4.4. المصادقة

إطلاق تجريبي

يعتبر دخولك واستخدامك لكتيب قواعد الإطار التنظيمي للبنك المركزي السعودي ومحتواه قبولاً وإقراراً منك دون أي قيد أو شرط للالتزام والموافقة على الآتي:

كتيب قواعد الإطار التنظيمي للبنك المركزي السعودي هو منصة تهدف إلى مساعدة الجهات الخاضعة لرقابة البنك المركزي على الوصول إلى المحتوى التنظيمي للبنك المركزي السعودي بسهولة وكفاءة. لا يزال كتيب قواعد الإطار التنظيمي في مرحلة التطويروالإطلاق التجريبي. البنك المركزي السعودي غير مسؤول عن محتوياته ولا يضمن بأن (الخدمات المتعلقة بالمنصة أو المعلومات أو المواد المعروضة) خالية من أي سهو أو أخطاء. لا يتحمل البنك المركزي السعودي أي مسؤولية عن أي خسارة أو مطالبة أو ضرر ناتج عن أي استخدام للمنصة، وأي قرارات أو إجراءات يتم اتخاذها بناء على المعلومات الواردة في المنصة أو الناتجة عنها.

ليس لكتيب القواعد أي أثر قانوني ولا يهدف إلى تعديل أو إلغاء أي أحكام قانونية. كما أنه لايزال يحتوي على وثائق هي قيد المراجعة بما فيها الوثائق المترجمة. وفي هذا الشأن؛ يؤكد البنك المركزي على كافة المؤسسات المالية المشمولة برقابته وإشرافه؛ ضرورةَ الالتزام دوماً بما يصدر عن البنك المركزي من تعليمات، ومتابعة التحديثات لهذه التعليمات، وعدم الاعتماد على ما هو منشور على المنصة.

مع عدم الإخلال بشروط استخدام موقع البنك المركزي السعودي، فإنك تقر بأن أي استخدام غير قانوني أو غير مصرح به و/أو أي خرق لأي من هذه الأحكام قد يؤدي إلى اتخاذ إجراءات قانونية ضدك.

الرقم: 44021528

التاريخ (م): 2022/10/11 | التاريخ (هـ): 1444/3/16

Effective from Oct 11 2022 - Oct 10 2022
To view other versions open the versions tab on the right

