سياسة الخصوصية Anda Mobile App
سياسة الخصوصية
Anda Mobile App
Privacy Policy – Andalus Bank App
Protecting your privacy and the security of your data is a top priority for Andalus Bank.
This policy explains how your data is collected, used, processed, disclosed, and protected when using the Andalus Bank App (ANDAPP).
سياسة الخصوصية – تطبيق مصرف الأندلس (Andalus Bank App)
تُمثل حماية خصوصيتك وأمان بياناتك أولوية قصوى بالنسبة لنا في مصرف الأندلس، حيث تهدف هذه السياسة إلى توضيح كيفية جمعنا لبياناتك، واستخدامها، ومعالجتها، والكشف عنها، وحمايتها عند استخدامك لتطبيق (ANDAPP)، لذلك يرجى قراءة هذه السياسة بعناية ورويّة.
1. Purpose of Data Collection
We collect data to identify the customer contracting with the Bank, to process and verify identity, manage, update, and improve electronic banking services, comply with legal obligations, prevent fraud and money laundering, and communicate with you regarding services, alerts, or offers.
Data is collected through designated input fields within the app during registration or when requesting a specific service.
أولاً: الغرض من جمع البيانات
نحن نجمع البيانات لغرض التعرف على الزبون الذي سيتعاقد معه المصرف، ولغرض المعالجة والتحقق من الهوية عند تقديم وإدارة وتحديث وتطوير الخدمات المصرفية الإلكترونية، ومن أجل الامتثال القانوني ومنع الاحتيال وغسل الأموال، وكذلك للتواصل معكم بشأن خدماتكم أو إرسال تنبيهات أمنية أو عروض تسويقية.
ويكون جمع البيانات من خلال ملء الخانات المحددة في التطبيق عند التسجيل أو عند طلب خدمة معينة، والتي تُبيّن ما إذا كان البيان المطلوب إلزاميًّا أم اختياريًّا.
2. Legal Framework
Data collection is governed by Libyan laws, including:
• Banking Law No. (1) of 2005, amended by Law No. (46) of 2012 (Islamic Banking).
• Commercial Activity Law No. (23) of 2010.
• Cybercrime Law No. (5) of 2022.
• Telecommunications Law No. (22) of 2010.
• And relevant circulars issued by the Central Bank of Libya, including Data Protection Regulation Circular No. (18/2025).
ثانياً: الإطار القانوني لجمع البيانات
يكون جمع البيانات الخاصة بالزبون في إطار القوانين المعمول بها في الدولة الليبية، وعلى وجه الخصوص:
• قانون المصارف رقم (1) لسنة 2005م المعدل بالقانون رقم (46) لسنة 2012م بشأن الصيرفة الإسلامية.
• قانون النشاط التجاري رقم (23) لسنة 2010م.
• القانون رقم (5) لسنة 2022م بشأن مكافحة الجرائم الإلكترونية.
• قانون الاتصالات رقم (22) لسنة 2010م.
• إضافة إلى التعليمات والمناشير الصادرة عن مصرف ليبيا المركزي، كنظام حماية البيانات واللائحة التنظيمية لحماية البيانات الشخصية المعممان بموجب منشور مدير إدارة الرقابة على المصارف والنقد رقم (18/2025)، والمناشير الأخرى ذات العلاقة.
3. Data Categories and Processing
The Bank may process personal, financial, credit, sensitive, and technical data as necessary for banking services, without exceeding the intended purpose.
ثالثاً: البيانات المستهدف جمعها ومعالجتها
تشمل البيانات الشخصية والمالية والائتمانية والحساسة والتقنية وفق ما ورد سابقاً، ويجوز معالجتها فقط في حدود الخدمات المصرفية المقدمة للزبون، ودون تجاوز النطاق المحدد لذلك.
4. Customer Consent
Customers provide explicit, prior consent via biometric authentication within the app and may review, correct, or withdraw consent anytime. Withdrawal stops future processing without affecting prior lawful transactions.
