رئيس التحرير
محمد صلاح
الأخبار

«المركزي» يحدد الضوابط الرقابية لإدارة خدمات ترميز البطاقات على تطبيقات الأجهزة الإلكترونية

نقاط البيع
نقاط البيع
هل الموضوع مفيد؟
شكرا

اعتمد مجلس إدارة البنك المركزي المصري "القواعد المنظمة لخدمات ترميز بطاقات الدفع على تطبيقات الاجهزة الالكترونية" بما يتيح إجراء معاملات الدفع اللاتلامسية باستخدام التطبيقات عبر هذه الأجهزة.


يأتي إصدار القواعد الجديدة استمراراً لجهود البنك المركزي الاستباقية في تعزيز التطور الرقمي، حيث يتيح الترميز إمكانية تسجيل بطاقات الدفع على تطبيقات الأجهزة الذكية، واستخدامها لإتمام عمليات الدفع على نقاط البيع الإلكترونية، أو الشراء عبر الإنترنت بطريقة سهلة ومؤمنة ومبتكرة.

وحدد البنك المركزي الضوابط الرقابية لإدارة خدمات ترميز البطاقات على تطبيقات الأجهزة الإلكترونية.

  • سرية وسلامة المعلومات

يتضمن تقديم خدمات ترميز البطاقات على تطبيقات الأجهزة الإلكترونية تداول بيانات سرية عبر تطبيقات ترميز البطاقات على الأجهزة الإلكترونية والشبكة الداخلية للبنك لذلك يجب على البنوك ومقدمي خدمات الترميز استخدام الأساليب المناسبة للحفاظ على سرية وسلامة المعلومات المتداولة عبر الشبكة الداخلية والخارجية للبنك وذلك بما يتوافق مع متطلبات تأمين بيانات بطاقات الدفع الإلكترونية وكذا التعليمات الصادرة من جانب البنك المركزي المصري.

كما يجب على البنوك ومقدمي خدمات الترميز اختيار تكنولوجيا التشفير التي تناسب مع حساسية وأهمية المعلومات وكذا درجة الحماية المطلوبة، وفي هذا السياق يوصى دائما بتبني البنوك لتكنولوجيا التشفير التي تستخدم طرق التشفير المتعارف عليها دوليا، حيث تخضع نقاط القوة في هذه الطرق لاختبارات شاملة.

وينبغي أن تطبق البنوك الممارسات السليمة لإدارة مفاتيح التشفير اللازمة لحماية هذه المفاتيح وذلك بما يتوافق مع متطلبات تأمين بيانات بطاقات الدفع الإلكترونية وكذا التعليمات الصادرة من جانب البنك المركزي المصري.

وشدد أنه يجب الحد من تخزين بيانات على الذاكرة الداخلية للهاتف المحمول، وفي حالة الاحتفاظ بأي بيانات على الهاتف المحمول - للضرورة القصوى - يجب استخدام الوسائل المناسبة لحماية ما تم تخزينه.

كما أكد على أنه يجب بان يقوم تطبيق الهاتف المحمول بتنفيذ أليات كشف كافية تضمن أن الهاتف المحمول ليس عرضة للمخاطر مثل Jailbroken Rooted على أن تتضمن إجراءات تأمين التطبيقات على سبيل المثال لا الحصر:

  •  أن تكون حزمة التطبيق موقعة رقميا.
  • يطلب التطبيق الحد الأدنى من مجموعة الصلاحيات المطلوبة.
  •  حفظ مفاتيح التشفير التطبيق على الأجهزة الذكية بشكل آمن.
  • استخدام التطبيق لقاء اتصال من مثل استخدام Certificate SSL pinning مع التأكد من أن مفاتيح التشغير مدمجة داخل التطبيق.
  • الا يخزن التطبيق أي معلومات على الجهاز للتعلق بمعاملات الدفع أو بيانات العميل بخلاف البيانات اللازمة لعمل التطبيق.
  • ألا يقوم التطبيق لتخزين بيانات تسجيل الدخول وإعادة استخدامها.
  • عدم السماح بتثبيت التطبيقات على أنظمة تشغيل قديمة أو منتهية الصلاحية.

كما شدد على أنه يجب حماية تطبيقات الهاتف المحمول ضد أي لقطات تلقانية Screenshots والتي يمكن أن تتم عن طريق برامج تجسس تعمل على نفس جهاز الهاتف المحمول حال وجود إمكانية فنية لتطبيقه.

وشدد على ألا يتم اتصال انظمة البنك المشاركة في خدمات ترميز البطاقات بالشبكة العالمية الانترنت أو أي من الشبكات غير المعتمدة دون الحصول على موافقة البنك المركزي المصري.

فضلًا عن أنه ينبغي على البنك ومقدمي خدمات الترميز تطبيق سياسة الفصل بين المهام والرقابة الثنائية، وذلك للتأكد من عدم إمكانية قيام أي موظف داخل البنك بأي عمل غير مصرح له وإخفائه، ويتضمن هذا على سبيل المثال لا الحصر، إدارة حساب المستخدم وتنفيذ المعاملات وحفظ وإدارة مفاتيح الشفرة الخاصة بالنظام وإدارة النظام System Administration وتشغيله System Operations.

كما تضمنت القواعد أنه يجب أن تخضع أنظمة البنك ومقدمي خدمات الترميز إلى اختبارات متعددة قبل التشغيل للتأكد من قدرتها على القيام بالمهام الموكلة لها وفي حالة تحديث تلك الأنظمة يتم إعادة اختبارها بذات الوسائل لضمان استمرار سلامتها.

وذلك بالإضافة إلى انه يجب على البنك ومقدمي خدمات الترميز السماح بالولوج الى الانظمة بناء على المهام الوظيفية بما يضمن عدم تضارب المصالح ويجب على البنك التحكم في ولولج الموظفين ومديري الانظمة من خلال نظام تحكم مركزي مع مراعاة استخدام المصادقة الثنائية.

هل الموضوع مفيد؟
شكرا
اعرف / قارن / اطلب