Зарегистрировано в Министерстве юстиции Кыргызской Республики
4 марта 2009 года. Регистрационный номер 26-09
Утверждено
постановлением Правления
Национального банка
Кыргызской Республики
от 28 января 2009 года N 4/6
ПОЛОЖЕНИЕ
об основных требованиях к функционированию платежной
системы Кыргызской Республики при возникновении
нештатных ситуаций в платежной системе
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
1. Общие положения
2. Определения
3. Нештатные ситуации в платежной системе
4. Несанкционированный доступ и мошенничество
в платежной системе
5. Форс-мажорные обстоятельства
6. Отчетность
Приложение 1. Отчет о нештатных ситуациях в системе
Приложение 2. Отчет о мошеннических транзакциях в системе
1. Общие положения
1.1. (Утратил силу в соответствии с постановлением Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11(ПС))
1.2. Положение «Об основных требованиях к функционированию платежной системы Кыргызской Республики при возникновении нештатных ситуаций в платежной системе» (далее – Положение) определяет основные понятия и требования к функционированию платежной системы Кыргызской Республики и действиям персонала при возникновении нештатных ситуаций в платежной системе, связанных с:
· перебоями энергоснабжения;
· сбоями аппаратного или программного обеспечения;
· сбоями каналов связи системы;
· нарушением регламента работы системы;
· несанкционированным доступом к системе;
· мошенничеством;
· форс-мажорными обстоятельствами.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
1.3 Настоящее Положение распространяется на участников и операторов платежной системы, являющихся резидентами Кыргызской Республики, которые осуществляют свою деятельность в соответствии с законами Кыргызской Республики «О Национальном банке Кыргызской Республики, банках и банковской деятельности», «О лицензионно-разрешительной системе в Кыргызской Республике», «О платежной системе Кыргызской Республики, «Об электронном документе и электронной цифровой подписи», «Об информатизации и электронном управлении» (далее – законодательство Кыргызской Республики) и нормативными правовыми актами Национального банка Кыргызской Республики (далее – Национальный банк).
В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11–(ПС))
1.4. Платежная система Кыргызской Республики включает:
· системно-значимые платежные системы (далее – СЗПС);
· значимые платежные системы (далее – ЗПС);
· другие платежные системы.»;
В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
1.5. Ответственность за обеспечение бесперебойного функционирования и соблюдение регламента платежных систем несут операторы и участники платежных систем. Распределение ответственности сторон в случаях возникновения нештатных ситуаций в процессе осуществления платежей/переводов и расчетов, порядок и время информирования определяются в договорах между оператором и участниками, а также во внутренних процедурах, устанавливающих порядок действий и взаимоотношения персонала платежной системы.
1.6. Персонал платежной системы должен состоять из персонала оператора и персонала участника системы и включать основной и дублирующий состав. В случае отсутствия какого-либо специалиста основного состава его функции выполняет специалист из дублирующего состава.
1.7. Персонал оператора платежной системы должен включать:
- специалистов, выполняющих функции управления по сбору, обработке, и передаче платежей (переводов) и сообщений;
- специалистов, выполняющих функции управления проведением расчетов, включая окончательный расчет;
- специалистов по сопровождению системы, обеспечивающих бесперебойное функционирование технической инфраструктуры и безопасность системы.
1.8. Персонал участника платежной системы должен включать:
- специалистов, выполняющих функции формирования, отправки и приема платежей (переводов), а также функции обмена другими сообщениями в рамках системы;
- специалистов по сопровождению системы, обеспечивающих бесперебойное функционирование и безопасность технической инфраструктуры участника системы.
