4. الضوابط العامة
| الرقم: 202200000245 | التاريخ (م): 2022/4/21 | التاريخ (هـ): 1443/9/20 |
Effective from Apr 21 2022 - Apr 20 2022
To view other versions open the versions tab on the right
| 1.4. | يجب على المنظمة العضو تنفيذ متطلبات الأمن السيبراني التنظيمية الصادرة عن البنك المركزي السعودي. | |
| 2.4. | يجب على المنظمة العضو استخدام متاجر التطبيقات الرسمية. | |
| 3.4. | يجب على المنظمة العضو تطوير آلية تقييد التثبيت لأجهزة تصعيد الامتيازات مثل "Jailbreak" لنظام التشغيل iOS و"Root" لنظام التشغيل Android أو أي نظام تشغيل مفتوح المصدر، مع مراعاة أن يتم تثبيت التطبيق من خلال المتاجر الرسمية. | |
| 4.4. | يجب أن تضع المنظمة العضو تدابير طوارئ في حالة وقوع كارثة وضمان إجراءات النسخ الاحتياطي والاسترداد الفعالة. | |
| 5.4. | يجب أن تغطي الشروط والأحكام خصوصية البيانات، مع مراعاة موافقة العميل على عرض اسم صاحب الحساب. | |
| 6.4. | يجب على المنظمة العضو إجراء برنامج توعية لجميع المستخدمين بانتظام، ويجب أن يغطي الشروط والأحكام والوعي الأمني العام مثل مشاركة المعلومات السرية (كلمة المرور أو كلمة المرور لمرة واحدة). | |
| 7.4. | يجب على المنظمة العضو إعداد سياسة الحسابات غير النشطة. | |
| 8.4. | يجب تنفيذ المصادقة متعددة العوامل (MFA) لمصادقة كل تسجيل دخول. | |
| 9.4. | ينبغي تطبيق آلية كلمة المرور لمرة واحدة (OTP) للعمليات التالية: | |
| أ. | التحويل بين محفظة إلى أخرى (لأول مرة كحد أدنى لكل مستفيد) أدناه (القيمة المحددة)2؛ | |
| ب. | إجراء أي معاملة في سوق التطبيقات؛ | |
| ج. | سداد الفواتير وفواتير المرافق والخدمات الحكومية (لأول مرة كحد أدنى لكل فاتورة)؛ | |
| د. | إعادة تعيين كلمة المرور؛ | |
| هـ. | إعادة تنشيط المحافظ؛ | |
| و. | المعاملات المحفوفة بالمخاطر بناءً على تقييم الشركة وحالات الاستخدام. | |
| 10.4. | يجب استخدام كلمة المرور لمرة واحدة في قناة واحدة وباستخدام قناة توصيل مختلفة للمعاملات التالية: | |
| أ. | أي معاملة بين المحافظ تتجاوز (القيمة المُحددة) كحد يومي (لأول مرة كحد أدنى لكل مستفيد) | |
| ب. | التحويل إلى رقم الحساب المصرفي الدولي (لأول مرة كحد أدنى لكل مستفيد) | |
| ج. | التحويل الدولي (لأول مرة كحد أدنى لكل مستفيد) | |
| د. | المعاملات عالية المخاطر بناءً على تقييم الشركة وحالات الاستخدام | |
| 11.4. | يجب إرسال إشعار عبر الرسائل القصيرة إلى المستخدمين بشأن جميع المعاملات وتغييرات حساب المستخدم. | |
| 12.4. | يجب على المنظمة العضو أن تنظر في استخدام حالات الاستخدام الشاملة والسيناريوهات المُصممة خصيصًا لنموذج أعمالها لمكافحة الاحتيال؛ بما في ذلك على سبيل المثال لا الحصر: | |
| أ. | مراقبة سلوك جميع المستخدمين للكشف عن أي حالات شاذة بناءً على أفضل الممارسات؛ | |
| ب. | إدارة سلوك استخدام الجهاز؛ | |
| 13.4. | يجب على المنظمة العضو إعداد عملية للتعامل مع حالات الاحتيال، مع الأخذ في الاعتبار خطوات التحقيق وتعطيل الحسابات. | |
| 14.4. | يجب على المنظمة العضو إعداد عملية لحماية "خصوصية البيانات" و"أمن البيانات" لهذه الحسابات. تتضمن هذه المعلومات "عرض اسم مالك الحساب". | |
| 15.4. | يجب على المنظمة العضو التأكد أن محتوى الرسائل النصية القصيرة واضح ومباشر، مع ذكر الغرض من الرسائل القصيرة واسم المنظمة العضو | |
| 16.4. | يجب أن تعكس المنظمات الأعضاء جميع الضوابط الواردة في هذه الوثيقة ضمن السياسات الداخلية المُعتمدة من مجلس إدارات المنظمات، ويجب أن يكون لديها عملية للمراجعة الدورية للسياسات. | |
2 سيتم تعميم القيمة المحددة في المذكرة. ستتم مراجعة القيمة دوريًا وسيتم تعميمها رسميًا في حالة تغييرها.