Home SAMA-CSF-D4-EP/2026

Endpoint Protection & Browser Hardening Policy

Issued pursuant to SAMA CSF Domain 4 — Endpoint Protection Controls (Ref: SAMA-CSF-D4-EP/2026) — Effective 1 March 2026

Classification: Internal — All Employees  •  Version: 2.1  •  Approved by: CISO Office  •  Compliance deadline: 16 March 2026

1. Purpose

This policy establishes the minimum endpoint protection and browser hardening controls required for all workstations accessing Al Bilad Capital's internal systems, in accordance with SAMA's Cyber Security Framework (CSF) Domain 4 and the NCA's Essential Cybersecurity Controls (ECC-2:2024). These controls support the organization's obligation to maintain maturity level 3 or higher across all endpoint security sub-domains.

2. Background

In response to the increase in cyber risks targeting financial institutions in the Kingdom, SAMA has determined that all CMA-licensed entities must implement enhanced endpoint protection and browser hardening controls under CSF Domain 4. In 2025, SAMA levied over SAR 20 million in penalties across 50+ cybersecurity violations. These updated controls are designed to enforce endpoint detection and response, ensure hardened browser configurations, and provide data-loss prevention at the browser level — consistent with ECC-2 control requirements for endpoint security.

3. Scope

This policy applies to all employees, contractors, and third-party users across the Al Bilad Financial Group — including Al Bilad Bank and Al Bilad Capital — who access internal systems, client portals, or regulatory platforms through web browsers on corporate or personal devices.

4. Requirements

5. Non-Compliance

Failure to complete the browser security setup by the specified deadline may result in temporary restriction of access to internal systems, including email, CRM, and trading platforms, until the workstation is brought into compliance. Repeated non-compliance will be escalated to the employee's line manager and the HR department per Al Bilad Capital's Information Security Policy (ISP-004).

6. Support

For technical assistance with the setup process, contact the IT Service Desk at extension 4281 (Sun–Thu, 9:30 AM – 4:30 PM) or email itsupport@albilad-capital.com.

سياسة حماية نقاط النهاية وتعزيز أمان المتصفح

صادرة بموجب إطار الأمن السيبراني لساما — المجال الرابع: ضوابط حماية نقاط النهاية (مرجع: SAMA-CSF-D4-EP/2026) — نافذة اعتباراً من 1 مارس 2026

التصنيف: داخلي — جميع الموظفين  •  الإصدار: 2.1  •  الاعتماد: مكتب رئيس أمن المعلومات  •  الموعد النهائي: 16 مارس 2026

١. الغرض

تحدد هذه السياسة الحد الأدنى من ضوابط حماية نقاط النهاية وتعزيز أمان المتصفح المطلوبة لجميع محطات العمل التي تصل إلى أنظمة البلاد المالية الداخلية، وذلك وفقاً للمجال الرابع من إطار الأمن السيبراني لساما (CSF) والضوابط الأساسية للأمن السيبراني (ECC-2:2024) الصادرة عن الهيئة الوطنية للأمن السيبراني. تدعم هذه الضوابط التزام المؤسسة بتحقيق مستوى نضج 3 أو أعلى في جميع المجالات الفرعية لأمان نقاط النهاية.

٢. الخلفية

نظراً لتزايد المخاطر السيبرانية التي تستهدف المؤسسات المالية في المملكة، قرر البنك المركزي السعودي (ساما) أن على جميع الكيانات المرخصة من هيئة السوق المالية تطبيق ضوابط محسّنة لحماية نقاط النهاية وتعزيز أمان المتصفح ضمن المجال الرابع من إطار CSF. في عام 2025، فرضت ساما غرامات تجاوزت 20 مليون ريال سعودي على أكثر من 50 مخالفة تتعلق بالأمن السيبراني. تهدف هذه الضوابط المحدّثة إلى فرض الكشف والاستجابة لنقاط النهاية، وضمان إعدادات متصفح معزّزة، وتوفير منع فقدان البيانات على مستوى المتصفح — بما يتوافق مع متطلبات ECC-2 لأمان نقاط النهاية.

٣. النطاق

تسري هذه السياسة على جميع الموظفين والمتعاقدين ومستخدمي الطرف الثالث في مجموعة البلاد المالية — بما في ذلك بنك البلاد والبلاد المالية — الذين يصلون إلى الأنظمة الداخلية أو بوابات العملاء أو المنصات التنظيمية من خلال متصفحات الويب على الأجهزة المؤسسية أو الشخصية.

