السياسات الأمنية — Pay | WCPEC

السياسات الأمنية

تحدد هذه الصفحة الإطار الأمني العام المعتمد لحماية بوابة الدفع Pay | WCPEC والأنظمة والخدمات والبيانات المرتبطة بها، وتوضح التدابير التنظيمية والتقنية والوقائية التي تستند إليها البوابة لحماية سلامة العمليات المالية والتشغيلية وتعزيز موثوقية الاستخدام.

كما تبين هذه السياسات مسؤوليات المستخدم في الالتزام بالإجراءات الأمنية، وحدود التدابير المتخذة، وآليات التبليغ والاستجابة والرقابة التي يجوز للإدارة تطبيقها عند الاشتباه أو الخطر أو محاولة الاختراق أو أي نشاط غير نظامي أو غير آمن.

استخدامك للبوابة يعني إقرارك بالالتزام بالسياسات الأمنية والتعليمات الوقائية والتنبيهات التشغيلية المعلنة من الإدارة، وبأن الأمن الرقمي مسؤولية مشتركة تبدأ من المستخدم ولا تنتهي عند حدود أنظمة الحماية التقنية.
01

حماية متعددة الطبقات

تعتمد البوابة على ضوابط تنظيمية وتقنية وتشغيلية متداخلة لحماية الوصول والعمليات والبيانات.

02

مراقبة وتدقيق

قد تخضع الأنشطة والعمليات للمراقبة والتتبع والتحليل الوقائي عند الحاجة لحماية المنظومة.

03

استجابة للمخاطر

يحق للإدارة تعليق أو تقييد أو مراجعة أي نشاط يثير الاشتباه أو يهدد سلامة البوابة أو المستخدمين.

04

التزام المستخدم

على المستخدم حماية بياناته وبيئته التقنية والإبلاغ الفوري عن أي خطر أو وصول غير مصرح به أو سلوك غير معتاد.

الغرض الأمني

تهدف هذه السياسات إلى حماية الحسابات والبيانات والعمليات والخدمات والبنية الرقمية للبوابة من العبث أو الوصول غير المشروع أو الاستخدام غير الآمن.

نطاق التطبيق

تسري هذه السياسات على جميع المستخدمين والزوار والموظفين والجهات المستفيدة وكل من يتفاعل مع بوابة Pay | WCPEC أو الأنظمة والخدمات التابعة لها.

الأولوية الوقائية

تُفسر هذه السياسات وتُطبق بما يضمن حماية البوابة وحقوق المركز العالمي لحماية التجارة الإلكترونية وسلامة العمليات والبيانات والمنظومة التشغيلية.

1

الإطار الأمني العام

الأساس التنظيمي والتقني الذي تقوم عليه الحماية داخل البوابة.

تعتمد بوابة Pay | WCPEC على إطار أمني متعدد المستويات يشمل ضوابط تنظيمية وفنية وتشغيلية تهدف إلى حماية البنية الرقمية والعمليات والبيانات والحسابات من التهديدات الداخلية والخارجية ومحاولات العبث أو الوصول غير المصرح به.

ويجوز للإدارة اتخاذ ما تراه مناسبًا من تدابير حماية وقائية أو استباقية أو تصحيحية وفقًا لطبيعة المخاطر ومستوى الحساسية ونوع الخدمة، بما يشمل تحديث أدوات الحماية أو إعادة تهيئة الإجراءات أو تقييد بعض الأنشطة مؤقتًا أو دائمًا.

لا يعني اعتماد وسائل الحماية وجود ضمان مطلق بعدم وقوع تهديدات أو أعطال أو محاولات اختراق، وإنما يعني التزام البوابة باتخاذ ما يلزم من ضوابط معقولة ومناسبة لتعزيز الحماية والاستجابة للمخاطر.
2

حماية الحسابات وبيانات الدخول

السياسات المتعلقة بسرية الوصول والتحقق وحماية الهوية الرقمية للمستخدم.