رابعاً: الموافقة على جمع البيانات
• تكون موافقة الزبون مسبقة وصريحة من خلال المصادقة البيومترية المعتمدة داخل التطبيق.
• يحق للزبون مطالعة وتصحيح وتحديث بياناته.
• يجوز له سحب الموافقة في أي وقت عبر إعدادات التطبيق، مما يؤدي إلى وقف أي معالجة لاحقة دون المساس بشرعية التعاملات السابقة.
5. Use and Disclosure of Data
The Bank shall not sell, share, or disclose customer information except:
1. With written consent from the customer.
2. In response to official or judicial requests (e.g., Financial Intelligence Unit, National Information Security Authority, Public Prosecutor, or Courts).
3. When working with approved technical service providers bound by equivalent security obligations.
خامساً: التصرف في المعلومات أو الكشف عنها
يتعهد المصرف بعدم بيع أو مشاركة بيانات الزبائن مع أي طرف ثالث، إلا في الحالات التالية:
1. بموافقة رسمية من الزبون.
2. امتثالاً لطلب جهة رسمية أو قضائية مختصة مثل وحدة المعلومات المالية، الهيئة الوطنية لأمن وسلامة المعلومات، النيابة العامة أو المحاكم.
3. عند التعامل مع مزودي الخدمات التقنية المعتمدين، بشرط التزامهم بذات معايير الأمان والسرية المطبقة في هذه السياسة.
6. Data Security
In accordance with ISO/IEC 27001:2022, the Bank operates an Information Security Management System (ISMS)ensuring the confidentiality, integrity, and availability of data through the following:
1. Information Security Governance
• Appointment of a Chief Information Security Officer (CISO) to oversee and review controls.
• Adoption of a comprehensive Information Security Policy covering asset classification, risk assessment, and treatment plans.
• Annual security system review as part of the Bank’s internal audit.
2. Risk Management
• Systematic identification, evaluation, and mitigation of data-related risks.
• Maintenance and periodic update of a formal Risk Register.
3. Access Controls
• Implementation of the Least Privilege Principle.
• Use of Multi-Factor Authentication (MFA) for critical systems.
• Biannual access rights reviews.
4. Data Encryption
• Use of internationally recognized algorithms (AES-256, TLS 1.3).
• Encryption of data At Rest and In Transit.
5. Security Incident Management
• Adoption of a Security Incident Response Policy covering detection, analysis, containment, recovery, and lessons learned.
• Notification of any breach to relevant authorities within 72 hours, as per ISO 27035.
6. Backup and Business Continuity
• Regular data backups aligned with the Business Continuity Plan (BCP).
• Semi-annual testing of the Disaster Recovery Plan (DRP).
7. Training and Awareness
• Regular employee security awareness programs.
• All staff must sign a Non-Disclosure Agreement (NDA).
سادساً: أمن البيانات
يلتزم المصرف، وفقاً لمعيار ISO/IEC 27001:2022، بتطبيق نظام إدارة أمن المعلومات (ISMS) يهدف إلى حماية سرية وسلامة وتوافر البيانات. وتشمل الإجراءات المعتمدة ما يلي:
1. حوكمة أمن المعلومات
• تعيين مسؤول أمن معلومات (CISO) يتولى الإشراف على تطبيق الضوابط الأمنية ومراجعتها دورياً.
• اعتماد سياسة إدارة أمن المعلومات تشمل تصنيف الأصول، تقييم المخاطر، وخطط المعالجة.
• تنفيذ مراجعة سنوية للنظام الأمني ضمن إطار التدقيق الداخلي للمصرف.
2. إدارة المخاطر
• تطبيق عملية منهجية لتحديد وتقييم ومعالجة المخاطر المرتبطة بالبيانات.
• توثيق سجل المخاطر وتحديثه بصفة دورية بناءً على نتائج المراجعات أو التغييرات التقنية.
3. ضوابط الوصول
• تطبيق مبدأ الحد الأدنى من الامتيازات (Least Privilege).
• استخدام آليات مصادقة متعددة العوامل (MFA) للوصول إلى الأنظمة الحساسة.
