‫المقدمة‪:‬‬

‫اصبح استخدام تكنولوجيا المعلومات الحديثة عنصرًا مالزمًا للعمل المصرفي لما توفره من فعالية وسرعة في اإلنجاز‬
‫ووفرة في المعلومات وبدأت المصارف بالتحول من أسلوب العمل اليدوي الى العمل االلكتروني الذي يعتمد على الوسائط‬
‫االلكترونية فظهر ما يعرف بالبنوك اإللكترونية والخدمات المصرفية االلكترونية التي مثلت قفزة نوعية في مجال العمل‬
‫المصرفي‪ ،‬اال أن تصاعد أعمال الغش واالحتيال عبر الشبكة أدى الى ظهور مخاطر أمنية تهدد المعلومات المتبادلة بين‬
‫البنوك والعمالء‪ ،‬فأصبح تحديد المخاطر المحتملة و تقييمها ووضع الضوابط المالئمة من أهم القضايا التي تواجه العمل‬
‫المصرفي االلكتروني‬

‫تعاريف‪:‬‬
‫نظام الدفع االلكتروني‪:‬‬
‫مجموعة الوسائل واإلجراءات االلكترونية لدفع األموال ووفاء االلتزامات عن طريق تحويل األموال بين طرفين أو أكثر‪.‬‬
‫قنوات الدفع االلكتروني‪:‬‬
‫تجهيزات أو برمجيات الكترونية تمكن العميل من اجراء عمليات سحب أو إيداع أو دفع أو تحويل األموال من خالل نظام‬
‫دفع الكتروني ومنها‪ :‬الصرافات اآللية (‪ )ATM‬وأكشاك الخدمة الذاتية(‪ )kiosk‬والمواقع اإللكترونية على الشبكة‪،‬‬
‫والهاتف الثابت‪ ،‬وتطبيقات الهاتف النقال‬
‫الخدمات المصرفية االلكترونية‪:‬‬
‫هي مجموعة من الخدمات المالية التي يقدمها البنك أو المؤسسة المالية لعمالئه عبر االنترنت أو منصات الهاتف‬
‫المحمول‪ .‬تتضمن هذه الخدمات إدارة الحسابات المصرفية‪ ،‬وإجراءات التحويالت المالية‪ ،‬والدفعات اإللكترونية‬
‫واالستعالم عن األرصدة‪ ،‬وتقديم طلبات القروض‪ ،‬وإصدار التحويالت البنكية واالطالع على تفاصيل المعامالت المالية‬
‫وتقديم خدمات التواصل مع البنك والحصول على المساعدة‬
‫الثغرة‪:‬‬
‫هي نقطة ضعف قد تكون ضمن نظام المعلومات او ضمن تطبيق الموبايل او في أي مكون من مكونات نظام الخدمات‬
‫اإللكترونية‪.‬‬
‫التهديد‪:‬‬
‫هو شخص (‪ )someone‬او شيء (‪ )something‬يقوم باستغالل الثغرات إللحاق ضرر معين على مستوى االفراد‬
‫والنظم والمنظمة ككل‪.‬‬
‫الخطر‪:‬‬
‫احتمال وقوع حدث من شأنه المساس بأمن المعلومات واألثار المترتبة عليه‪.‬‬

‫تعريف سياسة إدارة مخاطر الخدمات االلكترونية‪:‬‬

‫هي عبارة عن وثيقة معتمدة تعّر ف مجموعة المخاطر المحتملة التي قد تواجه الخدمات المصرفية االلكترونية والتقنيات‬
‫المرتبطة بها داخل المصرف كما تعنى بتحديد اهم الثغرات والممارسات العالمية المتبعة لتخفيف احتمالية وقوع تلك‬
‫المخاطر‪.‬‬

‫اهداف سياسة إدارة مخاطر الخدمات االلكترونية‪:‬‬

‫ضمان األمان‪ :‬حماية البيانات والمعلومات الحساسة للمستخدمين من الهجمات السيبرانية والتسريبات‪.‬‬ ‫‪‬‬
‫ضمان االستدامة‪ :‬التأكد من استمرارية تقديم الخدمات اإللكترونية دون تعطيل غير مخطط له‪.‬‬ ‫‪‬‬
 ‫الحفاظ على الخصوصية‪ :‬حماية خصوصية المستخدمين وبياناتهم الشخصية من الوصول الغير مصرح به‪.‬‬ ‫‪‬‬
‫تقليل التعرض للمخاطر المالية‪ :‬تقليل الخسائر المالية المرتبطة بمخاطر الخدمات االلكترونية‬ ‫‪‬‬
‫ضمان االمتثال‪ :‬التأكد من ان الخدمات االلكترونية تلتزم بالقرارات والمعايير الصادرة عن مصرف سوريا‬ ‫‪‬‬
‫المركزي‬
‫االرتقاء بسمعة المصرف‪ :‬بناء سمعة جيدة من خالل تقديم خدمات أمنة وموثوقة للمستخدمين‬ ‫‪‬‬

