Вернуться назад

 

Постановление Правления Национального банка  

Кыргызской Республики от 15 апреля 2015 года № 22/3 

 

 

 

 

 

Об утверждении Положения «О минимальных требованиях по предоставлению дистанционных банковских и платежных услуг в Кыргызской Республике» 

 

 

В соответствии со статьями 7 и 43 Закона «О Национальном банке Кыргызской Республики», с Законом “О платежной системе Кыргызской Республики” Правление Национального банка Кыргызской Республики постановляет: 

1. Утвердить Положение “О минимальных требованиях по предоставлению дистанционных банковских и платежных услуг в Кыргызской Республике” (прилагается). 

2. Юридическому управлению: 

- опубликовать настоящее постановление на официальном сайте Национального банка Кыргызской Республики; 

- после официального опубликования направить настоящее постановление в Министерство юстиции Кыргызской Республики для включения в Государственный реестр нормативных правовых актов Кыргызской Республики. 

3. Управлению платежных систем довести настоящее постановление до сведения структурных подразделений, областных управлений и представительства Национального банка в Баткенской области, коммерческих банков Кыргызской Республики, ЗАО “Межбанковский процессинговый центр”, операторов платежных систем и платежных организаций. 

4. Настоящее постановление вступает в силу по истечении трех месяцев со дня официального опубликования. 

5. Контроль исполнения настоящего постановления возложить на заместителя Председателя Национального банка Кыргызской Республики Б. Ж. Жеенбаеву. 

 

И.о. Председателя Н. Жениш 

 

 

 

Приложение к постановлению Правления Национального банка  

Кыргызской Республики от 15 апреля 2015 года № 22/3 

  

 

 

Положение 

“О минимальных требованиях по предоставлению дистанционных  

банковских и платежных услуг в Кыргызской Республике” 

 

Глава 1. Общие положения 

 

1. Настоящее Положение “О минимальных требованиях по предоставлению дистанционных банковских и платежных услуг в Кыргызской Республике” (далее по тексту Положение) разработано в соответствии с Законами «О Национальном банке Кыргызской Республики», «О банках и банковской деятельности в Кыргызской Республике», «О противодействии финансированию терроризма и легализации (отмыванию) доходов, полученных преступным путем» (далее - Закон «О ПФТ/ОД»), «О лицензионно-разрешительной системе в Кыргызской Республике», «О платежной системе Кыргызской Республики», и другими нормативными правовыми актами Кыргызской Республики. 

2. Настоящее Положение устанавливает минимальные требования по оказанию коммерческими банками, операторами платежных систем и платежными организациями, а также иными специализированными финансово-кредитными учрежденииями, регулируемыми Национальным банком Кыргызской Республики (далее Национальный банк), дистанционных банковских и платежных услуг. 

3. В рамках настоящего Положения, дистанционные банковские и платежные услуги предоставляются удаленно по каналам связи посредством персональных компьютеров, мобильных телефонов, банкоматов (ATM-банкинг), электронных терминалов, в том числе автоматизированных терминалов самообслуживания (cash-in) и иными способами, не противоречащими законодательству Кыргызской Республики. 

 

Глава 2. Общие термины и определения 

 

4. В рамках настоящего Положения используются следующие термины и определения: 

1) Дистанционные банковские и платежные услуги (дистанционный банкинг) - услуги, оказываемые поставщиком пользователю на основании распоряжений последнего, передаваемых поставщикам услуг удаленным способом (интернет-банкинг, домашний-банкинг, мобильный банкинг и другие) для управления пользователем своим банковским счетом либо электронным кошельком, с использованием программно-технических и телекоммуникационных средств, а также получение информации о проведенных операциях и остатках денежных средств.  

2) Поставщик дистанционных банковских и платежных услуг (поставщик услуг) банки, операторы платежных систем и платежные организации и иные специализированные финансово-кредитные учреждения, имеющие лицензию Национального банка на осуществление отдельных банковских операций и проведение платежей в пользу третьих лиц (платежные услуги), предусмотренной законодательством Кыргызской Республики. 

3) Пользователь дистанционных банковских и платежных услуг (пользователь) физическое или юридическое лицо либо индивидуальный предприниматель, использующий дистанционные банковские и платежные услуги для удаленного управления своим банковским счетом или электронным кошельком. 

