Постановление Правления
Национального банка
Кыргызской Республики
от «30» сентября 2019 г.
№ 2019-П-14/50-2-(ПС)
Об утверждении Положения «О регулировании деятельности платежных организаций и операторов платежных систем»
В соответствии со статьями 20 и 68 Закона Кыргызской Республики
«О Национальном банке Кыргызской Республики, банках и банковской деятельности» Правление Национального банка Кыргызской Республики постановляет:
1. Утвердить Положение «О регулировании деятельности платежных организаций и операторов платежных систем» (прилагается).
2. Признать утратившими силу следующие постановления Правления Национального банка Кыргызской Республики:
- «Об утверждении Положения «О регулировании деятельности операторов платежных систем и платежных организаций» от 25 марта 2015 года № 19/10»;
- «О внесении изменений и дополнений в постановление Правления Национального банка Кыргызской Республики «Об утверждении Положения «О регулировании деятельности операторов платежных систем и платежных организаций» от 25 марта
2015 года № 19/10» от 27 декабря 2017 года № 2017-П-14/54-10-(НПА)»;
- «О внесении дополнения и изменения в постановление Правления Национального банка Кыргызской Республики «Об утверждении Положения «О регулировании деятельности операторов платежных систем и платежных организаций» от 25 марта
2015 года № 19/10» от 20 июня 2018 года № 2018-П-14/24-5».
3. Юридическому управлению:
- опубликовать настоящее постановление на официальном интернет-сайте Национального банка Кыргызской Республики;
- после официального опубликования направить настоящее постановление в Министерство юстиции Кыргызской Республики для включения в Государственный реестр нормативных правовых актов Кыргызской Республики.
4. Настоящее постановление вступает в силу по истечении пятнадцати дней со дня официального опубликования, за исключением пункта 51 и подпункта 2 пункта 98 Положения «О регулировании деятельности платежных организаций и операторов платежных систем», утверждаемого настоящим постановлением, которые вступают в силу с 1 октября 2020 года.
5. Платежным организациям, операторам платежных систем, коммерческим банкам привести свою деятельность в соответствие с требованиями настоящего Положения
до 1 января 2020 года.
6. Управлению платежных систем довести настоящее постановление до сведения платежных организаций и операторов платежных систем, ОЮЛ «Ассоциация операторов платежных систем Кыргызской Республики», ОЮЛ «Ассоциация операторов связи»,
ЗАО «Межбанковский процессинговый центр» и коммерческих банков.
7. Отделу развития государственного языка и документооборота довести настоящее постановление до сведения соответствующих структурных подразделений, областных управлений и представительства Национального банка в Баткенской области.
8. Контроль за исполнением настоящего постановления возложить на члена Правления Национального банка Кыргызской Республики, курирующего Управление платёжных систем.
Председатель Т. Абдыгулов
Приложение
к постановлению Правления
Национального банка
Кыргызской Республики
от «30» сентября 2019 г.
№ 2019-П-14/50-2-(ПС)
ПОЛОЖЕНИЕ
о регулировании деятельности платежных организаций и операторов платежных систем
Глава 1. Общие положения
1. Настоящее Положение «О регулировании деятельности платежных организаций и операторов платежных систем» (далее – Положение) определяет требования, обязательные для исполнения платежными организациями и операторами платежных систем, имеющими лицензию Национального банка Кыргызской Республики (далее – Национальный банк) на:
- оказание услуг по приему, обработке и выдаче финансовой информации (процессинг, клиринг) по платежам и расчетам третьих лиц участникам платежной системы, данного процессингового, клирингового центра;
- оказание услуг по приему и проведению платежей и расчетов за товары и услуги, не являющиеся результатом своей деятельности, в пользу третьих лиц посредством платежных систем, основанных на информационных технологиях и электронных средствах и способах проведения платежей.
Платежные организации и операторы платежных систем, а также их агенты при осуществлении данных видов деятельности должны соблюдать требования законодательства Кыргызской Республики, в том числе в сфере законодательства по противодействию финансированию террористической деятельности и легализации (отмыванию) преступных доходов.
2. Действие настоящего Положения не распространяется:
- на платежные системы, оператором которых выступает Национальный банк;
- на коммерческий банк, осуществляющий услуги по приему, обработке и выдаче финансовой информации (процессинг, клиринг) по платежам и расчетам в своей системе для собственных платежей;
- на коммерческий банк, осуществляющий услуги по приему и проведению платежей и расчетов за товары и услуги, не являющиеся результатом своей деятельности, в пользу третьих лиц посредством платежных систем, основанных на информационных технологиях и электронных средствах и способах проведения платежей, за исключением подпункта 2 пункта 98 настоящего Положения;
- на внутренние системы хозяйствующих субъектов, осуществляющих прием, обработку и выдачу финансовой информации (процессинг, клиринг) по платежам и расчетам в своей структуре для собственных платежей.
3. Национальный банк регулирует и осуществляет надзор за платежными системами, платежными организациями и операторами платежных систем для обеспечения стабильности, надежности и безопасности платежной системы Кыргызской Республики в соответствии с нормативными правовыми актами Национального банка.
4. Антимонопольное регулирование деятельности платежных организаций и операторов платежных систем по защите прав потребителей и развитию конкуренции на рынке платежных услуг осуществляется в рамках Политики и основных принципов антимонопольного регулирования, развития конкуренции и защиты прав потребителей на рынке банковских услуг Кыргызской Республики, оказываемых коммерческими банками, другими финансово-кредитными организациями, платежными организациями и операторами платежных систем, лицензируемыми и регулируемыми Национальным банком Кыргызской Республики, утвержденной постановлением Правления Национального банка Кыргызской Республики
от 2 марта 2005 года N 4/1.
5. В случае нарушения требований настоящего Положения Национальный банк вправе применять меры воздействия по отношению к платежной организации, оператору платежной системы, и другим участникам межбанковской платежной системы в соответствии с законодательством Кыргызской Республики.
Глава 2. Используемые термины и определения
6. В настоящем Положении используются следующие термины и определения:
Автоматизированная система (АС) – это система, состоящая из аппаратно-программного комплекса средств автоматизации деятельности, методов и мероприятий, реализующих информационную технологию выполнения установленных функций.
Агент – юридическое лицо или индивидуальный предприниматель, заключившее/ий с платежной организацией агентский договор об осуществлении деятельности по приему платежей физических и юридических лиц в пользу поставщиков товаров, работ и услуг.
Агентский договор – договор, заключенный между платежной организацией и агентом о предоставлении услуг, указанных в настоящем Положении. При этом ответственность за действия агента несет платежная организация.
Информационная система – система, предназначенная для хранения, поиска и обработки информации, и соответствующие организационные ресурсы, с помощью которых обеспечивается и распространяется информация.
Идентификатор – уникальный признак субъекта или объекта доступа.
Пользователь автоматизированной системы – это субъект, зарегистрированный в автоматизированной системе и использующий ее ресурсы (сотрудники, агенты, клиенты или иные лица) с разными правами доступа.
Аутентификация – проверка принадлежности объекту/субъекту доступа предъявленного им идентификатора или подтверждение подлинности.
Авторизация – процесс предоставления определенному объекту/субъекту прав на выполнение некоторых действий в соответствии с выполняемой ролью в системе.
Конфиденциальность информации – состояние ресурсов, состоящее в том, что обработка, хранение и передача информационных активов осуществляется таким образом, что информационные активы доступны только авторизованным пользователям.
Целостность информации – свойство информации сохранять неизменность или обнаруживать факт изменения в своих информационных активах.
Доступность информации – свойство информации, состоящее в том, что информационные активы предоставляются авторизованному пользователю, причем в виде и месте, необходимом пользователю, и в то время, когда они ему необходимы.
Информационная безопасность – сохранение конфиденциальности, целостности, и доступности информационных активов.
Субагент – юридическое лицо или индивидуальный предприниматель, заключившее/ий с агентом платежной организации субагентский договор об осуществлении деятельности по приему платежей физических и юридических лиц в пользу поставщиков товаров, работ и услуг (далее – товаров/услуг). При этом ответственность за действия субагента несет платежная организация.
Другие термины и определения, используемые в настоящем Положении, понимаются в соответствии с их общепринятым значением в законодательстве Кыргызской Республики.
Глава 3. Основные требования к деятельности платежных организаций и операторов платежных систем и
§ 1. Требования к деятельности оператора платежной системы
7. Оператор платежной системы вправе заниматься только теми видами деятельности, которые указаны в лицензии, а также оказывать консультационные/ информационные услуги и осуществлять иную деятельность, которая является сопутствующей к основной или необходима для обеспечения его основной деятельности, согласно требованиям Национального банка по лицензированию деятельности платежных организаций и операторов платежных систем.