‫النطاق‪:‬‬
‫تنطبق هذه السياسة على موارد البنك المعنية بتقديم الخدمة اإللكترونية وعلى عناصر نظام الدفع االلكتروني وقنوات‬
‫الدفع االلكتروني وعلى العمالء المستفيدين من تلك الخدمات‪.‬‬

‫األدوار والمسؤوليات‪:‬‬
‫مجلس اإلدارة‪ :‬تحديد إمكانية او رغبة المنظمة في المخاطرة (‪ )risk apetite‬في نظام الخدمات االلكترونية وانشاء‬
‫اليات لإلبالغ(‪ )reporting‬والتفويض(‪ )delegation‬والمتضمنة إلجرائيات التعامل مع االحداث التي تؤثر على‬
‫كل من أمان وسالمة وسمعة المصرف‬
‫تحديد عوامل الخطر المرتبطة بكل من امان وسالمة وسرية الخدمات البنكية وإلزام الشركات المسؤولة عن تطوير‬
‫برمجيات الخدمات االلكترونية باتباع نفس االجرائيات‬
‫مديرية المخاطر‪ :‬يعنى قسم المخاطر بتحديد المخاطر وتقييمها وتحليلها ووضع الضوابط المناسبة لتجنب او تخفيف‬
‫أثر كل خطر مع دراسة فعالية تلك الضوابط‪ ،‬وتعد مهمة إدارة المخاطر عملية متكررة مع الزمن لتوائم التطور‬
‫والتقدم في المستقبل‬
‫مديرية االلتزام‪ :‬تتجلى مهمة قسم االلتزام في التأكد من مطابقة السياسات والضوابط المعتمدة مع القرارات والقوانين‬
‫النافذة في الجمهورية العربية السورية‪.‬‬
‫مديرية المعلوماتية‪ :‬يعنى قسم المعلوماتية بتطوير وصيانة البنية التحتية للخدمات االلكترونية والتأكد من توافر‬
‫التقنيات األمنية الالزمة والتعاون مع شركات التدقيق الخارجي لتحديد الثغرات الموجودة بشكل دوري‬

‫ثغرات الخدمات البنكية اإللكترونية‪:‬‬

‫الثغرات(‪ :)vulnerabilities‬هي نقاط ضعف (سواء من التطبيق االلكتروني أو الهاتف المحمول أو البنية التقنية لنظام‬
‫المعلومات في المصرف) يمكن أن يتم استغاللها بشكل متعمد أو غير مقصود لتؤدي الى اختراق أمني‪.‬‬
‫بعض الثغرات‪:‬‬
‫ضعف نظام المصادقة‪ :‬هي نقاط الضعف الموجود في مرحلة التحقق من هوية العميل(‪.)authentication‬‬ ‫‪‬‬
‫ضعف آليات التشفير‪ :‬أن الضعف في عمليات التشفير يؤدي الى جعل البينات عرضة للكشف من قبل‬ ‫‪‬‬
‫األشخاص الغير مصرح بهم وتتضمن ثغرات التشفير ما يلي‪:‬‬
‫استخدام مفاتيح تشفير قصيرة(‪)key length weakness‬‬
‫استخدام التشفيرات القديمة او الضعيفة(‪)broken/weak cipher‬‬

‫سوء إدارة الجلسات‪ :‬إن انشاء الجلسة (‪ )session‬يتم بعد مرحلة التحقق من هوية العميل وتفيد في االحتفاظ‬ ‫‪‬‬
‫في معلومات العميل طيلة فترة الجلسة"مثال مستخدم دخل عالتطبيق يتم بداية ارسال صفحة تسجيل الدخول يقوم‬
‫المستخدم بإدخال اسم المستخدم وكلمة المرور ليرسلها للخادم ‪،‬يقوم الخادم بالتحقق من هوية العميل وفي حال‬
‫نجاح عملية التحقق فيتم انشاء معرف للجلسة ‪ session id‬هذا المعرف يتم تخزينه في ملفات تعريف االرتباط‬
 ‫‪ cookies‬هذا المعرف هو المسؤول عن تحديد هوية المستخدم ضمن التطبيق وبالتالي عدم تأمين هذا المعرف‬
‫يعد ثغرة في أمان التطبيق ويجعله عرضة لهجمات ال ‪. "session hijacking and session fixiation‬‬

