Вернуться назад

Проект 

 

 

ПОЛОЖЕНИЕ 

о нештатных ситуациях в платежной системе 

 

1. Общие положения 

 

1. Положение «О нештатных ситуациях в платежной системе» (далее Положение) определяет основные понятия и требования к функционированию платежной системы Кыргызской Республики и действиям персонала при возникновении нештатных ситуаций в платежной системе, связанных с: 

надежностью и бесперебойностью; 

доступностью; 

несанкционированным доступом к системе и мошенничеством; 

форс-мажорными обстоятельствами. 

2. Настоящее Положение распространяется на участников и операторов платежной системы, провайдеров критических услуг, являющихся резидентами Кыргызской Республики (далее Национальный банк). 

3. Платежная система Кыргызской Республики включает: 

системно-значимые платежные системы (далее СЗПС); 

значимые платежные системы (далее ЗПС); 

другие платежные системы. 

4. Организация деятельности платежной системы и инфраструктуры платежной системы должна предусматривать восстановление штатной работоспособности системы и минимизацию отрицательного влияния на функции, работоспособность которых оказалась нарушенной при возникновении нештатной ситуации. 

5. Поддержание бесперебойного функционирования платежной системы Кыргызской Республики предполагает удовлетворение следующим требованиям: 

гарантия осуществления расчета в пределах установленного законодательством срока; 

гарантия исполнения расчета платежной системой и возврата денежных средств в сумме, размер которой определен законодательством, в случае неисполнения расчета платежной системой;  

обеспечение доступа к платежным услугам без ограничений для всех пользователей и в течение периода времени, востребованного пользователями, но ограниченный регламентом работы платежных систем.  

6. Национальный банк осуществляет: 

надзор (оверсайт) за функционированием платежной системы Кыргызской Республики; 

наблюдение за технической инфраструктурой платежной системы Кыргызской Республики, в том числе контроль за функционированием межбанковской коммуникационной сети (далее МКС) и Узлом коллективного пользования SWIFT (далее УКП SWIFT), которые являются частью технической инфраструктуры платежной системы Кыргызской Республики; 

проверки деятельности операторов и участников платежных систем, банков, выпускающих электронные деньги; и платежных организаций, провайдеров критических услуг в соответствии с нормативными правовыми актами Национального банка. 

 

2. Определения 

 

7. Для целей настоящего Положения используются термины и определения, установленные законами Кыргызской Республики «О Национальном банке Кыргызской Республики, банках и банковской деятельности», «О платежной системе Кыргызской Республики», Положением «О безналичных расчетах в Кыргызской Республике», утвержденным постановлением Правительства Кыргызской Республики и Национального банка Кыргызской Республики от 9 сентября 2005 года №420/21/4, Политикой по надзору (оверсайту) за платежной системой Кыргызской Республики, утвержденной постановлением Национального банка Кыргызской Республики от 15 июля 2015 года №38/4, а также Положением «О банковских платежных картах в Кыргызской Республике», утвержденным постановлением Правления Национального банка Кыргызской Республики от 9 декабря 2015 года №76/8. В настоящем Положении также используются следующие термины и определения: 

Инцидент это любое событие, которое не является частью штатного функционирования системы и вызывает, или может негативно отразиться на бесперебойности или качестве проведения платежей и расчетов в платежной системе.  

Нештатная ситуация ситуация, которая не может быть решена встроенными автоматическими средствами управления рисками отдельной платежной системы в соответствии с правилами и технологией работы системы и требует для ее разрешения специально организованной деятельности персонала оператора или участника данной платежной системы. Правила управления нештатными ситуациями, ответственность и взаимодействие персонала устанавливаются во внутренних процедурах оператора/ участника платежной системы, провайдера критических услуг. 

Payment Card Industry Data Security Standard (PCI DSS) стандарт, определяющий параметры защиты информации в области банковских платежных карт, разработанный международными платежными системами («Visa» и «MasterCard»). 

"Floor limit" максимальная сумма транзакции, в рамках которой торгово-сервисное предприятие может проводить операции с банковскими платежными картами без авторизационного запроса. 

