البنك المركزي يصدر تعليمات جديدة لتحديث بيانات عملاء البنوك باستخدام التوكيلات الإلكترونية
أصدرت وحدة مكافحة غسل الأموال وتمويل الإرهاب التابعة للبنك المركزي المصري، اشتراطات جديدة لتحديث البيانات والمعلومات والمستندات سواء باستخدام التوكيلات، أو باستخدام الوسائل الإلكترونية لعملاء البنوك.
ووفق الكتاب الدوري الصادر عن الوحدة في أكتوبر الجاري، فإن الاشتراطات الخاصة بتحديث البيانات والمعلومات والمستندات باستخدام التوكيلات، نصت على أنه مع عدم الإخلال بأحكام أي من القوانين واللوائح والتعليمات المنظمة لاستخدام التوكيلات في جمهورية مصر العربية وتعليمات البنك المركزي الصادرة بموجب الكتاب الدوري الصادر بتاريخ ٢٨ مارس ٢٠٢٤ بشأن الضوابط الخاصة بتحديث بيانات العملاء، يتعين على البنك الالتزام بالاشتراطات التالية عند تحديث البيانات والمعلومات والمستندات باستخدام التوكيلات.
الأشخاص الطبيعيين ذوى الحسابات غير الراكدة
وتضمنت الاشتراطات، أن تقتصر خدمة التحديث باستخدام التوكيلات على العملاء من الأشخاص الطبيعيين فقط، وألا يكون العميل ضمن العملاء ذوي الحسابات الراكدة وفقاً للتعريف الوارد في التعليمات الرقابية المنظمة للحسابات الراكدة الصادرة عن البنك المركزي المصري في ٤ أغسطس ۲۰۲۱، وأية تعديلات أخرى تصدر عليها.
الإجراءات اللازمة لإدارة المخاطر المتعلقة بالتحديثات
وأن يتم تحديد وتقييم المخاطر المرتبطة بهذه الخدمة ووضع الإجراءات اللازمة لإدارة هذه المخاطر بما يتفق مع مستوى المخاطر المقبول والمعتمد من قبل البنك، وكذا وضع الإجراءات اللازمة لتقديم هذه الخدمة ومراجعة كافة تلك الإجراءات من قبل مسئول الالتزام بالبنك للتأكد من توافقها مع القوانين والتعليمات ذات الصلة، واعتمادها من قبل البنك، وذلك قبل إطلاق الخدمة المذكورة، على أن تقع المسئولية النهائية المتعلقة بتقديم هذه الخدمة على عاتق البنك.
ونص البند على ضرورة إعداد قائمة الشروط والأحكام لتقديم هذه الخدمة تتضمن المخاطر المترتبة عليها، والإرشادات الواجب اتباعها، ومسئوليات كل من العميل ووكيله، وعند البدء في تقديم الخدمة يتعين حصول البنك على موافقة الوكيل على هذه القائمة، وإخطار العميل بها باستخدام قناتين من قنوات الاتصال المشار إليها في البند (۱۰) من هذه الاشتراطات.
وأن يكون التوكيل سواء التوكيل المصرفي، أو الصادر عن مصلحة الشهر العقاري والتوثيق، أو المعتمد من وزارة الخارجية المصرية مستوفي الشروط اللازمة، ومنصوص فيه صراحة على صلاحية الوكيل في القيام بتحديث البيانات والمعلومات والمستندات التي حصل عليها البنك عند تطبيق إجراءات العناية الواجبة مع الاطلاع على أصل التوكيل بخلاف التوكيل (المصرفي والتأكد من خلوه من مظاهر توحي بالعبث به، والحصول على صورة منه وتوقيع الموظف المختص عليها بأنها صورة طبق الأصل.
اشتراطات على الوكيل
وتضمنت الاشتراطات ضرورة الحصول من الوكيل على إقرار بأن التوكيل ساري المفعول، وأن الموكل لا يزال على قيد الحياة، وذلك عند كل عملية تحديث.
واشترطت وحدة مكافحة غسل الأموال وتمويل الإرهاب أن يكون تحديث البيانات والمعلومات والمستندات عن طريق الوكيل، وفقًا لمستوى المخاطر المقبول والمعتمد المشار إليه بالبند رقم (۳) من هذه الاشتراطات، مع التحقق من صحة ما يقدمه الوكيل من بيانات ومعلومات ومستندات في إطار عملية التحديث، باستخدام مصادر موثوق فيها ومستقلة بما فيها الاطلاع على المستندات الأصلية والتأكد من خلوها من مظاهر توحي بالعبث بها، والحصول على صور ضوئية واضحة منها، وتوقيع الموظف المختص على كل منها بأنها صورة طبق الأصل.
