Приложение 

к постановлению 

Правления Национального банка 

Кыргызской Республики 

от «____» _____________ 2022 года 

№ ____________________________ 

Изменения  

в постановление Правления Национального банка Кыргызской Республики 

«Об утверждении Положения «О минимальных требованиях по  

предоставлению удаленного/дистанционного обслуживания  

в Кыргызской Республике» от 15 апреля 2015 года №22/3 

Внести в постановление Правления Национального банка Кыргызской Республики «Об утверждении Положения «О минимальных требованиях по предоставлению удаленного/дистанционного обслуживания в Кыргызской Республике» от 15 апреля 2015 года №22/3» следующие изменения: 

в Положении «О минимальных требованиях по предоставлению удаленного/дистанционного обслуживания в Кыргызской Республике», утвержденном вышеуказанным постановлением: 

1) пункт 3 изложить в следующей редакции: 

«3. В рамках настоящего Положения банковские и платежные услуги могут предоставляться удаленно/дистанционно посредством банкоматов, автоматизированных терминалов самообслуживания (платежных терминалов), интернет-банкинга, мобильного банкинга, мобильного приложения и иными способами удаленного/дистанционного обслуживания, не противоречащими законодательству Кыргызской Республики.»; 

2) в пункте 3-1: 

в первом предложении слово «банк» заменить словами «поставщик услуг удаленного/дистанционного обслуживания (поставщик услуг)»; 

во втором предложении слово «банк» заменить словами «поставщик услуг»; 

3) Положение дополнить пунктом 3-2 следующего содержания: 

«3-2. При оказании удаленного/дистанционного обслуживания поставщики услуг обязаны соблюдать соответствующие требования иных нормативных правовых актов.»; 

4) пункт 4 изложить в следующей редакции: 

«4. Термины и определения, используемые в настоящем Положении, понимаются в том значении, в каком они используются в банковском законодательстве Кыргызской Республики.  

В настоящем Положении также используются следующие термины и определения: 

1) Аутентификация – процедура установки подлинности пользователя путем проверки и сопоставления характеристик предъявленного идентификатора (PIN-код, пароль и др.). 

2) Личный кабинет – это особый раздел пользователя в системе уделенного/дистанционного обслуживания поставщика услуг, который позволяет получить доступ к данным о состоянии счета/кредитного лимита и движения денежных средств, а также к другим банковским и платежным услугам, в том числе направлять заявки, подтверждения и поручения поставщику услуг. 

3) Мобильное приложение поставщика услуг (мобильное приложение) – один из инструментов систем удаленного/дистанционного обслуживания, позволяющий поставщику услуг предоставлять пользователю банковские и платежные услуги удаленным/дистанционным способом. 

4) Обязательства пользователя перед НФКО – обязательства пользователя, возникшие при получении кредита в НФКО, а также посредством управления личного кабинета. 

5) Пользователь – физическое, юридическое лицо либо индивидуальный предприниматель, пользующийся банковскими и платежными услугами через систему удаленного/дистанционного обслуживания.  

6) Поставщик услуг удаленного/дистанционного обслуживания (поставщик услуг) – банки, небанковские финансово-кредитные организации (далее – НФКО), операторы платежных систем и платежные организации, имеющие лицензию/свидетельство Национального банка на право осуществления отдельных банковских и платежных услуг, предусмотренные законодательством Кыргызской Республики. 

7) Система удаленного/дистанционного обслуживания – совокупность средств телекоммуникаций, цифровых и информационных технологий, программного обеспечения и оборудования, обеспечивающих связь между пользователем и поставщиком услуг для предоставления банковских и платежных услуг удаленным/дистанционным способом с использованием банкоматов, платежных терминалов, интернет-банкинга, электронного кошелька, мобильного банкинга, мобильного приложения и иных способов удаленного/дистанционного обслуживания. 

8) Удаленное/дистанционное обслуживание – способ предоставления услуг поставщиком услуг на основании распоряжений, передаваемых пользователем удаленным/дистанционным способом с использованием систем удаленного/дистанционного обслуживания. 

9) PIN-код (Personal identification number) – персональный идентификационный номер, позволяющий аутентифицировать пользователя для совершения операции.»; 

5) в пункте 5: 

абзац четвертый изложить в следующей редакции: 

«- разработать внутреннюю политику по управлению рисками информационной безопасности, интегрированную с общей политикой управления рисками банка, определяющую ответственность поставщиков услуг при взаимодействии с пользователями, с учетом требований нормативных правовых актов в сфере обеспечения информационной безопасности, а также в случае возникновения нештатной ситуации;»; 

дополнить абзацами пятым и шестым следующего содержания: 

«- разработать и поддерживать в актуальном состоянии внутренний нормативный документ о порядке взаимодействия и реагирования при возникновении нештатных ситуаций в соответствии с нормативными правовыми актами Национального банка;  