Мошенничество в платежной системе в рамках настоящего Положения это противоправные преднамеренные обманные действия (или злоупотребление доверием) персонала оператора/участника системы/провайдера критических услуг (внутреннее мошенничество) или третьей стороны (внешнее мошенничество), направленные на несанкционированный доступ и использование информации, относящейся к банковской тайне для получения денежных средств с банковских счетов/электронных кошельков участников системы и/или их клиентов. 

К данной деятельности относятся: 

распространение внутренней конфиденциальной информации; 

нарушение прав доступа к информации, оборудованию, допущение утечки информации; 

умышленное удаление информации, которое может привести к невыполнению обязательств оператором и/или участником системы перед своим клиентом или третьими лицами; 

использование необъективной или сфальсифицированной информации/ платежных инструментов; 

операции с украденными/утерянными банковскими платежными картами/данными банковских платежных карт для осуществления покупки товаров и услуг, а также снятия/перевода/хищения денежных средств; 

многократное снятие денежных средств путем оформления торгово-сервисным предприятием нескольких платежных чеков по одному факту оплаты; 

многократная оплата услуг и товаров в торгово-сервисных предприятиях на суммы, не превышающие определенный лимит ("floor limit") и не требующие проведения авторизации; 

несанкционированное использование периферийных устройств и платежной инфраструктуры и незаконное завладение чужими денежными средствами с банковских счетов, электронных кошельков, отправка и выдача денежных переводов; 

подключение электронного записывающего устройства к терминалу/банкомату; 

другие виды мошенничества (создание и использование фиктивных предприятий обслуживания банковских платежных карт, приема электронных денег, отправки и выдачи денежных переводов и т.д.). 

Облачные вычисления это предоставление вычислительной мощности, хранилищ для баз данных, приложений и других информационно-технологических ресурсов по требованию через платформы облачных услуг по сети с оплатой по факту использования. 

 

3. Надежность и бесперебойность платежных систем 

 

§1. Обеспечение надежности 

8. Ответственность за обеспечение бесперебойного функционирования и соблюдение регламента платежных систем несут операторы и участники платежных систем. Провайдеры критических услуг несут ответственность за обеспечение бесперебойной обработки и маршрутизации сообщений в рамках платежной системы. Распределение ответственности сторон в случаях возникновения нештатных ситуаций в процессе осуществления платежей/переводов и расчетов, порядок и время информирования определяются в договорах между оператором, участниками и провайдерами критических услуг, а также во внутренних процедурах, устанавливающих порядок действий и взаимоотношения персонала платежной системы и платежной инфраструктуры. 

9. Обеспечение конфиденциальности данных, безопасности системы, надежности и возможность восстановления должны входить в организацию и методы управления рисками и внутреннего контроля оператора/участников платежных систем/провайдеров критических услуг. Порядок управления рисками должен предусматривать периодическое обновление и мониторинг оценки рисков, включая изменения в системах, условиях эксплуатации или эксплуатации, которые могут повлиять на анализ рисков. 

10. Внутренние процедуры операторов/участников платежной системы/провайдеров критических услуг должны устанавливать регламент управления инцидентами, порядок проведения работ и взаимодействия персонала по восстановлению штатного функционирования системы. Данные процедуры должны быть детализированными и в обязательном порядке предусматривать: 

порядок и сроки информирования руководства и персонала системы о возникновении нештатной ситуации; 

регистрацию факта возникновения нештатной ситуации (дату, время, описание события) в специальном журнале; 

порядок действий, если проблемы не были решены на уровне ответственных исполнителей персонала системы за предусмотренное процедурами время; 

порядок информирования клиентов о любом крупном инциденте, который также должен учитывать оценку эффективности способа коммуникации, включая информирование широкой общественности в случаях, когда это необходимо. 

порядок и сроки информирования руководства и персонала системы после устранения нештатной ситуации и восстановления штатного функционирования системы, включая порядок регистрации информации о восстановлении штатного функционирования системы (дату, время, причину возникновения нештатной ситуации, содержание принятых мер по ее устранению с указанием ответственных исполнителей), подготовки актов и экспертных заключений о ситуации. 

11. Персонал оператора и участника платежной системы, провайдера критических услуг должен включать основной и дублирующий состав. В случае отсутствия какого-либо специалиста основного состава его функции выполняет специалист из дублирующего состава. 

