Book traversal links for 4. General Controls
4. الضوابط العامة
الرقم: 202200000245 | التاريخ (م): 2022/4/21 | التاريخ (هـ): 1443/9/20 | الحالة: نافذ |
Versions (الإصدارات 9) |
هذه النسخة مترجمة و قد يطرأ عليها تعديلات لاحقا. يجب الاستناد على التعليمات الواردة في الوثيقة الأصلية
1.4. | يجب على المؤسسة المالية تطبيق المتطلبات التنظيمية للأمن السيبراني الصادرة عن البنك المركزي السعودي. | |
2.4. | يجب على المؤسسة المالية استخدام متاجر التطبيقات الرسمية. | |
3.4. | يجب على المؤسسة المالية تطوير آلية لتقييد تثبيت تطبيقاتها على الأجهزة التي تم تجاوز قيود الشركات المصنّعة لها، على سبيل المثال "Jailbreak" لنظام التشغيل iOS و"Root" لنظام التشغيل Android أو أي نظام تشغيل مفتوح المصدر، مع مراعاة أن يتم تثبيت تطبيقاتها من خلال المتاجر الرسمية. | |
4.4. | يجب على المؤسسة المالية وضع التدابير للتعامل مع الطوارئ في حال وقوع الكوارث وضمان فعالية إجراءات النسخ الاحتياطي والتعافي. | |
5.4. | يجب أن تشمل الشروط والأحكام خصوصية البيانات، مع مراعاة موافقة العميل على عرض اسم صاحب الحساب. | |
6.4. | يجب على المؤسسة المالية إجراء برنامج توعوي دوري لجميع المستخدمين، وأن يتضمن التوعية بالشروط والأحكام والممارسات العامة مثل مشاركة المعلومات السرية (كلمة المرور أو كلمة المرور لمرة واحدة (OTP)). | |
7.4. | يجب على المؤسسة المالية وضع سياسة للحسابات غير النشطة. | |
8.4. | يجب تطبيق التحقق من خلال المصادقة متعددة العوامل (MFA) عند كل عملية تسجيل دخول. | |
9.4. | يجب تطبيق آلية كلمة المرور لمرة واحدة (OTP) عند إجراء العمليات التالية: | |
أ. | التحويل من محفظة إلى محفظة أخرى (للعملية الأولى لكل مستفيد كحد أدنى) أقل من (القيمة المحددة)1. | |
ب. | إجراء أي عملية في متجر السوق الالكتروني. | |
ج. | سداد الفواتير وفواتير المرافق والخدمات الحكومية (لأول مرة كحد أدنى لكل فاتورة)؛ | |
د. | إعادة تعيين كلمة المرور؛ | |
هـ. | إعادة تنشيط المحافظ؛ | |
و. | العمليات ذات المخاطر المرتفعة بناءً على تقييم وحالات استخدام المؤسسة المالية. | |
10.4. | يجب إرسال كلمة المرور لمرة واحدة (OTP) من خلال قناة واحدة، والاستعانة بقناة أخرى مختلفة للعمليات التالية: | |
أ. | أي معاملة بين المحافظ تتجاوز (القيمة المُحددة) كحد يومي (لأول مرة كحد أدنى لكل مستفيد) | |
ب. | التحويل إلى رقم الحساب المصرفي (IBAN) (للعملية الأولى لكل مستفيد كحد أدنى). | |
ج. | التحويل الدولي (لأول مرة كحد أدنى لكل مستفيد) | |
د. | العمليات عالية المخاطر بناءً على تقييم وحالات استخدام المؤسسة المالية. | |
11.4. | يجب إرسال إشعار عبر الرسائل النصية إلى المستخدمين بشأن جميع العمليات والتغييرات في حساب المستخدم. | |
12.4. | يجب على المؤسسة المالية أن تأخذ بعين الاعتبار العمل على حالات استخدام وسيناريوهات شاملة، ومُصممة خصيصًا لنموذج أعمالها لمكافحة الاحتيال المالي؛ وذلك على سبيل المثال لا الحصر: | |
أ. | مراقبة سلوكيات جميع المستخدمين للكشف عن أي حالات غير اعتيادية بناءً على أفضل الممارسات؛ | |
ب. | إدارة سلوكيات استخدام الجهاز؛ | |
13.4. | يجب على المؤسسة المالية وضع إجراءات للتعامل مع حالات الاحتيال، مع الأخذ بعين الاعتبار خطوات التحقيق وإيقاف الحسابات. | |
14.4. | يجب على المؤسسة المالية وضع إجراءات لحماية "خصوصية البيانات" و"أمن البيانات" للحسابات. وتتضمن هذه البيانات على سبيل المثال لا الحصر "عرض اسم مالك الحساب". | |
15.4. | يجب على المؤسسة المالية التأكد أن محتوى الرسائل النصية واضح ومباشر، وأن ينص على الغرض منها واسم المؤسسة المالية. | |
16.4. | يجب على المؤسسات المالية عكس جميع الضوابط الواردة في هذه الوثيقة ضمن السياسات الداخلية المُعتمدة من مجلس إدارتها، والعمل على مراجعة السياسات وفق إجراءات دورية. |
2 سيتم التعميم بالقيمة المحددة في المذكرة. وتخضع القيمة المحددة للمراجعة دوريًا وسيتم الإبلاغ رسميًا في حالة تغييرها.