Вернуться назад

Приложение 

  

  

Утверждено 

постановлением Правления Национального банка Кыргызской Республики 

от 15 апреля 2015 года № 22/3 

ПОЛОЖЕНИЕ 

о минимальных требованиях по предоставлению удаленного/дистанционного обслуживания в Кыргызской Республике 

(в редакции постановления Правления Нацбанка от 8 июня 2017 года № 2017-П-14\23-14-(ПС)  

Глава 1. Общие положения 

1. (Утратил силу в соответствии с постановлением Правления Нацбанка от 8 июля 2017 года № 2017-П-14\23-14-(ПС)) 

2. Настоящее Положение «О минимальных требованиях по предоставлению удаленного/дистанционного обслуживания в Кыргызской Республике» (далее  Положение) устанавливает требования к коммерческим банкам, операторам платежных систем и платежным организациям по предоставлению банковских и платежных услуг пользователю удаленным/дистанционным способом обслуживания.  

(в редакции постановления Правления Нацбанка от 8 июня 2017 года № 2017-П-14/23-14 (ПС)) 

3. В рамках настоящего Положения банковские и платежные услуги могут предоставляться удаленно/дистанционно по каналам связи посредством персональных компьютеров, мобильных телефонов, банкоматов (ATM-банкинг), электронных терминалов, в том числе автоматизированных терминалов самообслуживания (cash-in), также через интернет-банкинг, домашний банкинг, мобильный банкинг и иными способами, не противоречащими законодательству Кыргызской Республики. 

(в редакции постановления Правления Нацбанка от 8 июня 2017 года № 2017-П-14/23-14 (ПС)) 

3-1. При оказании удаленного/дистанционного обслуживания банк при необходимости может заключать договор с оператором связи (оператор мобильной сотовой связи/оператор сети подвижной связи) для оказания услуг связи. Банк при заключении договора с оператором связи должен предусмотреть способы защиты и конфиденциальности информации, передаваемой по каналам связи оператора в соответствии с законодательством Кыргызской Республики. 

(в редакции постановления Правления Нацбанка от 8 июня 2017 года № 2017-П-14/23-14 (ПС)) 

Глава 2. Общие термины и определения 

4. В рамках настоящего Положения используются следующие термины и определения: 

1) Удаленное/дистанционное обслуживание - услуги, оказываемые поставщиком пользователю на основании распоряжений последнего, передаваемых поставщикам услуг удаленным способом (интернет-банкинг, домашний-банкинг, мобильный банкинг и другие) для управления пользователем своим банковским счетом либо электронным кошельком, с использованием программно-технических и телекоммуникационных средств, а также получение информации о проведенных операциях и остатках денежных средств. 

(в редакции постановления Правления Нацбанка КР от 8 июня 2017 года № 2017-П-14/23-14 (ПС)) 

2) Поставщик услуг - банки, операторы платежных систем и платежные организации, имеющие лицензию Национального банка на право осуществления отдельных банковских операций (платежные услуги), предусмотренную законодательством Кыргызской Республики 

3) Пользователь - физическое или юридическое лицо либо индивидуальный предприниматель, использующий дистанционные банковские и платежные услуги для удаленного управления своим банковским счетом или электронным кошельком. 

(в редакции постановления Правления Нацбанка КР от 8 июня 2017 года № 2017-П-14/23-14 (ПС)) 

4) Электронный кошелек - хранилище электронных денег, представляющее собой программное обеспечение или иное программно-техническое устройство, в котором имеется запись о сумме электронных денег и их принадлежности держателю. 

5) Аутентификация - это установка подлинности лица путем проверки подлинности предъявленного идентификатора (ПИН-код, логин и др.). 

6) Персональный идентификационный номер - персональный код, присвоенный пользователю для дистанционного банкинга. 

7) Информационная система - комплекс технических средств, программное и организационное обеспечение для предоставления дистанционных банковских и платежных услуг. 