12. Персонал оператора платежной системы должен включать: 

специалистов, выполняющих функции управления по сбору, обработке, и передаче платежей (переводов) и сообщений; 

специалистов, выполняющих функции мониторинга за платежами (переводами) и сообщениями, платежными очередями, различными лимитами, соединениями и действиями участников и пользователей участников и т.п.; 

специалистов, выполняющих функции управления проведением расчетов, включая окончательный расчет; 

специалистов по сопровождению системы, обеспечивающих бесперебойное функционирование технической инфраструктуры и безопасность системы. 

13. Персонал участника платежной системы должен включать: 

специалистов, выполняющих функции формирования, отправки и приема платежей (переводов), а также функции обмена другими сообщениями в рамках системы; 

специалистов по сопровождению системы, обеспечивающих бесперебойное функционирование и безопасность технической инфраструктуры участника системы. 

14. Персонал провайдера критических услуг должен включать: 

специалистов по сопровождению системы, обеспечивающих безопасное и бесперебойное функционирование технической инфраструктуры обмена сообщениями в рамках платежной системы. 

15. Техническая инфраструктура платежной системы должна включать: 

основной аппаратно-программный комплекс (далее АПК), к которому предъявляются определенные требования по обеспечению штатного функционирования системы и восстановлению в случае возникновения нештатных ситуаций; 

резервный АПК, который в случае выхода из строя любых компонентов основного аппаратно-программного комплекса должен полностью обеспечить штатное функционирование системы; 

каналы связи и средства безопасности передачи данных. 

16. Функционирование платежной системы и критической инфраструктуры должно осуществляться в соответствии с критериями по обеспечению непрерывности, установленными внутри каждой системы и включающими наличие: 

основного и резервного центров по обработке платежей и автоматическое или ручное переключение работы системы с основного на резервный АПК и наоборот в случае возникновения сбоев в работе системы. В случае СЗПС, ЗПС и у провайдеров критических услуг переключение работы системы с основного на резервный АПК и наоборот в случае возникновения сбоев в работе системы должно обеспечиваться в автоматическом режиме; 

средств безопасности передачи данных, минимизирующих риски несанкционированного доступа; 

установленного предельного значения времени простоя системы в случае возникновения сбоев в работе системы. В случае СЗПС и провайдеров критических услуг предельное время простоя системы в случае возникновения сбоев в работе системы не должно превышать 4-х часов; 

утвержденной максимальной продолжительности времени автоматизированного или ручного переключения между основным и резервным АПК с указанием максимально допустимого времени простоя до полного восстановления штатного функционирования системы; 

установленного предельного времени восстановления базы данных в случае возникновения сбоев; 

критерия максимально допустимого времени восстановления работы системы в случае сбоев основного и резервного АПК. 

17. Модернизация системы, время, условия реагирования и порядок взаимодействия с поставщиком АПК и программного обеспечения платежной системы при возникновении нештатных ситуаций, которые приводят к нарушению критериев непрерывности, и меры по их устранению должны быть определены в договоре на техническую поддержку с провайдерами услуг и поставщиком АПК и программного обеспечения платежной системы. 

18. Обновления систем, новые версии и вновь внедряемые системы, а также приложения должны проходить тестирование системы при различных сценариях стрессовой нагрузки и условиях восстановления до предоставления их широкому кругу пользователей. 

19. Операторы платежной системы должны иметь утвержденные пошаговые процедуры по: 

обеспечению непрерывного функционирования АПК системы и требуемых для его функционирования каналов связи с указанием разового и суммарного времени простоя системы в течение квартала; 

осуществлению переключения между основным и резервным АПК с указанием максимально допустимого времени простоя до полного восстановления штатного функционирования системы; 

проведению периодических проверок персоналом оператора системы работоспособности резервного АПК, каналов связи системы и регулярного тестирования переключения работы системы с основного на резервный АПК и наоборот; 

обеспечению непрерывности функционирования рабочих станций персонала оператора системы; 

обеспечению восстановления данных в случае их повреждения или искажения в соответствии с установленным регламентом; 

обеспечению конфиденциальности передаваемых и получаемых системой данных согласно законодательству Кыргызской Республики. 

