المركزي يحدد "مسؤوليات طالب الرمز" الخاصة بخدمات ترميز البطاقات على تطبيقات الأجهزة الإلكترونية.
حدد البنك المركزي المصري بعض المسؤوليات لطالب الرمز (Token Requestor) الخاصة بخدمات ترميز البطاقات على تطبيقات الأجهزة الإلكترونية.
وأضاف المركزي أن يمكن للبنك المصدر اتاحة الدفع عبر تطبيقات ترميز البطاقات على الأجهزة الإلكترونية سواء أن تكون تلك الخدمة مدمجة داخل تطبيق الهاتف البنكي الخاص بالبنك المصدر أو من خلال تطبيق منفصل مخصص لتلك الخدمة وذلك على أن يكون خادم إدارة تطبيقات ترميز البطاقات مستضاف لدي البنك (Locally Hosted Wallet Management Server) أو لدي أحد مقدمي الخدمة المعتمدين من قبل البنك المركزي المصري.
كما يمكن لمقدمي خدمات الدفع أو مصنعي الأجهزة الإلكترونية على سبيل المثال (Apple Pay Google Pay Samsung Pay توفير تطبيقات لترميز البطاقات المصدرة من البنوك HCE & OEM Wallets) وذلك بعد الحصول على موافقة البنك المركزي المصري من قبل البنك المصدر للبطاقات الراغب في تفعيل الخدمة من خلال التطبيقات الخاصة بهم، على أن يتم الالتزام بإبرام تعاقد مع كل من الشبكات والبنوك المصدرة للبطاقات والمشتركة بالنظام، وفي كافة الأحوال يلتزم طالب الرمز بإبرام تعاقد مع شبكة منظومة الدفع الوطنية «ميزة» وذلك لكي يتمكن من إصدار رمز إضافي Auxiliary Token) لكافة البطاقات الدولية.
وأوضح المركزي أنه في كافة الأحوال يلتزم البنك المصدر بالحصول على ترخيص من البنك المركزي المصري لإتاحة الدفع عبر تطبيقات ترميز البطاقات على الأجهزة الإلكترونية للبطاقات المصدرة بواسطته لكل تطبيق على حدة سواء كان التطبيق مملوكاً للبنك أو لأحد مصنعي الأجهزة الإلكترونية وعلى سبيل المثال ( Apple Pay Google Pay Samsung Pay) أو لأحد مقدمي خدمات الدفع المرخصين من البنك المركزي المصري.
وأشار البنك المركزي إلى اجراء التعديلات اللازمة للحصول على الرمز الإضافي (Auxiliary Token) لكافة البطاقات التي تحمل علامة قبول دولية وتفعيل الرموز بعد التأكد من الإصدار الناجح للرمز الثنائي الرمز الخاص بالشركة صاحبة علامة القبول للبطاقة والرمز الخاص بمنظومة الدفع الوطنية «ميزة») دون الاعتماد على أحدهما فقط.
أما فيما يخص بطاقات الدفع الوطنية «ميزة» يتم اصدار رمز واحد فقط لا غير يخص منظومة الدفع الوطنية «ميزة».
ضرورة ان يقوم تطبيق ترميز البطاقات على الأجهزة الإلكترونية بربط الرمز بجهاز الهاتف المحمول المصدر للرمز
يجب ان يكون التطبيق طالب الرمز متوافق مع المعاير والمتطلبات وأفضل الممارسات المصدرة من EMVCO
يجب أن يوفر تطبيق ترميز البطاقات على الأجهزة الإلكترونية وسائل التحقق من حامل البطاقة على الأجهزة الإلكترونية (CDCVM).
يجب على التطبيق طالب الرمز التأكيد على حامل البطاقة على أهمية ضبط رقم التعريف الشخصي للجهاز من قبل المستخدم Mobile Phone Passcode) وعدم مشاركته مع أحد قبل إتمام عملية تخزين رمز البطاقة على الجهاز.
وفي حالة المعاملات التي تتجاوز حد التحقق من حامل البطاقة (CV) Limit) على التطبيق طالب الرمز اجراء التحقق من حامل البطاقة على الأجهزة الإلكترونية (CDCVM) عند إتمام كل عملية دفع على حدي وعدم الاعتماد على أي عملية تحقق من حامل البطاقة سابقة.
يلتزم طالب الرمز بأن تظل بيانات البطاقة الأصلية مشفرة من نقطة إدخال العميل لها من خلال التطبيق المعد لذلك وأثناء تبادلها مع كافة الأطراف الخارجية مع ضرورة عدم الاحتفاظ بتلك البيانات بالمنظومة نهائياً.
إجراء جميع الاختبارات اللازمة على تطبيق ترميز البطاقات على الأجهزة الإلكترونية واجتياز جميع اختبارات الشبكات صاحبة علامة القبول في هذا الشأن.
يلتزم طالب الرمز بموافاة البنك المركزي المصري بتقرير اختبارات الاختراق (Penetration Test Report), وتقارير تقييم نقاط الضعف Credential vulnerability assessment) على بيئة العمل الفعلية و كذلك الأنظمة البديلة في مركز الطوارئ بما يشمل جميع الأنظمة و التطبيقات والبنية التحتية و أساليب التأمين المتبعة على أن تكون هذه الاختبارات تتم بصورة شاملة تتيح اكتشاف جميع الثغرات والمشاكل الفنية والذي يفيد عدم وجود أي نقاط ضعف عالية أو متوسطة الخطورة عن طريق جهة مستقلة بالإضافة الى تقارير الالتزام بالمعاير (PCI DSS Report on Compliance ومن ثم الحصول على موافقة البنك المركزي المصري بتفعيل الخدمة، على أن يتم تقديم التقرير المشار اليه إلى البنك المركزي المصري في مدة لا تتجاوز ثلاثة أشهر من تاريخ إصداره والخاصة بكافة الخدمات المذكورة اعلاه.
يكون للعميل الحرية في استخدام أو الغاء أي من البطاقات المسجلة في تطبيق طالب الرمز ضمان الحفظ الآمن للرموز والمفاتيح المرتبطة بها بواسطة طالب الرمز عند التسجيل الناجح للبطاقة بكافة أنظمة التشغيل وتطبيقات ترميز البطاقات على الأجهزة الإلكترونية المملوكة لطالب الرمز.