|
|
Утверждено постановлением Правления Национального банка Кыргызской Республики от 15 апреля 2015 года № 22/3 |
ПОЛОЖЕНИЕ
о минимальных требованиях по предоставлению удаленного/дистанционного обслуживания в Кыргызской Республике
(В редакции постановлений Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-14-(ПС), 19 июня 2019 года № 2019-П-12/32-3-(НПА), 11 декабря 2019 года № 2019-П-14/62-6-(ПС), 31 марта 2021 года № 2021-П-12/14-5-(НПА), 14 декабря 2022 года № 2022-П-14/78-5-(ПС))
Глава 1. Общие положения
1. (Утратил силу в соответствии с постановлением Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-14-(ПС))
2. Настоящее Положение «О минимальных требованиях по предоставлению удаленного/дистанционного обслуживания в Кыргызской Республике» (далее - Положение) устанавливает требования к коммерческим банкам, небанковским финансово-кредитным организациям, операторам платежных систем и платежным организациям по предоставлению банковских и платежных услуг пользователю удаленным/дистанционным способом обслуживания.
(В редакции постановлений Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-14-(ПС), 11 декабря 2019 года № 2019-П-14/62-6-(ПС))
3. В рамках настоящего Положения банковские и платежные услуги могут предоставляться удаленно/дистанционно посредством банкоматов, автоматизированных терминалов самообслуживания (платежных терминалов), интернет-банкинга, мобильного банкинга, мобильного приложения и иными способами удаленного/дистанционного обслуживания, не противоречащими законодательству Кыргызской Республики.
(В редакции постановлений Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-14-(ПС), 14 декабря 2022 года № 2022-П-14/78-5-(ПС))
3-1. При оказании удаленного/дистанционного обслуживания поставщик услуг удаленного/дистанционного обслуживания (поставщик услуг) при необходимости может заключать договор с оператором связи (оператор мобильной сотовой связи/оператор сети подвижной связи) для оказания услуг связи. Поставщик услуг при заключении договора с оператором связи должен предусмотреть способы защиты и конфиденциальности информации, передаваемой по каналам связи оператора в соответствии с законодательством Кыргызской Республики.
(В редакции постановлений Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-14-(ПС), 14 декабря 2022 года № 2022-П-14/78-5-(ПС))
3-2. При оказании удаленного/дистанционного обслуживания поставщики услуг обязаны соблюдать соответствующие требования нормативных правовых актов, регламентирующие вопросы в части своевременности, безопасности, надежности проведения платежей и предотвращения мошеннических операций.
(В редакции постановления Правления Национального банка КР от 14 декабря 2022 года № 2022-П-14/78-5-(ПС))
Глава 2. Общие термины и определения
4. Термины и определения, используемые в настоящем Положении, понимаются в том значении, в каком они используются в банковском законодательстве и законодательстве в сфере платежной системы Кыргызской Республики.
В настоящем Положении также используются следующие термины и определения:
1) Аутентификация – процедура установки подлинности пользователя путем проверки и сопоставления характеристик предъявленного идентификатора (PIN-код, пароль и др.).
2) Личный кабинет – это особый раздел пользователя в системе уделенного/дистанционного обслуживания поставщика услуг, который позволяет получить доступ к данным о состоянии счета/кредитного лимита и движении денежных средств, а также к другим банковским и платежным услугам, в том числе направлять заявки, подтверждения и поручения поставщику услуг.
3) Мобильное приложение поставщика услуг (мобильное приложение) – один из инструментов систем удаленного/дистанционного обслуживания, позволяющий поставщику услуг предоставлять пользователю банковские и платежные услуги удаленным/дистанционным способом. К мобильным приложениям поставщика услуг также относятся мобильные приложения агентов, предусмотренные Положением «О регулировании деятельности платежных организаций и операторов платежных систем».
4) Обязательства пользователя перед НФКО – обязательства пользователя, возникшие при получении кредита в НФКО, а также посредством управления личного кабинета.
5) Пользователь – физическое, юридическое лицо либо индивидуальный предприниматель, пользующийся банковскими и платежными услугами через систему удаленного/дистанционного обслуживания.