Оператор платежной системы может совмещать свою деятельность только с деятельностью платежной организации.
Запрещается передача лицензии другому лицу для осуществления деятельности, подлежащей лицензированию.
8. Размер уставного капитала оператора платежной системы должен быть не менее размера, установленного в нормативных правовых актах Национального банка по лицензированию деятельности платежных организаций и операторов платежных систем.
9. Оператор платежной системы при наличии дочернего предприятия за пределами Кыргызской Республики в обязательном порядке предоставляет в Национальный банк сведения о нем с приложением копий подтверждающих документов.
10. Оператор платежной системы может быть реорганизован (слияние, присоединение, разделение, выделение, преобразование) при соблюдении требований, установленных законодательством Кыргызской Республики. В случае реорганизации оператор платежной системы должен предоставить уведомление в Национальный банк с приложением соответствующего решения по реорганизации, заверенного надлежащим образом, в срок не позднее 10 (десяти) рабочих дней после прохождения государственной перерегистрации в связи с реорганизацией.
11. Национальный банк может устанавливать ограничения по формированию тарифов оператором платежной системы в случаях, если оператор нарушает требования антимонопольного законодательства Кыргызской Республики и защиты прав потребителей.
12. Оператор платежной системы должен один раз в год с момента получения лицензии предоставлять в Национальный банк сведения об утвержденных и действующих тарифах. Оператор платежной системы должен в течение 10 (десяти) рабочих дней после изменения тарифов уведомлять Национальный банк обо всех изменениях действующих тарифов.
13. Оператор платежной системы должен иметь правила и процедуры функционирования платежной системы, соответствующие требованиям законодательства Кыргызской Республики, в том числе нормативных правовых актов Национального банка. Оператор платежной системы обеспечивает функционирование платежной системы в соответствии с разработанными внутренними правилами и процедурами. Взаимоотношения с участниками устанавливаются правилами системы, договорами, связанными с функционированием платежной системы, а также заключенными договорами с участниками.
14. Оператор платежной системы должен обеспечить бесперебойное функционирование своей платежной системы, своевременную обработку (процессинг/клиринг) платежей, информационную безопасность в системе. Оператор платежной системы несет ответственность, в том числе финансовую за нарушения бесперебойности функционирования своей платежной системы, за неоказание или оказание некачественных услуг по процессингу/клирингу и выдаче финансовой информации участникам платежной системы, несвоевременное доведение информации о проведенных платежах потребителей поставщикам товаров/услуг, в том числе согласно договорным отношениям с участниками платежной системы.
Оператор платежной системы должен оказать услугу по проведению платежа от потребителя к поставщику товаров/услуг в полном объеме.
15. Оператор платежной системы не несет ответственности в случае, если нарушения бесперебойного функционирования системы возникли по вине третьих лиц, если иное не предусмотрено условиями договора с участниками платежной системы.
16. Процессинговый центр оператора платежной системы должен соответствовать минимальным требованиям, установленным настоящим Положением для автоматизированных систем.
17. Оператор платежной системы должен:
- контролировать соблюдение действующих правил и процедур, а также их соответствие требованиям настоящего Положения и законодательства Кыргызской Республики;
- предъявлять требования к необходимым техническим и программным средствам для проведения платежей другим участникам платежной системы;
- вести базу данных по агентам, субагентам и поставщикам товаров/услуг платежной организации, которая должна содержать, как минимум:
- реквизиты договора (дата, номер, вид договорных отношений);
- наименование юридического лица/ФИО индивидуального предпринимателя;
- данные о государственной регистрации юридического лица, паспортные данные индивидуального предпринимателя, патент, свидетельство о регистрации;
- местонахождение /адрес проживания, адрес осуществления предпринимательской деятельности;
- сведения о руководителях;
- контактные данные;
- сведения о собственниках/ учредителях (для юридических лиц);
- сведения о бенефициарных собственниках поставщиков товаров/услуг;
- сведения о виде деятельности юридического лица/индивидуального предпринимателя (банковская деятельность, коммунальные услуги и т.д.);
- цель и предполагаемый характер деловых отношений с данным юридическим лицом/индивидуальным предпринимателем (если поставщик, то указать услугу);
- финансовые условия (верхний и нижний предел комиссии, стоимость услуг и т.д.).
- оценивать и управлять рисками в платежной системе;
- обеспечить безопасное функционирование средств обработки информации;
- обеспечить единый подход к управлению инцидентами и вести реестр инцидентов;
- обеспечить своевременное доведение информации по принятым в систему платежам до поставщика товаров/услуг при возникновении нештатной ситуации в соответствии с условиями договора и требованиями нормативных правовых актов Национального банка.
18. Оператор платежной системы должен:
- разработать мероприятия и принимать меры по обеспечению информационной безопасности процессингового центра и всех участников платежной системы, вовлеченных в процесс по получению, обработке, сохранению и предоставлению информации, включая мероприятия по обеспечению кибербезопасности;
- разработать программный комплекс мероприятий по управлению уязвимостями и защищать все системы от вредоносного программного обеспечения, регулярно обновлять антивирусное программное обеспечение.
19. Должностные лица оператора платежной системы – члены исполнительного органа, осуществляющие руководство текущей деятельностью оператора платежной системы, должны обеспечить:
- контроль управления за организацией;
- оценку адекватности систем контроля – осуществление проверок звеньев управления, принятие решения по устранению выявленных недостатков и повышению эффективности управления;
- оценку эффективности деятельности – осуществление оценки различных сторон функционирования организации и принятия решения по их совершенствованию.
20. Оператор платежной системы должен иметь, как минимум, технический персонал (штатные должности), ответственный за функционирование аппаратно-программного комплекса и его безопасность, главного бухгалтера (штатная должность), а также другой персонал в соответствии со своей организационной структурой. Персонал оператора платежной системы должен быть ответственным за:
- оценку адекватности систем контроля информационной системы – осуществление проверок звеньев управления, предоставление обоснованных предложений исполнительному органу по устранению выявленных недостатков и рекомендаций по повышению эффективности управления;
- оценку обеспечения безопасности – повышение уровня информационной безопасности, а также минимизацию возможных потерь, вызванных действиями злоумышленников, аварийными сбоями и ошибками персонала;
- оценку эффективности деятельности – осуществление экспертных оценок различных сторон функционирования организации и предоставление обоснованных предложений по их совершенствованию;
- проверку соответствия функционирования системы требованиям настоящего Положения и законодательства Кыргызской Республики;
- обеспечение надежности, полноты и своевременности финансовой информации, используемой для принятия решений, составления финансовой и регулятивной отчетности;
- подготовку предложений по выбору внешних аудиторов и при необходимости инициирование проведения специальных аудиторских проверок;
- ведение бухгалтерского учета и составление финансовой отчетности в соответствии с Международными стандартами финансовой отчетности.
Оператор должен обеспечить преемственность выполняемых функций персонала, при необходимости обеспечить дублирование функций персонала, принимающего участие в выполнении основных функций оператора платежной системы. При увольнении/смене персонала должен быть определен порядок обеспечения приема-передачи функциональных обязанностей и документации с надлежащим оформлением (акт, протокол).
21. Администрирование автоматизированной системы должно осуществляться штатным техническим персоналом оператора платежной системы. Оператор платежной системы может дополнительно привлекать нештатный технический персонал при наличии договора, составленного в соответствии с законодательством Кыргызской Республики с указанием обязательств и ответственности сторон.
22. Персонал, имеющий доступ к работе с автоматизированной системой оператора платежной системы, должен:
- быть ознакомлен с нормами и требованиями по обеспечению информационной безопасности при работе с финансовой информацией, регламентированными внутренними правилами и процедурами;
- иметь уровень квалификации, необходимый для управления программно-техническими средствами доступа к автоматизированной системе и обработкой финансовой информации, согласно внутренним документам;
- нести ответственность за нарушение требований по обеспечению информационной безопасности при работе с финансовой информацией в соответствии
с законодательством Кыргызской Республики.