Участники системы должны иметь процедуры по: 

обеспечению безопасности и непрерывности функционирования рабочих станций персонала участника системы; 

резервированию каналов связи по передаче данных; 

обеспечению конфиденциальности передаваемых и получаемых от платежной системы данных согласно законодательству Кыргызской Республики. 

20. Соответствующие меры поддержания работоспособности платежной системы должны быть предусмотрены при использовании облачных вычислений. Оператор и участники платежных систем до заключения контракта с провайдером услуг должны убедиться и подвергать проверке способность провайдера услуг восстанавливать внешние системы и услуги в оговоренных временных рамках. 

21. Для минимизации операционных рисков в СЗПС и УКП SWIFT при возникновении у участников проблем с рабочими станциями или каналами связи, оператор СЗПС и УКП SWIFT должен обеспечить для участников СЗПС и УКП SWIFT доступ к Единому сервисному центру (далее - ЕСЦ) проведения работ по формированию, отправке/получению платежных документов и других сообщений в системе. 

 

§2. Перебои энергоснабжения 

22. Оператор/участники платежных системы и провайдеры критических услуг должны обеспечить соответствие мощности линий и другого оконечного оборудования, через которое осуществляется подача энергоснабжения для работы систем, требованиям систем по мощности. 

23. В случаях перебоев энергоснабжения у оператора/участника платежных систем и провайдера критических услуг должно обеспечиваться автономное энергоснабжение. 

24. Оператор/участники платежных системы и провайдеры критических услуг должны иметь процедуры, регламентирующие время автономного функционирования системы, а также обеспечивающие выполнение требований по продолжительности автономной работы системы с момента прекращения энергоснабжения и до момента последующего переключения на резервный АПК системы. 

25. Участник СЗПС в случае перебоев энергоснабжения должен обеспечить отправку/получение платежных документов посредством ЕСЦ в соответствии с установленным Национальным банком порядком и регламентом. 

26. В случае перебоев энергоснабжения участник УКП SWIFT может проводить отправку/получение платежных документов через рабочие станции ЕСЦ в соответствии с установленным Национальным банком порядком и регламентом, или через альтернативные каналы передачи данных, используемые участником системы. 

27. После восстановления энергоснабжения работы по переводу на основной АПК проводятся в соответствии с установленными внутренними процедурами участника или оператора системы. 

 

§3. Сбои аппаратного и/или программного обеспечения системы 

28. Сбои аппаратного обеспечения включают в себя нарушение функционирования или выход из строя серверного, сетевого, криптографического оборудования, специализированного оборудования и рабочих станций участника/оператора системы. 

29. Сбои программного обеспечения включают в себя нарушение функционирования операционной системы, прикладного программного обеспечения, программного обеспечения на серверах доступа, инфраструктуры открытых ключей (PKI) и рабочих станций персонала системы. 

30. В СЗПС при сбоях аппаратного и/или программного обеспечения системы или рабочих станций оператора проводится автоматическое переключение на резервный АПК или резервные рабочие станции оператора в соответствии с установленным Национальным банком порядком. В случае невозможности перехода на резервный АПК, работы по обработке платежей участников системы и проведению окончательного расчета проводятся оператором в соответствии с установленным Национальным банком порядком. 

31. Участники системы при сбоях собственного аппаратного или программного обеспечения должны обеспечить использование альтернативных и/или резервных средств в соответствии со своими внутренними процедурами. 

32. В случае невозможности участником СЗПС продолжить работу со своего резервного оборудования выполнение соответствующих работ может проводиться через рабочие станции ЕСЦ в соответствии с установленным Национальным банком порядком и регламентом. 

33. В случае невозможности участником ЗПС продолжить работу с резервной рабочей станции, выполнение соответствующих работ может проводиться через рабочие станции оператора ЗПС в соответствии с установленным оператором порядком и регламентом. 

34. В случае невозможности участником УКП SWIFT продолжить работу со своего резервного оборудования, выполнение соответствующих работ может проводиться через рабочие станции ЕСЦ в соответствии с установленным Национальным банком порядком и регламентом, или через альтернативные каналы передачи данных, используемые участником системы. 

