز لأي شخص المشاركة في نشاط استخلاص البيانات أو أي نشاط آخر مشابه لاستخراج البيانات، سواء كان ذلك مقترنًا بالإدخال الآلي للبيانات أو لم يكن بهدف ممارسة أي أنشطة تخضع لهذا النظام، باستثناء ما تُجيزه القوانين المعمول بها. كما لا يجوز لأي شخص أن يقوم باعتراض الاتصالات الرقمية، بما في ذلك، ولكن ليس على سبيل الحصر، واجهة برمجة التطبيقات، بين الواجهات الخاصة بالجمهور والنظم الأخرى للتطبيقات الإلكترونية عبر الإنترنت أو تطبيقات الهاتف المتحرك والخاصة بالمنشأة المرخصة، من خلال إجراء هندسة عكسية أو أي نشاط مشابه آخر، باستثناء ما تُجيزه القوانين السارية في الدولة.
المادة (16) الالتزامات المتعلقة بمشاركة البيانات
- تنطبق التزامات خدمات مشاركة البيانات بموجب هذه المادة 16 من هذا النظام فيما يتعلق فقط ببيانات المستخدم.
مع مراعاة الحصول على موافقة المستخدم وفقًا للمادة 22 من هذا النظام، إذا استعمل المستخدم خدمات مشاركة البيانات المقدمة من قبل مزود خدمة البيانات، لدمج المعلومات المتعلقة ببيانات المستخدم الخاصة بذلك المستخدم، فإنه يجب على المحتفظ بالبيانات:
1-2 توفير المعلومات المتعلّقة ببيانات المستخدم وفقاً للطلب الوارد؛ 2-2 التعامل مع طلب الحصول على المعلومات المتعلقة ببيانات المستخدم بنفس الطريقة التي يتم التعامل بها مع طلب يتم استلامه حصرًا وبصورة مباشرة من المستخدم فقط؛ 3-2 والتواصل بشكل آمن مع مزوّد خدمات مشاركة البيانات بموجب هذا النظام والأنظمة المطبقة الأخرى ومتطلبات إطار التمويل المفتوح. يجب على مزوّد خدمات مشاركة البيانات:
1-3 توفير مشاركة البيانات فقط طبقًا الموافقة المستخدم الصريحة وتعليماته؛ 2-3 عدم معالجة أي بيانات مستخدم تكون بيانات حساسة لتوفير خدمات مشاركة البيانات، حتى مع موافقة صريحة من المستخدم؛ 3-3 التأكّد من أن بيانات اعتماد الأمان المخصصة للمستخدم، مثل أرقام التعريف الشخصي و / أو كلمات المرور:
1-3-3 غير متاحة لأطراف أخرى، باستثناء جهة إصدار بيانات الاعتماد؛ 2-3-3 ويتم نقلها عبر قنوات آمنة وفعالة. - يجب على مزوّد خدمات مشاركة البيانات تعريف نفسه والتواصل بشكل آمن مع المحتفظ بالبيانات والمستخدم.
- يجب على مزوّد خدمات مشاركة البيانات عدم استخدام أي معلومات أو الوصول إليها أو تخزينها لأي غرض بخلاف توفير خدمات مشاركة البيانات التي يطلبها المستخدم صراحة، باستثناء الحالات اللازمة للامتثال لأي قانون معمول به في الدولة.
المادة (17) الالتزامات المتعلقة بخدمات بدء الخدمة
- تنطبق الالتزامات المنصوص عليها في هذه المادة 17 والمتعلقة بخدمات بدء الخدمة فيما يتعلق فقط بالحسابات والمنتجات ذات الصلة.
