وضعت البنوك تصوراتها بشأن المواعيد المحددة والمطلوبة لتنفيذ مجموعة المعايير الأمنية ذات الصلة ببطاقات الصراف الآلي والبطاقات الائتمانية، مع تفاصيل مجموعة المعايير الخاصة بتطوير وعي العملاء، تجاه أعمال الغش والاحتيال على أجهزة الصراف الآلي، والحد الأدنى من معايير مكافحة أعمال الغش والاحتيال على البطاقات المصرفية.
وتوضح المرئيات التي أعدتها البنوك لـ «المركزي»، أنها ستتأكد مع شركة الخدمات المصرفية الآلية المشتركة (كي - نت)، من تركيب أجهزة مكافحة أعمال الغش والاحتيال على كافة أجهزة الصراف الآلي (أجهزة «IFDI» و«SPS» و«ASP» أو ما يعادلها)، وأن ذلك ينطبق على كافة الأجهزة التي تعمل في الكويت، سواء كانت مملوكة أو تقوم بتشغيلها البنوك أو «كي - نت».
وبالنسبة للموعد النهائي للتنفيذ، أفادت بأنه سيكون في أكتوبر المقبل، وأن جميع الأجهزة العينية فقط (مثل أجهزة (FDI) يجب تطويرها لتكون ضد أعمال الغش والاحتيال الالكترونية مثل الأجهزة المعادلة لأجهزة «SPS» أو «ASP» أو أفضل منها) بحلول فبراير 2018.
وكحد أدنى من المعايير، فإن هذه الأجهزة يجب أن تمنع الكترونيا استخدام أجهزة الغش والاحتيال، وإذا أمكن، تقوم بايقاف عمل جهاز الصراف الآلي، أو تحذير المشغلين لاتخاذ الإجراء اللازم.
وبينت المصارف، أنها ستتأكد مع «كي - نت» بأن جميع البرمجيات المستخدمة في أجهزة الصراف الآلي قد تم تطويرها، وأنها تتلقى الدعم من الشركات الموردة لها، ما يعني أن أي برمجيات لا يتم دعمها، يجب تطويرها أو يجب وقف تشغيل جهاز الصراف الآلي خلال 3 أشهر في حالة توقف دعم البرمجيات الخاصة بذلك الجهاز.
وأفادت المصارف أنه بالنسبة للحماية ضد الهجمات المنطقية، يجب أن يتوفر بجميع أجهزة الصراف الآلي برمجيات ذات مستوى معين من الحماية ضد الغش والاحتيال، ومنها على سبيل المثال:
أ - برمجيات «NCR Solidcare»
ب - برمجيات ضد الفيروسات
ج - تكنولوجيا «Whitelisting»
وهذه البرمجيات يجب تحديثها أول بأول بآخر التحديثات والملفات المطورة.
ولفتت البنوك إلى أنه يجب أن يتوفر لدى جميع المصارف، ولدى «كي - نت» الحد الأدنى مما يلي:
كاميرا داخلية أو خارجية لمراقبة كافة أجهزة الصراف الآلي، مع الحد الأدنى المطلوب من الوضوح (VGA 4) صور في الثانية، وفترة الاحتفاظ بالتسجيلات تصل 120 يوماً، وفقاً لتوجيهات وزارة الداخلية، وتحديدا المادة رقم (5 من القانون 61 لسنة 2015)، مبينة ان من المطلوب تركيب كاميرا داخلية وخارجية في أجهزة الصراف الآلي الخاصة بالفروع.
وأشارت إلى أن الموعد النهائي لتركيب الكاميرا الداخلية يوليو المقبل، فيما الموعد النهائي لتركيب الكاميرا الخارجية أكتوبر المقبل، مفيدة بأن البنوك و«كي - نت» يجب أن يحتفظا بسجل التحذيرات الخاصة بعمليات الغش والاحتيال التي تم استلامها من «المركزي» والانتربول، والشركات المصنّعة للأجهزة في شأن آخر عمليات الغش والاحتيال، ويجب أن يوضح هذا السجل كيف أن البنوك تنوي حماية نفسها ضد التهديدات المحددة (مثل تطوير ملفات التوقيعات لمكافحة الفيروسات والكشف عن أي برامج خبيثة).
الموعد النهائي
ومن المقرر أن تقوم البنوك و«كي - نت» بالفحص العيني للتأكد من عدم وجود أجهزة غش واحتيال مثبتة على أجهزة الصراف الآلي، وإضافة بند الفحص العيني لأجهزة قراءة البطاقات على جميع قوائم مراجعة أعمال الصيانة، والموعد النهائي للتنفيذ هو شهر أبريل الجاري.
