الباب الثامن: متطلبات تقديم خدمة معلومات حساب المدفوعات وإنشاء المدفوعات
المادة الخامسة والتسعون
(1) يجب على مقدمي خدمات المدفوعات إتاحة إمكانية الوصول إلى خدمات المدفوعات ذات الصلة وفقًا للقرارات والتوجيهات المتعلقة بالمصرفية المفتوحة والأمن السيبراني، وخصوصية البيانات الصادرة عن البنك المركزي والجهات المختصة في المملكة.
(2) يجب على مقدمي خدمات المدفوعات ضمان تحقيق أفضل المعايير وأعلى مستويات الأمان عند حفظ ومشاركة ونقل بيانات العميل والمستهلك، وذلك عند المشاركة في العمليات المرتبطة بخدمة معلومات حساب المدفوعات أو خدمة إنشاء المدفوعات. المادة السادسة والتسعون
(1) يجب على مقدم خدمة حساب المدفوعات تمكين مقدم خدمة إنشاء المدفوعات ومقدم خدمة معلومات حساب المدفوعات وأي مقدم خدمات مدفوعات آخر صلاحية الوصول إلى حسابات المدفوعات شريطة تقديم تفويض مستخدم خدمات المدفوعات، مع مراعاة تقديم صلاحية الوصول على أساس موضوعي وعادل وبدون أي تمييز، وبطريقة تسمح لمقدم خدمات المدفوعات تقديم خدمات المدفوعات ذات الصلة بطريقة فعالة ودون أي عوائق.
(2) يجب على مقدم خدمة حساب المدفوعات التابع للدافع الالتزام بما يلي:
(أ) التواصل ونقل المعلومات بشكلٍ آمن إلى مقدم خدمة إنشاء المدفوعات ومقدم خدمة معلومات حساب المدفوعات، وفقًا للوائح والقواعد والتعاميم والضوابط والتعليمات المتعلقة بالأمن السيبراني الصادرة عن البنك المركزي والجهات المختصة في المملكة.
(ب) وضع الإجراءات والسياسات اللازمة؛ للتحقق من سلامة وصحة التفويض لكافة أوامر خدمات المدفوعات والطلبات الأخرى التي يقدمها الدافع.
(ج) التحقق من موافقة الدافع على أي رسوم يتم تطبيقها، وتوافق هذه الرسوم مع أي لوائح وقواعد وتعاميم وضوابط وتعليمات يصدرها البنك المركزي.
(د) تزويد مقدم خدمة إنشاء المدفوعات فور استلام أمر خدمات المدفوعات بجميع المعلومات والبيانات المتعلقة بإجراء عملية المدفوعات وجميع المعلومات التي يمكنه الوصول إليها.
(هـ) التعامل مع أمر خدمات المدفوعات الصادر عن مقدم خدمة إنشاء المدفوعات، بالطريقة التي يتم بها التعامل مع أمر خدمات المدفوعات المستلم مباشرة من الدافع.
(و) الاستجابة لأمر خدمات المدفوعات الصادر عن مقدم خدمة إنشاء المدفوعات خلال وقت مناسب.
(ز) التعامل مع طلب البيانات الصادر عن مقدم خدمة معلومات حساب المدفوعات، بالطريقة التي يتم بها التعامل مع طلب البيانات المستلم مباشرةً من الدافع.
(ح) الاستجابة لطلبات البيانات الصادرة عن مقدم خدمة معلومات حساب المدفوعات خلال وقت مناسب.
(ط) عدم إلزام مقدم خدمة إنشاء المدفوعات أو مقدم خدمة معلومات حساب المدفوعات بإبرام عقد تجاري قبل الالتزام بالمتطلبات المشار إليها في هذه المادة.
(3) يجوز لمقدم خدمة حساب المدفوعات رفض إنشاء عملية المدفوعات أو وصول مقدم خدمة معلومات حساب المدفوعات أو مقدم خدمة إنشاء المدفوعات إلى حساب المدفوعات، بناءً على أسباب معقولة ومبررة ومثبتة متعلقة بالوصول غير المصرح به أو اشتباه الاحتيال، ويجب على مقدم خدمة حساب المدفوعات في هذه الحالات القيام بما يلي:
(أ) إبلاغ مقدم خدمة معلومات حساب المدفوعات أو مقدم خدمة إنشاء المدفوعات بالحادثة وسبب رفض الوصول.
