‫متطلبات امان الخدمات االلكترونية‪:‬‬

‫المصادقة األمنة‪:‬‬
‫انطالقا من مبدأ بازل الرابع في إدارة مخاطر الخدمات األلكترونية"على البنوك اتخاذ التدابير الالزمة لمصادقة هوية‬
‫العمالء على شبكة االنترنت واعطائهم الصالحيات المالئمة" برزت أهمية تأكيد هوية العميل عند اتصاله بالخدمة‬
‫االلكترونية او طلب دخول للحساب البنكي وتنفيذ جركة علىه (‪ )transaction‬ألن عملية تزييف هوية العميل الشرعي‬
‫باتت ممكنة من خالل عدة تقنيات تعرف ب (‪ )spoofing‬كما اصبح للهاكرز القدرة على االستيالء على الجلسة (‬
‫‪ ) session‬واصبح من الممكن تجاوز عملية المصادقة او تعطيلها من خالل تخريب قواعد بيانات المصادقة ولذلك يؤدي‬
‫الفشل في أي جزئية من عملية مصادقة هوية العميل الى السماح لألشخاص الغير مصرح لهم بالوصول الى الحساب‬
‫البنكي للعميل الشرعي‪ ،‬خسارة مالية‪ ،‬ضرر على سمعة المصرف من خالل االحتيال او تسريب معلومات سرية او‬
‫االرتباط بأنشطة إجرامية وبناء عليه توجب وضع سياسة لضبط عملية المصادقة األمنة‬

‫مبدأ عدم االنكار‪:‬‬

‫هو القدرة على منع األطراف المشاركة من نفي أو رفض عمليات او معامالت تمت بالفعل‪ ،‬يعني ذلك انه بمجرد إتمام‬
‫عملية مثل إجراء مالي أو توقيع عقد الكتروني‪ ،‬يجب أن يكون هناك سجالت وأدلة تثبت بوضوح من قبل الجهات‬
‫المعنية(للمرسل والمستقبل) ان هذه العملية قد حدثت بالفعل و ال يمكن نفيها الحقا‪ ،‬هذا المبدأ مهم لألمان والثقة في‬
‫البيئات اإللكترونية‪ ،‬مثل التعامالت المالية عبر االنترنت‪ ،‬حيث يضمن أن األطراف المشاركة ال يمكنها اإلغاء أو نفي‬
‫مشاركتها في العمليات التي قامت بها‪.‬‬
‫تحقيق مبدأ عدم االنكار يتطلب عدة وسائل واجرائيات أهمها‪:‬‬
‫السجالت االلكترونية‪ :‬الحفاظ على سجالت مفصلة لكل عملية وتفاصيلها يمكن أن يوفر دليل قوي على حدوث العمليات‬
‫بالفعل وال يمكن نفيها‪.‬‬
‫تأكيد العمليات‪ :‬ارسال إشعارات تأكيد بالبريد االلكتروني أو الرسائل النصية لألطراف المعنية بمجرد حدوث عملية وهذا‬
‫يقوي األدلة وال يمكن نفيها‬