‫ثغرات الجذر أو الكسر‪:‬‬ ‫‪‬‬

‫‪ :Root‬هي عملية تعديل نظام أندرويد للحصول على صالجيات جذرية تتيح للمستخدم الوصول الى أعلى‬
‫مستويات النظام وتعديله بحرية‬
‫‪ : Jailbreaking‬هي عملية تجاوز القيود المفروضة على أجهزة األيفون واآليباد من قبل مما يسمح للمستخدمين‬
‫بتثبيت تطبيقات غير معتمدة وتعديالت مخصصة على النظام‬
‫ان للجذر والكسر قد يؤدي الى تثبيت تطبيقات غير آمنة‪,‬أن يؤدي الى إجراءات تغييرات تؤثر سلبا على أمان‬
‫الهاتف‬
‫ضعف التحقق من المدخالت‪:‬‬ ‫‪‬‬
‫يقصد بالمدخالت هي جميع الحقول التي يوفرها التطبيق ليقوم المستخدم بإدخال معلوماته الشخصية‬
‫والصور الالزمة إلتمام معاملة مصرفية من خالل التطبيق اإللكتروني‪ ،‬عدم توافر وسائل التحقق(‬
‫‪ )validation‬والتصفية (‪ )allowlisting‬من المدخالت تتيح للمخترق إمكانية ادخال شفرات خبيثة او‬
‫ملفات مصابة بالبرمجيات الخبيثة‪.‬‬

‫عدم وعي المستخدمين بالتدابير األمنية‪:‬‬ ‫‪‬‬

‫نتيجة التطور في أساليب الغش والخداع التي باتت تعتمد على الوسائل التقنية في تنفيذ االعمال االحتيالية فبات‬
‫عدم دراية العميل بالممارسات األمنية السليمة و جهله باالساليب المتبعة من قبل المخترقين(الهندسة االجتماعية)‬
‫من اهم الثغرات التي تعرض العميل لخطر الوصول الغير مصرح به للحسابات المالية والمعلومات الشخصية‬

‫مخاطر الخدمات االلكترونية‪:‬‬

‫خطر الوصول الغير مصرح به‪:‬‬ ‫‪.1‬‬
‫هو الخطر الناتج عن النفاذ على أي مكون من مكونات نظام الدفع االلكتروني بدون الحصول على أذن أو تصريح للقيام‬
‫بذلك وتتنوع أشكال واساليب الوصول الغير مصرح به الى ما يلي‪:‬‬
‫اختراق حسابات العمالء‬ ‫‪‬‬
‫خطر البرمجيات الخبيثة‬ ‫‪‬‬
‫اختراق الهاتف المحمول‪ /‬سرقة الهاتف المحمول‬ ‫‪‬‬

‫اختراق حسابات العمالء‪:‬‬

‫هو عمل غير قانوني يتضمن الوصول والدخول الى حساب العميل على التطبيق البنكي دون أذن صاحب الحساب‪:‬‬
‫الثغرات‪:‬‬
‫ضعف اجرائيات المصادقة والتحقق‬ ‫‪‬‬
‫الهندسة االجتماعية‬ ‫‪‬‬
‫برمجيات خبيثة وفيروسات‬ ‫‪‬‬
‫ثغرات امان التطبيق‬ ‫‪‬‬
‫ضعف التشفير‪ :‬استخدام الشبكات الغير امنة‬ ‫‪‬‬
 ‫خطر البرمجيات الخبيثة‪:‬‬
‫البرمجيات الخبيثة هي مصطلح يطلق على الفايروسات والديدان واحصنة طروادة وبرامج التجسس والفدية التي قد‬
‫تصيب خوادم المصرف أو أجهزة العمالء مستغلة ثغرات معينة او ضعف في اجرائيات الحماية المتبعة‬
‫الثغرات‪:‬‬
‫عدم وجود برامج حماية من الفيروسات‪.‬‬
‫عدم تحديث البرمجيات ونظم التشغيل والتطبيقات‬
‫ثغرات الحقن ( ‪)sql injection, cross-site scripting,cross site request forgery‬‬
‫ثغرات إدارة الجلسة‬
‫اختراق الهاتف المحمول‪ /‬سرقة الهاتف المحمول‪:‬‬
‫ان التقدم التكنولوجي جعل من الهاتف المحمول الوسيلة األساسية التمام معظم مهامنا اليومية مما جعله مصدر غني‬
‫بالمعلومات و محط انظار المخترقين(الهاكرز) الذين طورو تقنيات وأدوات الختراق األجهزة المحمولة‬
‫االثار السلبية الختراق الهاتف المحمول‪:‬‬

