المادة (36): استمرارية الأعمال

2/2024 Issued on 14/6/2024

1.

في هذه المادة (36)، يشير "مزود خدمة رموز الدفع" إلى المرخص له أو حامل التسجيل، باستثناء مُصدِري رموز الدفع الأجنبية المسجلين.

2.

يجب أن يكون لدى مزود خدمة رموز الدفع برنامج مناسب لإدارة استمرارية الأعمال لضمان الاستمرار أو التعافي في الوقت المناسب أو في الحالات القصوى التقليص المنظم للعمليات الحيوية في حالة حدوث اضطرابات كبيرة ناجمة عن سيناريوهات طوارئ مختلفة. يشتمل البرنامج المناسب لإدارة استمرارية الأعمال على تحليل تأثير الأعمال واستراتيجيات التعافي وخطة استمرارية الأعمال والمواقع البديلة لاستعادة الأعمال وتكنولوجيا المعلومات.

3.

يجب على مزود خدمة رموز الدفع وضع مجموعة من استراتيجيات التعافي لضمان استعادة جميع وظائف العمل الحرجة المحددة في تحليل تأثير الأعمال وفقاً لإطار زمني محدد. ويجب توثيق هذه الاستراتيجيات بوضوح، واختبارها بشكل شامل، ومراجعتها بانتظام لضمان تحقيق أهداف الاستعادة.

4.

يجب على مزود خدمة الرموز الدفع وضع تدابير فعالة لضمان أن جميع السجلات التجارية، ولا سيما سجلات العملاء، يمكن استعادتها في الوقت المناسب في حال فقدانها أو تلفها أو تدميرها. كما يجب على مزود خدمة الرموز الدفع السماح للعملاء بالوصول إلى سجلاتهم الخاصة في الوقت المناسب. ويجب على مزود خدمة الرموز الدفع إخطار العملاء بأي فقد في سجلاتهم من خلال فشل تشغيلي أو سرقة، وبذل جهد معقول لضمان عدم استخدام السجلات الشخصية المفقودة بطريقة غير صحيحة.

5.

يجب على مزود خدمة رموز الدفع وضع خطة لاستمرارية العمل بناء على تحليل تأثير الأعمال واستراتيجيات التعافي ذات الصلة. و يجب أن تشتمل خطة استمرارية الأعمال، كحد أدنى، على ما يلى:

(أ)	إجراءات تعافي مفصلة لضمان الإنجاز الكامل لاستراتيجيات استرداد الخدمة؛
(ب)	إجراءات التصعيد وبروتوكول إدارة الأزمات (على سبيل المثال، إنشاء مركز قيادة، وتقديم التقارير في الوقت المناسب إلى المصرف المركزي، وما إلى ذلك) في حالة انقطاع الخدمة الشديد أو الطويل؛
(ج)	استراتيجيات الاتصال الاستباقية (مثل إخطار العملاء، واستجابة وسائل الإعلام، وما إلى ذلك)؛
(د)	تفاصيل الاتصال المحدثة للموظفين الرئيسيين المشاركين في خطة استمرارية الأعمال؛ و
(ه)	تعيين الموظفين الأساسيين والبديلين المسؤولين عن استعادة الأنظمة الحيوية.

6.

يجب على مزود خدمة رموز الدفع إجراء اختبار لخطة استمرارية الأعمال مرة على الأقل سنوياً، مع ضمان مشاركة الإدارة العليا والموظفين الرئيسيين والبديلين المعنيين في الاختبار السنوي للتعرف على دورهم في تنفيذ مسؤوليات التعافي.

7.

يجب على مزود خدمة رموز الدفع مراجعة جميع المخاطر والافتراضات ذات الصلة بالتخطيط لاستمرارية الأعمال للتأكد من مدى جدوى وملاءمتها كجزء من التخطيط السنوي للاختبار. يجب إعداد وثائق الاختبار الرسمية، بما في ذلك خطة الاختبار والسيناريوهات والإجراءات والنتائج. كما يجب إعداد تقرير مراجعة لاحقة للتوقيع الرسمي من قبل الإدارة العليا.

خطة الخروج من الأعمال

8.

لتقليل الأثر المحتمل الذي قد يحدثه فشل أو اضطراب أو خروج مزود خدمة رموز الدفع على العملاء وأنظمة الدفع في الدولة، يجب على مزود خدمة رموز الدفع اعتماد خطط قابلة للتنفيذ لخروج منتظم لأعماله وعملياته في حال عدم توفر خيارات أخرى.

9.

يجب أن تتضمن خطة الخروج من الأعمال، بين أمور أخرى ما يلى:

(أ)	تحديد مجموعة من السيناريوهات البعيدة ولكن الممكنة التي قد تجعل من الضروري على مزود خدمة الرموز الدفع النظر في الخروج؛
(ب)	تطوير مؤشرات المخاطر لقياس جدوى السيناريوهات المحددة؛
(ج)	وضع خطوات عمل مفصلة وواقعية وقابلة للتنفيذ للاتخاذ عند تفعيل خطة الخروج؛
(د)	تقييم الوقت والتكلفة المطلوبة لتنفيذ خطة الخروج بطريقة منظمة؛ و
(ه)	وضع إجراءات واضحة لضمان توفر الوقت الكافي ورأس المال الرقابي والموارد المالية الأخرى لتنفيذ خطة الخروج.

10.

يجب على مزود خدمة رموز الدفع مراجعة الخطة بشكل سنوي لضمان ملاءمتها وقابليتها للتنفيذ.