Приложение  к постановлению Правления Национального банка Кыргызской Республики  от 2 сентября 2019 года № 2019-П-14/46-2-(ПС)

ПОЛОЖЕНИЕ 

о нештатных ситуациях в платежной системе 

(В редакции постановления Правления Нацбанка КР от 7 декабря 2022 года № 2022-П-14/76-6) 

Глава 1. Общие положения 

1. Положение "О нештатных ситуациях в платежной системе" (далее - Положение) определяет основные понятия и требования для обеспечения бесперебойного функционирования платежной системы, а также при возникновении нештатных ситуаций в платежной системе, связанных с: 

- надежностью и бесперебойностью; 

- доступностью; 

- несанкционированным доступом к системе и мошенничеством; 

- форс-мажорными обстоятельствами. 

2. Настоящее Положение распространяется на операторов и участников платежной системы, провайдеров критичных услуг, являющихся резидентами Кыргызской Республики и имеющих лицензию Национального банка Кыргызской Республики, которые осуществляют свою деятельность в соответствии с законами "О банках и банковской деятельности", "О лицензионно-разрешительной системе в Кыргызской Республике", "О платежной системе Кыргызской Республики" и нормативными правовыми актами Национального банка Кыргызской Республики. 

(В редакции постановления Правления Нацбанка КР от 7 декабря 2022 года № 2022-П-14/76-6) 

3. Платежная система Кыргызской Республики включает: 

- системно-значимые платежные системы (далее - СЗПС); 

- значимые платежные системы (далее - ЗПС); 

- другие платежные системы. 

4. Организация деятельности и инфраструктуры платежной системы должна предусматривать восстановление штатного функционирования системы и минимизацию отрицательного влияния на процесс тех функций, работоспособность которых оказалась нарушенной при возникновении нештатной ситуации. 

5. Для поддержания бесперебойного функционирования платежная система должна обеспечить: 

- гарантии своевременности расчета в пределах установленного законодательством Кыргызской Республики и договорными условиями срока; 

- гарантии возврата платежной системой денежных средств в случае неисполненных платежей и неисполнения расчета; 

- доступ к платежным услугам в течение периода времени, установленного регламентом работы платежных систем; 

- сохранность данных в системе в течение сроков, установленных законодательством Кыргызской Республики для платежных документов; 

- своевременное переключение/восстановление/разворачивание функционирования системы на резервном АПК/резервном сайте при возникновении нештатной ситуации. 

6. Национальный банк Кыргызской Республики (далее - Национальный банк) осуществляет: 

- надзор (оверсайт) за функционированием платежной системы Кыргызской Республики; 

- проверку деятельности операторов и участников платежных систем в соответствии с нормативными правовыми актами Национального банка. 

Глава 2. Определения 

7. Для целей настоящего Положения используются термины и определения, установленные конституционным Законом Кыргызской Республики "О Национальном банке Кыргызской Республики", законами Кыргызской Республики "О банках и банковской деятельности", "О платежной системе Кыргызской Республики", а также нормативными правовыми актами Национального банка. В настоящем Положении также используются следующие термины и определения: 

Инцидент - это любое событие, которое не является частью штатного функционирования системы и вызывает или может негативно отразиться на бесперебойности или качестве проведения платежей и расчетов в платежной системе. 

Нештатная ситуация - ситуация, которая выходит за рамки правил и технологии работы платежной системы/платежной инфраструктуры и требует для ее разрешения специально организованной деятельности персонала оператора/участника платежной системы и/или провайдера критичных услуг. Правила управления нештатными ситуациями, ответственность и взаимодействие персонала устанавливаются во внутренних процедурах оператора/участника платежной системы, провайдера критичных услуг. 

Несанкционированные операции в платежной системе в рамках настоящего Положения - это противоправные преднамеренные деяния (действия, бездействия, злоупотребление доверием) персонала оператора/участника системы/провайдера критичных услуг или третьей стороны, направленные на несанкционированный доступ и использование информации, относящейся к банковской тайне, для получения/перевода денежных средств с банковских счетов/электронных кошельков участников системы и/или их клиентов. 

К несанкционированным операциям в платежной системе относятся: 

- распространение внутренней конфиденциальной информации; 

- нарушение прав доступа к информации, оборудованию, допущение утечки информации; 

- умышленное удаление информации, которое может привести к невыполнению обязательств оператором и/или участником системы перед своим клиентом или третьими лицами; 

- использование необъективной или сфальсифицированной информации/платежных инструментов; 

- операции с украденными/утерянными платежными инструментами/данными платежных инструментов для осуществления покупки товаров и услуг, а также снятия/перевода/хищения денежных средств; 

- многократное снятие денежных средств путем оформления нескольких платежных чеков по одному факту оплаты; 

- многократная оплата услуг и товаров в торгово-сервисных предприятиях на суммы, не превышающие определенный лимит и не требующие проведения авторизации; 

- несанкционированное использование/передача периферийных устройств и платежной инфраструктуры для незаконного завладения чужими денежными средствами, в том числе с банковских счетов, электронных кошельков, отправка и выдача денежных переводов; 

- несанкционированное использование/передача реквизитов/ключей для дистанционного обслуживания с целью осуществления покупки товаров и услуг, а также снятия/перевода/хищения денежных средств; 

- несанкционированное подключение стороннего электронного записывающего устройства к периферийному устройству/платежной инфраструктуре; 

- другие виды (создание фиктивных торгово-сервисных предприятий и использование фиктивных платежных инструментов, приема/распространения/погашения электронных денег, отправки и выдачи денежных переводов и т.д.). 

