تجاوز إلى المحتوى الرئيسي

المادة (18): منظومات البطاقات

C 15/2021 يسري تنفيذه من تاريخ 6/6/2021

ترخيص منظومة البطاقات

  1. يجب على منظومات البطاقات العاملة في الدولة الحصول على ترخيص من المصرف المركزي قبل بدء العمليات.
     
  2. يخضع مقدمو الطلبات للإجراءات المنصوص عليها في إرشادات الترخيص الصادرة عن المصرف المركزي.
     
  3. يجب على المصرف المركزي تحديد ما إذا كان سيتم منح أو رفض منح ترخيص منظومة البطاقات لمقدم الطلب بإشعار خطي خلال (90) يوم تقويمي من تاريخ استلامه كافة المستندات والمعلومات المحددة ضمن الطلب.
     
  4. يجوز للمصرف المركزي منح الترخيص المشار إليه في البند (1) مع أو بدون شروط أو قيود ملحقة به، أو رفض منح الترخيص بحسب تقديره.
     
  5. يخطر المصرف المركزي منظومة البطاقات بالقرار المتخذ بموجب البند (3). في حالة رفض منح الترخيص، على المصرف المركزي بيان أسباب هذا الرفض.
     
  6. يحتفظ المصرف المركزي حصريا بحق بإصدار أرقام تعريف مصدر البطاقات (البنك) وفقًا لمعيار آيزو/آي أي سي 7812، وفقاً لأي تعديل أو إضافة قد تطرأ عليه من وقت لآخر.

شروط الترخيص

  1. يمنح المصرف المركزي ترخيصًا لمنظومة البطاقات بموجب هذه المادة (18) عند استيفاء الشروط التالية:
     
    1. 7.1. تزويد المصرف المركزي بجميع المستندات والمعلومات اللازمة التي قد يطلبها، بالشكل وفي الإطار الزمني المحدد من قبله، بما يجيز له تقييم ملاءمة، كفاءة وسلامة منظومة البطاقات، بما في ذلك:
    2.  
      1. 7.1.1 نموذج واستراتيجية العمل؛
      2.  
      3. 7.1.2 هيكل الحوكمة المؤسسية؛
      4.  
      5. 7.1.3 تفاصيل الاتصال بالإدارة؛
      6.  
      7. 7.1.4 هيكل الملكية والمجموعة؛
      8.  
      9. 7.1.5 الموارد المالية والتشغيلية؛ و
      10.  
      11. 7.1.6 وصف للمخاطر الرئيسية، بما في ذلك إدارة الأعمال ومخاطر غسل الأموال وتمويل الإرهاب؛
      12.  
    3. 7.2. يجب أن تستوفي إدارة منظومة البطاقات المتطلبات المناسبة والملائمة المحددة من المصرف المركزي، بما في ذلك أن كل عضو من أعضاء الإدارة:
    4.  
      1. 7.2.1 يمتلك المعرفة والمهارات والخبرة اللازمة؛
      2.  
      3. 7.2.2 يتمتع بسجل يدل على النزاهة والسمعة الجيدة؛
      4.  
      5. 7.2.3 لديه الوقت الكافي للاضطلاع بالتزاماته بالكامل بموجب هذا النظام وأحكام المستوى الثاني؛
      6.  
      7. 7.2.4 ويتمتع بسجل من السلامة المالية.

متطلبات الإبلاغ ورفع التقارير

  1. يجب على منظومة البطاقات التي تم منحها الترخيص التقيد بما يلي:
     
    1. 8.1 رفع التقارير الى المصرف المركزي بشأن المعلومات الواردة في الملحق 3 على أساس ربع سنوي؛
    2.  
    3. 8.2 تقديم معلومات إضافية أو الخضوع لمتطلب إبلاغ ورفع تقارير أكثر تكرارًا، حسبما يراه المصرف المركزي ضروريًا؛ و
    4.  
    5. 8.3 الإبلاغ فورًا عن أي تغييرات تؤثر أو من المحتمل أن تؤثر على نموذج أعماله أو جدواه المالية، أو التي يمكن اعتبارها ذات طبيعة جوهرية مثل الزيادة أو النقصان الملحوظ في حجم المعامالات.

الالتزامات المستمرة

الحوكمة

  1. يكون مجلس إدارة منظومة البطاقات وإدارتها مسؤولين عن التأكد من أن منظومة البطاقات المرخصة تتوفر على إطار رقابة داخلي ملائم يضمن بيئة تشغيل مراقبة بشكل صحيح لتسيير الأعمال، مع مراعاة ملف المخاطر الخاص بالمنظومة.
     
