حددت وحدة مكافحة غسل الأموال وتمويل الإرهاب، الاشتراطات الواجب الالتزام بها في البنوك بالنسبة لتحديث البيانات والمعلومات الخاصة بالعملاء باستخدام الوسائل الالكترونية.

وتضمنت اشتراطات تحديث البيانات والمعلومات باستخدام الوسائل الالكترونية 15 بندا يجب أن تلتزم بها البنوك، حيث نصت هذه الاشتراطات على أنه مع عدم الإخلال بأحكام أي من القوانين ذات الصلة بتنظيم استخدام الوسائل الإلكترونية "مثل قانون التوقيع الإلكتروني والقواعد الصادرة عن البنك المركزي المصري مثل القواعد المنظمة لتقديم الخدمات المصرفية عبر الإنترنت في القطاع المصرفي المصري الصادرة في نوفمبر 2014 والتحديثات ذات الصلة"، وتعليمات البنك المركزي الصادرة بموجب الكتاب الدوري الصادر بتاريخ 28 مارس 2022 بشأن الضوابط الخاصة بتحديث بيانات العملاء، يتعين على البنك الالتزام بالاشتراطات التالية عند تحديث البيانات والمعلومات للعملاء (سواء أشخاص طبيعيين أو أشخاص اعتبارية أو ترتيبات قانونية باستخدام الوسائل الإلكترونية:

1-ألا يكون العميل ضمن العملاء ذوي الحسابات الراكدة وفقاً للتعريف الوارد في التعليمات الرقابية المنظمة للحسابات الراكدة الصادرة عن البنك المركزي المصري في 4 أغسطس 2021، وأية تعديلات أخرى تصدر عليها.

2-تحديد وتقييم المخاطر المرتبطة بهذه الخدمة ووضع الإجراءات اللازمة لإدارة هذه المخاطر بما يتفق مع مستوى المخاطر المقبول والمعتمد من قبل البنك.

3-إعداد قائمة الشروط والأحكام لتقديم هذه الخدمة تتضمن المخاطر المترتبة عليها، والإرشادات الواجب اتباعها، ومسئوليات العميل.

4-وضع خطط وآليات التأمين الخاصة بالبيانات والمعلومات والوسائل الإلكترونية وضمان عدم التلاعب بها.

5-إتاحة البنك وسيلتين من وسائل المصادقة الثنائية Two-Factor Authentication  وفقاً لما تم النص عليه بشأن وسائل المصادقة الثنائية الصادرة في القواعد المنظمة لتقديم الخدمات المصرفية عبر الإنترنت في القطاع المصرفي المصري الصادرة في نوفمبر 2012 والتحديثات ذات الصلة.

6-يكون تحديث البيانات والمعلومات باستخدام الوسائل الإلكترونية وفقا لمستوى المخاطر المقبول والمعتمد المشار إليه بالبند رقم "2" من هذه الاشتراطات، في الحالات التي يفيد فيها العميل بأي مما يلي:

أ‌- عدم وجود أي تغيير في البيانات والمعلومات والمستندات التي حصل عليها البنك أثناء تطبيق إجراءات العناية الواجبة عند حلول موعد التحديث مع استمرار سريان مستند تحقيق الشخصية.

ب‌- وجود تغيير في البيانات أو المعلومات التي حصل عليها البنك أثناء تطبيق إجراءات العناية الواجبة إلا أنها لا تتطلب تقديم مستندات مؤيدة على سبيل المثال لا الحصر : رقم الهاتف المحمول البريد الإلكتروني مع استمرار سريان مستند تحقيق الشخصية.

7-في حالة وجود شك لدى البنك في صحة ما يفيد به العميل أثناء تنفيذ الخدمة، أو في أي حالات أخرى يحددها البنك، يتعين عليه اتخاذ تدابير إضافية.

8-في حالة عدم وجود شك في صحة ما يفيد به العميل أثناء تنفيذ الخدمة ينبغي على البنك تسجيل ما تم تحديثه من بيانات ومعلومات على قاعدة البيانات لديه، وإخطار العميل به دون الإفصاح عن تفاصيله.

