ما هي الضوابط الرقابية المقررة على البنوك لتقديم خدمات ترميز البطاقات على تطبيقات الأجهزة الإلكترونية؟

حدّد البنك المركزي المصري مجموعة من الضوابط الرقابية المقررة على البنوك لتقديم خدمات ترميز البطاقات على تطبيقات الأجهزة الإلكترونية.

ويأتي ذلك في ضوء الاهتمام الذي يوليه البنك المركزي المصري لتدعيم البنية التحتية للقطاع المصرفي وتحفيز استخدام أدوات دفع إلكترونية جديدة للعملاء لتنفيذ مختلف المعاملات المصرفية الإلكترونية، حيث إن خدمات ترميز البطاقات على تطبيقات الأجهزة الإلكترونية تعد من أهم الخدمات التي تُسهم في تمكين عدد كبير من المواطنين من الوصول للخدمات المصرفية بكفاءة وفاعلية وبما يحقق استقلالية نظم الدفع الوطنية ويواكب أحدث التقنيات المستخدمة عالمياً لنظم وخدمات الدفع، ومن ثم اتساع مظلة استخدام الوسائل والقنوات المصرفية.

وتعرض بوابة (بنوك 24) في هذا التقرير تفاصيل تلك الضوابط الرقابية المقررة على البنوك لتقديم خدمات ترميز البطاقات على الأجهزة الإلكترونية.

1- سرية وسلامة المعلومات .. وتتضمن:

– تقديم خدمات ترميز البطاقات على تطبيقات الأجهزة الإلكترونية تداول بيانات سرية عبر تطبيقات ترميز البطاقات على الأجهزة الإلكترونية والشبكة الداخلية للبنك لذلك يجب على البنوك ومقدمي خدمات الترميز استخدام الأساليب المناسبة للحفاظ على سرية وسلامة المعلومات المتداولة عبر الشبكة الداخلية والخارجية للبنك وذلك بما يتوافق مع متطلبات تأمين بيانات بطاقات الدفع الإلكترونية وكذا التعليمات الصادرة من جانب البنك المركزي المصري.

– يجب على البنوك ومقدمي خدمات الترميز اختيار تكنولوجيا التشفير التي تتناسب مع حساسية وأهمية المعلومات وكذا درجة الحماية المطلوبة، وفي هذا السياق يوصى دائما بتبني البنوك لتكنولوجيا التشفير التي تستخدم طرق التشفير المتعارف عليها دولياً، حيث تخضع نقاط القوة في هذه الطرق لاختبارات شاملة. وينبغي أن تطبق البنوك الممارسات السليمة لإدارة مفاتيح التشفير اللازمة الحماية هذه المفاتيح وذلك بما يتوافق مع متطلبات تأمين بيانات بطاقات الدفع الإلكترونية وكذا التعليمات الصادرة من جانب البنك المركزي المصري.

– يجب الحد من تخزين بيانات على الذاكرة الداخلية للهاتف المحمول، وفي حالة الاحتفاظ بأي بيانات على الهاتف المحمول – للضرورة القصوى – يجب استخدام الوسائل المناسبة لحماية ما تم تخزينه.

– يجب بأن يقوم تطبيق الهاتف المحمول بتنفيذ أليات كشف كافية تضمن أن الهاتف المحمول ليس عرضة للمخاطر مثل Jailbroken/Rooted  على ان تتضمن إجراءات تأمين التطبيقات على سبيل المثال لا الحصر:

• أن يطلب التطبيق الحد الأدنى من مجموعة الصلاحيات المطلوبة.

• حفظ مفاتيح تشفير التطبيق على الأجهزة الذكية بشكل امن.

• أن تكون حزمة التطبيق موقعة رقمياً. استخدام التطبيق لقناة اتصال امنة مثل استخدام Certificate/SSL pinning مع التأكد من أن مفاتيح التشفير مدمجة داخل التطبيق.

• ألا يخزن التطبيق أي معلومات على الجهاز تتعلق بمعاملات الدفع أو بيانات العميل بخلاف البيانات اللازمة لعمل التطبيق.

