СПРАВКА – ОБОСНОВАНИЕ
к проекту постановления Правления Национального банка Кыргызской Республики
«О внесении изменения в постановление Правления Национального банка
Кыргызской Республики «Об утверждении Положения «О минимальных требованиях по предоставлению дистанционных банковских и платежных услуг
в Кыргызской Республике»
Во исполнении статьи 3 Закона Кыргызской Республики «О внесении изменений в некоторые законодательные акты Кыргызской Республики по вопросам платежных систем (в Закон Кыргызской Республики «О платежной системе Кыргызской Республики», Кодекс Кыргызской Республики «Об административной ответственности»)» (далее – Закон), подписанного Президентом Кыргызской Республики от 1 марта 2017 года за № 38 о приведении в соответствие нормативные правововые акты Кыргызской Республики с настоящим законом. Внесены изменения и дополнения в Положение «О минимальных требованиях по предоставлению дистанционных банковских и платежных услуг в Кыргызской Республике» (далее – проект Положения), регулирующее инновационный доступ к банковским услугам.
Согласно части 3 статьи 1 и части 3 статьи 14, в проекте Положения дополнено участие оператора связи в дистанционном банкинге на основании заключения договора с банком по оказанию услуг связи. В части требований к поставщикам услуг включены дополнительные требования об обязательном обеспечении сохранения банковской тайны при передаче финансовой информации, о принятии необходимых организационных мер для защиты персональных данных пользователя, слово «идентификация» заменено на слово «аутентификация», в терминах и определениях включены новые виды дистанционного банкинга.
Приложение
к проекту постановления
Национального банка
Кыргызской Республики
от «___» _______2017 г. № __
Изменения и дополнения в постановление Правления Национального банка
Кыргызской Республики «Об утверждении Положения «О минимальных требованиях
по предоставлению дистанционных банковских и платежных услуг
в Кыргызской Республике» от 15 апреля 2015 года № 22/3
Внести в постановление Правления Национального банка Кыргызской Республики «Об утверждении Положения «О минимальных требованиях по предоставлению дистанционных банковских и платежных услуг в Кыргызской Республики» от 15 апреля 2015 года № 22/3 следующие изменения и дополнения:
в Положении «О минимальных требованиях по предоставлению дистанционных банковских и платежных услуг в Кыргызской Республике», утвержденном вышеуказанным постановлением:
1. В Главе 1
- в пункте 1 дополнить Законом «Об электрической и почтовой связи».;
- пункт 3 изложить в следующей редакции:
«3. В рамках настоящего Положения, дистанционные банковские и платежные услуги (далее – дистанционный банкинг) предоставляются удаленно по каналам связи посредством персональных компьютеров, мобильных телефонов, банкоматов (ATM-банкинг), электронных терминалов, в том числе автоматизированных терминалов самообслуживания (cash-in), мобильный банкинг (WAP – банкинг, SMS – банкинг, SIM - апплет, мидлет и другие) и иными способами, не противоречащими законодательству Кыргызской Республики».)».
- по тексту Положения слова «дистанционные банковские и платежные услуги» во всех падежных окончаниях заменить на слова «дистанционный банкинг»,
- Главу 1. дополнить пунктом 3-1 и изложить в следующей редакции:
«3-1. При оказании дистанционного банкинга привлекается оператор связи (оператор мобильной сотовой связи/оператор сети подвижной связи) для оказания услуг связи в соответствии с заключенным договором с поставщиками услуг и пользователями банковских и платежных услуг. В случае если оператор связи принимает платежи в пользу третьих лиц за товары/услуги, то деятельность должна осуществлятся в порядке, установленном законодательством Кыргызской Республики.».
2. Главу 2 дополнить абзацами 8 и 9 следующего содержания:
8) WAP-банкинг – удаленное управление счетами посредством мобильного телефона, оснащенного специальным программным обеспечением на базе протокола беспроводной передачи данных.
9) SIM-апплет – вид дистанционного банкинга. При его использовании платежное приложение записывается непосредственно на SIM-карту телефона и позволяет достаточно безопасно производить финансовые транзакции. Для использования этой технологии клиенту необходимо предварительно приобрести новую SIM-карту с установленным платежным приложением банка».