Облачные технологии - это предоставление вычислительной мощности, хранилищ для баз данных, приложений и других информационно-технологических ресурсов по требованию через платформы облачных услуг по сети с оплатой по факту использования. 

"Floor limit" - максимальная сумма транзакции, в рамках которой торгово-сервисное предприятие может проводить операции с банковскими платежными картами без авторизационного запроса. 

Payment Card Industry Data Security Standard (PCI DSS) - стандарт, определяющий параметры защиты информации в области банковских платежных карт, разработанный международными платежными системами ("Visa" и "MasterCard"). 

(В редакции постановления Правления Нацбанка КР от 7 декабря 2022 года № 2022-П-14/76-6) 

Глава 3. Надежность и бесперебойность платежных систем 

§ 3.1. Обеспечение надежности 

8. Ответственность за обеспечение бесперебойного функционирования и соблюдение регламента платежных систем несут операторы и участники платежных систем. Провайдеры критичных услуг и участники платежных систем несут ответственность за обеспечение бесперебойной обработки и маршрутизации сообщений в рамках платежной системы. Распределение ответственности сторон в случаях возникновения нештатных ситуаций в процессе осуществления платежей/переводов и расчетов, порядок и время информирования определяются в договорах между оператором, участниками и провайдерами критичных услуг, а также во внутренних процедурах, устанавливающих порядок действий и взаимоотношения персонала платежной системы и платежной инфраструктуры. 

9. Обеспечение конфиденциальности, целостности, доступности данных, безопасности системы, надежности и возможности восстановления должны быть отражены в правилах платежной системы, а также входить в организацию и методы управления рисками и внутреннего контроля оператора/участников платежных систем/провайдера критичных услуг. Порядок управления рисками должен предусматривать периодическую оценку рисков (не реже 1 раза в год), включая изменения в системе и условиях ее эксплуатации. Результаты оценки должны быть соответствующим образом задокументированы. 

10. Внутренние процедуры операторов/участников платежной системы/провайдеров критичных услуг должны регламентировать процесс управления инцидентами в зависимости от степени их критичности, порядок проведения работ и взаимодействия персонала по восстановлению штатного функционирования системы. Данные процедуры должны быть детализированными и в обязательном порядке предусматривать: 

- порядок и сроки информирования персонала системы и руководства компании о возникновении нештатной ситуации; 

- регистрацию факта возникновения нештатной ситуации (дату, время, описание события) в специальном журнале; 

- порядок действий, если проблемы не были решены на уровне ответственных исполнителей персонала системы за предусмотренное процедурами время; 

- порядок информирования клиентов и Национального банка о любом инциденте, затрагивающем работоспособность платежной системы в целом (для СЗПС, ЗПС и провайдеров критичных услуг - длительностью как минимум 4 часа, для остальных поднадзорных организаций - длительностью 8 часов), который также должен учитывать доступные способы коммуникации, включая информирование широкой общественности; 

- порядок и сроки информирования персонала системы и руководства компании после устранения нештатной ситуации и восстановления штатного функционирования системы, включая порядок регистрации информации о восстановлении штатного функционирования системы (дату, время, причину возникновения нештатной ситуации, содержание принятых мер по ее устранению с указанием ответственных исполнителей), подготовки актов и экспертных заключений о ситуации, принятия мер по недопущению возникновения аналогичных ситуаций в дальнейшем; 

- порядок подготовки и передачи в Национальный банк отчета об инцидентах в отчетном периоде, включая информацию о дате, времени, причине возникновения нештатной ситуации, принятых мер по ее устранению и по недопущению возникновения аналогичных ситуаций в дальнейшем в соответствии с нормативными правовыми актами Национального банка. 

11. Персонал оператора и участника платежной системы, провайдера критичных услуг должен быть определен внутренними нормативными и директивными актами. Оператор и участник платежной системы, провайдеры критичных услуг должны обеспечить преемственность выполняемых функций персонала, при необходимости обеспечить дублирование функций персонала, принимающего участие в выполнении основных функций. При увольнении персонала должны быть обеспечены прием-передача функциональных обязанностей и документации с надлежащим оформлением (акт, протокол и др.). 

12. Персонал оператора межбанковской платежной системы должен состоять из: 

- специалистов, выполняющих функции управления по сбору, обработке и передаче платежей (переводов) и сообщений, а также службу технической и клиентской поддержки для качественной и своевременной обработки всех поступающих заявок; 

- специалистов, выполняющих функции мониторинга за платежами (переводами) и сообщениями, платежными очередями, различными лимитами, соединениями и действиями участников и пользователей участников и т.п.; 

- специалистов, выполняющих функции управления проведением расчетов, включая окончательный расчет; 

- специалистов, выполняющих функции по сопровождению системы, обеспечивающих бесперебойное функционирование технической инфраструктуры и безопасность системы. 