23. Автоматизированная система оператора платежной системы должна обеспечить:
- бесперебойный обмен и обработку (процессинг/клиринг) информации в соответствии с критериями бесперебойного функционирования системы;
- целостность и подлинность данных при их передаче по каналам связи с места ее инициирования до процессингового центра и обратно;
- авторизацию/аутентификацию технического персонала оператора платежной системы, имеющего доступ к работе с автоматизированной системой;
- сохранность данных в системе в течение сроков, установленных законодательством Кыргызской Республики для платежных документов, целостность и конфиденциальность данных;
- своевременное переключение/восстановление/разворачивание функционирования системы на резервном аппаратно-программном комплексе/резервном сайте при возникновении нештатной ситуации;
- защиту данных и оборудования при сбоях автоматизированной системы, нештатных ситуациях или в случае несанкционированного доступа к данным;
- мониторинг и контроль над работоспособностью объектов, подключенных к процессинговому центру, сеансов доступа к информационным ресурсам системы, в соответствии с требованиями нормативных правовых актов Национального банка.
24. Оператор платежной системы должен иметь в наличии:
- договор, заключенный с организацией, которая разработала программное обеспечение, или организацией, уполномоченной правообладателем программного обеспечения (в случае приобретенного программного обеспечения);
- договор по обеспечению технической поддержки с компанией-разработчиком (в случае приобретенного программного обеспечения) или лицами, разработавшими/поддерживающими функционирование программного обеспечения, осуществляющего процессинг принятых платежей, в соответствии с заключенными договорами или трудовыми соглашениями с сотрудниками;
- детально разработанные технические задания и требования;
- перечень работников, имеющих возможность вносить изменения в исходный код программного обеспечения;
- руководство или сопровождающие документы для администраторов системы и пользователей программного обеспечения;
- программу и методику испытаний;
- акт ввода и журнал испытаний опытной эксплуатации;
- акт ввода в промышленную эксплуатацию;
- акт приема-передачи, подписанный оператором платежной системы и организацией, разработавшей программное обеспечение или организацией, уполномоченной правообладателем программного обеспечения.
§ 2. Требования к правилам оператора платежной системы
25. Правила работы системы должны содержать следующее:
- архитектуру платежной системы и схему описания ее работы;
- требования об использовании безопасных и надежных каналов связи;
- процедуры вступления и выхода из платежной системы;
- порядок подключения участника к платежной системе и требования к участнику;
- порядок проведения процессинга;
- порядок проведения клиринга;
- порядок и требования по обеспечению физической и информационной безопасности при процессинге и клиринге (если данная услуга передана участнику системы или стороннему процессинговому (клиринговому) центру);
- критерии бесперебойного функционирования системы;
- порядок предоставления сведений участниками платежной системы о своей деятельности оператору платежной системы;
- систему управления рисками в платежной системе, включая используемую модель управления рисками, перечень мероприятий и способов управления рисками;
- требования к защите информации;
- порядок разрешения споров, жалоб участников и клиентов;
- порядок действия участников при возникновении нештатных ситуаций в платежной системе;
- порядок уведомления участников платежной системы;
- права, обязанности и ответственность участников платежной системы;
- тарифную политику;
- иные требования, предусмотренные законодательством Кыргызской Республики.
При необходимости могут быть представлены количественные и качественные критерии к участникам платежной системы.
26. Правила оператора платежной системы, осуществляющего процессинг карт, помимо требований, приведенных в пункте 25 настоящего Положения, должны содержать следующее:
- регистрацию и настройку участника в платежной системе;
- порядок и требования по безопасности при персонализации карт (если данная услуга передана участнику системы или стороннему процессинговому центру);
- порядок и требования по безопасности при процессинге и клиринге карт (если данная услуга передана участнику системы или стороннему процессинговому центру);
- порядок и требования к осуществлению эмиссии карт эмитентом;
- порядок и требования к осуществлению эквайринга карт эквайером;
- порядок проведения платежей в системе;
- порядок приема и обработки претензионных платежей;
- межбанковские комиссии, сервисные платы и другие комиссии в системе;
- меры по защите прав потребителей финансовых услуг.
27. В правилах платежной системы запрещается установление требований к участникам платежной системы о неучастии в других платежных системах (условия об исключительном участии).
28. Правила и процедуры системы должны давать участникам четкое представление о влиянии системы на каждый из финансовых рисков, которые они несут в силу участия в системе, объяснять юридическую основу и роли сторон-участников, время и принципы управления рисками системы. Указанные правила и процедуры должны соответствовать требованиям нормативных правовых актов Национального банка по управлению рисками, регулярно пересматриваться и обновляться в случае необходимости, но не реже 1 (одного) раза в 3 (три) года.
§ 3. Требования к деятельности платежной организации
29. Платежная организация вправе заниматься только теми видами деятельности, которые указаны в лицензии, а также оказывать консультационные/информационные услуги и осуществлять иную деятельность, которая является сопутствующей к основной или необходима для обеспечения его основной детальности, согласно требованиям Национального банка по лицензированию деятельности платежных организаций и операторов платежных систем.
Платежная организация может совмещать свою деятельность только с деятельностью оператора платежной системы.
Запрещается передача лицензии другому лицу для осуществления деятельности, подлежащей лицензированию.
30. Платежная организация должна иметь разработанные и утвержденные внутренние правила и процедуры по предоставлению услуги по приему платежей в пользу третьих лиц в соответствии с нормативными правовыми актами Национального банка.
31. Размер уставного капитала платежной организации должен быть не менее размера, установленного в нормативных правовых актах Национального банка по лицензированию деятельности платежных организаций и операторов платежных систем.
32. Платежная организация может быть реорганизована (слияние, присоединение, разделение, выделение, преобразование) при соблюдении требований, установленных законодательством Кыргызской Республики. Платежная организация должна уведомить Национальный банк в срок не позднее 10 (десяти) рабочих дней со дня прохождения государственной перерегистрации в связи с реорганизацией с приложением всех подтверждающих документов, заверенных надлежащим образом.
33. В целях страхования возможных рисков поставщиков товаров/услуг платежная организация должна обеспечить:
1) предоставление 100 (ста) процентов предоплаты на всю сумму принимаемых платежей в бюджеты бюджетной системы Кыргызской Республики с установлением данного требования в соответствующих договорных отношениях с уполномоченным государственным органом по прогнозированию и исполнению бюджета и реализацией необходимых механизмов контроля и управления рисками (при заключении прямых договоров) для осуществления приема денежных средств плательщиков по уплате налогов, сборов и платежей, подлежащих зачислению на Единый казначейский счет уполномоченного органа по прогнозированию и исполнению бюджета в Национальном банке Кыргызской Республики. В случае превышения суммы платежей над размером предоплаты услуга поставщика товаров/услуг должна автоматически отключаться;
2) размещение страхового депозита в размере 50 (пятьдесят) процентов среднедневного оборота за последний квартал по каждому поставщику товаров/услуг для поставщиков товаров/услуг, полностью или частично находящихся в государственной собственности, коммунальных предприятий и бюджетных организаций, где договорные отношения не предусматривают предоплату, безотзывную банковскую гарантию либо депозит, размещенный на банковском счете поставщика товаров/услуг.
В договоре с поставщиком товаров/услуг должно быть предусмотрено, что страховой депозит будет использоваться только по целевому назначению при наступлении случаев неисполнения/нарушения платежной организацией обязательств по перечислению принятых платежей на расчетный счет поставщика товаров/услуг, а также условия контроля банковского счета, на котором размещен страховой депозит, и/или возможность безакцептного списания денежных средств поставщиком товаров/услуг;
3) размещение на банковском счете по вкладам на иных условиях возврата в коммерческом банке страхового депозита либо представление платежной организацией безотзывной банковской гарантии в пользу поставщика товаров/услуг для поставщиков товаров/услуг, где договорные отношения не предусматривают предоплату поставщику товаров/услуг. Размер страхового депозита либо банковской гарантии должен составлять не менее 10 (десяти) процентов от суммы среднедневного оборота платежной организации за последний квартал по каждому поставщику товаров/услуг;
4) денежные средства, предназначенные поставщику товаров/услуг, не должны аккумулироваться на расчетном счете платежной организации, предназначенном для проведения операций, связанных с хозяйственной деятельностью платежной организации. Страховые депозиты могут размещаться на одном банковском счете по всем поставщикам товаров/услуг либо на нескольких банковских счетах.
34. Платежная организация должна соблюдать требования по приему, хранению, передаче/перечислению денежных средств (инкассации) в соответствии с законодательством Кыргызской Республики.
Передача/перечисление денежных средств (инкассация) и кассовые операции, связанные с выдачей денег, должны осуществляться платежной организацией по целевому назначению в соответствии с перечнем кассовых операций, утвержденных платежной организацией. В перечне кассовых операций суммы денежных средств, выдаваемых из кассы платежной организации, должны быть лимитированы и утверждены внутренними процедурами.