3. В Главе 3
- пункт 5 дополнить 6 абзацем следующего содержания;
«- обеспечить соблюдение банковской тайны при перемещении сообщений, передаваемых по сетям подвижной радиотелефонной связи»;
дополнить пунктом 8-1 следующего содержания:
«8-1. Поставщик услуг должен информировать пользователей не менее чем за десять календарных дней до введения в действие изменений тарифов на свои услуги через веб-сайт или средства массовой информации.».
4. В главе 4
в пятом абзаце пункта 14 слово «идентификацию» заменить на слово «аутентификацию»;
в подпункте 1 пункта 15 после слова «мобильный банкинг/» дополнить словом «платежа»;
в пункте 15 дополнить четвертым абзацем и следующего содержания:
«принимать необходимые меры для защиты персональных данных пользователя»
5. Наименование Приложения 1 изложить в следующей редакции:
«- Информация для пользователей дистанционного банкинга»
- по всему тексту Приложения 1 слово «клиент» в различных падежах заменить словом «пользователь» в соответствующих падежах;
- первый абзац пункта 2 изложить в следующей редакции:
«- не раскрывать свой персональный идентификационный номер (ПИН) посторонним лицам»;
- в абзаце четвертом пункта 2 слова «сообщить в обслуживающую кредитную организацию» заменить словами «сообщить в обслуживающий банк/оператору связи».
СРАВНИТЕЛЬНАЯ ТАБЛИЦА
к проекту О внесении изменений в постановление Правления Национального банка Кыргызской Республики «Об утверждении Положения «О минимальных требованиях по предоставлению дистанционных банковских и платежных услуг в Кыргызской Республике»
|
Действующая редакция |
Предлагаемая редакция |
|
1. Настоящее Положение "О минимальных требованиях по предоставлению дистанционных банковских и платежных услуг в Кыргызской Республике" (далее по тексту - Положение) разработано в соответствии с Законами "О Национальном банке Кыргызской Республики» ,О банках и банковской деятельности в Кыргызской Республике», "О противодействии финансированию терроризма и легализации (отмыванию) доходов, полученных преступным путем" (далее - Закон "О ПФТ/ОД"), "О лицензионно-разрешительной системе в Кыргызской Республике", "О платежной системе Кыргызской Республики", «Об электрической и почтовой связи» и другими нормативными правовыми актами Кыргызской Республики. |
1. Настоящее Положение "О минимальных требованиях по предоставлению дистанционных банковских и платежных услуг в Кыргызской Республике" (далее по тексту - Положение) разработано в соответствии с Законами "О Национальном банке Кыргызской Республики», “О банках и банковской деятельности в Кыргызской Республике», "О противодействии финансированию терроризма и легализации (отмыванию) доходов, полученных преступным путем" (далее - Закон "О ПФТ/ОД"), "О лицензионно-разрешительной системе в Кыргызской Республике", "О платежной системе Кыргызской Республики", «Об электрической и почтовой связи» и другими нормативными правовыми актами Кыргызской Республики. |
|
3. В рамках настоящего Положения, дистанционные банковские и платежные услуги предоставляются удаленно по каналам связи посредством персональных компьютеров, мобильных телефонов, банкоматов (ATM-банкинг), электронных терминалов, в том числе автоматизированных терминалов самообслуживания (cash-in), мобильный банкинг (WAP – банкинг, SMS – банкинг, SIM - апплет, мидлет и другие) и иными способами, не противоречащими законодательству Кыргызской Республики. |
3. В рамках настоящего Положения, дистанционные банковские и платежные услуги (далее – дистанционный банкинг) предоставляются удаленно по каналам связи посредством персональных компьютеров, мобильных телефонов, банкоматов (ATM-банкинг), электронных терминалов, в том числе автоматизированных терминалов самообслуживания (cash-in), мобильный банкинг (WAP – банкинг, SMS – банкинг, SIM - апплет, мидлет и другие) и иными способами, не противоречащими законодательству Кыргызской Республики. |
|
|