Глава 3. Требование к поставщикам услуг 

5. Поставщик услуг для удаленного/дистанционного обслуживания должен, как минимум: 

- разработать и утвердить внутренние нормативные документы, определяющие перечень, порядок и условия удаленного/дистанционного обслуживания;  

- обеспечить эффективный контроль за процессом предоставления данных услуг и сохранность денежных средств пользователей;  

- разработать внутреннюю политику информационной безопасности, определяющую ответственность поставщиков услуг при взаимодействии с пользователями;  

- разработать типовые договора между поставщиками услуг и пользователями;  

- соблюдать требования по противодействию отмыванию денег и финансированию терроризма в соответствии с законодательством Кыргызской Республики;  

- обеспечить соблюдение банковской тайны при перемещении сообщений, удаленном / дистанционном обслуживании. 

(в редакции постановления Правления Нацбанка от 8 июня 2017 года № 2017-П-14\23-14-(ПС)). 

6. Поставщик услуг должен информировать пользователя о сведениях по соблюдению требований безопасности при оказании удаленного/дистанционного обслуживания в соответствии с Приложением 1 к настоящему Положению. 

(в редакции постановления Правления Нацбанка от 8 июня 2017 года № 2017-П-14\23-14-(ПС)). 

7. Поставщик услуг должен регулярно проводить оценку качества, удаленного/дистанционного обслуживания для обеспечения необходимого уровня доверия пользователей.  

(в редакции постановления Правления Нацбанка от 8 июня 2017 года № 2017-П-14\23-14-(ПС)). 

8. Поставщик услуг должен обеспечить непрерывность своей деятельности и доступность к услуге в соответствии с условиями, установленными в договоре. При проведении профилактических и технических работ поставщик услуг обязан своевременно уведомлять пользователя. 

8-1. Поставщик услуг должен информировать пользователей не менее чем за пять календарных дней до введения в действие изменений тарифов на свои услуги через веб-сайт или средства массовой информации. 

(в редакции постановления Правления Нацбанка от 8 июня 2017 года №2017-П-14/23-14-(ПС)). 

9. Поставщик услуг должен разработать и поддерживать в актуальном состоянии положение о порядке взаимодействия и реагирования при возникновении внештатных ситуаций в соответствии с нормативными правовыми актами Национального банка. 

Глава 4. Требования при удаленном/дистанционном обслуживании 

10. Удаленное/дистанционное обслуживание должно предоставляться на основании письменного договора между пользователем и поставщиком услуг или договора публичной оферты, в котором должны быть указаны как минимум. 

(в редакции постановления Правления Нацбанка от 8 июня 2017 года №2017-П-14/23-14-(ПС)). 

- в случае предоставления услуг по удаленному управлению банковскими счетами или электронными кошельками с полной идентификацией - персональные данные пользователя (фамилия, имя, отчество, паспортные данные (или другие документы, удостоверяющие личность в соответствии с законодательством Кыргызской Республики) и другие личные данные пользователя, позволяющие его идентифицировать); 

- перечень предоставляемых услуг; 

- способы предоставления дистанционных банковских и платежных услуг и получения доступа к ним (через Интернет, каналы связи, телефон (мобильное устройство), персональный компьютер и другие устройства); 

- права, обязанности и ответственность пользователя и поставщика услуг; 

- типы и размер комиссий, подлежащих оплате пользователем; 

- периодичность (как минимум, один раз в месяц) и способы предоставления поставщиком выписок о движении денежных средств и остатке на банковском счете или электронном кошельке; 

- основные требования по соблюдению безопасности пользователем, включая порядок аутентификации и подтверждения прав клиента на использование дистанционных банковских и платежных услуг (использование ПИН-кода, паролей, лимиты, действия пользователя в случае утери и кражи устройств доступа); 

- процедура информирования поставщика услуг о факте утери, хищения или использования устройств доступа неуполномоченным лицом; 

- распределение ответственности между поставщиками услуг и пользователями услуг при утере, хищении или использовании устройств доступа посторонним лицам; 

- условия приостановления и прекращения доступа к удаленному/дистанционному обслуживанию; 

- способы оповещения клиента в случае изменения условий договора; 

- номера телефонов для обслуживания клиентов; 

- распределение рисков и ответственности между сторонами в случае нарушения процедур безопасности или других условий договора; 

- порядок рассмотрения споров, предоставления/приема жалоб и претензий пользователя, условия их рассмотрения и решения. 

