كتاب روابط اجتياز لـ Article (8): Ongoing Requirements of Designated Retail Payment Systems
المادة (8): المتطلبات المستمرة لنظم الدفع للتجزئة المحددة
C 10/2020 يسري تنفيذه من تاريخ 10/2/2021المتطلبات الأساسية
1. يجب على مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد ضمان الامتثال لما يلي:
1.1 يجب على نظام الدفع للتجزئة الامتثال للتعليمات الصادرة عن المصرف المركزي والمعايير الدولية ذات الصلة (ومنها مبادئ البنية التحتية للسوق المالي)، وضمان عمل نظام الدفع للتجزئة المحدد بطريقة سليمة ومتواصلة؛ و
2.2 يجب على نظام الدفع للتجزئة تقديم المعلومات المطلوبة من المصرف المركزي أو حيث يرتأي مشغل النظام و/أو منشأة التسوية ذلك مناسباً لتمكين المصرف المركزي من تحقيق أهدافه.
2. للمصرف المركزي إعفاء مشغل نظام و/أو منشأة تسوية أو شخص مشارك في نظام دفع للتجزئة محدد، بصورة عامة أو بصورة خاصة، من أحكام هذا النظام.
3. للمصرف المركزي تعيين خبراء ومستشارين متخصصين في نظم البنية التحتية المالية لمساعدته في أداء مهامه ووظائفه وفقاً لهذا النظام
المتطلبات التفصيلية
المتطلبات الرئيسية
4. عند التحديد، يجب على نظام الدفع للتجزئة المحدد الامتثال للمتطلبات المستمرة المفروضة بموجب هذا النظام وأحكام مبادئ البنية التحتية للسوق المالي ذات الصلة (الرجاء مراجعة المادة (9) لمزيد من التفاصيل).إن عدم الامتثال لأي من هذه المتطلبات من شأنه أن يعرض الطرف المعني للجزاءات المنصوص عليها في قانون المصرف المركزي. نذكر من المتطلبات الرئيسية التالي:
4.1 .تقديم التفاصيل - يطلب المصرف المركزي من أي مشغل نظام و/أو منشأة تسوية لنظام دفع للتجزئة محدد حديثًا إشعاره كتابيًا بتفاصيل وتفاصيل التحديد في مهلة أربعة عشر (14) يوم عمل من تاريخ إشعاره بالتحديد، وتشمل الاسم ومقر العمل والعنوان البريدي وعنوان البريد الإلكتروني، بالإضافة إلى بعض جوانب إدارة أو تشغيل النظام. فيما يخص مشغل النظام و/أو منشأة تسوية القائمة وهي شركة، ويُطلب بالمثل تقديم الأسماء والبيانات الشخصية للمدراء والرئيس التنفيذي (إن وجد) والمساهمين في الشركة للمصرف المركزي. يجب إخطار المصرف المركزي كتابيًا بتفاصيل أي تعديل لاحق على أي من هذه البيانات في خلال أربعة عشر (14) يومًا من تاريخ سريان التعديل.
4.2 .الامتثال لمتطلبات السلامة والكفاءة - تشمل المتطلبات العامة التشغيل الآمن والكفؤ لنظام الدفع للتجزئة، ووضع قواعد تشغيل مناسبة، واعتماد ترتيبات امتثال كافية وملائمة، وتوافر الموارد المالية المناسبة.
4.3 تقديم المعلومات والمستندات – للمصرف المركزي أن يطلب تزويده بالمعلومات والمستندات الخاصة بنظام الدفع للتجزئة المحدد من مشغل النظام و/أو منشأة التسوية، أو الشخص المشارك فيه وذلك في إطار ممارسة المصرف المركزي لمهامه الإشرافية بموجب هذا النظام. يجب على مشغل النظام و/أو منشأة التسوية، أو الشخص المشارك في نظام دفع للتجزئة محدد ممن طلب منه تزويد المصرف بالمعلومات والمستندات، تقديمها ضمن المهلة المحددة في الطلب.
4.4 للمصرف المركزي، في أي وقت، الطلب بموجب إشعار مسبق قصير الأجل من مشغل النظام و/أو منشأة التسوية ذات الصلة، الإطلاع ومراجعة الدفاتر، والحسابات والمعاملات الخاصة بمشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد وذلك في إطار ممارسته لمهامه.
