Постановление Правления
Национального банка
Кыргызской Республики
от 14 декабря 2022 года
№ 2022-П-14/78-5-(ПС)
О внесении изменений в постановление Правления Национального банка
Кыргызской Республики «Об утверждении Положения «О минимальных требованиях
по предоставлению удаленного/дистанционного обслуживания в Кыргызской Республике»
от 15 апреля 2015 года № 22/3
В соответствии со статьями 5, 9 и 64 конституционного Закона Кыргызской Республики «О Национальном банке Кыргызской Республики» Правление Национального банка Кыргызской Республики постановляет:
1. Внести изменения в постановление Правления Национального банка Кыргызской Республики «Об утверждении Положения «О минимальных требованиях по предоставлению удаленного/дистанционного обслуживания в Кыргызской Республике» от 15 апреля 2015 года № 22/3 (прилагаются).
2. Настоящее постановление вступает в силу по истечении 15 (пятнадцати) дней со дня официального опубликования.
3. Юридическому управлению:
- со дня получения соответствующих документов в течение 3 (трех) рабочих дней опубликовать настоящее постановление на официальном интернет-сайте Национального банка Кыргызской Республики;
- после официального опубликования направить настоящее постановление в Министерство юстиции Кыргызской Республики для внесения в Государственный реестр нормативных правовых актов Кыргызской Республики.
4. Управлению платежных систем в течение 3 (трех) рабочих дней довести настоящее постановление до сведения коммерческих банков, небанковских финансово-кредитных организаций, операторов платежных систем и платежных организаций.
5. Контроль за исполнением настоящего постановления возложить на члена Правления Национального банка Кыргызской Республики, курирующего управление платежных систем.
Председатель К. Боконтаев
Приложение
к постановлению Правления
Национального банка
Кыргызской Республики
от 14 декабря 2022 года
№ 2022-П-14/78-5-(ПС)
Изменения
в постановление Правления Национального банка Кыргызской Республики
«Об утверждении Положения «О минимальных требованиях
по предоставлению удаленного/дистанционного обслуживания
в Кыргызской Республике» от 15 апреля 2015 года № 22/3
Внести в постановление Правления Национального банка Кыргызской Республики «Об утверждении Положения «О минимальных требованиях по предоставлению удаленного/дистанционного обслуживания в Кыргызской Республике» от 15 апреля 2015 года №22/3» следующие изменения:
в Положении «О минимальных требованиях по предоставлению удаленного/дистанционного обслуживания в Кыргызской Республике», утвержденном вышеуказанным постановлением:
1) пункт 3 изложить в следующей редакции:
«3. В рамках настоящего Положения банковские и платежные услуги могут предоставляться удаленно/дистанционно посредством банкоматов, автоматизированных терминалов самообслуживания (платежных терминалов), интернет-банкинга, мобильного банкинга, мобильного приложения и иными способами удаленного/дистанционного обслуживания, не противоречащими законодательству Кыргызской Республики.»;
2) в пункте 3-1:
в первом предложении слово «банк» заменить словами «поставщик услуг удаленного/дистанционного обслуживания (поставщик услуг)»;
во втором предложении слово «Банк» заменить словами «Поставщик услуг»;
3) Положение дополнить пунктом 3-2 следующего содержания:
«3-2. При оказании удаленного/дистанционного обслуживания поставщики услуг обязаны соблюдать соответствующие требования нормативных правовых актов, регламентирующие вопросы в части своевременности, безопасности, надежности проведения платежей и предотвращения мошеннических операций.»;
4) пункт 4 изложить в следующей редакции:
«4. Термины и определения, используемые в настоящем Положении, понимаются в том значении, в каком они используются в банковском законодательстве и законодательстве в сфере платежной системы Кыргызской Республики.
В настоящем Положении также используются следующие термины и определения:
1) Аутентификация – процедура установки подлинности пользователя путем проверки и сопоставления характеристик предъявленного идентификатора (PIN-код, пароль и др.).