 

§4. Сбои каналов связи системы 

35. При сбое канала основного канала связи между основным и резервным АПК системы оператор системы должен провести переключение на резервный канал связи в соответствии со своими внутренними процедурами. 

36. При сбое основного канала связи между оператором и участниками системы участник системы должен провести переключение на собственный резервный канал связи в соответствии со своими внутренними процедурами. 

37. При выходе из строя обоих каналов связи у участника СЗПС и УКП SWIFT, работа по отправке/получении платежных документов и сообщений системы выполняется через ЕСЦ в соответствии с установленным Национальным банком порядком и регламентом. 

38. При выходе из строя обоих каналов связи участник ЗПС может выполнять работу с резервной рабочей станции оператора в соответствии с установленным оператором порядком и регламентом. 

 

§5. Нарушение регламента работы платежной системы 

39. К нарушениям регламента работы СЗПС и ЗПС относится продление периодов операционного дня вследствие: 

проведения работ по восстановлению штатного функционирования СЗПС и ЗПС в случае возникновения нештатной ситуации у оператора и/или участника системы в течение операционного дня; 

несвоевременной передачи сообщений и отчетов оператором ЗПС; 

несвоевременной передачи платежей и сообщений оператором и участниками СЗПС; 

несвоевременной передачи сообщений между ГСРРВ и СПК. 

40. Регламент и порядок работы системы определяются нормативными правовыми актами, регулирующими функционирование системы. Ответственность сторон за соблюдение и санкции за нарушение регламента и порядка работы системы устанавливаются в договорах и соглашениях между оператором и участниками системы. 

 

4. Несанкционированный доступ и мошенничество в платежной системе 

 

§1. Обеспечение безопасности 

41. Оператор и участники системы должны устанавливать четкую политику защиты информационных систем от несанкционированного доступа, злоупотребления или мошеннического изменения, вставки, удаления, замены, подавления или раскрытия, иметь внутреннюю политику по обеспечению информационной безопасности системы, которая должна: 

иметь четко определенные задачи, основные требования по обеспечению конфиденциальности и доступу к информации, адекватности внутреннего контроля, а также критерии разграничения ответственности соответствующих лиц при осуществлении контроля; 

предусматривать своевременное реагирование на возникновение подозрительных операций или попыток несанкционированного доступа и порядок взаимодействия с уполномоченным государственным органом и/или правоохранительными органами Кыргызской Республики; 

предусматривать разработку новых методов борьбы с мошенничеством; 

включать обязательные требования о проведении обучения сотрудников безопасности и персонала системы механизмам предотвращения мошенничества и несанкционированного доступа. 

42. Оператор и участники системы на регулярной основе (по мере необходимости, но не реже 1 раза в три года) должны осуществлять самооценку и пересмотр внутренней политики по безопасности с целью обновления и включения новых инновационных методов борьбы с мошенничеством и несанкционированным доступом в систему. 

43. Результаты самооценки должны по запросу представляться в Национальный банк. 

 

§2. Внутреннее мошенничество  

44. Для снижения риска возникновения внутреннего мошенничества оператор и участники системы должны иметь системы защиты от мошенничества и несанкционированного доступа на уровне аппаратно-программного комплекса (использование паролей и прав доступа к системе, криптографии, шифрования и т.п.), квалифицированный и прошедший проверку персонал для работы в системе, а также утвержденные должностные инструкции, определяющие ответственность, права и обязанности персонала. 

45. Разрешение спорных ситуаций при возникновении риска внутреннего мошенничества, ответственность сторон и другие условия работы с системой должны быть определены в договорах между оператором и участниками системы. 

 

§3. Мобильные платежи и платежи в режиме реального времени 

46. Оператор и участники системы должны предоставлять своим клиентам и пользователям гарантию того, что доступ к услугам, выполняемый через Интернет на веб-сайте или через приложение, будет надлежащим образом защищен и аутентифицирован. 

47. Оператор и участники системы должны применять алгоритмы шифрования, которые соответствуют общепринятым международным стандартам. 

