--- url: 'https://www.corbado.com/ar/blog/malaysia-banking-mfa-passkeys' title: 'تحديث MFA لسياسة إدارة المخاطر في البنك المركزي الماليزي' description: 'تعرف على التغييرات في سياسة RMiT المحدثة في ماليزيا، وسبب اشتراط BNM الآن استخدام MFA مقاوم للتصيد، وكيف تساعد مفاتيح المرور في الامتثال.' lang: 'ar' author: 'Alex' date: '2026-05-22T13:50:53.801Z' lastModified: '2026-05-22T13:57:48.789Z' keywords: 'RMiT ماليزيا, BNM RMiT 2025, لائحة MFA في ماليزيا, مصادقة Bank Negara Malaysia, مفاتيح مرور RMiT, MFA مقاوم للتصيد في ماليزيا, ربط الجهاز في البنوك الماليزية, رسائل SMS OTP ماليزيا, امتثال RMiT, أمن الخدمات المصرفية الرقمية في ماليزيا' category: 'Authentication' --- # تحديث MFA لسياسة إدارة المخاطر في البنك المركزي الماليزي ## Key Facts - تحول سياسة **RMiT** في نوفمبر 2025 توجيهات المصادقة الصادرة عن BNM إلى لائحة ملزمة، تغطي جميع البنوك المرخصة وشركات التأمين ومصدري الأموال الإلكترونية ومشغلي أنظمة الدفع في ماليزيا. - تُعتبر **رسائل SMS OTP** الآن صراحةً غير متوافقة كعامل ثانٍ مستقل. يجب أن تكون المصادقة متعددة العوامل (MFA) مقاومة للاعتراض ومرتبطة بالمستفيد والمبلغ المحددين. - **ربط الجهاز** يكون افتراضيًا بجهاز محمول واحد لكل حساب. يتطلب الوصول متعدد الأجهزة موافقة صريحة من العميل وعملية استثناء قابلة للتدقيق. - **مفاتيح المرور** (FIDO2/WebAuthn) تلبي متطلبات المصادقة متعددة العوامل المقاومة للتصيد، والمصادقة بدون كلمة مرور، وربط الجهاز في وقت واحد، مما يجعلها المسار الأكثر مباشرة للامتثال الكامل. - حظرت البنوك الماليزية أكثر من 383 مليون رينغيت (100 مليون دولار أمريكي) من المعاملات الاحتيالية في عام 2024، مما دفع التحول إلى ضوابط إلزامية مقاومة للتصيد. ## 1. مقدمة أصدر بنك نيجارا ماليزيا (BNM) سياسة محدثة حول [إدارة المخاطر في التكنولوجيا (RMiT)](https://www.bnm.gov.my/documents/20124/938039/pd-rmit-nov25.pdf) في نوفمبر 2025، لتحل محل إصدار يونيو 2023. في حين يغطي التحديث مجموعة واسعة من مجالات المخاطر التكنولوجية، فإن التغييرات الأكثر أهمية تكمن في المصادقة، وربط الجهاز، والمصادقة متعددة العوامل، ومنع الاحتيال. هذه اللائحة المتعلقة [بالخدمات المصرفية](https://www.corbado.com/passkeys-for-banking) في ماليزيا للمؤسسات المالية، لم تعد مجرد أفضل ممارسات أو توجيهات، بل أصبحت الآن معيارًا إلزاميًا. لقد دفعت BNM المؤسسات ببطء بعيدًا عن رسائل SMS OTP منذ عام 2023. كان السبب مباشرًا: ابتكر المحتالون أدوات لاعتراض رموز المصادقة عبر الرسائل القصيرة قبل أن يتمكن العملاء من رؤيتها، وسمحت هجمات تبديل بطاقة SIM للمجرمين بإعادة توجيه الرموز إلى الأجهزة التي يسيطرون عليها. بحلول عام 2024، حظرت