Не допускается совмещение функций исполнителя и контролера одними и теми же сотрудниками. Выполнение этих функций должно осуществляться разными сотрудниками. Оператор платежной системы обязан обеспечить достаточное количество персонала с соответствующей квалификацией. Количество и квалификация персонала должны соответствовать объемам услуг, предоставляемым оператором платежной системы, и степени значимости платежной системы. 

13. Персонал участника межбанковской платежной системы должен включать, как минимум: 

- специалистов, выполняющих функции формирования, отправки и приема платежей (переводов), а также функции обмена другими сообщениями в рамках системы; 

- специалистов по сопровождению системы, обеспечивающих бесперебойное функционирование и безопасность технической инфраструктуры участника системы; 

- специалистов, обеспечивающих информационную безопасность на стороне участника. 

14. Персонал провайдера критичных услуг должен включать, как минимум, специалистов, выполняющих функции по сопровождению системы, обеспечивающих в том числе информационную безопасность и бесперебойное функционирование технической инфраструктуры обмена сообщениями в рамках платежной системы. 

15. Техническая инфраструктура платежной системы должна включать, как минимум: 

- основной аппаратно-программный комплекс (далее - АПК), к которому предъявляются определенные требования по обеспечению штатного функционирования системы и восстановлению в случае возникновения нештатных ситуаций; 

- резервный АПК, который в случае выхода из строя любых компонентов основного АПК должен обеспечить бесперебойное функционирование системы; 

- каналы связи и средства безопасности передачи данных. 

16. Функционирование платежной системы и платежной инфраструктуры должно осуществляться в соответствии с критериями по обеспечению непрерывности, установленными внутри каждой системы и включающими наличие: 

- основного и резервного АПК, автоматическое или ручное переключение работы системы с основного на резервный АПК и наоборот в случае возникновения сбоев в работе системы. Основной и резервный АПК должны размещаться в разных помещениях. Для СЗПС, ЗПС, национальных платежных систем переключение работы системы с основного на резервный АПК и наоборот в случае возникновения сбоев в работе системы должно обеспечиваться в автоматическом режиме; 

- средств безопасности передачи данных, минимизирующих риски несанкционированного доступа; 

- установленного предельного значения времени простоя системы в случае возникновения сбоев в работе системы. В случае СЗПС, национальных платежных систем и провайдеров критичных услуг предельное время простоя системы при возникновении сбоев в работе системы не должно превышать четырех часов; 

- утвержденной максимальной продолжительности времени автоматизированного или ручного переключения между основным и резервным АПК с указанием максимально допустимого времени простоя до полного восстановления штатного функционирования системы; 

- утвержденного максимально допустимого времени восстановления работы системы в случае сбоев основного и резервного АПК. 

17. Модернизация системы, время, условия реагирования и порядок взаимодействия с поставщиком АПК (в случае приобретенного программного обеспечения) и/или с компанией, оказывающей услуги сопровождения/технической поддержки платежной системы при возникновении нештатных ситуаций, которые приводят к нарушению критериев непрерывности, меры и обязательства по их устранению должны быть определены в договоре на техническую поддержку с поставщиком программного обеспечения платежной системы. 

18. Обновления систем, новые версии и вновь внедряемые системы, а также приложения, до предоставления их пользователям, должны проходить обязательное тестирование системы на тестовой среде при различных сценариях стрессовой нагрузки и условиях восстановления. Результаты тестирования должны быть зафиксированы документально. 

19. Операторы платежной системы должны иметь утвержденные пошаговые внутренние процедуры по: 

- обеспечению бесперебойного функционирования АПК системы и требуемых для его функционирования каналов связи с указанием разового и суммарного времени простоя системы в течение квартала; 

- осуществлению переключения между основным и резервным АПК с указанием максимально допустимого времени простоя до полного восстановления штатного функционирования системы; 

- проведению периодических проверок персоналом оператора системы работоспособности резервного АПК, каналов связи системы, полноты резервных копий и регулярного тестирования переключения работы системы с основного на резервный АПК и наоборот; 

- обеспечению восстановления данных, в том числе с резервных копий, в случае их повреждения или искажения в соответствии с установленным регламентом; 

- представлению доступа уполномоченным представителям Национального банка к АПК с возможностью получения информации обо всех проводимых операциях (чтение, формирование и печать отчетов) в ходе проведения инспекторской проверки и/или при введении специального режима; 

- обеспечению конфиденциальности передаваемых и получаемых системой данных, согласно законодательству Кыргызской Республики. 

20. Участники межбанковской платежной системы должны иметь пошаговые внутренние процедуры по: 

- обеспечению безопасности и непрерывности функционирования рабочих станций персонала участника системы; 

- резервированию каналов связи по передаче данных; 

- обеспечению конфиденциальности передаваемых и получаемых от платежной системы данных, согласно законодательству Кыргызской Республики. 