9-في حالة التحقق من عدم صحة إفادة العميل بشأن عملية التحديث يتعين على البنك عدم إتمام عملية التحديث مع إخطار العميل بذلك.

10- عدم قبول تحديث المستندات باستخدام الوسائل الإلكترونية، حيث يتطلب الأمر الاطلاع على أصول المستندات المطلوب تحديثها والتأكد من خلوها من مظاهر توحي بالعبث بها، والحصول على صور ضوئية واضحة منها، وتوقيع الموظف المختص على كل منها بأنها صورة طبق الأصل.

11- وجود آلية تمكن البنك من تتبع التغييرات التي تمت نتيجة عملية التحديث، وتاريخ التحديث.

12-وفير التدريب والدعم اللازمين لممثلي البنك بما يشمل خدمة العملاء والمكاتب الأمامية ومركز الاتصال)، بما يلزم لاستيعاب متطلبات تقديم هذه الخدمة والإلمام الشامل بها للرد على أسئلة واستفسارات العملاء بخصوصها.

13- الالتزام بمعايير الأمن السيبراني التالية كحد أدنى

• التشفير: استخدم تقنيات تشفير قوية متوافقة مع أحدث المعايير العالمية لحماية بيانات العملاء الحساسة أثناء النقل والتشغيل والتخزين.

• ضوابط الوصول: تنفيذ ضوابط وصول قوية لتقييد الوصول إلى بيانات العملاء للموظفين المصرح لهم فقط.

• التخزين الآمن: يجب تخزين البيانات والمعلومات في بيئات آمنة ماديا والكترونيا.

• تقليل البيانات (Data Minimization) : يتم فقط جمع بيانات العملاء الضرورية لعملية تحديث البيانات والمعلومات والاحتفاظ بها.

• فصل البيانات يجب أن يتم فصل البيانات والمعلومات عن الأنظمة أو قواعد البيانات الأخرى لتقليل مخاطر الوصول غير المصرح به.

• النسخ الاحتياطية للبيانات يجب القيام بإجراء نسخ احتياطية منتظمة للبيانات لضمان توفرها وسلامتها.

• النقل الأمن: يجب الالتزام باستخدام بروتوكولات تأمين حديثة طبقا للممارسات العالمية المتبعة عند نقل البيانات.

• التقييمات الأمنية: يجب إجراء تقييمات أمنية شاملة منتظمة، بما في ذلك عمليات فحص الثغرات الأمنية واختبارات الاختراق.

• تدريب الموظفين وتوعيتهم توفير تدريب شامل للموظفين المشاركين في عملية تحديث البيانات والمعلومات.

• خطة الاستجابة للحوادث: يجب أن تلتزم البنوك بوضع خطة للاستجابة للحوادث المعالجة الحوادث الأمنية المحتملة أو خروقات البيانات بشكل فعال.

• العملاء، على أن يتم إخطار مركز الاستجابة لطوارئ الحاسب الآلي للقطاع المالي بالبنك المركزي المصري في خلال 6 ساعات من حدوث أي حادث أمنى يستهدف بيانات العملاء.

• حفظ السجلات: يجب الاحتفاظ بسجلات مناسبة لبيانات العملاء وتاريخ المعاملات والوثائق الداعمة.

• المراقبة المستمرة تنفيذ مراقبة مستمرة للأنظمة والتطبيقات الخاصة لمعاملات وأنشطة العملاء لتحديد أي سلوك مشبوه أو غير عادي.

• إدارة الالتزام: إنشاء إطار قوي الإدارة الالتزام لضمان الالتزام بالإطار العام للأمن السيبراني.

14-الالتزام بأية قواعد أو تعليمات أو اشتراطات أخرى تصدر عن البنك المركزي المصري أو وحدة مكافحة غسل الأموال وتمويل الإرهاب تتعلق بهذه الخدمة.

15-تطبيق كافة متطلبات مكافحة غسل الأموال وتمويل الإرهاب.