1.9. Внутренние процедуры операторов и участников платежной системы должны устанавливать регламент, порядок проведения работ и взаимодействия персонала системы при возникновении нештатных ситуаций, а также меры по восстановлению штатного функционирования системы. Данные процедуры должны в обязательном порядке предусматривать:
- порядок и сроки информирования руководства и персонала системы о возникновении нештатной ситуации;
- регистрацию факта возникновения нештатной ситуации (дату, время, описание события) в специальном журнале;
- порядок действий, если проблемы не были решены на уровне ответственных исполнителей персонала системы за предусмотренное процедурами время;
- порядок и сроки информирования руководства и персонала системы после устранения нештатной ситуации и восстановления штатного функционирования системы, включая порядок регистрации информации о восстановлении штатного функционирования системы (дату, время, причину возникновения нештатной ситуации, содержание принятых мер по ее устранению с указанием ответственных исполнителей), подготовки актов и экспертных заключений о ситуации.
1.10. Техническая инфраструктура платежной системы должна включать:
- основной аппаратно-программный комплекс (далее - АПК), к которому предъявляются определенные требования по обеспечению штатного функционирования системы и восстановлению в случае возникновения нештатных ситуаций;
- резервный АПК, который в случае выхода из строя любых компонентов основного аппаратно-программного комплекса должен полностью обеспечить штатное функционирование системы;
- каналы связи и средства безопасности передачи данных.
1.11. Для минимизации рисков, возможных при возникновении нештатных ситуаций в платежной системе:
функционирование платежной системы должно осуществляться в соответствии с критериями по обеспечению непрерывности, установленными внутри каждой системы и включающими наличие:
- основного и резервного центров по обработке платежей и автоматическое или ручное переключение работы системы с основного на резервный АПК и наоборот в случае возникновения сбоев в работе системы;
- средств безопасности передачи данных, минимизирующих риски несанкционированного доступа;
- установленного предельного значения времени простоя системы в случае возникновения сбоев в работе системы;
- утвержденной максимальной продолжительности времени автоматизированного или ручного переключения между основным и резервным АПК с указанием максимально допустимого времени простоя до полного восстановления штатного функционирования системы;
- установленного предельного времени восстановления базы данных в случае возникновения сбоев;
- критерия максимально допустимого времени восстановления работы системы в случае сбоев основного и резервного АПК.
Модернизация системы, время, условия реагирования и порядок взаимодействия с поставщиком платежной системы при возникновении нештатных ситуаций, которые приводят к нарушению данных критериев, и меры по их устранению должны быть определены в договоре на техническую поддержку с поставщиком платежной системы.
Операторы системы должны иметь процедуры по:
- обеспечению непрерывного функционирования АПК системы и требуемых для его функционирования каналов связи с указанием разового и суммарного времени простоя системы в течение квартала;
- осуществлению переключения между основным и резервным АПК с указанием максимально допустимого времени простоя до полного восстановления штатного функционирования системы;
- проведению периодических проверок персоналом оператора системы работоспособности резервного АПК, каналов связи системы и регулярного тестирования переключения работы системы с основного на резервный АПК и наоборот;
- обеспечению непрерывности функционирования рабочих станций персонала оператора системы;
- обеспечению восстановления данных в случае их повреждения или искажения в соответствии с установленным регламентом;
- обеспечению конфиденциальности передаваемых и получаемых системой данных согласно законодательству Кыргызской Республики.
Участники системы должны иметь процедуры по:
- обеспечению непрерывности функционирования рабочих станций персонала участника системы;
- резервированию каналов связи по передаче данных;
- обеспечению конфиденциальности передаваемых и получаемых от системы данных согласно законодательству Кыргызской Республики.
