Вернуться назад

Постановление Правления 

Национального банка 

Кыргызской Республики 

от 16 ноября 2017 г. 

№ 2017-П-14/48-3-(ПС) 

 

 

 

 

 

 

 

Об утверждении Положения «О нештатных ситуациях в платежной системе» 

 

В соответствии со статьями 20 и 68 Закона Кыргызской Республики «О Национальном банке Кыргызской Республики, банках и банковской деятельности», статьей 26 Закона Кыргызской Республики «О платежной системе Кыргызской Республики», Правление Национального банка Кыргызской Республики постановляет: 

 

1. Утвердить Положение «О нештатных ситуациях в платежной системе» (прилагается). 

2. Признать утратившими силу: 

- постановление Правления Национального банка Кыргызской Республики «Об утверждении Положения «Об основных требованиях к функционированию платежной системы Кыргызской Республики при возникновении нештатных ситуаций в платежной системе» от 28 января 2009 года № 4/6; 

- в постановлении Правления Национального банка Кыргызской Республики «О внесении изменений и дополнений в некоторые нормативные правовые акты и признании утратившими силу некоторых нормативных правовых актов Национального банка Кыргызской Республики» от 8 июня 2017 года №2017-П-14/23-11-(ПС): 

- абзац шестой пункта 1 постановления; 

- пункт 5 Приложения к постановлению. 

3. Юридическому управлению: 

- опубликовать настоящее постановление на официальном интернет-сайте Национального банка Кыргызской Республики; 

- после официального опубликования направить настоящее постановление в Министерство юстиции Кыргызской Республики для включения в Государственный реестр нормативных правовых актов Кыргызской Республики. 

4. Настоящее постановление вступает в силу с 1 января 2018 года. 

5. Отделу развития государственного языка и документооборота довести настоящее постановление до сведения соответствующих структурных подразделений, областных управлений и представительства Национального банка в Баткенской области. 

6. Управлению платежных систем довести настоящее постановление до сведения коммерческих банков, операторов платежных систем и платежных организаций Кыргызской Республики и операторов международных платежных систем. 

7. Контроль за исполнением настоящего постановления возложить на заместителя председателя Национального банка Кыргызской Республики Орозбаеву Л.Дж. 

 

 

Председатель К. Кулматов  

 

 

 

Приложение  

к постановлению Правления Национального банка Кыргызской Республики 

от 16 ноября 2017 г.  

№ 2017-П-14/48-3-(ПС) 

 

 

ПОЛОЖЕНИЕ 

о нештатных ситуациях в платежной системе 

 

1. Общие положения 

 

1. Положение «О нештатных ситуациях в платежной системе» (далее Положение) определяет основные понятия и требования к функционированию платежной системы Кыргызской Республики и действиям персонала при возникновении нештатных ситуаций в платежной системе, связанных с: 

- надежностью и бесперебойностью; 

- доступностью; 

- несанкционированным доступом к системе и мошенничеством; 

- форс-мажорными обстоятельствами. 

2. Настоящее Положение распространяется на участников и операторов платежной системы, являющихся резидентами Кыргызской Республики, которые осуществляют свою деятельность в соответствии с законами «О Национальном банке Кыргызской Республики, банках и банковской деятельности», «О лицензионно-разрешительной системе в Кыргызской Республике», «О платежной системе Кыргызской Республики», «Об электронной подписи», «Об электронном управлении» (далее законодательство Кыргызской Республики) и нормативными правовыми актами Национального банка Кыргызской Республики. 

3. Платежная система Кыргызской Республики включает: 

- системно-значимые платежные системы (далее СЗПС); 

- значимые платежные системы (далее ЗПС); 

- другие платежные системы. 

4.  В соответствии с критериями выделяются национальные платежные системы. 

5. Организация деятельности платежной системы и инфраструктуры платежной системы должна предусматривать восстановление штатной работоспособности системы и минимизацию отрицательного влияния на функции, работоспособность которых оказалась нарушенной при возникновении нештатной ситуации. 

6. Поддержание бесперебойного функционирования платежной системы Кыргызской Республики предполагает удовлетворение следующим требованиям: 

- гарантия осуществления расчета в пределах установленного законодательством срока; 

- гарантия исполнения расчета платежной системой и возврата денежных средств в сумме, размер которой определен законодательством, в случае неисполнения расчета платежной системой;  

- обеспечение доступа к платежным услугам без ограничений для всех пользователей и в течение периода времени, востребованного пользователями, но ограниченный регламентом работы платежных систем.  

