اعتمد البنك المركزي القواعد المنظمة لخدمات شبكة المدفوعات اللحظية داخل جمهورية مصر العربية، وذلك في إطار توجهات البنك المركزي المصري نحو المساهمة في التحول إلى مجتمع أقل اعتماداً على أوراق النقد، والاسهام في رفع مستوى فاعلية وكفاءة البنية التحية لنظم وخدمات الدفع للقطاع المصرفي وذلك بهدف إتاحة إتمام المعاملات المالية للعملاء بصورة لحظية على مدار الساعة.
وشدد فيها إنه يجب على الإدارة العليا ضمان تحليل المخاطر المرتبطة بالمدفوعات اللحظية حال قيام البنك بتقديم هذه الخدمة والحد منها بالطرق الملائمة، وذلك وفقا لما يأتي:
-تحليل المخاطر الخاصة بتنفيذ المعاملات اللحظية قبل إطلاقها.
-إعداد إجراءات مناسبة لمراقبة المخاطر التي يتم تحديدها والحد منها.
المراجعة المستمرة لتقييم نتائج الخدمات المقدمة من خلال شبكة المدفوعات اللحظية وفقا للخطط والأهداف المحددة.
-الإشراف على التطوير والصيانة المستمرة للبنية التحتية للرقابة الأمنية التي توفر الحماية المناسبة لنظم وبيانات المعاملات التي يتم تنفيذها من خلال شبكة المدفوعات اللحظية من أي تهديدات داخلية أو خارجية، ومن أجل ضمان فعالية عملية المعاملات المالية، يجب على الإدارة العليا التأكد من اتخاذ الإجراءات الآتية:
-تحديد مسئوليات واضحة خاصة بالإشراف على وضع وإدارة السياسات الأمنية الخاصة بالبنك.
توفير الحماية اللازمة لمنع دخول الأشخاص غير المصرح لهم إلى بيئة الحاسب الآلي، والتي تتضمن كافة الأنظمة الحيوية وخوادم الشبكة وقواعد البيانات والتطبيقات والاتصالات، والأنظمة الأمنية الخاصة بشبكة المدفوعات اللحظية.
توفير الضوابط الإلكترونية اللازمة والتي من شأنها منع أي أطراف داخلية أو خارجية غير مصرح لها من الوصول إلى التطبيقات وقواعد البيانات الخاصة بخدمات شبكة المدفوعات اللحظية ووضع أسس لتحديد حق الاطلاع على البيانات والذي بدوره يتطلب قيام البنك بتصنيف البيانات وتحديد صلاحيات الوصول إليها.
ضمان عدم تقديم البنك خدمات جديدة بالتعاون مع مقدمي خدمات الدفع أو تبنى وسائل تكنولوجية جديدة إلا إذا توافرت لدي البنك الخبرات اللازمة التي تمكن من إدارة المخاطر بكفاءة وينبغي ان تتناسب خبرات الموظفين والإدارة مع الطبيعة الفنية ودرجة تعقيد التطبيقات والتقنيات الخاصة بخدمات المدفوعات اللحظية.
قيام إدارتي المراجعة الداخلية والالتزام تقديم تقييم مستقل وموضوعي لمجلس الإدارة ولجنة المراجعة والإدارة العليا عن مدى فعالية الضوابط الداخلية التي يتم تطبيقها للحد من المخاطر الناتجة عن تقديم المدفوعات اللحظية بما في ذلك مخاطر التكنولوجيا ومخاطر غسل الأموال وتمويل الإرهاب.
مراجعة واعتماد الجوانب الرئيسية لعملية الرقابة الأمنية الخاصة بالبنك بما يشمل المراجعة الدورية لعمليات اختبار الإجراءات والنظم الأمنية – على سبيل المثال إجراء اختبار الاختراق دوريًا كما هو موضح في البند
بما في ذلك المتابعة المستمرة للتطورات في النظم الأمنية في هذا المجال، وتحميل وإعداد التحديثات الخاصة بالبرامج وحزم الخدمات المناسبة والتدابير اللازمة وذلك بعد إجراء الاختبارات المطلوبة.
إعداد آلية شاملة ومستمرة لإجراء الأبحاث النافية للجهالة Due Diligence والرقابة على عمليات التعهيد وعلاقات المتعهد بالأطراف الخارجية الأخرى التي يتم الاعتماد عليهم لتقديم تلك الخدمات مع تركيز الإدارة العليا على الأخص بالنقاط الأتية:
-الإلمام الكامل بالمخاطر المترتبة على إبرام أي ترتيبات خاصة بالإسناد أو الشراكة أو الوكالة فيما يتعلق بالنظم الخاصة بشبكة المدفوعات اللحظية بالإضافة إلى توفير الموارد اللازمة للإشراف على هذه الترتيبات والحصول على موافقة البنك المركزي المصري قبل الشروع في إسناد الخدمات الخارجية.