• ألا يقوم التطبيق بتخزين بيانات تسجيل الدخول وإعادة استخدامها.

• عدم السماح بتثبيت التطبيقات على أنظمة تشغيل قديمة أو منتهية الصلاحية.

• يجب أن يتم حماية تطبيقات الهاتف المحمول ضد أي لقطات تلقانية Screenshots والتي يمكن أن تتم عن طريق برامج تجسس تعمل على نفس جهاز الهاتف المحمول حال وجود إمكانية فنية لتطبيقه.

2- البنية التحتية والمتابعة الأمنية للمنظومة:

– يجب على البنوك ومقدمي خدمات الترميز إنشاء بيئة تشغيل ملائمة تعمل على دعم وحماية أنظمتها الخاصة المرتبطة بأنظمة الترميز، بحيث تحتوي تلك البيئة على بنية تحتية آمنة لتلك الخدمات – والتي تشمل على سبيل المثال لا الحصر إعداد خوادم النظام وأنظمة اكتشاف ومنع الإختراق واجهزة جدار الحماية Firewall وأجهزه التوجيه وخلافه – كما تحتوي أيضا على إجراءات حماية ملائمة للشبكات الداخلية وروابط الشبكات مع الجهات الخارجية بما يشمل شركة بنوك مصر بصفتها الشركة المسؤولة عن إدارة واجهة الترميز الموحدة للبنوك المصدرة، فضلاً عن خطط الطوارئ اللازمة والأنظمة البديلة حال فشل الأنظمة الأصلية.

– تقع المسئولية الكاملة لتقديم الخدمات على البنوك المشتركة بالخدمة ومقدمي خدمات الترميز والتي يجب عليها بذل العناية الواجبة لضمان أمان كافة المعاملات، وكذا مراقبة كل من الأنظمة المتصلة بالنظام والبنية التحتية بصورة استباقية بشكل دائم على مدار 24 ساعة طوال الأسبوع، وذلك لرصد وتسجيل أي مخالفات أمنية، أو أي اختراقات، أو نقاط ضعف مشتبه بها، وكذلك أي أنشطة غير طبيعية محل اشتباه قد تتم على الأنظمة وذلك يجب أن يتم من خلال تفعيل مركز عمليات للأمن السيبراني SOC.

– يجب على البنوك ومقدمي خدمات الترميز التأكد من وجود مسارات التدقيق Audit Trails لكافة العمليات التي تتم عبر أنظمة تطبيقات ترميز البطاقات.

– وكذلك البنية التحتية الخاصة بهذه الخدمة كما يجب ضمان حماية تلك المسارات ضد أي تلاعب أو تغيير غير مصرح به، وأن يتم الاحتفاظ بها لمدة زمنية تتوافق مع ما تحدده سياسات البنك تطبيقاً للمتطلبات القانونية وطبقاً للضوابط والتعليمات الرقابية الصادرة في هذا الشأن ويهدف هذا الإجراء إلى تسهيل إجراءات التحقيق في أي عملية احتيال، وحل أي نزاع أو شكوى إذا لزم الأمر وعند تحديد ما سيتم الاحتفاظ به في مسارات التدقيق، يمكن الأخذ في الاعتبار الأنواع التالية من الأنشطة وذلك كحد أدنى:

• عمليات فتح أو تعديل أو إغلاق حساب مستخدم على الانظمة المختلفة الخاصة بالخدمة.

• أي عملية ذات تبعات مالية.

• أي تصريح يمنح مستخدم لتجاوز أي من الحدود أو الصلاحيات.

• أي تعديل أو إضافة أو إلغاء لصلاحيات المستخدمين أو امتيازات خاصة بالدخول على الأنظمة.

– يجب أن يتم مراجعة كافة ما يتم إصداره من سجلات تدقيق Audit Logs وإنذارات التأمين اللحظية Real Time Security Alerts مثل إنذارات أنظمة كشف ومنع الاختراق – بواسطة الموظفين أو فرق العمل المعنية وذلك بطريقة دورية وفي الوقت المناسب.

