القسم بأكمله | SAMA Rulebook

إطلاق تجريبي

يعتبر دخولك واستخدامك لكتيب قواعد الإطار التنظيمي للبنك المركزي السعودي ومحتواه قبولاً وإقراراً منك دون أي قيد أو شرط للالتزام والموافقة على الآتي:

كتيب قواعد الإطار التنظيمي للبنك المركزي السعودي هو منصة تهدف إلى مساعدة الجهات الخاضعة لرقابة البنك المركزي على الوصول إلى المحتوى التنظيمي للبنك المركزي السعودي بسهولة وكفاءة. لا يزال كتيب قواعد الإطار التنظيمي في مرحلة التطويروالإطلاق التجريبي. البنك المركزي السعودي غير مسؤول عن محتوياته ولا يضمن بأن (الخدمات المتعلقة بالمنصة أو المعلومات أو المواد المعروضة) خالية من أي سهو أو أخطاء. لا يتحمل البنك المركزي السعودي أي مسؤولية عن أي خسارة أو مطالبة أو ضرر ناتج عن أي استخدام للمنصة، وأي قرارات أو إجراءات يتم اتخاذها بناء على المعلومات الواردة في المنصة أو الناتجة عنها.

ليس لكتيب القواعد أي أثر قانوني ولا يهدف إلى تعديل أو إلغاء أي أحكام قانونية. كما أنه لايزال يحتوي على وثائق هي قيد المراجعة بما فيها الوثائق المترجمة. وفي هذا الشأن؛ يؤكد البنك المركزي على كافة المؤسسات المالية المشمولة برقابته وإشرافه؛ ضرورةَ الالتزام دوماً بما يصدر عن البنك المركزي من تعليمات، ومتابعة التحديثات لهذه التعليمات، وعدم الاعتماد على ما هو منشور على المنصة.

مع عدم الإخلال بشروط استخدام موقع البنك المركزي السعودي، فإنك تقر بأن أي استخدام غير قانوني أو غير مصرح به و/أو أي خرق لأي من هذه الأحكام قد يؤدي إلى اتخاذ إجراءات قانونية ضدك.

الحد الأدنى من ضوابط التحقق
الرقم: 202200000245 التاريخ (م): 2022/4/21 | التاريخ (هـ): 1443/9/20 الحالة:نافذ
هذه النسخة مترجمة و قد يطرأ عليها تعديلات لاحقا. يجب الاستناد على التعليمات الواردة في الوثيقة الأصلية

1. مقدمة
يشكل الابتكار الرقمي فرصًا كبيرة للشركات والمستهلكين، وفي الوقت ذاته، يقدم أيضًا بُعدًا جديدًا للتهديدات الناشئة ويغير النظرة التقليدية للمخاطر السيبرانية. لتمكين المؤسسات المالية الخاضعة لرقابة البنك المركزي السعودي من تحديد ومعالجة المخاطر السيبرانية بشكل فعال، بالإضافة إلى لوائح البنك المركزي السعودي، حدد البنك مجموعة من الضوابط التي يجب اعتمادها وتنفيذها من جانب المؤسسة المالية من أجل الحفاظ على الحماية الملائمة لأصول المعلومات والخدمات الرقمية.

2. نطاق التطبيق
تنطبق الضوابط الواردة في هذه الوثيقة على أي مؤسسة مالية تقدم المحفظة الإلكترونية أو منتجات التمويل أو التمويل الجماعي أو أي نموذج أعمال آخر في مجال التقنية المالية تحت إشراف البنك المركزي السعودي، مع الأخذ في الاعتبار إمكانية تطبيق المتطلبات التي تحقق الأهداف المطلوبة.