-إجراء الأبحاث النافية للجهالة اللازمة فيما يتعلق بالكفاءة والبنية التحتية للنظام والقدرة المالية للشريك أو الطرف الخارجي وذلك قبل إبرام أي اتفاقيات خاصة بالإسناد أو الشراكة أو الوكالة.
-تحديد المسؤوليات التعاقدية لكافة الأطراف الخاصة باتفاقيات الإسناد أو الشراكة أو الوكالة بشكل واضح على سبيل المثال، يتم تحديد مسئوليات توفير المعلومات إلى مقدم خدمات الدفع وتلقيها منه بشكل واضح وضرورة قيام البنك بتحديد المعايير التنظيمية مع ضمان الالتزام بكافة القواعد والقوانين السارية في هذا الشأن.
-تتضمن تعاقدات خدمات الإسناد أو الوكالة اتفاقية لعدم الإفصاح عن المعلومات السرية لأطراف خارجية واتفاقية مستوى الخدمة والتي تشمل على سبيل المثال لا الحصر: تحديد الأدوار والمسؤوليات والوقت المطلوب لتنفيذ الخدمة وإجراءات وبيانات التصعيد والعقوبات في حال عدم الالتزام، هذا بالإضافة إلى البنود التي تحفظ حق البنك في التدقيق على المتعهد أو الاعتماد على تقارير التدقيق المعتمدة (الصادرة عن جهات تدقيق معتمدة).
-خضوع كافة النظم والعمليات الخاصة بخدمات شبكة المدفوعات اللحظية التي تتم من خلال عملية الإسناد أو الوكالة لنظام إدارة المخاطر وسياسات الخصوصية وأمن المعلومات التي تتفق مع المعايير الخاصة بالبنك.
-إجراء التدقيق الداخلي و/أو الخارجي بصفة دورية على العمليات التي تتم عن طريق الإسناد أو الوكالة، وينبغي ألا -يقل نطاق تغطية أعمال التدقيق عن مثيلتها التي يتم تطبيقها على المستوى الداخلي في البنك.
– توفير كافة تقارير التدقيق والتقييم لمفتشي قطاع الرقابة والإشراف بالبنك المركزي المصري.
-وضع خطط طوارئ مناسبة لخدمات شبكة المدفوعات اللحظية التي تتم عن طريق الإسناد أو الوكالة والتأكد من اختبارها بشكل دوري.
-يجب أن تتسم إجراءات فسخ/إنهاء التعاقد بالفاعلية، كما يجب أن تضمن هذه الإجراءات الحفاظ على استمرارية العمل وسلامة البيانات وكذلك نقلها والتخلص منها.
-وبالرغم من قيام البنك بإسناد بعض الخدمات لأطراف خارجية، فإن البنك يظل مسئولاً مسئولية كاملة تجاه مستخدمي النظام وتجاه التزام الأطراف الخارجية بهذه القواعد، والتأكد مما يأتي:
– الاحتفاظ بسجل محدث يشتمل على جميع اتفاقات وتعاقدات الإسناد والاستعانة بالأطراف الخارجية.
– وضع حدود لإسناد أكثر من وظيفة إلى مقدم خدمة واحد للحد من مخاطر التركز والتشغيل.
-يجب على الإدارة العليا التأكد من أن سياسة أمن المعلومات المُطبَّقة بالبنك – والمُعتمدة من مجلس الإدارة ويتم تحديثها بشكل دوري وإنها تراعي الخدمات المقدمة من خلال شبكة المدفوعات اللحظية، ويسهم ذلك في تحديد السياسات والإجراءات والضوابط الرقابية اللازمة لحماية العمليات البنكية من الاختراقات والانتهاكات الأمنية، كما يحدد المسؤوليات الفردية وكذا يوضح آليات التنفيذ والإجراءات التي يجب اتخاذها في حال مخالفة هذه السياسات والإجراءات.
-تتولى الإدارة العليا تعزيز ونشر الثقافة الأمنية على كافة مستويات البنك عن طريق التأكيد على التزامهم بالمعايير العالية لأمن المعلومات، ونشر هذه الثقافة على كافة العاملين بالبنك.
-ضرورة أن تكون منهجية التأمين قائمة على تحليل المخاطر والتهديدات الخاصة، مع الأخذ في الاعتبار المخاطر المتأصلة، والضوابط الرقابية التعويضية من أجل الوصول لمستوى من المخاطر المتبقية.