3-1. При оказании дистанционного банкинга привлекается оператор связи (оператор мобильной сотовой связи/оператор сети подвижной связи) для оказания услуг связи в соответствии с заключенным договором с поставщиками услуг и пользователями банковских и платежных услуг. В случае если оператор связи принимает платежи в пользу третьих лиц за товары/услуги, то деятельность должна осуществлятся в порядке, установленном законодательством Кыргызской Республики. |
|
2) Поставщик дистанционных банковских и платежных услуг (поставщик услуг) - банки, операторы платежных систем и платежные организации и иные специализированные финансово-кредитные учреждения, имеющие лицензию Национального банка на осуществление отдельных банковских операций и проведение платежей в пользу третьих лиц (платежные услуги), предусмотренной законодательством Кыргызской Республики. |
2) Поставщик дистанционного банкинга (поставщик услуг) - банки, операторы платежных систем и платежные организации и иные специализированные финансово-кредитные учреждения, имеющие лицензию Национального банка на осуществление отдельных банковских операций и проведение платежей в пользу третьих лиц (платежные услуги), предусмотренной законодательством Кыргызской Республики. |
|
3) Пользователь дистанционных банковских и платежных услуг (пользователь) - физическое или юридическое лицо либо индивидуальный предприниматель, использующий дистанционные банковские и платежные услуги для удаленного управления своим банковским счетом или электронным кошельком. |
3) Пользователь дистанционного банкинга (пользователь) - физическое или юридическое лицо либо индивидуальный предприниматель, использующий дистанционные банковские и платежные услуги для удаленного управления своим банковским счетом или электронным кошельком. |
|
|
9) WAP-банкинг - удаленное управление счетами посредством мобильного телефона, оснащенного специальным программным обеспечением на базе протокола беспроводной передачи данных. |
|
|
10) SIM-апплет - вид дистанционного банкинга. При его использовании платежное приложение записывается непосредственно на SIM-карту телефона и позволяет достаточно безопасно производить финансовые транзакции. Для использования этой технологии клиенту необходимо предварительно приобрести новую SIM-карту с установленным платежным приложением банка. |
|
5. Поставщик услуг для оказания услуг дистанционного банкинга должен, как минимум: - разработать и утвердить внутренние нормативные документы, определяющие порядок и условия предоставления дистанционных банковских и платежных услуг; - обеспечить эффективный контроль за процессом предоставления данных услуг и сохранность денежных средств пользователей;
- разработать внутреннюю политику информационной безопасности определяющую ответственность поставщиков услуг при взаимодействии с пользователями; - разработать типовые договора между поставщиками услуг дистанционного банкинга и пользователями; - соблюдать требования по противодействию отмыванию денег и финансированию терроризма в соответствии с законодательством Кыргызской Республики. |
5. Поставщик услуг для оказания услуг дистанционного банкинга должен, как минимум: - разработать и утвердить внутренние нормативные документы, определяющие порядок и условия предоставления дистанционных банковских и платежных услуг; - обеспечить эффективный контроль за процессом предоставления данных услуг и сохранность денежных средств пользователей; - разработать внутреннюю политику информационной безопасности определяющую ответственность поставщиков услуг при взаимодействии с пользователями; - разработать типовые договора между поставщиками услуг дистанционного банкинга и пользователями; - соблюдать требования по противодействию отмыванию денег и финансированию терроризма в соответствии с законодательством Кыргызской Республики. - обеспечить соблюдение банковской тайны при перемещении сообщений, передаваемых по сетям подвижной радиотелефонной связи.