  2. تكون الإدارة مسؤولة عن تطوير إطار رقابة داخلي يحدد، يشرف على ويراقب كافة المخاطر التي تواجهها منظومة البطاقات.
     
  3. يجب أن تعتمد منظومات البطاقات المرخصة هيكل تنظيمي يتضمن نهج "خطوط الدفاع الثلاثة" التي تشمل خطوط الأعمال، وظائف الدعم والرقابة ووظيفة التدقيق الداخلي المستقلة.

وظائف الامتثال

  1. يكون المجلس مسؤولاً عن ضمان توفر منظومة البطاقات على وظيفة امتثال مستقلة ودائمة وفعالة لرصد ورفع التقارير حول الالتزام بجميع القوانين واللوائح والمعايير المعمول بها وعن التزام الموظفين وأعضاء المجلس بالمتطلبات القانونية وقواعد السلوك والسياسات المناسبة بشأن تضارب المصالح.
     
  2. يجب أن تعتمد منظومة البطاقات سياسة امتثال معتمدة من المجلس يتم إبلاغها لجميع الموظفين مع تحديد غرض، مكانة وسلطة وظيفة الامتثال ضمن منظومة البطاقات.
     
  3. يجب على منظومات البطاقات وضع سياسات، إجراءات وضوابط مناسبة فيما يتعلق بقيام الإدارة والموظفين بالإبلاغ داخلياً عن المعاملات المشبوهة، بما في ذلك توفير السجلات والبيانات اللازمة، لموظف الامتثال المعين لمواجهة غسل الأموال ومكافحة تمويل الإرهاب لمزيد من التحليل وإعداد التقارير بهذا الشأن. يجب على منظومات البطاقات إبلاغ السلطة المختصة عن المعاملات المشبوهة أو في حالة وجود أسباب معقولة للاشتباه في أن العائدات مرتبطة بجريمة، أو بمحاولة أو نية لاستخدام الأموال أو العائدات لغرض ارتكاب، إخفاء أو الاستفادة من جريمة.

وظيفة التدقيق الداخلي

  1. يكون المجلس مسؤولاً عن ضمان توفر منظومة البطاقات على وظيفة تدقيق داخلي مستقلة، دائمة وفعالة تتناسب مع حجم وطبيعة العمليات ومدى تعقيد المؤسسة.
     
  2. يجب أن توفر وظيفة التدقيق الداخلي ضماناً مستقلاً للمجلس والإدارة بشأن جودة وفعالية الضوابط الداخلية، إدارة المخاطر، الامتثال، الحوكمة المؤسسية، الأنظمة والعمليات التي أنشأتها وحدات الأعمال، ووظائف الدعم والرقابة الخاصة بمنظومة البطاقات.
     
  3. يجب أن يكون لمنظومة البطاقات ميثاق تدقيق داخلي معتمد من قبل لجنة التدقيق التابعة للمجلس والذي يوضح الغرض من وظيفة التدقيق الداخلي، مكانتها وسلطتها في منظومة البطاقات.

إدارة المخاطر

  1. يجب أن يكون لمنظومات البطاقات وظيفة إدارة مخاطر ذات موارد كافية برئاسة مسؤول المخاطر الرئيسي أو ما يعادله. يجب أن تكون الوظيفة مستقلة عن الإدارة وعن آلية اتخاذ القرار في الوظائف التي تحتوي على مخاطر لدى منظومة البطاقات. يجب أن تشتمل وظيفة إدارة المخاطر على سياسات، إجراءات، أنظمة وضوابط لمراقبة المخاطر والإبلاغ عنها، ولضمان تناسب حالات التعرض للمخاطر مع استراتيجية المؤسسة وخطة عملها.

استراتيجية المخاطر

  1. يجب أن يكون لمنظومات البطاقات استراتيجية أعمال محددة بوضوح، وقدرة على قبول المخاطر، وثقافة مؤسسية محددة معتمدة من قبل المجلس ويتم مراجعتها سنوياً على الأقل. يجب أن تضمن الإدارة الامتثال الكامل لهذه الاستراتيجية المفصلة في جميع مجالات الأعمال وسيكون المجلس مسؤولاً في النهاية عن هذا الامتثال.

أمن المعلومات

  1. يجب أن تطبق منظومة البطاقات وتمتثل كحد أدنى لمعايير أمن البيانات في صناعة بطاقات الدفع ومعايير ضمان أمن المعلومات في الدولة، وتعديلاتها من وقت لآخر.
     