عندما يمنح المستخدم موافقته الصريحة على بدء معاملة من خلال مزود خدمات بدء الخدمة، يجب على مالك الخدمة:
1-2 التواصل بشكل آمن مع مزود خدمات بدء الخدمة وفقًا للأنظمة ومتطلبات إطار التمويل المفتوح؛ 2-2 مباشرةً بعد استلام التعليمات لبدء معاملة للمستخدم، توفير أو إتاحة جميع المعلومات اللازمة لبدء المعاملة لمزود خدمات بدء الخدمة، ثم بعد ذلك عرض حالة المعاملة على المستخدم حتى اكتمالها؛ 3-2 والتعامل مع التعليمات لبدء المعاملة بنفس الطريقة التي يتم التعامل بها مع التعليمات التي يتم حصرًا تلقيها بصورة مباشرة من المستخدم. يجب على مزوّد خدمات بدء الخدمـة:
1-3 توفير خدمات بدء الخدمة فقط طبقًا لموافقة المستخدم الصريحة وتعليماته؛ 2-3 التأكّد من أن بيانات اعتماد الأمان المخصصة للمستخدم، مثل أرقام التعريف الشخصي و / أو كلمات المرور:
1-2-3 لا يمكن الوصول إليها من قبل الأطراف أخرى، باستثناء جهة إصدار بيانات الاعتماد؛ 2-2-3 ويتم نقلها عبر قنوات آمنة وفعالة. - يجب على مزوّد خدمات بدء الخدمة تعريف نفسه لمالك الخدمة والتواصل بشكل آمن مع مالك الخدمة في كل مرة يتم فيها بدء معاملة.
- يجب على مزوّد خدمات بدء الخدمة، عند توفير خدماته، عدم استخدام أي معلومات أو الوصول إليها أو تخزينها لأي غرض آخر بخلاف توفير الخدمات التي يطلبها المستخدم صراحة، باستثناء الحالات الضرورية للامتثال لأي قانون معمول به في الدولة.
المصادقة والاتصال الآمن
المادة (18) المصادقة
يجب على المنشآت المرخّصة التي تعد محتفظة بالبيانات ومالكة خدمات، يجب عليها تطبيق إجراءات المصادقة وفقا للمادة 18(2) من هذا النظام عندما يقوم المستخدم:
1-1 بالوصول إلى معلومات حساب أو منتج من خلال مزوّد خدمات مشاركة البيانات الذي يزاول أنشطة مشاركة البيانات؛ 2-1 أو ببدء معاملة من خلال مزوّد خدمات بدء الخدمة الذي يزاول أنشطة بدء الخدمة. - يجب على المنشآت المرخصة التي تعدّ محتفظة بالبيانات و / أو مالكة خدمات أن تحدّد وتنفّذ عملية مصادقة موثوقة وفعالة للتثبت من هوية المستخدم والتحقق من صلاحيته. ويجب أن تستوجب هذه العملية على الأقل إجراء مصادقة ثنائية بما في ذلك عناصر المعرفة أو الحيازة أو تلك المتأصلة بالمستخدم. ويجب تطبيق إجراءات إضافية في الظروف عالية المخاطر. كما يجب على المنشأت المرخصة التي تعد محتفظة بالبيانات و / أو مالكة خدمات الامتثال لأي متطلبات إضافية يحدّدها المصرف المركزي من حينٍ لآخر.
- يمكن لمزوّدي خدمات مشاركة البيانات و / أو خدمات بدء الخدمة الاعتماد على إجراءات المصادقة التي يقوم بها المحتفظ بالبيانات أو مالك الخدمة، حسبما هو مناسب.
المادة (19) الاتصال الآمن
- يجب على جميع المشاركين في التمويل المفتوح استخدام معايير اتصال مفتوحة ومشتركة وآمنة لغرض تحديد الهوية والمصادقة والإخطار والمعلومات، وكذلك لتنفيذ التدابير الأمنية، بين المنشآت المرخصة التي تعد محتفظة بالبيانات و / أو مالكة الخدمات بالإضافة إلى مزودي خدمات مشاركة البيانات ومزودي خدمات بدء الخدمة والمستخدمين وجهات الدفع والمدفوع لهم والأطراف الأخرى ذات الصلة.
- يجب إجراء جميع الاتصالات وفقًا للأنظمة المنصوص عليها من حين لآخر من قبل المصرف المركزي، استنادًا إلى إطار التمويل المفتوح.
يجب أن يكون للمنشآت المرخّصة التي تُوفر حسابات أو منتجات يمكن الوصول إليها إلكترونيًا عبر الإنترنت واجهة واحدة على الأقل تفي بكل من المتطلبات التالية:
1-3 يمكن لمزوّدي خدمات مشاركة البيانات ومزودي خدمات بدء الخدمة تعريف أنفسهم للمنشآت المرخّصة؛ 2-3 يمكن لمزوّدي خدمات مشاركة البيانات التواصل بشكل آمن لطلب وتلقي معلومات حول منتج و/ أو حساب واحد أو أكثر؛ 3-3 ويمكن لمزوّدي خدمات بدء الخدمة التواصل بشكل آمن لتوفير خدمات بدء الخدمة وتلقي معلومات حول خدمات بدء الخدمة والمعاملات المتعلقة بها. - يجب على المنشآت المرخّصة إنشاء الواجهة المشار إليها في المادة 19(3) من هذا النظام عن طريق واجهة مخصصة، أو عن طريق السماح لمزودي خدمة التمويل المفتوح باستخدام الواجهة المستخدمة للمصادقة والاتصال مع المستخدم التابع للمنشأة المرخصة.