6) Поставщик услуг удаленного/дистанционного обслуживания (поставщик услуг) – банки, небанковские финансово-кредитные организации (далее – НФКО), операторы платежных систем и платежные организации, имеющие лицензию/свидетельство Национального банка на право осуществления отдельных банковских и платежных услуг, предусмотренных законодательством Кыргызской Республики.
7) Система удаленного/дистанционного обслуживания – совокупность средств телекоммуникаций, цифровых и информационных технологий, программного обеспечения и оборудования, обеспечивающих связь между пользователем и поставщиком услуг для предоставления банковских и платежных услуг удаленным/дистанционным способом с использованием банкоматов, платежных терминалов, интернет-банкинга, электронного кошелька, мобильного банкинга, мобильного приложения и иных способов удаленного/дистанционного обслуживания.
8) Удаленное/дистанционное обслуживание – способ предоставления услуг поставщиком услуг на основании распоряжений, передаваемых пользователем удаленным/дистанционным способом с использованием систем удаленного/дистанционного обслуживания.
9) PIN-код (Personal identification number) – персональный идентификационный номер, позволяющий аутентифицировать пользователя для совершения операции.
(В редакции постановлений Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-14-(ПС), 19 июня 2019 года № 2019-П-12/32-3-(НПА), 11 декабря 2019 года № 2019-П-14/62-6-(ПС), 31 марта 2021 года № 2021-П-12/14-5-(НПА), 14 декабря 2022 года № 2022-П-14/78-5-(ПС))
Глава 3. Требование к поставщикам услуг
5. Поставщик услуг для удаленного/дистанционного обслуживания должен как минимум:
- разработать и утвердить внутренние нормативные документы, определяющие перечень, порядок и условия удаленного/дистанционного обслуживания;
- обеспечить эффективный контроль за процессом предоставления данных услуг и сохранность денежных средств пользователей;
- разработать внутреннюю политику по управлению рисками информационной безопасности, определяющую ответственность поставщика услуг, при взаимодействии с пользователями, с учетом требований нормативных правовых актов в сфере обеспечения информационной безопасности, учитывающую риски, связанные с удаленным/дистанционным обслуживанием, а также в случае возникновения нештатной ситуации;;
- разработать и поддерживать в актуальном состоянии внутренний нормативный документ о порядке взаимодействия и реагирования при возникновении нештатных ситуаций в соответствии с нормативными правовыми актами Национального банка;
- разработать процедуру по урегулированию споров и возврату денежных средств пользователю по ошибочным или несанкционированным операциям;
- разработать типовые договора между поставщиками услуг и пользователями;
- соблюдать требования по противодействию финансированию террористической деятельности и легализации (отмыванию) преступных доходов в соответствии с законодательством Кыргызской Республики;
- обеспечить соблюдение банковской тайны при передаче сообщений, удаленном/дистанционном обслуживании;
- разработать и утвердить порядок признания и использования электронной подписи при совершении юридически значимых действий (изъявление согласия, подача заявок, заключение договоров и иных сделок);
- вести электронный реестр документов, подписанных электронной подписью;
- обеспечить мониторинг и ведение журнала (логов) подключений пользователей к системе удаленного/дистанционного обслуживания.
(В редакции постановлений Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-14-(ПС), 19 июня 2019 года № 2019-П-12/32-3-(НПА), 14 декабря 2022 года № 2022-П-14/78-5-(ПС))
6. Поставщик услуг должен информировать пользователя о сведениях по соблюдению требований безопасности при оказании удаленного/дистанционного обслуживания в соответствии с Приложением 1 к настоящему Положению.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-14-(ПС))
6-1. Использование электронной подписи при удаленном/дистанционном обслуживании должно осуществляться в соответствии с требованиями Приложения 2 к настоящему Положению.
(В редакции постановления Правления Национального банка КР от 19 июня 2019 года № 2019-П-12/32-3-(НПА))
6-2. Поставщик услуг несет ответственность за предоставляемые услуги, включая несанкционированные операции, за исключением случаев, когда операции произошли по вине самого пользователя, согласно перечню, порядку и условиям системы удаленного/дистанционного обслуживания.