4) Электронный кошелек хранилище электронных денег, представляющее собой программное обеспечение или иное программно-техническое устройство, в котором имеется запись о сумме электронных денег и их принадлежности держателю. 

 

5) Аутентификация это установка подлинности лица путем проверки подлинности предъявленного идентификатора (ПИН-код, логин и др.).  

6) Персональный идентификационный номер персональный код, присвоенный пользователю для дистанционного банкинга.  

7.) Информационная система комплекс технических средств, программное и организационное обеспечение для предоставления дистанционных банковских и платежных услуг. 

 

Глава 3. Требование к поставщикам услуг 

 

5. Поставщик услуг для оказания услуг дистанционного банкинга должен, как минимум: 

разработать и утвердить внутренние нормативные документы, определяющие порядок и условия предоставления дистанционных банковских и платежных услуг; 

обеспечить эффективный контроль за процессом предоставления данных услуг и сохранность денежных средств пользователей; 

разработать внутренюю политику информационной безопасности определяющую ответственность поставщиков услуг при взаимодействии с пользователями; 

разработать типовые договора между поставщиками услуг дистанционного банкинга и пользователями; 

соблюдать требования по противодействию отмыванию денег и финансированию терроризма в соответствии с законодательством Кыргызской Республики.  

6. Поставщик услуг должен предоставлять своему пользователю сведения по обеспечению безопасности при осуществлении операций в рамках предоставления дистанционных банковских и платежных услуг и защите персональных данных, приведенных в Приложении 1 настоящего Положения. 

7. Поставщик услуг должен регулярно проводить оценку качества предоставляемых услуг дистанционного банкинга, для обеспечения необходимого уровня доверия пользователей при предоставлении дистанционного банкинга. 

8. Поставщик услуг должен обеспечить непрерывность своей деятельности и доступность к услуге в соответствии с условиями, установленными в договоре. При проведении профилактических и технических работ поставщик услуг обязан своевременно уведомлять пользователя. 

9. Поставщик услуг должен разработать и поддерживать в актуальном состоянии положение о порядке взаимодействия и реагирования при возникновении внештатных ситуаций в соответствии с нормативными правовыми актами Национального банка. 

 

Глава 4. Требования при оказании дистанционных  

банковских и платежных услуг 

 

10. Дистанционный банкинг должен предоставляться на основании письменного договора между пользователем и поставщиком услуг или договора публичной оферты, в котором должны быть указаны, как минимум: 

в случае предоставления услуг по удаленному управлению банковскими счетами или электроными кошельками с полной идентификацией - персональные данные пользователя (фамилия, имя, отчество, паспортные данные (или другие документы, удостоверяющие личность в соответствии с законодательством Кыргызской Республики) и другие личные данные пользователя, позволяющие его идентифицировать);  

перечень предоставляемых услуг; 

способы предоставления дистанционных банковских и платежных услуг и получения доступа к ним (через Интернет, каналы связи, телефон (мобильное устройство), персональный компьютер и другие устройства); 

права, обязанности и ответственность пользователя и поставщика услуг;  

типы и размер комиссий, подлежащих оплате пользователем;  

периодичность (как минимум, один раз в месяц) и способы предоставления поставщиком выписок о движении денежных средств и остатке на банковском счете или электронном кошельке;   

основные требования по соблюдению безопасности пользователем, включая порядок аутентификации и подтверждения прав клиента на использование дистанционных банковских и платежных услуг (использование ПИН-кода, паролей, лимиты, действия пользователя в случае утери и кражи устройств доступа);  

процедура информирования поставщика услуг о факте утери, хищения или использования устройств доступа неуполномоченным лицом;  

распределение ответственности между поставщиками услуг и пользователями услуг при утере, хищении или использовании устройств доступа посторонним лицам;  

- условия приостановления и прекращения доступа к дистанционному банкингу;  

способы оповещения клиента в случае изменения условий договора; 

номера телефонов для обслуживания клиентов; 

- распределение рисков и ответственности между сторонами в случае нарушения процедур безопасности или других условий договора;  

порядок рассмотрения споров, предоставления/приема жалоб и претензий пользователя, условия их рассмотрения и решения.  