- بالنسبة للرسائل المالية، يجب على المنشآت المرخصة أيضًا التأكّد من أنّ أي واجهة مخصصة مشار إليها في المادة 19(3) من هذا النظام تستخدم عناصر 20022 ISO أو مكوناته أو تعريفات الرسائل المعتمدة، حسبما يتم تعديلها أو تحديثها من وقت لآخر.
- لا يجوز الوصول إلى المعلومات لدى المُحتفظ بالبيانات أو مالك الخدمة إلا لأغراض توفير خدمة التمويل المفتوح وأي أنشطة ذات صلة بذلك وتمتثل لمتطلبات هذا النظام.
المادة (20) الالتزامات تجاه المستخدمين
- يجب أن يلتزم مزودو خدمة التمويل المفتوح بالحكمة والأخلاقية وبالكفاءة خلال عملهم بطريقة لا تؤثر سلبًا على مصالح المستخدم أو المستخدم المحتمل.
- يجب على مزودي خدمة التمويل المفتوح تزويد المستخدم بشروط وأحكام كتابية تحكم علاقتهم التعاقدية مع المستخدم قبل الدخول في علاقة مع المستخدم لتزويده بخدمات التمويل المفتوح.
- يجب أن تكون الشروط والأحكام المشار إليها في المادة 20(2) من هذا النظام مكتوبة بلغة واضحة وخالية من التعقيد ومفهومة بطريقة غير مضللة، ويجب أن تكون متاحة باللغتين العربية والإنجليزية على الأقل. وطبقا للحد الذي يحق فيه لمزود خدمة التمويل المفتوح تعاقديا إجراء تغييرات على شروطه وأحكامه، يجب على مزود خدمة التمويل المفتوح تقديم إشعار مدته ستون (60) يوما تقويميًا على الأقل للمستخدم بهذه التغييرات.
- يحق للمستخدم إنهاء علاقته مع مزود خدمة التمويل المفتوح دون أي رسوم مباشرة أو غير مباشرة إذا لم يقبل المستخدم التغيير / التغييرات على شروط وأحكام مزود خدمة التمويل المفتوح والتي يتم إخطار المستخدم بها بموجب المادة 20(3) من هذا النظام.
يجب أن تبين شروط وأحكام مزود خدمة التمويل المفتوح مع المستخدمين على الأقل ما يلي:
1-5 جدول الرسوم والتكاليف؛ 2-5 تفاصيل الاتصال بمزود خدمة التمويل المفتوح، بما يشمل الاسم القانوني والعنوان المسجل وعنوان الوكيل، حيثما ينطبق ذلك؛ 3-5 قناة / قنوات التواصل بين مزود خدمة التمويل المفتوح والمستخدم؛ 4-5 الطريقة والجدول الزمني لقيام المستخدم بإخطار مزود خدمة التمويل المفتوح في حالة بدء الخدمة بشكل غير مصرح به أو متأخر أو غير صحيح؛ 5-5 معلومات عن مسؤوليات كل من مزود خدمة التمويل المفتوح والمستخدم بشأن المعاملات غير المصرح بها؛ 6-5 معلومات حول إجراءات الشكاوى الخاصة بمزود خدمة التمويل المفتوح؛ 7-5 معلومات عن الطريقة التي يتم بها حل المنازعات بين مزود خدمة التمويل المفتوح والمستخدم؛ 8-5 وإجراءات مزود خدمة التمويل المفتوح للإبلاغ عن المعاملات غير المصرح بها.
المسؤولية
المادة (21) المسؤولية عن المعاملات غير المصرح بها، والمعاملات التي تشتمل على أوجه قصور، وخرق البيانات
- يكون مزود خدمة التمويل المفتوح مسؤولا تجاه المستخدم عن الخسائر أو الأضرار التي يتكبدها المستخدم في حالة الوصول غير المصرح به إلى بيانات المستخدم التي يحتفظ بها مزود خدمة التمويل المفتوح أو فقدانها.