11. В случае предоставления услуг с использованием неидентифицированных электронных кошельков, платежи должны проводиться в соответствии с лимитами, установленными Положением «Об электронных деньгах в Кыргызской Республике», утвержденным постановлением Правления Национального банка Кыргызской Республики от 30 марта 2016 года № 15/6.  

Данная услуга может предоставляться на основании публичной оферты. Публичная оферта должна содержать следующее:  

- условия доступа через веб-сайт/через короткие номера посредством электронных устройств в соответствии с установленным программным обеспечение поставщика услуг;  

- требования к аутентификации логин/пароль;  

- подтверждения и намерение лица, сделавшего предложение;  

- подтверждения поставщика услуг;  

- выбор/перечень услуг. 

(в редакции постановления Правления Нацбанка от 8 июня 2017 года № 2017 года №2017-П-14/23-14-(ПС)). 

11-1. Взнос денежных средств через платежные терминалы за товары и услуги осуществляется на основании публичной оферты. Получение или отказ от чека является выбором пользователя при оплате товаров и услуг через платежные терминалы путем подтверждения на экране. 

(в редакции постановления Правления Нацбанка от 8 июня 2017 года № 2017 года №2017-П-14/23-14-(ПС)). 

12. При предоставлении услуг голосового банкинга поставщик услуг должен обеспечить аудиозапись всех переговоров с пользователями и уведомлять их путем отправки на электронный адрес либо SMS-оповещением об исполнении поручения. 

13. При осуществлении доступа и обслуживании с использованием банкоматов (АТМ-банкинг) и автоматизированных платежных терминалов (платежный терминал): 

1) Доступ к АТМ-банкингу осуществляется посредством банковских платежных карт для получения наличных денежных средств, осуществления денежных переводов и других безналичных платежей, получения информации по совершенным транзакциям по банковскому счету, и выдачи чека либо SMS-информирования по всем видам произведенных транзакций на мобильный телефон, согласно договору с пользователем. 

(в редакции постановления Правления Нацбанка от 8 июня 2017 года № 2017 года № 2017-П-14/23-14-(ПС)).  

2) АТМ/платежный терминал пересылает данные о транзакции информационной системе поставщика услуг. После завершения обработки транзакции, АТМ/платежный терминал должен выдать по запросу пользователя чек, содержащий следующие обязательные реквизиты: 

- номер чека; 

- дата и время проведения транзакции/платежа; 

- сумма транзакции/платежа; 

- размер комиссии. 

3) Поставщик услуг при предоставлении удаленного/дистанционного обслуживания через АТМ/платежные терминалы самообслуживания должен: 

(в редакции постановления Правления Нацбанка от 8 июня 2017 года № 2017 года № 2017-П-14/23-14-(ПС)).  

- информировать клиентов о возможных рисках, связанных с использованием банкоматов и платежных терминалов, а также о мерах предосторожности; 

- в местах установления банкоматов и платежных терминалов регулярно проводить проверки по безопасности и документировать результаты проверок; 

- организовать центры поддержки (Call-center) и обеспечить их ежедневную и непрерывную работу; 

- поместить на банкомате или платежном терминале указатель принадлежности банка, логотипы платежных систем, карты которых принимаются к обслуживанию банкоматом или платежным терминалом. 

14. Требования при обслуживании через интернет-банкинг. 

1) При обслуживании пользователя через интернет-банкинг, поставщик услуг должен, как минимум: 

- информировать клиентов о возможных рисках и о мерах предосторожности; 

- использовать защищенные сетевые протоколы; 

- применять механизмы по предотвращению мошеннической подмены веб-страниц сервера интернет-банкинга; 

- использовать многофакторную аутентификацию (например, пароль/код/одноразовый код, и персональный идентификационный номер и другое); 

(в редакции постановления Правления Нацбанка от 8 июня 2017 года № 2017 года № 2017-П-14/23-14-(ПС)).  

- применять политику, предусматривающую использование сложных паролей и их регулярное изменение; 

- использовать механизмы предотвращения автоматического подбора паролей; 

- использовать механизмы блокировки сеанса соединения с сервером интернет-банкинга при бездействии пользователя сверх установленного промежутка времени. 

15. Требования при обслуживании через мобильный банкинг/мобильный телефон. 