48. Оператор и участники системы должны обеспечивать безопасность физического и логического доступа для того, чтобы разрешать доступ к своим системам только уполномоченному персоналу. Процедуры должны предусматривать механизмы обработки и передачи в целях защиты целостности систем и данных. 

49. Оператор и участники системы должны обеспечивать мониторинг для предупреждения о любых необычных операциях системы, ошибок при передаче данных или необычных онлайновых транзакций, а также наличие процедур реагирования на необычные операции.  

50. С ростом количества и объемов транзакций в системе мобильных и онлайновых услуг должно быть внедрено программное обеспечение автоматически отслеживающее подозрительные операции или характер изменения [динамики] платежей. В процессах обнаружения подозрительной активности должны учитываться такие качественные и количественные факторы, как: 

профиль и демографические данные клиентов. 

частота использования платежных услуг. 

торгово - сервисные предприятия, в которых приобретаются товары или услуги. 

местонахождение продавцов. 

суммы платежей. 

Оператор и участник системы должны иметь внутренние процедуры с описанием действий при выявлении подозрительных операций, методов противодействия мошенничеству. 

51. Оператор и участники системы должны предусматривать поддержание высокой доступности онлайновых систем и вспомогательных систем, в также процедуры восстановления на случай негативного воздействия извне, направленных на отказ системы. 

52. Оператор и участники системы должны предусматривать наличие многофакторных моделей аутентификации при входе в систему и подписании транзакций в целях авторизации. 

53. Системы должны предусматривать управление лимитами на операции для минимизации возможного ущерба. 

54. Операции должны быть возможно только после четко определенной авторизации в системе. 

55. Безопасность, обеспечиваемая базовыми используемыми сетевыми и инфраструктурами компаний-поставщиков на транспортном уровне, не может считаться адекватной применительно к конфиденциальным и секретным данным, в частности PIN-кодам и паролям (примерами такой инфраструктуры являются GSM, GPRS, 3G, Bluetooth, Wi-Fi 802.11b и IrDA и т.п.). 

56. В программном обеспечении, которое применяется в приложениях, должны быть внедрены меры, направленные на предотвращение дублирования транзакций, возникающего в результате задержек между сеансами связи или сбоев внутри сеанса.  

57. Соглашения с Провайдерами услуг мобильной связи должны включать наличие надлежащих планов восстановления и распределения ответственности в случае сбоев системы.  

58. Оператор и участники системы должны информировать своих клиентов о мерах безопасности для того, чтобы защищать свои мобильные устройства от вредоносного программного обеспечения или иного программного обеспечения, использование которых имеет пагубные последствия. 

 

§4. Банковские платежные карты 

59. При работе с банковскими платежными картами международных платежных систем оператору и участнику системы рекомендуется принять за основу "Общие критерии для оценки безопасности информационных технологий" (ISO/IEC 15408) и PCI DSS и придерживаться соблюдения данных требований. 

60. Оператор и участники (эмитенты) должны иметь внутренние процедуры с указанием в них, как минимум: 

ограничений по доступу персонала к базе данных системы (к информации о номерах карт, кодовых словах, фамилии, имени, отчестве держателя карты, об образце подписи и т.д.) и список сотрудников персонала системы, имеющих такой доступ; ответственность и санкции за нарушение ограничений; 

системы защиты от мошенничества при эмиссии карт; 

порядка обработки заявлений клиентов и получения карт, включающего требования по обязательной идентификации и проверке клиента; 

порядка возврата изъятых банкоматами карт. 

61. Участники (эквайеры) должны иметь внутренние процедуры с указанием в них, как минимум: 

порядка обработки заявлений торгово-сервисных предприятий и заключения с ними договоров, включающих требования к предоставляемому пакету документов (нотариально заверенные копии учредительных документов и Устава, регистрации в налоговых органах, разрешений/лицензий на заявленные виды деятельности, ксерокопии паспортов руководства, бухгалтерский баланс с отметкой налоговых органов); 

порядка ведения базы данных торгово-сервисных предприятий, с которыми были расторгнуты договора или заявления которых были отвергнуты с указанием причины отказа; 

механизма контроля торгово-сервисных предприятий, включающего подтверждение факта его регистрации, регулярную проверку качества обслуживания карт, условий содержания и работоспособности терминалов, хранения чеков, определение значений "floor limit" в зависимости от мошеннической активности торгово-сервисного предприятия. 