- فيما يتعلق بخدمات بدء الخدمة، يتحمل مزود خدمات بدء الخدمة المسؤولية تجاه المستخدم عن الخسائر أو الأضرار التي يتكبدها المستخدم فيما يتعلق بعدم تنفيذ المعاملة أو تنفيذها بشكل متأخر أو التي تشتمل على أوجه قصور الناشئة عن البدء المتأخر و/ أو المعالجة المتأخرة لبدء المعاملات، بما في ذلك عند وجود فشل من قبل مزود خدمات بدء الخدمة للتأكد من أنه تم التصريح بالمعاملة بشكل مناسب، والمصادقة عليها أو تسجيلها بدقة، أو فشله في استخدام طرق اتصال آمنة مناسبة.
- في حالة وجود نزاع بين مزود خدمات بدء الخدمة والمستخدم فيما يتعلق بمسؤولية مزود خدمات بدء الخدمة بموجب المادة 21(2) من هذا النظام، فإن على مزود خدمات بدء الخدمة إثبات أن المعاملة قد تمت معالجتها بشكل صحيح، مع تقديم الأدلة الداعمة لذلك.
- فيما يتعلق بخدمات بدء الخدمة، يكون مالك الخدمة مسؤولاً تجاه المستخدم عن الخسائر أو الأضرار التي يتكبدها المستخدم فيما يتعلق بعدم تنفيذ المعاملة أو تنفيذها بشكل متأخر أو التي تشتمل على أوجه قصور، ما لم تحدث هذه الخسائر أو الأضرار نتيجة لأي فعل أو إهمال من جهة مزود خدمات بدء الخدمة على النحو الوارد في المادة 21(2) من هذا النظام.
- إن أي اختراق أمني أو حدث آخر يؤدي إلى الوصول غير القانوني أو غير المصرح به أو العرضي أو تغيير أو تدمير أو إفشاء أو فقدان بيانات المستخدم التي تكون بيانات شخصية للمستخدم وذلك خلال تخزينها أو نقلها أو غير ذلك، والذي يسببه بشكل مباشر أو غير مباشر، كليا أو جزئيا، مزود خدمة التمويل المفتوح، فإنه قد يعرض مزود خدمة التمويل المفتوح لجزاءات وعقوبات إدارية ومالية حسبما يراه المصرف المركزي مناسبًا، وذلك دون الإخلال بأي جزاءات أو عقوبات أخرى تفرضها القوانين المعمول بها.
خصوصية البيانات وموافقة المستخدمين
المادة (22) خصوصية البيانات والموافقة على استخدام البيانات الشخصية
- يجب على مزوّد خدمة التمويل المفتوح عدم معالجة أي بيانات شخصية لتوفير خدماته ما لم يحصل على موافقة صريحة من المستخدم للقيام بذلك. وتخضع المادة 22 من هذا النظام لتقييدات معالجة البيانات الحساسة المنصوص عليها في المادة 4(1)(5) وفي المادة 16(3)(2) من هذا النظام.
يجب أن تكون موافقة المستخدم:
1-2 محدّدة للغرض الذي يتم منحها من أجله، ومستنيرة، وغير غامضة، وممنوحة بحرية؛ 2-2 ممنوحة باستخدام بيان أو إجراء واضح وموضوعي وإيجابي للدلالة على الموافقة على معالجة البيانات الشخصية الخاصة بذلك المستخدم؛ 3-2 إذا كانت المعالجة تهدف إلى تغطية أغراض متعددة، يتم الحصول عليها لكل غرض بطريقة يمكن تمييزها بوضوح؛ 4-2 في حالة تكرار المعاملة، تُحدّد فترة صلاحية الموافقة، ويكون الحد أقصى لذلك اثني عشر(12) شهراً؛ 5-2 وأن يكون المستخدم قادرًا على سحبها في أي وقت ولأي سبب، عند إشعار مزوّد خدمة التمويل المفتوح. - يجب على مزوّد خدمة التمويل المفتوح، في وقت الحصول على الموافقة، إبلاغ المستخدم بهذا الحقّ في سحب الموافقة وكيفية ممارسة هذا الحق. وينبغي ألا يتطلب سحب الموافقة جهدًا غير مبّرر من جانب المستخدم، وينبغي أن يتم على الأقل بنفس الدرجة من البساطة والسرعة والسهولة التي مُنحت بها الموافقة. ولا يؤثر سحب الموافقة على قانونية المعالجة التي تتم قبل تاريخ سحب الموافقة، ولا يَمنع مزوّد خدمة التمويل المفتوح من الاحتفاظ بالبيانات الشخصية المطلوبة للامتثال للمادة 13 من هذا النظام أو القوانين المعمول بها.