(ب) إشعار البنك المركزي فورًا بالحادثة وتفاصيل الحالة وأسباب اتخاذ إجراء الرفض، وفق ما يحدده البنك المركزي.
(ج) إعادة الوصول إلى الحساب لمقدم خدمة معلومات حساب المدفوعات أو مقدم خدمة إنشاء المدفوعات عند زوال مبررات رفض الوصول.
المادة السابعة والتسعون
(1) يجب على مقدم خدمة إنشاء المدفوعات الحصول على تفويض مستخدم خدمات المدفوعات قبل تقديم الخدمة.
(2) لا يجوز لمقدم خدمة إنشاء المدفوعات الاحتفاظ –في أي وقت– بالأموال لصالح مستخدم خدمات المدفوعات.
(3) لا يجوز لمقدم خدمة إنشاء المدفوعات تعديل المبلغ أو تعديل المدفوع له أو أي صفة أخرى لعملية المدفوعات التي ينشئها.
(4) يجب على مقدم خدمة إنشاء المدفوعات الحفاظ على حماية كافة مستخدمي خدمات المدفوعات، بما في ذلك البيانات المتعلقة بسمات الأمان الشخصية، وبشكل لا يسمح بالوصول إليها من قبل أي أطراف أخرى.
(5) لا يجوز لمقدم خدمة إنشاء المدفوعات استخدام أي من بيانات مستخدمي خدمات المدفوعات أو الوصول إليها أو تخزينها ما لم يكن ذلك ضروريًا لتقديم الخدمة وبما يتوافق مع ترخيصه.
(6) لا يجوز لمقدم خدمة إنشاء المدفوعات تقديم أي معلومات إضافية عن مستخدم خدمات المدفوعات إلا إلى المدفوع له، وبتفويض صريح من مستخدم خدمات المدفوعات.
(7) لا يجوز لمقدم خدمة إنشاء المدفوعات طلب أي بيانات من مستخدم خدمات المدفوعات بخلاف البيانات اللازمة لتقديم خدمة إنشاء المدفوعات، بحسب ما تقتضيه طبيعة الخدمة المقدمة وما يحدده البنك المركزي.
(8) يجب على مقدم خدمة إنشاء المدفوعات التواصل بشكل آمن مع مقدم خدمات حساب المدفوعات والتعريف بهويته عند كل عملية اتصال. المادة الثامنة والتسعون
(1) يجب على مقدم خدمة إنشاء المدفوعات قبل إنشاء أمر خدمات مدفوعات أن يقدم إلى الدافع معلومات واضحة وشاملة وباللغة المتفق عليها، على أن تشمل –كحد أدنى– ما يلي:
(أ) اسم مقدم خدمة إنشاء المدفوعات.
(ب) عنوان المقر الرئيسي لمقدم خدمة إنشاء المدفوعات.
(ج) عنوان المقر الرئيسي للوكيل أو الفروع التي يقدم مقدم خدمة إنشاء المدفوعات الخدمات من خلالها في المملكة –حسب مقتضى الحال–.
(د) بيانات الاتصال الخاصة بالتواصل مع مقدم خدمة إنشاء المدفوعات، بما في ذلك عنوان البريد الإلكتروني.
(هـ) تفاصيل الاتصال بالبنك المركزي.
(2) يجب على مقدم خدمة إنشاء المدفوعات فور إنشاء أمر خدمات المدفوعات أن يقدم إلى الدافع وإلى المدفوع له –بحسب مقتضى الحال– ما يلي:
(أ) تأكيد إتمام إنشاء أمر خدمات المدفوعات مع مقدم خدمات حساب المدفوعات التابع للدافع.
(ب) مرجع يمكّن الدافع والمدفوع له من تحديد عملية المدفوعات، ويمكّن المدفوع له من تحديد هوية الدافع وأي معلومات يتم تحويلها مع أمر خدمات المدفوعات.
(ج) مبلغ عملية المدفوعات.
