كتاب روابط اجتياز لـ Annex II: Guidance on the Best Practices for Technology Risk and Information Security
الملحق 2: إرشادات حول أفضل الممارسات الخاصة بمخاطر التكنولوجيا وأمن المعلومات
C 15/2021 يسري تنفيذه من تاريخ 6/6/2021تمكّن أفضل الممارسات التالي ذكرها مقدمي خدمات الدفع من التوفر على مرونة سيبرانية متكيفة وسريعة الاستجابة. يتم تشجيع مقدمي خدمات الدفع على مناقشة طلباتهم ومراجعتها لتحسين مخاطر التكنولوجيا، أمن المعلومات وجاهزية المرونة السيبرانية لديهم.
مخاطر التكنولوجيا
يجب أن يتضمن إطار إدارة الحوادث ذات الإشراف الإداري المناسب لضمان الاستجابة الفعالة للحوادث والقدرة الإدارية للتعامل مع الحوادث الكبيرة بشكل ملائم ما يلي:
- (أ) إبلاغ المصرف المركزي في الوقت المناسب بأي حالات احتيال مرتبطة بالتكنولوجيا أو اختراقات أمنية كبيرة مؤكدة، بما في ذلك الهجمات السيبرانية وحالات انقطاع الخدمة لفترات طويلة والحوادث النظامية التي يعاني على اثرها مستخدمو خدمات الدفع للتجزئة من خسارة مالية أو تأثير على مصالحهم (على سبيل المثال تسرب البيانات)؛ و
- (ب) استراتيجية اتصال لمعالجة أية مخاوف للجهات المعنية التي قد تنشأ عن الحوادث، وإصلاح الضرر الذي قد يلحق بالسمعة بسبب هذه الحوادث.
إدارة التغيير
يتم تشجيع مقدمي خدمات الدفع الذين يبلغ متوسط قيمة معاملات الدفع الشهرية الخاصة بهم (10) ملايين درهم أو أكثر على التالي:
- (أ) تطوير إجراءات رسمية لإدارة التغيير لضمان سلامة وموثوقية البيئة التشغيلية وأن التغييرات التي تطرأ على أنظمة التطبيقات، وبرامج النظام (مثل أنظمة التشغيل والمرافق)، والأجهزة وأنظمة الشبكات وغيرها من مرافق ومعدات تكنولوجيا المعلومات مناسبة وليس لها أي تأثير غير مرغوب فيه على البيئة التشغيلية. يجب أيضاً وضع إجراءات رسمية لإدارة التغييرات الطارئة (بما في ذلك حفظ السجلات وترتيبات المصادقة) لتمكين معالجة المشاكل غير المتوقعة في الوقت المناسب وبطريقة محكمة؛ و
- (ب) التوثيق المناسب والدقيق لإجراءات التحكم ومتطلبات الأمن الأساسية، بما في ذلك جميع التكوينات والإعدادات لأنظمة التشغيل وبرامج النظام وقواعد البيانات والخوادم وأجهزة الشبكة. يجب إجراء مراجعات دورية حول امتثال إعدادات الأمن لمعايير الأمان الأساسية.
دورة حياة المشروع
يجب اعتماد وتطبيق منهجية لدورة حياة المشروع كاملة تحكم عمليات تطوير، تنفيذ وصيانة الحواسب.
يجب وضع عمليات رسمية لاقتناء البرمجيات من أجل إدارة المخاطر الناشئة عن الاقتناء، مثل انتهاك اتفاقية ترخيص البرمجيات أو انتهاك براءة الاختراع، وذلك في حالة اقتناء برمجيات من مزودين خارجيين.
يجب إجراء عمليات التأكد من الجودة في المشاريع الكبيرة المتعلقة بالتكنولوجيا من قبل جهة مستقلة بالاستعانة بوظائف الامتثال والشؤون القانونية.
حوكمة تكنولوجيا المعلومات
يجب وضع مجموعة من سياسات التحكم في تكنولوجيا المعلومات التي تناسب نموذج الأعمال وتطبيقات التكنولوجيا. يجب اعتماد سياسات التحكم في تكنولوجيا المعلومات التي تحدد القواعد الأساسية لضوابط تكنولوجيا المعلومات رسمياً من قبل الإدارة وتنفيذها بشكل صحيح من قبل كل من وحدات وظائف تكنولوجيا المعلومات والأعمال. كما يجب أيضاً تحديد العمليات المستخدمة للتحقق من الامتثال مع سياسات التحكم في تكنولوجيا المعلومات وعملية الحصول على الموافقة المناسبة من قبل الإدارة للإعفاء من سياسات التحكم في تكنولوجيا المعلومات، وتنفيذ النتائج والعواقب المرتبطة بأي فشل في الالتزام بهذه العلميات.