2) Личный кабинет – это особый раздел пользователя в системе уделенного/дистанционного обслуживания поставщика услуг, который позволяет получить доступ к данным о состоянии счета/кредитного лимита и движении денежных средств, а также к другим банковским и платежным услугам, в том числе направлять заявки, подтверждения и поручения поставщику услуг.
3) Мобильное приложение поставщика услуг (мобильное приложение) – один из инструментов систем удаленного/дистанционного обслуживания, позволяющий поставщику услуг предоставлять пользователю банковские и платежные услуги удаленным/дистанционным способом. К мобильным приложениям поставщика услуг также относятся мобильные приложения агентов, предусмотренные Положением «О регулировании деятельности платежных организаций и операторов платежных систем».
4) Обязательства пользователя перед НФКО – обязательства пользователя, возникшие при получении кредита в НФКО, а также посредством управления личного кабинета.
5) Пользователь – физическое, юридическое лицо либо индивидуальный предприниматель, пользующийся банковскими и платежными услугами через систему удаленного/дистанционного обслуживания.
6) Поставщик услуг удаленного/дистанционного обслуживания (поставщик услуг) – банки, небанковские финансово-кредитные организации (далее – НФКО), операторы платежных систем и платежные организации, имеющие лицензию/свидетельство Национального банка на право осуществления отдельных банковских и платежных услуг, предусмотренных законодательством Кыргызской Республики.
7) Система удаленного/дистанционного обслуживания – совокупность средств телекоммуникаций, цифровых и информационных технологий, программного обеспечения и оборудования, обеспечивающих связь между пользователем и поставщиком услуг для предоставления банковских и платежных услуг удаленным/дистанционным способом с использованием банкоматов, платежных терминалов, интернет-банкинга, электронного кошелька, мобильного банкинга, мобильного приложения и иных способов удаленного/дистанционного обслуживания.
8) Удаленное/дистанционное обслуживание – способ предоставления услуг поставщиком услуг на основании распоряжений, передаваемых пользователем удаленным/дистанционным способом с использованием систем удаленного/дистанционного обслуживания.
9) PIN-код (Personal identification number) – персональный идентификационный номер, позволяющий аутентифицировать пользователя для совершения операции.»;
5) в пункте 5:
абзац четвертый изложить в следующей редакции:
«- разработать внутреннюю политику по управлению рисками информационной безопасности, определяющую ответственность поставщика услуг, при взаимодействии с пользователями, с учетом требований нормативных правовых актов в сфере обеспечения информационной безопасности, учитывающую риски, связанные с удаленным/дистанционным обслуживанием, а также в случае возникновения нештатной ситуации;»;
пункт дополнить абзацами пятым и шестым следующего содержания:
«- разработать и поддерживать в актуальном состоянии внутренний нормативный документ о порядке взаимодействия и реагирования при возникновении нештатных ситуаций в соответствии с нормативными правовыми актами Национального банка;
- разработать процедуру по урегулированию споров и возврату денежных средств пользователю по ошибочным или несанкционированным операциям;»;
в тексте на официальном языке в абзаце седьмом слово «перемещении» заменить словом «передаче»;
6) Положение дополнить пунктом 6-2 следующего содержания:
«6-2. Поставщик услуг несет ответственность за предоставляемые услуги, включая несанкционированные операции, за исключением случаев, когда операции произошли по вине самого пользователя, согласно перечню, порядку и условиям системы удаленного/дистанционного обслуживания.»;
7) Положение дополнить пунктом 7-1 следующего содержания:
«7-1. Поставщику услуг рекомендуется предусмотреть в системе удаленного/дистанционного обслуживания специальные функции или иные возможности, в том числе решения, предоставляемые третьими сторонами, позволяющие лицам с ограниченными возможностями здоровья пользоваться оказываемыми услугами, а также информировать их об этих возможностях.»;
8) пункт 9 признать утратившим силу;
9) пункт 10 изложить в следующей редакции:
«10. Удаленное/дистанционное обслуживание должно предоставляться на основании договора между пользователем и поставщиком услуг в соответствии с законодательством Кыргызской Республики, в котором должны быть указаны:
- данные о пользователе (фамилия, имя, отчество, паспортные данные (или данные других документов, удостоверяющих личность, в соответствии с законодательством Кыргызской Республики) и другие данные пользователя, позволяющие его идентифицировать) в случае предоставления ему услуг через систему удаленного/дистанционного обслуживания;
- перечень предоставляемых услуг;
- способы предоставления услуг удаленным/дистанционным способом и получения доступа к системам удаленного/дистанционного обслуживания;
- права, обязанности и ответственность пользователя и поставщика услуг;
- типы и размер комиссий, подлежащих оплате пользователем;
- схема конвертации из одной валюты в другую, предусматривающая различные варианты конвертаций при проведении пользователем операций в валюте, отличной от валюты его банковского счета, а также порядок информирования клиентов об обменном курсе при проведении операций по конвертации валюты;
- способы предоставления поставщиком услуг выписок о движении денежных средств и остатке на банковском счете, по обязательствам пользователя перед НФКО или на электронном кошельке;
- основные требования по соблюдению безопасности пользователем, включая порядок аутентификации и подтверждения прав клиента на использование систем удаленного/дистанционного обслуживания (использование PIN-кода, паролей, лимиты, действия пользователя в случае утери или кражи устройств доступа);
- процедура информирования поставщика услуг о факте утери, хищения или использования устройств доступа к системе удаленного/дистанционного обслуживания неуполномоченным лицом;
- распределение ответственности между поставщиками услуг и пользователями при утере, хищении или использовании устройств доступа неуполномоченным лицом;
- условия приостановления и прекращения доступа к системе удаленного/дистанционного обслуживания;
- способы оповещения клиента в случае изменения условий договора;
- контактные данные для связи с поставщиком услуг, в том числе в нерабочее время и выходные (праздничные дни);
- распределение рисков и ответственности между сторонами в случае нарушения процедур безопасности или других условий договора;
- порядок рассмотрения споров, предоставления/приема жалоб и претензий пользователя, условия их рассмотрения и решения;
- механизм определения пользователя, от имени которого используется электронная подпись, и обязанность соблюдения конфиденциальности ключа электронной подписи.»;
10) пункт 13 изложить в следующей редакции:
«13. При осуществлении доступа и обслуживании с использованием банкоматов и платежных терминалов:
1) удаленное/дистанционное обслуживание через банкомат осуществляется посредством банковских платежных карт или иным способом для получения наличных денежных средств, осуществления денежных переводов и других безналичных платежей, получения информации по совершенным транзакциям по банковскому счету, выдачи чека либо SMS-информирования по всем видам произведенных транзакций на мобильный телефон согласно договору с пользователем.
2) банкомат/платежный терминал пересылает данные о транзакции информационной системе поставщика услуг. После завершения обработки транзакции банкомат/платежный терминал должен представить подтверждающий документ о совершении операции в соответствии с законодательством Кыргызской Республики, содержащий следующие обязательные реквизиты:
- номер чека;
- дата и время проведения транзакции/платежа;
- сумма транзакции/платежа;
- размер комиссии.
