الإجراءات الرقابية والتوعوية لموظفي الفروع وخدمة العملاء في البنوك والمصارف العاملة بالمملكة
الرقم: 42063179 التاريخ (م): 2021/4/17 | التاريخ (هـ): 1442/9/6 الحالة:نافذ استناداً إلى الصلاحيات المنوطة بالبنك المركزي السعودي بموجب الأنظمة والتعليمات ذات العلاقة، وانطلاقاً من دور البنك المركزي الرقابي والإشرافي في السعي نحو تعزيز الحفاظ على خصوصية عملاء المؤسسات المالية الخاضعة لإشرافها والعاملين فيها، واستمرار تحسين وتعزيز الممارسات السليمة في البنوك والمصارف.
مرافق طيه الإجراءات الرقابية والتوعوية لموظفي الفروع وخدمة العملاء في البنوك والمصارف العاملة بالمملكة، التي تهدف إلى الحد من المخاطر التشغيلية المتعلقة بالتعامل مع الأنظمة البنكية، وضمان تنفيذ العمليات وفقاً للأنظمة والتعليمات والصلاحيات المعتمدة لحماية البنوك والعملاء من التعرض للخسائر.
للإحاطة، والعمل بموجبه قبل نهاية الربع الثالث لعام 2021م.
أولاً: المقدّمة
أ. الهدف
تهدف هذه الإجراءات إلى وضع الحد الأدنى من الإجراءات الرقابية والتوعوية لموظفي الفروع وخدمة العملاء في البنوك والمصارف العاملة بالمملكة التي يجب الالتزام بها، للحد من المخاطر التشغيلية المتعلقة بالتعامل مع الأنظمة البنكية، وضمان تنفيذ العمليات وفقاً للأنظمة والتعليمات والصلاحيات المعتمدة لحماية البنوك والعملاء من التعرض للخسائر.
ب. النطاق
تُطبق هذه الإجراءات على البنوك والمصارف العاملة بالمملكة، دون الإخلال بأي أنظمة أو تعليمات أخرى ذات علاقة، على سبيل المثال لا الحصر: الدليل التنظيمي لأمن المعلومات، والدليل التنظيمي لإدارة استمرارية الأعمال.
ثانياً: التعريفات
يُقصد بالألفاظ والعبارات الآتية – أينما وردت في هذه الإجراءات – المعاني الموضّحة أمام كل منها، ما لم يقتضِ السياق خلاف ذلك:
البنك المركزي: البنك المركزي السعودي.
البنوك: البنوك والمصارف العاملة بالمملكة.
الفروع: فروع البنوك والمصارف التجارية العاملة بالمملكة.
الموظفون: موظفو الفروع وخدمة العملاء.
العملاء: عملاء البنوك.
ثالثاً: الإجراءات الرقابية
على البنوك الالتزام بدرجة النضج المطلوبة للدليل التنظيمي لأمن المعلومات، والدليل التنظيمي لإدارة استمرارية الأعمال، مع الأخذ بالاعتبار الآتي:
1. أن تتضمن السياسة الخاصة بأمن المعلومات الجوانب المتعلقة بأمن المعلومات لأعمال الموظفين، ومراجعتها بشكل دوري، وبحد أدنى الآتي:
أ. صلاحيات الدخول على الأنظمة البنكية، والتحقق من هوية من قام بعملية الدخول.
ب. ربط الصلاحيات على الأنظمة البنكية بالدرجات الوظيفية وتحديد مستوى الصلاحية لكل درجة وظيفية.
ج. إدارة كلمات المرور بما في ذلك الآتي:
1- أن تتكوّن كلمة المرور من أرقام وأحرف ورموز.
2- وجوب تغيير كلمة المرور كل ثلاثة أشهر.
3- في حال قيام الموظفين بإدخال بيانات الدخول الخاصة بالأنظمة البنكية بشكل خاطئ ثلاث مرات متتالية، فيتم تعليق اسم المستخدم ولا يتم استعادته إلا وفق إجراءات معيّنة حسب سياسة البنك الداخلية.
4- التأكيد على الموظفين بالمحافظة على حسابات المستخدم أو بيانات الدخول وعدم الإفصاح عنها أو مشاركتها.
د. تقييد الوصول للأجهزة والأنظمة المستخدمة في البنوك وفقاً لأفضل الممارسات المعتمدة في أمن المعلومات، واحتياجات العمل بناءً على مبدأ “Need-to-Know”، على سبيل المثال لا الحصر: إخفاء رصيد العملاء عن الموظفين التي لا تتطلب مهام عملهم معرفة الرصيد.
هـ. تحديد الممارسات والسياسات الأمنية للمحافظة على سرية المعلومات.
و. تحديد الممارسات المصرفية غير الآمنة وغير السليمة.
ز. وضع سيناريوهات لكشف العمليات المشبوهة عند الدخول على الأنظمة.