7. Национальный банк Кыргызской Республики (далее Национальный банк) осуществляет: 

- надзор (оверсайт) за функционированием платежной системы Кыргызской Республики; 

- наблюдение за технической инфраструктурой платежной системы Кыргызской Республики, в том числе контроль за функционированием межбанковской коммуникационной сети (далее МКС) и узлом коллективного пользования SWIFT Национального банка (далее УКП SWIFT), которые являются частью технической инфраструктуры платежной системы Кыргызской Республики; 

- проверки деятельности операторов и участников платежных систем, банков, и платежных организаций, провайдеров критических услуг в соответствии с нормативными правовыми актами Национального банка. 

 

2. Определения 

 

8. Для целей настоящего Положения используются термины и определения, установленные законами «О Национальном банке Кыргызской Республики, банках и банковской деятельности», «О платежной системе Кыргызской Республики», Положением «О безналичных расчетах в Кыргызской Республике», утвержденным постановлением Правительства Кыргызской Республики и Национального банка Кыргызской Республики от 9 сентября 2005 года №420/21/4, Политикой по надзору (оверсайту) за платежной системой Кыргызской Республики, утвержденной постановлением Правления Национального банка Кыргызской Республики от 15 июля 2015 года №38/4, а также Положением «О банковских платежных картах в Кыргызской Республике», утвержденным постановлением Правления Национального банка Кыргызской Республики от 9 декабря 2015 года №76/8. В настоящем Положении также используются следующие термины и определения: 

Инцидент это любое событие, которое не является частью штатного функционирования системы и вызывает или может негативно отразиться на бесперебойности или качестве проведения платежей и расчетов в платежной системе.  

Нештатная ситуация ситуация, которая выходит за рамки правил и технологии работы платежной системы/платежной инфраструктуры и требует для ее разрешения специально организованной деятельности персонала оператора платежной системы и/или провайдера критических услуг. Правила управления нештатными ситуациями, ответственность и взаимодействие персонала устанавливаются во внутренних процедурах оператора/ участника платежной системы, провайдера критических услуг. 

Мошенничество в платежной системе в рамках настоящего Положения это противоправные преднамеренные обманные действия (или злоупотребление доверием) персонала оператора/участника системы/провайдера критических услуг (внутреннее мошенничество) или третьей стороны (внешнее мошенничество), направленные на несанкционированный доступ и использование информации, относящейся к банковской тайне, для получения денежных средств с банковских счетов/электронных кошельков участников системы и/или их клиентов. 

К данной деятельности относятся: 

- распространение внутренней конфиденциальной информации; 

- нарушение прав доступа к информации, оборудованию, допущение утечки информации; 

- умышленное удаление информации, которое может привести к невыполнению обязательств оператором и/или участником системы перед своим клиентом или третьими лицами; 

- использование необъективной или сфальсифицированной информации/ платежных инструментов; 

- операции с украденными/утерянными платежными инструментами/данными платежных инструментов для осуществления покупки товаров и услуг, а также снятия/перевода/хищения денежных средств; 

- многократное снятие денежных средств путем оформления нескольких платежных чеков по одному факту оплаты; 

- многократная оплата услуг и товаров в торгово-сервисных предприятиях на суммы, не превышающие определенный лимит («floor limit») и не требующие проведения авторизации; 

- несанкционированное использование периферийных устройств и платежной инфраструктуры и незаконное завладение чужими денежными средствами с банковских счетов, электронных кошельков, отправка и выдача денежных переводов; 

- несанкционированное подключение стороннего электронного записывающего устройства к периферийному устройству/ платежной инфраструктуре; 

- другие виды мошенничества (создание и использование фиктивных предприятий обслуживания банковских платежных карт, приема электронных денег, отправки и выдачи денежных переводов и т.д.). 

Облачные вычисления это предоставление вычислительной мощности, хранилищ для баз данных, приложений и других информационно-технологических ресурсов по требованию через платформы облачных услуг по сети с оплатой по факту использования. 

«Floor limit» максимальная сумма транзакции, в рамках которой торгово-сервисное предприятие может проводить операции с банковскими платежными картами без авторизационного запроса. 

Payment Card Industry Data Security Standard (PCI DSS) стандарт, определяющий параметры защиты информации в области банковских платежных карт, разработанный международными платежными системами («Visa» и «MasterCard»). 

 

3. Надежность и бесперебойность платежных систем 

 

§1. Обеспечение надежности 

9. Ответственность за обеспечение бесперебойного функционирования и соблюдение регламента платежных систем несут операторы и участники платежных систем. Провайдеры критических услуг несут ответственность за обеспечение бесперебойной обработки и маршрутизации сообщений в рамках платежной системы. Распределение ответственности сторон в случаях возникновения нештатных ситуаций в процессе осуществления платежей/переводов и расчетов, порядок и время информирования определяются в договорах между оператором, участниками и провайдерами критических услуг, а также во внутренних процедурах, устанавливающих порядок действий и взаимоотношения персонала платежной системы и платежной инфраструктуры. 