- разработать процедуру по урегулированию споров и возврату денежных средств пользователю по ошибочным или несанкционированным операциям;»; 

в тексте на официальном языке в абзаце седьмом слово «перемещении» заменить словом «передаче»; 

6) Положение дополнить пунктом 6-2 следующего содержания: 

«6-2. Поставщик услуг несет ответственность за предоставляемые услуги, включая несанкционированные операции, за исключением случаев, когда операции произошли по вине самого пользователя, согласно перечню, порядку и условиям системы удаленного/дистанционного обслуживания.»; 

7) Положение дополнить пунктом 7-1 следующего содержания: 

«7-1. Поставщик услуг обязан предусмотреть в системе удаленного/дистанционного обслуживания специальные функции или иные возможности, в том числе решения, предоставляемыми третьими сторонами, позволяющие лицам с ограниченными возможностями здоровья пользоваться оказываемыми услугами, а также информировать их об этих возможностях.»; 

8) пункт 9 признать утратившим силу; 

9) пункт 10 изложить в следующей редакции: 

«10. Удаленное/дистанционное обслуживание должно предоставляться на основании договора публичной оферты или письменного договора между пользователем и поставщиком услуг, в котором должны быть указаны: 

- данные о пользователе (фамилия, имя, отчество, паспортные данные (или данные других документов, удостоверяющих личность, в соответствии с законодательством Кыргызской Республики) и другие личные данные пользователя, позволяющие его идентифицировать) в случае предоставления ему услуг через систему удаленного/дистанционного обслуживания; 

- перечень предоставляемых услуг; 

- способы предоставления услуг удаленным/дистанционным способом и получения доступа к системам удаленного/дистанционного обслуживания; 

- права, обязанности и ответственность пользователя и поставщика услуг; 

- типы и размер комиссий, подлежащих оплате пользователем; 

- схема конвертации из одной валюты в другую, предусматривающая различные варианты конвертаций при проведении пользователем операций в валюте, отличной от валюты его банковского счета, а также порядок информирования клиентов об обменном курсе при проведении операций по конвертации валюты; 

- способы предоставления поставщиком услуг выписок о движении денежных средств и остатке на банковском счете, по обязательствам пользователя перед НФКО или электронном кошельке; 

- основные требования по соблюдению безопасности пользователем, включая порядок аутентификации и подтверждения прав клиента на использование систем удаленного/дистанционного обслуживания (использование PIN-кода, паролей, лимиты, действия пользователя в случае утери или кражи устройств доступа); 

- процедура информирования поставщика услуг о факте утери, хищения или использования устройств доступа к системам удаленных/дистанционных обслуживаний неуполномоченным лицом; 

- распределение ответственности между поставщиками услуг и пользователями при утере, хищении или использовании устройств доступа неуполномоченным лицом; 

- условия приостановления и прекращения доступа к системам удаленного/дистанционного обслуживания; 

- способы оповещения клиента в случае изменения условий договора; 

- контактные данные для связи с поставщиком услуг, в том числе в нерабочее время и выходные (праздничные дни); 

- распределение рисков и ответственности между сторонами в случае нарушения процедур безопасности или других условий договора; 

- порядок рассмотрения споров, предоставления/приема жалоб и претензий пользователя, условия их рассмотрения и решения; 

- механизм определения пользователя, от имени которого используется электронная подпись, и обязанность соблюдения конфиденциальности ключа электронной подписи.»; 

10) пункт 13 изложить в следующей редакции: 

«13. При осуществлении доступа и обслуживании с использованием банкоматов и платежных терминалов: 

1) удаленное/дистанционное обслуживание через банкомат осуществляется посредством банковских платежных карт или иным способом для получения наличных денежных средств, осуществления денежных переводов и других безналичных платежей, получения информации по совершенным транзакциям по банковскому счету, выдачи чека либо SMS-информирования по всем видам произведенных транзакций на мобильный телефон, согласно договору с пользователем. 

2) банкомат/платежный терминал пересылает данные о транзакции информационной системе поставщика услуг. После завершения обработки транзакции, банкомат/платежный терминал должен предоставить подтверждающий документ о совершении операции в соответствии с законодательством Кыргызской Республики, содержащий следующие обязательные реквизиты: 

- номер чека; 

- дата и время проведения транзакции/платежа; 

- сумма транзакции/платежа; 

- размер комиссии; 

- наименование поставщика услуг; 

- телефонный номер сall-center поставщика услуг. 