ح. عدم السماح بنسخ أو مشاركة البيانات أو تثبيت البرامج دون موافقة صاحب الصلاحية.
ط. وضع إجراءات الدخول والإغلاق والحفظ والتأكيد على إغلاق شاشة البيانات في حالة عدم استخدامها.
ي. أن تكون المصادقة وضوابط الدخول مبنيّة على مخاطر وحساسية الأنظمة والبيانات المراد الوصول إليها.
2- مراجعة الحد الأدنى من الصلاحيات للدخول على الأنظمة البنكية، وإجراء العمليات، والدخول إلى بيانات الحسابات البنكية، وبشكل دوري، وتوثيق ذلك في سجلات المراجعة الدورية.
3- إخفاء تواقيع وأرصدة العملاء لجميع الحسابات التي تكون بحالة غير مطالب بها أو متروكة.
4- مراقبة حسابات الموظفين المخصصة للدخول على الأنظمة البنكية، وحفظ كافة معلومات عمليات الدخول على معلومات الحسابات البنكية بشكل آلي للرجوع لها عند الحاجة ولمدة (5) سنوات كحد أدنى، على أن تتضمن المعلومات المحفوظة بحد أدنى الآتي:
أ. اسم الموظف والرقم الوظيفي.
ب. عنوان بروتوكول الانترنت “IP Address”.
ج. تاريخ ووقت الدخول.
د. الصلاحية.
هـ. المصادقة.
و. الإجراء الذي تم.
5- وضع كافة الضوابط التقنية والأمنية اللازمة التي تُمكّن من تحديد هوية الموظف الذي يستخدم جهاز الحاسب الآلي أو أي من الأنظمة البنكية بدقة.
6- تقييد السماح بالدخول على الأنظمة البنكية من خلال أجهزة الحاسب الآلي المتواجدة بالفروع بعد انتهاء ساعات العمل الرسمية، ووضع الضوابط الاحترازية اللازمة عند الحاجة للدخول على الأنظمة البنكية خارج أوقات العمل الرسمية.
7- التأكد من توفير الخطط والحلول البديلة لضمان استمرارية الأعمال وتمكين الوصول الآمن للأنظمة البنكية.
8- اتخاذ التدابير اللازمة في حال تبيّن الوصول إلى بيانات العملاء من قبل شخص غير مصرّح له.
9- التأكد من صلاحيات الدخول للموظفين ذوي الامتيازات الإدارية والموظفين الرئيسيين فقط، وقصر وصول الموظف المختص – مثل موظفي تقنية المعلومات والدعم الفني – إلى صيانة الشبكة، دون الوصول للمعلومات السرية للعملاء.
10- في حالة عمل صيانة لأنظمة الفرع، يجب التحقق من أن فريق الصيانة الخاصة بالفرع من ضمن الطاقم المدرجة أسمائهم لعمل الصيانة والمرسلة من الإدارة المختصة قبل المباشرة بالأعمال المطلوبة، مع وضع الإجراءات الرقابية الكافية.
رابعاً: الإجراءات التوعوية
على البنوك الالتزام بالآتي:
1. وضع سياسة خاصة بالاستخدام الآمن للأنظمة البنكية، وآلية التعامل مع اسم المستخدم وكلمة المرور للدخول على هذه الأنظمة، وأن يتم مراجعتها بشكل دوري.
2. توعية الموظفين بضرورة التأكد من عدم مراقبة الغير لهم عند إدخالهم لاسم المستخدم أو كلمة المرور.
3. تدريب وتأهيل الموظفين بالحد الأدنى من المعلومات المتعلقة بمجال أمن المعلومات.
4. التوعية الدورية للموظفين بالتعليمات الصادرة عن البنك المركزي والسياسات التي لدى البنوك في شأنها، وخاصة ما يتعلق بسرية المعلومات والبيانات التي تخص حسابات العملاء، والعقوبات المترتبة على مخالفتها من خلال حملات ونشرات توعوية مستمرة وبحد أدنى مرة كل ثلاثة أشهر.
5. التوعية الدورية للموظفين في مجال أمن المعلومات، ومكافحة الاحتيال المالي من خلال حملات ونشرات توعوية مستمرة وبحد أدنى مرة كل ثلاثة أشهر.
6. إجراء اختبارات ودراسات استقصائية (Survey) بشكل دوري للموظفين وبحد أدنى مرة كل ستة أشهر للتحقق من كفاءة وفاعلية الإجراءات التوعوية المشار إليها في البندين رقم (4) و(5) أعلاه.
7. الحصول على إقرار من الموظفين عند مباشرتهم العمل، وبشكل سنوي (ورقياً أو إلكترونياً) بالاطلاع والالتزام بكافة السياسات المتعلقة بالاستخدام الآمن للأنظمة البنكية وآلية التعامل مع اسم المستخدم وكلمة المرور الخاصة بها.
