وبحسب المشروع، يجب أن يتوافق نظام الخدمات المصرفية عبر الإنترنت مع اللوائح المتعلقة بضمان أمن نظام المعلومات على المستوى 3 أو أعلى وفقًا لأحكام القانون بشأن ضمان أمن نظام المعلومات على المستوى ولوائح بنك الدولة بشأن أمن نظام المعلومات في الأنشطة المصرفية.
ضمان سرية وسلامة معلومات العملاء، والتأكد من توافر نظام الخدمات المصرفية عبر الإنترنت لتقديم الخدمات بشكل مستمر.
يتم تقييم معاملات العملاء فيما يتعلق بمستويات المخاطر الدنيا وفقًا لكل مجموعة عملاء ونوع المعاملة وحد المعاملة (إن وجد) وعلى هذا الأساس، يتم توفير طرق مصادقة المعاملات المناسبة للعملاء للاختيار من بينها، والامتثال للوائح: تطبيق المصادقة متعددة العوامل عند تغيير معلومات تعريف العميل؛ تطبيق طرق المصادقة لكل مجموعة عملاء ونوع معاملة وحد المعاملة وفقًا للوائح؛ بالنسبة للمعاملات متعددة الخطوات، يجب تطبيق مقياس مصادقة واحد على الأقل في خطوة الموافقة النهائية.
إجراء فحوصات وتقييمات أمنية سنوية لنظام الخدمات المصرفية عبر الإنترنت.
تحديد المخاطر والمخاطر المحتملة بشكل منتظم وتحديد أسباب المخاطر واتخاذ التدابير اللازمة على الفور لمنع المخاطر والسيطرة عليها ومعالجتها عند تقديم الخدمات المصرفية على الإنترنت.
يجب أن تتمتع معدات البنية التحتية لتكنولوجيا المعلومات التي تُقدم خدمات الخدمات المصرفية عبر الإنترنت بحقوق الطبع والنشر، وأن يكون مصدرها ومنشأها واضحين. بالنسبة للمعدات التي تقترب من نهاية دورة حياتها ولن تدعمها الشركة المصنعة، يجب أن تكون الوحدة مزودة بخطة ترقية واستبدال وفقًا لإعلان الشركة المصنعة، مع ضمان قدرة معدات البنية التحتية على تثبيت إصدارات برامج جديدة.
يحتوي على جدران حماية وأنظمة مراقبة وتنبيهات للسلوك غير الطبيعي
يجب على الوحدة إنشاء شبكة ونظام اتصالات وأمان يلبي الحد الأدنى من المتطلبات التالية:
هناك حلول أمنية بسيطة تتضمن: جدار حماية التطبيقات، وجدار حماية قواعد البيانات، ونظام مراقبة مركزي وتحذير من الهجمات أو السلوك غير المعتاد.
لا يتم تخزين معلومات العميل في قسم اتصال الإنترنت وقسم DMZ (القسم الوسيط بين الشبكة الداخلية والإنترنت).
إعداد سياسة للحد من الخدمات والبوابات المتصلة بنظام الخدمات المصرفية عبر الإنترنت.
لا يمكن إجراء اتصالات من خارج الشبكة الداخلية بنظام الخدمات المصرفية عبر الإنترنت للإدارة إلا في الحالات التي لا يمكن فيها الاتصال من الشبكة الداخلية ويجب أن تكون آمنة، وتتوافق على الأقل مع اللوائح التالية: يجب أن تتم الموافقة عليها من قبل شخص مخول بعد مراجعة الغرض وطريقة الاتصال؛ يجب أن يكون لديك خطة لإدارة الوصول، وإدارة النظام عن بعد الآمنة مثل استخدام شبكة خاصة افتراضية أو ما يعادلها؛ يجب تثبيت برنامج أمان على جهاز الاتصال؛ يجب استخدام تدابير المصادقة متعددة العوامل عند تسجيل الدخول إلى النظام؛ استخدام بروتوكولات الاتصال المشفرة الآمنة وعدم تخزين المفاتيح السرية في برامج المرافق.
يجب أن يضمن اتصال شبكة الخدمة توفرًا عاليًا وتوفير الخدمة بشكل مستمر.
إنشاء آلية للكشف عن عمليات الاختراق والهجمات على الشبكة على النظام ومنعها
وينص المشروع أيضًا بشكل واضح على أن الوحدة يجب أن تدير نقاط الضعف والثغرات في نظام الخدمات المصرفية عبر الإنترنت بالمحتويات الأساسية التالية:
إتخاذ التدابير اللازمة لمنع واكتشاف ورصد التغييرات التي تطرأ على موقع الويب وبرامج تطبيق الخدمات المصرفية عبر الإنترنت.
إنشاء آلية للكشف عن عمليات الاختراق والهجمات الشبكية على نظام الخدمات المصرفية عبر الإنترنت ومنعها.
التنسيق مع وحدات إدارة الدولة وشركاء تكنولوجيا المعلومات لفهم الحوادث ومواقف فقدان الأمن والسلامة للمعلومات على الفور لاتخاذ التدابير الوقائية في الوقت المناسب.
تحديث المعلومات المتعلقة بالثغرات الأمنية المنشورة المتعلقة ببرامج النظام وأنظمة إدارة قواعد البيانات وبرامج التطبيقات وفقًا للمعلومات الواردة من نظام تسجيل الثغرات الأمنية المشترك.
ابحث عن نقاط الضعف والثغرات في نظام الخدمات المصرفية الإلكترونية مرة واحدة على الأقل سنويًا أو عند تلقي معلومات تتعلق بنقاط ضعف وثغرات جديدة. قيّم مستوى تأثير ومخاطر كل ثغرة أو نقطة ضعف تقنية مُكتشفة في النظام، واقترح حلولًا وخططًا لمعالجتها.
تنفيذ تحديثات تصحيح الأمان أو التدابير الوقائية في الوقت المناسب استنادًا إلى تقييم التأثير والمخاطر.
مصدر
تعليق (0)