3) поставщик услуг при удаленном/дистанционном обслуживании через банкомат/платежные терминалы должен: 

- информировать клиентов о возможных рисках, связанных с использованием банкоматов и платежных терминалов, а также о мерах предосторожности; 

- в местах установления банкоматов и платежных терминалов регулярно проводить проверки по безопасности и документировать результаты проверок; 

- организовать центры поддержки (сall-center) и обеспечить их ежедневную и непрерывную работу; 

- поместить на банкомате/платежном терминале указатель принадлежности банка/платежной организации, логотипы платежных систем, карты которых принимаются к обслуживанию банкоматом и платежным терминалом.»; 

11) пункт 14 изложить в следующей редакции: 

«14. Поставщик услуг при удаленном/дистанционном обслуживании через интернет-банкинг обязан: 

- информировать клиентов о возможных рисках и о мерах предосторожности; 

- информировать клиентов о необходимости соблюдения правил и процедур безопасности при совершении платежей через интернет-банкинг (недопущение передачи паролей, кодов, ключей третьим сторонам); 

- обеспечить конфиденциальность при передаче финансовых сообщений и платежей; 

- использовать защищенные сетевые протоколы; 

- применять механизмы по предотвращению мошеннической подмены веб-страниц сервера интернет-банкинга (личного кабинета пользователя); 

- использовать многофакторную аутентификацию с учетом оценки риска проводимой операции (например, пароль/код/одноразовый код и PIN-код, биометрические средства и др.); 

- применять политику, предусматривающую использование сложных паролей и их регулярное изменение; 

- использовать механизмы предотвращения автоматического подбора паролей; 

- использовать механизмы блокировки сеанса соединения с сервером интернет-банкинга при бездействии пользователя сверх установленного промежутка времени.»; 

12) пункт 15 изложить в следующей редакции: 

«15. Поставщик услуг при удаленном/дистанционном обслуживании через мобильный банкинг, мобильные приложения или иные системы удаленного/дистанционного обслуживания обязан предусмотреть следующее: 

- условия регистрации и идентификации пользователя у поставщика услуг; 

- правила и процедуры безопасности при проведении платежей с использованием систем удаленного/дистанционного обслуживания/мобильных устройств (недопущение передачи информации третьим сторонам без согласия пользователя при обмене и передачи сообщений между пользователем и поставщиками услуг; обеспечение конфиденциальности при передаче финансовых сообщений и платежей); 

- принятие необходимых мер для защиты персональных данных пользователя; 

- порядок доступа для осуществления платежей; 

- другие условия, установленные в пункте 10 настоящего Положения.»; 

13) во втором предложении пункта 16 слова «выдачи чека, карт-чека, получения SMS-подтверждения» заменить словами «/или получения подтверждающего документа о совершении платежа (выдачи чека, получения SMS-подтверждения и т.д.)»; 

14) в пункте 21: 

абзац шестой изложить в следующей редакции: 

«- определение и оценка лимитов по проводимым транзакциям;»; 

в абзаце седьмом слова «электронные кошельки» заменить словами «системы удаленного/дистанционного обслуживания»; 

в абзаце восьмом слово «интернет-банкинга» исключить; 

15) пункт 26 изложить в следующей редакции: 

«26. Применение соответствующих способов идентификации должно быть определено в процессе оценки рисков. При использовании соответствующих способов идентификации должны учитываться следующие аспекты: вид систем удаленных/дистанционных обслуживаний (информационный или операционный), разновидность систем (интернет-банкинг, мобильный банкинг, мобильные приложения и другие), статус клиента (юридическое или физическое), вид операций разрешенных системой, объем и количество операций.»; 

16) в пункте 28 слова «неавторизованные действия» заменить словами «несанкционированные операции»; 

17) Положение дополнить пунктом 28-1 следующего содержания: 

«28-1. Поставщик услуг при предоставлении услуг удаленного/дистанционного обслуживания обязан на постоянной основе вести мониторинг и обеспечить актуальность персональных данных пользователя.»; 

18) в пункте 29 слова «неавторизованных действий» заменить словами «несанкционированных операций»; 

19) пункт 30 изложить в следующей редакции: 

«30. Поставщик услуг при обнаружении фактов несанкционированного доступа/операций обязан незамедлительно приостановить доступ к системе удаленного/дистанционного обслуживания и при необходимости к банковскому счету и иным инструментам.»; 

20) в пункте 31 слова «информационной системы,» заменить словами «системы удаленного/дистанционного обслуживания»; 

21) в пункте 32 слова «письменно уведомить Национальный банк о предоставлении» заменить словами «заранее информировать Национальный банк о начале или прекращении предоставления»; 

22) Положение дополнить пунктом 32-1 следующего содержания: 

«32-1. Поставщик услуг обязан предоставлять в Национальный банк сведения о пользователях и используемых инструментах удаленного/дистанционного обслуживания не позднее 10 числа месяца, следующего за отчетным месяцем, в порядке и форме, согласно приложениям 3 и 4 к настоящему Положению.»; 

23) в абзаце первом Приложения 1 слова «в рамках удаленных/дистанционных обслуживаний» заменить словами «посредством удаленного/дистанционного обслуживания». 