35. Платежная организация обязана обеспечить контроль всего процесса передачи денежных средств от плательщика к получателю и несет ответственность за несвоевременность передачи денежных средств.
36. Платежи на территории Кыргызской Республики должны осуществляться в национальной валюте.
37. Платежная организация обязана обеспечивать защиту и конфиденциальность персональных данных, финансовой информации по платежам и иной информации, имеющейся в ее распоряжении, подлежащей обязательной защите, и предоставлять ее третьим лицам только в случаях, предусмотренных законодательством Кыргызской Республики.
38. Для обеспечения безопасности помещение, в котором эксплуатируется автоматизированная система платежной организации и автоматизированная система по учету бухгалтерских операций (1С или другие), должно соответствовать следующим основным требованиям:
- нахождение на территории Кыргызской Республики;
- наличие надежных автоматических замков;
- наличие системы видеонаблюдения и обязательства по хранению данных видеонаблюдения в рамках сроков, установленных исполнительным органом платежной организации;
- наличие средств пожарной и охранной сигнализации, наличие круглосуточной охраны или средств наблюдения, исключающих возможность несанкцинированного проникновения в помещение посторонних лиц и обеспечивающих физическую сохранность находящихся в помещении защищаемых ресурсов;
- строгая регламентированность доступа персонала в помещение в соответствии с функциональными обязанностями.
39. Платежная организация должна осуществлять сохранность данных обо всех транзакциях в течение 5 лет с возможностью получения данных о любой транзакции за любой период, с момента получения лицензии Национального банка в период, не превышающий 1 (один) рабочий день с момента поступления запроса, если объем запрашиваемой информации включает период не более, чем 2 дня. Сроки предоставления информации за больший период времени оговариваются отдельно.
40. Платежная организация должна не реже одного раза в 6 (шесть) месяцев проводить протоколированную проверку безопасности автоматизированной системы на соответствие требованиям внутренних правил и процедур.
Результаты проверки должны быть оформлены протокольно и подписаны участниками проверки.
41. Платежная организация должна обеспечить хранение и ведение архивов данных по обработанной финансовой информации в соответствии со сроками, установленными законодательством Кыргызской Республики для хранения платежных документов.
42. Платежная организация вправе самостоятельно устанавливать размер взимаемой комиссии с плательщика в соответствии с законодательством Кыргызской Республики.
§ 4. Требования к агентам
43. Платежная организация вправе заключать агентские договора с другими лицами для организации своей деятельности и обязана иметь базу, содержащую следующую информацию по агентам, включая его пункты приема платежей:
1) если юридическое лицо – наименование организации, копию свидетельства о государственной регистрации, копию лицензии на право осуществления предпринимательской деятельности (в случае, если деятельность лицензируется), учредительные документы, фактический адрес, контакты, актуальный список адресов, где установлены терминалы;
2) если индивидуальный предприниматель – копию паспорта предпринимателя, свидетельства о регистрации в качестве индивидуального предпринимателя/ действующий патент, лицензию на право осуществления предпринимательской деятельности (в случае, если деятельность лицензируется), список адресов, где установлены терминалы, и фактическое место осуществления деятельности.
44. Агенты для приема платежей в пользу третьих лиц могут привлекать субагентов. Платежная организация также может привлекать и/или создавать субагентскую сеть для организации своей деятельности.
45. Если платежная организация самостоятельно или через своих агентов осуществляет предоставление услуг по проведению платежей через мобильные приложения агентов (далее – МПА) с использованием денежных средств, возвращаемых клиенту в счет ранее внесенных на его лицевой счет, открытый у поставщика товаров/услуг, являющимся одновременно агентом платежной организации, авансов/предоплаты или их частей, платежная организация и агент должны соблюдать Порядок проведения идентификации и верификации клиентов платежных организаций и операторов платежных систем, использующих мобильные приложения агентов для оплаты товаров /услуг, установленный в Приложении 2 настоящего Положения.
46. Договор между платежной организацией и агентом должен включать, как минимум:
- порядок осуществления взаиморасчетов и ответственность сторон в случае неисполнения условий договора или наличия задолженности. Агент не несет ответственности по обязательствам платежной организации;
- лимиты/ограничения (при необходимости) по объему принимаемых платежей у агента и по количеству терминалов агента в соответствии с требованиями пункта 48 настоящего Положения;
- порядок/процедуру возврата денежных средств, в том числе в случае возникновения нештатной ситуации;
- требования к договору с субагентом, включающие порядок осуществления взаиморасчетов и ответственность сторон в случае неисполнения условий договора или наличия задолженности;
- требования к агенту о соблюдении им Порядка проведения идентификации и верификации клиентов платежных организаций и операторов платежных систем, использующих мобильные приложения агентов для оплаты товаров /услуг (Приложение 2 к настоящему Положению, в случае проведения платежа через МПА с использованием денежных средств, возвращаемых клиенту в счет ранее внесенных на его лицевой счет, открытый у поставщика товаров/услуг, являющегося одновременно агентом платежной организации, авансов/предоплат или их частей.
47. Договор между платежной организацией и агентом также должен содержать требование и согласие о беспрепятственном проведении в любое время Национальным банком проверки агентов и субагентов данной платежной организации на соответствие требованиям настоящего Положения и предоставление необходимых документов, связанных с проверкой деятельности, осуществляемой в качестве агента.
48. Если в течение 6 (шести) и более месяцев показатели по сумме оборотов денежных средств у агента превышают 20 (двадцать) процентов от общего объема операций всех платежных организаций и/или по количеству терминалы агента превышают 10 (десять) процентов от общего количества терминалов всех платежных организаций:
1) деятельность агента подлежит лицензированию со стороны Национального банка; или
2) агент должен дополнительно обеспечить выполнение следующих требований:
- соблюдать требования по приему, хранению, передаче/перечислению денежных средств (инкассации) в соответствии с законодательством Кыргызской Республики. Передача/перечисление денежных средств (инкассация) и кассовые операции, связанные с выдачей денег, должны осуществляться по целевому назначению в соответствии с перечнем кассовых операций и лимитами, утвержденными платежной организацией, и оговариваться в договоре между платежной организацией и агентом;
- нести ответственность за несвоевременность передачи денежных средств платежной организации;
- обеспечивать защиту и конфиденциальность персональных данных, финансовой информации по платежам и иной информации, имеющейся в его распоряжении, подлежащей обязательной защите, и предоставлять ее третьим лицам только в случаях, предусмотренных законодательством Кыргызской Республики;
- обеспечить хранение и ведение архивов данных по обработанной финансовой информации в соответствии со сроками, установленными законодательством Кыргызской Республики для хранения платежных документов.
Национальный банк уведомляет платежную организацию и его агента о достижении агентом указанных в настоящем пункте показателей, полученных на основании предоставляемой платежными организациями информации по агентам и субагентам, для исполнения им требований, установленных в настоящем пункте, в течение 1 (одного) месяца после уведомления агента Национальным банком.
49. Платежная организация должна иметь документы для обучения агентов принципам использования системы в рамках выполняемых ими функций. При заключении договора необходимо проведение инструктажа в соответствии с имеющимися процедурами и ознакомление агента с требованиями законодательства Кыргызской Республики, и последующего мониторинга за агентами по соблюдению указанных требований.
50. Платежная организация и агенты при приеме платежей обязаны обеспечить в каждом пункте приема платежей/МПА предоставление плательщикам следующей информации:
- наименование, контактные данные и местонахождение платежной организации;
- номер и дату выдачи лицензии платежной организации;
- размер комиссии, уплачиваемой плательщиком;
- способы подачи претензий;
- номера call-центра платежной организации.
51. Платежная организация не вправе принимать и проводить платежи за товары и услуги третьих лиц через агентов или поставщиков товаров/услуг, использующих мобильные приложения агентов для оплаты товаров /услуг, осуществляемые за счет возврата с балансов лицевых счетов абонентов поставщиков товаров/услуг, денежных средств клиентов поставщиков товаров/услуг, являющихся авансом и/или предоплатой и/или займом поставщика товаров/услуг, совершенные в любой форме, в том числе в форме возврата авансовых платежей или отказа от товаров/услуг, если пользователи (клиенты)/абоненты поставщиков товаров/услуг не прошли процедуру идентификации и верификации в соответствии с требованиями настоящего Положения или банковским законодательством Кыргызской Республики.