البنوك الماليزية بشكل جماعي أكثر من 383 مليون رينغيت ماليزي (أكثر من 100 مليون دولار أمريكي) في المعاملات الاحتيالية (وفقًا لتقريرها السنوي). يأخذ تحديث نوفمبر 2025 هذا التقدم ويحوله إلى لائحة ملزمة. يحلل هذا المقال التغييرات الرئيسية في المصادقة و MFA في سياسة RMiT المحدثة، ويشرح السياق التنظيمي، ويوضح أين تتناسب مفاتيح المرور والمصادقة المقاومة للتصيد مع صورة الامتثال. نجيب على الأسئلة التالية: 1. ما هي سياسة RMiT وعلى من تنطبق؟ 2. كيف كان يبدو مشهد المصادقة قبل نوفمبر 2025؟ 3. ما هي أهم التغييرات على متطلبات المصادقة و MFA؟ 4. كيف تساعد مفاتيح المرور المؤسسات المالية في الامتثال لسياسة RMiT المحدثة؟ ## 2. ما هي سياسة إدارة المخاطر في التكنولوجيا (RMiT) الصادرة عن بنك نيجارا ماليزيا (BNM)؟ تعتبر سياسة RMiT **الإطار التنظيمي المركزي** لـ BNM الذي يحكم كيفية إدارة المؤسسات المالية الخاضعة للرقابة للمخاطر التكنولوجية. يحدد الامتثال لسياسة BNM RMiT متطلبات حوكمة تكنولوجيا المعلومات، والأمن السيبراني، والخدمات الرقمية، واستخدام السحابة، وضوابط المصادقة، بهدف الحفاظ على [الخدمات المالية](https://www.corbado.com/passkeys-for-banking) متاحة ومرنة وموثوقة مع تطور القنوات الرقمية ومستويات التهديد. تعامل السياسة أيضًا استخدام السحابة كشكل من أشكال الاستعانة بمصادر خارجية، مما يتطلب من المؤسسات الاحتفاظ بالملكية والسيطرة المناسبة على بيانات العملاء ومفاتيح التشفير. من الناحية العملية، تعد RMiT خط الأساس للامتثال الذي يجب على كل مؤسسة مالية خاضعة للرقابة في ماليزيا بناء وضع المخاطر التكنولوجية الخاص بها حوله. ## 3. من يجب عليه الامتثال لسياسة RMiT؟ تنطبق متطلبات RMiT على جميع المؤسسات المالية التي تخضع لرقابة BNM. النطاق واسع، ولا يغطي فقط البنوك التقليدية بل أيضًا شركات التأمين ومصدري الأموال الإلكترونية ومشغلي أنظمة [الدفع](https://www.corbado.com/passkeys-for-payment) ومؤسسات التحويل المالي. يلخص الجدول التالي الفئات الرئيسية: | **فئة المؤسسة** | **أمثلة** | | --- | --- | | **البنوك المرخصة** | CIMB Bank، Maybank، HSBC Malaysia، Hong Leong Bank، AmBank، Public Bank | | **البنوك الاستثمارية المرخصة** | CIMB Investment Bank، Affin Hwang، AmInvestment Bank | | **البنوك الإسلامية المرخصة** | Bank Islam Malaysia، Bank Muamalat، CIMB Islamic Bank | | **شركات التأمين وإعادة التأمين المرخصة** | AIA Berhad، Allianz General، Etiqa General، AXA Affin | | **مشغلو التكافل وإعادة التكافل** | AIA PUBLIC Takaful، Etiqa Family Takaful، FWD Takaful | | **مؤسسات تمويل التنمية** | Agrobank، Bank Rakyat، BSN، SME Bank، EXIM Bank | | **مصدرو الأموال الإلكترونية المعتمدون** | Boost، GrabPay، BigPay، TNG