  • تُعامل بيانات الدخول ووسائل التحقق والاعتماد باعتبارها بيانات حساسة، ويجب الحفاظ على سريتها وعدم مشاركتها أو كشفها لأي طرف ثالث تحت أي ظرف غير معتمد.
  • يجوز للبوابة اعتماد وسائل تحقق إضافية أو مؤقتة أو مشددة بحسب مستوى الخطر أو نوع العملية أو فئة الخدمة أو سلوك الاستخدام.
  • يجوز تعليق الحساب أو تقييده أو طلب إعادة التحقق إذا تبين وجود دخول غير معتاد أو محاولة وصول غير نظامية أو بيانات غير متسقة أو نشاط غير طبيعي.
  • يتحمل المستخدم مسؤولية جميع الأنشطة الصادرة من حسابه متى كان ذلك ناتجًا عن الإهمال في حماية بيانات الدخول أو تمكين الغير من الوصول إليها.
  • تحتفظ الإدارة بحق إنهاء أو تعطيل أو إعادة ضبط وسائل الوصول متى اقتضت المصلحة الأمنية أو التنظيمية ذلك.
أي استخدام لوسائل الوصول المعتمدة قد يُعتبر صادراً عن المستخدم ما لم يثبت خلاف ذلك من خلال القنوات النظامية والإجراءات المعتمدة لدى الإدارة المختصة.
3

أمن البيانات والاتصالات

المبادئ العامة لحماية البيانات وتبادلها ومعالجتها داخل البيئة الرقمية للبوابة.

ضوابط الحماية

  • تُتخذ تدابير فنية وتنظيمية مناسبة لحماية البيانات أثناء المعالجة أو النقل أو التخزين أو الوصول وفق طبيعة الخدمة وحساسية المعلومات.
  • يُقيد الوصول إلى البيانات والأنظمة المرتبطة وفق الحاجة والصلاحية والغرض المشروع والإجراءات الداخلية المعتمدة.
  • قد تُسجل بعض الأنشطة والأحداث التقنية لأغراض التتبع والتحقق والتحليل الأمني وتحسين مستوى الحماية.

القيود والتنبيهات

  • لا يجوز للمستخدم إرسال أو رفع أو تمرير بيانات ضارة أو مشبوهة أو مخالفة أو لا يملك حق استخدامها أو معالجتها.
  • لا تتحمل البوابة مسؤولية الأضرار الناشئة عن استخدام المستخدم لشبكات غير آمنة أو أجهزة مصابة أو وسائل اتصال غير موثوقة.
  • يجب على المستخدم التحقق من القنوات الرسمية قبل مشاركة أي بيانات أو اعتماد أي إجراء أو الاستجابة لأي طلب مرتبط بالحساب أو الدفع.
4

مراقبة الأنشطة والعمليات

الرقابة الوقائية والتحليل والمتابعة لحماية البوابة والخدمات المرتبطة بها.

يجوز للبوابة تطبيق إجراءات رقابية وتحليلية وفنية على الأنشطة والعمليات والسجلات والطلبات ومؤشرات الاستخدام، وذلك للكشف المبكر عن المخاطر أو السلوك غير الطبيعي أو محاولات الاستغلال أو العبث أو التلاعب أو الوصول غير المشروع.

  • قد تشمل المراقبة مراجعة الأحداث الأمنية أو سجلات الدخول أو مؤشرات الأداء أو الأنماط غير المعتادة في الاستخدام أو المعاملات.
  • لا تُعد إجراءات المراقبة إخلالاً بالخصوصية متى كانت ضمن نطاق الحماية والتنظيم والامتثال والتحقق من السلامة التشغيلية.
  • يجوز الاستفادة من نتائج التحليل الأمني لاتخاذ قرارات وقائية أو تصحيحية أو تنظيمية تخص الحساب أو الخدمة أو الطلب أو العملية.
تعتمد درجة المراقبة ونوعها على مستوى الحساسية وطبيعة الخدمة وتقدير الإدارة المختصة وفق مقتضيات الأمن والتشغيل والحماية.
5

إدارة المخاطر والحوادث الأمنية

منهجية الاستجابة للتهديدات والحوادث ومحاولات الاختراق أو الاشتباه أو الضرر الأمني.