52. Для пользователей (клиентов)/абонентов поставщиков товаров/услуг, прошедших процедуру идентификации и верификации, согласно Порядку проведения идентификации и верификации клиентов платежных организаций и операторов платежных систем, использующих мобильные приложения агентов для оплаты товаров /услуг, применяются следующие ограничения на совершение операций:
- объемы по транзакциям через МПА не должны превышать 300 (триста) расчетных показателей в месяц;
- проведение только низкорискованных операций, доступных в МПА, согласно Приложению 2 к Порядку проведения идентификации и верификации клиентов платежных организаций и операторов платежных систем, использующих мобильные приложения агентов для оплаты товаров/услуг (Приложение 2 к настоящему Положению).
53. Для пользователей (клиентов)/абонентов поставщиков товаров/услуг, прошедших полную идентификацию и верификацию в соответствии с банковским законодательством Кыргызской Республики, предоставляется доступ к полному спектру услуг через МПА.
54. Платежная организация несет ответственность за соблюдение агентом/субагентом требований настоящего Положения в части требований, касающихся агентов/субагентов.
Глава 4. Управление рисками
55. Операторы платежных систем и платежные организации в договоре об участии в платежной системе должны иметь раздел по управлению рисками при возникновении нештатных ситуаций, включая возможные форс-мажорные ситуации (военные конфликты, стихийные бедствия и другие) и обеспечить соблюдение участниками требований нормативных правовых актов Национального банка по нештатным ситуациям и управлению рисками.
56. Оператор платежной системы должен обеспечивать онлайн-мониторинг за рисками в платежной системе.
57. При обнаружении системного риска или возникновения нештатной ситуации, когда участники платежной системы не в состоянии совершать свои функции, оператор платежной системы и платежные организации должны:
- своевременно, но не позднее 2-х (двух) часов с момента обнаружения системного риска или возникновения нештатной ситуации, уведомить Национальный банк, а также банк-агент оператора платежной системы или платежной организации и, при наличии банк-эмитент электронных денег, посредством отправки электронного сообщения и осуществления телефонного звонка уполномоченному структурному подразделению;
- уведомить сторону или стороны, подвергающиеся риску, агентов/поставщиков товаров/услуг;
- принять меры по исполнению/завершению своих финансовых обязательств перед пользователями услуг (клиентами)/поставщиками товаров/услуг и участниками платежной системы;
- принять меры по обеспечению сохранности данных и восстановлению работоспособности платежной системы;
- обеспечить для других участников возможность выполнения своих обязательств.
Перечисленные в настоящем пункте обязанности, относящиеся к поставщику товаров/услуг/пользователю услуг, должны быть отражены в договоре с поставщиком товаров/услуг и/или публичной оферте.
58. Оператор платежной системы, платежные организации должны использовать безопасные и надежные средства связи, предоставляемые лицензированными операторами связи, а также иметь резервные каналы связи на случай возникновения нештатной ситуации.
59. Оператор платежной системы должен установить для лиц, осуществляющих техническую поддержку, ограничения по удаленному доступу к системе только в режиме просмотра или на определенный период времени для восстановления работы системы при нештатных ситуациях. Лица, имеющие удаленный доступ к системе, должны быть утверждены приказом, их действия строго регламентированы в соответствии с функциональными обязанностями, и они несут персональную ответственность за неправомерные действия в соответствии с законодательством Кыргызской Республики. Не допускается управление программным обеспечением за пределами территории Кыргызской Республики.
60. Оператор платежной системы должен обеспечить наличие и функционирование на территории Кыргызской Республики основного и резервного аппаратно-программного комплекса в соответствии с требованиям нормативных правовых актов Национального банка. Аппаратная часть аппаратно-программного комплекса должна состоять из оборудования промышленного класса.
61. Процессинг и клиринг платежей должен проводиться на территории Кыргызской Республики.
62. Помещение (серверное помещение), в котором эксплуатируется аппаратно-программный комплекс оператора платежной системы, должно обеспечивать надежную работу всех бизнес-процессов, связанных с предоставлением услуг по функционированию платежной системы и соответствовать следующим основным требованиям:
- изолированность (нахождение во внутренней пространственной части здания, отделенной от других смежных частей строения стенами, без оконных проемов, и имеющей самостоятельный вход);
- наличие надежных автоматических замков;
- наличие системы видеонаблюдения с хранением информации в течение установленного времени;
- наличие средств пожарной и охранной сигнализации, наличие круглосуточной охраны или средств наблюдения, исключающих возможность несанкцинированного проникновения в помещение посторонних лиц и обеспечивающих физическую сохранность находящихся в помещении защищаемых ресурсов;
- доступ персонала в помещение должен быть строго регламентирован в соответствии с функциональными обязанностями;
- наличие гидроизоляции и отсутствие обвисания проводов;
- наличие журнала учета посещения серверного помещения или системы контроля и управления доступом.
63. Сроки аренды помещения, в котором размещен аппаратно-программный комплекс, должны соответствовать требованиям Национального банка по лицензированию деятельности платежных организаций и операторов платежных систем.
64. Персонал (основной и дублирующий), имеющий доступ к работе с аппаратно-программным комплексом оператора платежной системы, должен:
- быть ознакомлен с нормами и требованиями по обеспечению информационной безопасности при работе с финансовой информацией, регламентированными внутренними правилами и процедурами;
- иметь уровень квалификации, необходимый для управления программно-техническими средствами доступа к аппаратно-программному комплексу процессингового центра и обработкой финансовой информации, согласно внутренним документам;
- нести персональную ответственность за нарушение требований по обеспечению информационной безопасности при работе с финансовой информацией в соответствии с законодательством Кыргызской Республики.
65. Оператор платежной системы должен оснастить аппаратно-программный комплекс альтернативными источниками электроснабжения, способными обеспечивать бесперебойную работу системы.
66. Оператор платежной системы должен обеспечить гарантированную целостность данных программного комплекса при возможных сбоях.
67. Оператор платежной системы должен обеспечить механизм создания резервных копий и восстановление/разворачивание функционирования операционной системы, прикладного программного обеспечения, программного обеспечения системы, базы данных и прочих ключевых компонентов из резервных копий.
68. Оператор платежной системы должен иметь документы, регламентирующие техническое обеспечение используемого аппаратно-программного комплекса, включая технический регламент для обеспечения работоспособности системы.
69. Используемое оператором платежной системы программное обеспечение, предназначенное для приема и обработки (процессинга/клиринга) платежей, должно быть укомплектовано необходимыми сопроводительными документами для эксплуатации платежной системы, содержать паспорт системы, включая описание программы, руководство для пользователя и администратора, и прочие документы, необходимость в наличии которых может возникнуть во время эксплуатации системы.
Все информационные системы должны иметь описание (паспорт системы), которое содержит:
- общие характеристики (назначение, дата внедрения и др.);
- конфигурацию системы (аппаратная часть, программное обеспечение /системное, прикладное/ системы управления базами данных, размеры дисковых разделов, карта резервного копирования и пр.);
- список нормативных документов (положения, регламенты и др.), используемых в эксплуатации системы, включая регламенты восстановления;
- схему (топология) взаимодействия оборудования и смежных систем.
Паспорт системы не ограничивается данным содержанием, и должен включать информацию для эффективного управления системами, их планированием, модернизацией и обслуживанием.
70. Деятельность по обеспечению безопасности информации должна включать находящиеся в распоряжении организации все участки, вовлеченные в процесс по получению, обработке, сохранению и предоставлению информации.
71. Оператор платежной системы обязан обеспечивать защиту персональных данных и иной информации, подлежащей обязательной защите, в соответствии с законодательством Кыргызской Республики.
72. Оператор платежной системы, осуществляющий обработку (процессинг/клиринг) транзакций:
- по международным платежным картам, должен иметь сертификацию Payment Card Industry Data Security Standard (PCI DSS) – международного стандарта, определяющего параметры защиты информации в области платежных карт, и ежегодно подтверждать его соответствие внешними аудиторами;
- по платежным картам национальной или локальных систем, должен соответствовать требованиям, установленным настоящим Положением и законодательством Кыргызской Республики.
73. Оператор платежной системы должен не реже 1 (одного) раза в 6 (шесть) месяцев проводить протоколированную проверку безопасности аппаратно-программного комплекса на соответствие требованиям внутренних правил и процедур платежной системы, а также на соответствие требованиям Национального банка.
Результаты проверки должны быть оформлены протокольно и подписаны участниками проверки.
74. Оператор платежной системы должен обеспечить шифрование данных, передаваемых посредством аппаратно-программного комплекса оператора платежной системы при осуществлении платежей.
75. Оператор платежной системы должен обеспечить защиту и конфиденциальность имеющейся в его распоряжении финансовой информации, предоставлять ее третьим лицам только в случаях, предусмотренных законодательством Кыргызской Республики.