– تطبيق معايير وإجراءات حصيفة فيما يخص إمكانية الدخول إلى أماكن عمل النظام Physical Security بما في ذلك البرامج والأجهزة المشغلة للنظام والشبكات وأجهزة التشفير ومراكز المعلومات التي تقوم بتشغيل جزء أو أجزاء من النظام.

– يجب الرجوع الى الإطار العام للأمن السيبراني الخاص بالممارسات المتعلقة بتصميم تنفيذ وسائل التأمين المختلفة وانشاء ومراقبة البنية التحتية لخدمات الترميز.

– يتعين على البنوك الحصول على موافقة مسبقة من البنك المركزي المصري في حال ابرام اتفاقيات تتعلق بإسناد خدمات ترميز البطاقات على تطبيقات الأجهزة الإلكترونية أو تطبيقاتها. وفي حالة قيام البنك بإسناد بعض الخدمات لأطراف خارجية، فإن البنك يظل مسئولاً مسئولية كاملة تجاه مستخدمي النظام وتجاه التزام الأطراف الخارجية بهذه القواعد، والتأكد مما يأتي:

• الاحتفاظ بسجل محدث يشتمل على جميع اتفاقات وتعاقدات الإسناد والاستعانة بالأطراف الخارجية.

• وضع حدود لإسناد أكثر من وظيفة إلى مقدم خدمة واحد للحد من مخاطر التركز والتشغيل.

• يلتزم البنك بوضع سياسة للموظفين لدى الأطراف الخارجية الذين تم إخلاء طرفهم أو تم تغير مسئولياتهم وإلغاء صلاحياتهم على جميع الأنظمة والأنظمة الخارجية وأنظمة المساعدة (support portals) ومراجعة الصلاحيات دورياً.

3- تقييم النظام الأمني للخدمة:

– يجب أن يتم تعهيد الخدمات الأمنية الى شركات أو افراد تتوافق مع القوانيين المصرية.

– يجب على البنوك ومقدمي خدمات الترميز دورياً تقييم الوضع الأمني لكافة الأنظمة – التطبيقات والشبكات وأجهزة التأمين وخوادم نظام أسماء النطاقات وخوادم البريد الإلكتروني، إلخ – المتعلقة بتشغيل الخدمة، وذلك في المركز الرئيسي للمعلومات والمركز الاحتياطي الذي يستخدم في حالات الكوارث.

– يجب على البنوك ومقدمي خدمات الترميز إجراء تقييم دوري لنقاط الضعف Vulnerability Assessment كل ثلاثة أشهر على الأقل أو عند حدوث تغييراً جوهرياً في البيئة التشغيلية وبيئة الطوارئ للأنظمة المختلفة الخاصة بالخدمة لاكتشاف نقاط الضعف في بيئة تكنولوجيا المعلومات وتقييمها. ويمكن أن يتولى هذا التقييم مستشار أو مقدم خدمة خارجي للبنك وأن يكون مقدم الخدمة مختلف عن مقدم الخدمة القائم باختبارات الاختراق، أو أن يتولى هذا التقييم إدارة أمن المعلومات بالبنك، وذلك على النحو التالي:

• يجب أن يحتوي نطاق تقييم نقاط الضعف على اختبار الثغرات الشائعة في النظام على سبيل المثال لا الحصر OWASP Top Ten attacks).

• يجب على البنك ومقدمي خدمات الترميز إعداد خطة لمعالجة المشاكل التي تظهر في تقييم نقاط الضعف، والتأكيد على غلق الثغرات بالخطة خلال وقت متناسب مع تصنيف نقاط الضعف ثم التحقق من صحة هذه المعالجة عن طريق إعادة الاختبار لإثبات أنه قد تم التعامل بفعالية مع هذه المشاكل بالكامل وفي التوقيت المناسب.