• مراجعة صلاحيات الوصول بشكل دوري كل ستة (6) أشهر.
4. تشفير البيانات
• استخدام خوارزميات تشفير معتمدة دولياً مثل AES-256 و TLS 1.3.
• تشفير البيانات أثناء النقل (In Transit) و في الراحة (At Rest).
5. إدارة الحوادث الأمنية
• اعتماد سياسة استجابة للحوادث تشمل المراحل التالية: الكشف – التحليل – الاحتواء – الاسترداد – الدروس المستفادة.
• الإبلاغ عن أي خرق أمني خلال 72 ساعة إلى الجهة المختصة، وفقاً لمعيار ISO 27035.
6. النسخ الاحتياطي واستمرارية الأعمال
• تنفيذ نسخ احتياطي دوري للبيانات الحيوية ضمن خطة استمرارية الأعمال (BCP) المعتمدة.
• اختبار خطة التعافي من الكوارث (DRP) مرتين سنوياً لضمان فعاليتها.
7. التدريب والتوعية
• تنفيذ برامج توعية دورية للموظفين حول حماية البيانات وأمن المعلومات.
• توقيع جميع العاملين على اتفاقية سرية معلومات (NDA).
7. Data Retention and Disposal
• Data is retained according to sensitivity classification under the Information Asset Management System.
• Retention periods are reviewed periodically to ensure legal and operational compliance.
• Data disposal follows documented secure destruction procedures in line with ISO/IEC 27040.
سابعاً : حفظ البيانات وإتلافها
• يتم حفظ البيانات وفق ضوابط مصنفة حسب حساسيتها وبناءً على نظام إدارة الأصول المعلوماتية.
• تُراجع فترات الاحتفاظ بالبيانات دورياً للتأكد من توافقها مع المتطلبات القانونية والتشغيلية.
• عند الإتلاف، يتم اتباع إجراءات إتلاف آمن موثقة تتماشى مع معيار ISO/IEC 27040 الخاص بأمن تخزين البيانات.
8. Third-Party Relationships (Security Compliance)
• All third-party service providers undergo a security assessment prior to engagement.
• They must comply with the Bank’s internal information security standards and ISO 27001 requirements.
• Service Level Agreements (SLAs) include clauses on data protection, encryption, and incident reporting.
ثامناً : العلاقات مع الأطراف الثالثة (الامتثال الأمني)
• يخضع جميع مزوّدي الخدمات من الأطراف الثالثة لتقييم أمني شامل قبل التعاقد.
• يجب أن يلتزموا بذات معايير أمن المعلومات المطبقة داخل المصرف، بما في ذلك متطلبات ISO 27001.
• يتم توقيع اتفاقيات مستوى الخدمة (SLA) تتضمن بنوداً خاصة بحماية البيانات، التشفير، والإبلاغ عن الحوادث الأمنية.
9. Compliance and Internal Audit
• The ISMS is subject to annual internal audits to measure compliance with ISO/IEC 27001.
• Audit records and corrective actions are maintained for at least five (5) years.
• Any nonconformity triggers a corrective action plan documented in the compliance register.
تاسعاً : الامتثال والتدقيق الداخلي
• يخضع نظام إدارة أمن المعلومات لتدقيق داخلي سنوي لقياس مدى الالتزام بمعايير ISO/IEC 27001.
• يتم الاحتفاظ بسجلات التدقيق والإجراءات التصحيحية لمدة لا تقل عن خمس (5) سنوات.
• في حال اكتشاف عدم مطابقة، يتم تنفيذ خطة تصحيحية وتوثيقها ضمن سجل الإجراءات المعتمد.
10. Policy Updates
This policy may be updated periodically, with major changes communicated via the app or official channels.
عاشراً: تحديثات السياسة
يتم تحديث هذه السياسة بشكل دوري، وفي حال وجود أي تغييرات جوهرية، سيتم إخطار الزبائن عبر التطبيق أو القنوات الرسمية.
أحد عشر: قنوات الاتصال
من خلال التطبيق (ANDAPP) أو فروع المصرف.
