مدير الأكاديمية العسكرية: بناء القوة والحفاظ على الهيبة يحتم بيئة تعليمية حديثة    الاحتلال يعلن اغتيال زاهي عوفي قائد حماس في طولكرم    إعلام عبري: دوي صفارات الإنذار شمالي إسرائيل    ليتوانيا تصدق على اتفاق لنشر 5 آلاف جندي ألماني    توتنهام يواصل عروضه القوية.. والكعبي يتألق    قندوسي يفجر مفاجأة بشأن فشل صفقة زين الدين بلعيد    التعليم تكشف آخر موعد للتقديم في المدارس المصرية اليابانية    «أنا قدامك خد اللي إنت عايزه».. حكاية صعيدي أراد التبرع ب«كليته» ل أحمد زكي (فيديو)    هالة صدقي تصور مسلسل إش إش مع مي عمر في رمضان 2025    بايدن: أعتقد أننا سوف نتجنب اندلاع حرب شاملة    مايكروسوفت تضيف مزايا ذكية ل Windows 11    مصررع طفلة رضيعة في الدقهلية.. اعرف السبب    قيادي بحركة فتح: نتنياهو يُحضر لحرب دينية كبرى في المنطقة    ملف يلا كورة.. برونزية مونديالية للأهلي.. وانتهاء أزمة ملعب قمة السيدات    برج الأسد حظك اليوم الجمعة 4 أكتوبر 2024: تلتقى بشخص مٌميز ومكالمة مٌهمة    دعاء أول فجر في ربيع الثاني.. «اللهم بارك لنا في أعمارنا»    تعرف على نصوص صلاة القديس فرنسيس الأسيزي في ذكراه    نائب مدير الأكاديمية العسكرية: نجحنا في إعداد مقاتل بحري على أعلى مستوى    أهالي قرية السلطان حسن بالمنيا يعانون من عدم وجود صرف صحي    رسمياً.. فتح باب تسجيل تقليل الاغتراب جامعة الأزهر 2024 "الرابط الرسمي والخطوات"    نائب مدير الأكاديمية العسكرية: الخريجون ذو فكر متطور وقادرون على الدفاع عن الأمن القومي    مدير الكلية العسكرية التكنولوجية: الخريجون على دراية كاملة بأحدث الوسائل التكنولوجية    محافظ الدقهلية يستقبل وفد اتحاد القبائل لتنفيذ مبادرة تشجير    عيار 21 يرتفع لأعلى مستوياته.. أسعار الذهب والسبائك اليوم الجمعة بالصاغة (بداية التعاملات)    "قمة سيدات الأهلي والزمالك".. مواعيد مباريات اليوم الجمعة والقنوات الناقلة    «استايلي معجبش كولر».. كواليس مثيرة يفجرها القندوسي بشأن رحيله عن الأهلي    لاتسيو يسحق نيس ويتصدر الدوري الأوروبي    المقاولون العرب يضم لاعب الزمالك السابق    محمد رمضان: لا صحة لتعديل لائحة الأهلي.. والفريق يحتاج 3 صفقات    صندوق النقد الدولي يكشف موعد المراجعة الرابعة لقرض مصر    بعد قليل، قطع المياه عن 10 مناطق حيوية بالقاهرة لمدة 5 ساعات    سعر كيلو اللحمة.. أسعار اللحوم اليوم الجمعة 4 أكتوبر 2024 في الأسواق    درجات الحرارة بمدن وعواصم العالم اليوم.. والعظمى في القاهرة 30    حريق يلتهم سيارة ملاكي أعلى كوبري المحلة بالغربية    خروج عربة ترام عن القضبان في الإسكندرية.. وشهود عيان يكشفون مفاجأة (فيديو وصور)    قتلوا صديقهم وقطعوا جثته لمساومة أهله لدفع فدية بالقاهرة    مصرع شخص نتيجة حادث مروري مروع في أكتوبر    قرار عاجل من "التنمية المحلية" بشأن عمال التراحيل    خبير اقتصادي يكشف تداعيات الحرب الإسرائيلية الإيرانية على البورصة    تعرف على موعد فتح حجز شقق الإسكان الاجتماعي 2024.. تفاصيل    وليد فواز عن حبسه في مسلسل «برغم القانون»: إن شاء الله أخرج الحلقة الجاية    خالد داغر يكشف كواليس إدارة مهرجان الموسيقى العربية في دورته الثانية والثلاثين    المخرج محمد عبد العزيز: ل "الفجر "تراجعنا في مناخنا الفني وانفصلنا عن الاستعانة بالأدب.. وتفاجئت بدور أبني كريم في الحشاشين    تعرف على تفاصيل أغنية الموقف ل ساندي