Digital، Kiplepay | | **مشغلو أنظمة الدفع** | Visa، Mastercard، PayNet، UnionPay، JCB، Alipay Connect | | **مستحوذو التجار المسجلون** | iPay88، Adyen Malaysia، GHL Cardpay، Revenue Monster | | **مؤسسات التحويل المالي الوسيطة** | MoneyGram، Western Union، Merchantrade Asia، Tranglo | من الناحية العملية: إذا كانت مؤسستك تحمل ترخيصًا أو تسجيلًا أو موافقة من BNM للعمل في القطاع المالي في ماليزيا، فإن سياسة RMiT تنطبق عليك. ## 4. كيف بدت متطلبات المصادقة من BNM قبل نوفمبر 2025؟ قبل تحديث نوفمبر 2025، تضمنت سياسة RMiT بالفعل متطلبات مصادقة ذات مغزى، ولكن العديد منها كان على مستوى التوجيهات بدلاً من المعايير الإلزامية. يساعد فهم خط الأساس في توضيح مقدار ما تغير. ### 4.1 ضوابط MFA - كانت المصادقة متعددة العوامل (MFA) مطلوبة للمعاملات عالية المخاطر، خاصة التحويلات المالية المفتوحة لأطراف ثالثة ومعاملات [الدفع](https://www.corbado.com/passkeys-for-payment). - كان هناك تركيز خاص على المعاملات التي تزيد عن 10,000 رينغيت، على الرغم من أن إصدار 2023 بدأ في دفع MFA لجميع المعاملات الرقمية. - شجع إصدار 2023 بشكل صريح على التحرك نحو المصادقة "المقاومة للاعتراض أو التلاعب"، مما يشير إلى بداية نهاية كلمات المرور لمرة واحدة (OTPs) القائمة على الرسائل القصيرة. - تم رفع MFA من "توجيه" (أفضل ممارسة) إلى "معيار" (إلزامي) في عام 2023. ### 4.2 ضوابط المصادقة وإدارة الوصول - كان على المؤسسات تطبيق مبدأ الامتياز الأقل ومراجعة مصفوفات الوصول سنويًا على الأقل. - تطلبت الحسابات ذات الامتيازات ضوابط أكثر صرامة، بما في ذلك MFA الإلزامي بغض النظر عما إذا كان الوصول داخليًا أم خارجيًا. - تطلب الوصول عن بُعد إلى الشبكات الداخلية (مثلًا عبر VPN) استخدام MFA كمعيار غير قابل للتفاوض. ### 4.3 ضوابط الخدمات الرقمية كان الملحق 11 من RMiT لعام 2023 المرجع الرئيسي لأمن [الخدمات المصرفية](https://www.corbado.com/passkeys-for-banking) الرقمية. وتطلب توقيع المعاملات (ربط MFA بتفاصيل المعاملة مثل المستلم والمبلغ)، وربط الجهاز (ربط الهوية الرقمية للمستخدم بجهاز موثوق)، وتدابير مكافحة الاحتيال العامة. ## 5. ما هي أهم التغييرات على سياسة BNM RMiT؟ يجمع تحديث نوفمبر 2025 ويعزز العديد من التعميمات والمواصفات السابقة، بما في ذلك مواصفات تدابير مكافحة الاحتيال لعامي 2022 و 2024. والنتيجة هي سياسة واحدة شاملة بمتطلبات أكثر حدة وإلزامية لكيفية مصادقة المؤسسات للمستخدمين وحماية الخدمات الرقمية. هناك خمسة مجالات هي الأكثر أهمية. ### 5.1 جهاز واحد لكل مستخدم، بشكل افتراضي _"ضمان عمليات ربط وفك ربط آمنة لتقييد مصادقة معاملات الخدمات الرقمية افتراضيًا بجهاز محمول واحد أو جهاز آمن لكل صاحب حساب"_ — RMiT الملحق 3، الفقرة 3 (أ) هذا