10. Обеспечение конфиденциальности данных, безопасности системы, надежности и возможность восстановления должны входить в организацию и методы управления рисками и внутреннего контроля оператора/участников платежных систем/провайдеров критических услуг. Порядок управления рисками должен предусматривать периодическое обновление и мониторинг оценки рисков, включая изменения в системах, условиях эксплуатации или эксплуатации, которые могут повлиять на анализ рисков. 

11. Внутренние процедуры операторов/участников платежной системы/провайдеров критических услуг должны устанавливать регламент управления инцидентами, порядок проведения работ и взаимодействия персонала по восстановлению штатного функционирования системы. Данные процедуры должны быть детализированными и в обязательном порядке предусматривать: 

- порядок и сроки информирования руководства и персонала системы о возникновении нештатной ситуации; 

- регистрацию факта возникновения нештатной ситуации (дату, время, описание события) в специальном журнале; 

- порядок действий, если проблемы не были решены на уровне ответственных исполнителей персонала системы за предусмотренное процедурами время; 

- порядок информирования клиентов о любом крупном инциденте, который также должен учитывать оценку эффективности способа коммуникации, включая информирование широкой общественности в случаях, когда это необходимо; 

- порядок и сроки информирования руководства и персонала системы после устранения нештатной ситуации и восстановления штатного функционирования системы, включая порядок регистрации информации о восстановлении штатного функционирования системы (дату, время, причину возникновения нештатной ситуации, содержание принятых мер по ее устранению с указанием ответственных исполнителей), подготовки актов и экспертных заключений о ситуации. 

12. Персонал оператора и участника платежной системы, провайдера критических услуг должен включать основной и дублирующий состав. В случае отсутствия какого-либо специалиста основного состава, его функции выполняет специалист из дублирующего состава. 

13. Персонал оператора платежной системы должен включать: 

- специалистов, выполняющих функции управления по сбору, обработке и передаче платежей (переводов) и сообщений, а также иметь службы технической и клиентской поддержки для качественной и своевременной обработки всех поступающих заявок; 

- специалистов, выполняющих функции мониторинга за платежами (переводами) и сообщениями, платежными очередями, различными лимитами, соединениями и действиями участников и пользователей участников и т.п.; 

- специалистов, выполняющих функции управления проведением расчетов, включая окончательный расчет; 

- специалистов по сопровождению системы, обеспечивающих бесперебойное функционирование технической инфраструктуры и безопасность системы. 

Не допускается возложение вышеперечисленных функций на одних и тех же сотрудников, выполнение вышеуказанных функций должно осуществляться разными сотрудниками. Оператор платежной системы обязан обеспечить достаточное количество персонала с соответствующей квалификацией. Количество и квалификация персонала должна соответствовать объемам услуг, предоставляемым оператором платежной системы 

14. Персонал участника платежной системы должен включать: 

- специалистов, выполняющих функции формирования, отправки и приема платежей (переводов), а также функции обмена другими сообщениями в рамках системы; 

- специалистов по сопровождению системы, обеспечивающих бесперебойное функционирование и безопасность технической инфраструктуры участника системы. 

15. Персонал провайдера критических услуг должен включать, как минимум, специалистов по сопровождению системы, обеспечивающих безопасное и бесперебойное функционирование технической инфраструктуры обмена сообщениями в рамках платежной системы. 

16. Техническая инфраструктура платежной системы должна включать: 

- основной аппаратно-программный комплекс (далее АПК), к которому предъявляются определенные требования по обеспечению штатного функционирования системы и восстановлению в случае возникновения нештатных ситуаций; 

- резервный АПК, который в случае выхода из строя любых компонентов основного аппаратно-программного комплекса должен полностью обеспечить штатное функционирование системы; 

- каналы связи и средства безопасности передачи данных. 

17. Функционирование платежной системы и критической инфраструктуры должно осуществляться в соответствии с критериями по обеспечению непрерывности, установленными внутри каждой системы и включающими наличие: 

- основного и резервного центров по обработке платежей и автоматическое или ручное переключение работы системы с основного на резервный АПК и наоборот в случае возникновения сбоев в работе системы. В случае СЗПС, ЗПС, национальных платежных систем и у провайдеров критических услуг переключение работы системы с основного на резервный АПК и наоборот в случае возникновения сбоев в работе системы должно обеспечиваться в автоматическом режиме; 

- средств безопасности передачи данных, минимизирующих риски несанкционированного доступа; 

- установленного предельного значения времени простоя системы в случае возникновения сбоев в работе системы. В случае СЗПС, национальных платежных систем и провайдеров критических услуг предельное время простоя системы при возникновении сбоев в работе системы не должно превышать четырех часов; 

- утвержденной максимальной продолжительности времени автоматизированного или ручного переключения между основным и резервным АПК с указанием максимально допустимого времени простоя до полного восстановления штатного функционирования системы; 

- установленного предельного времени восстановления базы данных в случае возникновения сбоев; 

- критерия максимально допустимого времени восстановления работы системы в случае сбоев основного и резервного АПК. 