‫الثغرات‪:‬‬
‫ضعف اجرائيات المصادقة والتحقق‬ ‫‪‬‬
‫نقص في وعي المستخدمين‬ ‫‪‬‬
‫عدم وجود برامج حماية من البرمجيات الخبيثة‬ ‫‪‬‬
‫ثغرات امنية في التطبيق‬ ‫‪‬‬
‫ضعف التشفير‬ ‫‪‬‬
‫ضوابط الوصول الغير مصرح به‪:‬‬
‫مراقبة وتتبع األنشطة واألحداث المسجلة في سجالت النظام (‪ )siem system‬للكشف عن أي نشاط او سلوك‬ ‫‪‬‬
‫قد يشكل تهديدا ألمن المعلومات‬
‫استخدام برامج الحماية من الفيروسات لكل من جهاز المحمول او الخوادم‪.‬‬ ‫‪‬‬
‫اجراء تحديثات بشكل دوري لكل من التطبيقات ونظم التشغيل‪.‬‬ ‫‪‬‬
‫اجرائيات الحفاظ على البيانات على جهاز العميل (منع التقاط صورة او تسجيل فيديو للشاشة اثناء تشغيل‬ ‫‪‬‬
‫التطبيق‪ ،‬عدم تخزين بيانات التطبيق على جهاز العميل)‬
‫توعية المستخدمين حول أهمية التدابير األمنية (وضع رمز امان (كلمة مرور معقدة) لحماية الجهاز المحمول‬ ‫‪‬‬
‫مع التوصية بإضافة رمز امان مخصص لفتح التطبيق البنكي‪ ،‬توعية المستخدمين حول أهمية ابالغ البنك‬
‫والجهات المختصة في حال سرقة الهاتف المحمول‪ ،‬توعية المستخدمين حول طرق االحتيال المتبعة من قبل‬
‫المخترقين للوصول الى معلومات الدخول للتطبيق(الهندسة االجتماعية وانواعها ‪) )phishing/vishing‬‬
‫الزام الشركة المطورة بضرورة الدعم المستمر للتطبيق من خالل إضافة التحديثات الالزمة لسد الثغرات‬ ‫‪‬‬
‫المحتملة‬
‫اعتماد طرق التشفير االمنة‪.‬‬ ‫‪‬‬
‫تنفيذ اختبارات اختراق الشبكة للكشف عن أي ثغرات محتملة‪.‬‬ ‫‪‬‬
‫األثار السلبية للوصول الغير مصرح به‪:‬‬
‫سرقة او تلف او فقدان معلومات العمالء‪.‬‬ ‫‪‬‬
‫توقف بعض الخدمات المصرفية‪.‬‬ ‫‪‬‬
 ‫الخسائر المالية على مستوى العمالء والبنك‪.‬‬ ‫‪‬‬
‫ضرر بسمعة البنك‪.‬‬ ‫‪‬‬
‫سرقة المعلومات المصرفية‪ :‬المهاجمين قد يكونون قادرين على سرقة بياناتك المصرفية من خالل االختراق‪،‬‬ ‫‪‬‬
‫مما يمكنهم استخدامها لسرقة األموال من حسابك‪.‬‬
‫تنفيذ عمليات مشبوهة‪ :‬قد يقوم المهاجمون بإجراء عمليات مالية غير مصرح بها من حسابك‪ ،‬مما يمكن أن‬ ‫‪‬‬
‫يؤدي الى فقدان األموال‪.‬‬
‫تسريب المعلومات الشخصية ‪ :‬قد يسمح اختراق الهاتف للمهاجمين بالوصول الى معلوماتك الشخصية الحساسة‬ ‫‪‬‬
‫مما يمكنهم استخدامها في أنشطة غير قانونية‬
‫تلف المعلومات المصرفية‪ :‬بعض أنواع الوصول الغير مصرح به قد تؤدي الى حذف البيانات او تشفير‬ ‫‪‬‬
‫المعلومات(هجمات الفدية)‬