(د) مبلغ التكاليف مستحقة الدفع لمقدم خدمة إنشاء المدفوعات وتفاصيلها–إن وجدت–.
(ه) أن يقدم إلى مقدم خدمات حساب المدفوعات التابع للدافع مرجع عملية المدفوعات.
المادة التاسعة والتسعون
(1) يجب على مقدم خدمة معلومات حساب المدفوعات الحصول على تفويض من مستخدم خدمات المدفوعات قبل تقديم الخدمة.
(2) مع عدم الإخلال بالأنظمة واللوائح والتعليمات ذات العلاقة، يجب على مقدم خدمة معلومات حساب المدفوعات حذف البيانات والمعلومات ذات الصلة الخاصة بمستخدم خدمة المدفوعات بعد سحب التفويض أو إلغائه.
(3) يجب على مقدم خدمة معلومات حساب المدفوعات التأكد من أن بيانات سمات الأمان الشخصية لمستخدم خدمات المدفوعات سرية ويتم نقلها عبر قنوات آمنة وفعالة، وعدم تمكين الوصول إليها إلا لمستخدم ومقدم خدمات سمات الأمان الشخصية.
(4) يجب على مقدم خدمة معلومات حساب المدفوعات التواصل بشكل آمن مع مقدم خدمات حساب المدفوعات والتعريف بهويته عند كل عملية اتصال.
(5) يجب على مقدم خدمة معلومات حساب المدفوعات اقتصار الوصول إلى المعلومات من حسابات المدفوعات المعينة ولغرض عمليات المدفوعات ذات الصلة.
(6) لا يجوز لمقدم خدمة معلومات حساب المدفوعات طلب بيانات حساسة مرتبطة بحسابات المدفوعات يمكن استخدامها لتنفيذ عمليات احتيال.
(7) لا يجوز لمقدم خدمة معلومات حساب المدفوعات استخدام أي بيانات أو الوصول إليها أو تخزينها لأغراض أخرى غير أداء الخدمة التي يطلبها مستخدم خدمات المدفوعات. المادة المئة
(1) يجوز لمقدم خدمات المدفوعات الذي يقدم المدفوعات القائمة على البطاقة أن يطلب من مقدم خدمات حساب المدفوعات تأكيد توفر الأموال في حساب المدفوعات التابع للدافع؛ لغرض تنفيذ عملية المدفوعات المرتبطة بالخدمة المقدمة، مع الالتزام بالحصول على تفويض الدافع قبل تقديم طلب التأكيد، وتطبيق متطلبات المصادقة والاتصال الآمن التي يحددها البنك المركزي.
(2) يجب على مقدم خدمات حساب المدفوعات عند تلقي طلب تأكيد توفر الأموال من مقدم خدمات المدفوعات تقديم التأكيد المطلوب بشكل فوري وذلك بالإجابة بـ "نعم" أو "لا"، وذلك في حال استيفاء الطلب الشروط التالية:
(أ) إمكانية الوصول إلى حساب المدفوعات عبر الإنترنت عند تلقي مقدم خدمات حساب المدفوعات للطلب.
(ب) التفويض المسبق من الدافع لمقدم خدمات حساب المدفوعات يتضمن صلاحية الاستجابة لطلبات مقدم خدمات المدفوعات.
(3) يجب على مقدم خدمات حساب المدفوعات إشعار الدافع –عند طلبه- بالطلبات الواردة من مقدم خدمات المدفوعات والإجابات عنها.
(4) يحظر على مقدم خدمة حساب المدفوعات تضمين بيانات عن رصيد الحساب أو حجز الأموال على حساب المدفوعات عند الإجابة على طلب تأكيد توفر الأموال بموجب هذه المادة.
(5) يحظر على مقدم خدمات المدفوعات الذي يقدم طلبًا بموجب هذه المادة حفظ أي تأكيد تم استلامه أو استخدامه لأي غرض، بخلاف تنفيذ عملية المدفوعات القائمة على البطاقة محل الطلب.
(6) لا تسري أحكام هذه المادة على عمليات المدفوعات التي يتم إنشاؤها من خلال النقود الإلكترونية المخزنة والمنفذة باستخدام المدفوعات القائمة على البطاقة.