4.5 للمصرف المركزي الطلب من مشغل النظام و/أو منشأة التسوية، أو الشخص المشارك في نظام دفع للتجزئة محدد تقديم تقرير الى المصرف المركزي مُعد من مدقق أو مدققي حسابات بشأن بعض النواحي التي يحتاجها المصرف المركزي لأداء أو ممارسة مهامه وصلاحياته بموجب هذا النظام.
4.6 للمصرف المركزي توجيه مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد لاتخاذ أي إجراء ضروري لجعله متوافقاً مع متطلبات هذا النظام. يحدد التوجيه المشار إليه مخاوف المصرف المركزي والإجراء أو الإجراءات التي يتعين اتخاذها، كما ويتضمن النواحي التي يعتبر فيها المصرف المركزي أن نظام الدفع للتجزئة المحدد غير متوافقاً فيها مع متطلبات هذا النظام، مع تعيين مهلة للامثتال لما جاء ضمن التوجيه المشار إليه.
4.7 للمصرف المركزي توجيه مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة المحدد، بموجب إشعار كتابي، لاتخاذ أي إجراء يرى المصرف المركزي أنه ضروري لتأمين امتثال نظام الدفع للتجزئة لمتطلبات هذا النظام.
التزام مشغل النظام ومنشأة التسوية إخطار المصرف المركزي ببعض الأحداث
5. يجب على مشغل النظام و/أو منشاة التسوية لنظام دفع للتجزئة محدد إخطار المصرف المركزي في حال تحقق أي من الأحداث التالية في أقرب وقت ممكن من تاريخ حدوثه:
5.1. حدث أو مخالفة تعيق أو تمنع الوصول إلى أو تعترض التشغيل المعتاد لنظام الدفع للتجزئة المحدد أو عمليات التسوية الخاصة به.
5.2 تعهيد أي من المهام الجوهرية الخاصة بمشغل النظام و/أو منشأة التسوية.
5.3 مباشرة أي إجراءات مدنية أو جزائية ضد مشغل النظام و/أو منشأة التسوية، سواء في الدولة أو خارجها.
5.4 عجز مشغل النظام و/أو منشأة التسوية عن الوفاء بالتزاماتهم المالية، النظامية، التعاقدية أو غيرها من الالتزامات الخاصة بمشغلي النظام و/أو منشآت التسوية.
5.5 أي إجراء تأديبي يتم اتخاذه بحق مشغل النظام و/أو منشأة التسوية من قبل أي من السلطات الرقابية في الدولة أم خارجها.
5.6 أي تغيير في الرئيس التنفيذي أو الإدارة العليا لمشغل النظام و/أو منشأة التسوية.
ترتيبات الحوكمة
6. يجب على مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد وضع ترتيبات هيكلية معينة وموثقة بوضوح، مثل هيكل الملكية والإدارة. يجب أن يعمل كل طرف فيها مع الفصل المناسب للمهام وترتيبات الرقابة الداخلية للحد من مخاطر سوء الإدارة والاحتيال.
7. يجب على مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد اعتماد معايير وضوابط فعالة لضمان الامتثال لأحكام هذا النظام. يجب اعتماد العمليات المناسبة لضمان أن القواعد والإجراءات وكذلك العلاقات التعاقدية مع الأشخاص المشاركين سارية وقابلة للتنفيذ. وتشمل قواعد وإجراءات واضحة تحكم التحويل والمقاصة والتسوية لكل من المعاملات المحلية وعبر الحدود (إن وجدت).
الامتثال
8. يجب على مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد إجراء تقييم ذاتي دوري أو تقييم مستقل دوري لامتثاله لهذا النظام ولمبادئ البنية التحتية للسوق المالي ذات الصلة المنصوص عليها في المادة (9) من هذا النظام. يجب إجراء هذا التقييم كل 24 شهرًا على الأقل. يجب على مدققي الحسابات الداخليين أو مسؤول الامتثال الداخلي أو المُقيِّم المستقل المُعين إجراء هذا التقييم كجزء من مهامهم المستمرة وتزويد المصرف المركزي بنسخة من تقرير الامتثال الخاص به. تقارير التقييم المقدمة إلى المصرف المركزي من قبل مشغل النظام و/أو منشأة التسوية لنظام الدفع للتجزئة المحدد سرية ولا يجوز الكشف عنها لأي طرف ثالث ما لم يتم الحصول على موافقة المصرف المركز
المتطلبات المالية
9. يجب أن يكون الوضع المالي لمشغل النظام و/أو منشأة التسوية لنظام الدفع للتجزئة المحدد سليم ومستقر، وخاضع للمراجعة والمراقبة المستمرة من الإدارة العليا لمشغل النظام و/أو منشأة التسوية.