11. В случае предоставления услуг с использованием электронных кошельков с не полной идентификацией, платежи должны проводиться в соответствии с лимитами, установленными в нормативных правовых актах Национального банка.  

12. При предоставлении услуг голосового банкинга поставщик услуг должен обеспечить аудио-запись всех переговоров с пользователями и уведомлять их путем отправки на электронный адрес либо SMS - оповещением об исполнении поручения; 

13. При осуществлении доступа и обслуживании с использованием банкоматов (АТM банкинг) и автоматизированных платежных терминалов (платежный терминал):  

1) Доступ к АТM банкингу осуществляется посредством банковских платежных карт и других платежных инструментов для получения наличных денежных средств, осуществления денежных переводов и других безналичных платежей, получения информации по совершенным транзакциям по банковскому счету, и выдачи чека либо SMS информирования по всем видам произведенных транзакций на мобильный телефон, согласно договору с пользователем.  

2) АТМ/платежный терминал пересылает данные о транзакции информационной системе поставщика услуг. После завершения обработки транзакции, АТМ/платежный терминал должен выдать по запросу пользователя чек, содержащий следующие обязательные реквизиты:  

номер чека;  

дата и время проведения транзакции/платежа;  

сумма транзакции/платежа;  

размер комиссии.  

3) Поставщик услуг при предоставлении дистанционных банковских и платежных услуг через АТМ/платежные терминалы самообслуживания должен: 

информировать клиентов о возможных рисках, связанных с использованием банкоматов и платежных терминалов, а также о мерах предосторожности; 

в местах установления банкоматов и платежных терминалов регулярно проводить проверки по безопасности и документировать результаты проверок; 

организовать центры поддержки (Callcenter) и обеспечить их ежедневную и непрерывную работу; 

поместить на банкомате или платежном терминале указатель принадлежности банка, логотипы платёжных систем, карты которых принимаются к обслуживанию банкоматом или платежным терминалом. 

14. Требования при обслуживании через интернет-банкинг. 

1) При обслуживании пользователя через интернет-банкинг, поставщик услуг должен, как минимум: 

информировать клиентов о возможных рисках и о мерах предосторожности; 

использовать защищенные сетевые протоколы; 

применять механизмы по предотвращению мошеннической подмены веб-страниц сервера интернет-банкинга; 

использовать многофакторную идентификацию (например, пароль/код/одноразовый код, и персональный идентификационный номер); 

применять политику, предусматривающую использование сложных паролей и их регулярное изменение; 

использовать механизмы предотвращения автоматического подбора паролей; 

использовать механизмы блокировки сеанса соединения с сервером интернет-банкинга при бездействии пользователя сверх установленного промежутка времени. 

15. Требования при обслуживании через мобильный банкинг/мобильный телефон. 

1) Поставщик услуг при подключении услуги мобильного банкинга пользователю должен иметь соответствующие договора с операторами сотовой связи и предусмотреть в договоре, как минимум, следующее:  

условия регистрации и идентификации пользователя у поставщика услуг (банковский счет, электронный кошелек, идентифицированная SIM карта - клиента); 

правила и процедуры безопасности при проведении платежей с использованием мобильных устройств (недопущение передачи информации третьим сторонам без согласия пользователя при обмене и передачи сообщений между пользователем и поставщиками услуг; обеспечение конфиденциальности при передаче финансовых сообщений и платежей);  

порядок доступа для осуществления платежей;  

другие условия, установленные в пункте 10 настоящего Положения. 

16. Все платежи, осуществляемые через дистанционный банкинг, считаются подтвержденными и окончательными (безусловными и безотзывными) с момента завершения взаиморасчетов в соответствующей системе поставщика услуг и проведения окончательных расчетов. Для пользователя платеж считается безотзывным в момент получения подтверждения о принятии платежа к исполнению и выдачи чека, карт-чека, получения SMS -подтверждения, и окончательным - в момент ввода денежных средств в купюроприемник платежного терминала или списания средств с банковского счета или электронного кошелька пользователя и одновременного зачисления на счет получателя.  

17. Пользователь может опротестовать транзакцию, проведенную в системе дистанционного банкинга, подав поставщику услуг заявление в соответствии с условиями договора. Поставщик услуг осуществляет отмену транзакции согласно регламенту и порядку работы соответствующей платежной системы, если иное не предусмотрено условиями договора.  