1) Поставщик услуг при подключении услуги мобильного банкинга пользователю должен предусмотреть в договоре, как минимум, следующее: 

(в редакции постановления Правления Нацбанка КР от 8 июня 2017 года № 2017 года № 2017-П-14/23-14-(ПС)) 

- условия регистрации и идентификации пользователя у поставщика услуг (банковский счет, электронный кошелек, идентифицированная SIM-карта клиента); 

- правила и процедуры безопасности при проведении платежей с использованием мобильных устройств (недопущение передачи информации третьим сторонам без согласия пользователя при обмене и передачи сообщений между пользователем и поставщиками услуг; обеспечение конфиденциальности при передаче финансовых сообщений и платежей); 

- принятие необходимых мер для защиты персональных данных пользователя; 

(в редакции постановления Правления Нацбанка КР от 8 июня 2017 года № 2017 года № 2017-П-14/23-14-(ПС)) 

- порядок доступа для осуществления платежей; 

- другие условия, установленные в пункте 10 настоящего Положения. 

16. Все платежи, осуществляемые посредством удаленного/ дистанционного обслуживания, считаются подтвержденными и окончательными (безусловными и безотзывными) с момента завершения взаиморасчетов в соответствующей системе поставщика услуг и проведения окончательных расчетов. Для пользователя платеж считается безотзывным в момент получения подтверждения о принятии платежа к исполнению и выдачи чека, карт-чека, получения SMS-подтверждения, и окончательным - в момент ввода денежных средств в купюроприемник платежного терминала или списания средств с банковского счета или электронного кошелька пользователя и одновременного зачисления на счет получателя. 

(в редакции постановления Правления Нацбанка КР от 8 июня 2017 года № 2017 года № 2017-П-14/23-14-(ПС)) 

17. Пользователь может опротестовать транзакцию, проведенную в системе удаленного/дистанционного обслуживания, подав поставщику услуг заявление в соответствии с условиями договора. Поставщик услуг осуществляет отмену транзакции согласно регламенту и порядку работы соответствующей платежной системы, если иное не предусмотрено условиями договора. 

(в редакции постановления Правления Нацбанка КР от 8 июня 2017 года № 2017 года № 2017-П-14/23-14-(ПС)) 

18. Поставщик услуг обязан до момента подписания договора или перед началом удаленного/дистанционного обслуживания должен ознакомить/информировать пользователя с правилами пользования и тарифами на оказываемые услуги. 

(в редакции постановления Правления Нацбанка КР от от 8 июня 2017 года № 2017 года № 2017-П-14/23-14-(ПС)) 

Глава 5. Управление рисками 

19. Поставщик услуг должен осуществлять контроль за рисками, возникающими в процессе деятельности и совершенствовать политику управления рисками, возникающими при удаленном/дистанционном обслуживании в соответствии с нормативными правовыми актами Национального банка. 

(в редакции постановления Правления Нацбанк КР от 8 июня 2017 года № 2017 года № 2017-П-14/23-14-(ПС)) 

20. Поставщик услуг должен разработать и внедрить комплексную систему по обеспечению информационной безопасности дистанционного банкинга. 

21. Система информационной безопасности удаленного/дистанционного обслуживания, как минимум, должна содержать следующие аспекты: 

- выявление и оценка рисков, связанных с предоставлением удаленного/дистанционного обслуживания; 

(в редакции постановления Правления Нацбанка КР от 8 июня 2017 года № 2017 года № 2017-П-14/23-14-(ПС)) 

- определение мер по снижению рисков, в том числе, применение соответствующих технологий идентификации клиента и норм внутреннего контроля; 

- определение мер по защите информации клиента от несанкционированного доступа и обеспечение целостности данной информации; 

- оценка мер по информированию клиентов; 

- определение и оценка лимитов по транзакциям по банковским счетам, электронным кошелькам; 

- контроль осуществления транзакций по лимитам, установленным по открытию и проведению платежей через электронные кошельки. 

22. Поставщик услуг, по мере необходимости, обязан корректировать и обновлять свою систему информационной безопасности в соответствии с любыми изменениями в технологии предоставления удаленного/дистанционного обслуживания, при обнаружении уязвимости в информационных системах, для обеспечения при возникновении внешних или внутренних угроз мошенничества, конфиденциальности и целостности информации. 