‫خطر سرقة المعلومات الشخصية‪/:‬من االثار السلبية للوصول الغير مصرح به‪/‬‬ ‫‪.2‬‬
‫ان سرقة المعلومات الشخصية هو احد المخاطر الناتجة اما عن اختراق العميل او اختراق المنظمة‪ ،‬تختلف طبيعة‬
‫المعلومات التي يستحوذ عليها المخترق باختالف نوع االختراق فمن الممكن ان تكون معلومات شخصية(اسم و رقم‬
‫وعنوان) معلومات مالية(الحسابات البنكية وارصدتها) معلومات خاصة بالمصادقة والتحقق(اسم مستخدم و كلمات مرور‬
‫او تواقيع الكترونية او بصمات الكترونية)‬
‫االثار السلبية‪:‬‬
‫سرقة األموال‪ :‬قدرة الوصول الى حسابات العميل المالية مع حرية اجراء عمليات التحويل والشراء‬ ‫‪‬‬
‫سرقة الهوية‪ :‬استخدام المعلومات الشخصية للعميل الجراء عمليات احتيالية‬ ‫‪‬‬
‫انتهاك الخصوصية‬ ‫‪‬‬
‫عقوبات قانونية على المصرف بسبب خرق السرية المصرفية‬ ‫‪‬‬

‫خطر التجسس على المعلومات‪/‬خطر الشبكات الغير امنة‪:‬‬ ‫‪.3‬‬

‫ان اعتماد الخدمات االلكترونية على شبكة االنترنت في تقل المعلومات بين جهاز العميل و الخوادم جعلها عرضة لخطر‬
‫التجسس وتسجيل الداتا(‪ )snipher‬او اختراق الجلسات (‪ )session hijacking‬االمر الذي زاد من احتمالية التقاط‬
‫معلومات المصادقة الخاصة بالعميل‬
‫االثار السلبية‪:‬‬
‫الوصول الى معلومات المصادقة(اسم مستخدم و كلمة المرور)‬
‫وصول غير مصرح به لحساب العميل‬
‫اجراء حواالت مالية من رصيد العميل‬

‫خطر تزييف التطبيقات‪:‬‬ ‫‪.4‬‬

‫تزييف التطبيقات هي احد أساليب سرقة المعلومات التي تعتمد على انشاء تطبيق مشابه للتطبيق األصلي من حيث‬
‫الواجهات اال انه مرتبط بخوادم المخترق‪ ،‬عندما يقوم العميل بتنزيل التطبيق المزيف و يدخل معلومات التحقق من‬
‫الهوية(اسم مستخدم و كلمة مرور) يتم ارسال تلك المعلومات مباشرة الى المخترق ليستخدمها في الدخول الى الحساب‬
‫المصرفي األساسي للعميل‪:‬‬
‫االثار السلبية‪:‬‬
‫الوصول الى معلومات المصادقة(اسم مستخدم و كلمة المرور)‬ ‫‪‬‬
 ‫وصول غير مصرح به لحساب العميل‬ ‫‪‬‬
‫اجراء حواالت مالية من رصيد العميل‬ ‫‪‬‬
‫خطر الهندسة االجتماعية‪:‬‬ ‫‪.5‬‬
‫الهندسة االجتماعية هي أحد األساليب المتبعة الختراق االنسان(‪ )hacking the human‬فهي تعتمد على استغالل‬
‫ثقة االنسان للحصول على معلومات معينة أو لحّث ه لتنفيذ أعمال غير مشروعا أو ان يكون مشاركا في تنفيذها‬
‫تتنوع أساليب الهندسة الهجمية وسوف نستعرض اكثرها خطرا على الخدمات البنكية‪:‬‬
‫التصيد اإللكتروني(‪ :)phishing‬هي طريقة اقناع الضحية بالتعامل مع مورد ضار(‪malicious‬‬ ‫‪‬‬
‫‪ )resource‬على أنه موثوق ويعتمد هذا النوع على البريد األلكتروني بشكل أساسي‬
‫مثال‪ :‬ارسال ايميل للبريد اإللكتروني للعميل من جهة تدعي انها تابعة للبنك تطلب من العميل الدخول الى‬
‫رابط معين او تطلب منه ادخال اسم المستخدم وكلمة المرور المستخدمتان في التطبيق البنكي‪.‬‬
‫و هناك نوع اخر من التصيد اإللكتروني الذي يعتمد على المكالمة الهاتفية في خداع الضحية ويطلق عليه (‬
‫‪)vishing‬‬
‫احتيال الهوية (‪ :)identity fraud‬هي جمع معلومات عن شخص معين و قد تتضمن سرقة الهوية‬ ‫‪‬‬
‫الشخصية للضحية واستخدامها الدعاء شخصية العميل بغرض تنفيذ أعمال غير مشروعة‬
‫‪ :Dumpster diving‬قيام المخترق بالبحث ضمن أوراق الضحية بحثا عن أي معلومات هامة وهنا يكمن‬ ‫‪‬‬
‫خطر حفظ العميل بمعلومات التحقق(اسم مستخدم وكلمة مرور) على اوراق‬