معايير المشاركة
10. يجب على مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد اعتماد نهجاً محدداً للنظر في الطلبات ليصبح الشخص شخصاً مشاركاً. يجب على مشغل النظام و/أو منشأة التسوية لنظام الدفع للتجزئة المحدد اعتماد إجراءات من شأنها السماح للأشخاص المشاركين المحتملين الوصول والحصول على المعلومات الضرورية لتحديد ما إذا كانوا يرغبون في التقدم بطلب ليصبحوا أشخاصاً مشاركين.
11. يجب الكشف عن المعايير العامة للتأهيل والمشاركة الى مقدمي الطلب الجديين عند الطلب.
الشفافية، قابلية التشغيل البينى و المنافسة
12. يمنع على مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد وضع أو فرض سياسات تشغيلية، وإجراءات وترتيبات من شأنها منع وإعاقة تحقيق الشفافية التشغيلية أو قابلية التشغيل البيني بين نظم الدفع، والمنافسة بين الأطراف المختلفة في السوق. يجب على مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد التقيد والامتثال بكافة القوانين، والممارسات والإرشادات ذات الصلة المطبقة على أنشطة وخدمات الدفع الخاصة بهم في الدولة.
13. اذا اعتبر المصرف المركزي أن قابلية التشغيل البيني بين نظام دفع للتجزئة ونظام أو نظم دفع أخرى من شأنها تحقيق مصلحة للجمهور أو الأشخاص المشاركين في النظم المعنية، للمصرف المركزي توجيه مشغل النظام و/أو منشأة التسوية لنظام الدفع للتجزئة المعني للدخول في ترتيبات لتأمين قابلية التشغيل البيني بين الأنظمة ذات الصلة أو لاعتماد أية معايير متعارف عليها.
14. يجب تحديد الرسوم والمصاريف ذات الصلة وإبلاغها بوضوح للأشخاص المشاركين.
15. يجب على مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد إعلام الأشخاص المشاركين المتأثرين بالتغيرات في إجراءاته والترتيبات التشغيلية والتي من شأنها التأثير بشكل جوهري على المخاطر المالية لهذه الأطراف ، والمخاطر التشغيلية ، ومخاطر أمن البيانات والمخاطر القانونية في الدولة
القواعد والإجراءات
16. يجب أن يكون لدى مشغل النظام و/أو منشاة التسوية لنظام دفع للتجزئة محدد قواعد تشغيل سليمة لتمكين الأشخاص المشاركين من الحصول على معلومات كافية بشأن حقوقهم والتزاماتهم المرتبطة بمشاركتهم في نظام الدفع للتجزئة. يجب تحديد هذه الحقوق والالتزامات بشكل واضح وإبلاغها للأشخاص المشاركين.
17. يجب أن تكون قواعد التشغيل الخاصة بنظم الدفع للتجزئة كاملة، ومحدثة ومتاحة لكافة الأشخاص المشاركين. ويجب أيضاً إبلاغ الأشخاص المشاركين على النحو الواجب بأي تغييرات ذات صلة في قواعد التشغيل.
18. يجب على منشأة التسوية اعتماد قواعد وإجراءات لتمكين تحقق التسوية النهائية في موعد لا يتجاوز إنتهاء التاريخ المطلوب للتسوية. يجب أن تضمن القواعد والإجراءات ذات الصلة اليقين فيما يتعلق بالظروف التي يتم بموجبها اعتبارأوامر التحويلات المنفذة من خلال نظام الدفع للتجزئة قد تمت تسويتها بالنسبة لنظام الدفع للتجزئة.
19. يجب تحديد مسؤوليات الأشخاص المشاركين عن أي خسارة ناجمة عن الاستخدام غير المصرح به لنظام الدفع للتجزئة وترتيبات التعامل مع أي منازاعات حول مسؤولية الأشخاص المشاركين فيما يتعلق بالمعاملات غير المصرح بها بوضوح في القواعد والإجراءات .