(В редакции постановления Правления Национального банка КР от 14 декабря 2022 года № 2022-П-14/78-5-(ПС))
7. Поставщик услуг должен регулярно проводить оценку качества, удаленного/дистанционного обслуживания для обеспечения необходимого уровня доверия пользователей.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-14-(ПС))
7-1. Поставщику услуг рекомендуется предусмотреть в системе удаленного/дистанционного обслуживания специальные функции или иные возможности, в том числе решения, предоставляемые третьими сторонами, позволяющие лицам с ограниченными возможностями здоровья пользоваться оказываемыми услугами, а также информировать их об этих возможностях.
(В редакции постановления Правления Национального банка КР от 14 декабря 2022 года № 2022-П-14/78-5-(ПС))
8. Поставщик услуг должен обеспечить непрерывность своей деятельности и доступность к услуге в соответствии с условиями, установленными в договоре. При проведении профилактических и технических работ поставщик услуг обязан своевременно уведомлять пользователя.
8-1. Поставщик услуг должен информировать пользователей не менее чем за пять календарных дней до введения в действие изменений тарифов на свои услуги через веб-сайт или средства массовой информации.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-14-(ПС))
9. (Утратил силу в соответствии с постановлением Правления Национального банка КР от 14 декабря 2022 года № 2022-П-14/78-5-(ПС))
Глава 4. Требования при удаленном/дистанционном обслуживании
(Наименование главы в редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-14-(ПС))
10. Удаленное/дистанционное обслуживание должно предоставляться на основании договора между пользователем и поставщиком услуг в соответствии с законодательством Кыргызской Республики, в котором должны быть указаны:
- данные о пользователе (фамилия, имя, отчество, паспортные данные (или данные других документов, удостоверяющих личность, в соответствии с законодательством Кыргызской Республики) и другие данные пользователя, позволяющие его идентифицировать) в случае предоставления ему услуг через систему удаленного/дистанционного обслуживания;
- перечень предоставляемых услуг;
- способы предоставления услуг удаленным/дистанционным способом и получения доступа к системам удаленного/дистанционного обслуживания;
- права, обязанности и ответственность пользователя и поставщика услуг;
- типы и размер комиссий, подлежащих оплате пользователем;
- схема конвертации из одной валюты в другую, предусматривающая различные варианты конвертаций при проведении пользователем операций в валюте, отличной от валюты его банковского счета, а также порядок информирования клиентов об обменном курсе при проведении операций по конвертации валюты;
- способы предоставления поставщиком услуг выписок о движении денежных средств и остатке на банковском счете, по обязательствам пользователя перед НФКО или на электронном кошельке;
- основные требования по соблюдению безопасности пользователем, включая порядок аутентификации и подтверждения прав клиента на использование систем удаленного/дистанционного обслуживания (использование PIN-кода, паролей, лимиты, действия пользователя в случае утери или кражи устройств доступа);
- процедура информирования поставщика услуг о факте утери, хищения или использования устройств доступа к системе удаленного/дистанционного обслуживания неуполномоченным лицом;
- распределение ответственности между поставщиками услуг и пользователями при утере, хищении или использовании устройств доступа неуполномоченным лицом;
- условия приостановления и прекращения доступа к системе удаленного/дистанционного обслуживания;
- способы оповещения клиента в случае изменения условий договора;
- контактные данные для связи с поставщиком услуг, в том числе в нерабочее время и выходные (праздничные дни);
- распределение рисков и ответственности между сторонами в случае нарушения процедур безопасности или других условий договора;
- порядок рассмотрения споров, предоставления/приема жалоб и претензий пользователя, условия их рассмотрения и решения;
- механизм определения пользователя, от имени которого используется электронная подпись, и обязанность соблюдения конфиденциальности ключа электронной подписи.
(В редакции постановлений Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-14-(ПС), 19 июня 2019 года № 2019-П-12/32-3-(НПА), 11 декабря 2019 года № 2019-П-14/62-6-(ПС), 14 декабря 2022 года № 2022-П-14/78-5-(ПС))
11. (Утратил силу в соответствии с постановлением Правления Национального банка КР от 19 июня 2019 года № 2019-П-12/32-3-(НПА))
11-1. Взнос денежных средств через платежные терминалы за товары и услуги осуществляется на основании публичной оферты. Получение или отказ от чека является выбором пользователя при оплате товаров и услуг через платежные терминалы путем подтверждения на экране.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-14-(ПС))
12. При предоставлении услуг голосового банкинга поставщик услуг должен обеспечить аудиозапись всех переговоров с пользователями и уведомлять их путем отправки на электронный адрес либо SMS-оповещением об исполнении поручения.