‫خطر حجب الخدمة (‪:)denial of service‬‬ ‫‪.6‬‬

‫تخضع موارد الشبكة مثل خوادم الويب لحدود معينة لجهة عدد الطلبات التي يمكن خدمتها في آن واحد‪ ،‬وفي حال‬
‫تجاوز عدد الطلبات حدود قدرة أي مكون من مكونات البنية التحتية فمن المحتمل ان يتراجع مستوى الخدمة كما‬
‫يلي‪:‬‬
‫ستكون االستجابة للطلبات أبطأ كثير من المعتاد‬
‫سيتم تجاهل بعض‪ ،‬أو كل طلبات المستخدمين تماما‬
‫عادًة ما يكون الهدف من هجمات حجب الخدمة تعطيل العمل الطبيعي لمورد الويب أو تشويه سمعة الشركة صاحبة‬
‫الخدمة‬

‫متطلبات امان الخدمات االلكترونية‪:‬‬

‫المصادقة األمنة‪:‬‬
‫انطالقا من مبدأ بازل الرابع في إدارة مخاطر الخدمات األلكترونية"على البنوك اتخاذ التدابير الالزمة لمصادقة هوية‬
‫العمالء على شبكة االنترنت واعطائهم الصالحيات المالئمة" برزت أهمية تأكيد هوية العميل عند اتصاله بالخدمة‬
‫االلكترونية او طلب دخول للحساب البنكي وتنفيذ جركة علىه (‪ )transaction‬ألن عملية تزييف هوية العميل الشرعي‬
‫باتت ممكنة من خالل عدة تقنيات تعرف ب (‪ )spoofing‬كما اصبح للهاكرز القدرة على االستيالء على الجلسة (‬
‫‪ ) session‬واصبح من الممكن تجاوز عملية المصادقة او تعطيلها من خالل تخريب قواعد بيانات المصادقة ولذلك يؤدي‬
‫الفشل في أي جزئية من عملية مصادقة هوية العميل الى السماح لألشخاص الغير مصرح لهم بالوصول الى الحساب‬
‫البنكي للعميل الشرعي‪ ،‬خسارة مالية‪ ،‬ضرر على سمعة المصرف من خالل االحتيال او تسريب معلومات سرية او‬
‫االرتباط بأنشطة إجرامية وبناء عليه توجب وضع سياسة لضبط عملية المصادقة األمنة‬

‫مبدأ عدم االنكار‪:‬‬

‫هو القدرة على منع األطراف المشاركة من نفي أو رفض عمليات او معامالت تمت بالفعل‪ ،‬يعني ذلك انه بمجرد إتمام‬
‫عملية مثل إجراء مالي أو توقيع عقد الكتروني‪ ،‬يجب أن يكون هناك سجالت وأدلة تثبت بوضوح من قبل الجهات‬
‫المعنية(للمرسل والمستقبل) ان هذه العملية قد حدثت بالفعل و ال يمكن نفيها الحقا‪ ،‬هذا المبدأ مهم لألمان والثقة في‬
 ‫البيئات اإللكترونية‪ ،‬مثل التعامالت المالية عبر االنترنت‪ ،‬حيث يضمن أن األطراف المشاركة ال يمكنها اإلغاء أو نفي‬
‫مشاركتها في العمليات التي قامت بها‪.‬‬
‫تحقيق مبدأ عدم االنكار يتطلب عدة وسائل واجرائيات أهمها‪:‬‬
‫السجالت االلكترونية‪ :‬الحفاظ على سجالت مفصلة لكل عملية وتفاصيلها يمكن أن يوفر دليل قوي على حدوث العمليات‬
‫بالفعل وال يمكن نفيها‪.‬‬
‫تأكيد العمليات‪ :‬ارسال إشعارات تأكيد بالبريد االلكتروني أو الرسائل النصية لألطراف المعنية بمجرد حدوث عملية وهذا‬
‫يقوي األدلة وال يمكن نفيها‬