سياسة الخصوصية – تطبيق مصرف الأندلس (Andalus Bank App)
تُمثل حماية خصوصيتك وأمان بياناتك أولوية قصوى بالنسبة لنا في مصرف الأندلس، حيث تهدف هذه السياسة إلى توضيح كيفية جمعنا لبياناتك، واستخدامها، ومعالجتها، والكشف عنها، وحمايتها عند استخدامك لتطبيق (ANDAPP)، لذلك يرجى قراءة هذه السياسة بعناية ورويّة.
أولاً: الغرض من جمع البيانات
نحن نجمع البيانات لغرض التعرف على الزبون الذي سيتعاقد معه المصرف، ولغرض المعالجة والتحقق من الهوية عند تقديم وإدارة وتحديث وتطوير الخدمات المصرفية الإلكترونية، ومن أجل الامتثال القانوني ومنع الاحتيال وغسل الأموال، وكذلك للتواصل معكم بشأن خدماتكم أو إرسال تنبيهات أمنية أو عروض تسويقية.
ويكون جمع البيانات من خلال ملء الخانات المحددة في التطبيق عند التسجيل أو عند طلب خدمة معينة، والتي تُبيّن ما إذا كان البيان المطلوب إلزاميًّا أم اختياريًّا.
ثانياً: الإطار القانوني لجمع البيانات
يكون جمع البيانات الخاصة بالزبون في إطار القوانين المعمول بها في الدولة الليبية، وعلى وجه الخصوص:
• قانون المصارف رقم (1) لسنة 2005م المعدل بالقانون رقم (46) لسنة 2012م بشأن الصيرفة الإسلامية.
• قانون النشاط التجاري رقم (23) لسنة 2010م.
• القانون رقم (5) لسنة 2022م بشأن مكافحة الجرائم الإلكترونية.
• قانون الاتصالات رقم (22) لسنة 2010م.
• إضافة إلى التعليمات والمناشير الصادرة عن مصرف ليبيا المركزي، كنظام حماية البيانات واللائحة التنظيمية لحماية البيانات الشخصية المعممان بموجب منشور مدير إدارة الرقابة على المصارف والنقد رقم (18/2025)، والمناشير الأخرى ذات العلاقة.
ثالثاً: البيانات المستهدف جمعها ومعالجتها
تشمل البيانات الشخصية والمالية والائتمانية والحساسة والتقنية وفق ما ورد سابقاً، ويجوز معالجتها فقط في حدود الخدمات المصرفية المقدمة للزبون، ودون تجاوز النطاق المحدد لذلك.
رابعاً: الموافقة على جمع البيانات
• تكون موافقة الزبون مسبقة وصريحة من خلال المصادقة البيومترية المعتمدة داخل التطبيق.
• يحق للزبون مطالعة وتصحيح وتحديث بياناته.
• يجوز له سحب الموافقة في أي وقت عبر إعدادات التطبيق، مما يؤدي إلى وقف أي معالجة لاحقة دون المساس بشرعية التعاملات السابقة.
خامساً: التصرف في المعلومات أو الكشف عنها
يتعهد المصرف بعدم بيع أو مشاركة بيانات الزبائن مع أي طرف ثالث، إلا في الحالات التالية:
1. بموافقة رسمية من الزبون.
2. امتثالاً لطلب جهة رسمية أو قضائية مختصة مثل وحدة المعلومات المالية، الهيئة الوطنية لأمن وسلامة المعلومات، النيابة العامة أو المحاكم.
3. عند التعامل مع مزودي الخدمات التقنية المعتمدين، بشرط التزامهم بذات معايير الأمان والسرية المطبقة في هذه السياسة.
سادساً: أمن البيانات
يلتزم المصرف، وفقاً لمعيار ISO/IEC 27001:2022، بتطبيق نظام إدارة أمن المعلومات (ISMS) يهدف إلى حماية سرية وسلامة وتوافر البيانات. وتشمل الإجراءات المعتمدة ما يلي:
1. حوكمة أمن المعلومات
• تعيين مسؤول أمن معلومات (CISO) يتولى الإشراف على تطبيق الضوابط الأمنية ومراجعتها دورياً.