13. При осуществлении доступа и обслуживании с использованием банкоматов и платежных терминалов:
1) удаленное/дистанционное обслуживание через банкомат осуществляется посредством банковских платежных карт или иным способом для получения наличных денежных средств, осуществления денежных переводов и других безналичных платежей, получения информации по совершенным транзакциям по банковскому счету, выдачи чека либо SMS-информирования по всем видам произведенных транзакций на мобильный телефон согласно договору с пользователем.
2) банкомат/платежный терминал пересылает данные о транзакции информационной системе поставщика услуг. После завершения обработки транзакции банкомат/платежный терминал должен представить подтверждающий документ о совершении операции в соответствии с законодательством Кыргызской Республики, содержащий следующие обязательные реквизиты:
- номер чека;
- дата и время проведения транзакции/платежа;
- сумма транзакции/платежа;
- размер комиссии.
3) поставщик услуг при удаленном/дистанционном обслуживании через банкомат/платежные терминалы должен:
- информировать клиентов о возможных рисках, связанных с использованием банкоматов и платежных терминалов, а также о мерах предосторожности;
- в местах установления банкоматов и платежных терминалов регулярно проводить проверки по безопасности и документировать результаты проверок;
- организовать центры поддержки (колл-центры) и обеспечить их ежедневную и непрерывную работу;
- поместить на банкомате/платежном терминале указатель принадлежности банка/платежной организации, логотипы платежных систем, карты которых принимаются к обслуживанию банкоматом и платежным терминалом.
(В редакции постановлений Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-14-(ПС), 14 декабря 2022 года № 2022-П-14/78-5-(ПС))
14. Поставщик услуг при удаленном/дистанционном обслуживании через интернет-банкинг обязан:
- информировать клиентов о возможных рисках и мерах предосторожности;
- информировать клиентов о необходимости соблюдения правил и процедур безопасности при совершении платежей через интернет-банкинг (о недопущении передачи паролей, кодов, ключей третьим сторонам);
- обеспечить конфиденциальность при передаче финансовых сообщений и платежей;
- использовать защищенные сетевые протоколы;
- применять механизмы по предотвращению мошеннической подмены веб-страниц сервера интернет-банкинга (личного кабинета пользователя);
- использовать многофакторную аутентификацию с учетом оценки риска проводимой операции (например, пароль/код/одноразовый код и PIN-код, биометрические средства и др.);
- применять политику, предусматривающую использование сложных паролей и их регулярное изменение;
- использовать механизмы предотвращения автоматического подбора паролей;
- использовать механизмы блокировки сеанса соединения с сервером интернет-банкинга при бездействии пользователя сверх установленного промежутка времени.
(В редакции постановлений Правления Национального банка КР от 19 июня 2019 года № 2019-П-12/32-3-(НПА), 11 декабря 2019 года № 2019-П-14/62-6-(ПС), 14 декабря 2022 года № 2022-П-14/78-5-(ПС))
15. Поставщик услуг при удаленном/дистанционном обслуживании через мобильный банкинг, мобильные приложения обязан предусмотреть следующее:
- условия регистрации и идентификации пользователя у поставщика услуг;
- правила и процедуры безопасности при проведении платежей с использованием систем удаленного/дистанционного обслуживания/мобильных устройств (недопущение передачи информации третьим сторонам без согласия пользователя при обмене и передаче сообщений между пользователем и поставщиками услуг; обеспечение конфиденциальности при передаче финансовых сообщений и платежей);
- принятие необходимых мер для защиты данных пользователя;
- порядок доступа для осуществления платежей;
- другие условия, установленные в пункте 10 настоящего Положения.
(В редакции постановлений Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-14-(ПС), 11 декабря 2019 года № 2019-П-14/62-6-(ПС), 14 декабря 2022 года № 2022-П-14/78-5-(ПС))
16. Все платежи, осуществляемые посредством удаленного/дистанционного обслуживания, считаются подтвержденными и окончательными (безусловными и безотзывными) с момента завершения взаиморасчетов в соответствующей системе поставщика услуг и проведения окончательных расчетов. Для пользователя платеж считается безотзывным в момент получения подтверждения о принятии платежа к исполнению и/или получения подтверждающего документа о совершении платежа (выдачи чека, получения SMS-подтверждения и т.д.), и окончательным - в момент ввода денежных средств в купюроприемник платежного терминала или списания средств с банковского счета или электронного кошелька пользователя и одновременного зачисления на счет получателя.
