4. الضوابط العامة
| الرقم: 202200000245 | التاريخ (م): 2022/4/21 | التاريخ (هـ): 1443/9/20 | الحالة: نافذ |
Effective from Apr 21 2022 - Apr 20 2022
To view other versions open the versions tab on the right
| 1.4. | يجب على المؤسسة المالية تنفيذ متطلبات الأمن السيبراني التنظيمية الصادرة عن البنك المركزي السعودي. | |
| 2.4. | يجب على المؤسسة المالية استخدام متاجر التطبيقات الرسمية. | |
| 3.4. | يجب على المؤسسة المالية تطوير آلية تقييد التثبيت لأجهزة تصعيد الامتيازات مثل "Jailbreak" لنظام التشغيل iOS و"Root" لنظام التشغيل Android أو أي نظام تشغيل مفتوح المصدر، مع مراعاة أن يتم تثبيت التطبيق من خلال المتاجر الرسمية. | |
| 4.4. | يجب أن تضع المؤسسة المالية تدابير طوارئ في حالة وقوع كارثة وضمان إجراءات النسخ الاحتياطي والاسترداد الفعالة. | |
| 5.4. | يجب أن تغطي الشروط والأحكام خصوصية البيانات، مع مراعاة موافقة العميل على عرض اسم صاحب الحساب. | |
| 6.4. | يجب على المؤسسة المالية إجراء برنامج توعية لجميع المستخدمين بانتظام، ويجب أن يغطي الشروط والأحكام والوعي الأمني العام مثل مشاركة المعلومات السرية (كلمة المرور أو كلمة المرور لمرة واحدة). | |
| 7.4. | يجب على المؤسسة المالية إعداد سياسة الحسابات غير النشطة. | |
| 8.4. | يجب تنفيذ المصادقة متعددة العوامل (MFA) لمصادقة كل تسجيل دخول. | |
| 9.4. | ينبغي تطبيق آلية كلمة المرور لمرة واحدة (OTP) للعمليات التالية: | |
| أ. | التحويل بين محفظة إلى أخرى (لأول مرة كحد أدنى لكل مستفيد) أدناه (القيمة المحددة)2؛ | |
| ب. | إجراء أي معاملة في سوق التطبيقات؛ | |
| ج. | سداد الفواتير وفواتير المرافق والخدمات الحكومية (لأول مرة كحد أدنى لكل فاتورة)؛ | |
| د. | إعادة تعيين كلمة المرور؛ | |
| هـ. | إعادة تنشيط المحافظ؛ | |
| و. | المعاملات المحفوفة بالمخاطر بناءً على تقييم الشركة وحالات الاستخدام. | |
| 10.4. | يجب استخدام كلمة المرور لمرة واحدة في قناة واحدة وباستخدام قناة توصيل مختلفة للمعاملات التالية: | |
| أ. | أي معاملة بين المحافظ تتجاوز (القيمة المُحددة) كحد يومي (لأول مرة كحد أدنى لكل مستفيد) | |
| ب. | التحويل إلى رقم الحساب المصرفي الدولي (لأول مرة كحد أدنى لكل مستفيد) | |
| ج. | التحويل الدولي (لأول مرة كحد أدنى لكل مستفيد) | |
| د. | المعاملات عالية المخاطر بناءً على تقييم الشركة وحالات الاستخدام | |
| 11.4. | يجب إرسال إشعار عبر الرسائل القصيرة إلى المستخدمين بشأن جميع المعاملات وتغييرات حساب المستخدم. | |
| 12.4. | يجب على المؤسسة المالية أن تنظر في استخدام حالات الاستخدام الشاملة والسيناريوهات المُصممة خصيصًا لنموذج أعمالها لمكافحة الاحتيال؛ بما في ذلك على سبيل المثال لا الحصر: | |
| أ. | مراقبة سلوك جميع المستخدمين للكشف عن أي حالات شاذة بناءً على أفضل الممارسات؛ | |
| ب. | إدارة سلوك استخدام الجهاز؛ | |
| 13.4. | يجب على المؤسسة المالية إعداد عملية للتعامل مع حالات الاحتيال، مع الأخذ في الاعتبار خطوات التحقيق وتعطيل الحسابات. | |
| 14.4. | يجب على المؤسسة المالية إعداد عملية لحماية "خصوصية البيانات" و"أمن البيانات" لهذه الحسابات. تتضمن هذه المعلومات "عرض اسم مالك الحساب". | |
| 15.4. | يجب على المؤسسة المالية التأكد أن محتوى الرسائل النصية القصيرة واضح ومباشر، مع ذكر الغرض من الرسائل القصيرة وإسم المؤسسة المالية | |
| 16.4. | يجب أن تعكس المؤسسات المالية جميع الضوابط الواردة في هذه الوثيقة ضمن السياسات الداخلية المُعتمدة من مجلس إداراة المؤسسات، ويجب أن يكون لديها عملية للمراجعة الدورية للسياسات. | |
2 سيتم تعميم القيمة المحددة في المذكرة. ستتم مراجعة القيمة دوريًا وسيتم تعميمها رسميًا في حالة تغييرها.