Skip to main content
رجوع طباعة مخصصة Text Only Rich Text طباعة / حفظ بصيغة PDF
تحميل الوثيقة الأصلية

  • الحد الأدنى من ضوابط التحقق

    الرقم: 202200000245التاريخ (م): 2022/4/21 | التاريخ (هـ): 1443/9/20الحالة: نافذ

    هذه النسخة مترجمة و قد يطرأ عليها تعديلات لاحقا. يجب الاستناد على التعليمات الواردة في الوثيقة الأصلية

    • 1. مقدمة

      لا شك أنه ينطوي على الابتكار الرقمي خلقَ فرصٍ كبيرة لقطاع الأعمال والمستهلكين، وبالمقابل فإنّه يتضمن أبعادًا جديدة من التهديدات الناشئة والتي تتطلب تغيير النظرة التقليدية حول المخاطر السيبرانية. تأتي التعليمات المحددة من البنك المركزي السعودي بمجموعة من الضوابط والتي يجب على المؤسسات المالية تبنيها وتطبيقها من أجل الحفاظ على المستوى اللازم من الحماية لأصول المعلومات والخدمات الرقمية، ولتعزيز قدرة المؤسسات المالية الخاضعة لرقابته في تحديد المخاطر السيبرانية ومعالجتها بشكل فعال.

    • 2. نطاق التطبيق

      تنطبق الضوابط الواردة في هذه الوثيقة على أي مؤسسة مالية تقدم خدمات المحافظ الإلكترونية أو منتجات التمويل أو التمويل الجماعي أو أي نموذج أعمال آخر في مجال التقنية المالية تحت إشراف البنك المركزي السعودي، مع الأخذ بعين الاعتبار إمكانية تطبيق المتطلبات بما يحقق الأهداف المطلوبة.

    • 3. ضوابط التسجيل/ بدء العلاقة

      1.3. يجب على المؤسسة المالية التأكد من ارتباط رقم الجوال أو رقم الهوية الوطنية/رقم الإقامة بطلب تسجيل واحد فقط..
       
      2.3.يجب على المؤسسة المالية وضع إجراءات آمنة للتحقق من المستخدمين.
       
      3.3. يجب أن تتضمن إجراءات التسجيل ما يلي:
       
       أ. فيما يخص منصات التمويل: آلية فعالة للمصادقة من قبل طرف مستقل وموثوق(1).
       
       ب. فيما يخص منصات المحافظ الإلكترونية: آلية فعالة للمصادقة من قبل طرف مستقل وموثوق، مثل (النفاذ الوطني الموحد(NSSO)) باستخدام اسم المستخدم وكلمة المرور، وكلمة المرور لمرة واحدة.
       
       ج. فيما يخص نماذج الأعمال الأخرى، يجب تطبيق ضوابط فعالة ضمن عملية التسجيل/ بدء العلاقة، أخذاً بعين الاعتبار ما يرد في النقاط (3.3.أ-ب).
       
      4.3. يجب على المؤسسة المالية التحقق من أن  ملكية رقم الجوال مسجلة لنفس المستخدم، (مثل مطابقة الاسم مع الهوية الوطنية) من خلال جهة موثوقة (مثل خدمة تحقق).
       
      5.3.يجب  على المؤسسة المالية التأكد من أن عملية التسجيل تتضمن التحقق من خلال آلية كلمة المرور لمرة واحدة (OTP). وأن يتم إرسال كلمة المرور لمرة واحدة (OTP) إلى رقم الجوال المتحقق منه وفق الضابط رقم (4.3)..
       
      6.3.يجب  على المؤسسات المالية تطبيق ضوابط إنتهاء مهلة الجلسة (session timeout) لجميع كلمات المرور لمرة واحدة (OTP) الصادرة.
       
      7.3.يجب إرسال رسالة نصية لإشعار المستخدمين عند التسجيل، وعند إعادة تسجيل الجهاز أو تغيير حالة الحساب مثل الإيقاف، وإعادة التنشيط، وغير النشط.
       
      8.3.يجب أن يكون تطبيق المؤسسة المالية مرتبط بجهاز واحد فقط للعميل. أو تطبيق كلمة المرور لمرة واحدة (OTP) لكل عملية تسجيل دخول، إضافة إلى تعطيل إمكانية تسجيل الدخول المتزامن.
       
      9.3.يجب على المؤسسة المالية وضع إجراءات فعالة وآمنة للمصادقة عند إيقاف حساب المستخدم وعند إعادة التنشيط وعند إعادة تسجيل الجهاز.
       

      1طرف موثوق: أي طرف مرخص له بمزاولة النشاط ذو العلاقة

    • 4. الضوابط العامة

      1.4.يجب على المؤسسة المالية تطبيق المتطلبات التنظيمية للأمن السيبراني الصادرة عن البنك المركزي السعودي.
       
      2.4.يجب على المؤسسة المالية استخدام متاجر التطبيقات الرسمية.
       
      3.4.يجب  على المؤسسة المالية تطوير آلية لتقييد تثبيت تطبيقاتها على الأجهزة التي تم تجاوز قيود الشركات المصنّعة لها، على سبيل المثال "Jailbreak" لنظام التشغيل iOS و"Root" لنظام التشغيل Android أو أي نظام تشغيل مفتوح المصدر، مع مراعاة أن يتم تثبيت تطبيقاتها من خلال المتاجر الرسمية.
       