ودياب    رئيس هيئة المعارض يفتتح «كايرو فاشون آند تكس» بمشاركة 550 شركة مصرية وأجنبية    دعاء يوم الجمعة.. تضرعوا إلى الله بالدعاء والصلاة على النبي    صحة دمياط: إجراء 284 عملية جراحية متنوعة منذ انطلاق المبادرة الرئاسية بداية    صحة دمياط: الكشف على 943 مواطنًا ضمن مبادرة «حياة كريمة»    تعزز الصحة الجنسية .. لن تتوقعها فوائد مذهلة للرجال بعد تناول البرتقال    أبرزها «الملعقة» و«الزيت».. حيل ذكية لتقطيع البصل بدون دموع    طريقة عمل الكريب، أكلة المطاعم اصنعيها بنفسك في البيت    حرب غزة في يومها ال363 | الاحتلال يزعم اغتيال 3 قادة في حماس للمرة الرابعة !!    حزب الله يعلن مقتل 17 ضابطا وجنديا إسرائيليا بمعارك الخميس    فتح المتاحف والمسارح القومية مجانا احتفالا بنصر أكتوبر    متحدثة "يونيسيف": 300 ألف طفل لبناني دون مأوى بسبب الحرب    أمين الفتوى: الاعتداء على حريات الآخرين ومجاوزة الحدود من المحرمات    حكم صلة الرحم إذا كانت أخلاقهم سيئة.. «الإفتاء» توضح    تعدد الزوجات حرام في هذه الحالة .. داعية يفجر مفاجأة    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



كيف يتم تأمين تطبيقات الإقراض والادخار عبر المحمول؟.. البنك المركزي يوضح
شيماء مصطفى نشر في بوابة أخبار اليوم يوم 26 - 04 - 2021

أكد البنك المركزي المصري، أن تقديم خدمات الدفع باستخدام الهاتف المحمول تتضمن تداول بيانات سرية، مثل كلمات السر الخاصة بخدمات الدفع باستخدام الهاتف المحمول والمعاملات المالية عبر تطبيقات الهاتف المحمول والشبكة الداخلية للبنك؛ لذلك يجب على البنوك استخدام الأساليب المناسبة للحفاظ على سرية وسلامة المعلومات المتداولة عبر الشبكات الداخلية والخارجية للبنك.
وأوضح البنك المركزي المصري، كيف ستقوم البنوك بتأمين تطبيقات خدمة الإقراض والادخار عبر المحمول؟
وأشار إلي أنه يتم استخدام تكنولوجيا التشفير لحماية سرية وسلامة المعلومات التي تتسم بالحساسية، ويجب على البنوك اختيار تكنولوجيا التشفير التي تتناسب مع حساسية وأهمية المعلومات ودرجة الحماية المطلوبة.
أقرأ أيضًا| البنك المركزي: 3 حسابات مصرفية عبر المحمول لكل عميل
وأوصى البنك المركزي، البنوك المقدمة لهذه الخدمة باستخدام التكنولوجيا التشفير التي تستخدم طرق التشفير المتعارف عليها دوليا حيث يجب أن تكون مصنفه على أنها قوية ولا يوجد لها أي ثغرات أو نقاط ضعف معروفة، وتخضع نقاط القوة في هذه الطرق لاختبارات شاملة.
وينبغي أن تطبق البنوك الممارسات السليمة لإدارة مفاتيح التشفير اللازمة لحماية هذه المفاتيح، كما يجب على البنوك أيضأ تنفيذ ضوابط أخرى بخلاف أساليب التشفير، وذلك للحفاظ على سرية وسلامة المعلومات التي يتم تداولها عبر نظم خدمات الدفع باستخدام الهاتف المحمول.
تأمين تطبيقات خدمات الدفع باستخدام الهاتف المحمول
ويتضمن الضوابط وأعمال التدقيق المدرجة بتطبيقات خدمات الدفع باستخدام الهاتف المحمول للتأكد من سلامة تسوية أرصدة العملاء بعد تنفيذ المعاملات بالإضافة إلى التأكد من سلامة البيانات التي يتم نقلها بين الأنظمة المختلفة.
ويشمل مراقبة المعاملات غير المعتادة بما في ذلك المعاملات محل الاشتباه الخاصة بخدمات الدفع باستخدام الهاتف المحمول أو السجلات التي يشتبه التلاعب فيها، ويجب على البنوك تشفير العملية بداية من الهاتف المحمول المستخدم لإجراء العملية وصولا إلى أجهزة الخادم Servers الخاصة بتنفيذ أمر الدفع.