  • يجوز للإدارة تفعيل إجراءات فورية لاحتواء أي خطر أو حادث أمني، بما في ذلك العزل أو التقييد أو الإيقاف المؤقت أو التحقق الإضافي أو المراجعة الفنية أو الإدارية.
  • قد يتم تصنيف بعض الأحداث على أنها حوادث عالية الحساسية ويُتخذ بشأنها ما يلزم من تدابير استثنائية لحماية الحسابات أو البيانات أو العمليات أو البنية الرقمية.
  • لا يترتب على بدء التحقيق أو المراجعة أو التتبع أو اتخاذ تدبير وقائي أي التزام على البوابة بإشعار المستخدم تفصيلاً بكل مرحلة أو أداة أو منهجية داخلية متبعة.
  • يجوز حفظ الأدلة والسجلات والمؤشرات الفنية ذات الصلة بالحادث أو الاشتباه واستخدامها لأغراض التحقق والحماية والامتثال واتخاذ الإجراءات المناسبة.
تحتفظ الإدارة بحق إحالة أي واقعة أو محاولة أو سلوك يشتبه في مساسه بالأمن الرقمي أو المالي أو التشغيلي إلى الجهة المختصة داخليًا أو خارجيًا بحسب ما تقتضيه الأنظمة والضوابط المعمول بها.
6

التزامات المستخدم الأمنية

المسؤوليات الأمنية الواقعة على المستخدم عند الدخول أو التصفح أو تنفيذ العمليات.

  • يجب على المستخدم استخدام بيئة تقنية آمنة وجهاز موثوق واتصال محمي قدر الإمكان عند الوصول إلى البوابة أو تنفيذ أي إجراء حساس أو مالي.
  • يجب عدم مشاركة بيانات الدخول أو رموز التحقق أو الروابط أو وسائل الاعتماد أو أي معلومات تمكن من الوصول إلى الحساب أو الخدمة.
  • يلتزم المستخدم بمراجعة الرسائل والإشعارات والتنبيهات الرسمية والتحقق من صحة الروابط والجهات قبل اتخاذ أي إجراء أو مشاركة أي معلومات.
  • يلتزم المستخدم بالإبلاغ الفوري عبر القنوات الرسمية عند الاشتباه في اختراق أو فقدان وسائل الوصول أو تنفيذ عملية لا تخصه أو ظهور نشاط غير معتاد.
  • يتحمل المستخدم مسؤولية الأضرار الناتجة عن إهماله في حماية حسابه أو بياناته أو جهازه أو شبكته أو تأخره في التبليغ عن الواقعة الأمنية.
7

الأعمال المحظورة أمنيًا

الأفعال التي تُعد تهديدًا أمنيًا أو مخالفة صريحة للسياسات الوقائية المعتمدة.

  • يحظر محاولة اختراق البوابة أو اختبار ثغراتها أو التحايل على أنظمة الحماية أو تجاوز الضوابط التقنية أو التشغيلية أو التنظيمية.
  • يحظر إرسال أو رفع أكواد أو ملفات أو أوامر أو بيانات أو طلبات قد تُضعف الحماية أو تُربك الخدمة أو تُفسد البيانات أو تُلحق ضررًا بالبنية الرقمية.
  • يحظر استخدام برامج آلية أو روبوتات أو أدوات كشف أو أدوات جمع أو تحليل غير مصرح بها ضد البوابة أو أي من أنظمتها أو واجهاتها.
  • يحظر انتحال الصفة أو استخدام بيانات أو حسابات أو وسائل وصول لا يملكها المستخدم أو لا يملك تفويضًا نظاميًا صحيحًا بشأنها.
  • يحظر أي سلوك أو إجراء يؤدي إلى تعطيل الخدمة أو الضغط غير المشروع على الأنظمة أو التأثير على سلامة البيانات أو العمليات أو تجربة المستخدمين الآخرين.
كل سلوك محظور أمنيًا يمنح الإدارة الحق في اتخاذ إجراءات فورية ووقائية ونظامية دون حاجة إلى إشعار مسبق متى استدعت المصلحة الأمنية ذلك.
8

التقييد والتعليق والإجراءات الوقائية

السلطات المخولة للإدارة لحماية الأنظمة والحسابات والخدمات من المخاطر أو الاشتباه.