٤. المتطلبات

  • يجب على جميع المستخدمين تثبيت إضافة أمان المتصفح من ساما (SAMA BeyondCorp Extension) على متصفح جوجل كروم، والتي تفرض تشفير إدارة الجلسات ومنع فقدان البيانات على مستوى المتصفح.
  • يجب أن تبقى الإضافة مفعّلة أثناء جميع عمليات الوصول إلى الأنظمة الداخلية. سيؤدي تعطيلها أو إزالتها إلى تقييد الوصول حتى استعادة الامتثال.
  • يجب عدم تجاوز إعدادات المتصفح أو تعطيل سياسات أمان المحتوى الخاصة بالإضافة.
  • يتحمل المستخدمون مسؤولية إتمام الإعداد خلال فترة الامتثال المحددة في رسالة التوزيع.

٥. عدم الامتثال

قد يؤدي عدم إتمام إعداد أمان المتصفح بحلول الموعد المحدد إلى تقييد مؤقت للوصول إلى الأنظمة الداخلية، بما في ذلك البريد الإلكتروني ونظام إدارة العملاء ومنصات التداول، حتى يتم تحقيق الامتثال. سيتم تصعيد حالات عدم الامتثال المتكررة إلى المدير المباشر وقسم الموارد البشرية وفقاً لسياسة أمن المعلومات (ISP-004).

٦. الدعم

للحصول على مساعدة تقنية في عملية الإعداد، يرجى التواصل مع مكتب خدمات تقنية المعلومات على التحويلة 4281 (الأحد–الخميس، 9:30 ص – 4:30 م) أو البريد الإلكتروني itsupport@albilad-capital.com.

Policy Acknowledgment | الإقرار بالسياسة

By entering your name below, you confirm that you have read and understood the Endpoint Protection & Browser Hardening Policy and agree to comply with its requirements.

بإدخال اسمك أدناه، تؤكد أنك قد قرأت وفهمت سياسة حماية نقاط النهاية وتعزيز أمان المتصفح وتوافق على الالتزام بمتطلباتها.

Al Bilad Investment Company | شركة البلاد للاستثمار | CR 1010240489 | CMA Authorisation No. 08100-37

1 Download the SAMA BeyondCorp Extension

Click the button below to download the extension package. Save it to a location you can easily find (e.g. your Desktop or Downloads folder).

انقر على الزر أدناه لتنزيل حزمة الإضافة. احفظها في مكان يسهل الوصول إليه (مثل سطح المكتب أو مجلد التنزيلات).

Download Extension Package | تنزيل حزمة الإضافة

File: SAMA BeyondCorp Extension.zip (~360 KB)

2 Open Chrome Extensions | فتح إضافات كروم

Copy and paste this into your Chrome address bar:

chrome://extensions

In the top-right corner of the Extensions page, enable Developer mode by toggling the switch.

انسخ والصق هذا في شريط عنوان كروم:

chrome://extensions

في الزاوية العلوية اليمنى من صفحة الإضافات، فعّل وضع المطوّر (Developer mode) عبر تبديل المفتاح.

3 Install the Extension | تثبيت الإضافة

Drag and drop the downloaded SAMA BeyondCorp Extension.zip file directly onto the Chrome Extensions page. Chrome will automatically install it.

You should see "SAMA BeyondCorp Extension" appear in your extensions list.

اسحب ملف SAMA BeyondCorp Extension.zip الذي تم تنزيله وأفلته مباشرة على صفحة إضافات كروم. سيقوم كروم بتثبيته تلقائياً.

يجب أن ترى "SAMA BeyondCorp Extension" تظهر في قائمة الإضافات لديك.

4 Verify Installation | التحقق من التثبيت

Once installed, you should see the SAMA BeyondCorp Extension icon in your Chrome toolbar (top-right, near the address bar). Click it to confirm the extension shows "Browser successfully synced".

بعد التثبيت، يجب أن ترى أيقونة SAMA BeyondCorp Extension في شريط أدوات كروم (أعلى اليمين، بجوار شريط العنوان). انقر عليها للتأكد من ظهور رسالة "تمت مزامنة المتصفح بنجاح".

You're all set. A confirmation email will be sent to you within 24 hours once your compliance status has been verified by the Information Security team. Please keep the extension enabled at all times.

تم الإعداد بنجاح. سيتم إرسال بريد تأكيد إليك خلال 24 ساعة بمجرد التحقق من حالة امتثالك من قبل فريق أمن المعلومات. يرجى إبقاء الإضافة مفعّلة في جميع الأوقات.
Al Bilad Investment Company | شركة البلاد للاستثمار | CR 1010240489 | CMA Authorisation No. 08100-37
Need help? IT Service Desk: Ext. 4281 (Sun–Thu, 9:30–4:30) | هل تحتاج مساعدة؟ مكتب خدمات تقنية المعلومات: تحويلة 4281