|
|
|
8-1. Поставщик услуг должен информировать пользователей не менее чем за десять календарных дней до введения в действие изменений тарифов на свои услуги через веб-сайт или средства массовой информации. |
|
Глава 4. Требования при оказании дистанционных банковских и платежных услуг. |
Глава 4. Требования при оказании дистанционного банкинга |
|
|
10. Дистанционный банкинг должен предоставляться на основании письменного договора между пользователем и поставщиком услуг или договора публичной оферты, в котором должны быть указаны, как минимум: - в случае предоставления услуг по удаленному управлению банковскими счетами или электронными кошельками с полной идентификацией - персональные данные пользователя (фамилия, имя, отчество, паспортные данные (или другие документы, удостоверяющие личность в соответствии с законодательством Кыргызской Республики) и другие личные данные пользователя, позволяющие его идентифицировать); - перечень предоставляемых услуг; - способы предоставления дистанционного банкинга и получения доступа к ним (через Интернет, каналы связи, телефон (мобильное устройство), персональный компьютер и другие устройства); |
|
13. При осуществлении доступа и обслуживании с использованием банкоматов (АТМ-банкинг) и автоматизированных платежных терминалов (платежный терминал): 1) Доступ к АТМ-банкингу осуществляется посредством банковских платежных карт и других платежных инструментов для получения наличных денежных средств, осуществления денежных переводов и других безналичных платежей, получения информации по совершенным транзакциям по банковскому счету, и выдачи чека либо SMS-информирования по всем видам произведенных транзакций на мобильный телефон, согласно договору с пользователем. |
13. При осуществлении доступа и обслуживании с использованием банкоматов (АТМ-банкинг) и автоматизированных платежных терминалов (платежный терминал): 1) Доступ к АТМ-банкингу осуществляется посредством банковских платежных карт для получения наличных денежных средств, осуществления денежных переводов и других безналичных платежей, получения информации по совершенным транзакциям по банковскому счету, и выдачи чека либо SMS-информирования по всем видам произведенных транзакций на мобильный телефон, согласно договору с пользователем. |
|
14. Требования при обслуживании через интернет-банкинг. 1) При обслуживании пользователя через интернет-банкинг, поставщик услуг должен, как минимум: - информировать клиентов о возможных рисках и о мерах предосторожности; - использовать защищенные сетевые протоколы; - применять механизмы по предотвращению мошеннической подмены веб-страниц сервера интернет-банкинга; - использовать многофакторную идентификацию (например, пароль/код/одноразовый код, и персональный идентификационный номер); - применять политику, предусматривающую использование сложных паролей и их регулярное изменение; - использовать механизмы предотвращения автоматического подбора паролей; - использовать механизмы блокировки сеанса соединения с сервером интернет-банкинга при бездействии пользователя сверх установленного промежутка времени. |
14. Требования при обслуживании через интернет-банкинг. 1) При обслуживании пользователя через интернет-банкинг, поставщик услуг должен, как минимум: - информировать клиентов о возможных рисках и о мерах предосторожности; - использовать защищенные сетевые протоколы; - применять механизмы по предотвращению мошеннической подмены веб-страниц сервера интернет-банкинга; - использовать многофакторную аутентификацию (например, пароль/код/одноразовый код, и персональный идентификационный номер); - применять политику, предусматривающую использование сложных паролей и их регулярное изменение; - использовать механизмы предотвращения автоматического подбора паролей; - использовать механизмы блокировки сеанса соединения с сервером интернет-банкинга при бездействии пользователя сверх установленного промежутка времени. |
|
15. Требования при обслуживании через мобильный банкинг/мобильный телефон. 1) Поставщик услуг при подключении услуги мобильного банкинга пользователю должен иметь соответствующие договора с операторами сотовой связи и предусмотреть в договоре, как минимум, следующее: - условия регистрации и идентификации пользователя у поставщика услуг (банковский счет, электронный кошелек, идентифицированная SIM-карта клиента); - правила и процедуры безопасности при проведении платежей с использованием мобильных устройств (недопущение передачи информации третьим сторонам без согласия пользователя при обмене и передачи сообщений между пользователем и поставщиками услуг; обеспечение конфиденциальности при передаче финансовых сообщений и платежей); - порядок доступа для осуществления платежей; - другие условия, установленные в пункте 10 настоящего Положения. |