إجراءات تحققية
وتضمنت الاشتراطات أنه في حالة وجود شك لدى البنك في صحة ما يفيد به الوكيل أو ما يقدمه من بيانات ومعلومات ومستندات أثناء تنفيذ الخدمة، أو في أي حالات أخرى يحددها البنك، يتعين عليه اتخاذ تدابير إضافية، مثل التحقق من أن العميل لا يزال على قيد الحياة، ومن سريان التوكيل، ويمكن أن يتم ذلك من خلال ما يلي، على سبيل المثال لا الحصر التواصل مع العميل دون طلب أي بيانات لها صفة السرية، وتوجيهه للقيام بنفسه بالاتصال الهاتفي على مركز الاتصال الخاص بالبنك على أن يكون هذا الاتصال مسجلا مع علم العميل بذلك.
التأكد من المعلومات عبر الرجوع لقاعدة بيانات مصلحة الأحوال المدنية
وتضمنت الاشتراطات ضرورة الدخول على قاعدة بيانات مصلحة الأحوال المدنية للتحقق من البيانات الشخصية وبيانات أحدث بطاقة، والتحقق من أن العميل لا يزال على قيد الحياة، وأن يتم الدخول على بوابة مصر الرقمية أو الاتصال بمصلحة الشهر العقاري والتوثيق للتحقق من سريان التوكيل.
شروط تحديث البيانات للوكيل والعميل
وبحسب الكتاب الدوري، فإنه في حالة التحقق من صحة البيانات والمعلومات والمستندات المقدمة من الوكيل ومن صحة ما يفيد به حال اتخاذ التدابير الإضافية المشار إليها في البند (۹) من هذه الاشتراطات، ينبغي على البنك تسجيل ما تم تحديثه من بيانات ومعلومات ومستندات على قاعدة البيانات لديه، وإخطار العميل به (دون الإفصاح عن تفاصيله وبإتمام عملية التحديث عن طريق الوكيل بنجاح، وذلك باستخدام قناتين مختلفتين كحد أدنى من قنوات الاتصال المختلفة المقررة من قبل العميل الواردة بتعليمات البنك المركزي الصادرة بموجب الكتاب الدوري الصادر بتاريخ ٢٨ مارس ۲۰۲٤ بشأن الضوابط الخاصة بتحديث بيانات العملاء.
ووفق الاشتراطات، فإنه في حالة التحقق من وفاة العميل يتعين على البنك عدم إتمام عملية التحديث، وفي حالة التحقق من عدم سريان التوكيل أو عدم صحة ما يفيد به الوكيل بشأن البيانات والمعلومات والمستندات المطلوب تحديثها،
يتعين على البنك عدم إتمام عملية التحديث مع إخطار العميل بذلك باستخدام قناتين مختلفتين كحد أدنى من قنوات الاتصال المشار إليها في البند (۱۰) من هذه الاشتراطات والنظر في تطبيق البند (٤-١٦)
من الأحكام العامة من إجراءات العناية الواجبة بعملاء البنوك الصادرة عن الوحدة في فبراير ٢٠٢٠.
وطالبت وحدة مكافحة غسل الأموال وتمويل الإرهاب بوجود آلية تمكن البنك من تتبع التغييرات التي تمت نتيجة عملية التحديث وتاريخ التحديث والقائم به، وأن يُطبق على الوكلاء عند قيامهم بالتحديث ذات إجراءات العمل الداخلية التي يطبقها البنك على العملاء عند قيامهم بأنفسهم بعملية التحديث.
التدريب والدعم لممثلي البنك
واشترطت الوحدة ضرورة توفير التدريب والدعم اللازمين لممثلي البنك، بما يشمل خدمة العملاء، والمكاتب الأمامية، ومركز الاتصال لاستيعاب متطلبات تقديم هذه الخدمة والإلمام الشامل بها للرد على أسئلة واستفسارات العملاء بخصوصها، مع الالتزام بأية قواعد أو تعليمات أو اشتراطات أخرى تصدر عن البنك المركزي المصري أو وحدة مكافحة غسل الأموال وتمويل الإرهاب تتعلق باستخدام التوكيلات أو بتقديم هذه الخدمة.
وطالبت الوحدة بتطبيق كافة متطلبات مكافحة غسل الأموال وتمويل الإرهاب، بما يشمل تطبيق ما يلزم من إجراءات العناية الواجبة على الوكيل.