3. ضوابط التسجيل/التأهيل

1.3.	يجب على المؤسسة المالية التأكد من تسجيل كل رقم هاتف (أو) هوية وطنية/إقامة، مرتبط بطلب واحد فقط.
2.3.	يجب على المؤسسة المالية إعداد عملية آمنة للتحقق من المستخدمين.
3.3.	يجب أن تتضمن عملية التسجيل ما يلي:
	أ.	بالنسبة لمنصات الإقراض: نموذج قوي من المصادقة من طرف مستقل موثوق به.
	ب.	بالنسبة لمنصات المحفظة الإلكترونية: نموذج قوي من المصادقة من طرف مستقل موثوق به، أي، (الدخول الوطني الموحد (NSSO)) باستخدام اسم المستخدم وكلمة المرور، وكلمة المرور لمرة واحدة (OTP).
	ج.	بالنسبة لنماذج الأعمال الأخرى، يجب تنفيذ ضوابط قوية في عملية التسجيل/التأهيل، مع الأخذ في الاعتبار المفهوم الوارد في النقاط (3.3.أ-ب).
4.3.	يجب على المؤسسة المالية التحقق أن ملكية رقم الهاتف مسجلة لنفس المستخدم (أي الاسم المطابق والهوية الوطنية) من خلال جهة موثوقة فقط (أي تحقق).
5.3.	يجب على المؤسسة المالية التأكد أن عملية التسجيل تتضمن آلية كلمة المرور لمرة واحدة (OTP) كشكل من أشكال التحقق. يجب إرسال كلمة المرور لمرة واحدة إلى رقم هاتف تم التحقق منه حسب النقطة (4.3).
6.3.	يجب على المؤسسات المالية تنفيذ ضوابط مهلة الجلسة لجميع كلمات المرور لمرة واحدة الصادرة.
7.3.	يجب إرسال إشعار عبر الرسائل القصيرة إلى المستخدمين للتسجيل أو إعادة تسجيل الجهاز أو تغيير حالة الحساب، مثل إلغاء التنشيط وإعادة التنشيط وعدم النشاط.
8.3.	يجب تعيين تطبيق المؤسسة المالية لجهاز واحد فقط. بخلاف ذلك، يجب تطبيق كلمة المرور لمرة واحدة لكل تسجيل دخول، بالإضافة إلى تعطيل تسجيل الدخول المتزامن.
9.3.	يجب على المؤسسة المالية إعداد عملية فعالة وآمنة لإلغاء تنشيط الحساب وإعادة تنشيطه وإعادة تسجيل الجهاز لمصادقة المستخدم.

¹طرف موثوق به: أي طرف مرخص له بمزاولة النشاط ذي الصلة

4. الضوابط العامة

1.4.	يجب على المؤسسة المالية تنفيذ متطلبات الأمن السيبراني التنظيمية الصادرة عن البنك المركزي السعودي.
2.4.	يجب على المؤسسة المالية استخدام متاجر التطبيقات الرسمية.
3.4.	يجب على المؤسسة المالية تطوير آلية تقييد التثبيت لأجهزة تصعيد الامتيازات مثل "Jailbreak" لنظام التشغيل iOS و"Root" لنظام التشغيل Android أو أي نظام تشغيل مفتوح المصدر، مع مراعاة أن يتم تثبيت التطبيق من خلال المتاجر الرسمية.
4.4.	يجب أن تضع المؤسسة المالية تدابير طوارئ في حالة وقوع كارثة وضمان إجراءات النسخ الاحتياطي والاسترداد الفعالة.
5.4.	يجب أن تغطي الشروط والأحكام خصوصية البيانات، مع مراعاة موافقة العميل على عرض اسم صاحب الحساب.
6.4.	يجب على المؤسسة المالية إجراء برنامج توعية لجميع المستخدمين بانتظام، ويجب أن يغطي الشروط والأحكام والوعي الأمني العام مثل مشاركة المعلومات السرية (كلمة المرور أو كلمة المرور لمرة واحدة).
7.4.	يجب على المؤسسة المالية إعداد سياسة الحسابات غير النشطة.
8.4.	يجب تنفيذ المصادقة متعددة العوامل (MFA) لمصادقة كل تسجيل دخول.
9.4.	ينبغي تطبيق آلية كلمة المرور لمرة واحدة (OTP) للعمليات التالية:
	أ.	التحويل بين محفظة إلى أخرى (لأول مرة كحد أدنى لكل مستفيد) أدناه (القيمة المحددة)²؛
	ب.	إجراء أي معاملة في سوق التطبيقات؛
	ج.	سداد الفواتير وفواتير المرافق والخدمات الحكومية (لأول مرة كحد أدنى لكل فاتورة)؛
	د.	إعادة تعيين كلمة المرور؛
	هـ.	إعادة تنشيط المحافظ؛
	و.	المعاملات المحفوفة بالمخاطر بناءً على تقييم الشركة وحالات الاستخدام.
10.4.	يجب استخدام كلمة المرور لمرة واحدة في قناة واحدة وباستخدام قناة توصيل مختلفة للمعاملات التالية:
	أ.	أي معاملة بين المحافظ تتجاوز (القيمة المُحددة) كحد يومي (لأول مرة كحد أدنى لكل مستفيد)
	ب.	التحويل إلى رقم الحساب المصرفي الدولي (لأول مرة كحد أدنى لكل مستفيد)
	ج.	التحويل الدولي (لأول مرة كحد أدنى لكل مستفيد)
	د.	المعاملات عالية المخاطر بناءً على تقييم الشركة وحالات الاستخدام
11.4.	يجب إرسال إشعار عبر الرسائل القصيرة إلى المستخدمين بشأن جميع المعاملات وتغييرات حساب المستخدم.
12.4.	يجب على المؤسسة المالية أن تنظر في استخدام حالات الاستخدام الشاملة والسيناريوهات المُصممة خصيصًا لنموذج أعمالها لمكافحة الاحتيال؛ بما في ذلك على سبيل المثال لا الحصر:
	أ.	مراقبة سلوك جميع المستخدمين للكشف عن أي حالات شاذة بناءً على أفضل الممارسات؛
	ب.	إدارة سلوك استخدام الجهاز؛
13.4.	يجب على المؤسسة المالية إعداد عملية للتعامل مع حالات الاحتيال، مع الأخذ في الاعتبار خطوات التحقيق وتعطيل الحسابات.
14.4.	يجب على المؤسسة المالية إعداد عملية لحماية "خصوصية البيانات" و"أمن البيانات" لهذه الحسابات. تتضمن هذه المعلومات "عرض اسم مالك الحساب".
15.4.	يجب على المؤسسة المالية التأكد أن محتوى الرسائل النصية القصيرة واضح ومباشر، مع ذكر الغرض من الرسائل القصيرة وإسم المؤسسة المالية
16.4.	يجب أن تعكس المؤسسات المالية جميع الضوابط الواردة في هذه الوثيقة ضمن السياسات الداخلية المُعتمدة من مجلس إداراة المؤسسات، ويجب أن يكون لديها عملية للمراجعة الدورية للسياسات.