1.12. Для минимизации рисков в СЗПС и Узле коллективного пользования SWIFT Национального банка (далее - УКП SWIFT) при возникновении у участников проблем с рабочими станциями или каналами связи должен быть создан Единый сервисный центр (далее - ЕСЦ), который должен обеспечивать проведение работ по формированию, отправке/получению платежных документов и других сообщений в системе.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
1.13. Национальный банк осуществляет:
- мониторинг и надзор за функционированием платежной системы;
- контроль функционирования межбанковской коммуникационной сети (МКС), УКП SWIFT;
- проведение проверок у операторов или участников платежной системы на соответствие функционирования системы стандартам и нормативным правовым актам.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
2. Определения
2.1. Термины и определения, используемые в настоящем Положении, соответствуют терминам и определениям, приведенным:
· в Законе “О платежной системе Кыргызской Республики”;
- в «Положении о банковских платежных картах в Кыргызской Республике», утвержденном постановлением Правления НБКР от 9 декабря 2015 года № 76/8;
· в «Политике по надзору за платежной системой Кыргызской Республики», утвержденной постановлением Правления НБКР от 15 июля 2015 года № 38/4.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
2.2. Дополнительно в настоящем Положении используются следующие термины и определения:
Нештатная ситуация - ситуация, которая не может быть решена встроенными автоматическими средствами управления рисками отдельной платежной системы в соответствии с правилами и технологией работы системы и требует для ее разрешения специально организованной деятельности персонала оператора или участника данной платежной системы. Правила управления нештатными ситуациями, ответственность и взаимодействие персонала устанавливаются во внутренних процедурах оператора или участника платежной системы.
Payment Card Industry Data Security Standard (PCI DSS) - стандарт, определяющий параметры защиты информации в области банковских платежных карт, разработанный международными платежными системами ("Visa" и "MasterCard").
"Floor limit" - максимальная сумма транзакции, в рамках которой торгово-сервисное предприятие может проводить операции с банковскими платежными картами без авторизационного запроса.
Мошенничество в платежной системе - в рамках настоящего положения это противоправные преднамеренные обманные действия (или злоупотребление доверием) персонала оператора/участника системы (внутреннее мошенничество) или третьей стороны (внешнее мошенничество), направленные на несанкционированный доступ и использование информации, относящейся к банковской тайне для получения денежных средств с банковских счетов участников системы и/или их клиентов.
К данной деятельности относятся:
- распространение внутренней конфиденциальной информации;
- нарушение прав доступа к информации, оборудованию, допущение утечки информации;
- умышленное удаление информации, которое может привести к невыполнению принятых на себя обязательств оператором или участником системы перед своим клиентом или третьими лицами;
- использование необъективной или сфальсифицированной информации;
- изготовление поддельных банковских платежных карт;
- операции с украденными/утерянными банковскими платежными картами для осуществления покупки товаров и услуг, а также снятия наличных денег;
- многократное снятие со счета денежных средств путем оформления торгово-сервисным предприятием нескольких платежных чеков по одному факту оплаты;
- многократная оплата услуг и товаров в торгово-сервисных предприятиях на суммы, не превышающие определенный лимит ("floor limit") и не требующие проведения авторизации;
- мошенничество с использованием поддельных документов, а также украденных (утерянных) документов держателей банковских платежных карт;
- мошенничество с почтовыми/телефонными заказами и заказами через Интернет;
- мошенническое использование банкоматов при выдаче наличных денежных средств;
- подключение электронного записывающего устройства к терминалу/банкомату;
- другие виды мошенничества (использование подложных слипов, создание и использование фиктивных предприятий обслуживания банковских платежных карт и т.д.).
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
3. Нештатные ситуации в платежной системе
3.1. Перебои энергоснабжения
3.1.1. Оператор и участники системы должны обеспечить соответствие мощности линий и другого оконечного оборудования, через которое осуществляется подача энергоснабжения для работы систем, требованиям систем по мощности.
3.1.2. В случаях перебоев энергоснабжения у оператора и/или участника системы должно обеспечиваться автономное функционирование системы.
3.1.3. Оператор и участники системы должны иметь процедуры, регламентирующие время автономного функционирования системы, а также обеспечивающие выполнение требований по продолжительности автономной работы системы с момента прекращения энергоснабжения и до момента последующего переключения на резервный АПК системы.
3.1.4. Участник СЗПС в случае перебоев энергоснабжения должен обеспечить отправку/получение платежных документов посредством ЕСЦ в соответствии с установленным Национальным банком порядком и регламентом.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
3.1.5. В случае перебоев энергоснабжения участник УКП SWIFT может проводить отправку/получение платежных документов через рабочие станции ЕСЦ в соответствии с установленным Национальным банком порядком и регламентом, или через альтернативные каналы передачи данных, используемые участником системы.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
3.1.6. После восстановления энергоснабжения работы по переводу на основной АПК проводятся в соответствии с установленными внутренними процедурами участника или оператора системы.