‫مبدأ فصل المهام‪:‬‬

‫يشير الى تقسيم الوظائف أو اإلجراءات المختلفة الى أجزاء مستقلة أو مهام منفصلة‪ .‬هذا الفصل يعنى بتوزيع مسؤوليات‬
‫معينة على اكثر من فرد و ذلك لزيادة األمان وتحقيق التحكم األمثل في العمليات والتخفيف من مخاطر االحتيال‪.‬‬
‫من األمثلة على فصل المهام‬
‫إدارة الصالحيات‪ :‬من خالل فصل المهام يمكن تخصيص صالحيات محددة لكل مستخدم أو دور في التطبيق‬ ‫‪‬‬
‫ف مثال صالحيات مدير النظام تختلف عن صالحيات مطور التطبيق تختلف عن صالحيات خدمة العمالء‪.‬‬
‫التحقق والمراجعة‪ :‬يمكن تكليف أشخاص معنيين للتحقق من دقة العمليات وصحة العمليات فهذا يقلل من فرص‬ ‫‪‬‬
‫وقوع األخطاء أو التزوير‪.‬‬
‫التقارير والمراقبة‪ :‬يمكن أن يكون هناك أشخاص مسؤولين عن اعداد التقارير ومراقبة النشاطات واالستخدام‬ ‫‪‬‬
‫مما يساعد في تقديم نظرة شاملة عن أداء التطبيق‪.‬‬
‫الحماية من االختراق‪ :‬فصل المهام يقلل من تأثير الهجمات عند حدوثها حيث يتم تقييد وصول المهاجمين الى‬ ‫‪‬‬
‫مجموعة محددة من المهام فقط‪.‬‬
‫من الممارسات السليمة التي توصي بها لجنة بازل إلنشاء فصل المهام في نظم الخدمات االلكترونية‪:‬‬
‫تصميم النظم االلكترونية والعمليات المالية لضمان ان ال يمتلك فرد‪/‬جهة خارجية امكانية‬ ‫‪‬‬
‫(الدخول‪/‬النصريح‪/‬اتمام) لعملية ما بمفرده‬
‫الحفاظ على فصل المهام بين األشخاص الذين يخلون المعلومات وبين األشخاص المسؤولين عن دراسة‬ ‫‪‬‬
‫المعلومات والتحقق من صحتها‬
 ‫اختبار نظم الخدمات األلكترونية لضمان عدم وجود إمكانية لتجاوز فصل المهام‬ ‫‪‬‬
‫يجب أن يتم فصل المهام بين مطوري النظم وبين مدراء النظم‬ ‫‪‬‬
‫بشكل عام يساهم فصل المهام في تحقيق األمان والتحكم الدقيق في العمليات‪ ،‬مما يعزز الثقة في التطبيق البنكي‬
‫االلكتروني ويحمي المعلومات المالية والشخصية للعمالء‪.‬‬

‫ضوابط التصريح(‪ )authorization‬وصالحيات النفاذ(‪:)access privileges‬‬

‫التصريح‪ :‬هو عملية منح األذن أو الصالحية لألشخاص أو الكيانات للقيام بأنشطة معينة أو الوصول الى معلومات‬
‫محددة‪ .‬ويتضمن التصريح تحديد ما ُيسمح به وما ُيمنع‪ ،‬وذلك للحفاظ على األمان والسيطرة على الوصول الى الموارد‬
‫أو المعلومات‪ ،‬وفي اطار تحقيق نظام فصل مهام فعال فيجب وضع ضوابط تصريح فعالة ألنه في غياب تلك الضوابط‬
‫تزداد احتمالية إساءة استخدام األفراد لصالحياتهم وإمكانية تجاوز فصل المهام مما يؤدي الى النفاذ الغير مصرح به للنظم‬
‫البنكية وقواعد البيانات والتطبيقات‬
‫تتضمن صالحيات النفاذ مجموعة من المور مثل‪:‬‬
‫صالحية القراءة‪ :‬القدرة على عرض المعلومات والبيانات المخزنة في النظام‪.‬‬
‫صالحية الكتابة‪ :‬القدرة على إدخال أو تعديل بيانات النظام‪.‬‬
‫صالحية التنفيذ‪ :‬القدرة على تنفيذ أوامر و اجرائيات معينة في النظام‪.‬‬
‫صالحية الحذف‪ :‬القدرة على المعلومات أو البيانات من النظام‪.‬‬
‫صالحية الوصول الى وحدات محددة‪ :‬القدرة على الوصول فقط الى أقسام محددة أو وحدات معينة داخل النظام‪.‬‬
‫صالحية التعديل على اعدادات النظام‪ :‬القدرة على تغيير اعدادات وتكوينات النظام‪.‬‬
‫صالحية اإلبالغ والمراقبة‪ :‬القدرة على انشاء تقارير ومراقبة األنشطة داخل النظام‪.‬‬
‫بعض الممارسات السليمة للتصريح في التطبيقات البنكية‪:‬‬
‫تخصيص التصريح وصالحيات النفاذ لكل االفراد او الوكالء او النظم بما يتناسب مع األدوار والمسؤوليات‬
‫ضمان إمكانية تفاعل جميع النظم المصرفية اإللكترونية مع قاعدة بينات فعالة تحوي معلومات الصالحيات(اسم‬
‫المستخدم‪ ،‬األنشطة المسموحة)‬
‫منع أي شخص من القدرة على تغيير التصريحات وصالحيات النفاذ الممنوحة اليه‬
‫أي إضافة لفرد أو وكيل أو نظام أو تغيير في صالحيات الوصول يجب أن تكون مصدقة بمصدر موثوق يتمتع بالسلطة‬
‫المناسبة كما يجب أن تخضع هذه اإلضافات أو التغييرات للمراقبة والتدقيق‬
‫وضع التدابير المالئمة لحماية قواعد البيانات المسؤولة عن التصريح وتوزيع الصالحيات من التعديل الغير مصرح به‬
‫واي عملية تعديل غير مصرح بها تكون قابلة للكشف وخاضعة للتدقيق‬
‫فصل قواعد البيانات المسؤولة عن التصريح التي تم التالعب بها عن النظام البنكي واستبدالها بقواعد بيانات فعالة‬