خامساً: أحكام عامة
1. تُقرأ هذه الإجراءات جنباً إلى جنب مع كافة الأنظمة والتعليمات ذات العلاقة.
2. تُعد هذه الإجراءات حداً أدنى لما يجب اتخاذه من البنوك تجاه تفعيل الجانب الرقابي والتوعوي للموظفين.
3. يجب مراجعة السياسات والأدلة والإجراءات الحالية وتطويرها وبشكل دوري بما يضمن توافقها مع ما ورد في هذه الإجراءات، والتعليمات ذات العلاقة.
4. تكليف أحد الإدارات الرقابية (إدارة المراجعة الداخلية أو إدارة الالتزام) بإجراء فحص أو مراجعة بشكل دوري (سنتين كحد أقصى) للتحقق من تطبيق المتطلبات الواردة في هذه الإجراءات.
إطلاق تجريبي
يعتبر دخولك واستخدامك لكتيب قواعد الإطار التنظيمي للبنك المركزي السعودي ومحتواه قبولاً وإقراراً منك دون أي قيد أو شرط للالتزام والموافقة على الآتي:
كتيب قواعد الإطار التنظيمي للبنك المركزي السعودي هو منصة تهدف إلى مساعدة الجهات الخاضعة لرقابة البنك المركزي على الوصول إلى المحتوى التنظيمي للبنك المركزي السعودي بسهولة وكفاءة. لا يزال كتيب قواعد الإطار التنظيمي في مرحلة التطويروالإطلاق التجريبي. البنك المركزي السعودي غير مسؤول عن محتوياته ولا يضمن بأن (الخدمات المتعلقة بالمنصة أو المعلومات أو المواد المعروضة) خالية من أي سهو أو أخطاء. لا يتحمل البنك المركزي السعودي أي مسؤولية عن أي خسارة أو مطالبة أو ضرر ناتج عن أي استخدام للمنصة، وأي قرارات أو إجراءات يتم اتخاذها بناء على المعلومات الواردة في المنصة أو الناتجة عنها.
ليس لكتيب القواعد أي أثر قانوني ولا يهدف إلى تعديل أو إلغاء أي أحكام قانونية. كما أنه لايزال يحتوي على وثائق هي قيد المراجعة بما فيها الوثائق المترجمة. وفي هذا الشأن؛ يؤكد البنك المركزي على كافة المؤسسات المالية المشمولة برقابته وإشرافه؛ ضرورةَ الالتزام دوماً بما يصدر عن البنك المركزي من تعليمات، ومتابعة التحديثات لهذه التعليمات، وعدم الاعتماد على ما هو منشور على المنصة.
مع عدم الإخلال بشروط استخدام موقع البنك المركزي السعودي، فإنك تقر بأن أي استخدام غير قانوني أو غير مصرح به و/أو أي خرق لأي من هذه الأحكام قد يؤدي إلى اتخاذ إجراءات قانونية ضدك.
يعتبر دخولك واستخدامك لكتيب قواعد الإطار التنظيمي للبنك المركزي السعودي ومحتواه قبولاً وإقراراً منك دون أي قيد أو شرط للالتزام والموافقة على الآتي:
كتيب قواعد الإطار التنظيمي للبنك المركزي السعودي هو منصة تهدف إلى مساعدة الجهات الخاضعة لرقابة البنك المركزي على الوصول إلى المحتوى التنظيمي للبنك المركزي السعودي بسهولة وكفاءة. لا يزال كتيب قواعد الإطار التنظيمي في مرحلة التطويروالإطلاق التجريبي. البنك المركزي السعودي غير مسؤول عن محتوياته ولا يضمن بأن (الخدمات المتعلقة بالمنصة أو المعلومات أو المواد المعروضة) خالية من أي سهو أو أخطاء. لا يتحمل البنك المركزي السعودي أي مسؤولية عن أي خسارة أو مطالبة أو ضرر ناتج عن أي استخدام للمنصة، وأي قرارات أو إجراءات يتم اتخاذها بناء على المعلومات الواردة في المنصة أو الناتجة عنها.
ليس لكتيب القواعد أي أثر قانوني ولا يهدف إلى تعديل أو إلغاء أي أحكام قانونية. كما أنه لايزال يحتوي على وثائق هي قيد المراجعة بما فيها الوثائق المترجمة. وفي هذا الشأن؛ يؤكد البنك المركزي على كافة المؤسسات المالية المشمولة برقابته وإشرافه؛ ضرورةَ الالتزام دوماً بما يصدر عن البنك المركزي من تعليمات، ومتابعة التحديثات لهذه التعليمات، وعدم الاعتماد على ما هو منشور على المنصة.
مع عدم الإخلال بشروط استخدام موقع البنك المركزي السعودي، فإنك تقر بأن أي استخدام غير قانوني أو غير مصرح به و/أو أي خرق لأي من هذه الأحكام قد يؤدي إلى اتخاذ إجراءات قانونية ضدك.