62. Для снижения риска внешнего мошенничества операторы системы должны иметь программное обеспечение, позволяющее проводить мониторинг и анализ риска, а также отслеживание подозрительных транзакций и авторизаций, совершенных посредством платежных карт на регулярной основе. Программное обеспечение должно контролировать как транзакции, совершенные в сети эквайера (контроль риска эквайера относительно торгово-сервисных предприятий), так и транзакции, совершенные посредством карт, эмитированных банком (контроль риска эмитента относительно держателей карт). 

63. Участники системы могут иметь собственное программное обеспечение, позволяющее самостоятельно осуществлять мониторинг и управление своими рисками, связанными с эмиссией и эквайрингом платежных карт для снижения потерь, вызываемых возможным мошенничеством при использовании платежных карт, или воспользоваться данной услугой оператора системы на договорных условиях. 

64. Операторы и участники системы должны установить параметры мониторинга за авторизациями/транзакциями, превышение значений которых будет считаться подозрительными авторизациями/транзакциями. Мониторинг должен отражать, как минимум, следующие случаи, когда: 

сумма отдельной авторизации/транзакции (или общая сумма) превышает установленный лимит в заданный период времени; 

авторизация/транзакция карты проводится в торгово-сервисных предприятиях в 2-х или более странах в заданный период времени; 

общая сумма транзакций в конкретной стране с повышенным риском превышает установленный лимит в заданный период времени; 

общее число авторизаций на одном торгово-сервисном предприятии превышает установленный лимит в заданный период времени; 

количество некорректных попыток ввода ПИН-кода в банкоматах превышает установленный лимит за заданный период времени; 

сумма отдельной авторизации/транзакции превышает установленный лимит для конкретной группы торгово-сервисных предприятий с повышенным риском. 

Оператор или участник системы может устанавливать дополнительные правила мониторинга за подозрительными транзакциями. 

65. Оператор и участник системы должны иметь подготовленный персонал для проведения анализа рисков возможного мошенничества, осуществляющий контроль транзакций и авторизаций платежных карт. 

66. Оператор и участник системы должны иметь внутренние процедуры с описанием средств и инструментов по распознаванию поддельных карт и операций с использованием карт, методов противодействия мошенническому использованию карт, а также порядка действий персонала в случае выявления таких операций. 

67. В договоре между оператором и участниками системы должны быть установлены как минимум: 

основные требования по соблюдению безопасности, которые участники системы должны использовать при разработке типовых договоров с держателями карт и торгово-сервисными предприятиями; 

время реагирования, порядок оповещения и взаимодействия сторон в случае выявления мошеннических операций; 

порядок разрешения спорных ситуаций между участниками системы; 

порядок и правила обработки чарджбеков; 

ответственность сторон в случае выявления мошеннических операций; 

порядок взаимодействия с правоохранительными органами по вопросам мошенничества; 

порядок предоставления и формы отчетов по подозрительным операциям; 

обмен информацией о мошеннических операциях между участниками системы. 

68. В договоре между участником (эквайером) системы и торгово-сервисным предприятием должны быть отражены следующие аспекты: 

список карточных продуктов, принимаемых к оплате в торгово-сервисном предприятии; 

виды продаваемых товаров и услуг (профиль) для идентификации в системе торгово-сервисного предприятия и обязательство извещать об изменении своего профиля; 

определение значения "floor limit" для торгово-сервисного предприятия; 

требования по соблюдению безопасности торгово-сервисным предприятием (проверка подписи держателя карты, документа, удостоверяющего личность держателя карты, соответствия реквизитов на карте данным на удостоверяющем документе, использование ПИН-кода держателем карты и иные требования), защита реквизитов карт; 

возможность замораживания средств торгово-сервисного предприятия по подозрительным транзакциям, по которым проводится проверка; 

порядок проведения проверки торгово-сервисного предприятия по качеству обслуживания карт, предоставляемых услуг, условий содержания и работоспособности терминалов, хранения чеков (слипов); 

порядок взаимодействия в случае выявления операции с украденной/утерянной картой держателя карты или проведения мошеннических транзакций самим торгово-сервисным предприятием; 

ответственность сторон при выявлении мошеннических операций; 

условия обязательного обучения кассиров правилам приема и проверки карт, а также методам выявления мошеннических операций и борьбы с ним. 