المتطلبات الأمنية
يجب وضوع مبادئ توجيهية ومعايير لتطوير البرمجيات وفقاً للممارسات المقبولة عموماً بشأن التطوير الآمن. يجب إجراء مراجعة رمز البرمجة (مثل مراجعة الأقران ومراجعة التحليل الآلي)، التي يمكن أن تكون قائمة على المخاطر، كجزء من عملية ضمان جودة البرمجيات.
يجب إجراء عمليات اختبار وقبول رسمية للأنظمة للتأكد من أنه يتم الترويج فقط للأنظمة المختبرة والمعتمدة بشكل صحيح في البيئة التشغيلية. يجب أن يغطي نطاق الاختبارات قوانين عمل النظام، والضوابط الأمنية وأداء النظام في ظل سيناريوهات اختبارات الإجهاد المختلفة وظروف تعافي النظام.
يجب الحفاظ على بيئات منفصلة لأغراض التطوير، الاختبار والتشغيل الفعلي. يجب إجراء اختبار النظام واختبار قبول المستخدم بشكل صحيح في بيئة الاختبار. لا ينبغي استخدام بيانات البيئة التشغيلية في التطوير أو اختبار القبول ما لم يتم التحقق من حساسية البيانات والحصول على موافقة مسبقة من مالك المعلومات.
يجب اعتماد فصل الواجبات بين فرق تكنولوجيا المعلومات. يجب ألا يُسمح للمطورين الوصول إلى مكتبات ونشر شفرات البرمجيات على البيئة التشغيلية. في حالة استخدام إجراءات تلقائية لنشر الشفرات على البيئة التشغيلية، يجب إجراء المراقبة الكافية والمراجعات والفحوصات من قبل فرق مستقلة. كذلك يجب مراقبة عن كثب صلاحيات دخول المزودين الخارجيين إلى بيئة اختبار قبول المستخدم، إذا لزم الأمر.
يجب الاحتفاظ بقائمة جرد للبرمجيات المطورة للمستخدم النهائي، وعند الحاجة، تحديد ضوابط المراقبة والمسؤوليات فيما يتعلق بحوسبة المستخدم النهائي لتغطية مجالات مثل الملكية، معايير التطوير، أمن البيانات، التوثيق، تخزين البيانات / الملفات والنسخ الاحتياطية، واستعادة النظام، بالإضافة الى مسؤوليات التدقيق والتدريب.
يجب وضع إجراءات إدارة المشاكل لتحديد، تصنيف، ترتيب الأولويات ومعالجة جميع مشاكل تكنولوجيا المعلومات في الوقت المناسب. يجب إجراء تحليل اتجاهي بشكل منتظم عن الحوادث الماضية لتسهيل تحديد والوقاية من المشاكل المماثلة.
إدارة الشبكة والبنية التحتية
يتم وضع أجهزة أمن الشبكة، مثل جدران الحماية، عند نقاط الربط الحرجة لبنيتها التحتية لتكنولوجيا المعلومات، لتأمين الاتصال بالشبكات الخارجية غير الموثوق بها، مثل الإنترنت والاتصالات مع أطراف ثالثة.
في الحالات التي يتم فيها توفير أجهزة الهاتف المحمول للموظفين، يجب وضع سياسات وإجراءات تغطي سلسلة من الأمور منها طلبات الشراء، المصادقة، التشديد، الترميز، والنسخ الاحتياطية للبيانات والاحتفاظ بها.
يجب اعتماد تدابير مناسبة للحفاظ على الفصل المناسب لقواعد البيانات الخاصة بأغراض مختلفة لمنع الدخول غير المصرح به أو غير المقصود أو الاسترجاع، كما يجب فرض ضوابط وصول قوية لضمان حفظ سرية وسلامة قواعد البيانات. أما فيما يتعلق بأي بيانات شخصية خاصة بمستخدمي خدمات الدفع للتجزئة، بما في ذلك التجار، يجب أن يتم تقييم قوانين حماية البيانات ذات الصلة وكذلك أي قواعد، إرشادات أو أفضل الممارسات ذات الصلة الصادرة عن المصرف المركزي أو أي من السلطات المختصة من وقت لآخر.
يجب تقييد الوصول إلى المعلومات وأنظمة التطبيقات من خلال آلية مصادقة مناسبة مرتبطة بقواعد التحكم في الوصول .ويجب اعتماد إطار عمل للتحكم في صلاحيات الدخول قائم على الأدوار والمهام ومنح صلاحيات الدخول فقط على أساس الحاجة للحصول عليها.