76. Оператор платежной системы должен обеспечить ведение журнала системных сообщений (логов) для всех операций на уровне системы и приложений (вход/выход пользователя в/из систему, изменения данных и т.д.).
77. Оператор платежной системы должен обеспечить сохранность данных обо всех операциях на территории Кыргызской Республики в течение 5 лет с возможностью получения данных о любой транзакции за любой период, с момента получения лицензии Национального банка, в реальном режиме времени и/или по запросу в срок, не превышающий 1 (один) рабочий день с момента поступления запроса, если объем запрашиваемой информации включает период не более, чем 2 дня. Сроки предоставления информации за больший период времени оговариваются отдельно.
78. Оператор платежной системы должен обеспечить хранение и ведение архивов данных по обработанной финансовой транзакции в соответствии со сроками, установленными законодательством Кыргызской Республики для хранения платежных документов.
Глава 5. Требования к платежной организации
при взаимодействии с поставщиками товаров/услуг
79. Платежная организация для осуществления деятельности по приему платежей должна заключить с поставщиком товаров/услуг договор об осуществлении деятельности по приему платежей от потребителей товаров/услуг, по условиям которого платежная организация вправе от имени поставщика осуществлять прием денежных средств от плательщиков, а также обязана осуществлять расчеты с поставщиком товаров/услуг в установленном договором порядке в соответствии с пунктом 33 настоящего Положения и законодательством Кыргызской Республики.
Платежная организация в течение 12 месяцев с момента получения лицензии должна заключить договор/договора и осуществлять расчеты, в противном случае лицензия платежной организации подлежит отзыву в соответствии с нормативными правовыми актами Национального банка.
80. Платежная организация должна иметь актуальную базу по заключенным договорам с поставщиками товаров/услуг. Договор между платежной организацией и поставщиком товаров/услуг должен содержать, как минимум, следующую информацию с приложением подтверждающих документов:
- наименование юридического лица/индивидуального предпринимателя;
- юридический, фактический адрес и контактные данные;
- наименование товара или вид услуг, предоставляемых поставщиком;
- ответственность сторон при проведении/ непроведении платежей клиенту;
- обеспечение финансовых обязательств платежной организации, согласно пункту 33 настоящего Положения, а также порядок и срок проведения взаиморасчетов, порядок возврата денег при расторжении договора;
- порядок оповещения при возникновении нештатных ситуаций, порядок и срок проведения взаиморасчетов при возникновении нештатных ситуаций;
- срок действия договора;
- банковские реквизиты сторон;
- условия оплаты (тарифы, комиссии и вознаграждения и др.).
Платежная организация должна регулярно, но не реже 1 (одного) раза в год, проводить проверку актуальности данных поставщиков товаров/услуг.
81. Платежная организация при приеме платежей обязана открывать и использовать отдельно банковские счета в коммерческом банке для хранения и использования средств своей хозяйственной деятельности, а также отдельно счета или один счет для осуществления расчетов с поставщиками товаров/услуг. Денежные средства, предназначенные для осуществления расчетов с поставщиками товаров/услуг, не должны аккумулироваться на расчетном счете платежной организации, предназначенном для хозяйственной деятельности.
Глава 6. Порядок предоставления отчетности платежными организациями и операторами платежных систем
82. Для осуществления контроля за информационным и финансовым потоком денежных средств на территории Кыргызской Республики операторы платежных систем и платежные организации должны предоставлять в Национальный банк сведения об информационных, финансовых платежных услугах в Кыргызской Республике по форме, установленной в Приложении 1 и формам отчета 1-5 настоящего Положения.
83. Оператор платежной системы/платежные организации должны предоставлять в Национальный банк информацию о размере уставного капитала, составе коллегиального исполнительного органа, учредителях, изменениях доли участия учредителей, аффилированных и связанных лицах, источниках происхождения денежных средств, фактическом и юридическом адресах, наличии дочерних организаций/филиалов по мере возникновения изменений в течение 5 (пяти) рабочих дней после принятия решения об изменениях, с приложением анкет и копий подтверждающих документов.
84. Оператор платежной системы/платежная организация обязаны ежеквартально предоставлять в Национальный банк сведения о финансовом состоянии по формам отчетностей в соответствии с Международными стандартами финансовой отчетности. Отчет должен предоставляться оператором платежной системы не позднее 25 (двадцать пятого) числа месяца, следующего за отчетным кварталом, в электронном виде (сканированная версия документа) с последующим досылом бумажной версии.
85. Оператор платежной системы/платежная организация должны ежемесячно предоставлять в Национальный банк сведения в соответствии с формами отчета 1-5 Приложения 1 настоящего Положения не позднее 15 (пятнадцатого) числа месяца, следующего за отчетным месяцем. Отчетность должна предоставляться в указанные сроки в электронном виде (сканированная версия документа) с последующим досылом бумажной версии.
В случае необходимости Национальный банк вправе запросить дополнительные сведения и документы, вытекающие из предоставленных отчетов. Оператор платежной системы/платежная организация обязан(а) предоставить запрашиваемые сведения и документы в течение 10 рабочих дней с момента получения запроса Национального банка.
86. Оператор платежной системы/платежная организация предоставляют отчетность, начиная с отчетного месяца, следующего за месяцем, в котором была получена лицензия Национального банка.
87. Если последний день срока предоставления отчетности приходится на выходной или нерабочий праздничный день, признаваемый таковым законодательством Кыргызской Республики, то окончание срока предоставления отчетности переносится на следующий за ним рабочий день.
88. Оператор платежной системы/платежная организация обязаны предоставлять в Национальный банк информацию о вновь заключенных договорах с поставщиками услуг в срок не позднее 10 (десяти) рабочих дней с момента заключения договора в соответствии с формой отчета 2 Приложения 1 настоящего Положения.
Информация должна предоставляться в электронном виде (сканированная версия документа) с последующим досылом бумажной версии в Национальный банк.
89. Национальный банк имеет право в любое время запросить у операторов платежных систем, платежных организаций информацию, касающуюся их деятельности и деятельности их агентов, относящуюся к деятельности по приему платежей в пользу третьих лиц, а также проводить инспекторские проверки на местах в рамках агентских договоров.
90. Национальный банк ежегодно на основе проведения мониторинга за платежной системой Кыргызской Республики определяет и публикует перечень системно-значимых и значимых платежных систем, провайдеров критичных услуг в Кыргызской Республике или направляет соответствующее письмо в адрес операторов платежных систем о признании данной платежной системы значимой или если оператор является провайдером критичных услуг.
91. Операторы платежной системы, платежные системы которых определены в качестве системно-значимых и значимых, а также провайдеров критичных услуг, обязаны проводить внешний независимый финансовый аудит и аудит информационных систем не реже 1 (одного) раза в 2 (два) года, а также обеспечить исполнение требований нормативных правовых актов Национального банка, установленных для системно-значимых и значимых платежных систем, а также провайдеров критичных услуг.
92. Операторы платежных систем, не подпадающие под критерии значимости платежных систем, а также провайдеров критичных услуг, подлежат обязательному независимому финансовому аудиту и аудиту информационных систем не реже 1 (одного) раза в 3 (три) года.
93. Платежные организации подлежат обязательному внешнему независимому финансовому аудиту не реже 1 (одного) раза в 3 (три) года.
94. Копия аналитического отчета по итогам обязательного внешнего независимого финансового аудита и аудита информационных систем должна быть предоставлена в Национальный банк не позднее 1 (одного) месяца с момента его подписания.
95. Аудит информационных систем оператора платежных систем должен включать как минимум оценку:
- действующих политик и процедур;
- безопасности платежной системы;
- политики по управлению рисками.
96. Оператор платежной системы расчетов с использованием международных платежных карт должен проводить аудит информационных систем не реже 1 (одного) раза в 2 (два) года с привлечением аудиторов, сертифицированных по международным программам сертификации. Копия аналитического отчета по результатам аудита информационных систем должна быть предоставлена в Национальный банк не позднее
1 (одного) месяца с момента его подписания.
97. Все отчеты, предоставляемые в Национальный банк, оформляются на официальных листах компании с подписью руководителя и главного бухгалтера в соответствии с Приложением 1 настоящего Положения.