21. Провайдеры критичных услуг должны иметь утвержденные пошаговые внутренние процедуры по: 

- обеспечению бесперебойного функционирования АПК и требуемых для его функционирования каналов связи с указанием разового и суммарного времени простоя системы в течение квартала; 

- осуществлению переключения между основным и резервным АПК с указанием максимально допустимого времени простоя; 

- проведению периодических проверок работоспособности резервного АПК, каналов связи и регулярного тестирования переключения работы системы с основного на резервный АПК и наоборот; 

- обеспечению бесперебойного функционирования платежной инфраструктуры; 

- представлению доступа уполномоченным представителям Национального банка к АПК с возможностью получения информации обо всех проводимых операциях (чтение, формирование и печать отчетов) в ходе проведения инспекторской проверки и/или при введении специального режима; 

- обеспечению конфиденциальности передаваемых и получаемых данных, согласно законодательству Кыргызской Республики. 

22. При использовании облачных технологий должны быть предусмотрены меры поддержания безопасности и работоспособности платежной системы в соответствии с требованиями нормативных правовых актов Национального банка. 

23. Для минимизации операционных рисков в СЗПС, национальных платежных системах и сервис-бюро СВИФТ при возникновении у участников проблем с рабочими станциями или каналами связи операторы СЗПС, национальных платежных систем и сервис-бюро СВИФТ должны обеспечить для участников доступ к Единому сервисному центру (далее - ЕСЦ) проведения работ по формированию, отправке/получению платежных документов и других сообщений в системе. 

§ 3.2. Перебои энергоснабжения 

24. Операторы/участники платежных систем и провайдеры критичных услуг должны обеспечить соответствие мощности линий и другого оконечного оборудования, через которое осуществляется подача энергоснабжения для работы систем, требованиям систем по мощности. 

25. В случаях перебоев энергоснабжения у оператора/участника платежных систем и провайдера критичных услуг должно обеспечиваться автономное энергоснабжение. 

26. Операторы/участники платежных систем и провайдеры критичных услуг должны иметь процедуры, регламентирующие время автономного функционирования системы, а также обеспечивающие выполнение требований по продолжительности автономной работы системы с момента прекращения энергоснабжения и до момента последующего переключения на резервный АПК системы. 

27. Операторы СЗПС, ЗПС, национальных платежных систем и провайдеры критичных услуг обязаны максимально минимизировать простой основного и резервного АПК системы вследствие перебоев энергоснабжения. 

28. Участник СЗПС в случае перебоев энергоснабжения должен обеспечить отправку/получение платежных документов посредством ЕСЦ в соответствии с установленным порядком и регламентом. 

29. В случае перебоев энергоснабжения участник сервис-бюро СВИФТ может проводить отправку/получение платежных документов через рабочие станции ЕСЦ в соответствии с установленным порядком и регламентом или через альтернативные каналы передачи данных, используемые участником системы. 

30. Работы по восстановлению энергоснабжения и функционирования системы в штатном режиме проводятся в соответствии с установленными внутренними процедурами оператора/участника платежной системы/провайдера критичных услуг. 

§ 3.3. Сбои аппаратного и/или программного обеспечения системы 

31. Сбои аппаратного обеспечения включают в себя нарушение функционирования или выход из строя серверного, сетевого, криптографического оборудования, специализированного оборудования участника/оператора системы/провайдера критичных услуг. 

32. Сбои программного обеспечения включают в себя нарушение функционирования операционной системы, прикладного программного обеспечения, программного обеспечения на серверах доступа, инфраструктуры открытых ключей (PKI) и рабочих станций персонала системы. 

33. Оператор платежной системы и провайдеры критичных услуг при сбоях собственного аппаратного обеспечения должны проводить автоматическое переключение на резервное АПК. В случае невозможности перехода на резервное АПК в установленное время оператор платежной системы/провайдер критичных услуг должен обеспечить своевременное информирование всех своих участников, а также принять меры по скорейшему разрешению нештатной ситуации и недопущению аналогичных случаев в будущем. Предпринимаемые меры должны быть отражены в правилах системы, договорах и внутренних процедурах оператора платежной системы/провайдера критичных услуг. 

34. Участники платежной системы при сбоях собственного аппаратного или программного обеспечения должны обеспечить использование альтернативных и/или резервных средств в соответствии со своими внутренними процедурами. 

35. При сбоях аппаратного и/или программного обеспечения СЗПС, ЗПС и национальных платежных систем в правилах системы и внутренних процедурах оператора системы должно быть определено автоматическое переключение на резервный АПК в соответствии с установленным порядком. Оператор также должен определить в правилах системы порядок работы по обработке платежей участников системы и проведению окончательного расчета в случае невозможности перехода на резервный АПК. 

36. В случае невозможности участником СЗПС продолжить работу со своего резервного оборудования выполнение соответствующих работ может проводиться через рабочие станции ЕСЦ в соответствии с установленным порядком и регламентом. 

37. В случае невозможности участником сервис-бюро СВИФТ продолжить работу со своего резервного оборудования выполнение соответствующих работ может проводиться через рабочие станции ЕСЦ в соответствии с установленным порядком и регламентом или через альтернативные каналы передачи данных, используемые участником системы. 

§ 3.4. Сбои каналов связи системы 

38. При сбое основного канала связи между основным и резервным АПК системы оператор системы должен провести переключение на резервный канал связи в соответствии со своими внутренними процедурами. 