‫تدابير الحفاظ على صحة معلومات نظم الخدمات اإللكترونية‪:‬‬

‫يقصد بصحة المعلومات‪ :‬هو ضمان سالمة ودقة المعلومات المخزنة والمتداولة داخل البيئة اإللكترونية‪ ،‬وهذا يتضمن‬
‫التأكد من أن البيانات والمعلومات الواردة والصادرة من النظم تظل موثوقة وغير تالفة أثناء عمليات التخزين والنقل‬
‫والمعالجة‪ ،‬لكَّن اعتماد الخدمات االلكترونية على نقل الداتا على شبكة االنترنت زادت من احتمالية تخريب الداتا‪ ،‬التعديل‬
 ‫الغير مصرح به للسجالت االلكترونية(هي سجالت توثق العمليات المصرفية التي تتم عبر نظام الخدمات اإللكترونية‬
‫تحوي تفاصيل متعددة أهمها التاريخ‪ ،‬الوقت‪ ،‬نوع العملية‪ ،‬المبلغ المرتبط بها‪ ،‬معلومات الحسابات المتداولة) مما ترتب‬
‫على المصرف وضع التدابير المعنية بالحفاظ على دقة ومصداقية المعلومات‬
‫الممارسات السليمة للحفاظ على صحة المعلومات‪:‬‬
‫تنفيذ العمليات اإللكترونية وفق آلية تجعل منها مقاومة ألي تخريب أو تعديل غير مصرح به‬
‫وصع اجرائيات للنفاذ وتحزين وتعديل المعلومات بحيث تكون محمية من التعديل الغير مصرح به‬
‫تصميم عمليات المعامالت اإللكترونية و حفظ سجالت الخدمات اإللكترونية بطريقة تجعل أي تعديل غير مصرح به قابل‬
‫للكشف‬

‫سرية معلومات الخدمات االلكترونية‪:‬‬

‫السرية‪ :‬هي ضمان الحفاظ على خصوصية المعلومات الحساسة وان ال يتم الوصول لها او استخدامها من قبل األشخاص‬
‫الغير مصرح لهم بذلك‪ ،‬ألن سوء استخدام تلك المعلومات او اإلفصاح الغير مصرح بها يعرض المصرف لمخاطر‬
‫قانونية وضرر على السمعة‪ ،‬ظهور الخدمات البنكية اإللكترونية خلق تحديات أمنية جديدة بسبب ارتفاع احتمالية تعرض‬
‫المعلومات المنتقلة عبر شبكة االنترنت أو المخزنة في قواعد البيانات للوصول الغير مصرح به‬
‫من الممارسات السليمة للحفاظ على سرية المعلومات‪:‬‬
‫السماح بالوصول للمعلومات السرية فقط لألشخاص والوكالء المصرح لهم‬
‫تطبيق اإلجراءات المعنية بالحفاظ على سرية المعلومات وحمايتها من الكشف او التعديل خالل انتقالها عبر شبكة‬
‫المصرف المحلية اوعبر شبكة االنترنت‬
‫توثيق الدخول الى المعلومات السرية من خالل (‪ )logs‬وضمان حماية ال ‪ logs‬من التخريب أو التعديل‬
‫الزام الشركات الخارجية التي تملك وصول الى معلومات المصرف بالتقيد بمعايير وضوابط حماية واستعمال المعلومات‬