في حالة خدمات بدء الخدمة، يجب الحصول على موافقة المستخدم فيما يتعلق بكل معاملة سيتم البدء بها من قبل مزوّد خدمات بدء الخدمة أو، في حالة المعاملة المتكررة، يجب الحصول على موافقة المستخدم في الوقت الذي يُنشئ فيه المستخدم المعاملة المتكررة لأول مرة، ومعاييرها. ويجب أن تتضمن موافقة المستخدم في حالة خدمات بدء الخدمة تفاصيل حول ما يأتي، حسب الاقتضاء:
1-4 الحساب / الحسابات أو المنتج / المنتجات المعنية التي ترتبط بها المعاملة / المعاملات؛ 2-4 طبيعة المعاملة / المعاملات المعنية التي سيتم بدؤها (بما في ذلك ما إذا كانت معاملة متكررة)؛ 3-4 قيمة / قيم المعاملة / المعاملات المعنية؛ 4-4 المستفيد / المستفيدون من المعاملة / المعاملات المعنية؛ 5-4 وتاريخ / تواريخ قيمة المعاملة / المعاملات المعنية. - لن تُعتبر موافقة المستخدم صالحة في الظروف التي يحصل فيها مزوّد خدمة التمويل المفتوح على موافقة المستخدم على معالجة البيانات الشخصية التي تتضمن بيانات شخصية تكون غير ذات صلة، أو لا تقتصر على، ما هو ضروري للغرض المقصود الذي تم منحها من أجله.
- إذا كانت بيانات المستخدم تحتوي على بيانات شخصية لأشخاص طبيعيين بخلاف المستخدم، فيجب على مزوّدي خدمة التمويل المفتوح إخفاء هويّة هذه البيانات الشخصية لهؤلاء الأشخاص الطبيعيين الآخرين، أو التأكّد من الحصول على موافقة هؤلاء الأشخاص الطبيعيين الذين تتعلق بهم البيانات الشخصية قبل معالجة هذه البيانات الشخصية وفقًا لهذا النظام (ما لم تكن معالجة تلك البيانات الشخصية مسموح بها بموجب القوانين المعمول بها فيما يتعلق بحماية البيانات الشخصية).
- لا يوجد في هذا النظام ما ينتقص من التزامات المنشأة المرخّصة بموجب جميع القوانين والأنظمة الأخرى المعمول بها فيما يتعلق بحماية البيانات الشخصية، بما في ذلك الأنظمة الأخرى.
- يجب على مزوّدي خدمة التمويل المفتوح الامتثال لجميع القوانين والأنظمة الأخرى المعمول بها فيما يتعلق بحماية البيانات الشخصية.
دون الإخلال بالمادة 22(7) و22(8) من هذا النظام، يجب للبيانات الشخصية التي تعالجها المنشأة المرخصة أو مزوّد خدمة التمويل المفتوح فيما يتعلق بخدمات التمويل المفتو ح:
1-9 أن تتم معالجتها بشكل قانوني وعادل وبطريقة شفافة؛ 2-9 أن يتم جمعها لأغراض محدّدة وصريحة ومشروعة، وألا تتم معالجتها في أي وقت بطريقة لا تتوافق مع تلك الأغراض؛ 3-9 أن تكون كافية، وذات صلة، ومقتصرة على ما هو ضروري فيما يتعلق بالأغراض التي تتم من أجلها معالجتها؛ 4-9 أن تكون دقيقة، وعند الضرورة، يتم تحديثها، ويجب اتخاذ كل خطوة معقولة لضمان محو البيانات الشخصية غير الدقيقة، مع مراعاة الأغراض التي تتم من أجلها معالجتها، أو تصحيحها دون تأخير؛ 5-9 وأن تتم معالجتها بطريقة تضمن الأمن المناسب للبيانات الشخصية، بما في ذلك حمايتها من المعالجة غير المصرّح بها أو غير القانونية ومن الفقدان أو التدمير أو التلف بصورة عرَضية، وذلك باستخدام التدابير الفنية أو التنظيمية المناسبة. - يجب على مزوّدي خدمة التمويل المفتوح اتلاف بيانات المستخدم التي هي بيانات شخصية تسمح بتحديد هوية المستخدم بعد اكتمال الغرض من تقديمها إلى مزوّد خدمة التمويل المفتوح، مع مراعاة متطلبات الاحتفاظ بالسجلات في المادة 13 من هذا النظام وأي متطلبات إلزامية للاحتفاظ بالبيانات بموجب القوانين المعمول بها، بما في ذلك قوانين مواجهة غسل الأموال.