18. Модернизация системы, время, условия реагирования и порядок взаимодействия с поставщиком АПК и/или компанией, оказывающей услуги программного обеспечения платежной системы при возникновении нештатных ситуаций, которые приводят к нарушению критериев непрерывности, и меры по их устранению должны быть определены в договоре на техническую поддержку с провайдерами услуг и поставщиком АПК и программного обеспечения платежной системы. 

19. Обновления систем, новые версии и вновь внедряемые системы, а также приложения до предоставления их пользователям должны проходить обязательное тестирование системы при различных сценариях стрессовой нагрузки и условиях восстановления. 

20. Операторы платежной системы должны иметь утвержденные пошаговые процедуры по: 

- обеспечению непрерывного функционирования АПК системы и требуемых для его функционирования каналов связи с указанием разового и суммарного времени простоя системы в течение квартала; 

- осуществлению переключения между основным и резервным АПК с указанием максимально допустимого времени простоя до полного восстановления штатного функционирования системы; 

- проведению периодических проверок персоналом оператора системы работоспособности резервного АПК, каналов связи системы и регулярного тестирования переключения работы системы с основного на резервный АПК и наоборот; 

- обеспечению непрерывности функционирования рабочих станций персонала оператора системы; 

- обеспечению восстановления данных в случае их повреждения или искажения в соответствии с установленным регламентом; 

- обеспечению конфиденциальности передаваемых и получаемых системой данных согласно законодательству Кыргызской Республики. 

21. Участники платежной системы должны иметь процедуры по: 

- обеспечению безопасности и непрерывности функционирования рабочих станций персонала участника системы; 

- резервированию каналов связи по передаче данных; 

- обеспечению конфиденциальности передаваемых и получаемых от платежной системы данных согласно законодательству Кыргызской Республики. 

22.  Меры поддержания работоспособности платежной системы должны быть предусмотрены при использовании облачных вычислений. Оператор и участники платежных систем до заключения контракта с провайдером услуг должны убедиться и подвергнуть проверке способность провайдера услуг обеспечить надежность сервиса и восстанавливать внешние системы и услуги в оговоренных временных рамках. 

23. Для минимизации операционных рисков в СЗПС, национальных платежных системах и УКП SWIFT при возникновении у участников проблем с рабочими станциями или каналами связи, операторы СЗПС, национальных платежных систем и УКП SWIFT должны обеспечить для участников доступ к Единому сервисному центру (далее ЕСЦ) проведения работ по формированию, отправке/получению платежных документов и других сообщений в системе. 

 

§2. Перебои энергоснабжения 

24. Оператор/участники платежных системы и провайдеры критических услуг должны обеспечить соответствие мощности линий и другого оконечного оборудования, через которое осуществляется подача энергоснабжения для работы систем, требованиям систем по мощности. 

25. В случаях перебоев энергоснабжения, у оператора/участника платежных систем и провайдера критических услуг должно обеспечиваться автономное энергоснабжение. 

26. Оператор/участники платежных системы и провайдеры критических услуг должны иметь процедуры, регламентирующие время автономного функционирования системы, а также обеспечивающие выполнение требований по продолжительности автономной работы системы с момента прекращения энергоснабжения и до момента последующего переключения на резервный АПК системы. 

27. Оператор СЗПС, ЗПС, национальных платежных систем и провайдер критических услуг обязаны максимально минимизировать простой системы вследствие перебоев энергоснабжения. 

28. Участник СЗПС, в случае перебоев энергоснабжения, должен обеспечить отправку/получение платежных документов посредством ЕСЦ в соответствии с установленным порядком и регламентом. 

29. В случае перебоев энергоснабжения, участник УКП SWIFT может проводить отправку/получение платежных документов через рабочие станции ЕСЦ в соответствии с установленным порядком и регламентом или через альтернативные каналы передачи данных, используемые участником системы. 

30. После восстановления энергоснабжения работы по переводу на основной АПК проводятся в соответствии с установленными внутренними процедурами участника или оператора системы. 

 

§3. Сбои аппаратного и/или программного обеспечения системы 

31. Сбои аппаратного обеспечения включают в себя нарушение функционирования или выход из строя серверного, сетевого, криптографического оборудования, специализированного оборудования и рабочих станций участника/оператора системы. 

32. Сбои программного обеспечения включают в себя нарушение функционирования операционной системы, прикладного программного обеспечения, программного обеспечения на серверах доступа, инфраструктуры открытых ключей (PKI) и рабочих станций персонала системы. 