استجابة مباشرة للاحتيال بتبديل بطاقة SIM وهجمات الاستيلاء على الحساب، حيث يقوم المحتالون بتسجيل جهاز جديد لحساب حالي واستنزافه بينما يظل الجهاز الشرعي نشطًا. صياغة "افتراضيًا" مهمة: يمكن للعملاء اختيار استخدام أجهزة متعددة، ولكن يجب عليهم طلب ذلك صراحة وقبول المخاطر المرتبطة به. لا يمكن للمؤسسة جعل استخدام الأجهزة المتعددة هو الوضع الافتراضي. عمليًا، يعني هذا أن تدفقات الإعداد والمصادقة بحاجة إلى تتبع تسجيل الجهاز، وفرض ربط واحد بشكل افتراضي، والحفاظ على عملية واضحة وقابلة للتدقيق للاستثناءات التي يطلبها العميل. ### 5.2 التحقق القوي لتغييرات رقم الهاتف _"تتم معالجة تسجيل رقم هاتف محمول جديد أو استبدال رقم هاتف محمول حالي فقط بعد تطبيق طرق تحقق قوية لتأكيد أصالة العميل"_ — RMiT الملحق 3، الفقرة 3 (ج) لا تزال العديد من المؤسسات تعالج تغييرات أرقام الهواتف بأكثر من مجرد إرسال OTP إلى الرقم الحالي. يفشل هذا النهج إذا كان الرقم قد تم اختراقه بالفعل أو تم تبديل بطاقة SIM. "التحقق القوي" في صياغة BNM يعني الأساليب التي تتجاوز القناة التي يتم تغييرها: إعادة التحقق من الهوية، أو المصادقة المتصاعدة باستخدام القياسات الحيوية (البيومترية)، أو التأكيد في الفرع للتغييرات عالية المخاطر. ### 5.3 فترات التبريد وحدود المعاملات للأجهزة الجديدة _"تطبيق التحقق المناسب وفترة التبريد للتسجيل لأول مرة للخدمات الرقمية أو الجهاز الآمن ومعاملات متعددة متتالية ذات حجم كبير أو أنماط معاملات غير طبيعية أخرى"_ — RMiT الملحق 3، الفقرة 3 (هـ) لا ينبغي أن يتمتع الجهاز المسجل حديثًا بقدرات معاملات كاملة على الفور. تحتاج المؤسسات إلى تنفيذ قيود مستندة إلى الوقت وضوابط سرعة يتم إلغاء قفلها تدريجيًا حيث يؤسس الجهاز وسلوك المستخدم تاريخًا من الثقة. إذا حصل متسلل على حق الوصول، فإنه يحاول عادةً رفع حد التحويل اليومي ونقل الأموال على الفور. تمنح فترة التبريد المالك الشرعي وفريق الاحتيال في البنك نافذة لاكتشاف الجلسة وإيقافها. بالاقتران مع معايير الكشف عن الاحتيال، والتي تتطلب التنميط السلوكي في الوقت الفعلي وتسجيل المخاطر، يخلق هذا توقعًا واضحًا: طبقة المصادقة بحاجة إلى أن تكون على دراية بالسياق، وليس فقط ببيانات الاعتماد. ### 5.4 المصادقة متعددة العوامل الأكثر أمانًا من الرسائل القصيرة غير المشفرة هذا هو متطلب المصادقة الأكثر أهمية في التحديث. فهو يعتمد على سنوات من توجيهات BNM ويحولها إلى معيار ملزم: _"نشر تكنولوجيا المصادقة متعددة العوامل (MFA) والقنوات الأكثر أمانًا من الرسائل القصيرة غير المشفرة ... أن يكون حل MFA مقاومًا للاعتراض أو التلاعب من قبل أي طرف ثالث طوال عملية المصادقة"_ — RMiT الملحق 3، الفقرتان 5 و 6 تذهب السياسة إلى أبعد من ذلك من خلال تقديم **ربط المعاملات**: _"يجب بدء إنشاء رمز المصادقة محليًا