39. При сбое основного канала связи между оператором/провайдером критичных услуг и участниками системы стороны должны провести мероприятия по выяснению ситуации и при необходимости - переключению на собственный резервный канал связи в соответствии со своими внутренними процедурами. 

40. При выходе из строя обоих каналов связи у участника СЗПС, национальных платежных систем и сервис-бюро СВИФТ работа по отправке/получению платежных документов и сообщений системы выполняется через ЕСЦ в соответствии с установленным порядком и регламентом. 

§ 3.5. Нарушение регламента работы платежной системы 

41. Регламент и порядок работы систем определяются правилами работы системы, а также договорными отношениями между операторами платежных систем, между оператором и участниками платежных систем. Ответственность сторон за соблюдение и санкции за нарушение регламента и порядка работы системы устанавливаются в договорах и соглашениях между операторами или оператором и участниками системы. Регламент и порядок работы СЗПС дополнительно регламентируется нормативными правовыми актами Национального банка. 

42. К нарушениям регламента работы СЗПС относится отклонение от утвержденного регламента работы системы вследствие: 

- проведения работ по восстановлению штатного функционирования системы в случае возникновения нештатной ситуации у оператора системы в течение операционного дня; 

- несвоевременной передачи сообщений и отчетов оператором платежной системы своим участникам; 

- несвоевременной передачи платежей и сообщений между операторами платежной системы. 

43. В целях своевременного обнаружения и управления операционными рисками операторы/участники платежных систем/провайдеры критичных услуг должны на постоянной основе обеспечить мониторинг рисков. 

44. В процессе мониторинга операторы/участники платежных систем/провайдеры критичных услуг могут использовать систему показателей, сигнализирующих о вероятности наступления событий, в результате которых могут возникнуть операционные убытки (например, количество незавершенных операций, частота технических ошибок в системе, продолжительность сбоев и т.д.). 

45. При угрозе массовых увольнений должностных лиц и персонала (сокращение не менее 25 процентов работников в организациях численностью до 50 человек и не менее 15 процентов - в организациях численностью более 50 человек в течение 2 месяцев подряд) операторы платежных систем и провайдеры критичных услуг обязаны незамедлительно проинформировать об этом Национальный банк и принять специальные меры, предусматривающие: 

1) снижение рисков для платежной системы в результате увольнения должностных лиц, ключевого персонала или дублирующего состава; 

2) поэтапное освобождение должностных лиц и персонала с параллельной заменой на персонал, обладающий соответствующей квалификацией и знаниями; 

3) иные мероприятия, которые должны быть предусмотрены трудовым договором, соглашением. 

Глава 4. Несанкционированный доступ в платежной системе 

§ 4.1. Обеспечение безопасности 

46. Оператор/участники платежных систем, провайдеры критичных услуг должны устанавливать четкую политику защиты (в том числе и информационных ресурсов системы) от несанкционированного доступа/операций, злоупотребления или мошеннического изменения (вставки, удаления, искажения, замены), или раскрытия данных/информации, иметь внутренние нормативные правовые акты и комплекс мер по обеспечению безопасности системы, которая должна: 

- иметь четко регламентированные задачи, требования по обеспечению конфиденциальности и доступу к информации, адекватности внутреннего контроля, а также критерии разграничения ответственности соответствующих лиц при осуществлении контроля; 

- обеспечить своевременное реагирование на возникновение подозрительной активности/операций в системе или попыток несанкционированного доступа/операций и порядок взаимодействия с правоохранительными органами Кыргызской Республики; 

- включать порядок незамедлительного (в тот же день, когда об этом событии стало известно) информирования Национального банка в электронной форме (при необходимости - в защищенном режиме) о фактах внешних угроз, несанкционированного доступа/операций, злоупотребления, грабежа, нестабильной ситуации и т.д. В случае, если событие носит системный характер и может угрожать другим участникам финансовой системы Кыргызской Республики, Национальный банк имеет право информировать о данном факте всех остальных участников финансовой системы Кыргызской Республики с соблюдением норм сохранности банковской тайны; 

- предусматривать порядок подключения и использования ресурсов сети интернет, включающий, в том числе контроль со стороны подразделения, ответственного за обеспечение информационной безопасности; 

- предусматривать использование антивирусной защиты на всех рабочих местах и серверах системы, если иное не предусмотрено технологическим процессом; 

- предусматривать разработку новых методов борьбы с несанкционированным доступом/операциями/мошенничеством; 

- включать обязательные требования о проведении регулярного обучения сотрудников по безопасности и персонала системы механизмам предотвращения мошенничества и несанкционированного доступа. 

47. Оператор и участники системы на регулярной основе (по мере необходимости, но не реже одного раза в три года) должны осуществлять самооценку системы и пересмотр внутренней политики по безопасности с целью обновления и включения новых инновационных методов борьбы с мошенничеством и несанкционированным доступом в систему. Результаты самооценки должны представляться по запросу в Национальный банк. 

48. Операторы платежных систем должны использовать лицензионное программное обеспечение или программное обеспечение с открытым исходным кодом, или программное обеспечение собственной разработки (с правом владения) для АПК и рабочих станций, подключенных к АПК, в соответствии с законодательством Кыргызской Республики. 