يجب على مزوّدي خدمة التمويل المفتوح تخزين جميع البيانات المتعلّقة بخدمات التمويل المفتوح داخل الدولة، ولا يُسمح لهم بالاحتفاظ بنسخ من البيانات التي يحصلون عليها من خلال خدمات التمويل المفتوح خارج الدولة ما لم يقم مزوّد خدمة التمويل المفتوح بالحصول على:
1-11 موافقة من المصرف المركزي وموافقات إضافية من أي سلطة مختصّة أخرى ذات صلة، حسبما يكون ذلك ضروريًا؛ 2-11 موافقة كتابية مسبقة من المستخدم . ولغرض الحصول على مثل هذه الموافقة من المستخدم، يجب إبلاغ المستخدم بالمعلومات التالية، وذلك قبل أو عندما يُطلب منه إعطاء الموافقة:
1-2-11 أين سيتم تخزين بيانات المستخدم؛ 2-2-11 لماذا سيتم تخزينها خارج الدولة؛ 3-2-11 يتم طلب هذه الموافقة فقط للغرض الذي تمت الموافقة عليه من قبل المصرف المركزي؛ 3-11 وإقرار كتابي من المستخدم بإمكانية الوصول إلى بياناته بموجب إجراءات قانوذية خارج الدولة في مثل هذه الظروف. - ورهنًا بموافقة المصرف المركزي ووفقًا للقوانين والأنظمة ذات الصلة، يمكن للفروع المرخصّة للبنوك الأجنبية تخزين البيانات المتعلّقة بخدمات التمويل المفتوح خارج الدولة، على أن يتم تخزين نسخة من نظام السجلات الرئيس داخل الدولة، وأن يتم تحديثه بشكل يومي على الأقل.
مواجهة غسل الأموال وتمويل الإرهاب والأمن
المادة (23) مواجهة غسل الأموال ومكافحة تمويل الإرهاب وتمويل التنظيمات غير المشروعة
- يجب أن يكون لدى مزوّدي خدمة التمويل المفتوح سياسات وإجراءات وضوابط داخلية شاملة وفعالة معمول بها لمواجهة غسل الأموال ومكافحة تمويل الإرهاب، وذلك لضمان الامتثال لقوانين و أنظمة مواجهة غسل الأموال حسبما يتم تعديلها من حين لآخر.
- يجب أن يكون لدى مزوّدي خدمة التمويل المفتوح سياسات ونظم متينة مطبقة لمواجهة عمليات الاحتيال، والتي ينبغي أن تتناول متطلبات تحديد الهوية وضوابط الوصول، وذلك للامتثال لمتطلبات هذا النظام.
المادة (24) مخاطر التقنية وأمن المعلومات
- يجب على مزوّدي خدمة التمويل المفتوح إنشاء إطار مناسب لحوكمة تقنية المعلومات. ويجب أن تشمل حوكمة تقنية المعلومات جوانب مختلفة، منها وجود هيكل واضح لوظائف تقنية المعلومات، ووضع سياسات ضبط وإدارة مخاطر لتقنية المعلومات، كما يجب أن تتضمّن على الأقل وظيفة فعّالة لتقنية المعلومات، ووظيفة متينة لإدارة مخاطر التقنية، ووظيفة مستقلة لتدقيق نظم التقنية.
- يكون مجلس الإدارة، أو اللجنة التي يعيّنها، مسؤولًا عن ضمان إنشاء إطار سليم ومتين لإدارة المخاطر والحفاظ عليه لإدارة مخاطر التقنية بطريقة تتناسب مع جميع المخاطر التي يتعرّض لها مزوّد خدمة التمويل المفتوح.
- يجب على مزوّدي خدمة التمويل المفتوح الالتزام بمعايير الأمن والمعايير الأخرى التي وضعها المشغّل لضمان عدم اختراق البرمجيات التي يستخدمها مزوّد خدمة التمويل المفتوح في أي مرحلة من مراحل عملية تطو يرها.