‫مبدأ فصل المهام‪:‬‬

‫يشير الى تقسيم الوظائف أو اإلجراءات المختلفة الى أجزاء مستقلة أو مهام منفصلة‪ .‬هذا الفصل يعنى بتوزيع مسؤوليات‬
‫معينة على اكثر من فرد و ذلك لزيادة األمان وتحقيق التحكم األمثل في العمليات والتخفيف من مخاطر االحتيال‪.‬‬
‫من األمثلة على فصل المهام‬
‫إدارة الصالحيات‪ :‬من خالل فصل المهام يمكن تخصيص صالحيات محددة لكل مستخدم أو دور في التطبيق‬ ‫‪‬‬
‫ف مثال صالحيات مدير النظام تختلف عن صالحيات مطور التطبيق تختلف عن صالحيات خدمة العمالء‪.‬‬
‫التحقق والمراجعة‪ :‬يمكن تكليف أشخاص معنيين للتحقق من دقة العمليات وصحة العمليات فهذا يقلل من فرص‬ ‫‪‬‬
‫وقوع األخطاء أو التزوير‪.‬‬
‫التقارير والمراقبة‪ :‬يمكن أن يكون هناك أشخاص مسؤولين عن اعداد التقارير ومراقبة النشاطات واالستخدام‬ ‫‪‬‬
‫مما يساعد في تقديم نظرة شاملة عن أداء التطبيق‪.‬‬
‫الحماية من االختراق‪ :‬فصل المهام يقلل من تأثير الهجمات عند حدوثها حيث يتم تقييد وصول المهاجمين الى‬ ‫‪‬‬
‫مجموعة محددة من المهام فقط‪.‬‬
‫من الممارسات السليمة التي توصي بها لجنة بازل إلنشاء فصل المهام في نظم الخدمات االلكترونية‪:‬‬
‫تصميم النظم االلكترونية والعمليات المالية لضمان ان ال يمتلك فرد‪/‬جهة خارجية امكانية‬ ‫‪‬‬
‫(الدخول‪/‬التصريح‪/‬اتمام) لعملية ما بمفرده‬
‫الحفاظ على فصل المهام بين األشخاص الذين يخلون المعلومات وبين األشخاص المسؤولين عن دراسة‬ ‫‪‬‬
‫المعلومات والتحقق من صحتها‬
‫اختبار نظم الخدمات اإللكترونية لضمان عدم وجود إمكانية لتجاوز فصل المهام‬ ‫‪‬‬
‫يجب أن يتم فصل المهام بين مطوري النظم وبين مدراء النظم‬ ‫‪‬‬
‫بشكل عام يساهم فصل المهام في تحقيق األمان والتحكم الدقيق في العمليات‪ ،‬مما يعزز الثقة في التطبيق البنكي‬
‫االلكتروني ويحمي المعلومات المالية والشخصية للعمالء‪.‬‬

‫ضوابط التصريح(‪ )authorization‬وصالحيات النفاذ(‪:)access privileges‬‬

‫التصريح‪ :‬هو عملية منح األذن أو الصالحية لألشخاص أو الكيانات للقيام بأنشطة معينة أو الوصول الى معلومات‬
‫محددة‪ .‬ويتضمن التصريح تحديد ما ُيسمح به وما ُيمنع‪ ،‬وذلك للحفاظ على األمان والسيطرة على الوصول الى الموارد‬
‫أو المعلومات‪ ،‬وفي اطار تحقيق نظام فصل مهام فعال فيجب وضع ضوابط تصريح فعالة ألنه في غياب تلك الضوابط‬
‫تزداد احتمالية إساءة استخدام األفراد لصالحياتهم وإمكانية تجاوز فصل المهام مما يؤدي الى النفاذ الغير مصرح به للنظم‬
‫البنكية وقواعد البيانات والتطبيقات‬
‫تتضمن صالحيات النفاذ مجموعة من االمور مثل‪:‬‬
 ‫صالحية القراءة‪ :‬القدرة على عرض المعلومات والبيانات المخزنة في النظام‪.‬‬
‫صالحية الكتابة‪ :‬القدرة على إدخال أو تعديل بيانات النظام‪.‬‬
‫صالحية التنفيذ‪ :‬القدرة على تنفيذ أوامر و اجرائيات معينة في النظام‪.‬‬
‫صالحية الحذف‪ :‬القدرة على المعلومات أو البيانات من النظام‪.‬‬
‫صالحية الوصول الى وحدات محددة‪ :‬القدرة على الوصول فقط الى أقسام محددة أو وحدات معينة داخل النظام‪.‬‬
‫صالحية التعديل على اعدادات النظام‪ :‬القدرة على تغيير اعدادات وتكوينات النظام‪.‬‬
‫صالحية اإلبالغ والمراقبة‪ :‬القدرة على انشاء تقارير ومراقبة األنشطة داخل النظام‪.‬‬
‫بعض الممارسات السليمة للتصريح في التطبيقات البنكية‪:‬‬
‫تخصيص التصريح وصالحيات النفاذ لكل االفراد او الوكالء او النظم بما يتناسب مع األدوار والمسؤوليات‬
‫ضمان إمكانية تفاعل جميع النظم المصرفية اإللكترونية مع قاعدة بينات فعالة تحوي معلومات الصالحيات(اسم‬
‫المستخدم‪ ،‬األنشطة المسموحة)‬
‫منع أي شخص من القدرة على تغيير التصريحات وصالحيات النفاذ الممنوحة اليه‬
‫أي إضافة لفرد أو وكيل أو نظام أو تغيير في صالحيات الوصول يجب أن تكون مصدقة بمصدر موثوق يتمتع بالسلطة‬
‫المناسبة كما يجب أن تخضع هذه اإلضافات أو التغييرات للمراقبة والتدقيق‬
‫وضع التدابير المالئمة لحماية قواعد البيانات المسؤولة عن التصريح وتوزيع الصالحيات من التعديل الغير مصرح به‬
‫واي عملية تعديل غير مصرح بها تكون قابلة للكشف وخاضعة للتدقيق‬
‫فصل قواعد البيانات المسؤولة عن التصريح التي تم التالعب بها عن النظام البنكي واستبدالها بقواعد بيانات فعالة‬