33. Операторы платежной системы при сбоях собственного аппаратного или программного обеспечения должны проводить автоматическое переключение на резервный АПК или резервные рабочие станции оператора. В случае невозможности перехода на резервный АПК/рабочие станции, оператор должен обеспечить своевременное информирование всех своих участников, а также меры по решению нештатной ситуации и недопущению аналогичных случаев в будущем. Меры оператора должны быть отражены в Правилах системы, договорах и внутренних процедурах оператора платежной системы. 

34. Участники платежной системы при сбоях собственного аппаратного или программного обеспечения должны обеспечить использование альтернативных и/или резервных средств в соответствии со своими внутренними процедурами. 

35. В СЗПС при сбоях аппаратного и/или программного обеспечения системы или рабочих станций оператора проводится автоматическое переключение на резервный АПК или резервные рабочие станции оператора в соответствии с установленным порядком. В случае невозможности перехода на резервный АПК, работы по обработке платежей участников системы и проведению окончательного расчета проводятся оператором в соответствии с установленным порядком. 

36. В случае невозможности участником СЗПС продолжить работу со своего резервного оборудования, выполнение соответствующих работ может проводиться через рабочие станции ЕСЦ в соответствии с установленным порядком и регламентом. 

37. В случае невозможности участником УКП SWIFT продолжить работу со своего резервного оборудования, выполнение соответствующих работ может проводиться через рабочие станции ЕСЦ в соответствии с установленным порядком и регламентом, или через альтернативные каналы передачи данных, используемые участником системы. 

38. В национальных платежных системах при сбоях аппаратного и/или программного обеспечения системы или рабочих станций оператора проводится автоматическое переключение на резервный АПК или резервные рабочие станции оператора. В случае невозможности участником национальных платежных систем продолжить работу со своего резервного оборудования, выполнение соответствующих работ может проводиться через рабочие станции ЕСЦ. 

 

§4. Сбои каналов связи системы 

39. При сбое канала основного канала связи между основным и резервным АПК системы, оператор системы должен провести переключение на резервный канал связи в соответствии со своими внутренними процедурами. 

40. При сбое основного канала связи между оператором и участниками системы участник системы должен провести переключение на собственный резервный канал связи в соответствии со своими внутренними процедурами. 

41. При выходе из строя обоих каналов связи у участника СЗПС, национальных платежных систем и УКП SWIFT работа по отправке/получении платежных документов и сообщений системы выполняется через ЕСЦ в соответствии с установленным порядком и регламентом. 

 

§5. Нарушение регламента работы платежной системы 

42.  К нарушениям регламента работы относится продление периодов операционного дня вследствие: 

- проведения работ по восстановлению штатного функционирования системы в случае возникновения нештатной ситуации у оператора системы в течение операционного дня; 

- несвоевременной передачи сообщений и отчетов оператором платежной системы своим участникам; 

- несвоевременной передачи платежей и сообщений между операторами платежной системы. 

43. Регламент и порядок работы систем определяются нормативными правовыми актами, регулирующими функционирование системы, правилами работы системы, а также договорными отношениями между операторами платежных систем, между оператором и участниками платежных систем. Ответственность сторон за соблюдение и санкции за нарушение регламента и порядка работы системы устанавливаются в договорах и соглашениях между операторами, или оператором и участниками системы. 

 

4. Несанкционированный доступ и мошенничество в платежной системе 

 

§1. Обеспечение безопасности 

44. Оператор и участники системы должны устанавливать четкую политику защиты платежных систем (в том числе и информационных ресурсов системы) от несанкционированного доступа, злоупотребления или мошеннического изменения, вставки, удаления, замены, подавления или раскрытия, иметь внутреннюю политику по обеспечению информационной безопасности системы, которая должна: 

- иметь четко определенные задачи, основные требования по обеспечению конфиденциальности и доступу к информации, адекватности внутреннего контроля, а также критерии разграничения ответственности соответствующих лиц при осуществлении контроля; 

- предусматривать своевременное реагирование на возникновение подозрительных операций или попыток несанкционированного доступа и порядок взаимодействия с правоохранительными органами Кыргызской Республики; 

- предусматривать порядок незамедлительного информирования Национального банка и участников рынка платежных услуг о фактах внешних угроз, преступлений, мошенничества, которое может угрожать другим участникам; 

- предусматривать разработку новых методов борьбы с мошенничеством; 

- включать обязательные требования о проведении регулярного обучения сотрудников по безопасности и персонала системы механизмам предотвращения мошенничества и несанкционированного доступа. 

45. Оператор и участники системы на регулярной основе (по мере необходимости, но не реже одного раза в три года) должны осуществлять самооценку системы и пересмотр внутренней политики по безопасности с целью обновления и включения новых инновационных методов борьбы с мошенничеством и несанкционированным доступом в систему. 