بواسطة الدافع/المرسل باستخدام MFA ... يجب أن يكون رمز المصادقة الذي تم إنشاؤه بواسطة الدافع/المرسل محددًا للمستفيد والمبلغ المحددين المؤكدين"_ — RMiT الملحق 3، الفقرتان 6 (ج) و 6 (د) يعني ربط المعاملات أن رمز المصادقة يجب أن يكون مرتبطًا بتفاصيل المعاملة المحددة (المستلم والمبلغ)، وليس فقط بجلسة أو تسجيل دخول. يعالج هذا بشكل مباشر هجمات "إعادة توجيه OTP"، حيث يتلاعب المحتالون بالمعاملة بعد أن يكون المستخدم قد قام بالمصادقة بالفعل. لا يمكن إعادة استخدام OTP تم إنشاؤه [لدفع](https://www.corbado.com/passkeys-for-payment) 500 رينغيت للحساب أ لدفع 50,000 رينغيت للحساب ب. بالنسبة للمؤسسات التي لا تزال تعتمد على رسائل SMS OTP كعامل ثانٍ أساسي، فهذه هي الإشارة الأوضح حتى الآن: مسار الترحيل ليس اختياريًا. يلخص الجدول أدناه طرق MFA التي تتوافق مع المتطلبات الجديدة: | **طريقة MFA** | **مقاومة للتصيد؟** | **متوافقة مع RMiT؟** | | --- | --- | --- | | **SMS OTP** | لا | لا | | **TOTP (مثل Google Authenticator)** | لا | جزئيًا (انتقالي فقط) | | **الإشعارات المنبثقة (Push notification)** | لا | جزئيًا (انتقالي فقط) | | **OTP داخل التطبيق مع تفاصيل المعاملة** | جزئيًا | نعم (إذا كان مقاومًا للاعتراض) | | **مفاتيح المرور (FIDO2 / WebAuthn)** | نعم | نعم | | **مفاتيح الأمان المادية (FIDO2)** | نعم | نعم | ### 5.5 مفاتيح المرور والمصادقة المستندة إلى مفتاح التشفير لسياسة BNM RMiT تطلب BNM صراحة من المؤسسات تقديم بدائل بدون كلمة مرور: _"أن تقدم لعملائها مصادقة قوية تستند إلى مفتاح تشفير مثل الشهادة الرقمية أو المصادقة بدون كلمة مرور كبديل لطريقة المصادقة الحالية المستندة إلى كلمة المرور"_ — RMiT الملحق 3، الفقرة 9 هذا توجيه واضح للتحرك نحو مفاتيح المرور، أو المصادقة المدعومة بالأجهزة، أو الطرق المستندة إلى الشهادات. على عكس ترقية MFA، التي تركز على استبدال رسائل SMS OTP، يستهدف هذا المتطلب كلمة المرور نفسها. يعمل المتطلبان جنبًا إلى جنب: تحتاج المؤسسات إلى تجاوز الرسائل القصيرة كعامل ثانٍ **و**تقديم بديل لكلمة المرور كعامل أول. تعد مفاتيح المرور الأنسب هنا. بيانات اعتماد واحدة لمفتاح المرور تلبي المتطلبين في وقت واحد. إنها طريقة مصادقة قائمة على مفتاح التشفير (الفقرة 9)، وهي أكثر أمانًا من الرسائل القصيرة غير المشفرة (الفقرتان 5-6)، ولأن مفاتيح المرور تربط المصادقة بالمصدر المحدد (الموقع الإلكتروني أو التطبيق)، فإنها تدعم أيضًا القصد وراء ربط المعاملات. ## 6. ملخص: قبل وبعد تحديث نوفمبر 2025 | **المجال** | **قبل نوفمبر 2025** | **بعد نوفمبر 2025** | | --- | --- | --- | | **ربط الجهاز** | مطلوب، لكن إعداد الأجهزة المتعددة كان شائعًا ومحكومًا بمرونة | جهاز واحد لكل مستخدم بشكل افتراضي؛ الأجهزة