3) поставщик услуг при удаленном/дистанционном обслуживании через банкомат/платежные терминалы должен:
- информировать клиентов о возможных рисках, связанных с использованием банкоматов и платежных терминалов, а также о мерах предосторожности;
- в местах установления банкоматов и платежных терминалов регулярно проводить проверки по безопасности и документировать результаты проверок;
- организовать центры поддержки (колл-центры) и обеспечить их ежедневную и непрерывную работу;
- поместить на банкомате/платежном терминале указатель принадлежности банка/платежной организации, логотипы платежных систем, карты которых принимаются к обслуживанию банкоматом и платежным терминалом.»;
11) пункт 14 изложить в следующей редакции:
«14. Поставщик услуг при удаленном/дистанционном обслуживании через интернет-банкинг обязан:
- информировать клиентов о возможных рисках и мерах предосторожности;
- информировать клиентов о необходимости соблюдения правил и процедур безопасности при совершении платежей через интернет-банкинг (о недопущении передачи паролей, кодов, ключей третьим сторонам);
- обеспечить конфиденциальность при передаче финансовых сообщений и платежей;
- использовать защищенные сетевые протоколы;
- применять механизмы по предотвращению мошеннической подмены веб-страниц сервера интернет-банкинга (личного кабинета пользователя);
- использовать многофакторную аутентификацию с учетом оценки риска проводимой операции (например, пароль/код/одноразовый код и PIN-код, биометрические средства и др.);
- применять политику, предусматривающую использование сложных паролей и их регулярное изменение;
- использовать механизмы предотвращения автоматического подбора паролей;
- использовать механизмы блокировки сеанса соединения с сервером интернет-банкинга при бездействии пользователя сверх установленного промежутка времени.»;
12) пункт 15 изложить в следующей редакции:
«15. Поставщик услуг при удаленном/дистанционном обслуживании через мобильный банкинг, мобильные приложения обязан предусмотреть следующее:
- условия регистрации и идентификации пользователя у поставщика услуг;
- правила и процедуры безопасности при проведении платежей с использованием систем удаленного/дистанционного обслуживания/мобильных устройств (недопущение передачи информации третьим сторонам без согласия пользователя при обмене и передаче сообщений между пользователем и поставщиками услуг; обеспечение конфиденциальности при передаче финансовых сообщений и платежей);
- принятие необходимых мер для защиты данных пользователя;
- порядок доступа для осуществления платежей;
- другие условия, установленные в пункте 10 настоящего Положения.»;
13) во втором предложении пункта 16 слова «и выдачи чека, карт-чека, получения SMS-подтверждения» заменить словами «и/или получения подтверждающего документа о совершении платежа (выдачи чека, получения SMS-подтверждения и т.д.)»;
14) в пункте 21:
абзац шестой изложить в следующей редакции:
«- определение и оценка лимитов по проводимым транзакциям;»;
в абзаце седьмом слова «электронные кошельки» заменить словами «системы удаленного/дистанционного обслуживания»;
в абзаце восьмом слово «интернет-банкинга» исключить;
15) пункт 26 изложить в следующей редакции:
«26. Применение соответствующих способов идентификации должно быть определено в процессе оценки рисков. При использовании соответствующих способов идентификации должны учитываться следующие аспекты: вид систем удаленного/дистанционного обслуживания (информационный или операционный), разновидность систем (интернет-банкинг, мобильный банкинг, мобильные приложения и другие), статус клиента (юридическое или физическое лицо), вид операций разрешенных системой, объем и количество операций.»;
16) в пункте 28 слова «неавторизованные действия» заменить словами «несанкционированные операции»;
17) в пункте 29 слова «неавторизованных действий» заменить словами «несанкционированных операций»;
18) пункт 30 изложить в следующей редакции:
«30. Поставщик услуг при обнаружении фактов несанкционированного доступа/операций обязан незамедлительно приостановить доступ к системе удаленного/дистанционного обслуживания и при необходимости к банковскому счету и иным инструментам.»;
19) в пункте 31 слова «информационной системы,» заменить словами «системы удаленного/дистанционного обслуживания»;
20) в пункте 32 слова «письменно уведомить Национальный банк о предоставлении» заменить словами «заранее информировать Национальный банк о начале или прекращении предоставления»;
21) Приложение 1 изложить в следующей редакции:
«Информация для пользователя
Для обеспечения безопасности в процессе проведения операций посредством удаленного/дистанционного обслуживания и защиты данных пользователи должны быть проинформированы о своих обязанностях и ответственности.