46. Результаты самооценки должны представляться по запросу в Национальный банк. 

 

§2. Внутреннее мошенничество 

47. Для снижения риска возникновения внутреннего мошенничества оператор и участники системы должны иметь систему защиты от мошенничества и несанкционированного доступа на уровне аппаратно-программного комплекса (использование паролей и прав доступа к системе, криптографии, шифрования и т.п.), квалифицированный и прошедший проверку персонал для работы в системе, а также утвержденные должностные инструкции, определяющие ответственность, права и обязанности персонала. 

48. Разрешение спорных ситуаций при возникновении риска внутреннего мошенничества, ответственность сторон и другие условия работы с системой должны быть определены в договорах между оператором и участниками системы. 

 

§3. Мобильные платежи и платежи в режиме реального времени 

49. Оператор и участники системы должны предоставлять своим клиентам и пользователям гарантию того, что доступ к услугам, выполняемый через интернет на веб-сайте или через приложение, будет надлежащим образом защищен и аутентифицирован (передача в зашифрованном виде учетные данных, паролей и ПИН-кодов). 

50. Оператор и участники системы должны применять алгоритмы шифрования, которые соответствуют общепринятым международным стандартам. 

51. Оператор и участники системы должны обеспечивать безопасность физического и логического доступа для того, чтобы разрешать доступ к своим системам только уполномоченному персоналу. Процедуры должны предусматривать механизмы обработки и передачи в целях защиты целостности систем и данных. 

52. Оператор и участники системы должны обеспечивать мониторинг для предупреждения о любых необычных операциях системы, ошибок при передаче данных или необычных онлайновых транзакций, а также наличие процедур реагирования на необычные операции.  

53. С ростом количества и объемов транзакций в системе мобильных и онлайновых услуг должно быть внедрено программное обеспечение автоматически отслеживающее подозрительные операции или характер изменения (динамики) платежей. В процессах обнаружения подозрительной активности должны учитываться качественные и количественные факторы. 

Оператор и участник системы должны иметь внутренние процедуры с описанием действий при выявлении подозрительных операций, методов противодействия мошенничеству. 

54. Оператор и участники системы должны предусматривать поддержание высокой доступности онлайновых систем и вспомогательных систем, в также процедуры восстановления на случай негативного воздействия извне, направленных на отказ системы. 

55. Оператор и участники системы должны предусматривать наличие многофакторных моделей аутентификации при входе в систему и подписании транзакций в целях авторизации (подтверждения)

56. Системы должны предусматривать управление лимитами на операции для минимизации возможного ущерба. 

57. Операции должны проводиться только после четко определенной авторизации пользователя в системе. 

58. Безопасность, обеспечиваемая базовыми используемыми сетевыми устройствами и инфраструктурами компаний-поставщиков на транспортном уровне, не может считаться достаточной применительно к конфиденциальным и секретным данным, в частности PIN-кодам и паролям (примерами такой инфраструктуры являются GSM, GPRS, 3G, Bluetooth, Wi-Fi 802.11b и IrDA и т.п.). Защита передаваемых конфиденциальных данных должна обеспечиваться с использованием средств на уровне платежной системы. 

59. В программном обеспечении должны быть внедрены меры, направленные на предотвращение дублирования транзакций, возникающего в результате задержек между сеансами связи или сбоев внутри сеанса.  

60. Соглашения с провайдерами услуг должны включать наличие надлежащих планов восстановления и распределения ответственности в случае сбоев системы.  

61. Оператор и участники системы должны информировать своих клиентов о мерах безопасности для того, чтобы защищать мобильные устройства от вредоносного программного обеспечения или иного программного обеспечения, использование которых может привести к негативным последствия. 

 

§4. Банковские платежные карты 

62. При работе с банковскими платежными картами международных платежных систем оператору и участнику системы рекомендуется принять за основу Общие критерии для оценки безопасности информационных технологий (ISO/IEC 15408) и PCI DSS и придерживаться соблюдения данных требований. 

63. Оператор и участники (эмитенты) должны иметь внутренние процедуры с указанием в них как минимум: 

- разграничение доступа персонала к базе данных системы (к информации о номерах платежных карт, кодовых словах, держателе карты, об образце подписи и т.д.) 

- список сотрудников персонала системы, имеющих такой доступ; ответственность и санкции за нарушение ограничений; 

- системы защиты от внутреннего и внешнего мошенничества при эмиссии платежных карт; 

- порядка обработки заявлений клиентов и получения банковских платежных карт, включающего требования по обязательной идентификации и проверке клиента; 

- порядка возврата изъятых банкоматами карт. 

