«المركزي المصري» يكشف عن المستندات المطلوبة للحصول على تراخيص تشغيل نظم وخدمات الدفع فى مصر

فينتك جيت: مصطفى عيد

في إطار تنظيم قطاع التكنولوجيا المالية وتعزيز الشفافية والحوكمة في منظومة الدفع الإلكترونية، أصدر البنك المركزي المصري قائمة تفصيلية بالمستندات الواجب تقديمها من قبل المؤسسات الراغبة في الحصول على ترخيص لتشغيل نظم الدفع أو تقديم خدمات الدفع داخل السوق المصرية.

يتعين على المؤسسات الراغبة في الحصول على ترخيص تشغيل نظام دفع أو تقديم خدمات دفع تقديم طلب إلى البنك المركزي وفقًا للنموذج المعد لهذا الغرض، وذلك من خلال القنوات التي يتم تحديدها، مرفقًا به المستندات الآتية:

• نموذج التشغيل متضمنًا كل خدمة دفع أو نظام دفع بشكل مفصل.
• خطط توعية العاملين والعملاء بأمن المعلومات ومخاطر الأمن السيبراني.
• سياسة التعامل مع شكاوى العملاء.
• نسخة من الشروط والأحكام التي يتم الاتفاق عليها بين مقدم الطلب ومستخدمي خدمة الدفع.
• نسخة من قواعد تشغيل نظام الدفع التي تشمل القواعد ذات الصلة بنهائية التسوية ومعايير الاشتراك في نظام الدفع.
• سياسة وترتيبات حماية أموال العملاء لمقدمي خدمات الدفع في الحالات التي تستدعي ذلك.
• سياسات مراقبة ومتابعة الحوادث التشغيلية والأمنية والأمن السيبراني، بما يشمل إجراءات اكتشاف والإبلاغ عن هذه الحوادث وطرق الاستجابة السريعة والتعافي للحد من المخاطر الناتجة عنها.
• السياسات والضوابط المتبعة من قِبل مقدم الطلب من أجل حفظ ومراقبة والتحكم في عملية الولوج أو الاطلاع على الأنظمة وبالأخص بيانات الدفع الحساسة.
• سياسات مكافحة الاحتيال ومكافحة غسل الأموال وتمويل الإرهاب.

كما تضمنت الشروط خطط استمرارية الأعمال، وإجراءات اختبار الخطط والمراجعة الدورية لها لضمان كفاءتها وفعاليتها، بالإضافة إلى سياسة وخطة التعهيد على أن تتضمن كحد أدنى ما يأتي:

• قائمة بمقدمي خدمات التعهيد على أن تتضمن حالات التعهيد لأي من المساهمين أو الأطراف المرتبطة.
• العقود المبرمة مع مقدمي خدمات التعهيد متضمنة نطاق التغطية المتفق عليه.
• استخدامات تكنولوجيا الحوسبة السحابية على أن تشمل كحد أدنى ما يأتي:
• نوع الحوسبة السحابية المراد استخدامها (مثال: SaaS – PaaS – IaaS).
• التطبيقات التي سيتم استضافتها على الحوسبة السحابية ونوعية البيانات المرتبطة بها ومواقع تخزينها ومعالجتها.
• آليات حوكمة عمليات التعهيد وإدارة المخاطر وقياسها ونظم الرقابة عليها.
• الوسائل المتبعة لتأمين سرية وسلامة البيانات في حالاتها المختلفة من نقل ومعالجة وتخزين وحفظ في نسخ احتياطية.
• الإجراءات الوقائية التي تحول دون إخلال مقدم الخدمة بشروط والتزامات عدم انقطاع الخدمة من حجب أو إيقاف.
• ما يفيد سداد رسم الفحص بالنسبة للمؤسسات القائمة، وذلك وفقًا للبند رقم (5-1).
• خطة تنفيذ الاختبارات المطلوبة للكشف عن الثغرات والاختراق، بما يشمل جميع الأنظمة والتطبيقات.
وشملت التعليمات خطة واستراتيجية أمن المعلومات والأمن السيبراني على أن تتضمن كحد أدنى ما يأتي:
• آليات حوكمة أمن المعلومات وسبل تعزيزها من سياسات وإجراءات ونظم الرقابة وإدارة المخاطر.
• التكنولوجيا اللازمة وضوابط الأمن السيبراني لتأمين البنية التحتية والأنظمة والتطبيقات وكافة المعلومات والبيانات في حالاتها المختلفة من نقل ومعالجة وتخزين وحفظ في نسخ احتياطية، بما يضمن سرية وسلامة وإتاحة البيانات والتوافق مع الإطار العام للأمن السيبراني.
• خريطة تدفق للبيانات والمعلومات ووصف للبنية التكنولوجية والمعلوماتية وأطر تأمينها.
• خطابات الضمان المقررة على المؤسسة التي تقدم خدمة إنشاء أوامر دفع أو خدمة معلومات حساب الدفع، وتقدم فور صدور الترخيص.
• صورة حديثة من السجل التجاري والنظام الأساسي وبطاقة ضريبية سارية.
• ملخص استراتيجية مقدم الطلب والقيمة المضافة التي تقدمها المؤسسة، بالإضافة إلى خطة العمل التي تشمل الموازنة التقديرية لمدة لا تقل عن سنتين قادمتين، والتي تثبت أن مقدم الطلب قادر على توظيف وتخصيص الموارد وتطبيق الإجراءات المناسبة لضمان التشغيل الفعال، وفي حالة المؤسسات القائمة يجب أن تشمل أيضًا القوائم المالية المعتمدة من مراقب الحسابات لمدة ثلاث سنوات سابقة بحد أقصى.
• بيان توضيحي بالفروع والوكلاء، متضمنًا سياسات الوكالة موضحًا به آليات قياس وإدارة المخاطر المتعلقة بهم، والعقود المبرمة معهم، ووصف مشاركة مقدم الطلب في أي نظام دفع محلي أو عابر للحدود.
• الهيكل التنظيمي مفصلًا بالأقسام أو الإدارات ومهامها ومسؤولياتها، متضمنًا أسماء المسؤولين الرئيسيين والمهام والمسؤوليات المنوطة بهم.
• خطة البرامج التدريبية لجميع الموظفين للحد من مخاطر الهجمات السيبرانية، وخطط البرامج التدريبية لمديري الأنظمة ومسؤولي الأمن السيبراني.
• ما يثبت استيفاء مقدم الطلب لمتطلبات الحد الأدنى لرأس المال المصدر والمدفوع.
• سياسات ونظم الرقابة الداخلية وإدارة المخاطر ونظم العمل والحوكمة.
• نماذج الجدارة والصلاحية الفنية للمسؤولين الرئيسيين، متضمنة السير الذاتية.
• شهادة بعدم صدور أحكام إعسار أو إفلاس أو أي جريمة ماسة بالشرف من وزارة العدل ضد أي من المساهمين الرئيسيين أو المرشحين لعضوية مجلس الإدارة والمسؤولين الرئيسيين من حاملي الجنسية المصرية.
• بيان بأسماء مراقبي الحسابات لمقدم الطلب، على أن يكون مراقب الحسابات من المسجلين بالبنك المركزي المصري.
• الضمان المالي الموضح بالبند (4).
• بيان بهيكل الملكية موضحًا به المساهمين والأطراف المرتبطة بهم ونسب استحواذ كل منهم وحقوق التصويت بما يكفل التعرف على المستفيد النهائي.
• تعهد مشغلي نظم الدفع بالالتزام بمبادئ البنية التحتية لأسواق المال (PFMI – Principles for Financial Market Infrastructures) الصادرة عن بنك التسويات الدولية، وذلك وفقًا لحجم أعمال وتعقد أنشطة المؤسسة.
• أي مستندات أو بيانات أخرى يرى البنك المركزي ضرورة تقديمها.

اقرأ ايضا:

«المركزي المصري» يكشف نطاق تطبيق قواعد ترخيص خدمات الدفع ويحدد الأنشطة المستثناة

«المركزي المصري» يلزم مقدمى خدمات ومشغلى نظم الدفع بمعايير صارمة لحماية البيانات وأمن المعلومات

«المركزي المصري» يلزم مقدمى خدمات ومشغلى نظم الدفع بمعايير صارمة لحماية البيانات وأمن المعلومات