(В редакции постановлений Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-14-(ПС), 14 декабря 2022 года № 2022-П-14/78-5-(ПС))
17. Пользователь может опротестовать транзакцию, проведенную в системе удаленного/дистанционного обслуживания, подав поставщику услуг заявление в соответствии с условиями договора. Поставщик услуг осуществляет отмену транзакции согласно регламенту и порядку работы соответствующей платежной системы, если иное не предусмотрено условиями договора.
18. Поставщик услуг обязан ознакомить/информировать пользователя с правилами пользования и тарифами на оказываемые услуги до момента подписания договора или перед началом удаленного/дистанционного обслуживания.
(В редакции постановления Правления Национального банка КР от 19 июня 2019 года № 2019-П-12/32-3-(НПА))
Глава 5. Управление рисками
19. Поставщик услуг должен осуществлять контроль за рисками, возникающими в процессе деятельности и совершенствовать политику управления рисками, возникающими при удаленном/дистанционном обслуживании в соответствии с нормативными правовыми актами Национального банка.
(В редакции постановления Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-14-(ПС))
20. Поставщик услуг должен разработать и внедрить комплексную систему по обеспечению информационной безопасности удаленного/дистанционного обслуживания.
21. Система информационной безопасности удаленного/дистанционного обслуживания, как минимум, должна содержать следующие аспекты:
- выявление и оценка рисков, связанных с предоставлением удаленных/дистанционных обслуживаний;
- определение мер по снижению рисков, в том числе, применение соответствующих технологий идентификации клиента и норм внутреннего контроля (проверка подлинности и актуальности средств идентификации);
- определение мер по защите информации клиента от несанкционированного доступа и обеспечение целостности данной информации;
- оценка мер по информированию клиентов;
- определение и оценка лимитов по проводимым транзакциям;
- контроль осуществления транзакций по лимитам, установленным по открытию и проведению платежей через системы удаленного/дистанционного обслуживания;
- мониторинг действий пользователя.
(В редакции постановлений Правления Национального банка КР от 19 июня 2019 года № 2019-П-12/32-3-(НПА), 14 декабря 2022 года № 2022-П-14/78-5-(ПС))
22. Поставщик услуг, по мере необходимости, обязан корректировать и обновлять свою систему информационной безопасности в соответствии с любыми изменениями в технологии предоставления удаленного/дистанционного обслуживания, при обнаружении уязвимости в информационных системах, для обеспечения при возникновении внешних или внутренних угроз мошенничества, конфиденциальности и целостности информации.
23. Поставщик услуг должен представлять в Национальный банк информацию о правонарушениях и фактах мошенничества при предоставлении удаленного/дистанционного обслуживания в соответствии с установленными требованиями нормативных правовых актов Национального банка.
24. Поставщик услуг должен обеспечить своевременное обновление и модернизацию систем безопасности согласно утвержденным внутренним процедурам.
25. Для обеспечения идентификации своих пользователей, Поставщик услуг должен применять методики по снижению возможных рисков. Поставщик услуг должен отслеживать, оценивать и внедрять новые технологии идентификации клиента, а также в зависимости от вида операции и уровня доступа обеспечивать внедрение соответствующих изменений в систему идентификации клиента на основе существующих факторов риска. Если оценка риска определяет недостаточный уровень безопасности при применении идентификационных мер, основанных на единичном факторе (например пароль/код), поставщикам следует использовать многофакторные меры идентификации (например, пароль/код/одноразовый код, номер карты и персональный идентификационный номер).
26. Применение соответствующих способов идентификации должно быть определено в процессе оценки рисков. При использовании соответствующих способов идентификации должны учитываться следующие аспекты: вид систем удаленного/дистанционного обслуживания (информационный или операционный), разновидность систем (интернет-банкинг, мобильный банкинг, мобильные приложения и другие), статус клиента (юридическое или физическое лицо), вид операций разрешенных системой, объем и количество операций.«»
(В редакции постановления Правления Национального банка КР от 14 декабря 2022 года № 2022-П-14/78-5-(ПС))
27. При предоставлении услуг по удаленному управлению банковскими счетами, обязательствами пользователя перед НФКО или электронными кошельками с полной идентификацией поставщик должен выполнять требования законодательства Кыргызской Республики по надлежащей проверке клиентов, в том числе требующих личное присутствие пользователя.