1. Пользователь при использовании интернет-банкинга:
1) не должен раскрывать посторонним лицам логин, пароль и другие данные;
2) не должен хранить свой логин и пароль и другие данные на устройствах доступа (персональный компьютер, мобильный телефон и т.д.) или других незащищенных носителях;
3) необходимо периодически менять пароль, при этом не использовать пароли с низким уровнем защиты, такие как имя или дата рождения. Пароль должен содержать комбинацию, состоящую из не менее 6 знаков: букв (прописных и заглавных), специальных символов и цифр;»;
4) должен обеспечить конфиденциальность личной информации, а именно не раскрывать личную информацию (данные паспорта, адрес электронной почты и другие данные) посторонним лицам;
5) необходимо регулярно проверять историю операций и выписки для отслеживания ошибок или несанкционированных операций по счету и незамедлительно информировать поставщика услуг о любых случаях несанкционированных операций;
6) необходимо проверять правильность и безопасность веб-страницы, при этом:
- перед осуществлением любых онлайн-операций или предоставлением личной информации должен убедиться, что используется правильная веб-страница интернет-банкинга. Необходимо остерегаться фальшивых веб-страниц, созданных в целях мошенничества;
- необходимо убедиться в безопасности веб-страницы, проверив наличие Унифицированных Указателей Ресурсов (URL), которые должны начинаться с «https», а на статусе интернет-браузера должен появиться знак защищенного соединения;
- всегда вводить URL веб-страницы непосредственно в интернет-браузер и избегать перенаправления или ссылки на другие ненадежные страницы;
- по возможности использовать программу, которая автоматически шифрует или кодирует передаваемую информацию в процессе осуществления электронных операций;
7) должен защитить свое устройство доступа (персональный компьютер, мобильный телефон и т.д.) от несанкционированного доступа и вредоносных программ;
8) необходимо покинуть сайт, где осуществляются электронные операции, даже если устройство оставлено без присмотра на короткий срок, и не забывать выходить из системы после осуществления электронных операций;
9) необходимо ознакомиться с политикой безопасности системы интернет-банкинга:
- необходимо внимательно ознакомиться с условиями системы интернет-банкинга относительно осуществления платежей, переводов, дебетования/кредитования счета и другими условиями банковского обслуживания;
- перед вводом личной финансовой информации системы интернет-банкинга необходимо внимательно ознакомиться с условиями использования или распространения данной информации.
2. Пользователь при использовании мобильного банкинга, мобильного приложения:
- не должен раскрывать посторонним лицам свой PIN-код, пароль к системе удаленного/дистанционного обслуживания, пароль от электронной почты, иные сведения, которые могут способствовать несанкционированному доступу при удаленном/дистанционном обслуживании от имени пользователя;
- необходимо периодически менять свой PIN-код, пароль используемый для мобильного банкинга, мобильного приложения;
- не должен позволять посторонним лицам использовать свой мобильный телефон, через который осуществляется банковская операция;
- при потере или краже мобильного телефона незамедлительно сообщить поставщику услуг;
- не должен отправлять свою личную информацию, содержащую пароль или PIN-код, через электронную почту, социальные сети и другие средства электронного обмена данными;
- необходимо регулярно проверять историю операций и выписки для отслеживания ошибок или несанкционированных операций и незамедлительно информировать поставщика услуг о любых случаях несанкционированных операций;
- должен незамедлительно сообщить поставщику услуг при возникновении любых вопросов относительно безопасности доступа к системам удаленного/дистанционного обслуживания.
Необходимые меры для обеспечения безопасного хранения карт, их реквизитов, PIN-кода и безопасности других данных определены в нормативных правовых актах Национального банка.».