64. Участники (эквайеры) должны иметь внутренние процедуры с указанием в них как минимум: 

- порядка обработки заявлений торгово-сервисных предприятий и заключения с ними договоров, включающих требования к предоставляемому пакету документов (при необходимости нотариально заверенные копии учредительных документов и Устава, регистрации в налоговых органах, разрешений/лицензий на заявленные виды деятельности, ксерокопии паспортов руководства, бухгалтерский баланс с отметкой налоговых органов); 

- порядка ведения базы данных торгово-сервисных предприятий, с которыми были расторгнуты договора или заявления которых были отвергнуты с указанием причины отказа; 

- механизма контроля торгово-сервисных предприятий, включающего подтверждение факта его регистрации, регулярную проверку качества обслуживания платежных карт, условий содержания и работоспособности терминалов, хранения чеков, определение значений «floor limit» в зависимости от мошеннической активности торгово-сервисного предприятия; 

- порядка закупки, хранения, установки/подключения и технического обслуживания периферийного устройства. 

65. Для снижения риска внешнего мошенничества операторы системы должны иметь программное обеспечение, позволяющее проводить мониторинг и анализ риска, а также отслеживание подозрительных транзакций и авторизаций, совершенных посредством платежных карт на регулярной основе. Программное обеспечение должно контролировать как транзакции, совершенные в сети эквайера (контроль риска эквайера относительно торгово-сервисных предприятий), так и транзакции, совершенные посредством карт, эмитированных банком (контроль риска эмитента относительно держателей карт). 

66. Участники системы могут иметь собственное программное обеспечение, позволяющее самостоятельно осуществлять мониторинг и управление своими рисками, связанными с эмиссией и эквайрингом платежных карт для снижения потерь, вызываемых возможным мошенничеством при использовании платежных карт, или воспользоваться данной услугой оператора системы на договорных условиях. 

67. Операторы и участники системы должны установить параметры мониторинга за авторизациями/транзакциями, превышение значений которых будет считаться подозрительными авторизациями/транзакциями. Мониторинг должен отражать как минимум следующие случаи, когда: 

- сумма отдельной авторизации/транзакции (или общая сумма) превышает установленный лимит в заданный период времени; 

- авторизация/транзакция платежной карты проводится в торгово-сервисных предприятиях в двух или более странах в заданный период времени; 

- общая сумма транзакций в конкретной стране с повышенным риском превышает установленный лимит в заданный период времени; 

- общее число авторизаций на одном торгово-сервисном предприятии превышает установленный лимит в заданный период времени; 

- количество некорректных попыток ввода ПИН-кода в банкоматах превышает установленный лимит за заданный период времени; 

- сумма отдельной авторизации/транзакции превышает установленный лимит для конкретной группы торгово-сервисных предприятий с повышенным риском. 

Оператор или участник системы может устанавливать дополнительные правила и параметры мониторинга за подозрительными транзакциями с банковскими платежными картами и в периферийных устройствах. 

68. Оператор и участник системы должны иметь подготовленный персонал для проведения анализа рисков возможного мошенничества, осуществляющий контроль за работой периферийных устройств, транзакций и авторизаций платежных карт. 

69. Оператор и участник системы должны иметь внутренние процедуры с описанием средств и инструментов по распознаванию поддельных платежных карт и подозрительных операций с использованием карт, методов противодействия мошенническому использованию карт/периферийных устройств, а также порядка действий персонала в случае выявления таких операций. 

70. В договоре между оператором и участниками системы должны быть установлены как минимум: 

- основные требования по соблюдению безопасности, которые участники системы должны использовать при разработке внутренних нормативных документов, процедур, типовых договоров с держателями платежных карт и торгово-сервисными предприятиями; 

- время реагирования, порядок и сроки оповещения и взаимодействия сторон в случае выявления мошеннических операций; 

- порядок и сроки разрешения спорных ситуаций между участниками системы; 

- порядок и правила обработки чарджбеков; 

- ответственность сторон в случае выявления мошеннических операций; 

- порядок взаимодействия с правоохранительными органами по вопросам мошенничества; 

- порядок и сроки предоставления и формы отчетов по подозрительным операциям; 

- обмен информацией о мошеннических операциях между участниками системы. 