وينبغي على البنك تطبيق سياسة الفصل بين المهام، وذلك للتأكد من عدم إمكانية قيام أي موظف داخل البنك بأي عمل غير مصرح له وإخفائه، ويتضمن هذا على سبيل المثال لا الحصر، إدارة حساب المستخدم وتنفيذ المعاملات وحفظ وإدارة مفاتيح الشفرة الخاصة بالنظام وإدارة النظام System Administration وتشغيله.
عدة إجراءات لضمان سلامة سرية المعلومات
وأضاف البنك المركزي، أنه يجب عدم السماح لموظف واحد فقط بالقيام بإنشاء حساب مستخدم الخدمات الدفع باستخدام الهاتف المحمول والتصريح بالموافقة عليه وإلغائه دون مشاركة موظفين آخرين بالبنك للتحقق من سلامة تصرفات هذا الموظف، كما يجب على البنك تصميم الإجراءات الخاصة بتعاملات الدفع باستخدام الهاتف المحمول بما يضمن عدم انفراد أحد الأشخاص بإنشاء التعاملات والموافقة عليها وتنفيذها على النظام مما قد يدعم عملية احتيال أو إخفاء تفاصيل خاصة بتلك المعاملات.
ويجب أن تنفذ جميع عمليات التحقق من الصلاحيات المتاحة للمستخدم Authorization Checks وكذلك القواعد المنظمة لعمليات التحويل على جانب الخادم، أي في النظم الخلفية بالبنك، قبل إتمام العملية المطلوبة (مثال: تنفيذ عمليات التحويل بسبب عدم التحقق من صلاحيات المستخدم والتي قد تمكن مستخدم النظام من إضافة الأموال إلى حساب هاتفه المحمول بدلا من الخصم عليه).
وأشار البنك المركزي، إلي ضرورة أن تتأكد البنوك من توفير مستوي مناسب من تأمين التطبيقات الخاصة بخدمات الدفع باستخدام الهاتف المحمول مع أخذ الممارسات السليمة، ويجب على البنوك عند اختيار أدوات تطوير النظام أو لغات البرمجة من أجل تطوير التطبيقات الخاصة بخدمات الدفع باستخدام الهاتف المحمول أن تقيم الخصائص الأمنية التي يمكن أن توفرها الأدوات أو اللغات المختلفة لضمان إمكانية تنفيذ الحماية الفعالة للتطبيقات.
كما يجب إجراء عملية تحقق شاملة وفعالة حول صحة المدخلات - بما في ذلك البيانات المدخلة من قبل المستخدم والاستعلام من خلال قواعد البيانات التي قد يقوم المستخدم بطلب تنفيذها - وذلك من خلال خوادم الشبكة، ويمنع هذا نظام الدفع باستخدام الهاتف المحمول من معالجة المعطيات غير الصحيحة التي يتم إدخالها بطريقة متعمدة، الأمر الذي قد يؤدي الى الوصول غير المصرح به إلى البيانات، أو تنفيذ الأوامر الواردة في هذه المعطيات، أو حدوث هجمات تؤدي إلى تجاوز سعة الذاكرة.
كلمات السر المستخدمة بتطبيق الهاتف
وأشار إلي ضرورة أن تعمل أنظمة خدمات الدفع باستخدام الهاتف المحمول بأقل الصلاحيات الممكنة الخاصة بإدارة النظام، كذلك يجب منع استخدام كلمات السر المعروفة أو كلمات السر الموحدة التي تعد مع نشأة النظام، كما يجب ألا تكشف رسائل الأخطاء التي تصدر من النظام لعملاء خدمات الدفع باستخدام الهاتف المحمول عن معلومات دقيقة خاصة بالنظام ويجب تسجيل الأخطاء بشكل مناسب.
وشدد البنك المركزي، على ضرورة أن تقوم البنوك باتخاذ الإجراءات اللازمة لعلاج أي نقاط ضعف بنظام الدفع باستخدام الهاتف المحمول يتم اكتشافها، وذلك استنادا إلى الإجراءات الأمنية المتبعة في البنك.
وفي حال إطلاق البنك لإصدار جديد لتطبيق الدفع باستخدام الهاتف المحمول Mobile Application يتعلق بأمن وسرية المعلومات فيجب على البنك اتخاذ الاجراءات التي تلزم العميل بتحميل الإصدار الجديد قبل استخدام التطبيق، كما يجب على البنوك عمل الترتيبات الأمنية المناسبة لبعض الخدمات التي تتضمن اتصالات مع الشبكات العامة - كخدمات البريد الإلكتروني للتواصل مع عملاء خدمات الدفع باستخدام الهاتف المحمول - لتجنب الهجمات على أنظمة تطبيقات خدمات الدفع باستخدام الهاتف المحمول من خلال هذه الخدمات.