Глава 7. Требования к автоматизированному терминалу самообслуживания (сash-in) для приема платежей
98. Автоматизированный терминал самообслуживания должен:
1) позволять плательщику ознакомиться с краткой инструкцией/информацией по использованию устройства для осуществления платежа за услуги поставщиков;
2) осуществлять идентификацию и верификацию клиента-отправителя денежных средств с применением риск-ориентированного подхода, установленного в процедурах/программах внутреннего контроля при осуществлении операций, которые не включены в список низкорискованных операций, согласно Приложению 2 к Порядку проведения идентификации и верификации клиентов платежных организаций и операторов платежных систем, использующих мобильные приложения агентов для оплаты товаров /услуг (Приложение 2 к настоящему Положению);
3) иметь онлайн-соединение с аппаратно-программным комплексом платежной организации: его размещение должно отвечать требованиям безопасности, установленным законодательством Кыргызской Республики;
4) выдавать информацию по комиссии/тарифам за проведение платежа, до оплаты клиента за товары и услуги;
5) быть оснащен устройством по выдаче чека в качестве подтверждения проведенной операции в соответствии с законодательством Кыргызской Республики.
99. Платежная организация и/или ее агент/субагент для размещения автоматизированного терминала самообслуживания должны обладать всеми необходимыми документами, удостоверяющими его права на установку устройства в данном месте.
100. Платежная организация и/или ее агент/субагент в случае подключения к сети терминалов самообслуживания должны назначить ответственное лицо для поддержания работы и проведения профилактических технических работ по автоматизированному терминалу самообслуживания либо заключить договор на обслуживание платежных терминалов.
|
Приложение 1 к Положению «О регулировании деятельности платежных организаций и операторов платежных систем» |
Титульный лист отчета платежных организаций
и операторов платежных систем
Настоящим (ОсОО, ОАО, ЗАО и т.д.) (наименование платежной организации/ оператора платежной системы), действующее на основании лицензии Национального банка № ____, предоставляет отчет за ____________ 201_ год по платежной системе.
Члены исполнительного органа (ОсОО, ОАО, ЗАО, и т.д.) (наименование платежной организации/ оператора платежной системы):
- Председатель – ___________
- Технический директор – ____________
- Главный бухгалтер – ___________
Приложение:
- Наименования Формы отчета № 1.
- Наименование Формы отчета № 2.
- Наименование Формы отчета № 3.
- Наименование Формы отчета № 4.
|
Руководитель (заместитель руководителя) |
__________________ (личная подпись) |
_____________________ (инициалы, фамилия) |
|
|
|
|
|
Исполнитель |
__________________ (личная подпись) |
_____________________ (инициалы, фамилия) |
Печать
Номер телефона
Форма отчета № 1
Наименование организации
_________________________
Сведения
о платежной организации/операторе платежной системы
за __________ месяц 20___ года
Отчет № 1-А
|
№ |
Наименование банка |
Вид счета (+/-) |
Остаток денежных средств на банковских счетах на конец отчетного периода |
||
|
гарантийный счет (+/-) |
расчетный счет (+/-) |
валюта |
сумма |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
№ 1-Б
|
№ |
Общее количество участников платежной системы |
__________ (указывается количество) |
|
|
В том числе: |
|
|
|
- поставщики |
__________ |
|
|
- агенты |
__________ |
|
|
другие лица (указать) |
__________ |
№ 1-С
|
№ |
Общее количество терминалов |
__________ (указывается количество) |
|
|
В том числе: |
|
|
|
собственные платежные терминалы |
__________ |
|
|
платежные терминалы агентов |
__________ |
|
|
веб-кассы |
__________ |
|
|
POS-терминалы платежных организаций |
__________ |
|
|
другие (указать) |
__________ |
|
Исполнитель |
__________________ (личная подпись) |
_____________________ (инициалы, фамилия) |
Форма отчета № 2
Наименование организации
________________________
Сведения
о действующих договорах платежной организации /оператора платежной системы
за __________ месяц 20___ года
|
№ |
Наименование организации |
Юридический адрес и контактные данные |
Номер и дата договора |
Вид предоставляемых услуг |
|
|
|
|
|
|
|
Исполнитель |
__________________ (личная подпись) |
_____________________ (инициалы, фамилия) |
Форма отчета № 3
Наименование организации
________________________
Сведения*
о произведенной оплате поставщикам товаров и услуг
за __________ месяц 20___ года
|
№ |
Наименование организации – поставщика товаров и услуг |
Общая сумма предоплаты, сом |
Форма обеспечения |
Общий объем* платежей, сом |
|
|
сумма страхового депозита, сом |
банковская гарантия, сом |
||||
|
|
|
|
|
|
|
*указываются данные из автоматизированной системы
Форма отчета № 4
Наименование организации
________________________
СВЕДЕНИЯ
об агентах, объемах и количестве платежей
за __________ месяц 20___ год
|
№ |
Наименование агентов |
Количество терминалов: - платежные терминалы; - веб-кассы. |
Объем платежей, сом |
Количество платежей, ед. |
|
|
|
|
|
|
|
|
|
|
|
|
Форма отчета № 5
Наименование организации
________________________
СВЕДЕНИЯ
об клиентах/ пользователях МПА, объемах и количестве платежей
за __________ месяц 20___ год
|
№ |
Общее количество клиентов, использующих МПА |
Объем платежей, сом |
Количество платежей, ед. |
Количество клиентов, использующих МПА, прошедших идентификацию и верификацию |
Объем платежей, сом |
Количество платежей, ед. |
Количество клиентов, использующих МПА, прошедших банковскую идентификацию |
Объем платежей, сом |
Количество платежей, ед. |
|
|
|
|
|
|
|
|
|
Приложение 2 к Положению «О регулировании деятельности платежных организаций и операторов платежных систем»
|
ПОРЯДОК
проведения идентификации и верификации клиентов платежных организаций
и операторов платежных систем, использующих мобильные приложения агентов
для оплаты товаров /услуг
Глава 1. Общие положения
1. Настоящий Порядок проведения идентификации и верификации клиентов платежных организаций и операторов платежных систем, использующих мобильные приложения агентов для оплаты товаров /услуг (далее – Порядок), разработан с целью проведения идентификации и верификации клиентов платежных организаций и операторов платежных систем, которые являются пользователями услуг агентов платежных организаций, предоставляющих услуги посредством мобильных приложений.
Идентификация и верификация пользователей, использующих мобильные приложения агентов (далее – МПА), осуществляются по правилам и процедурам, указанным в Порядке, и не являются тождественными процедурам идентификации и верификации, установленным банковским законодательством Кыргызской Республики.
2. Платежные организации и их агенты должны обеспечить наличие заполненной анкеты, содержащей перечень обязательных сведений о клиентах, использующих МПА для оплаты товаров /услуг, в соответствии с принципом «Знай своего клиента», установленных в Приложении 1 к настоящему Порядку, и проводить процедуру верификации клиентов в соответствии с требованиями настоящего Положения.
3. Агенты платежных организаций должны обеспечить наличие актуальных идентификационных данных пользователя (ФИО, ИНН/ПИН и др.) на основании паспорта физического лица, и срок хранения данной информации в течение 5 (пяти) лет и предоставлять данную информацию по запросу платежной организации и/или Национального банка.
4. Платежные организации и их агенты могут предоставлять клиентам – физическим лицам, использующим МПА и прошедшим процедуру идентификации и верификации в соответствии с главами 2 и 3 настоящего Порядка, доступ только к низкорискованным операциям, список которых опеределен в Приложении 2 к настоящему Порядку.
5. Платежные организации и их агенты должны установить клиентам – физическим лицам, использующим МПА и прошедшим идентификацию и верификацию в соответствии с главами 2 и 3 настоящего Порядка, лимит на проведение платежей в объеме не более 300 (трехсот) расчетных показателей в месяц.
6. Клиентам – физическим лицам, прошедшим процедуру идентификации и верификации клиента в соответствии с банковским законодательством Кыргызской Республики, предоставляется полный спектр услуг, доступных в МПА.
Глава 2. Проведение идентификации и верификации клиента, использующего МПА
7. Процедура проведения идентификации и верификации пользователя/клиента, использующего МПА, проводится в любом из следующих случаев:
1) при установлении деловых отношений с новыми пользователями (клиентами);
2) при сборе сведений о клиентах МПА, подключившихся к услугам МПА, при отсутствии ранее проведенной процедуры надлежащей проверки клиента в соответствии с банковским законодательством;
3) при возобновлении ранее приостановленной или заблокированной услуги МПА (за исключением случаев приостановления оказания услуг МПА в связи с превышением установленных лимитов по объему платежей);
4) при наличии подозрения в осуществлении финансирования террористической деятельности и легализации (отмывания) преступных доходов и других предикатных преступлений;
5) при выявлении фактов недостоверности или недостаточности ранее полученных сведений о клиенте;
6) при обновлении (актуализации) сведений согласно регламенту, установленному платежной организацией и оператором платежных систем;
7) при наличии подозрения в осуществлении подозрительных и/или мошеннических транзакций/действий и/или злоупотребления правами пользования услугами МПА;
8) по требованию платежной организации, агента платежной организации, предоставляющего услуги МПА, и/или уполномоченных государственных органов;
9) при наличии подозрения о тождественности пользователя с лицами, предусмотренными в перечне физических и юридических лиц, групп и организаций, в отношении которых имеются сведения об их участии в террористической и экстремистской деятельности, распространении оружия массового уничтожения и легализации (отмывании) преступных доходов.