3.2. Сбои аппаратного и/или программного обеспечения системы
3.2.1. Сбои аппаратного обеспечения включают в себя нарушение функционирования или выход из строя серверного, сетевого, криптографического оборудования, оборудования для персонализации банковских платежных карт и рабочих станций участника/оператора системы.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
3.2.2. Сбои программного обеспечения включают в себя нарушение функционирования операционной системы, прикладного программного обеспечения, программного обеспечения на серверах доступа, PKI инфраструктуры и рабочих станций персонала системы.
3.2.3. В СЗПС при сбоях аппаратного и/или программного обеспечения системы или рабочих станций оператора проводится автоматическое или ручное переключение на резервный АПК или резервные рабочие станции оператора в соответствии с установленным Национальным банком порядком. В случае невозможности перехода на резервный АПК работы по обработке платежей участников системы и проведению окончательного расчета проводятся оператором с использованием бумажной формы документов в соответствии с установленным Национальным банком порядком.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
3.2.4. Участники системы при сбоях собственного аппаратного или программного обеспечения должны обеспечить использование альтернативных и/или резервных средств в соответствии со своими внутренними процедурами.
3.2.5. В случае невозможности участником СЗПС продолжить работу со своего резервного оборудования выполнение соответствующих работ может проводиться через рабочие станции ЕСЦ в соответствии с установленным Национальным банком порядком и регламентом.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
3.2.6. В случае невозможности участником ЗПС продолжить работу с резервной рабочей станции, выполнение соответствующих работ может проводиться через рабочие станции оператора ЗПС в соответствии с установленным оператором порядком и регламентом.
3.2.7. В случае невозможности участником УКП SWIFT продолжить работу со своего резервного оборудования, выполнение соответствующих работ может проводиться через рабочие станции ЕСЦ в соответствии с установленным Национальным банком порядком и регламентом, или через альтернативные каналы передачи данных, используемые участником системы.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
3.3. Сбои каналов связи системы
3.3.1. При сбое канала основного канала связи между основным и резервным АПК системы оператор системы должен провести переключение на резервный канал связи в соответствии со своими внутренними процедурами.
3.3.2. При сбое основного канала связи между оператором и участниками системы участник системы должен провести переключение на собственный резервный канал связи в соответствии со своими внутренними процедурами.
3.3.3. При выходе из строя обоих каналов связи у участника СЗПС и УКП SWIFT, работа по отправке/получении платежных документов и сообщений системы выполняется через ЕСЦ в соответствии с установленным Национальным банком порядком и регламентом.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
3.3.4. При выходе из строя обоих каналов связи участник ЗПС может выполнять работу с резервной рабочей станции оператора в соответствии с установленным оператором порядком и регламентом.
3.4. Нарушение регламента работы системы
3.4.1. К нарушениям регламента работы СЗПС и ЗПС относится продление периодов операционного дня вследствие:
- проведения работ по восстановлению штатного функционирования СЗПС и ЗПС в случае возникновения нештатной ситуации у оператора и/или участника системы в течение операционного дня;
- несвоевременной передачи сообщений и отчетов оператором ЗПС;
- несвоевременной передачи платежей и сообщений оператором и участниками СЗПС;
- несвоевременной передачи сообщений между ГСРРВ и СПК.
3.4.2. Регламент и порядок работы системы определяются нормативными правовыми актами, регулирующими функционирование системы. Ответственность сторон за соблюдение и санкции за нарушение регламента и порядка работы системы устанавливаются в договорах и соглашениях между оператором и участниками системы.