24) пункт 1 Приложения 1 изложить в следующей редакции: 

«1. Пользователь при использовании интернет-банкинга: 

1) не должен раскрывать посторонним лицам логин, пароль и другие данные; 

- не должен хранить свой логин и пароль и другие данные на устройствах доступа (персональный компьютер, мобильный телефон и т.д.) или других незащищенных носителях; 

- необходимо периодически менять код, пароль и PIN-код, при этом не использовать пароли с низким уровнем защиты, такие как имя или дата рождения. Пароль должен содержать комбинацию, состоящую из не менее 6 знаков: букв (прописных и заглавных), специальных символов и цифр;»;  

2) должен обеспечить конфиденциальность личной информации, а именно не раскрывать личную информацию (данные паспорта, адрес электронной почты и другие данные) посторонним лицам;»; 

3) необходимо регулярно проверять историю операций и выписки для отслеживания ошибок или несанкционированных операций по счету и незамедлительно информировать поставщика услуг о любых случаях несанкционированных операций;»;.... 

4) необходимо проверять правильность и безопасность веб-страницы, при этом: 

- перед осуществлением любых онлайн-операций или предоставление личной информации должен убедиться, что используется правильная веб-страница интернет-банкинга. Необходимо остерегаться фальшивых веб-страниц, созданных в целях мошенничества; 

- необходимо убедиться в безопасности веб-страницы, проверив наличие Унифицированных Указателей Ресурсов (URL), которые должны начинаться с «https», а на статусе интернет-браузера должен появиться знак защищенного соединения; 

- всегда вводить URL веб-страницы непосредственно в интернет-браузер и избегать перенаправления или ссылки на другие ненадежные страницы; 

- по возможности использовать программу, которая автоматически шифрует или кодирует передаваемую информацию в процессе осуществления электронных операций; 

5) должен защитить свое устройство доступа (персональный компьютер, мобильный телефон и т.д.) от несанкционированного доступа и вредоносных программ; 

6) необходимо покинуть сайт, где осуществляются электронные операции, даже если устройство оставлен без присмотра на короткий срок и не забывать выходить из системы после осуществления электронных операций; 

7) необходимо ознакомиться с политикой безопасности системы интернет-банкинга: 

- необходимо внимательно ознакомиться с условиями системы интернет-банкинга относительно осуществления платежей, переводов, дебетования/кредитования счета и другими условиями банковского обслуживания; 

- перед вводом личной финансовой информации системы интернет-банкинга необходимо внимательно ознакомиться с условиями использования или распространения данной информации. 

25) пункт 2 Приложения 1 изложить в следующей редакции: 

«2. Пользователь при использовании мобильного банкинга, мобильного приложения и иных систем удаленного/дистанционного обслуживания: 

- не должен раскрывать посторонним лицам свой PIN-код, пароль к системе удаленного/дистанционного обслуживания, пароль от электронной почты, иные сведения, которые могут способствовать несанкционированному доступу при удаленном/дистанционном обслуживании от имени пользователя; 

- необходимо периодически менять свой PIN-код, пароль используемый для мобильного банкинга, мобильного приложения и иных систем удаленного/дистанционного обслуживания; 

- не должен позволять посторонним лицам использовать свой мобильный телефон, через который осуществляется банковская операция; 

- при потере или краже мобильного телефона незамедлительно сообщить поставщику услуг; 

- не должен отправлять свою личную информацию, содержащую пароль или PIN-код через электронную почту, социальные сети и другие средства электронного обмена данными; 

- необходимо регулярно проверять историю операций и выписки для отслеживания ошибок или несанкционированных операций и незамедлительно информировать поставщика услуг о любых случаях несанкционированных операций; 

- должен незамедлительно сообщить поставщику услуг при возникновении любых вопросов относительно безопасности доступа к системам удаленного/дистанционного обслуживания. 

Необходимые меры для обеспечения безопасного хранения карт, их реквизитов, PIN-кода и безопасности других данных определены в нормативных правовых актах Национального банка.». 

26) Положение дополнить приложениями 3 и 4 следующего содержания:  

«Приложение 3 

к Положению «О минимальных  

требованиях по предоставлению  

удаленного/дистанционного обслуживания  

в Кыргызской Республике» 

ОТЧЕТ 

о физических лицах, использующие инструменты  

удаленного/дистанционного обслуживания 

К отчету должно прилагаться сопроводительное письмо с приложением. 

Приложение 4 

к Положению «О минимальных  

требованиях по предоставлению  

удаленного/дистанционного обслуживания  

в Кыргызской Республике» 

ОТЧЕТ  

о юридических лицах, использующие инструменты  

удаленного/дистанционного обслуживания 

К отчету должно прилагаться сопроводительное письмо с приложением.».