– التزام البنك بعدم إطلاق الخدمات الجديدة قبل الانتهاء من موافاة البنك المركزي المصري بتقرير اختبارات الاختراق Penetration Test Report) وتقارير تقييم نقاط الضعف (Credential vulnerability assessment على بيئة العمل الفعلية بما يشمل جميع الأنظمة والتطبيقات و البنية التحتية وأساليب التأمين المتبعة على ان تكون هذه الاختبارات تتم بصورة شاملة تتيح اكتشاف جميع الثغرات والمشاكل الفنية والذي يفيد عدم وجود أي نقاط ضعف عالية أو متوسطة الخطورة ومن ثم الحصول على موافقة البنك المركزي المصري بتفعيل الخدمة على أن يتم تقديم التقرير المشار اليه إلى البنك المركزي المصري في مدة لا تتجاوز ثلاثة أشهر من تاريخ اصداره من مقدم خدمة خارجي مستقل.

– يجب على البنك ومقدمي خدمات الترميز القيام باختبارات الاختراق (Penetration Testing) وذلك لعمل تقييم مفصل ومتعمق للوضع الأمني للنظام من خلال محاكاة للهجمات الفطية على البيئة الفعلية والاحتياطية على أن يتم ذلك على الأقل مرة واحدة سنويا، أو عند حدوث تغيير في النظام، على أن تتم مراعاة ما يلي:

• يجب أن يتولى إجراء اختبار الاختراق أحد مقدمي الخدمة الخارجيين المستقلين، حيث يجب عليه أولاً التوقيع على اتفاقية السرية وعدم الإفصاح قبل مزاولة العملNon-Disclosure Agreement

• يجب أن يكون لدى البنوك ومقدمي خدمات الترميز تقرير مبدني عن اختبار الاختراق وخطة المعالجة Penetration Test Report & Remediation Plan، التي تم اصدارها والموقعة من مقدم الخدمة الخارجي .

• يجب على البنوك ومقدمي خدمات الترميز التحقق من صحة معالجة الملاحظات الناتجة عن اختبار الاختراق سواء كان على الأنظمة الرئيسية أو الأنظمة البديلة المستخدمة لمواجهة الكوارث مع مراعاة إجراء اختبار الاختراق على الانظمة في مركز الطوارئ.

• يجب على مقدم الخدمة الخارجي إصدار تقرير نهائي موقع منه عن اختبار الاختراق لكي يقوم البنك بتقديمه إلى البنك المركزي المصري، بجانب التقرير المبدئي الأول.

• غير مسموح باختيار نفس مقدم الخدمة الخارجي لأداء أكثر من اختباري اختراق متتاليين.

4- الاستجابة للأحداث الطارئة وإدارتها:

– يجب على البنوك ومقدمي خدمات الترميز وضع إجراءات للاستجابة للحدث وإدارته خلال تقديم الخدمة، بهدف الإبلاغ والمعالجة الفورية لأي اختراقات أمنية سواء كانت فعلية أو مشتبه بها، وكذلك أي حالات احتيال أو انقطاع / عدم ثبات الخدمة، سواء أثناء أو بعد ساعات العمل. ويجب على البنوك اتخاذ الإجراءات الضرورية التالية، ومنها على سبيل المثال لا الحصر:

• سرعة ومدي تأثيره رعة اكتشاف مصدر، الحدث، وتحديد ما إذا كان قد وقع نتيجة وجود نقاط ضعف في النظم التأمينية بالبنك من عدمه.

• تقييم النطاق المحتمل للحدث تصعيد الأمر إلى الإدارة العليا للبنك بشكل فوري، إذا كان هذا الحدث قد يضر بسمعة البنك أو يؤدي إلى خسائر مالية.

• إخطار العملاء المتضررين على الفور، إذا لزم الأمر.

• احتواء الخسائر المتعلقة بأصول البنوك وبياناتها ومدي تأثيرها على سمعة البنوك، وبوجه خاص الخسائر المتعلقة بعملائها.