18. Поставщик услуг обязан до момента подписания договора на оказание услуг дистанционного банкинга или перед началом оказания таких услуг, ознакомить пользователя с правилами пользования дистанционным банкингом и тарифами на оказываемые услуги.  

 

Глава 5. Управление рисками  

 

19. Поставщик услуг должен осуществлять контроль за рисками, возникающими в процессе деятельности и совершенствовать политику управления рисками, возникающими при предоставлении дистанционного банкинга в соответствии с нормативными правовыми актами Национального банка.  

20. Поставщик услуг должен разработать и внедрить комплексную систему по обеспечению информационной безопасности дистанционного банкинга. 

21. Система информационной безопасности дистанционного банкинга, как минимум, должна содержать следующие аспекты: 

выявление и оценка рисков, связанных с предоставлением дистанционных банковских и платежных услуг; 

определение мер по снижению рисков, в том числе, применение соответствующих технологий идентификации клиента и норм внутреннего контроля; 

определение мер по защите информации клиента от несанкционированного доступа и обеспечение целостности данной информации; 

оценка мер по информированию клиентов; 

определение и оценка лимитов по транзакциям по банковским счетам, электронным кошелькам; 

контроль осуществления транзакций по лимитам, установленным по открытию и проведению платежей через электронные кошельки.  

22. Поставщик услуг, по мере необходимости, обязан корректировать и обновлять свою систему информационной безопасности в соответствии с любыми изменениями в технологии предоставления дистанционного банкинга, при обнаружении уязвимости в информационных системах, для обеспечения при возникновении внешних иливнутренних угроз мошеничества, конфиденциальности и целостности информации. 

23. Поставщик услуг должен представлять в Национальный банк информацию о правонарушениях и фактах мошенничества при предоставлении дистанционного банкинга в соответствии с установленными требованиями нормативных правовых актов Национального банка. 

24. Поставщик услуг должен обеспечить своевременное обновление и модернизацию систем безопасности согласно утвержденным внутренним процедурам.  

25. Для обеспечения идентификации своих пользователей, Поставщик услуг должен применять методики по снижению возможных рисков. Поставщик услуг должен отслеживать, оценивать и внедрять новые технологии идентификации клиента, а также в зависимости от вида операции и уровня доступа обеспечивать внедрение соответствующих изменений в систему идентификации клиента на основе существующих факторов риска. Если оценка риска определяет недостаточный уровень безопасности при применении идентификационных мер, основанных на единичном факторе (например пароль/код), поставщикам следует использовать многофакторные меры идентификации (например, пароль/код/одноразовый код, номер карты и персональный идентификационный номер). 

26. Применение соответствующих способов идентификации должны быть определенны в процессе оценки рисков. Используемые способы должны учитывать следующие аспекты: вид систем дистанционных банковских и платежных услуг (информационный или операционный), разновидность систем (АТМ - банкинг, системы «клиент-банк», интернет-банкинг, мобильный банкинг, домашний банкинг и другие) статус клиента (юридическое или физическое), вид операций разрешенных системой, объём и количество операций. 

27. При предоставлении услуг по удаленному управлению банковскими счетами или электроными кошельками с полной идентификацией поставщик должен соответствовать общепринятым правилам “Знай своего клиента”, установленным нормативными правовыми актами Национального банка, в том числе требующих личное присутствие пользователя.  

 

Глава 6. Система мониторинга и оценка операций 

 

28. Поставщик услуг при предоставлении дистанционных банковских и платежных услуг должен иметь систему мониторинга, способную определять неавторизованные действия в информационных системах. 

29. Поставщик услуг для определения неавторизированных действий, выявления вторжений в информационную систему, восстановления событий и отслеживания хода нарушения безопасности информационной системы должен вести электронные регистрационные журналы. 

30. Поставщик услуг должен незамедлительно приостановить доступ к банковскому счету или электронному кошельку пользователя при обнаружении фактов несанкционированного доступа или неавторизованных действий. 

31. В целях обеспечения контроля и управления безопасностью информационной системы, независимый орган (то есть, внутренний, при наличии сертифицированного специалиста по IT аудиту (или внешний аудит) должен проводить анализ отчетов, в которых должны быть отражены меры по обеспечению информационной безопасности. 