4. Несанкционированный доступ и мошенничество
в платежной системе
4.1. Несанкционированный доступ и мошенничество в платежной
системе
4.1.1. Оператор и участник системы должны иметь внутреннюю политику по обеспечению информационной безопасности системы, которая должна:
- быть разработана в соответствии с "Инструкцией по обеспечению необходимого уровня безопасности электронных платежей", утвержденной постановлением Правления Национального банка от 06.11.1999 года N 66/9 "Об "Инструкции по обеспечению необходимого уровня безопасности электронных платежей";
- иметь четко определенные задачи, основные требования по обеспечению конфиденциальности и доступу к информации, адекватности внутреннего контроля, а также критерии разграничения ответственности соответствующих лиц при осуществлении контроля;
- предусматривать своевременное реагирование на возникновение подозрительных операций или попыток несанкционированного доступа и порядок взаимодействия со Службой Финансовой Разведки Кыргызской Республики и/или правоохранительными органами;
- предусматривать разработку новых методов борьбы с мошенничеством;
- включать обязательные требования о проведении обучения сотрудников безопасности и персонала системы механизмам предотвращения мошенничества и несанкционированного доступа.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
4.1.2. Оператор и участник системы на регулярной основе (по мере необходимости, но не реже 1 раза в три года) должны осуществлять пересмотр внутренней политики с целью обновления и включения новых инновационных методов борьбы с мошенничеством и несанкционированным доступом в систему.
4.1.3. Для снижения риска возникновения внутреннего мошенничества оператор и участники системы должны иметь системы защиты от мошенничества и несанкционированного доступа на уровне аппаратно-программного комплекса (использование паролей и прав доступа к системе, криптографии, шифрования и т.п.), квалифицированный и прошедший проверку персонал для работы в системе, а также утвержденные должностные инструкции, определяющие ответственность, права и обязанности персонала.
4.1.4. Разрешение спорных ситуаций при возникновении риска внутреннего мошенничества, ответственность сторон и другие условия работы с системой должны быть определены в договорах между оператором и участниками системы.
4.2. Мошенничество в ЗПС
4.2.1. При работе с банковскими платежными картами международных платежных систем оператору и участнику системы рекомендуется принять за основу "Общие критерии для оценки безопасности информационных технологий" (ISO/IEC 15408) и PCI DSS и придерживаться соблюдения данных требований.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
4.2.2. Оператор и участники (эмитенты) ЗПС должны иметь внутренние процедуры с указанием в них, как минимум:
- ограничений по доступу персонала к базе данных системы (к информации о номерах банковских платежных карт, кодовых словах, фамилии, имени, отчестве держателя банковской платёжной карты, об образце подписи и т.д.) и список сотрудников персонала системы, имеющих такой доступ; ответственность и санкции за нарушение ограничений;
- системы защиты от мошенничества при эмиссии банковских платежных карт;
- порядка обработки заявлений клиентов и получения банковских платежных карт, включающего требования по обязательной идентификации и проверке клиента;
- порядка возврата захваченных банкоматами банковских платёжных карт.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
4.2.3. Участники (эквайеры) ЗПС должны иметь внутренние процедуры с указанием в них, как минимум:
- порядка обработки заявлений торгово-сервисных предприятий и заключения с ними договоров, включающих требования к предоставляемому пакету документов (нотариально заверенные копии учредительных документов и Устава, регистрации в налоговых органах, разрешений/лицензий на заявленные виды деятельности, ксерокопии паспортов руководства, бухгалтерский баланс с отметкой налоговых органов);
- порядка ведения базы данных торгово-сервисных предприятий, с которыми были расторгнуты договора или заявления которых были отвергнуты с указанием причины отказа;
- механизма контроля торгово-сервисных предприятий, включающего подтверждение факта его регистрации, регулярную проверку качества обслуживания банковских платежных карт, условий содержания и работоспособности терминалов, хранения чеков (слипов), определение значений "floor limit" в зависимости от мошеннической активности торгово-сервисного предприятия.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
4.2.4. Для снижения риска внешнего мошенничества операторы системы должны иметь программное обеспечение, позволяющее проводить мониторинг и анализ риска, а также отслеживание подозрительных транзакций и авторизаций, совершенных посредством банковских платежных карт на регулярной основе. Программное обеспечение должно контролировать как транзакции, совершенные в сети эквайера (контроль риска эквайера относительно торгово-сервисных предприятий), так и транзакции, совершенные посредством банковских платежных карт, эмитированных банком (контроль риска эмитента относительно держателей банковских платежных карт).