(В редакции постановлений Правления Национального банка КР от 19 июня 2019 года № 2019-П-12/32-3-(НПА), 11 декабря 2019 года № 2019-П-14/62-6-(ПС))
Глава 6. Система мониторинга и оценка операций
28. Поставщик услуг при удаленном/дистанционном обслуживании должен иметь систему мониторинга, способную определять несанкционированные операции в информационных системах.
(В редакции постановлений Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-14-(ПС), 14 декабря 2022 года № 2022-П-14/78-5-(ПС))
29. Поставщик услуг для определения несанкционированных операций, выявления вторжений в информационную систему, восстановления событий и отслеживания хода нарушения безопасности информационной системы должен вести электронные регистрационные журналы.
(В редакции постановления Правления Национального банка КР от 14 декабря 2022 года № 2022-П-14/78-5-(ПС))
30. Поставщик услуг при обнаружении фактов несанкционированного доступа/операций обязан незамедлительно приостановить доступ к системе удаленного/дистанционного обслуживания и при необходимости к банковскому счету и иным инструментам.
(В редакции постановления Правления Национального банка КР от 14 декабря 2022 года № 2022-П-14/78-5-(ПС))
31. В целях обеспечения контроля и управления безопасностью системы удаленного/дистанционного обслуживания, независимый орган (то есть, внутренний, при наличии сертифицированного специалиста по IT-аудиту (или внешний аудит) должен проводить анализ отчетов, в которых должны быть отражены меры по обеспечению информационной безопасности.
(В редакции постановления Правления Национального банка КР от 14 декабря 2022 года № 2022-П-14/78-5-(ПС))
Глава 7. Заключение
32. Поставщик услуг должен заранее информировать Национальный банк о начале или прекращении предоставления удаленного/дистанционного обслуживания, включающий в себя перечень банковских и платежных услуг.
(В редакции постановления Правления Национального банка КР от 14 декабря 2022 года № 2022-П-14/78-5-(ПС))
33. Все взаимоотношения между пользователем и поставщиком услуг, не определенные в настоящем Положении, должны быть оговорены в договоре с поставщиком услуг.
|
|
Приложение 1 к Положению «О минимальных требованиях по предоставлению удаленного/дистанционного обслуживания в Кыргызской Республике» |
Информация
для пользователя
(В редакции постановлений Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-14-(ПС), 14 декабря 2022 года № 2022-П-14/78-5-(ПС))
Для обеспечения безопасности в процессе проведения операций посредством удаленного/дистанционного обслуживания и защиты данных пользователи должны быть проинформированы о своих обязанностях и ответственности.
1. Пользователь при использовании интернет-банкинга:
1) не должен раскрывать посторонним лицам логин, пароль и другие данные;
2) не должен хранить свой логин и пароль и другие данные на устройствах доступа (персональный компьютер, мобильный телефон и т.д.) или других незащищенных носителях;
3) необходимо периодически менять пароль, при этом не использовать пароли с низким уровнем защиты, такие как имя или дата рождения. Пароль должен содержать комбинацию, состоящую из не менее 6 знаков: букв (прописных и заглавных), специальных символов и цифр;»;
4) должен обеспечить конфиденциальность личной информации, а именно не раскрывать личную информацию (данные паспорта, адрес электронной почты и другие данные) посторонним лицам;
5) необходимо регулярно проверять историю операций и выписки для отслеживания ошибок или несанкционированных операций по счету и незамедлительно информировать поставщика услуг о любых случаях несанкционированных операций;
6) необходимо проверять правильность и безопасность веб-страницы, при этом:
- перед осуществлением любых онлайн-операций или предоставлением личной информации должен убедиться, что используется правильная веб-страница интернет-банкинга. Необходимо остерегаться фальшивых веб-страниц, созданных в целях мошенничества;
- необходимо убедиться в безопасности веб-страницы, проверив наличие Унифицированных Указателей Ресурсов (URL), которые должны начинаться с «https», а на статусе интернет-браузера должен появиться знак защищенного соединения;
- всегда вводить URL веб-страницы непосредственно в интернет-браузер и избегать перенаправления или ссылки на другие ненадежные страницы;
- по возможности использовать программу, которая автоматически шифрует или кодирует передаваемую информацию в процессе осуществления электронных операций;
7) должен защитить свое устройство доступа (персональный компьютер, мобильный телефон и т.д.) от несанкционированного доступа и вредоносных программ;
8) необходимо покинуть сайт, где осуществляются электронные операции, даже если устройство оставлено без присмотра на короткий срок, и не забывать выходить из системы после осуществления электронных операций;
9) необходимо ознакомиться с политикой безопасности системы интернет-банкинга:
- необходимо внимательно ознакомиться с условиями системы интернет-банкинга относительно осуществления платежей, переводов, дебетования/кредитования счета и другими условиями банковского обслуживания;
- перед вводом личной финансовой информации системы интернет-банкинга необходимо внимательно ознакомиться с условиями использования или распространения данной информации.