- يجب على مزوّدي خدمة التمويل المفتوح اعتماد وتنفيذ المعايير المتبعة في قطاع العمل وأفضل الممارسات المتعلقة بإدارة المخاطر الأمنية، وذلك وفقًا لتوجيهات المصرف المركزي من حين لآخر.
- يجب على مزوّدي خدمة التمويل المفتوح تحديد جميع مخاطر الأمن السيبراني وإدارتها ومعالجتها بطريقة مناسبة من خلال تنفيذ إطار لإدارة مخاطر التقنية. ويجب على مزود خدمة التمويل المفتوح تخصيص ما يكفي من الموظفين ذوي المهارة لضمان قدرته على تحديد المخاطر وحماية بنيته التحتية وخدماته الحيوية ضد أي هجوم، واحتواء الأثر الناجم عن حوادث الأمن السيبراني، واستعادة خدماته.
- يجب على مزوّدي خدمة التمويل المفتوح وضع خطّة للاستجابة لحوادث الأمن السيبراني وإدارتها لعزل وتحديد التهديدات السيبرانية سريعّا، واستئناف الخدمات المتأثرة فى أقرب وقت ممكن. ويجب أن توضح الخطّة، ضمن أمور أخرى، إجراءات الاستجابة للسيناريوهات المعقولة للتهديدات السيبرانية.
عمليات التفتيش الرقابى
المادة (25) الرقابة
- للمصرف المركزي أن يُجري عمليات تفتيش دورية على عمل مزوّدي خدمة التمويل المفتوح للتأكّد من السلامة المالية وامتثالهم بمتطلبات هذا النظام وجميع القوانين والأنظمة المعمول بها.
- يجب على مزوّدي خدمة التمويل المفتوح إتاحة الوصول الكامل وغيرالمقيّد إلى مقارهم وإدارتهم العليا وموظفيهم وحساباتهم وسجلاتهم ومستنداتهم من قبل المصرف المركزي، ويجب عليهم أيضّا تقديم المعلومات والتسهيلات التي قد يطلبها المصرف المركزي على الفور لإجراء عمليتي المراقبة والتفتيش المشار إليها في المادة 25(1) من هذا النظام.
دعم المعايير الفنية الرقابية
المادة (26) المعايير الفنية
للمصرف المركزى، من حينٍ لآخر، وبالتعاون مع الهيئات الحكومية المعنية والتشاور مع أصحاب المصلحة ذوي الصلة، أن يطوِّر ويصدر معايير فنية رقابية موجّهة إلى مزوّدي خدمة التمويل المفتوح بهدف وضع متطلبات إضافية و / أو توفير تفاصيل وضوابط وإرشادات إضافية للمجالات ذات الصلة بتقديم خدمات التمويل المفتوح ضمن نطاق أنشطة التمويل المفتوح، بما في ذلك، ولكن ليس على سبيل الحصر:
1-1 مواصفات الوصول الرقمي؛ 2-1 الأمن السيبراني؛ 3-1 التصميم العام لرحلة العميل؛ 4-1 إدارة الموافقات المركزية ودوراتها، بما في ذلك الموافقة من تطبيق إلى آخر؛ 5-1 الحق في فرض رسوم محدّدة أو منع فرضها على أي طرف ثالث من مزوّدي الخدمات؛ 6-1 وأي مجال آخر، حسب الاقتضاء.
الإنفاذ والجزاءات
المادة (27) الإنفاذ والجزاءات
- قد تؤدّي مخالفة أي حكم من أحكام هذا النظام أو ارتكاب أي من المخالفات المنصوص عليها في قانون المصرف المركزي أو القوانين الأخرى المعمول بها إلى تعرّض مزوّد خدمة التمويل المفتوح و / أو المنشأة المرخصّة لجزاءات وعقوبات إدارية ومالية حسبما يراه المصرف المركزي مناسبًا.
المادة (28) حماية المستهلك
- يخضع مزوّدو خدمة التمويل المفتوح لقوانين حماية المستهلك السارية والأنظمة المطبِّقة لها وأي أنظمة تم إصدارها.
المادة (29) التفسير
- تكون إدارة تطوير الأنظمة الرقابية بالمصرف المركزي هي المرجع في تفسير أحكام هذا النظام.
المادة (30) النشر والتطبيق
- يُنشر هذا النظام في الجريدة الرسمية باللغتين العربية والإنجليزية، و يدخل حيز التنفيذ على مراحل حسبما يتم الإخطار به من قِبَل المصرف المركزي.
