4.4. المصادقة

إطلاق تجريبي

يعتبر دخولك واستخدامك لكتيب قواعد الإطار التنظيمي للبنك المركزي السعودي ومحتواه قبولاً وإقراراً منك دون أي قيد أو شرط للالتزام والموافقة على الآتي:

كتيب قواعد الإطار التنظيمي للبنك المركزي السعودي هو منصة تهدف إلى مساعدة الجهات الخاضعة لرقابة البنك المركزي على الوصول إلى المحتوى التنظيمي للبنك المركزي السعودي بسهولة وكفاءة. لا يزال كتيب قواعد الإطار التنظيمي في مرحلة التطويروالإطلاق التجريبي. البنك المركزي السعودي غير مسؤول عن محتوياته ولا يضمن بأن (الخدمات المتعلقة بالمنصة أو المعلومات أو المواد المعروضة) خالية من أي سهو أو أخطاء. لا يتحمل البنك المركزي السعودي أي مسؤولية عن أي خسارة أو مطالبة أو ضرر ناتج عن أي استخدام للمنصة، وأي قرارات أو إجراءات يتم اتخاذها بناء على المعلومات الواردة في المنصة أو الناتجة عنها.

ليس لكتيب القواعد أي أثر قانوني ولا يهدف إلى تعديل أو إلغاء أي أحكام قانونية. كما أنه لايزال يحتوي على وثائق هي قيد المراجعة بما فيها الوثائق المترجمة. وفي هذا الشأن؛ يؤكد البنك المركزي على كافة المؤسسات المالية المشمولة برقابته وإشرافه؛ ضرورةَ الالتزام دوماً بما يصدر عن البنك المركزي من تعليمات، ومتابعة التحديثات لهذه التعليمات، وعدم الاعتماد على ما هو منشور على المنصة.

مع عدم الإخلال بشروط استخدام موقع البنك المركزي السعودي، فإنك تقر بأن أي استخدام غير قانوني أو غير مصرح به و/أو أي خرق لأي من هذه الأحكام قد يؤدي إلى اتخاذ إجراءات قانونية ضدك.

الرقم: 44021528

التاريخ (م): 2022/10/11 | التاريخ (هـ): 1444/3/16

الحالة: نافذ

هذه النسخة مترجمة و قد يطرأ عليها تعديلات لاحقا. يجب الاستناد على التعليمات الواردة في الوثيقة الأصلية

المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ والحفاظ على معيار للمصادقة على بيانات اعتماد وتعليمات العملاء والموظفين والأطراف الخارجية لضمان حماية المعلومات ومنع الوصول أو الإجراءات غير المصرح بها. يجب أن يكون هذا قائمًا على المخاطر ويستخدم المصادقة متعددة العوامل.
متطلبات الرقابة
أ.	يجب على المؤسسة المالية تحديد معيار المصادقة والموافقة عليه وتنفيذه والحفاظ عليه مع مدخلات من إدارة مكافحة الاحتيال المالي وفريق الأمن السيبراني.
ب.	يجب أن يراعي معيار المصادقة الخاص بالمؤسسة المالية المخاطر المحددة في تقييم مخاطر الاحتيال وتقييم مخاطر الأمن السيبراني.
ج.	يجب أن يراعي معيار المصادقة وصول العملاء إلى المنتجات والخدمات، ووصول الموظفين والأطراف الخارجية إلى أنظمة المؤسسات المالية.
د.	عند تحديد معيار المصادقة، يجب على المؤسسات المالية أن تراعي متطلبات الرقابة التالية الموضحة في الدليل التتنظيمي لأمن المعلومات:
	1.	5.3.3 إدارة الهوية والوصول
	2.	13.3.3 الخدمات المصرفية الإلكترونية
هـ.	يجب أن يغطي معيار المصادقة الخاص بالمؤسسة المالية القنوات الرقمية (مثل الخدمات عبر الإنترنت وتطبيقات الهاتف المحمول) والقنوات غير الرقمية (مثل الهاتف وأجهزة الصّراف الآلي والفروع).
و.	يجب على المؤسسات المالية أن تتبنى نهجًا قائمًا على المخاطر في المصادقة مع تعليمات أو أنشطة ذات مخاطر أعلى تخضع للمصادقة متعددة العوامل قبل اتخاذ إجراء بشأنها.
ز.	يجب ألا تتألف المصادقة متعددة العوامل التي تجريها المؤسسات المالية لتحديد الهوية أو التحقق من المعاملة من كلمات مرور لمرة واحدة يتم إرسالها عبر الرسائل النصية القصيرة فقط. يجب على المؤسسات المالية تنفيذ عوامل إضافية، بما في ذلك على سبيل المثال لا الحصر:
	1.	الموافقة على المعاملات من خلال تطبيق الهاتف المحمول (على سبيل المثال، إرسال إشعار دفع إلى تطبيق الهاتف المحمول على جهاز موثوق به).
	2.	خصائص الجهاز (على سبيل المثال، جهاز محمول موثوق به/معروف).
	3.	تحديد الموقع الجغرافي (على سبيل المثال، التحقق من الموقع أو عنوان بروتوكول الإنترنت أو التحقق من شبكة الهاتف المحمول).
	4.	السمات السلوكية (على سبيل المثال، الاختلافات في حجم المعاملة المعتادة و/أو القيمة و/أو الوتيرة و/أو العملة).
	5.	السمات السلوكية البيومترية (على سبيل المثال، تحديد التغييرات في الطريقة التي يستخدم بها العميل أو الموظف المتصفح أو الجهاز).
ح.	عند إرسال كلمة مرور لمرة واحدة عبر الرسائل النصية القصيرة، يجب تحديد الغرض والمبلغ واسم التاجر بوضوح بما يتماشى مع نماذج الإشعارات المعتمدة من البنك المركزي.
ط.	يجب أن تكون كلمات المرور لمرة واحدة المُرسلة عبر الرسائل النصية القصيرة باللغة التي يحددها العميل في الحساب (على سبيل المثال، العربية أو الإنجليزية).
ي.	يجب على المؤسسات المالية تحديد التعليمات أو الأنشطة عالية المخاطر في معيار المصادقة، التي يجب أن تتضمن، على سبيل المثال لا الحصر، ما يلي:
	1.	عملية التسجيل للوصول إلى المنتج عبر الإنترنت أو تطبيق الهاتف المحمول.
	2.	تفعيل رمز مميز (token) على جهاز جديد أو إضافي.
	3.	إضافة بطاقة ائتمان/خصم إلى المحفظة الرقمية على جهاز محمول.
	4.	إعادة تعيين بيانات اعتماد الأمان بعد المحاولات الفاشلة للوصول إلى الهاتف أو الإنترنت أو المرافق البعيدة.
	5.	تسجيل الدخول إلى المنتجات الرقمية من جهاز أو موقع غير معروف مسبقًا.
	6.	المدفوعات إلى المحفظة الإلكترونية أو المحفظة الرقمية.
	7.	المعاملات أو عمليات السحب أو تحويل الأموال عالية المخاطر (على سبيل المثال، تجاوز الحدود/العتبات المحددة مسبقًا، أو التحويلات الكبيرة نسبيًا مقارنة بالرصيد الإجمالي أو التحويلات/التحويلات الدولية).
	8.	إضافة أو تعديل المستفيدين.
	9.	تغيير بيانات صاحب الحساب (مثل العنوان أو بيانات التواصل).
	10.	تغيير اللغة المُستخدمة في الحساب (على سبيل المثال، من العربية إلى الإنجليزية).
	11.	إعادة تعيين كلمة المرور أو رقم التعريف الشخصي.
	12.	إصدار وتفعيل بطاقة خصم/ائتمان الجديدة.
	13.	إعادة تنشيط الحسابات الخاملة أو الخدمات المحظورة.
	14.	مجموعة من الأنشطة التي قد تشير إلى الاحتيال أو الاستيلاء على الحساب (على سبيل المثال، درجة المخاطر المجمعة بعد محاولات تسجيل الدخول الفاشلة، أو شراء بطاقات الهدايا، أو استخدام جهاز جديد أو تحديد الموقع الجغرافي الجديد).
ك.	يجب أن تطلب المؤسسات المالية عامل مصادقة خارجيًا (على سبيل المثال، مكالمة هاتفية إلى الرقم الموجود في الحساب الذي يتطلب التحقق من المعلومات الآمنة، أو زيارة فعلية إلى أحد الفروع، أو إنشاء رمز مميز (token) بكلمة مرور مؤقتة مرتبطة بجهاز، أو كلمة مرور لمرة واحدة) للتحقق من صحة تعليمات عندما:
	1.	يتم اكتشاف محاولة تسجيل دخول المستخدم إلى خدمات الهاتف المحمول والإنترنت كجلسة شاذة (على سبيل المثال، يختلف معرف الجهاز أو الموقع عن معايير تسجيل الدخول المعروفة مسبقًا أو يتم وضع علامة على عنوان بروتوكول الإنترنت باعتباره خطرًا).
	2.	يتم توجيه المعاملة من جهاز غير موثوق به إلى مستفيد تمت إضافته حديثًا.
	3.	تجاوز معدل تحويل غير طبيعي (على سبيل المثال، خمس عمليات تحويل في الساعة لعميل تجزئة).
ل.	يجب على المؤسسات المالية تقييد النشاط إذا تم تحديد جلسة شاذة على المعاملات ذات المستوى المنخفض حتى تتمكن المؤسسة من مصادقة الطلب الصادر من العميل الحقيقي ويمكنها جعل الجهاز موثوقًا به.
	1.	يجب أن تحدد المؤسسة المالية المعاملات ذات المستوى المنخفض في معايير منع الاحتيال (راجع 6.4).