49. Все информационные системы операторов платежных систем должны иметь описание (паспорт системы), которое содержит общие характеристики (назначение, дата внедрения и др.), конфигурацию системы (аппаратная часть, программное обеспечение/системное, прикладное, системы управления базами данных, размеры дисковых разделов, карта резервного копирования и пр.), список нормативных документов (положения, регламенты и др.) используемых в эксплуатации системы, включая регламенты восстановления, схема (топология) взаимодействия оборудования и смежных систем. Паспорт системы не ограничивается данным содержанием, и должен включать информацию для эффективного управления системами, их планированием, модернизацией и обслуживанием. 

§ 4.2. Внутреннее мошенничество 

50. Для снижения риска внутреннего мошенничества оператор и участники платежной системы, провайдеры критичных услуг должны иметь систему защиты от мошенничества несанкционированного доступа на уровне аппаратно-программного комплекса (использование паролей и прав доступа к системе, криптографии, шифрования, легирование действий и т.п.), квалифицированный и прошедший проверку персонал для работы в системе, а также утвержденные внутренние нормативные и директивные акты, должностные инструкции, определяющие ответственность, права и обязанности персонала. 

51. Разрешение спорных ситуаций при возникновении риска внутреннего мошенничества, ответственность сторон и другие условия работы с системой должны быть определены в договорах между оператором, участниками платежных систем и провайдерами критичных услуг. 

§ 4.3. Электронные платежи 

52. Оператор и участники платежной системы, провайдеры критичных услуг должны предоставлять своим клиентам и пользователям гарантию того, что доступ к услугам, выполняемый через веб-сайт или приложение, будет надлежащим образом защищен и аутентифицирован (передача данных в зашифрованном виде, использование паролей и ПИН-кодов). 

53. Оператор/участники платежной системы, провайдеры критичных услуг должны применять алгоритмы шифрования, которые соответствуют общепринятым международным стандартам. 

54. Оператор/участники платежной системы, провайдеры критичных услуг должны обеспечивать безопасность физического и логического доступа для того, чтобы разрешать доступ к своим системам только уполномоченному персоналу. Процедуры должны предусматривать механизмы обработки и передачи в целях защиты целостности систем и данных. 

55. Оператор/участники платежной системы, провайдеры критичных услуг должны обеспечивать мониторинг для предупреждения о любых необычных операциях системы, ошибок при передаче данных или необычных онлайновых транзакций, а также наличие процедур реагирования на подозрительные операции. 

56. С ростом количества и объемов транзакций в системе должно быть внедрено программное обеспечение, автоматически отслеживающее подозрительные операции или характер изменения (динамики) платежей. В процессах обнаружения подозрительной активности должны учитываться качественные и количественные факторы. 

Оператор/участник платежной системы, провайдеры критичных услуг должны иметь внутренние процедуры с описанием действий при выявлении подозрительных операций, методов противодействия несанкционированным операциям. 

57. Оператор/участники платежной системы, провайдеры критичных услуг должны предусматривать поддержание высокой доступности онлайновых и вспомогательных систем, а также процедуры восстановления на случай негативного воздействия извне, направленного на отказ системы. 

58. Оператор/участники платежной системы, провайдеры критичных услуг должны предусматривать наличие многофакторных моделей аутентификации при входе в систему и подписании транзакций в целях авторизации (подтверждения). 

59. В системе должно быть реализовано автоматическое завершение сеанса работы клиента/пользователя при длительном бездействии. 

60. Системы должны предусматривать управление лимитами на операции для минимизации возможного ущерба. 

61. Операции должны проводиться только после авторизации пользователя в системе. 

62. Безопасность, обеспечиваемая базовыми используемыми сетевыми устройствами и инфраструктурами компаний-поставщиков на транспортном уровне, не может считаться достаточной применительно к конфиденциальным и секретным данным, в частности PIN-кодам и паролям (примерами такой инфраструктуры являются GSM, GPRS, 3G, Bluetooth, Wi-Fi 802.11b и IrDA и т.п.). Защита передаваемых конфиденциальных данных должна обеспечиваться с использованием дополнительных средств (например, сертификатами безопасности) на уровне платежной системы. 

63. В программном обеспечении должны быть внедрены меры, направленные на предотвращение дублирования транзакций, возникающего в результате задержек между сеансами связи или сбоев внутри сеанса. 

64. Соглашения с поставщиками программного обеспечения АПК должны включать наличие надлежащих планов восстановления и распределения ответственности в случае сбоев системы. Планы восстановления системы должны периодически тестироваться. 

65. Оператор/участники платежной системы, провайдеры критичных услуг должны информировать своих клиентов о мерах безопасности для того, чтобы защищать мобильные устройства/приложения от вредоносного программного обеспечения или иного программного обеспечения, использование которых может привести к негативным последствиям. 

§ 4.4. Банковские платежные карты 

66. При работе с банковскими платежными картами международных платежных систем оператору и участнику системы рекомендуется принять за основу Общие критерии для оценки безопасности информационных технологий (ISO/IEC 15408) и PCI DSS и придерживаться соблюдения данных требований. 