تأمين تشفير التطبيقات بشكل شامل
وأوضح ضرورة التزام البنك بأن يقوم بتأمين عملية تشفير شاملة على مستوى طبقة التطبيقات Application Layer للبيانات المرسلة عبر الهاتف المحمول، حتى لا يتم كشف الأرقام السرية وكلمات السر الخاصة بمستخدم النظام في أي مرحلة وسيطة لتداول البيانات بين التطبيقات وخادم الاستضافة Host، حيث يتم التحقق من أرقام التعريف الشخصية PIN وكلمات السر، ويجب على البنوك القيام بالاختبارات اللازمة للتأكد من عدم إمكانية تجاوز عملية التصديق أو إغفالها للدخول على النظام التطبيق.
ولفت إلي أنه عندما يتم نشر تطبيق الدفع عن طريق الهاتف المحمول على مخازن البرامج Applications Stores، يجب نشرها من خلال الحساب الرسمي للبنك مع العلامة التجارية المناسبة، ويمكن إتاحة الرابط الخاص بتحميل التطبيق من مخازن البرامج على الموقع الإلكتروني الخاص بالبنك. كما يجب على البنوك إجراء البحث عن تطبيقات الهواتف المحمولة المزيفة الموجودة في متاجر ومواقع توزيع التطبيقات من أجل الحد من مخاطر البرمجيات الخبيثة Malware التي تستخدم للحصول على بيانات مستخدم النظام الخاصة بالدخول على خدمات الدفع باستخدام الهاتف المحمول.
وتابع أنه يجب التأكد من توفير ضوابط أمنية كافية عند استخدام مكونات/أجزاء تطبيقات جاهزة مقدمة من طرف ثالث Third Party Library لبناء تطبيق الدفع باستخدام الهاتف المحمول، وألا تعرض تطبيقات الدفع باستخدام الهاتف المحمول أي خدمة لتطبيق طرف ثالث يعمل على نفس الجهاز أو قادم من أي مصدر خارجي آخر باستثناء الأنظمة الخلفية للبنك.
وأشار إلي أنه نظرا لسهولة الوصول إلى قواعد البيانات ذات الحماية الضعيفة من خلال الشبكات الداخلية والخارجية، لذا يجب التشديد على إجراءات صارمة بشأن تحديد الهوية والصلاحيات للدخول على الأنظمة وقواعد البيانات، فضلًا عن تصميم آمن وسليم لعمليات النظام System Processes، بجانب مسارات تدقيق ملائمة. Audit Trails، بالإضافة إلي استخدام أدوات حماية متعددة لحماية قواعد البيانات من الهجمات الخارجية أو الداخلية، كما يجب الحد من تخزين بيانات على الذاكرة الداخلية للهاتف المحمول، وفي حالة الاحتفاظ بأي بيانات على الهاتف المحمول - للضرورة القصوى - يجب استخدام الوسائل المناسبة لحماية ما تم تخزينه.
ويجب منع تطبيق الدفع باستخدام الهاتف المحمول من حفظ أو عرض كلمات السر السابق إدخالها من مستخدم النظام، ويجب إنهاء تسجيل الدخول على تطبيقات الدفع باستخدام الهاتف المحمول تلقائيا بعد فترة من الوقت - يقوم البنك بتحديده، في حال عدم وجود أي نشاط على النظام التطبيق، إلا إذا تم إعادة تصديق بيانات مستخدم النظام مرة أخرى، الأمر الذي يمنع أي مخترق من الإبقاء على التطبيق مفتوح على الهاتف المحمول إلى أجل غير محدد.
ويوصى بأن يقوم تطبيق الدفع باستخدام الهاتف المحمول بتنفيذ آليات کشف كافية تضمن أن الهاتف المحمول ليس عرضة للمخاطر مثل Jailbroken Rooted مثال: يقوم المخترق بتحميل برنامج على الجهاز المحمول يمكنه من الدخول إلى الملفات السرية الخاصة بالمستخدم، كما يوصى بأن يتم حماية التطبيق الخاص بالهواتف الذكية من الهندسة العكسية(Code Obfuscation:JL Reverse Engineering، ويوصي بأن يتم حماية تطبيقات الدفع باستخدام الهاتف المحمول ضد أي لقطات تلقائية Screenshotsوالتي يمكن أن تتم عن طريق برامج تجسس تعمل على نفس جهاز الهاتف المحمول.
وشدد البنك المركزي، على ضرورة خضوع أنظمة خدمات الدفع باستخدام الهاتف المحمول إلى اختبارات متعددة قبل التشغيل للتأكد من قدرتها على القيام بالمهام الموكلة لها.

انقر هنا لقراءة الخبر من مصدره.