الجمعة 23 شباط 2018

المواد :

المادة 1

على الـمصارف والـمؤسسات الـمالية اعداد سياسات واتخاذ تدابير واجراءات وقائية من الافعال الجرمية بالوسائل الالكترونية تتضمن، على الاقل:
أولاً: سياسات عامة تشمل:

1ــ تحليل مخاطر الجرائم الالكترونية الـمحتملة والاطلاع الـمستمر على آخر الـمستجدات في مجال تكنولوجيا أمان الـمعلومات.
2ــ تخصيص الـمبالغ والـموازنة اللازمة لإرساء وتطبيق سياسة ونظم وقواعد أمان تكنولوجيا الـمعلومات.
3ــ تنظيم عقود تأمين تغطي مخاطر الافعال الجرمية بالوسائل الالكترونية.
4ــ وضع الخطط اللازمة للوقاية من الافعال الجرمية الالكترونية وتحديثها باستمرار (مثل خطة الاستجابة للحوادث، خطة استمرار التشغيل اثناء وبعد حدوث كارثة، خطة التدريب على التدخل الفوري (
5ــ انشاء فريق عمل مخصص للوقاية من الافعال الجرمية بالوسائل الالكترونية.
6ــ تبادل الـمعلومات، الـمتعلقة بالأفعال الجرمية بالوسائل الالكترونية، مع الجهات الـمعنية داخل أو خارج الـمصرف أو الـمؤسسة الـمالية.
7ــ توعية الـموظفين والعملاء حول الوقاية من الافعال الجرمية الالكترونية.
8ــ مراقبة اي تغييرات في عادات وسلوك الـموظفين، سيما الذين يتمتعون بامتيازات هامة لدخول الانظمة الـمعلوماتية.
9ــ التيقّظ والحذر لدى التعاقد مع جهات خارجية لتكليفها بمهام تتعلق بالانظمة الإلكترونية والتأكد من أن هذه الجهات لا تقوم بالتعاقد مع ملتزمين ثانويين أقل موثوقية.
ثانياً: اجراءات تقنية تشمل:
1ــ اعتماد تقنية تعتمد على وسيلتين على الأقل للتأكد من هوية الـمستخدمين من خارج الـمصرف أو الـمؤسسة الـمالية لا سيما لجهة حقهم بالدخول الى النظام.
2ــ إستخدام تقنية ترميز كامل وآمن للبيانات الهامة جدا، منعاً لفقدانها أو التلاعب بها.
3ــ اعتماد قواعد صارمة لجهة تفحص (Filtering) البريد الإلكتروني الوارد وضبط الوصول الى علب البريد الإلكتروني من خارج الـمصرف أو الـمؤسسة الـمالية.
4ــ تحديث انظمة اجهزة الكومبيوتر كافة والتحقق من امان الأجهزة الـموضوعة بتصرف الـموظفين لاستخدامها خارج الـمصرف أو الـمؤسسة الـمالية.
5ــ اختبار إمكانية الإختراق لكشف أي نقاط ضعف محتملة في الشبكة.
6ــ مراقبة الحركة على الشبكة لكشف أي سلوك غير اعتيادي، سواء من خلال نوعية الحزم الـمرسلة أو عددها.
7ــ التحقق من سلامة البيانات ومراقبتها بهدف كشف أي تلاعب غير مشروع بها، وتعقّب مصدر الوصول غير الـمشروع إليها.
 

المادة 2

على الـمصارف والـمؤسسات الـمالية، كل في ما خصها، ان تقوم بشكل عام وعلى مسؤوليتها باتخاذ الاجراءات الادارية والتقنية والقضائية الـمناسبة للتنبه ورصد ومكافحة الجريمة الالكترونية الـمالية وبصورة خاصة:
1ــ الاخذ، بشكل خاص، بالإرشادات الواردة في البند (1) من الجزء الاول من «الدليل الارشادي للوقاية من الافعال الجرمية بواسطة البريد الالكتروني» كدلالة على افعال جرمية بالوسائل الالكترونية.
2ــ اتباع «السياسات والاجراءات الوقائية من الافعال الجرمية» الـمحددة في البند (2) من الجزء الاول من الدليل الـمنوه عنه اعلاه.
3ــ وضع انظمة واجراءات داخلية مخصصة لتنفيذ طلبات تحويل الاموال الواردة اليها الكترونياً (بريد الكتروني، خدمة العمليات الـمصرفية الالكترونية (Electronic Banking(،
4ــ تضمين العقد الـموقع مع العميل احكاماً خاصة تتعلق بتحديد وسائل اخرى غير البريد الالكتروني للاتصال بالعميل (كالاتصال الهاتفي مثلاً ...) لتأكيد صحة طلبات التحاويل الـمرسلة الكترونياً على ان لا يتم تغيير هذه الوسائل الا بالاتفاق الخطي بين الطرفين.
5ــ اعلام العميل عن الـمخاطر الناتجة عن استخدام البريد الالكتروني لطلب اجراء تحاويل مالية وتوجيهه لاستعمال وسائل اخرى اكثر اماناً والاستحصال على موافقته الخطية على تحمل هذه الـمخاطر.
6ــ تزويد العميل بـ «الارشادات للأشخاص وسائر الـمؤسسات والهيئات غير الـمالية» موضوع الجزء الثاني من الدليل الـمنوه عنه اعلاه.
7ــ الطلب من عملائها الابلاغ عن اية افعال جرمية بالوسائل الالكترونية قد تعرضوا لها فور عملهم أو اكتشافهم أو تبلغهم انهم وقعوا أو كادوا ان يقعوا ضحية لها.

المادة 3

على الـمصارف والـمؤسسات الـمالية، عند اكتشافها أو علـمها أو تبلغها بأن أي من عملائها قد وقع ضحية افعال جرمية بالوسائل الالكترونية ذات طابع مالي، اتخاذ اجراءات سريعة وفعالة  تشمل، على الاقل، الاجراءات التصحيحية الواردة في البند (3) من الجزء الاول من الدليل الـمنوه عنه اعلاه، سيما:
1ــ تزويد كل من الـمصرف الـمراسل والـمصرف الـمستفيد أو الـمؤسسة الـمالية الـمستفيدة بالـمعلومات ذات الصلة كافة وطلب الغاء عملية التحويل واعادة قيمتها للعميل.
2ــ ابلاغ هيئة التحقيق الخاصة بالـمعلومات وبالـمراسلات ذات الصلة ومن بينها الـمعلومات التقنية الـمتعلقة بما يلي:

ــ مصدر البريد الالكتروني (IP Address) الـمنسوب للعميل أو الذي تم عبره ارسال طلبات التحاويل الـمشبوهة.
ــ اسم الشركة مقدمة خدمة الانترنت التي تم عبرها ارسال طلبات التحاويل الـمشبوهة.
ــ اسم الشركة مقدمة خدمة الانترنت الـمستخدمة للولوج غير الـمصرح به الى حساب العميل عن طريق خدمة العمليات الـمصرفية الالكترونية (Electronic Banking).
3ــ توجيه العميل لتقديم ابلاغ أو شكوى قضائية الى الجهات الـمختصة.

المادة 4

تقوم «دائرة الامتثال» الـمنشأة لدى كل من الـمصارف والـمؤسسات الـمالية بتطبيق احكام هذا القرار.

المادة 5

يعمل بهذا القرار فور صدوره.

المادة 6

ينشر هذا القرار في الجريدة الرسمية.

إبحث في مواد التشريع

الجريدة الرسمية

العدد
58
تاريخ النشر
14/12/2017
الصفحة
4376-4378