67. Оператор и участники (эмитенты) системы должны иметь внутренние процедуры с указанием в них как минимум: 

- разграничения доступа персонала к базе данных системы (к информации о номерах банковских платежных карт, кодовых словах, держателе карты, об образце подписи и т.д.); 

- списка сотрудников персонала системы, имеющих такой доступ; ответственности и санкций за нарушение ограничений; 

- системы защиты от внутреннего и внешнего мошенничества при эмиссии банковских платежных карт; 

- порядка обработки заявлений клиентов и получения банковских платежных карт, включающего требования по обязательной идентификации и проверке клиента; 

- порядка возврата изъятых банкоматами карт. 

68. Участники системы (эквайеры) должны иметь внутренние процедуры с указанием в них как минимум: 

- порядка обработки заявлений торгово-сервисных предприятий и заключения с ними договоров, включающих требования к предоставляемому пакету документов (при необходимости нотариально заверенные копии учредительных документов и устава, регистрации в налоговых органах, разрешений/лицензий на заявленные виды деятельности, ксерокопии паспортов руководства, бухгалтерский баланс с отметкой налоговых органов); 

- порядка ведения базы данных торгово-сервисных предприятий, с которыми были расторгнуты договора или заявления которых были отвергнуты с указанием причины отказа; 

- механизма контроля торгово-сервисных предприятий, включающего подтверждение факта его регистрации, регулярную проверку качества обслуживания у банковских платежных карт, условий содержания и работоспособности терминалов, хранения чеков, определение значений "floor limit" в зависимости от мошеннической активности торгово-сервисного предприятия; 

- порядка закупки, хранения, установки/подключения и технического обслуживания периферийного устройства. 

69. Для снижения риска внешнего мошенничества операторы системы должны иметь программное обеспечение, позволяющее проводить мониторинг и анализ риска, а также отслеживание подозрительных транзакций и авторизаций, совершенных посредством банковских платежных карт на регулярной основе. Программное обеспечение должно контролировать как транзакции, совершенные в сети эквайера (контроль риска эквайера относительно торгово-сервисных предприятий и периферийных устройств), так и транзакции, совершенные посредством карт, эмитированных банком (контроль риска эмитента относительно держателей карт). 

70. Участники системы могут иметь собственное программное обеспечение, позволяющее самостоятельно осуществлять мониторинг и управление своими рисками, связанными с эмиссией и эквайрингом банковских платежных карт для снижения потерь, вызываемых возможным мошенничеством при использовании банковских платежных карт, или воспользоваться данной услугой оператора системы на договорных условиях. 

71. Операторы и участники системы должны установить параметры мониторинга за авторизациями/транзакциями, превышение значений которых будет считаться подозрительными авторизациями/транзакциями. Мониторинг должен отражать как минимум следующие случаи, когда: 

- сумма отдельной авторизации/транзакции (или общая сумма) превышает установленный лимит в заданный период времени; 

- авторизация/транзакция банковской платежной карты проводится в торгово-сервисных предприятиях в двух или более странах в заданный период времени; 

- общая сумма транзакций в конкретной стране с повышенным риском превышает установленный лимит в заданный период времени; 

- общее число авторизаций на одном торгово-сервисном предприятии превышает установленный лимит в заданный период времени; 

- количество некорректных попыток ввода ПИН-кода в банкоматах превышает установленный лимит за заданный период времени; 

- сумма отдельной авторизации/транзакции превышает установленный лимит для конкретной группы торгово-сервисных предприятий с повышенным риском. 

Оператор или участник системы может устанавливать дополнительные правила и параметры мониторинга за подозрительными транзакциями с банковскими платежными картами и в периферийных устройствах. 

72. Оператор и участник системы должны иметь подготовленный персонал для проведения анализа рисков возможного мошенничества, осуществляющий контроль за работой периферийных устройств, транзакций и авторизаций банковских платежных карт. 

73. Оператор и участник системы должны иметь внутренние процедуры с описанием средств и инструментов по распознаванию поддельных банковских платежных карт и подозрительных операций с использованием карт, методов противодействия мошенническому использованию карт/периферийных устройств, а также порядка действий персонала в случае выявления таких операций. 

74. В договоре между оператором и участниками системы должны быть установлены как минимум: 

- основные требования по соблюдению безопасности, которые участники системы должны использовать при разработке внутренних нормативных документов, процедур, типовых договоров с держателями банковских платежных карт и торгово-сервисными предприятиями; 

- время реагирования, порядок и сроки оповещения и взаимодействия сторон в случае выявления несанкционированных операций; 

- порядок и сроки разрешения спорных ситуаций между участниками системы; 

- порядок и правила обработки чарджбеков; 

- ответственность сторон в случае выявления несанкционированных операций; 

- порядок взаимодействия с правоохранительными органами по вопросам несанкционированных операций; 

- порядок и сроки предоставления и формы отчетов по подозрительным операциям; 

- обмен информацией о несанкционированных операциях между участниками системы. 