• اعتماد سياسة إدارة أمن المعلومات تشمل تصنيف الأصول، تقييم المخاطر، وخطط المعالجة.
• تنفيذ مراجعة سنوية للنظام الأمني ضمن إطار التدقيق الداخلي للمصرف.
2. إدارة المخاطر
• تطبيق عملية منهجية لتحديد وتقييم ومعالجة المخاطر المرتبطة بالبيانات.
• توثيق سجل المخاطر وتحديثه بصفة دورية بناءً على نتائج المراجعات أو التغييرات التقنية.
3. ضوابط الوصول
• تطبيق مبدأ الحد الأدنى من الامتيازات (Least Privilege).
• استخدام آليات مصادقة متعددة العوامل (MFA) للوصول إلى الأنظمة الحساسة.
• مراجعة صلاحيات الوصول بشكل دوري كل ستة (6) أشهر.
4. تشفير البيانات
• استخدام خوارزميات تشفير معتمدة دولياً مثل AES-256 و TLS 1.3.
• تشفير البيانات أثناء النقل (In Transit) و في الراحة (At Rest).
5. إدارة الحوادث الأمنية
• اعتماد سياسة استجابة للحوادث تشمل المراحل التالية: الكشف – التحليل – الاحتواء – الاسترداد – الدروس المستفادة.
• الإبلاغ عن أي خرق أمني خلال 72 ساعة إلى الجهة المختصة، وفقاً لمعيار ISO 27035.
6. النسخ الاحتياطي واستمرارية الأعمال
• تنفيذ نسخ احتياطي دوري للبيانات الحيوية ضمن خطة استمرارية الأعمال (BCP) المعتمدة.
• اختبار خطة التعافي من الكوارث (DRP) مرتين سنوياً لضمان فعاليتها.
7. التدريب والتوعية
• تنفيذ برامج توعية دورية للموظفين حول حماية البيانات وأمن المعلومات.
• توقيع جميع العاملين على اتفاقية سرية معلومات (NDA).
سابعاً : حفظ البيانات وإتلافها
• يتم حفظ البيانات وفق ضوابط مصنفة حسب حساسيتها وبناءً على نظام إدارة الأصول المعلوماتية.
• تُراجع فترات الاحتفاظ بالبيانات دورياً للتأكد من توافقها مع المتطلبات القانونية والتشغيلية.
• عند الإتلاف، يتم اتباع إجراءات إتلاف آمن موثقة تتماشى مع معيار ISO/IEC 27040 الخاص بأمن تخزين البيانات.
ثامناً : العلاقات مع الأطراف الثالثة (الامتثال الأمني)
• يخضع جميع مزوّدي الخدمات من الأطراف الثالثة لتقييم أمني شامل قبل التعاقد.
• يجب أن يلتزموا بذات معايير أمن المعلومات المطبقة داخل المصرف، بما في ذلك متطلبات ISO 27001.
• يتم توقيع اتفاقيات مستوى الخدمة (SLA) تتضمن بنوداً خاصة بحماية البيانات، التشفير، والإبلاغ عن الحوادث الأمنية.
تاسعاً : الامتثال والتدقيق الداخلي
• يخضع نظام إدارة أمن المعلومات لتدقيق داخلي سنوي لقياس مدى الالتزام بمعايير ISO/IEC 27001.
• يتم الاحتفاظ بسجلات التدقيق والإجراءات التصحيحية لمدة لا تقل عن خمس (5) سنوات.
• في حال اكتشاف عدم مطابقة، يتم تنفيذ خطة تصحيحية وتوثيقها ضمن سجل الإجراءات المعتمد.
عاشراً: تحديثات السياسة
يتم تحديث هذه السياسة بشكل دوري، وفي حال وجود أي تغييرات جوهرية، سيتم إخطار الزبائن عبر التطبيق أو القنوات الرسمية.
