أصدرت وحدة مكافحة غسل الأموال وتمويل الإرهاب “اشتراطات تحديث البيانات والمعلومات والمستندات باستخدام التوكيلات، واشتراطات تحديث البيانات والمعلومات باستخدام الوسائل الإلكترونية لعملاء البنوك”، بعد موافقة مجلس أمناء الوحدة. وتأتي هذه الاشتراطات كجزء تكميلي لإجراءات العناية الواجبة المطلوبة من البنوك تجاه عملائها.

وتهدف الاشتراطات الجديدة إلى تعزيز جهود البنوك في التغلب على التحديات المرتبطة بتحديث بيانات العملاء، في إطار السعي المستمر لتطوير التعليمات الرقابية المتعلقة بمنظومة مكافحة غسل الأموال وتمويل الإرهاب. وقد تم إعداد هذه الاشتراطات بالتنسيق والتشاور مع القطاعات المعنية بالبنك المركزي المصري، تعزيزاً للتعاون والشراكة بين الجهتين.

اشتراطات تحديث البيانات والمعلومات باستخدام الوسائل الإلكترونية

مع عدم الإخلال بأحكام أي من القوانين ذات الصلة بتنظيم استخدام الوسائل الإلكترونية (مثل قانون التوقيع الإلكتروني) والقواعد الصادرة عن البنك المركزي المصري (مثل القواعد المنظمة لتقديم الخدمات المصرفية عبر الإنترنت في القطاع المصرفي المصري الصادرة في نوفمبر 2014 والتحديثات ذات الصلة)، وتعليمات البنك المركزي المصري بموجب الكتاب الدوري الصادر بتاريخ 28 مارس 2024 بشأن الضوابط الخاصة بتحديث بيانات العملاء، يتعين الالتزام بالاشتراطات الخاصة عند تحديث البيانات والمعلومات الخاصة للعملاء (سواءً أشخاص طبيعيين أو أشخاص اعتبارية أو ترتيبات قانونية) باستخدام الوسائل الإلكترونية:

    1.    ألا يكون العميل من ضمن العملاء ذوي الحسابات الراكدة وفقاً للتعريف الوارد في التعليمات الرقابية المنظمة للحسابات الراكدة الصادرة عن البنك المركزي المصري في 5 أغسطس 2021، وأية تحديثات أخرى تصدر عليها.

2.    تحديد وتقييم المخاطر المرتبطة بهذه الخدمة ووضع الإجراءات اللازمة لإدارة هذه المخاطر بما يتفق مع مستوى المخاطر المقبول والمعتمد من قبل البنك، وكذلك وضع الإجراءات اللازمة لتقديم هذه الخدمة، ومراجعة كافة تلك الإجراءات من قبل مسؤول الالتزام بالبنك للتأكد من توافقها مع القوانين والتعليمات ذات الصلة، واعتمادها من قبل البنك، وذلك قبل إطلاق الخدمة المذكورة، على أن تكون المسؤولية النهائية بتقديم هذه الخدمة على عاتق البنك.

3.    إعداد قائمة الشروط والأحكام الخاصة بتقديم هذه الخدمة تتضمن المخاطر المرتبطة عليها، والإرشادات الواجب اتباعها، ومسؤوليات العميل، وعند البدء في تقديم الخدمة يتعين حصول البنك على موافقة العميل على هذه القائمة.

4.    وضع خطط وآليات التأمين الخاصة بالبيانات والمعلومات والوسائل الإلكترونية وضمان عدم التلاعب بها.

5.    إتاحة البنك وسيلتين على الأقل من وسائل المصادقة الثنائية “Two-Factor Authentication” وفقاً لما هو منصوص عليه بشأن وسائل المصادقة الثنائية الصادرة في القواعد المنظمة لتقديم الخدمات المصرفية عبر الإنترنت في القطاع المصرفي المصري الصادرة في نوفمبر 2014 والتحديثات ذات الصلة، عند تحديث البيانات والمعلومات من خلال الوسائل الإلكترونية.   