كفاءة التشغيل
20. يجب على مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد توفير خدمات دفع ملائمة وذات كفاءة للأشخاص المشاركين، وضمان قدرة نظام الدفع للتجزئة على معالجة المعاملات بسرعة وكفاءة بما يتوافق مع مستوى الخدمات التي التزم بها نظام الدفع للتجزئة.
الموثوقية التشغيلية واستمرارية الأعمال
21. يجب أن يعتمد مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد إجراءات إدارية ومحاسبية ورقابية سليمة وواضحة لإدارة المخاطر المالية وغير المالية التي تعتبر بشكل معقول أنها معرضة لها.
22. يجب على مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد إجراء تحليل لمخاطر أي أنشطة أو خدمات دفع حديثة. بالإضافة إلى ذلك، إذا ارتأى بشكل معقول أنه قد حدث تغيير في الظروف ذات الصلة، يجب أن يقوم مشغل النظام و/أو منشأة التسوية لنظام الدفع للتجزئة المحدد بإجراء مراجعة لملف المخاطر الخاص بالأنشطة والخدمات الحالية لتقييم المخاطر المتعلقة بالأمن واستمرارية الأعمال.
23. يجب على مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد العمل على ضمان توفره على عدد مناسب من الموظفين المدربين والمؤهلين لتشغيل النظام على المستوى الذي يراه مناسباً في جميع المواقف التي يعتبرها متوقعة بشكل معقول .
24. يجب على مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد تزويد الأشخاص المشاركين بالمعلومات التي يعتبرها بشكل معقول ذات صلة بالتوعية بشؤون الاحتيال في سياق تشغيل أنشطة وخدمات الدفع الخاصة به. يجب على مشغل النظام و/أو منشأة التسوية لنظام الدفع للتجزئة المحدد ذات الصلة تزويد الأشخاص المشاركين بالتعليمات التي يراها مناسبة للتوعية بشأن الاحتيال والاستخدام أو المعالجة المناسبة لنظام الدفع للتجزئة للتقليل من مخاطر الاحتيال ولتمكين الأشخاص المشاركين من تثقيف عملائهم وتعزيز وعيهم لهذه الجهة.
25. يجب على مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد اعتماد إجراءات تشغيلية وتقنية شاملة وصارمة وموثقة جيدًا لتحقيق الموثوقية التشغيلية المعقولة وتأمين سلامة شبكته وتنفيذ المعاملات في وقتها في مواجهة الأعطال وانقطاع النظام وفشل أو تأخر الإرسال. يجب على مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد اعتماد خطة طوارئ للأعمال معقولة وفعالة وموثقة جيدًا ومُختبرة بانتظام تعالج المهام المختلفة للنظام في حالة الانقطاع غير المتوقع.
26. يجب على مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد اعتماد دراسة العناية الواجبة المتكاملة وآلية إِشراف إداري لإدارة علاقات التعهيد، إن وجدت، التي يرتأي أنها قد تؤثر على تشغيل أنشطة وخدمات الدفع. يجب تحديد وتوزيع المسؤوليات بشكل واضح بين مشغل النظام و/أو منشأة التسوية لنظام الدفع للتجزئة المحدد ومقدمي خدمات التعهيد.
27. يجب على مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد تصميم نظامه الفني لأنشطة وخدمات الدفع بقدرة كافية لتمكين عملياته المستمرة، والتي يجب مراقبتها وتحديثها بشكل دوري.
28. يجب على مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد اعتماد ترتيبات مقاصة وتسوية كافية لتأمين تشغيل النظام بكفاءة وموثوقية وأمان.
29. يجب على مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد القيام بمراجعة أهدافه وسياساته وخدماته التشغيلية الأمنية بشكل دوري.
30. يجب على مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد تطوير إجراءات محددة جيدًا للرد على الحوادث الأمنية المرتبطة بنشاط أو خدمة الدفع . يجب أن تعتمد الإجراءات نهجا متسقاً ومنهجياً في التعامل مع الحادث.
31- كإجراء متابعة لكل حادث متعلق بالأمن يؤثر بشكل جوهري على الأشخاص المشاركين، يجب على مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد الشروع في إجراء تقييم سري للوضع بعد الحادث من قبل الأطراف التي يراها مناسبة مع مراعاة طبيعة الحادث وأسبابه الأساسية، والثغرات التي أدت إلى وقوع الحادث كما والثغرات المحتملة الأخرى الكامنة وراء الحادث.