      4.4.يجب على المؤسسة المالية وضع التدابير للتعامل مع الطوارئ في حال وقوع الكوارث وضمان فعالية إجراءات النسخ الاحتياطي والتعافي.
       
      5.4.يجب  أن تشمل الشروط والأحكام خصوصية البيانات، مع مراعاة موافقة العميل على عرض اسم صاحب الحساب.
       
      6.4.يجب على المؤسسة المالية إجراء برنامج توعوي دوري لجميع المستخدمين، وأن يتضمن التوعية بالشروط والأحكام والممارسات العامة مثل مشاركة المعلومات السرية (كلمة المرور أو كلمة المرور لمرة واحدة (OTP)).
       
      7.4.يجب على المؤسسة المالية وضع سياسة للحسابات غير النشطة.
       
      8.4.يجب تطبيق التحقق من خلال المصادقة متعددة العوامل (MFA) عند كل عملية تسجيل دخول.
       
      9.4.يجب تطبيق آلية كلمة المرور لمرة واحدة (OTP) عند إجراء العمليات التالية:
       
       أ. التحويل من محفظة إلى محفظة أخرى (للعملية الأولى لكل مستفيد كحد أدنى) أقل من (القيمة المحددة)1.
       ب.إجراء أي عملية في متجر السوق الالكتروني.
       
       ج.سداد الفواتير وفواتير المرافق والخدمات الحكومية (لأول مرة كحد أدنى لكل فاتورة)؛
       
       د.إعادة تعيين كلمة المرور؛
       
       هـ.إعادة تنشيط المحافظ؛
       
       و. العمليات ذات المخاطر المرتفعة بناءً على تقييم وحالات استخدام المؤسسة المالية.
       
      10.4.يجب إرسال كلمة المرور لمرة واحدة (OTP) من خلال قناة واحدة، والاستعانة بقناة أخرى مختلفة للعمليات التالية:
       
       أ. أي معاملة بين المحافظ تتجاوز (القيمة المُحددة) كحد يومي (لأول مرة كحد أدنى لكل مستفيد)
       
       ب. التحويل إلى رقم الحساب المصرفي (IBAN) (للعملية الأولى لكل مستفيد كحد أدنى).
       
       ج. التحويل الدولي (لأول مرة كحد أدنى لكل مستفيد)
       
       د. العمليات عالية المخاطر بناءً على تقييم وحالات استخدام المؤسسة المالية.
       
      11.4. يجب إرسال إشعار عبر الرسائل النصية إلى المستخدمين بشأن جميع العمليات والتغييرات في حساب المستخدم.
       
      12.4.يجب على المؤسسة المالية أن تأخذ بعين الاعتبار العمل على حالات استخدام وسيناريوهات شاملة، ومُصممة خصيصًا لنموذج أعمالها لمكافحة الاحتيال المالي؛ وذلك على سبيل المثال لا الحصر:
       
       أ. مراقبة سلوكيات جميع المستخدمين للكشف عن أي حالات غير اعتيادية بناءً على أفضل الممارسات؛
       
       ب. إدارة سلوكيات استخدام الجهاز؛
       
      13.4.يجب على المؤسسة المالية وضع إجراءات للتعامل مع حالات الاحتيال، مع الأخذ بعين الاعتبار خطوات التحقيق وإيقاف الحسابات.
       
      14.4.يجب على المؤسسة المالية وضع إجراءات لحماية "خصوصية البيانات" و"أمن البيانات" للحسابات. وتتضمن هذه البيانات على سبيل المثال لا الحصر "عرض اسم مالك الحساب".
       
      15.4.يجب  على المؤسسة المالية التأكد أن محتوى الرسائل النصية واضح ومباشر، وأن ينص على الغرض منها واسم المؤسسة المالية.
       
      16.4.يجب على المؤسسات المالية عكس جميع الضوابط الواردة في هذه الوثيقة ضمن السياسات الداخلية المُعتمدة من مجلس إدارتها، والعمل على مراجعة السياسات وفق إجراءات دورية.
       

      2 سيتم التعميم بالقيمة المحددة في المذكرة. وتخضع القيمة المحددة للمراجعة دوريًا وسيتم الإبلاغ رسميًا في حالة تغييرها.

    • 5. الضوابط الخاصة بطلبات التمويل

      يجب على المؤسسات المالية التمويلية تطبيق الضوابط الواردة أدناه، بالإضافة إلى الضوابط المذكورة أعلاه. 
       
      1.5.يجب على المؤسسة المالية تطبيق إجراءات للتحقق من ارتباط رقم الحساب المصرفي (IBAN) بمقدم طلب التمويل. 
       
      2.5.يجب على المؤسسة المالية التعامل مع مزود خدمة معتمد وموثوق به للتصديق الرقمي. (يرجى الرجوع إلى الملحق«أ» للمزيد من التفاصيل)
       
      3.5.التأكد من التطبيق الآمن لإجراءات إنشاء وحفظ وإدارة السند التنفيذي باستخدام جهة وطنية موثوقة (مثل نافذ). 
       
      4.5.يجب على المؤسسة المالية تطبيق إجراء الاتصال على العميل لتأكيد طلب التمويل.
       
      5.5.يجب إشعار العميل عبر الرسائل النصّية عند: 
       
       أ. قديم الطلب من قبل المستخدم. 
       
       ب. الموافقة على طلب التمويل أو رفضه.