 6.    يكون تحديث البيانات والمعلومات باستخدام الوسائل الإلكترونية وفقاً لمستوى المخاطر المقبول والمعتمد المشار إليه بالبند رقم (2) من هذه الاشتراطات، في الحالات التي يفيد فيها العميل بأي مما يلي:

•    عدم وجود أي تغيير في البيانات والمعلومات والمستندات التي حصل عليها البنك أثناء تطبيق إجراءات العناية الواجبة عند حلول موعد التحديث مع استمرار سريان مستند تحقيق الشخصية.
• وجود تغيير في البيانات أو المعلومات التي حصل عليها البنك أثناء تطبيق إجراءات العناية الواجبة (لا أنها لا تتطلب تقديم مستندات مدونة (على سبيل المثال لا الحصر: رقم الهاتف المحمول، البريد الإلكتروني) مع استمرار سريان مستند مستمسك للهوية الشخصية.

7- في حالة وجود شك لدى البنك في صحة ما يفيد به العميل أثناء تنفيذ الخدمة، أو في أي حالات أخرى يحددها البنك، يتعين عليه اتخاذ تدابير إضافية من خلال استخدام مصادر موثوق فيها ومستقلة بما يشمل الدخول على قاعدة بيانات مصلحة الأحوال المدنية للتحقق من البيانات الشخصية وبيانات أحدث بطاقة.

8- في حالة عدم وجود شك في صحة ما يفيد به العميل أثناء تنفيذ الخدمة أو التحقق من صحة إفادة العميل (حال اتخاذ التدابير الإضافية المشار إليها في البند ٧ من هذه الاشتراطات)، يتعين على البنك تسجيل ما يفيد تحديثه من بيانات ومعلومات على قاعدة البيانات لديه، وإفطار العميل بها (دون الإفصاح عن تفاصيلها) وبإتمام عملية التحديث بنجاح، وذلك باستخدام قناتين مختلفتين كحد أدنى من قنوات الاتصال المختلفة المقررة من قبل العميل والواردة بتعليمات البنك المركزي الصادرة بموجب الكتاب الدوري الصادر بتاريخ ٢٨ مارس ٢٠٢٤ بشأن الضوابط الخاصة بتحديث بيانات العملاء.

8- في حالة التحقق من عدم صحة إفادة العميل بشأن عملية التحديث وفقاً للبند ٧ المشار إليها في البند ٣ من هذه الاشتراطات، يتعين على البنك إتمام عملية التحديث باستخدام قناتين مختلفتين كحد أدنى من قنوات الاتصال المشار إليها في البند ٨ من هذه الاشتراطات، والنظر في تطبيق البند ٤-١٦ من الأحكام العامة من إجراءات العناية الواجبة بعملاء البنوك الصادرة عن الوحدة في فبراير ٢٠٢٠.

9- عدم قبول تحديث المستندات باستخدام الوسائل الإلكترونية، حيث يتطلب الأمر الاطلاع على أصول المستندات المطلوب تحديثها وتدقيقها والتأكد من خلوها من مظاهر التزوير والعبث بها، والحصول على صور ضوئية واضحة منها، وتوقيع الموظف المختص على كل منها بأنها صورة طبق الأصل.

10- وجود آلية تمكن البنك من تتبع المستندات التي نتجت عن عملية التحديث، وتاريخ التحديث.

11- توفير التدريب اللازم للأشخاص القائمين على تنفيذ خدمة العملاء بالمكاتب الأمامية ومركز الاتصال، بما يلزم لاستيعاب متطلبات تقديم هذه الخدمة والإلمام الشامل بها للرد على أسئلة واستفسارات العملاء وتوجيههم.

12- الالتزام بمعايير الأمن السيبراني كحد أدنى: - التشفير: استخدام تقنيات تشفير قوية متوافقة مع أحدث المعايير العالمية لحماية بيانات العملاء الحساسة أثناء النقل والتشغيل والتخزين على أنه يحظر استخدام تقنيات تشفير ضعيفة أو منتهية.