69. В договоре между участником (эмитентом) системы и держателем карты должны быть определены основные требования по соблюдению безопасности держателем карты (использование ПИН-кода, лимиты, действия держателя в случае утери карты), а также распределение рисков и ответственности между сторонами при утере/похищении карты, а также в случае выявления мошеннических транзакций. 

70. Оператор системы на основании полученных от участников данных периодически должен проводить проверку защищенности процессингового центра от мошеннических атак, выявлять риски и предпринимать меры для снижения уровня мошенничества. 

 

5. Форс-мажорные обстоятельства 

 

71. К форс-мажорным обстоятельствам относятся обстоятельства непреодолимой силы, не зависящие от воли сторон, такие как пожары, аварии, стихийные бедствия, военные действия, которые приводят к нарушению штатного функционирования платежной системы. 

72. Операторы и участники платежной системы должны иметь территориально удаленный резервный центр для обеспечения быстрого восстановления штатного функционирования платежной системы в случае возникновения форс-мажорных обстоятельств. 

73. Территориально удаленный резервный центр должен удовлетворять, как минимум, следующим условиям: 

условия размещения резервного центра должны соответствовать требованиям безопасности, установленным нормативными правовыми актами Национального банка; 

обеспечить возможность полного дублирования работы основного центра (иметь соответствующие АПК, каналы связи с участниками, подготовленный персонал, бесперебойное энергоснабжение). 

74. Операторы и участники платежной системы должны разработать процедуры, регламентирующие в случаях наступления форс-мажорных обстоятельств порядок перевода работы на резервный центр и взаимодействие персонала системы. 

 

6. Отчетность 

 

75. Операторы и участники платежной системы должны фиксировать информацию об инцидентах и нештатных ситуациях в журнале регистрации нештатных ситуаций и формировать отчет согласно Приложению 1 настоящего Положения. Отчет передается в Национальный банк в электронной форме: 

операторами СЗПС на ежедневной основе; 

операторами ЗПС и других платежных систем, участниками платежной системы на ежемесячной основе не позднее 15 числа месяца, следующего за отчетным. 

Национальный банк на регулярной основе осуществляет сбор и обработку информации о состоянии платежной системы, нештатных ситуациях и мошеннических операциях для анализа и оценки степени их воздействия на платежную систему в целом, а также на деятельность оператора и участника системы. В случае существенного влияния на платежную систему Национальный банк разрабатывает и передает операторам и/или участникам платежных систем рекомендации и предложения по минимизации рисков, осуществляет контроль их исполнения и при необходимости принимает меры воздействия к операторам и/или участникам платежных систем в соответствии с нормативными и правовыми актами Национального банка и законодательством Кыргызской Республики. 

 

Приложение 1 

к Положению по нештатным  

ситуациям в платежной системе 

 

 

Отчет об инцидентах и нештатных ситуациях 

 

Наименование системы: ____________________________________________ 

Наименование оператора платежной системы: ________________________ 

Отчетный период: _________________________________________________ 

 

 

№ п/п 

Дата и время регистрации / совершения/ возникновения, риск-события  

Дата выявления риск-события 

Дата и время устранения риск-события 

ГО / филиал / Название СП / №АТМ / Название точки обслуживания / ТСП 

Бизнес-процесс, на котором произошел инцидент / вид деятельности 

Тип событий 

Краткое описание события 

Причины возникновения риска 

Принятые решения / предложения по предотвращению и минимизации риска 

Контрольные меры / мероприятия  

Статус исполнения контрольных мер  

Метод управления операционным риском (обоснованное принятие, перенос, минимизация, отказ от вида деятельности и т.д.) 

Уровень риска (влияние / потери) 

Дополнительные коментарии / предложения 

уровень влияния на деят-ть  

уровень влияния на репутацию 

уровень влияния на финансы 

фактические убытки 

возможные убытки 

 

 

 

 

с