8. При осуществлении пользователем МПА переводов денежных средств другим пользователям МПА на банковские карты, электронные кошельки других пользователей МПА дополнительно также осуществляется сбор сведений по таким платежам, согласно перечню (Приложение 1 к настоящему Порядку).
9. Платежная организация, агент платежной организации, предоставляющий услуги МПА, обязаны хранить базу данных по пользователям и проводимым платежам по МПА в течение срока не менее 5 (пяти) лет.
Глава 3. Способы проведения идентификации и верификации клиента МПА
10. Порядок проведения идентификации и верификации клиента МПА проводится любым из следующих способов:
1) при обращении клиента к сотрудникам и/или уполномоченным лицам агента платежной организации, предоставляющим услуги МПА;
2) при обращении клиента МПА в банк-партнер;
3) при сборе и обобщении сведений техническими средствами, с соблюдением процедур, идентичных получению доступа к электронным государственным и муниципальным услугам, предоставляемых в Кыргызской Республике, при отсутствии ранее проведенной процедуры идентификации и верификации клиента в соответствии с банковским законодательством;
4) иными способами в соответствии с банковским законодательством Кыргызской Республики.
Глава 4. Случаи, не требующие проведения идентификации и верификации
клиента МПА
11. Проведение идентификации и верификации клиента МПА не требуется в следующих случаях:
1) если идентификация и верификация клиента была выполнена ранее одним из способов, указанным в главе 3 настоящего Порядка;
2) если услуга МПА в рамках использования одного приложения подключается пользователем идентифицированного электронного кошелька и/или держателем банковской платежной карты;
3) если в рамках услуги МПА осуществляется привязка именной банковской платежной карты с обязательным получением согласия клиента банка путем отправки SMS-сообщения с обратным подтверждением о согласии привязки карты к услуге МПА и/или электронному кошельку;
4) если услуга МПА подключается идентифицированным пользователем государственных и муниципальных услуг с применением персонального идентификатора пользователя государственных и муниципальных услуг.
Глава 5. Работа платежной организации, агента платежной организации, предоставляющих услугу МПА с перечнем физических и юридических лиц, групп и организаций, в отношении которых имеются сведения об их участии в террористической и экстремистской деятельности, распространении оружия массового уничтожения и легализации (отмывании) преступных доходов
12. В ходе оказания услуг МПА платежные организации и агенты платежной организации на постоянной основе обязаны руководствоваться также следующими положениями и перечнями (списками), утвержденными постановлением Правительства Кыргызской Республики «О мерах по реализации Закона Кыргызской Республики
«О противодействии финансированию террористической деятельности и легализации (отмыванию) преступных доходов» от 25.12.2018 г. № 606:
- Положением о порядке представления информации и документов в орган финансовой разведки Кыргызской Республики;
- Положением о перечнях физических и юридических лиц, групп и организаций, в отношении которых имеются сведения об их участии в террористической и экстремистской деятельности, распространении оружия массового уничтожения и легализации (отмывании) преступных доходов;
- Положением о порядке приостановления операции (сделки), замораживания и размораживания операции (сделки) и (или) средств, предоставления доступа к замороженным средствам и управления замороженными средствами;
- Положением о порядке применения мер (санкций) в отношении высокорискованных стран;
- Положением об общих требованиях к программе внутреннего контроля
13. Услуга МПА должна быть немедленно приостановлена для клиента, находящегося в перечне физических и юридических лиц, групп и организаций, в отношении которых имеются сведения об их участии в террористической и экстремистской деятельности, распространении оружия массового уничтожения и легализации (отмывании) преступных доходов.
14. Физическим лицам должно быть отказано в прохождении процедуры регистрации в качестве пользователя МПА, в случае, если данное лицо включено в перечень физических и юридических лиц, групп и организаций, в отношении которых имеются сведения об их участии в террористической и экстремистской деятельности, распространении оружия массового уничтожения и легализации (отмывании) преступных доходов.
Приложение 1
к Порядку
проведения идентификации и верификации
клиентов платежных организаций
и операторов платежных систем, использующих
мобильные приложения агентов
для оплаты товаров /услуг
Перечень обязательных сведений
о пользователях мобильных приложений агентов платежных организаций и/или электронных кошельков
При проведении идентификации согласно настоящему Положению осуществляется сбор следующих данных:
- Фамилия, имя, отчество (при наличии).
- Дата рождения.
- Гражданство.
- Реквизиты паспорта (серия и номер, дата выдачи, дата окончания срока действия; наименование органа, выдавшего документ), код подразделения (если имеется).
- Персональный идентификационный номер.
- Номер телефона(ов), используемого для получения услуг.
- Адрес электронной почты (при наличии).
При осуществлении переводов дополнительно собирается следующая информация по каждой транзакции:
- данные получателя;
- сумма платежа;
- назначение платежа;
- время осуществления платежа.
Идентификация для получения полного спектра банковских услуг:
- Проводится в соответствии с законодательством Кыргызской Республики.
|
Приложение 2 к Порядку проведения идентификации и верификации клиентов платежных организаций и операторов платежных систем, использующих мобильные приложения агентов для оплаты товаров /услуг |
|
|
Список низкорискованных операций
для пользователей МПА
1. Оплата коммунальных услуг (услуги по теплоснабжению, электроснабжению, газоснабжению, водоснабжению, канализации, обслуживанию лифтов, обслуживанию домофонов, вывозу бытовых отходов и др. услуги, где пользователь идентифицирован в силу договора между поставщиком услуг и пользователем услуги).
2. Пополнение банковских счетов (карт, выпущенных банками Кыргызской Республики).
3. Оплата налогов, сборов, госпошлин, штрафов и иных платежей в бюджет.
4. Оплата за интернет и телевидение.
5. Погашение кредитов и займов, полученных в банках и финансово-кредитных организациях Кыргызской Республики.
6. Услуги фиксированной связи.
7. Услуга подключения водителей Taxi (пополнение личного счета).
8. Оплата за сдачу электронной отчетности государственным органам Кыргызской Республики.
9. Оплата за получение государственных и муниципальных услуг.
10. Оплата покупки билетов (кино, транспорт и пр.) и услуг такси, кроме билетов на международный наземный и воздушный транспорт.
11. Оплата за бытовые услуги/товары/работы/сервисы, оказываемые/поставляемые/ выполняемые резидентами Кыргызской Республики внутри Кыргызской Республики, имеющими расчетный счет в коммерческих банках Кыргызской Республики.
Список низкорискованных операций
для приема платежей через платежные терминалы
1. Оплата коммунальных услуг (услуги по теплоснабжению, электроснабжению, газоснабжению, водоснабжению, канализации, обслуживанию лифтов, обслуживанию домофонов, вывозу бытовых отходов и др. услуги, где пользователь идентифицирован в силу договора между поставщиком услуг и пользователем услуги).
2. Пополнение банковских счетов (карт, выпущенных банками Кыргызской Республики).
3. Оплата налогов, сборов, госпошлин, штрафов и иных платежей в бюджет.
4. Оплата за интернет и телевидение.
5. Погашение кредитов и займов, полученных в банках и финансово-кредитных организациях Кыргызской Республики.
6. Услуги фиксированной связи.
7. Услуга подключения водителей Taxi (пополнение личного счета).
8. Оплата за сдачу электронной отчетности государственным органам Кыргызской Республики.
9. Оплата за получение государственных и муниципальных услуг.
10. Оплата покупки билетов (кино, транспорт и пр.) и услуг такси, кроме билетов на международный наземный и воздушный транспорт.
11. Оплата за бытовые услуги/товары/работы/сервисы, оказываемые/поставляемые/ выполняемые резидентами Кыргызской Республики внутри Кыргызской Республики, имеющими расчетный счет в коммерческих банках Кыргызской Республики.
12. Пополнение электронных кошельков.