وفي حالة العثور على أي جهاز غش واحتيال أو مشاهدته في الدوائر التلفزيونية المغلقة أو في حالة وجود شك بخصوص أي نماذج لأعمال غش واحتيال، فيجب إبلاغ جميع البنوك فوراً من خلال اتحاد المصارف، والذي سيقوم بدوره بإبلاغ جميع البنوك.
وأوضحت البنوك أن جميع أجهزة التحكم في الدخول التي تعتمد على البطاقات، والتي يتم استخدامها لفتح الأبواب (مثل الأجهزة المخصصة للدخول إلى أجهزة الصراف الآلي لذوي الاحتياجات الخاصة) تشكل مخاطر غش واحتيال، ولا يمكن حمايتها إلكترونيا، وهذه الأجهزة تجب إزالتها، منوهة إلى أن كافة منافذ الـ «فلاش ميموري» (USB) الخاصة بأجهزة الصراف الآلي يجب أن تخضع لقيود، ويجب تغيير كلمة السر الخاصة
بـ (BIOS) والموجودة ضمن إعدادات المصنع، لتوفير الحماية ضد الفيروسات والبرمجيات الخبيثة والهجمات المنطقية الأخرى.
وأشارت البنوك إلى مراقبة ومنع وتنبيهات أعمال التزوير باستخدام البطاقات المصرفية من خلال:
1 - على البنوك أن يكون لديها أنظمة لكشف / منع أعمال الغش والاحتيال لمراقبة كافة المعاملات المحلية والدولية، وأن يكون الموعد النهائي للتنفيذ فوراً.
2 - يجب على البنوك ان يكون لديها موظفون لمراقبة أعمال الغش والاحتيال طوال اليوم وعلى مدار العام، للتحقق من أي تنبيه والاتصال بالعميل بخصوص التحقق من أي معاملات.
3 - على البنوك أن تقدم خدمة نموذج الإبلاغ عن المعاملة (حسب طلب / قبول العميل)، أو رسالة نصية قصيرة أو البديل، حتى يستلم العميل التنبيه الخاص بكل معاملة.
4 - على البنوك و«كي - نت» ان تقدم اقتراحها لـ «المركزي» في شأن الاستراتيجية / التوصيات الأمنية (PG).
5 - على «كي - نت» تنفيذ التغييرات التالية على معايير الإبلاغ الخاصة بأعمال الغش والاحتيال:
● في حالة اكتشاف حالات غش في أكثر من 3 بطاقات لدى بنك واحد بمعاملات متعددة، يجب على البنك أن يبلغ كافة البنوك و«كي - نت» عن طريق مجموعة البريد الالكتروني.
● في حالة اكتشاف حالات غش في أكثر من 10 بطاقات لدى بنك واحد أو بنوك متعددة، يجب على البنك أن يدعو لعقد اجتماع في مقر «اتحاد مصارف» خلال 48 ساعة مع كافة البنوك ومع «كي - نت» ويجب إرسال بلاغ لـ «المركزي» خلال يومي عمل من الاجتماع.
6 - على البنوك التأكد من كافة التنبيهات/ نشرات التنبيه من الانتربول/ المؤسسات الأخرى يتم التحقيق فيها فوراً ويتم اتخاذ الاجراء المطلوب في شأنها.
7 - يجب أن تتأكد البنوك من أنها تنفذ أحدث التعليمات الإلزامية الخاصة بالتكنولوجيا الأمنية، حسبما تحدده المؤسسات ذات الصلة (فيزا، ماستركارد، الخ)، على أن يكون الموعد النهائي للتنفيذ فوراً.
توعية العميل
1- يجب على اتحاد المصارف إعداد إرشادات «إبلاغ العملاء» ونموذج موحد لإبلاغ العميل وتوعيته، لكي يتم استخدامه من جانب كافة البنوك في قنوات وسائل الاعلام ذات الصلة (الموعد النهائي للتنفيذ مايو المقبل).
2 - يتعين على «الاتحاد» أن يضع ميزانية سنوية للاتصالات، تتحملها جميع البنوك بحصص متساوية.
3 - يجب أن يكون لدى «الاتحاد» تمثيل مشترك مع كافة البنوك لحملات توعية العملاء.
لقد قامت كافة البنوك و«كي - نت» بمراجعة واعتماد البنود الواردة أعلاه والاتفاق على الالتزام بهذه المتطلبات والتواريخ النهائية المحددة لها.
وأوضحت المصارف» أنه فضلاً عن ذلك، يجب على كل بنك أن يقدم لـ «المركزي» قبل نهاية الربع الثاني مذكرة فردية تحدد ما يلي:
- أي ضوابط إضافية ستقوم البنوك بتنفيذها، بالإضافة إلى الحد الأدنى من المعايير المذكورة أعلاه.
- استراتيجية البنك المستقبلية بعيدة المدى في شأن أجهزة الصراف الآلي والبطاقات المصرفية، وملخص عن الضوابط المصاحبة لها.