المتعددة فقط بطلب صريح من العميل مع مسار تدقيق | | **تغييرات رقم الهاتف** | تتم معالجتها غالبًا برسالة SMS OTP إلى الرقم الحالي | تحقق قوي مطلوب (القياسات الحيوية، زيارة الفرع، أو قناة مستقلة) | | **تسجيل جهاز جديد** | كان الوصول الكامل الفوري بعد التسجيل أمرًا شائعًا | فترة تبريد إلزامية؛ حدود المعاملات أثناء مرحلة بناء الثقة | | **SMS OTP** | غير محبذ ولكن مسموح به كعامل ثانٍ أساسي | غير متوافق صراحةً باعتباره MFA الوحيد؛ يجب استبداله بطرق مقاومة للاعتراض | | **ربط المعاملات** | مطلوب للمعاملات عالية المخاطر (عام) | يجب أن يكون رمز المصادقة محددًا للمستفيد والمبلغ؛ يتم إنشاؤه محليًا | ## 7. السياق الإقليمي: ماليزيا ليست وحدها يقع تحديث RMiT في ماليزيا ضمن اتجاه إقليمي أوسع. عبر منطقة آسيا والمحيط الهادئ، يتقارب المنظمون الماليون على نفس مجموعة المتطلبات: بيانات الاعتماد المرتبطة بالجهاز، والمصادقة متعددة العوامل المقاومة للتصيد، والابتعاد عن كلمات المرور ورسائل SMS OTP. - **سنغافورة (MAS):** لطالما طلبت سلطة النقد في سنغافورة ربط الجهاز وتوقيع المعاملات [للخدمات المصرفية](https://www.corbado.com/passkeys-for-banking) الرقمية وكانت تشدد تدريجيًا إرشادات إدارة المخاطر التكنولوجية (TRM) في اتجاه يعكس نهج BNM عن كثب. - **الهند (RBI):** دفع بنك الاحتياطي الهندي نحو عوامل إضافية للمصادقة وتفويض خاص بالمعاملات، لا سيما لمعاملات "البطاقة غير الموجودة" ومعاملات واجهة الدفع الموحدة (UPI). - **هونغ كونغ (HKMA):** تتطلب إرشادات الخدمات المصرفية الإلكترونية لسلطة النقد في هونغ كونغ مصادقة قوية للعملاء وضوابط تسجيل الجهاز للعمليات عالية المخاطر. - **فيتنام (بنك الدولة الفيتنامي):** يتطلب التعميم 45/2025 من البنوك التحقق من القياسات الحيوية للعميل مقابل بطاقة هوية المواطن القائمة على الشريحة أو قاعدة البيانات الوطنية لبعض المعاملات ذات القيمة العالية، مما يقدم خطوة تحقق مركزية. إن البنية المطلوبة لامتثال RMiT، بما في ذلك ربط الأجهزة التشفيري، ومفاتيح المرور، والمصادقة على مستوى المعاملة، هي ما تتجه إليه المنطقة بأكملها. المؤسسات التي تستثمر في هذه البنية الآن تبني من أجل التقارب التنظيمي، وليس مجرد سياسة وطنية واحدة. ## 8. كيف تساعد Corbado المؤسسات المالية في تلبية متطلبات RMiT المحدثة تم بناء منصة Corbado لمواجهة تحديات المصادقة التي صُمم تحديث RMiT لمعالجتها. إليك كيف تتوافق المتطلبات الرئيسية مع إمكانيات Corbado: - [**المصادقة متعددة العوامل المقاومة للتصيد**](https://www.corbado.com/blog/passkeys-phishing-resistant) **والمصادقة بدون كلمة مرور:** يوفر تنفيذ Corbado لمفاتيح المرور مسارًا مباشرًا للامتثال لمتطلبات BNM المتعلقة بالمصادقة متعددة العوامل الأكثر أمانًا من الرسائل القصيرة غير