 

Глава 7. Заключение 

 

32. Поставщик услуг должен письменно уведомить Национальный банк о предоставлении дистанционного банкинга, включающий в себя перечень банковских и платежных услуг. 

33. Все взаимоотношения между пользователем и поставщиком услуг, не определенные в настоящем Положении, должны быть оговорены в договоре с поставщиком услуг. 

 

 

 

Приложение 1 

 

Информация для пользователей  

дистанционных банковских и платежных услуг 

 

Для обеспечения безопасности в процессе проведения операций в рамках дистанционных банковских и платежных услуг и защиты персональных данных, клиенты должны быть проинформированы о своих обязанностях и ответственности.  

1. Клиент при использовании интернет-банкинга должен: 

1) использовать безопасный логин и пароль/персональный идентификационный номер, при этом не раскрывать посторонним лицам свой логин, пароль и персональный идентификационный номер; 

- не хранить свой логин, пароль и персональный идентификационный номер на устройствах доступа (персональный компьютер, мобильный телефон, и т.д.) или других незащищенных носителях; 

- периодически менять код, пароль и персональный идентификационный номер, не использовать пароли с низким уровнем защиты, такие как имя или дата рождения. Пароль должен содержать комбинацию, состоящую из не менее 6 знаков: букв (прописных и заглавных), специальных символов и цифр. 

2) обеспечить конфиденциальность личной информации, при этом: 

- не раскрывать личную информацию (номер телефона или паспорта, номер банковского счета или адрес электронной почты) посторонним лицам. 

3) сохранять информацию об электронных операциях, при этом: 

- необходимо регулярно проверять историю операций и выписки для отслеживания ошибок или неавторизированных операций по счету; 

- незамедлительно информировать поставщика дистанционных банковских и платежных услуг о любых случаях неавторизированного использования счета или проведения операций. 

4) проверять правильность и безопасность веб-страницы, при этом: 

- перед осуществлением любых он-лайн операций или предоставление личной информации должен убедиться, что используется правильная веб-страница интернет-банкинга и мобильного банкинга. Необходимо остерегаться фальшивых веб-страниц, созданных в целях мошенничества; 

- должен убедиться в безопасности веб-страницы, проверив наличие Унифицированных Указателей Ресурсов (URL), которые должны начинаться с "https", а на статусе интернет-браузера должен появиться знак защищенного соединения; 

- всегда вводить URL веб-страницы непосредственно в интернет-браузер. Избегать перенаправления или ссылки на другие ненадежные страницы; 

- по возможности, использовать программу, которая автоматически шифрует или кодирует передаваемую информацию в процессе осуществления электронных операций. 

5) защитить свое устройство доступа (персональный компьютер, мобильный телефон и т.д.) от несанкционированного доступа и вредоносных программ, при этом следить за регулярным обновлением антивирусной программы и ее постоянной работой; 

6) необходимо покинуть сайт, где осуществляются электронные операции, даже если компьютер оставлен без присмотра на короткий срок; 

- не забывать выходить из системы после осуществления электронных операций; 

7) ознакомиться с политикой безопасности системы интернет банкинга: 

- необходимо внимательно ознакомиться с условиями системы интернет банкинга относительно осуществления платежей, переводов, дебетования/ кредитования счета и другими условиями банковского обслуживания; 

- перед вводом личной финансовой информации системы интернет банкинга, необходимо внимательно ознакомиться с условиями использования или распространения данной информации. 

2. Клиент при использовании мобильного банкинга должен: 

- не раскрывать свой персональный идентификационный номер мобильного банкинга (ПИН) посторонним лицам; 

- периодически менять свой персональный идентификационный номер, используемый для мобильного банкинга; 

- не позволять другим использовать свой мобильный телефон, через который осуществляется банковская операция; 

- при потере или краже мобильного телефона, нужно незамедлительно сообщить в обслуживающую кредитную организацию; 

- не отправлять свою личную информацию, особенно пароль или персональный идентификационный номер через электронную почту, социальные сети и другие средства электронного обмена данными; 

- незамедлительно сообщить поставщику услуг при возникновении любых вопросов относительно безопасности банковского счета. 

Необходимые меры для обеспечения безопасного хранения карт, их реквизитов, персонального идентификационного номера и безопасности других данных определены в нормативных правовых актах Национального банка.