إجراءات ممكنة

  • تعليق الحساب أو الطلب أو العملية أو بعض الوظائف المرتبطة بها مؤقتًا أو دائمًا.
  • طلب إعادة التحقق أو تحديث البيانات أو فرض وسائل تحقق إضافية أو مراجعة أمنية متخصصة.
  • تقييد الوصول إلى بعض الخدمات أو السجلات أو الوسائل أو الصفحات أو النماذج الحساسة.

الأساس الوقائي

  • يُتخذ الإجراء الوقائي لحماية البوابة والمستخدمين والبيانات والعمليات من التهديد أو الاشتباه أو الخلل أو المخالفة.
  • لا يترتب على هذا الإجراء بذاته أي إقرار بخطأ من البوابة أو التزام تلقائي بالتعويض أو بإعادة التفعيل الفوري.
  • يظل تقدير المدة والنطاق ونوع الإجراء خاضعًا للإدارة المختصة بحسب مستوى الخطر أو نتيجة التحقق أو متطلبات الحماية.
9

المراجعة والتحديث والتحسين

تطوير السياسات والإجراءات الأمنية ومواءمتها مع المتغيرات والمخاطر المستجدة.

  • يجوز للإدارة مراجعة هذه السياسات الأمنية وتحديثها أو استبدالها أو توسيعها أو تقليصها في أي وقت وفقًا للمخاطر والمتطلبات الفنية والتنظيمية والتشغيلية.
  • تدخل التعديلات حيز التطبيق بمجرد نشرها أو اعتمادها داخل البوابة أو ضمن الوثائق والسياسات المرتبطة بها.
  • يُعد استمرار المستخدم في استخدام البوابة بعد التحديث موافقة ضمنية وملزمة على النسخة الأمنية المحدثة وما يترتب عليها من التزامات أو تدابير أو قيود.
  • لا تلتزم الإدارة بإشعار المستخدمين بشكل فردي بكل تعديل أمني ما لم ترَ أن طبيعة التعديل تستدعي ذلك.
10

الأحكام الختامية

الأثر التنظيمي النهائي لهذه السياسات وعلاقتها ببقية الوثائق المنظمة للاستخدام.

تُقرأ هذه السياسات مع الشروط والأحكام وسياسة الخصوصية واتفاقية الاستخدام وإخلاء المسؤولية وأي سياسات أو ضوابط أو تعليمات أخرى صادرة عن البوابة أو المركز العالمي لحماية التجارة الإلكترونية، وتُفسر جميعها بما يحقق الحماية والسلامة والامتثال.

باستخدامك لبوابة Pay | WCPEC فإنك تقر بأنك اطلعت على هذه السياسات الأمنية وفهمت مضمونها ووافقت على الالتزام بها، كما تقر بأحقية الإدارة في اتخاذ ما يلزم من إجراءات وقائية أو تنظيمية أو تقنية لحماية المنظومة وبياناتها وعملياتها ومستخدميها.

إقرار أمني ختامي

يلتزم المركز العالمي لحماية التجارة الإلكترونية ببذل الجهود الفنية والتنظيمية والتشغيلية المناسبة لتعزيز أمن بوابة Pay | WCPEC واستمرارية حمايتها، إلا أن سلامة البيئة الرقمية تتطلب كذلك التزام المستخدم بالتعليمات والإجراءات الوقائية وحسن إدارة بياناته وأدواته ووسائل وصوله.

وعليه فإن هذه السياسات الأمنية تشكل جزءًا أساسيًا من الإطار المنظم لاستخدام البوابة، ويُعد أي استخدام للخدمة بعد نشرها أو تحديثها إقرارًا نهائيًا بالالتزام بمضمونها وبجميع ما ينشأ عنها من آثار تنظيمية وأمنية.