المشفرة (الفقرتان 5-6) والمصادقة المستندة إلى مفتاح التشفير كبديل لكلمات المرور (الفقرة 9). تلبي بيانات اعتماد واحدة لمفتاح المرور كلا المتطلبين في وقت واحد. - **ربط الجهاز:** تدعم Corbado مفاتيح المرور المرتبطة بالجهاز وبيانات الاعتماد التشفيرية المرتبطة بجهاز معين. يمكن أن تفرض تدفقات التسجيل الوضع الافتراضي "جهاز واحد لكل مستخدم" مع آليات واضحة للاستثناءات التي يطلبها العميل، وكل ذلك مع مسار تدقيق كامل. - **الاستعداد للتدقيق والامتثال**: تجعل إمكانيات القياس عن بُعد، وتسجيل الأحداث، وإعداد التقارير في Corbado من السهل إثبات أن ضوابط المصادقة ليست مصممة فحسب، بل تعمل بشكل فعال. تعمل Corbado في ظل نظام إدارة أمن المعلومات (ISMS) المعتمد وفقًا لمعيار ISO 27001 وتحمل شهادة SOC 2 Type II، مما يجعل وضعها الأمني متوافقًا مع التوقعات المفروضة على المؤسسات المالية الماليزية. ## 9. الخاتمة يحول تحديث RMiT في نوفمبر 2025 سنوات من توجيهات BNM حول أمن المصادقة إلى لائحة ملزمة. لم تعد رسائل SMS OTP متوافقة كعامل ثانٍ مستقل. ربط الجهاز إلزامي بشكل افتراضي. يجب أن تكون مصادقة المعاملات مرتبطة بتفاصيل دفع محددة. ويجب على المؤسسات تقديم بدائل تشفيرية قائمة على المفاتيح لكلمات المرور. بالنسبة للمؤسسات التي بدأت بالفعل في الانتقال بعيدًا عن الرسائل القصيرة ونحو الأساليب المقاومة للتصيد، فإن التحديث يوثق ما كانوا يفعلونه بالفعل. بالنسبة لأولئك الذين لم يفعلوا ذلك، فإن الفجوة بين الممارسة الحالية والمعيار الجديد كبيرة، والجدول الزمني للامتثال أصبح الآن ثابتًا. تعد مفاتيح المرور المسار الأكثر مباشرة لتلبية المتطلبات المحدثة. تلبي بيانات اعتماد واحدة لمفتاح المرور ترقية MFA، وبديل عدم استخدام كلمة مرور، ومتطلبات ربط الجهاز في تنفيذ واحد. بالاقتران مع المصادقة المتصاعدة للعمليات الحساسة ومنطق التبريد للتسجيلات الجديدة، يمنح هذا المؤسسات بنية متماسكة بدلاً من مجموعة من الحلول المنفصلة. يمكننا أيضًا الإجابة على أهم الأسئلة المتعلقة بهذا الموضوع: - **ما هي سياسة RMiT وعلى من تنطبق؟** سياسة RMiT هي الإطار المركزي لإدارة المخاطر التكنولوجية لـ BNM، وتطبق على جميع المؤسسات المالية المنظمة في ماليزيا بما في ذلك البنوك وشركات التأمين ومصدري الأموال الإلكترونية ومشغلي أنظمة الدفع ومقدمي خدمات التحويل المالي. - **كيف كان يبدو مشهد المصادقة قبل نوفمبر 2025؟** كانت MFA إلزامية بالفعل للمعاملات عالية المخاطر والوصول المميز، لكن رسائل SMS OTP كانت لا تزال مقبولة، وإعدادات الأجهزة المتعددة محكومة بمرونة، ولم يكن البديل بدون كلمة مرور مطلوبًا بعد. - **ما هي أهم التغييرات على المصادقة و MFA؟