قانون التوقيع الإلكتروني
وفيما يتعلق بالمحور الثاني والذي يخص اشتراطات تحديث البيانات والمعلومات باستخدام الوسائل الإلكترونية، فإنها نصت على أنه مع عدم الإخلال بأحكام أي من القوانين ذات الصلة بتنظيم استخدام الوسائل الإلكترونية (مثل قانون التوقيع الإلكتروني) والقواعد الصادرة عن البنك المركزي المصري (مثل القواعد المنظمة لتقديم الخدمات المصرفية عبر الإنترنت في القطاع المصرفي المصري الصادرة في نوفمبر ٢٠١٤ والتحديثات ذات الصلة)، وتعليمات البنك المركزي الصادرة بموجب الكتاب الدوري الصادر بتاريخ ۲۸ مارس ۲۰۲۰ بشأن الضوابط الخاصة بتحديث بيانات العملاء، يتعين على البنوك الالتزام بالاشتراطات التالية عند تحديث البيانات والمعلومات للعملاء (سواء أشخاص طبيعيين أو أشخاص اعتبارية أو ترتيبات قانونية باستخدام الوسائل الإلكترونية).
وتضمنت الاشتراطات ألا يكون العميل ضمن العملاء ذوي الحسابات الراكدة وفقاً للتعريف الوارد في التعليمات الرقابية المنظمة للحسابات الراكدة الصادرة عن البنك المركزي المصري في ٤ أغسطس ۲۰۲۱، وأية تعديلات أخرى تصدر عليها.
ونصت الاشتراطات على ضرورة تحديد وتقييم المخاطر المرتبطة بهذه الخدمة ووضع الإجراءات اللازمة لإدارة هذه المخاطر بما يتفق مع مستوى المخاطر المقبول والمعتمد من قبل البنك، وكذا وضع الإجراءات اللازمة لتقديم هذه الخدمة، ومراجعة كافة تلك الإجراءات من قبل مسئول الالتزام بالبنك للتأكد من توافقها مع القوانين والتعليمات ذات الصلة، واعتمادها من قبل البنك، وذلك قبل إطلاق الخدمة المذكورة، على أن تقع المسئولية النهائية المتعلقة بتقديم هذه الخدمة على عاتق البنك.
وطالبت الوحدة بإعداد قائمة الشروط والأحكام لتقديم هذه الخدمة تتضمن المخاطر المترتبة عليها، والإرشادات الواجب اتباعها، ومسئوليات العميل، وعند البدء في تقديم الخدمة يتعين حصول البنك على موافقة العميل على هذه القائمة، مع وضع خطط وآليات التأمين الخاصة بالبيانات والمعلومات والوسائل الإلكترونية وضمان عدم التلاعب بها.
وسائل المصادقة الثنائية
ونصت الاشتراطات على ضرورة إتاحة البنك وسيلتين من وسائل المصادقة الثنائية "Two-Factor Authentication" وفقاً لما تم النص عليه بشأن وسائل المصادقة الثنائية الصادرة في القواعد المنظمة لتقديم الخدمات المصرفية عبر الإنترنت في القطاع المصرفي المصري الصادرة في نوفمبر ۲۰۱٤ والتحديثات ذات الصلة، عند تحديث البيانات والمعلومات من خلال الوسائل الالكترونية.
وقال الكتاب الدوري إن تحديث البيانات والمعلومات باستخدام الوسائل الإلكترونية يجب أن يكون وفقًا لمستوى المخاطر المقبول والمعتمد المشار إليه بالبند رقم (۲) من هذه الاشتراطات في الحالات التي يفيد فيها العميل بعدم وجود أي تغيير في البيانات والمعلومات والمستندات التي حصل عليها البنك أثناء تطبيق إجراءات العناية الواجبة عند حلول موعد التحديث مع استمرار سريان مستند تحقيق الشخصية.
تقييد الوصول إلى بيانات العملاء للموظفين المصرح لهم فقط
وطالبت وحدة مكافحة غسل الأموال وتمويل الإرهاب بضرورة تنفيذ ضوابط وصول قوية لتقييد الوصول إلى بيانات العملاء للموظفين المصرح لهم فقط، ويتضمن ذلك آليات مصادقة المستخدم مثل كلمات المرور القوية، والمصادقة متعددة العوامل، وعناصر التحكم في الوصول المستندة إلى الأدوار (RBAC) للحد من امتيازات الوصول بناءً على الأدوار والمسؤوليات الوظيفية.
تخزين البيانات في بيئات آمنة ماديًا وإلكترونيا
وفيما يتعلق بالتخزين الآمن، تضمنت الاشتراطات أنه يجب تخزين البيانات والمعلومات في بيئات، آمنة ماديًا وإلكترونيا، ويجب أن يكون الوصول إلى مناطق التخزين المادية مقيدًا مع وضع ضمانات قوية ضد السرقة أو الدخول غير المصرح به ويجب أن يستخدم التخزين الإلكتروني خوادم وقواعد بيانات وأنظمة ملفات آمنة مع ضوابط الوصول والمراقبة المناسبة.