23. Поставщик услуг должен представлять в Национальный банк информацию о правонарушениях и фактах мошенничества при предоставлении удаленного/дистанционного обслуживания в соответствии с установленными требованиями нормативных правовых актов Национального банка. 

(в редакции постановления Правления Нацбанка КР от 8 июня 2017 года № 2017 года № 2017-П-14/23-14-(ПС)) 

24. Поставщик услуг должен обеспечить своевременное обновление и модернизацию систем безопасности согласно утвержденным внутренним процедурам. 

25. Для обеспечения идентификации своих пользователей, Поставщик услуг должен применять методики по снижению возможных рисков. Поставщик услуг должен отслеживать, оценивать и внедрять новые технологии идентификации клиента, а также в зависимости от вида операции и уровня доступа обеспечивать внедрение соответствующих изменений в систему идентификации клиента на основе существующих факторов риска. Если оценка риска определяет недостаточный уровень безопасности при применении идентификационных мер, основанных на единичном факторе (например пароль/код), поставщикам следует использовать многофакторные меры идентификации (например, пароль/код/одноразовый код, номер карты и персональный идентификационный номер). 

26. Применение соответствующих способов идентификации должны быть определенны в процессе оценки рисков. Используемые способы должны учитывать следующие аспекты: вид систем удаленного/дистационного обслуживания (информационный или операционный), разновидность систем (АТМ-банкинг, системы "клиент-банк", интернет-банкинг, мобильный банкинг, домашний банкинг и другие) статус клиента (юридическое или физическое), вид операций разрешенных системой, объем и количество операций. 

(в редакции постановления Правления Нацбанка КР от 8 июня 2017 года № 2017 года № 2017-П-14/23-14-(ПС)) 

27. При предоставлении услуг по удаленному управлению банковскими счетами или электронными кошельками с полной идентификацией поставщик должен соответствовать общепринятым правилам "Знай своего клиента", установленным нормативными правовыми актами Национального банка, в том числе требующих личное присутствие пользователя. 

Глава 6. Система мониторинга и оценка операций 

28. Поставщик услуг при удаленном/дистанционном обслуживании должен иметь систему мониторинга, способную определять неавторизованные действия в информационных системах. 

(в редакции постановления Правления Нацбанка КР от 8 июня 2017 года № 2017 года № 2017-П-14/23-14-(ПС)) 

29. Поставщик услуг для определения неавторизированных действий, выявления вторжений в информационную систему, восстановления событий и отслеживания хода нарушения безопасности информационной системы должен вести электронные регистрационные журналы. 

30. Поставщик услуг должен незамедлительно приостановить доступ к банковскому счету или электронному кошельку пользователя при обнаружении фактов несанкционированного доступа или неавторизованных действий. 

31. В целях обеспечения контроля и управления безопасностью информационной системы, независимый орган (то есть, внутренний, при наличии сертифицированного специалиста по IT-аудиту (или внешний аудит) должен проводить анализ отчетов, в которых должны быть отражены меры по обеспечению информационной безопасности. 

Глава 7. Заключение 

32. Поставщик услуг должен письменно уведомить Национальный банк о предоставлении удаленного/дистанционного обслуживания, включающий в себя перечень банковских и платежных услуг. 

33. Все взаимоотношения между пользователем и поставщиком услуг, не определенные в настоящем Положении, должны быть оговорены в договоре с поставщиком услуг. 

  

Приложение 1 

к Положению «О минимальных требованиях   

по предоставлению удаленного/дистанционного обслуживания  

в Кыргызской Республике» 

(в редакции постановления Правления Нацбанка КР от 8 июня 2017 года № 2017 года № 2017-П-14/23-14-(ПС)) 

 

ИНФОРМАЦИЯ 

для пользователей удаленного/дистанционного обслуживания 

(в редакции постановления Правления Нацбанка КР от 8 июня 2017 года № 2017 года № 2017-П-14/23-14-(ПС)) 

Для обеспечения безопасности в процессе проведения операций в рамках удаленного/дистанционного обслуживания и защиты персональных данных, клиенты должны быть проинформированы о своих обязанностях и ответственности. 