  2. يجب تقديم تقرير الامتثال بشأن التزام منظومة البطاقات بالمعايير المشار إليها في البند (20) إلى المجلس سنوياً على الأقل وإرساله إلى المصرف المركزي.
     
  3. في حال حدوث خرق للبيانات، يجب على منظومة البطاقات إخطار المصرف المركزي دون تأخير غير مبرر وفي موعد لا يتجاوز (72) ساعة بعد علمها بخرق البيانات.

التعافي من الكوارث وإدارة استمرارية الأعمال

  1. يجب أن تعتمد منظومات البطاقات على خطط للتعافي من الكوارث واستمرارية الأعمال لضمان قدرتها على العمل بشكل مستمر والحد من الخسائر في حالة حدوث اضطراب شديد في الأعمال. يجب أن تكون هذه الخطط متناسبة مع ملف تعريف المخاطر وطبيعة وحجم وتعقيد أعمال وهيكل منظومة البطاقات وأن تأخذ في الاعتبار السيناريوهات المختلفة التي قد تكون منظومة البطاقات عرضة لها.
     
  2. يجب أن تضمن خطط التعافي من الكوارث واستمرارية الأعمال إمكانية الحفاظ على وظائف الأعمال الحيوية لمنظومة البطاقات وتعافيها في الوقت المناسب لتقليل المخاطر المالية، القانونية والتنظيمية وتلك المتعلقة بالسمعة والمخاطر الأخرى التي قد تنشأ عن أي خلل.
     
  3. يجب على المجلس التأكد من القيام بمراجعة دورية مستقلة لخطط التعافي من الكوارث واستمرارية الأعمال في منظومة البطاقات لضمان الملاءمة والتوافق مع العمليات، المخاطر والتهديدات الحالية، مستويات التعافي والأولويات.

تقييم المخاطر

  1. يجب أن تقوم منظومات البطاقات بتقييم المخاطر بانتظام من خلال تحديد المخاطر الجديدة، قياس المخاطر المعروفة وتحديد أولويات المخاطر من خلال الفهم المتكامل للأعمال والسوق.

تخفيف المخاطر

  1. يجب على منظومات البطاقات التخفيف من المخاطر من خلال تنفيذ التالي:
     
    1. 27.1 برامج وتقنيات تخفيف المخاطر؛
    2.  
    3. 27.2 الإدارة الفعالة لمبادئ المخاطر؛ والتشغيل مع مراعاة إدارة المخاطر؛ و
    4.  
    5. 27.3 تعهيد لوظائف المخاطر التي لا يمكن أداؤها داخلياً.

المراقبة

  1. يجب أن تقوم منظومات البطاقات بمراقبة دورية لجميع المخاطر وبرامج تخفيف المخاطر على أساس سنوي على الأقل لضمان قوة إجراءات وبرامج إدارة المخاطر. يجب عرض تقارير المراقبة المستمرة، بما في ذلك لوحات المعلومات، على الإدارة والمجلس للتأكد من أن جميع مستويات الإدارة على دراية بالوضع الحالي للمخاطر، بما في ذلك الاحتيال المحتمل، في منظومة البطاقات.

الضمان

  1. يجب أن تعطي منظومات البطاقات ضمانات لجميع الجهات المعنية من خلال التدقيق الخارجي والداخلي.

تصفية الأعمال

  1. يجب على منظومة البطاقات في حال اعتزامها وقف العمل في الدولة، الحصول على موافقة المصرف المركزي في هذا الشأن.
     
  2. يجب على منظومة البطاقات إخطار المصرف المركزي مسبقًا قبل (3) أشهر من تاريخ الإنهاء المزمع لأعمالها، وتقديم خطة تصفية منظمة.

التفتيش الرقابي

  1. يجوز للمصرف المركزي إجراء تفتيش دوري لأعمال منظومات البطاقات للتأكد من سلامتها المالية وامتثالها لمتطلبات هذا النظام وأحكام المستوى الثاني.
     
  2. يجب أن توفر منظومات البطاقات للمصرف المركزي الوصول الكامل وغير المقيد إلى حساباتها، سجلاتها ووثائقها، كما يجب أن توفر المعلومات والتسهيلات التي قد تكون مطلوبة لإجراء التفتيش المشار إليه في البند (32).

الرسوم والمضاريف

  1. للمصرف المركزي الحق في تلقي معلومات عن أية رسوم ومصاريف خاصة بمنظومات البطاقات وتنظيم هذه الرسوم والمصاريف حسبما يراه مناسباً .
     
  2. يجوز للمصرف المركزي الإفصاح للجمهور عن رسوم ومصاريف منظومات البطاقات المشار إليها في البند (34).