** تبرز خمسة تغييرات: جهاز واحد لكل مستخدم بشكل افتراضي، وتحقق قوي لتغييرات رقم الهاتف، وفترات تبريد إلزامية للأجهزة الجديدة، و MFA أكثر أمانًا من الرسائل القصيرة مع ربط المعاملات، ومتطلب لتقديم مفاتيح المرور أو المصادقة القائمة على مفتاح التشفير. - **كيف تساعد مفاتيح المرور المؤسسات المالية في الامتثال؟** تلبي مفاتيح المرور ترقية MFA، وبديل عدم استخدام كلمة مرور، ومتطلبات ربط الجهاز في تنفيذ واحد، بينما تكون في الوقت نفسه مقاومة للتصيد، وتبديل بطاقة SIM، وهجمات اعتراض OTP. ## الأسئلة الشائعة ### ماذا يعني 'ربط المعاملات' في سياق الامتثال لسياسة BNM RMiT؟ يتطلب ربط المعاملات أن يتم إنشاء كل رمز مصادقة محليًا بواسطة الدافع وأن يكون مرتبطًا رياضيًا بحساب المستفيد المحدد ومبلغ الدفع الجاري التصريح به. يمنع هذا هجمات إعادة توجيه كلمات المرور لمرة واحدة (OTP)، حيث يتلاعب المحتال بتفاصيل المعاملة بعد أن يكون المستخدم قد قام بالمصادقة بالفعل. لا يمكن إعادة استخدام الرمز الذي تم إنشاؤه لدفع لحساب واحد للتصريح بدفع أو مبلغ مختلف. ### لماذا يتطلب تحديث RMiT لعام 2025 فترة تبريد بعد قيام العميل بتسجيل جهاز جديد؟ تمنع فترة التبريد المحتالين الذين يكتسبون إمكانية الوصول إلى حساب من تحويل الأموال على الفور من خلال جهاز مسجل حديثًا. تتطلب BNM من المؤسسات تطبيق حدود المعاملات والقيود المستندة إلى الوقت خلال مرحلة بناء الثقة الأولية للأجهزة المسجلة حديثًا. يمنح هذا كلاً من صاحب الحساب الشرعي وفريق الاحتيال في المؤسسة نافذة اكتشاف قبل إلغاء قفل إمكانات المعاملات الكاملة. ### كيف تقارن سياسة RMiT المحدثة في ماليزيا بلوائح المصادقة في الدول الآسيوية الأخرى؟ يتماشى تحديث RMiT لعام 2025 في ماليزيا مع الاتجاه الإقليمي لمنطقة آسيا والمحيط الهادئ حيث تتجه كل من سلطة النقد في سنغافورة (MAS)، وبنك الاحتياطي الهندي (RBI)، وسلطة النقد في هونغ كونغ (HKMA)، وبنك الدولة في فيتنام نحو بيانات الاعتماد المرتبطة بالجهاز، والمصادقة متعددة العوامل (MFA) المقاومة للتصيد، وإلغاء رسائل SMS OTP. يتطلب التعميم 45/2025 في فيتنام تحديدًا التحقق البيومتري مقابل وثائق الهوية الوطنية القائمة على الشرائح للمعاملات ذات القيمة العالية. وبالتالي، فإن المؤسسات التي تستثمر في بنية متوافقة مع RMiT تضع نفسها في موقع التوافق التنظيمي الإقليمي، وليس مجرد متطلب وطني واحد. ### ما هو التحقق الذي تتطلبه BNM RMiT الآن عندما يغير العميل رقم هاتفه المحمول المسجل؟ تتطلب سياسة RMiT المحدثة تحققًا قويًا قبل معالجة أي تغيير في رقم الهاتف، بما يتجاوز مجرد إرسال OTP إلى الرقم الحالي. تشمل الأساليب المقبولة إعادة التحقق من الهوية، أو المصادقة البيومترية المتصاعدة، أو التأكيد في الفرع، مما يضمن أن قناة التحقق مستقلة عن القناة التي يتم استبدالها. يعالج هذا بشكل مباشر هجمات تبديل بطاقة SIM، حيث يمكن للمحتال الذي يتحكم بالفعل في رقم هاتف أن يصرح بنفسه بالتغيير لولا ذلك.