ضوابط الوصول: - تنفيذ ضوابط وصول قوية لتقييد الوصول إلى بيانات العملاء والموظفين المصرح لهم فقط، وتتضمن ذلك استخدام كلمات مرور قوية والمصادقة متعددة العوامل.

- تخزين البيانات في بيئات آمنة ومراقبة للوصول غير المصرح به وضمان الأنظمة والبيانات المخزنة بشكل آمن.

التخزين الآمن: - يجب تخزين البيانات والمعلومات في بيئات آمنة، مثل الخوادم الإلكترونية.

- تقييد الوصول إلى مناطق التخزين المادية، مع وضع ضمادات مناسبة ضد السرقة أو الدخول غير المصرح به.

تقليل البيانات (Data Minimization): - جمع البيانات الضرورية فقط لعملية تحديث البيانات والمعلومات والاحتفاظ بها لتقليل مخاطر الوصول غير المصرح به وتقليل تأثيره عند حدوث أي تهديد أمني.

فصل البيانات: - فصل البيانات والمعلومات الحساسة في أنظمة وقواعد البيانات لتقليل مخاطر الوصول غير المصرح به، ويساعد ذلك على احتواء التأثير المحتمل لأي تهديد أمني.

النسخ الاحتياطي للبيانات:

- إجراء نسخ احتياطية منتظمة للبيانات لضمان توفرها وسلامتها عند الحاجة. - تخزين النسخ الاحتياطية بشكل آمن واختبارها بشكل دوري لضمان إمكانية استعادة البيانات عند الحاجة.

النقل الآمن:

- الالتزام باستخدام بروتوكولات تأمين حديثة عند نقل البيانات عبر شبكات الإنترنت لتقليل الاعتراض والوصول غير المصرح به لهذه البيانات والمعلومات.

التعليقات الأمنية:

- إجراء فحوصات أمنية منتظمة، بما في ذلك عمليات فحص الثغرات الأمنية واختبارات الاختراق، لتحديد نقاط ضعف في الأنظمة التي تتعامل مع البيانات.

تدريب الموظفين وتوعيتهم:

- توفير تدريب شامل للموظفين المشاركين في عملية تحديث البيانات والمعلومات لزيادة الوعي حول أفضل ممارسات أمن المعلومات.

خطة الاستجابة للحوادث:

- الموافقة على خطة الاستجابة للحوادث لمعالجة الحوادث الأمنية المحتملة أو خروقات البيانات بشكل فعال، بالإضافة إلى بروتوكولات الاتصال لإخطار الجهات المعنية.

العملاء، على أن يتم إخطار مركز الاستجابة لطوارئ الحاسب الآلي للقطاع المالي بالبنك المركزي المصري في خلال 24 ساعة من حدوث أي حادث أمني يستهدف بيانات العملاء.

حفظ السجلات:

- يجب الاحتفاظ بسجلات مناسبة لبيانات العملاء وتاريخ المعاملات والوثائق الداعمة، على أن يتم تأمين هذه السجلات بشكل آمن ويمكن الوصول إليها لأغراض التدقيق والاستقلال.

المراقبة المستمرة:

- تنفيذ مستمرة للأنظمة والتطبيقات الخاصة بعمليات وأنشطة العملاء لتحديد أي سلوك مشبوه أو غير عادي، وقد يتضمن ذلك استخدام أنظمة مراقبة العمليات أو التحليلات السلوكية.

إدارة الالتزام:

- إنشاء إطار قوي لإدارة الالتزام لضمان الالتزام بالإطار العام للأمن السيبراني وكافة القواعد المنظمة الصادرة عن البنك المركزي المصري في هذا الشأن، وقد يتضمن ذلك استخدام أنظمة مراقبة العمليات أو التحليلات السلوكية.

- الالتزام بأية قواعد أو تعليمات أو اشتراطات أخرى تصدر عن البنك المركزي المصري أو وحدة مكافحة غسل الأموال وتمويل الإرهاب تتعلق بهذه الخدمة.

- تطبيق كافة متطلبات مكافحة غسل الأموال وتمويل الإرهاب.