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
4.2.5. Участники системы могут иметь собственное программное обеспечение, позволяющее самостоятельно осуществлять мониторинг и управление своими рисками, связанными с эмиссией и эквайрингом банковских платежных карт для снижения потерь, вызываемых возможным мошенничеством при использовании банковских платежных карт, или воспользоваться данной услугой оператора системы на договорных условиях.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
4.2.6. Операторы и участники системы должны установить параметры мониторинга за авторизациями/транзакциями, превышение значений которых будет считаться подозрительными авторизациями/транзакциями. Мониторинг должен отражать, как минимум, следующие случаи, когда:
- сумма отдельной авторизации/транзакции (или общая сумма) превышает установленный лимит в заданный период времени;
- авторизация/транзакция банковской платёжной карты проводится в торгово-сервисных предприятиях в 2-х или более странах в заданный период времени;
- общая сумма транзакций в конкретной стране с повышенным риском превышает установленный лимит в заданный период времени;
- общее число авторизаций на одном торгово-сервисном предприятии превышает установленный лимит в заданный период времени;
- количество некорректных попыток ввода ПИН-кода в банкоматах превышает установленный лимит за заданный период времени;
- сумма отдельной авторизации/транзакции превышает установленный лимит для конкретной группы торгово-сервисных предприятий с повышенным риском.
Оператор или участник системы может устанавливать дополнительные правила мониторинга за подозрительными транзакциями.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
4.2.7. Оператор и участник системы должны иметь подготовленный персонал для проведения анализа рисков возможного мошенничества, осуществляющий контроль транзакций и авторизаций банковских платежных карт.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
4.2.8. Оператор и участник системы должны иметь внутренние процедуры с описанием средств и инструментов по распознаванию поддельных банковских платежных карт и операций с использованием банковских платежных карт, методов противодействия мошенническому использованию банковских платежных карт, а также порядка действий персонала в случае выявления таких операций.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
4.2.9. В договоре между оператором и участниками системы должны быть установлены как минимум:
- основные требования по соблюдению безопасности, которые участники системы должны использовать при разработке типовых договоров с держателями банковских платежных карт и торгово-сервисными предприятиями;
- время реагирования, порядок оповещения и взаимодействия сторон в случае выявления мошеннических операций;
- порядок разрешения спорных ситуаций между участниками системы;
- порядок и правила обработки чарджбеков;
- ответственность сторон в случае выявления мошеннических операций;
- порядок взаимодействия с правоохранительными органами по вопросам мошенничества;
- порядок предоставления и формы отчетов по подозрительным операциям;
- обмен информацией о мошеннических операциях между участниками системы.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
4.2.10. В договоре между участником (эквайером) системы и торгово-сервисным предприятием должны быть отражены следующие аспекты:
- список карточных продуктов, принимаемых к оплате в торгово-сервисном предприятии;
- виды продаваемых товаров и услуг (профиль) для идентификации в системе торгово-сервисного предприятия и обязательство извещать об изменении своего профиля;
- определение значения "floor limit" для торгово-сервисного предприятия;
- требования по соблюдению безопасности торгово-сервисным предприятием (проверка подписи держателя банковской платежной карты, документа, удостоверяющего личность держателя банковской платежной карты, соответствия реквизитов на банковской платежной карте данным на удостоверяющем документе, использование ПИН-кода держателем банковской платежной карты и иные требования), защита реквизитов банковских платёжных карт;
- возможность замораживания средств торгово-сервисного предприятия по подозрительным транзакциям, по которым проводится проверка;
- порядок проведения проверки торгово-сервисного предприятия по качеству обслуживания банковских платежных карт, предоставляемых услуг, условий содержания и работоспособности терминалов, хранения чеков (слипов);
- порядок взаимодействия в случае выявления операции с украденной/утерянной банковской платежной картой держателя банковской платежной карты или проведения мошеннических транзакций самим торгово-сервисным предприятием;
- ответственность сторон при выявлении мошеннических операций;
- условия обязательного обучения кассиров правилам приема и проверки банковских платёжных карт, а также методам выявления мошеннических операций и борьбы с ним.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
4.2.11. В договоре между участником (эмитентом) системы и держателем банковской платёжной карты должны быть определены основные требования по соблюдению безопасности держателем банковской платёжной карты (использование ПИН-кода, лимиты, действия держателя в случае утери банковской платёжной карты), а также распределение рисков и ответственности между сторонами при утере/похищении банковской платёжной карты, а также в случае выявления мошеннических транзакций.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
4.3. Порядок действия при возникновении мошеннических операций в ЗПС
4.3.1. Участник системы на основании отчетов системы о подозрительных операциях, получаемых самостоятельно или от оператора системы, и на основании разработанных им критериев проводит анализ подозрительных транзакций.