75. В договоре между участником (эквайером) системы и торгово-сервисным предприятием должны быть отражены следующие аспекты: 

- список карточных продуктов, принимаемых к оплате в торгово-сервисном предприятии; 

- время и график работы торгово-сервисного предприятия; 

- виды продаваемых товаров и услуг (профиль) для идентификации в системе торгово-сервисного предприятия и обязательство извещать об изменении своего профиля; 

- определение значения "floor limit" для торгово-сервисного предприятия, если в нем используется "floor limit"; 

- требования по соблюдению безопасности торгово-сервисным предприятием (проверка подлинности банковской платежной карты, проверка подписи и реквизитов на банковской платежной карте с документом, удостоверяющим личность держателя карты и иные требования), запрет на хранение реквизитов банковских платежных карт; 

- возможность замораживания средств торгово-сервисного предприятия по подозрительным транзакциям, по которым проводится проверка; 

- порядок проведения проверки торгово-сервисного предприятия по качеству обслуживания платежных карт, предоставляемых услуг, условий содержания, целостности и работоспособности периферийного устройства, хранения чеков; 

- порядок взаимодействия в случае выявления операции с украденной/утерянной/поддельной платежной картой держателя карты или проведения мошеннических транзакций самим торгово-сервисным предприятием; 

- ответственность сторон при выявлении несанкционированных операций; 

- условия обязательного обучения кассиров правилам приема и проверки платежных карт, а также методам выявления мошеннических операций и борьбы с ними. 

76. В договоре между участником (эмитентом) системы и держателем карты должны быть определены основные требования по соблюдению безопасности держателем платежной карты (использование ПИН-кода, лимиты, действия держателя в случае утери карты, выявления несанкционированного списания средств со счета), а также распределение рисков и ответственности между сторонами при утере/похищении платежной карты, а также в случае выявления несанкционированных операций. 

77. Оператор системы на основании полученных от участников данных должен на постоянной основе проводить проверку защищенности процессингового центра от мошеннических и внешних атак, выявлять риски и предпринимать меры для снижения уровня мошенничества. 

Глава 5. Форс-мажорные обстоятельства 

78. К форс-мажорным обстоятельствам относятся обстоятельства непреодолимой силы, не зависящие от воли сторон, такие как пожары, аварии, стихийные бедствия, военные действия, которые приводят к нарушению штатного функционирования платежной системы. 

79. Операторы СЗПС, национальных платежных систем должны иметь территориально удаленный резервный центр для обеспечения быстрого восстановления штатного функционирования платежной системы в случае возникновения форс-мажорных обстоятельств. 

80. Территориально удаленный резервный центр должен удовлетворять как минимум следующим условиям: 

- условия размещения резервного центра должны соответствовать требованиям безопасности, установленным нормативными правовыми актами Национального банка; 

- обеспечить возможность полного дублирования работы основного центра (иметь соответствующие АПК, каналы связи с участниками, подготовленный персонал, бесперебойное энергоснабжение). 

81. Операторы/участники платежной системы, провайдеры критичных услуг должны разработать процедуры, регламентирующие (в случаях наступления форс-мажорных обстоятельств) порядок перевода работы на резервный АПК и взаимодействие персонала системы. 

Глава 6. Отчетность 

82. Операторы и участники платежной системы должны фиксировать информацию об инцидентах и нештатных ситуациях в журнале регистрации нештатных ситуаций и формировать отчет в форме, установленной в Приложении 1 настоящего Положения. Отчет передается в Национальный банк: 

- операторами СЗПС, ЗПС и национальных платежных систем, провайдерами критичных услуг - на ежедневной основе в электронной форме; 

- операторами других платежных систем, участниками платежной системы - на ежемесячной основе не позднее 5 числа месяца, следующего за отчетным, в электронной и бумажной форме. 

83. Национальный банк на регулярной основе осуществляет сбор и обработку информации о состоянии платежной системы, нештатных ситуациях и несанкционированных операциях для анализа и оценки степени их воздействия на платежную систему в целом. В случае существенного влияния на платежную систему, Национальный банк разрабатывает и передает операторам и/или участникам платежных систем рекомендации и предложения по минимизации рисков, осуществляет контроль их исполнения и при необходимости принимает меры воздействия к операторам и/или участникам платежных систем в соответствии с законодательством Кыргызской Республики. 

  

Приложение 1  к Положению по нештатным ситуациям в платежной системе

ОТЧЕТ 

об инцидентах, нештатных ситуациях и несанкционированных операциях в платежной системе 

Наименование системы: ___________________________________________________________ 

Наименование оператора платежной системы: _______________________________________ 

Отчетный период: ________________________________________________________________ 

№ п/п

Дата и время регистрации/  совершения/  возникновения, риск-события

Дата выявления риск-события

Дата и время устранения риск-события

ГО/филиал/  Название СП/№ ATM/  Название точки обслуживания/  ТСП

Бизнес-процесс, на котором произошел инцидент/вид деятельности

Тип событий

Кратное описание события

Причины возникновения риска

Принятые решения/  предложения по предотвращению и минимизации риска

Контрольные меры/  мероприятия

Статус исполнения контрольных мер

Метод управления операционным риском (обоснованное принятие, перенос, минимизация, отказ от вида деятельности и т.д.)

Уровень риска (влияние/потери)

Дополнительные комментарии/  предложения

уровень влияния на деятельность

уровень влияния на репутацию

уровень влияния на финансы

фактические убытки

возможные убытки