المبدأ
يجب على المنظمات الأعضاء تحديد واعتماد وتنفيذ والحفاظ على معيار للمصادقة على بيانات اعتماد وتعليمات العملاء والموظفين والأطراف الخارجية لضمان حماية المعلومات ومنع الوصول أو الإجراءات غير المصرح بها. يجب أن يكون هذا قائمًا على المخاطر ويستخدم المصادقة متعددة العوامل.
متطلبات الرقابة
أ.	يجب على المنظمة العضو تحديد معيار المصادقة والموافقة عليه وتنفيذه والحفاظ عليه مع مدخلات من إدارة مكافحة الاحتيال وفريق الأمن السيبراني.
ب.	يجب أن يراعي معيار المصادقة الخاص بالمنظمة العضو المخاطر المحددة في تقييم مخاطر الاحتيال وتقييم مخاطر الأمن السيبراني.
ج.	يجب أن يراعي معيار المصادقة وصول العملاء إلى المنتجات والخدمات، ووصول الموظفين والأطراف الخارجية إلى أنظمة المنظمات الأعضاء.
د.	عند تحديد معيار المصادقة، يجب على المنظمات الأعضاء أن تراعي متطلبات الرقابة التالية الموضحة في إطار الأمن السيبراني:
	1.	3.3.5 إدارة الهوية والوصول
	2.	3.3.13 الخدمات المصرفية الإلكترونية
هـ.	يجب أن يغطي معيار المصادقة الخاص بالمنظمة العضو القنوات الرقمية (مثل الخدمات عبر الإنترنت وتطبيقات الهاتف المحمول) والقنوات غير الرقمية (مثل الهاتف وأجهزة الصّراف الآلي والفروع).
و.	يجب على المنظمات الأعضاء أن تتبنى نهجًا قائمًا على المخاطر في المصادقة مع تعليمات أو أنشطة ذات مخاطر أعلى تخضع للمصادقة متعددة العوامل قبل اتخاذ إجراء بشأنها.
ز.	يجب ألا تتألف المصادقة متعددة العوامل التي تجريها المنظمات الأعضاء لتحديد الهوية أو التحقق من المعاملة من كلمات مرور لمرة واحدة يتم إرسالها عبر الرسائل النصية القصيرة فقط. يجب على المنظمات الأعضاء تنفيذ عوامل إضافية، بما في ذلك على سبيل المثال لا الحصر:
	1.	الموافقة على المعاملات من خلال تطبيق الهاتف المحمول (على سبيل المثال، إرسال إشعار دفع إلى تطبيق الهاتف المحمول على جهاز موثوق به).
	2.	خصائص الجهاز (على سبيل المثال، جهاز محمول موثوق به/معروف).
	3.	تحديد الموقع الجغرافي (على سبيل المثال، التحقق من الموقع أو عنوان بروتوكول الإنترنت أو التحقق من شبكة الهاتف المحمول).
	4.	السمات السلوكية (على سبيل المثال، الاختلافات في حجم المعاملة المعتادة و/أو القيمة و/أو الوتيرة و/أو العملة).
	5.	السمات السلوكية البيومترية (على سبيل المثال، تحديد التغييرات في الطريقة التي يستخدم بها العميل أو الموظف المتصفح أو الجهاز).
ح.	عند إرسال كلمة مرور لمرة واحدة عبر الرسائل النصية القصيرة، يجب تحديد الغرض والمبلغ واسم التاجر بوضوح بما يتماشى مع نماذج الإشعارات المعتمدة من البنك المركزي السعودي.
ط.	يجب أن تكون كلمات المرور لمرة واحدة المُرسلة عبر الرسائل النصية القصيرة باللغة التي يحددها العميل في الحساب (على سبيل المثال، العربية أو الإنجليزية).
ي.	يجب على المنظمات الأعضاء تحديد التعليمات أو الأنشطة عالية المخاطر في معيار المصادقة، التي يجب أن تتضمن، على سبيل المثال لا الحصر، ما يلي:
	1.	عملية التسجيل للوصول إلى المنتج عبر الإنترنت أو تطبيق الهاتف المحمول.
	2.	تفعيل رمز مميز (توكين) على جهاز جديد أو إضافي.
	3.	إضافة بطاقة ائتمان/خصم إلى المحفظة الرقمية على جهاز محمول.
	4.	إعادة تعيين بيانات اعتماد الأمان بعد المحاولات الفاشلة للوصول إلى الهاتف أو الإنترنت أو المرافق البعيدة.
	5.	تسجيل الدخول إلى المنتجات الرقمية من جهاز أو موقع غير معروف مسبقًا.
	6.	المدفوعات إلى المحفظة الإلكترونية أو المحفظة الرقمية.
	7.	المعاملات أو عمليات السحب أو تحويل الأموال عالية المخاطر (على سبيل المثال، تجاوز الحدود/العتبات المحددة مسبقًا، أو التحويلات الكبيرة نسبيًا مقارنة بالرصيد الإجمالي أو التحويلات/التحويلات الدولية).
	8.	إضافة أو تعديل المستفيدين.
	9.	تغيير بيانات صاحب الحساب (مثل العنوان أو بيانات التواصل).
	10.	تغيير اللغة المُستخدمة في الحساب (على سبيل المثال، من العربية إلى الإنجليزية).
	11.	إعادة تعيين كلمة المرور أو رقم التعريف الشخصي.
	12.	إصدار وتفعيل بطاقة خصم/ائتمان الجديدة.
	13.	إعادة تنشيط الحسابات الخاملة أو الخدمات المحظورة.
	14.	مجموعة من الأنشطة التي قد تشير إلى الاحتيال أو الاستيلاء على الحساب (على سبيل المثال، درجة المخاطر المجمعة بعد محاولات تسجيل الدخول الفاشلة، أو شراء بطاقات الهدايا، أو استخدام جهاز جديد أو تحديد الموقع الجغرافي الجديد).
ك.	يجب أن تطلب المنظمات الأعضاء عامل مصادقة خارجيًا (على سبيل المثال، مكالمة هاتفية إلى الرقم الموجود في الحساب الذي يتطلب التحقق من المعلومات الآمنة، أو زيارة فعلية إلى أحد الفروع، أو إنشاء رمز مميز (توكين) بكلمة مرور مؤقتة مرتبطة بجهاز، أو كلمة مرور لمرة واحدة) للتحقق من صحة تعليمات عندما:
	1.	يتم اكتشاف محاولة تسجيل دخول المستخدم إلى خدمات الهاتف المحمول والإنترنت كجلسة شاذة (على سبيل المثال، يختلف معرف الجهاز أو الموقع عن معلمات تسجيل الدخول المعروفة مسبقًا أو يتم وضع علامة على عنوان بروتوكول الإنترنت باعتباره خطرًا).
	2.	يتم توجيه المعاملة من جهاز غير موثوق به إلى مستفيد تمت إضافته حديثًا.
	3.	تجاوز معدل تحويل غير طبيعي (على سبيل المثال، خمس عمليات تحويل في الساعة لعميل تجزئة).
ل.	يجب على المنظمات الأعضاء تقييد النشاط إذا تم تحديد جلسة شاذة على المعاملات ذات المستوى المنخفض حتى تتمكن المنظمة من مصادقة الطلب الصادر من العميل الحقيقي ويمكنها جعل الجهاز موثوقًا به.
	1.	يجب أن تحدد المنظمة العضو المعاملات ذات المستوى المنخفض في معايير منع الاحتيال (راجع 4.6).