• الأدلة الجنائية الرقمية والأدلة الجنائية وحفظها بطريقة مناسبة وبأسلوب يضمن الرقابة على تلك الأدلة وضمان عدم التلاعب بها لتغيير محتواها، لتسهيل التحقيقات اللاحقة وإقامة دعوى قضائية ضد مخترقي النظام والمشتبه فيهم إذا لزم الأمر بالإضافة إلى تنفيذ عملية مراجعة لهذا الحدث.

– يجب على البنوك إعداد سجل بالأحداث العارضة المرتبطة بالخدمة المقدمة والتفاصيل الخاصة بها بالإضافة إلى إعداد تقرير دوري بحد أقصى كل ستة أشهر للعرض على الإدارة العليا لاتخاذ الإجراءات المناسبة لتلافي تكرارها.

– يتولى مسئول الالتزام بالبنك مسئولية التأكد من إبلاغ البنك المركزي المصري بأي حادث امن سيبراني بصورة صحيحة وفي خلال 6 ساعات من اكتشاف لحادث وبكافة الحالات الواردة أدناه على سبيل المثال لا الحصر:

• أي هجمات احتيال لتسريب أو إفشاء هوية مستخدم النظام أو وثائق اعتماد الشخصية كالاحتيال Phishing) ، وملفات التجسس (حصان طروادة (Trojans) والبرمجيات الخبيثة وبرمجيات الفنية Ransomware Malware.. إلخ).

• الدخول غير المصرح به إلى أنظمة تكنولوجيا المعلومات بالبنك لتسريب بيانات مُستخدم النظام المتعلقة بالخدمات المقدمة.

• أي عملية تخريبية للبيانات المتعلقة بأنظمة الخدمات المقدمة والتي لا يمكن استرجاعها.

• الإيقاف التام المتعمد أو العارض للخدمات المقدمة لفترة تزيد عن الفترة المحددة كهدف لوقت الاسترجاع RTO المحدد من قبل البنك.

• أي هجمات سيبرانية ذات الصلة بتلك الخدمات المقدمة على أن يتم إرسال هذه التقارير بالبريد الالكتروني على العناوين التالية: [email protected] [email protected]

5-اعتبارات الأداء وضمان استمرارية العمل:

– يجب على البنوك ومقدمي خدمات الترميز توفير الخدمات المقدمة على مدار الساعة، مع ضمان أداء الخدمة للعملاء بالسرعة والكفاءة والدقة المناسبة طبقا لما تم ذكره في الأحكام والشروط الخاصة بالخدمة مع أخذ توقعات العملاء بعين الاعتبار مع إبلاغ العملاء مسبقا في حال توقف أو تعطل الخدمة.

– يجب على البنوك ومقدمي خدمات الترميز وضع معايير لتقييم ومتابعة مستوى أداء الخدمات المقدمة كما يجب اتخاذ التدابير اللازمة للتأكد من قدرة النظم الداخلية الخاصة بتقديم تلك الخدمات على التعامل مع حجم المعاملات المتوقعة والنمو المستقبلي لهذا النوع من الخدمات.

– يجب أن تأخذ البنوك ومقدمي خدمات الترميز في اعتبارها التخطيط لضمان استمرارية العمل عند تطويرها للخدمات المقدمة، على أن يتم أيضاً مراعاة الممارسات التالية:

• في حال حدوث عطل في الخدمة، يجب أن تحتوي خطة استمرارية العمل على خطوات محددة لكيفية استئناف أو استرجاع تلك الخدمات وتحدد هذه الخطوات بناء على أهداف وقت ونقطة الاسترجاع RTO & RPO المحددين مسبقاً مع ضرورة دورية المراجعة والتحديث بأي مستجدات أو مخاطر محتملة.

• وجود نسخ احتياطية للبيانات لاستعادتها ووجود خطط عمل بديلة للطوارئ.

• يجب أن تضمن خطة استمرارية العمل الخاصة بالخدمات المقدمة القدرة على التعامل مع أي من الحالات التي يتم فيها التعهيد لأطراف خارجية.