² سيتم تعميم القيمة المحددة في المذكرة. ستتم مراجعة القيمة دوريًا وسيتم تعميمها رسميًا في حالة تغييرها.

5. ضوابط خاصة بطلب الإقراض

يجب على الشركات المُقرضة تطبيق الضوابط الواردة أدناه، بالإضافة إلى الضوابط المذكورة أعلاه.
1.5.	يجب أن يكون لدى المؤسسة المالية عملية يتم تنفيذها للتأكد من أن رقم الحساب المصرفي الدولي (IBAN) الخاص بالمستلم خاص بطالب القرض.
2.5.	يجب على المؤسسة المالية استخدام مزود توقيع رقمي موثوق به ومُعتمد. (انظر الملحق «أ» للحصول على تفاصيل إضافية)
3.5.	التأكد من تنفيذ عملية لإنشاء وحفظ وإدارة السند الإذني بشكل آمن باستخدام جهة وطنية موثوقة (مثل نافذ)
4.5.	يجب على المؤسسة المالية تنفيذ عملية للاتصال بالعميل لتأكيد طلب القرض.
5.5.	ينبغي إرسال إشعار عبر الرسائل القصيرة مع العميل عندما:
	أ.	قدَّم المستخدم الطلب.
	ب.	عند الموافقة على طلب القرض أو رفضه.

6. الملحق أ - نظرة عامة على تعاميم البنك المركزي السعودي الصادرة سابقًا

تحل هذه الوثيقة محل تعميمات البنك المركزي السعودي الصادرة مسبقًا التالية:
	•	الضوابط الأمنية للمحفظة الإلكترونية، الإصدار 0.1
تشير هذه الوثيقة إلى تعميمات أو مستندات البنك المركزي السعودي التالية والتي تم التكليف بها بموجب المذكرة الصادرة:
	•	بخصوص التصديق الرقمي للمنتجات لعملاء شركات التمويل، 42011675، 1442/02/27؛

إطلاق تجريبي

الحد الأدنى من ضوابط التحقق

1. مقدمة

2. نطاق التطبيق

3. ضوابط التسجيل/التأهيل

4. الضوابط العامة

5. ضوابط خاصة بطلب الإقراض

6. الملحق أ - نظرة عامة على تعاميم البنك المركزي السعودي الصادرة سابقًا