15. Требования при предоставлении услуги мобильного банкинга или услуги посредством мобильного телефона. 1) Поставщик услуг при подключении услуги мобильного банкинга/платежа пользователю должен иметь соответствующие договора с оператором связи и предусмотреть в договоре, как минимум, следующее: - условия регистрации и идентификации пользователя у поставщика услуг (банковский счет, электронный кошелек, идентифицированная SIM-карта клиента); - правила и процедуры безопасности при проведении платежей с использованием мобильных устройств (недопущение передачи информации третьим сторонам без согласия пользователя при обмене и передачи сообщений между пользователем и поставщиками услуг; обеспечение конфиденциальности при передаче финансовых сообщений и платежей); - принимать необходимые меры для защиты персональных данных пользователя; - порядок доступа для осуществления платежей; - другие условия, установленные в пункте 10 настоящего Положения. |
|
21. Система информационной безопасности дистанционного банкинга, как минимум, должна содержать следующие аспекты: - выявление и оценка рисков, связанных с предоставлением дистанционных банковских и платежных услуг; |
21. Система информационной безопасности дистанционного банкинга, как минимум, должна содержать следующие аспекты: - выявление и оценка рисков, связанных с предоставлением дистанционного банкинга; |
|
26. Применение соответствующих способов идентификации должны быть определенны в процессе оценки рисков. Используемые способы должны учитывать следующие аспекты: вид систем дистанционных банковских и платежных услуг (информационный или операционный), разновидность систем (АТМ-банкинг, системы "клиент-банк", интернет-банкинг, мобильный банкинг, домашний банкинг и другие) статус клиента (юридическое или физическое), вид операций разрешенных системой, объем и количество операций. |
26. Применение соответствующих способов идентификации должны быть определены в процессе оценки рисков. Используемые способы должны учитывать следующие аспекты: вид систем дистанционного банкинга (информационный или операционный), разновидность систем (АТМ-банкинг, системы "клиент-банк", интернет-банкинг, мобильный банкинг, домашний банкинг и другие) статус клиента (юридическое или физическое), вид операций разрешенных системой, объем и количество операций. |
|
28. Поставщик услуг при предоставлении дистанционных банковских и платежных услуг должен иметь систему мониторинга, способную определять неавторизованные действия в информационных системах. |
28. Поставщик услуг при предоставлении дистанционного банкинга должен иметь систему мониторинга, способную определять неавторизованные действия в информационных системах. |
|
Информация для пользователей дистанционных банковских и платежных услуг |
Информация для пользователей дистанционного банкинга |
|
Для обеспечения безопасности в процессе проведения операций в рамках дистанционных банковских и платежных услуг и защиты персональных данных, клиенты должны быть проинформированы о своих обязанностях и ответственности. 1. Клиент при использовании интернет-банкинга должен: |
Для обеспечения безопасности в процессе проведения операций в рамках дистанционного банкинга и защиты персональных данных, пользователи должны быть проинформированы о своих обязанностях и ответственности. 1. Пользователь при использовании интернет-банкинга должен |
|
2. Клиент при использовании мобильного банкинга должен: - не раскрывать свой персональный идентификационный номер мобильного банкинга (ПИН) посторонним лицам; - периодически менять свой персональный идентификационный номер, используемый для мобильного банкинга; - не позволять другим использовать свой мобильный телефон, через который осуществляется банковская операция; - при потере или краже мобильного телефона, нужно незамедлительно сообщить в обслуживающую кредитную организацию; - не отправлять свою личную информацию, особенно пароль или персональный идентификационный номер через электронную почту, социальные сети и другие средства электронного обмена данными; - незамедлительно сообщить поставщику услуг при возникновении любых вопросов относительно безопасности банковского счета. |
2. Пользователь при использовании мобильного банкинга/услуги посредством мобильного телефона должен: - не раскрывать свой персональный идентификационный номер (ПИН) посторонним лицам; - периодически менять свой персональный идентификационный номер, используемый для мобильного банкинга, электронного кошелька; - не позволять другим использовать свой мобильный телефон, через который осуществляется банковская операция; - при потере или краже мобильного телефона, нужно незамедлительно сообщить в обслуживающий банк/оператору связи; - не отправлять свою личную информацию, особенно пароль или персональный идентификационный номер через электронную почту, социальные сети и другие средства электронного обмена данными; - незамедлительно сообщить поставщику услуг при возникновении любых вопросов относительно безопасности банковского счета. |
Версия для слабовидящих