خالد محمد بالعمى
محافظ مصرف الإمارات العربية المتحدة المركزي
الجدول (1) - تفاصيل إطار التمويل المفتوح
تنصّ مقدّمة هذا النظام على أنّ إطار التمويل المفتوح يتألّف من إطار الثقة، ومركز واجهة برمجة التطبيقات، وخدمات البنية التحتية المشتركة، بالإضافة إلى عناصر أخرى قد يحدّدها المصرف المركزي من حينٍ لآخر.
يجب أن يتضمّن إطار الثقة ومركز واجهة برمجة التطبيقات وخدمات البنية التحتية المشتركة على الأقل ما يلي:
إطار الثقة
يتضمن إطار الثقة ما يأتي:
دليل المشاركين:
1-1 لتيسير التحقّق من المشاركين في إطار التمويل المفتوح ومشاركة المعلومات بصورة آمنة. 2-1 لتوفير خدمات إدارة الهوية وحقوق الوصول للمشاركين المسجّلين في السوق، مما يوفّر وصولًا آمنًا لاستخدام خدمات التمويل المفتوح، وإدارة الاتصال والتسجيل، والتحقّق من صحّة الشهادات الرقمية، وخدمات تسجيل الطلبات والتحقّق من صحتها. - الشهادات الرقمية: بغرض تيسير التواصل الآمن بين المشاركين، وذلك فيما يتعلّق بتقديم خدمات التمويل المفتوح. ويتولّى مشغل إطار الثقة إعداد الشهادات الرقمية المستخدمة للوصول إلى خدمات التمويل المفتوح، وكذلك إلغائها والتحقق من صحّتها.
- بوابة واجهة برمجة التطبيقات: للاحتفاظ بجميع الوثائق المتعلّقة بالمعايير والمواصفات الفنية والمتطلبات وقواعد العمل لجميع المشاركين.
- البيئة التجريبية الرقابية: لغرض تيسير الاختبار المستمر وشهادات المطابقة الرسمية للمشاركين.
مركز واجهة التطبيقات البرمجية
يجب أن يتضمّن مركز واجهة برمجة التطبيقات مديرًا للواجهة. ويقوم مدير الواجهة بتوفير لوحة تجميع لواجهات برمجة التطبيقات، وذلك لتجميع الواجهات الخاصة بالمشاركين، وتوفير نقطة تنفيذ موحّدة. وتقوم لوحة التجميع بتوفير واجهة منسّقة وموحّدة لبرمجة التطبيقات بالنسبة للمشاركين في إطار التمويل المفتوح وذلك بما يشمل جميع واجهات برمجة التطبيقات الأساسية والمتكاملة معها، والتي يتضمنها هذا النظام.
يتم استخدام مستوى تكامل المشاركين لتلقي وإدارة المعلومات المتعلّقة بالحسابات وخدمات بدء المعاملات وجميع البيانات الأخرى التي تدخل في حيّز إطار التمويل المفتوح.
خدمات البنية التحتية المشتركة
تشمل خدمات البنية التحتية المشتركة ما يأتي:
- مدير الموافقة والتفويض: عبارة عن تطبيق مستقل للمستخدمين أو مجموعة من واجهات برمجة التطبيقات للمشاركين لدعم إنشاء و إدارة وإنفاذ و إلغاء التوجيهات المتعلقة بالخصوصية للمستهلكين والمنشآت ومناطق الاختصاص.
- ضمان الخدمة: منصّة لإدارة جميع الاستفسارات على مستوى الخدمة والمتعلّقة بالإدراج في النظام وطلبات التسجيل، بالإضافة إلى الاستفسارات الفنية المتعلّقة بجميع المكونات الرئيسة التي تشمل تمكين مسارات البيانات والمعاملات.
- الإبلاغ والتحليلات: عبارة عن منصّة تّستخدم لتحليل بيانات التشغيل ومؤشّرات الأداء الرئيسة لمختلف المشاركين والإبلاغ عنها، بما في ذلك أداء الخدمة وتوافرها وتبنّيها.
- أدوات الإدارة: عبارة عن منصّة تُستخدم لتيسير عمليات إدارة ومتابعة والفصل وحل القضايا والمنازعات بين مختلف المشاركين (سواء فيما بين المشاركين أو فيما له علاقة بالمستخدمين النهائيين).
- العوامل الداعمة لإضافة القيمة، حسبما ما هو مناسب.