مخاطر الأمن السيبراني
يجب مواكبة تطورات وتوجهات التهديدات السيبرانية، بما في ذلك الاشتراك في خدمات معلومات التهديد السيبراني ذات الصلة بتقديم خدمات الدفع للتجزئة، وذلك لتعزيز القدرة على الاستجابة بدقة لأي نوع جديد من التهديدات في الوقت المناسب. قد يبحث مقدم خدمات الدفع عن فرص للتعاون مع جهات أخرى لمشاركة وجمع معلومات عن التهديدات السيبرانية بهدف تسهيل استعداد وجاهزية قطاع خدمات الدفع للتجزئة لمواجهة وإدارة مخاطر الأمن السيبراني بشكل أفضل.
يجب وضع أنظمة مراقبة أو إشراف لضمان التنبه لأي أنشطة نظامية مشبوهة أو ضارة مثل الاستخدامات المتعددة للحساب نفسه من مواقع جغرافية مختلفة. يتم تنفيذ المراقبة فوريا دون أي تأخر للأحداث السيبرانية التي تطال الأنظمة الهامة لتسهيل الكشف الفوري عن الأنشطة غير المعتادة.
يجب الانتباه الشديد للمخاطر المتطورة المتعلقة بالوصول إلى البنية التحتية الحيوية لتكنولوجيا المعلومات واتخاذ التدابير المناسبة بشأنها.
أجهزة قبول الدفع
يجب افتراض ان أجهزة مستخدمي خدمات الدفع للتجزئة معرضة للاختراق الأمني واتخاذ التدابير اللازمة بناء على ذلك عند تصميم، تطوير أو صيانة خدمات الدفع للتجزئة. يجب مراعاة وجود ضوابط أمنية للحماية ضد سيناريوهات الاختراق المختلفة بما في ذلك الوصول غير المصرح به الى الأجهزة، البرامج الضارة أو الفيروسات، وحالات عدم وجود حماية او التعرض للمخاطر الخاصة بأجهزة الهاتف المحمول او الاستخدام غير المصرح لتطبيقات أجهزة الهاتف المحمول.
في حال قيام التجار باستخدام أجهزة الهاتف المحمول لقبول عمليات الدفع للتجزئة الخاصة بمقدمي خدمات الدفع، يجب تنفيذ تدابير أمنية اضافية لحماية حلول قبول عمليات الدفع بواسطة أجهزة الهاتف المحمول، بما يشمل كشف العمليات غير المعتادة، وتسجيلها في تقارير، وتقديم معلومات وافية عن هوية التاجر لمستخدمي خدمات الدفع للتجزئة للتأكد من صحة الهوية.
مصادقة مستخدمي خدمات الدفع للتجزئة
تطبيق آلية متعددة المعايير للمصادقة على مستخدمي خدمات الدفع للتجزئة من خلال اعتماد إثنين أو أكثر من المعايير الثلاث المحددة أدناه:
- (أ) معلومات التحقق المحددة من مستخدم خدمات الدفع للتجزئة (مثل المعرفات الشخصية وكلمات المرور).
- (ب) معلومات التحقق المملوكة من مستخدم خدمات الدفع للتجزئة (مثل كلمات المرور لمرة واحدة الصادرة بواسطة رمز الأمان، أو أنظمة أمان خاصة بمقدم خدمات الدفع)؛
- (ج) ومعلومات تحقق مادية خاصة بمستخدم خدمات الدفع للتجزئة (مثل شبكة العين، بصمة الاصبع أو التعرف على الصوت).
يجب اعتماد ضوابط مناسبة فيما يتعلق بقوة كلمة المرور (كوضع حد أدنى لطول كلمة المرور) في حال استخدام كلمة المرور (بما يشمل رقم التعريف الشخصي) كرمز وحيد للدخول.
محاولات تسجيل الدخول وإدارة الجلسات
يجب توفير سجل قوي يجيز استرجاع أي بيانات سابقة بما في ذلك جميع التفاصيل الخاصة بالإضافات، التعديلات او عمليات الحذف التي طالت المعاملات المختلفة. يجب أن يكون الوصول والاستفادة من هذه الأدوات، بما في ذلك المسؤوليات المميزة، مسموحاً به فقط للأفراد المجاز لهم من خلال إجراءات ولوج مناسبة.
يجب منح مستخدمي خدمات الدفع للتجزئة القنوات المناسبة لمراجعة عمليات الدفع السابقة الخاصة بهم.
أنظمة كشف الاحتيال
يجب تشغيل آليات مراقبة معاملات الدفع المصممة لمنع، وكشف وحظر أي معاملات دفع مشبوهة من قبل مقدمي خدمات الدفع الذين يقدمون خدمات رمز الدفع ومقدمي خدمات الدفع الذين يبلغ متوسط قيمة معاملات الدفع الشهرية الخاصة بهم عشرة (10) ملايين درهم أو ما فوق. تخضع المعاملات المشبوهة أو العالية المخاطر لعملية الفحص والتنقية والتقييم.