4.3.2. Участник обязан оповестить оператора системы о выявленных им мошеннических транзакциях, совершенных по банковским платежным картам или в торгово-сервисном предприятии, не позднее 3 рабочих дней с момента обнаружения, если:
- уровень мошеннических транзакций превышает 8% от общего количества транзакций по данной банковской платежной карте или по торгово-сервисному предприятию;
- банковская платежная карта заявлена как украденная/утерянная, поддельная;
- торгово-сервисное предприятие нарушало условия договора или к нему применялись штрафные санкции за мошенничество;
- от держателей банковских платежных карт поступило чрезмерное количество чарджбеков по данному торгово-сервисному предприятию.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
4.3.3. Оператор системы должен ввести полученную информацию в базу данных о мошеннических транзакциях или базу данных о торгово-сервисных предприятиях, подозреваемых в совершении мошеннических операций, и их владельцах, сформировать консолидированный отчет и отправить всем участникам системы и Национальному банку.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
4.3.4. При рассмотрении вопроса о заключении договора с новым торгово-сервисным предприятием участник системы должен проверить, не было ли с ним ранее расторгнуто соглашение по причине проведения мошеннических транзакций и не предпринимается ли попытка со стороны торгово-сервисного предприятия одновременно подключиться к нескольким участникам-эквайерам.
4.3.5. Оператор системы на основании полученных от участников данных периодически должен проводить проверку защищенности процессингового центра от мошеннических атак, выявлять узкие места в работе и предпринимать меры для снижения уровня мошенничества.
5. Форс-мажорные обстоятельства
5.1. К форс-мажорным обстоятельствам относятся обстоятельства непреодолимой силы, не зависящие от воли сторон, такие как пожары, аварии, стихийные бедствия, военные действия и т.п., которые приводят к нарушению штатного функционирования платежной системы.
5.2. Операторы и участники платежной системы должны иметь территориально удаленный резервный центр для обеспечения быстрого восстановления штатного функционирования платежной системы в случае возникновения форс-мажорных обстоятельств.
5.3. Территориально удаленный резервный центр должен удовлетворять, как минимум, следующим условиям:
- условия размещения резервного центра должны соответствовать требованиям безопасности, установленным нормативными правовыми актами Национального банка;
- обеспечить возможность полного дублирования работы основного центра (иметь соответствующие АПК, каналы связи с участниками, подготовленный персонал, бесперебойное энергоснабжение).
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
5.4. Операторы и участники платежной системы должны разработать процедуры, регламентирующие в случаях наступления форс-мажорных обстоятельств порядок перевода работы на резервный центр и взаимодействие персонала системы.