‫تدابير الحفاظ على صحة معلومات نظم الخدمات اإللكترونية‪:‬‬

‫يقصد بصحة المعلومات‪ :‬هو ضمان سالمة ودقة المعلومات المخزنة والمتداولة داخل البيئة اإللكترونية‪ ،‬وهذا يتضمن‬
‫التأكد من أن البيانات والمعلومات الواردة والصادرة من النظم تظل موثوقة وغير تالفة أثناء عمليات التخزين والنقل‬
‫والمعالجة‪ ،‬لكَّن اعتماد الخدمات االلكترونية على نقل الداتا على شبكة االنترنت زادت من احتمالية تخريب الداتا‪ ،‬التعديل‬
‫الغير مصرح به للسجالت االلكترونية(هي سجالت توثق العمليات المصرفية التي تتم عبر نظام الخدمات اإللكترونية‬
‫تحوي تفاصيل متعددة أهمها التاريخ‪ ،‬الوقت‪ ،‬نوع العملية‪ ،‬المبلغ المرتبط بها‪ ،‬معلومات الحسابات المتداولة) مما ترتب‬
‫على المصرف وضع التدابير المعنية بالحفاظ على دقة ومصداقية المعلومات‬
‫الممارسات السليمة للحفاظ على صحة المعلومات‪:‬‬
‫تنفيذ العمليات اإللكترونية وفق آلية تجعل منها مقاومة ألي تخريب أو تعديل غير مصرح به‬
‫وصع اجرائيات للنفاذ وتحزين وتعديل المعلومات بحيث تكون محمية من التعديل الغير مصرح به‬
‫تصميم عمليات المعامالت اإللكترونية و حفظ سجالت الخدمات اإللكترونية بطريقة تجعل أي تعديل غير مصرح به قابل‬
‫للكشف‬

‫سرية معلومات الخدمات االلكترونية‪:‬‬

‫السرية‪ :‬هي ضمان الحفاظ على خصوصية المعلومات الحساسة وان ال يتم الوصول لها او استخدامها من قبل األشخاص‬
‫الغير مصرح لهم بذلك‪ ،‬ألن سوء استخدام تلك المعلومات او اإلفصاح الغير مصرح بها يعرض المصرف لمخاطر‬
‫قانونية وضرر على السمعة‪ ،‬ظهور الخدمات البنكية اإللكترونية خلق تحديات أمنية جديدة بسبب ارتفاع احتمالية تعرض‬
‫المعلومات المنتقلة عبر شبكة االنترنت أو المخزنة في قواعد البيانات للوصول الغير مصرح به‬
 ‫من الممارسات السليمة للحفاظ على سرية المعلومات‪:‬‬
‫السماح بالوصول للمعلومات السرية فقط لألشخاص والوكالء المصرح لهم‬
‫تطبيق اإلجراءات المعنية بالحفاظ على سرية المعلومات وحمايتها من الكشف او التعديل خالل انتقالها عبر شبكة‬
‫المصرف المحلية اوعبر شبكة االنترنت‬
‫توثيق الدخول الى المعلومات السرية من خالل (‪ )logs‬وضمان حماية ال ‪ logs‬من التخريب أو التعديل‬
‫الزام الشركات الخارجية التي تملك وصول الى معلومات المصرف بالتقيد بمعايير وضوابط حماية واستعمال المعلومات‬