2. Пользователь при использовании мобильного банкинга, мобильного приложения:
- не должен раскрывать посторонним лицам свой PIN-код, пароль к системе удаленного/дистанционного обслуживания, пароль от электронной почты, иные сведения, которые могут способствовать несанкционированному доступу при удаленном/дистанционном обслуживании от имени пользователя;
- необходимо периодически менять свой PIN-код, пароль используемый для мобильного банкинга, мобильного приложения;
- не должен позволять посторонним лицам использовать свой мобильный телефон, через который осуществляется банковская операция;
- при потере или краже мобильного телефона незамедлительно сообщить поставщику услуг;
- не должен отправлять свою личную информацию, содержащую пароль или PIN-код, через электронную почту, социальные сети и другие средства электронного обмена данными;
- необходимо регулярно проверять историю операций и выписки для отслеживания ошибок или несанкционированных операций и незамедлительно информировать поставщика услуг о любых случаях несанкционированных операций;
- должен незамедлительно сообщить поставщику услуг при возникновении любых вопросов относительно безопасности доступа к системам удаленного/дистанционного обслуживания.
Необходимые меры для обеспечения безопасного хранения карт, их реквизитов, PIN-кода и безопасности других данных определены в нормативных правовых актах Национального банка.
(В редакции постановлений Правления Национального банка КР от 8 июня 2017 года № 2017-П-14/23-14-(ПС), 14 декабря 2022 года № 2022-П-14/78-5-(ПС))
|
|
Приложение 2 к Положению «О минимальных требованиях по предоставлению удаленного/дистанционного обслуживания в Кыргызской Республике» |
Требования к использованию электронной подписи при удаленном/дистанционном обслуживании
(В редакции постановлений Правления Национального банка КР от 19 июня 2019 года № 2019-П-12/32-3-(НПА), 31 марта 2021 года № 2021-П-12/14-5-(НПА))
В целях признания юридической значимости электронных документов при удаленном/дистанционном обслуживании устанавливаются следующие условия по использованию электронной подписи.
1. Применение электронной подписи должно сопровождаться информационными сообщениями о юридической значимости операций и сделок, совершаемых с ее использованием, и требовать от пользователя их подтверждения.
2. Электронная подпись применяется ко всему документу, представленному в виде информационного сообщения, либо документу, направленному в соответствии с соглашением между сторонами информационного обмена.
3. Использование электронной подписи должно осуществляться в соответствии с требованиями законодательства Кыргызской Республики по надлежащей проверке клиентов.
4. Электронная подпись используется при:
- получении согласия по типовым операциям (обработка персональных данных, заявки на получение кредита, выпуск карт и т.п.);
- подписании договоров по открытию счетов (вкладов);
- подписании договоров на получение кредита в соответствии с установленными лимитами;
- обновлении идентификационных данных за исключением ФИО и персонального идентификационного номера клиента. Обновление позволяется при возможности их верификации.
5. Простая электронная подпись должна применяться для операций с низким уровнем риска в соответствии с внутренними политиками по управлению рисками.
6. Операции со средним уровнем риска и выше в соответствии с внутренними политиками по управлению рисками должны проводиться с использованием усиленной подписи.