1. Пользователь при использовании интернет-банкинга должен: 

(в редакции постановления Правления Нацбанка КР от 8 июня 2017 года № 2017 года № 2017-П-14/23-14-(ПС)) 

1) использовать безопасный логин и пароль/персональный идентификационный номер, при этом не раскрывать посторонним лицам свой логин, пароль и персональный идентификационный номер; 

- не хранить свой логин, пароль и персональный идентификационный номер на устройствах доступа (персональный компьютер, мобильный телефон, и т.д.) или других незащищенных носителях; 

- периодически менять код, пароль и персональный идентификационный номер, не использовать пароли с низким уровнем защиты, такие как имя или дата рождения. Пароль должен содержать комбинацию, состоящую из не менее 6 знаков: букв (прописных и заглавных), специальных символов и цифр; 

2) обеспечить конфиденциальность личной информации, при этом: 

- не раскрывать личную информацию (номер телефона или паспорта, номер банковского счета или адрес электронной почты) посторонним лицам; 

3) сохранять информацию об электронных операциях, при этом: 

- необходимо регулярно проверять историю операций и выписки для отслеживания ошибок или неавторизированных операций по счету; 

- незамедлительно информировать поставщика дистанционных банковских и платежных услуг о любых случаях неавторизированного использования счета или проведения операций; 

4) проверять правильность и безопасность веб-страницы, при этом: 

- перед осуществлением любых он-лайн операций или предоставление личной информации должен убедиться, что используется правильная веб-страница интернет-банкинга и мобильного банкинга. Необходимо остерегаться фальшивых веб-страниц, созданных в целях мошенничества; 

- должен убедиться в безопасности веб-страницы, проверив наличие Унифицированных Указателей Ресурсов (URL), которые должны начинаться с "https", а на статусе интернет-браузера должен появиться знак защищенного соединения; 

- всегда вводить URL веб-страницы непосредственно в интернет-браузер. Избегать перенаправления или ссылки на другие ненадежные страницы; 

- по возможности, использовать программу, которая автоматически шифрует или кодирует передаваемую информацию в процессе осуществления электронных операций; 

5) защитить свое устройство доступа (персональный компьютер, мобильный телефон и т.д.) от несанкционированного доступа и вредоносных программ, при этом следить за регулярным обновлением антивирусной программы и ее постоянной работой; 

6) необходимо покинуть сайт, где осуществляются электронные операции, даже если компьютер оставлен без присмотра на короткий срок; 

- не забывать выходить из системы после осуществления электронных операций; 

7) ознакомиться с политикой безопасности системы интернет-банкинга: 

- необходимо внимательно ознакомиться с условиями системы интернет-банкинга относительно осуществления платежей, переводов, дебетования/кредитования счета и другими условиями банковского обслуживания; 

- перед вводом личной финансовой информации системы интернет-банкинга, необходимо внимательно ознакомиться с условиями использования или распространения данной информации. 

2. Пользователь при использовании мобильного банкинга должен: 

(в редакции постановления Правления Нацбанка КР от 8 июня 2017 года № 2017 года № 2017-П-14/23-14-(ПС)) 

- не раскрывать посторонним лицам свой персональный идентификационный номер (ПИН), пароль, пароль от электронной почты, иные сведения, которые могут способствовать несанкционированному доступу при удаленном/дистанционном обслуживании от имени пользователя; 

(в редакции постановления Правления Нацбанка КР от 8 июня 2017 года № 2017 года № 2017-П-14/23-14-(ПС)) 

- периодически менять свой персональный идентификационный номер, используемый для мобильного банкинга; 

- не позволять другим использовать свой мобильный телефон, через который осуществляется банковская операция; 

- при потере или краже мобильного телефона, нужно незамедлительно сообщить в обслуживающий банк/оператору связи/оператора платежной системы; 

(в редакции постановления Правления Нацбанка КР от 8 июня 2017 года № 2017 года № 2017-П-14/23-14-(ПС)) 

- не отправлять свою личную информацию, особенно пароль или персональный идентификационный номер через электронную почту, социальные сети и другие средства электронного обмена данными; 

- незамедлительно сообщить поставщику услуг при возникновении любых вопросов относительно безопасности банковского счета. 

Необходимые меры для обеспечения безопасного хранения карт, их реквизитов, персонального идентификационного номера и безопасности других данных определены в нормативных правовых актах Национального банка.