أحد عشر: قنوات الاتصال
من خلال التطبيق (ANDAPP) أو فروع المصرف.
Privacy Policy – Andalus Bank App
Protecting your privacy and the security of your data is a top priority for Andalus Bank.
This policy explains how your data is collected, used, processed, disclosed, and protected when using the Andalus Bank App (ANDAPP).
1. Purpose of Data Collection
We collect data to identify the customer contracting with the Bank, to process and verify identity, manage, update, and improve electronic banking services, comply with legal obligations, prevent fraud and money laundering, and communicate with you regarding services, alerts, or offers.
Data is collected through designated input fields within the app during registration or when requesting a specific service.
2. Legal Framework
Data collection is governed by Libyan laws, including:
• Banking Law No. (1) of 2005, amended by Law No. (46) of 2012 (Islamic Banking).
• Commercial Activity Law No. (23) of 2010.
• Cybercrime Law No. (5) of 2022.
• Telecommunications Law No. (22) of 2010.
• And relevant circulars issued by the Central Bank of Libya, including Data Protection Regulation Circular No. (18/2025).
3. Data Categories and Processing
The Bank may process personal, financial, credit, sensitive, and technical data as necessary for banking services, without exceeding the intended purpose.
4. Customer Consent
Customers provide explicit, prior consent via biometric authentication within the app and may review, correct, or withdraw consent anytime. Withdrawal stops future processing without affecting prior lawful transactions.
5. Use and Disclosure of Data
The Bank shall not sell, share, or disclose customer information except:
1. With written consent from the customer.
2. In response to official or judicial requests (e.g., Financial Intelligence Unit, National Information Security Authority, Public Prosecutor, or Courts).
3. When working with approved technical service providers bound by equivalent security obligations.
6. Data Security
In accordance with ISO/IEC 27001:2022, the Bank operates an Information Security Management System (ISMS)ensuring the confidentiality, integrity, and availability of data through the following:
1. Information Security Governance
• Appointment of a Chief Information Security Officer (CISO) to oversee and review controls.
• Adoption of a comprehensive Information Security Policy covering asset classification, risk assessment, and treatment plans.
• Annual security system review as part of the Bank’s internal audit.
2. Risk Management
• Systematic identification, evaluation, and mitigation of data-related risks.
• Maintenance and periodic update of a formal Risk Register.
3. Access Controls
• Implementation of the Least Privilege Principle.
• Use of Multi-Factor Authentication (MFA) for critical systems.
• Biannual access rights reviews.
4. Data Encryption
• Use of internationally recognized algorithms (AES-256, TLS 1.3).
• Encryption of data At Rest and In Transit.
5. Security Incident Management
• Adoption of a Security Incident Response Policy covering detection, analysis, containment, recovery, and lessons learned.
• Notification of any breach to relevant authorities within 72 hours, as per ISO 27035.
6. Backup and Business Continuity
• Regular data backups aligned with the Business Continuity Plan (BCP).
• Semi-annual testing of the Disaster Recovery Plan (DRP).
7. Training and Awareness
• Regular employee security awareness programs.
• All staff must sign a Non-Disclosure Agreement (NDA).
7. Data Retention and Disposal
• Data is retained according to sensitivity classification under the Information Asset Management System.
• Retention periods are reviewed periodically to ensure legal and operational compliance.
• Data disposal follows documented secure destruction procedures in line with ISO/IEC 27040.
8. Third-Party Relationships (Security Compliance)
• All third-party service providers undergo a security assessment prior to engagement.
• They must comply with the Bank’s internal information security standards and ISO 27001 requirements.
• Service Level Agreements (SLAs) include clauses on data protection, encryption, and incident reporting.
9. Compliance and Internal Audit
• The ISMS is subject to annual internal audits to measure compliance with ISO/IEC 27001.
• Audit records and corrective actions are maintained for at least five (5) years.
• Any nonconformity triggers a corrective action plan documented in the compliance register.
10. Policy Updates
This policy may be updated periodically, with major changes communicated via the app or official channels.