وقالت الوحدة إن تقليل البيانات Data Minimization يتم فقط جمع بيانات العملاء الضرورية لعملية تحديث البيانات والمعلومات والاحتفاظ بها وذلك للحد من مخاطر الوصول غير المصرح به وللخفض من التأثير في حالة حدوث خرق لهذه للبيانات.
وعن فصل البيانات، تضمنت الاشتراطات وجوب أن يتم فصل البيانات والمعلومات عن الأنظمة أو قواعد البيانات الأخرى لتقليل مخاطر الوصول غير المصرح به والتي تساعد على احتواء التأثير المحتمل لأي حادث أمني والحد من المخاطر المرتبطة به.
نسخ احتياطية منتظمة للبيانات
وفيما يتعلق بالنسخ الاحتياطية للبيانات فإنه يجب القيام بإجراء نسخ احتياطية منتظمة للبيانات لضمان توفرها وسلامتها على أن يتم تخزين النسخ الاحتياطية بشكل آمن واختبارها بشكل دوري لضمان إمكانية استعادة البيانات عند الحاجة.
بروتوكولات تأمين حديثة
وعند النقل الآمن يجب الالتزام باستخدام بروتوكولات تأمين حديثة طبقا للممارسات العالمية المتبعة عند نقل البيانات عبر شبكات الانترنت أو عند الاستعلام عن البيانات من خلال الربط مع قاعدة بيانات مصلحة الأحوال المدنية مما يمنع الاعتراض والوصول غير المصرح به لهذه البيانات والمعلومات.
فحص الثغرات الأمنية واختبارات الاختراق
وبالنسبة للتقييمات الأمنية، فإنه يجب إجراء تقييمات أمنية شاملة منتظمة، بما في ذلك عمليات فحص الثغرات الأمنية واختبارات الاختراق، لتحديد ومعالجة أي نقاط ضعف في الأنظمة التي تتعامل مع البيانات على أن يتم إرسال هذه التقارير للقطاعات المعنية بالبنك المركزي المصري للتقييم وإصدار الموافقة قبل تفعيل هذه الخدمة.
زيادة وعي الموظف والعميل حول أمن المعلومات وخصوصية البيانات
وتضمنت الاشتراطات ضرورة تدريب الموظفين وتوعيتهم توفير تدريب شامل للموظفين المشاركين في عملية تحديث البيانات والمعلومات لزيادة الوعي حول أفضل ممارسات أمن المعلومات وخصوصية البيانات، وأهمية حماية بيانات العملاء.
خطة للاستجابة للحوادث
وفيما يخص خطة الاستجابة للحوادث، فإنه يجب أن تلتزم البنوك بوضع خطة للاستجابة للحوادث لمعالجة الحوادث
الأمنية المحتملة أو خروقات البيانات بشكل فعال، بالإضافة إلى بروتوكولات الاتصال لإخطار العملاء، على أن يتم إخطار مركز الاستجابة لطوارئ الحاسب الآلي للقطاع المالي بالبنك المركزي المصري في خلال ٦ ساعات من حدوث أي حادث أمنى يستهدف بيانات العملاء.
حفظ السجلات وسهولة الرجوع إليها
وعن حفظ السجلات، قالت وحدة مكافحة غسل الأموال وتمويل الإرهاب، إنه يجب الاحتفاظ بسجلات مناسبة لبيانات العملاء وتاريخ المعاملات والوثائق الداعمة على أن يتم تخزين هذه السجلات بشكل آمن ويمكن الوصول إليها لأغراض التدقيق والامتثال.
أنظمة مراقبة المعاملات أو التحليلات السلوكية
وفيما يتعلق بالمراقبة المستمرة، تضمنت الاشتراطات ضرورة تنفيذ مراقبة مستمرة للأنظمة والتطبيقات الخاصة لمعاملات وأنشطة العملاء لتحديد أي سلوك مشبوه أو غير عادي، وقد يتضمن ذلك استخدام أنظمة مراقبة المعاملات أو التحليلات السلوكية.
الالتزام بالأمن السيبراني
أما عن إدارة الالتزام، فيجب إنشاء إطار قوي لإدارة الالتزام لضمان الالتزام بالإطار العام للأمن السيبراني وكافة القواعد المنظمة الصادرة عن البنك المركزي المصري في هذا الشأن، وقد يتضمن ذلك استخدام أنظمة مراقبة المعاملات أو التحليلات السلوكية.
ونصت الاشتراطات على ضرورة الالتزام بأية قواعد أو تعليمات أو اشتراطات أخرى تصدر عن البنك المركزي المصري أو وحدة مكافحة غسل الأموال وتمويل الإرهاب تتعلق بهذه الخدمة، مع تطبيق كافة متطلبات مكافحة غسل الأموال وتمويل الإرهاب.