يجب على مزوّدي خدمة التمويل المفتوح إنشاء إطار مناسب لحوكمة تقنية المعلومات. ويجب أن تشمل حوكمة تقنية المعلومات جوانب مختلفة، منها وجود هيكل واضح لوظائف تقنية المعلومات، ووضع سياسات ضبط وإدارة مخاطر لتقنية المعلومات، كما يجب أن تتضمّن على الأقل وظيفة فعّالة لتقنية المعلومات، ووظيفة متينة لإدارة مخاطر التقنية، ووظيفة مستقلة لتدقيق نظم التقنية.
يكون مجلس الإدارة، أو اللجنة التي يعيّنها، مسؤولًا عن ضمان إنشاء إطار سليم ومتين لإدارة المخاطر والحفاظ عليه لإدارة مخاطر التقنية بطريقة تتناسب مع جميع المخاطر التي يتعرّض لها مزوّد خدمة التمويل المفتوح.
يجب على مزوّدي خدمة التمويل المفتوح الالتزام بمعايير الأمن والمعايير الأخرى التي وضعها المشغّل لضمان عدم اختراق البرمجيات التي يستخدمها مزوّد خدمة التمويل المفتوح في أي مرحلة من مراحل عملية تطو يرها.
يجب على مزوّدي خدمة التمويل المفتوح اعتماد وتنفيذ المعايير المتبعة في قطاع العمل وأفضل الممارسات المتعلقة بإدارة المخاطر الأمنية، وذلك وفقًا لتوجيهات المصرف المركزي من حين لآخر.
يجب على مزوّدي خدمة التمويل المفتوح تحديد جميع مخاطر الأمن السيبراني وإدارتها ومعالجتها بطريقة مناسبة من خلال تنفيذ إطار لإدارة مخاطر التقنية. ويجب على مزود خدمة التمويل المفتوح تخصيص ما يكفي من الموظفين ذوي المهارة لضمان قدرته على تحديد المخاطر وحماية بنيته التحتية وخدماته الحيوية ضد أي هجوم، واحتواء الأثر الناجم عن حوادث الأمن السيبراني، واستعادة خدماته.
يجب على مزوّدي خدمة التمويل المفتوح وضع خطّة للاستجابة لحوادث الأمن السيبراني وإدارتها لعزل وتحديد التهديدات السيبرانية سريعّا، واستئناف الخدمات المتأثرة فى أقرب وقت ممكن. ويجب أن توضح الخطّة، ضمن أمور أخرى، إجراءات الاستجابة للسيناريوهات المعقولة للتهديدات السيبرانية.
كتاب روابط اجتياز لـ المادة (24) مخاطر التقنية وأمن المعلومات