71. В договоре между участником (эквайером) системы и торгово-сервисным предприятием должны быть отражены следующие аспекты: 

- список карточных продуктов, принимаемых к оплате в торгово-сервисном предприятии; 

- время и график работы торгово-сервисного предприятия; 

виды продаваемых товаров и услуг (профиль) для идентификации в системе торгово-сервисного предприятия и обязательство извещать об изменении своего профиля; 

- определение значения «floor limit» для торгово-сервисного предприятия, если в нем используется «floor limit»; 

- требования по соблюдению безопасности торгово-сервисным предприятием (проверка подлинности платежной карты, проверка подписи и реквизитов на платежной карте с документом, удостоверяющим личность держателя платежной карты и иные требования), запрет на хранение реквизитов платежных карт; 

- возможность замораживания средств торгово-сервисного предприятия по подозрительным транзакциям, по которым проводится проверка; 

- порядок проведения проверки торгово-сервисного предприятия по качеству обслуживания платежных карт, предоставляемых услуг, условий содержания, целостности и работоспособности периферийного устройства, хранения чеков; 

- порядок взаимодействия в случае выявления операции с украденной/утерянной/поддельной платежной картой держателя карты или проведения мошеннических транзакций самим торгово-сервисным предприятием; 

- ответственность сторон при выявлении мошеннических операций; 

- условия обязательного обучения кассиров правилам приема и проверки платежных карт, а также методам выявления мошеннических операций и борьбы с ним. 

72. В договоре между участником (эмитентом) системы и держателем карты должны быть определены основные требования по соблюдению безопасности держателем платежной карты (использование ПИН-кода, лимиты, действия держателя в случае утери карты, выявления несанкционированного списания средств со счета), а также распределение рисков и ответственности между сторонами при утере/похищении платежной карты, а также в случае выявления мошеннических транзакций. 

73. Оператор системы на основании полученных от участников данных должен на постоянной основе проводить проверку защищенности процессингового центра от мошеннических и внешних атак, выявлять риски и предпринимать меры для снижения уровня мошенничества. 

 

5. Форс-мажорные обстоятельства 

 

74. К форс-мажорным обстоятельствам относятся обстоятельства непреодолимой силы, не зависящие от воли сторон, такие как пожары, аварии, стихийные бедствия, военные действия, которые приводят к нарушению штатного функционирования платежной системы. 

75. Операторы и участники платежной системы должны иметь территориально удаленный резервный центр для обеспечения быстрого восстановления штатного функционирования платежной системы в случае возникновения форс-мажорных обстоятельств. 

76. Территориально удаленный резервный центр должен удовлетворять как минимум следующим условиям: 

- условия размещения резервного центра должны соответствовать требованиям безопасности, установленным нормативными правовыми актами Национального банка; 

- обеспечить возможность полного дублирования работы основного центра (иметь соответствующие АПК, каналы связи с участниками, подготовленный персонал, бесперебойное энергоснабжение). 

77. Операторы и участники платежной системы должны разработать процедуры, регламентирующие (в случаях наступления форс-мажорных обстоятельств) порядок перевода работы на резервный центр и взаимодействие персонала системы. 

 

6. Отчетность 

 

78. Операторы и участники платежной системы должны фиксировать информацию об инцидентах и нештатных ситуациях в журнале регистрации нештатных ситуаций и формировать отчет согласно Приложению 1 настоящего Положения. Отчет передается в Национальный банк в электронной форме: 

- операторами СЗПС на ежедневной основе; 

- операторами ЗПС и других платежных систем, участниками платежной системы на ежемесячной основе не позднее 10 числа месяца, следующего за отчетным. 

79. Национальный банк на регулярной основе осуществляет сбор и обработку информации о состоянии платежной системы, нештатных ситуациях и мошеннических операциях для анализа и оценки степени их воздействия на платежную систему в целом, а также на деятельность оператора и участника системы. В случае существенного влияния на платежную систему, Национальный банк разрабатывает и передает операторам и/или участникам платежных систем рекомендации и предложения по минимизации рисков, осуществляет контроль их исполнения и при необходимости принимает меры воздействия к операторам и/или участникам платежных систем в соответствии с законодательством Кыргызской Республики. 

 

Приложение 1 

к Положению по нештатным  

ситуациям в платежной системе 

 

 

Отчет об инцидентах и нештатных ситуациях 

 

Наименование системы: ____________________________________________ 

Наименование оператора платежной системы: ________________________ 

Отчетный период: _________________________________________________ 

 

 

№ п/п 

Дата и время регистрации / совершения/ возникновения, риск-события  

Дата выявления риск-события 

Дата и время устранения риск-события 

ГО / филиал / Название СП / №АТМ / Название точки обслуживания / ТСП 

Бизнес-процесс, на котором произошел инцидент / вид деятельности 

Тип событий 

Краткое описание события 

Причины возникновения риска 

Принятые решения / предложения по предотвращению и минимизации риска 

Контрольные меры / мероприятия  

Статус исполнения контрольных мер  

Метод управления операционным риском (обоснованное принятие, перенос, минимизация, отказ от вида деятельности и т.д.) 

Уровень риска (влияние / потери) 

Дополнительные комментарии / предложения 

уровень влияния на деятельность 

уровень влияния на репутацию 

уровень влияния на финансы 

фактические убытки 

возможные убытки 

 

 

 

 

с