6. Отчетность
6.1. Операторы и участники платежной системы должны фиксировать информацию о нештатных ситуациях в журнале регистрации нештатных ситуаций и формировать отчет согласно Приложению 1 настоящего Положения. Отчет передается в Национальный банк в электронной и бумажной форме:
- операторами платежной системы СЗПС и оператором национальной системы расчетов платежными картами "Элкарт" - на ежедневной основе;
- участниками платежной системы - на ежеквартальной основе не позднее 10 числа месяца, следующего за отчетным.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
6.2. Оператор и участники ЗПС формируют отчет по мошенническим транзакциям согласно Приложению 2 настоящего Положения и направляют в Национальный банк в электронной и бумажной форме не позднее 10 числа месяца, следующего за отчетным.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
6.3. Национальный банк на регулярной основе осуществляет сбор и обработку информации о состоянии платежной системы, нештатных ситуациях и мошеннических операциях для анализа и оценки степени их воздействия на платежную систему в целом, а также на деятельность оператора и участника системы. В случае существенного влияния на платежную систему Национальный банк разрабатывает и передает операторам и/или участникам платежных систем рекомендации и предложения по минимизации рисков, осуществляет контроль их исполнения и при необходимости принимает меры воздействия к операторам и/или участникам платежных систем в соответствии с:
- «Политикой по надзору (оверсайту) за платежной системой Кыргызской Республики», утвержденной постановлением Правления Национального банка от 15 июля 2015 года № 38/4
- «Правилами осуществления надзора (оверсайта) за платежной системой Кыргызской Республики», утвержденными постановлением Правления Национального банка от 21 декабря 2015 года №77/4;
- Положением "О мерах воздействия, применяемых к банкам и некоторым другим финансово-кредитным учреждениям, лицензируемым НБКР", утвержденным постановлением Правления Национального банка от 19 мая 2005 года N 16/2 "Об утверждении Положения "О мерах воздействия, применяемых к банкам и некоторым другим финансово-кредитным учреждениям, лицензируемым НБКР", зарегистрированным МЮ КР 24 июня 2005 года (регистрационный номер N 78-05);
- Положением «О мерах воздействия, применяемых к операторам платежных систем/платежным организациям”, утвержденным постановлением Правления Национального банка от 28 декабря 2016г. за № 51-1.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-11-(ПС))
Приложение 1
к Положению "Об основных требованиях
к функционированию платежной системы
Кыргызской Республики при возникновении
нештатных ситуаций в платежной системе"
ОТЧЕТ
о нештатных ситуациях в системе
Наименование системы: ____________________________________________
Наименование оператора платежной системы: ________________________
Отчетный период: _________________________________________________
|
№ |
Дата и время возникновения сбоя (минуты/часы |
Дата и время устранения сбоя (минуты/часы |
Описание сбоя |
Причина сбоя (ПО, аппаратное обеспечение и т.д. |
Допустимое время простоя (мин.) |
Характер сбоя (существенный/несущественный, частичная или полная остановка системы) |
Принятые меры по устранению сбоя |
Влияние технического сбоя на возникновение финансовых рисков (есть/нет) |
Последствия технического сбоя (возникновение убытков в виде штрафных санкций) |
Примечание |
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Руководитель _________ ______ Исполнитель _________ ______ ______
(подпись) (ФИО) (подпись) (ФИО) (тел.)
Приложение 2
к Положению "Об основных требованиях
к функционированию платежной системы
Кыргызской Республики при возникновении
нештатных ситуаций в платежной системе"
ОТЧЕТ
о мошеннических транзакциях в системе
за ___________ месяц 20__ г.
Вид платежной системы _________ Оператор платежной системы _______
Участник системы: ________________________________________________
|
№ |
Наименование торгово-сервисного предприятия (ТСП) и № терминала |
Профиль ТСП |
Наименование участника системы-эквайера |
№ карты |
Наименование участника системы-эмитента |
Валюта транзакции |
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Сумма транзакции |
Дата и время транзакции |
Тип транзакции |
Описание транзакции |
Общее количество транзакций по данному ТСП |
% мошеннических транзакций к общему количеству |
|
8 |
9 |
10 |
11 |
12 |
13 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Руководитель _________ ______ Исполнитель _________ ______ ______
(подпись) (ФИО) (подпись) (ФИО) (тел.)