السلامة
32. يجب على مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد اعتماد تدابير أمنية تقنية مناسبة ومعقولة تجارياً وضمانات إجرائية لحماية أمن نظامه. يجب على مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد النظر في اعتماد معايير أمنية تقنية معمول بها دولياً عند الحاجة.
33. يجب أن تشمل التدابير المفروضة إنشاء شبكة آمنة وصيانتها، بما في ذلك شروط تحميل وصيانة جدران الحماية لحماية البيانات، وتغيير كلمات المرور الافتراضية للدخول الى النظام التي يوفرها مزود الخدمات وسائر كلمات المرور.
34. يجب أن تساعد التدابير المطبقة على حماية البيانات خلال دورة الحياة الكاملة للمعاملة، لا سيما فيما يتعلق بتدابير التحكم للوصول إلى البيانات، وإجراءات تخزين بيانات معاملات الأشخاص المشاركين، والتخلص من معلومات المعاملات الخاصة بالأشخاص المشاركين بعد استخدامها.
35. يجب على نظام الدفع للتجزئة المحدد استخدام برامج مكافحة الفيروسات وتحديثها بانتظام للحفاظ على أمن النظم والتطبيقات، ويجب أيضًا وضع تدابير مناسبة لإدارة مخاطر الأمن السيبراني بشكل فعال، بما في ذلك اعتماد إجراءات من شأنها تأمين القدرة على مواكبة اتجاهات الهجمات السيبرانية.
36. إضافةً الى ذلك، يجب على مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد وضع آليات تمكنه من المراقبة المستمرة لمحاولات الخروقات الأمنية التي قد تعرض أنظمته وبياناته للخطر. يجب اعتماد تدابير للتحكم في الوصول ولرصد واختبار شبكات التشغيل بانتظام. كما يجب اعتماد سياسة تعالج أمن المعلومات لجميع الأطراف ذات الصلة، كالموظفين والمتعاقدين.
37. يجب على مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد إجراء مراجعات أمنية دورية لنظامها. يمكن إجراء مثل هذه المراجعات إما من قبل مشغل النظام و/أو منشأة التسوية لنظام الدفع للتجزئة المحدد، أو بحسب تقديره (أو تقدير المصرف المركزي)، من قبل طرف مستقل معين من قبله.
أمن وسلامة البيانات
38. يكون مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد مسؤولاً عن أمن وسلامة جميع بيانات الدفع والسجلات التي يحتفظ أو يتحكم بها. يجب على مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد ضمان أن يكون لدى الأشخاص المشاركين القواعد والإجراءات لحماية السرية اللازمة لجميع البيانات والسجلات التي هي تحت سيطرتهم، بما في ذلك المعلومات الخاصة بالعملاء والتعاملات. يجب على مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد اعتماد معايير أمن البيانات المعمول بها دولياً والمقبولة عمومًا والتي يعتبرها قابلة للتطبيق على عملياته.
39. يجب على مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد اعتماد ووضع سياسات وإجراءات لاستعادة وتعافي بيانات المعاملات اللازمة لعملياته اليومية في حال حصول خلل في النظام.
الإبلاغ عن الحوادث
40. يجب على مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد إبلاغ المصرف المركزي عن أي حادث (كخروقات أمن البيانات) من شأنه التأثير بشكل جوهري أو سلبي على تشغيله أو نظم الدفع ذات الأهمية النظامية في الدولة.
4.9 للمصرف المركزي، في الحالات الواجب فيها اتخاذ إجراء معين في ظل الترتيبات المفترضة لنظام الدفع للتجزئة المحدد من قبل مشغل النظام و/أو منشأة التسوية تجاه شخص مشارك في نظام الدفع للتجزئة، توجيه مشغل النظام و/أو منشأة التسوية لنظام دفع للتجزئة محدد لتقديم المعلومات المتصلة بالتخلف لأي موظف يعينه المصرف المركزي. يكون الموظف المعين مسؤولاً عن تقييم وفحص أي موضوع مترتب أو متصل بتخلف الشخص المشارك في نظام الدفع للتجزئة. يجب أن تحدد القواعد والإجراءات بشكل واضح مسؤوليات الأشخاص المشاركين عن أي خسارة تنشأ عن تخلف الشخص المشارك وترتيبات التعامل مع أي نزاعات حول مسؤولية الأشخاص المشاركين فيما يتعلق بالمعاملات ذات الصلة.