СПРАВКА-ОБОСНОВАНИЕ 

к проекту Положения «О внесении изменений и дополнений в Положение о регулировании деятельности операторов платежных систем и платежных организаций»  

 

 

Во исполнение Закона «О лицензионно-разрешительной системе в Кыргызской Республике» Управлением платежных систем были разработаны Положения «О лицензировании деятельности операторов платежных систем и платежных организаций» и «О регулировании операторов платежных систем и платежных организаций».  

По итогам процесса лицензирования и инспекторских проверок были выявлены пункты, требующие доработки для их однозначного понимания со стороны операторов платежной системы и платежных организаций. Также в связи с вступлением в силу Закона «О Национальном банке Кыргызской Республики, банках и банковской деятельности» и изменений в Закон «О платежной системе Кыргызской Республики» возникла необходимость приведения в соответствие с указанными законами (изменения технического характера).  

В Положение предлагается внесение следующих изменений и дополнений: 

- термины и понятия приведены в соответствие с вышеуказанными законами; 

- внесены дополнения в части антимонопольного регулирования деятельности операторов платежных систем и платежных организаций по защите прав потребителей и защите конкуренции на рынке платежных услуг; 

- уточнен порядок взаимодействия платежной организации с поставщиком товаров и услуг; 

- включены дополнительные требования к деятельности агентов платежных организаций; 

- по обязательному уведомлению Национального банка об изменениях тарифов и внедрении новых продуктов; 

- включены требования для платежной организации по приёму, хранению, передаче/перечислению денежных средств (инкассации) в соответствии с законодательством Кыргызской Республики; 

- установлены требования к автоматизированным терминалам самообслуживания; 

- добавлены минимальные требования к процессинговому центру и проведению процессинга на территории Кыргызской Республики и сохранности данных обо всех операциях с возможностью получения данных о любой транзакции за любой период, с момента получения лицензии Национального банка

Предполагаемые правовые и социально-экономические последствия принятия проекта Положения: 

- обеспечение защиты прав потребителей банковских и платежных услуг; 

- осуществление мониторинга и контроля за платежными системами со стороны регулятора. 

Проект Положения не содержит норм, ограничивающих правозащитные, гендерные, экологические, коррупционные последствия, так как внедрение предлагаемых норм проекта Положения направлено на оптимизацию и гармонизацию нормативных правовых актов Кыргызской Республики и позволит упорядочить деятельность операторов платежных систем и платежных организаций в целях обеспечения эффективной, надежной и безопасной платежной системы Кыргызской Республики.  

Проект не противоречит нормам Конституции Кыргызской Республики, законодательству республики в целом и нормам международного законодательства, ратифицированным в установленном порядке на территории Кыргызской Республики. 

Реализация данного проекта Положения не требует дополнительного финансирования из бюджета страны.  

 

Изменения и дополнения 

в постановление Правления Национального банка Киргизской Республики  

«Об утверждении Положения «О регулировании деятельности операторов платежных систем и платежных организаций»  

от 25 марта 2015 года № 19/10 

 

 

 Внести в постановление Правления Национального банка Кыргызской Республики «Об утверждении Положения «О регулировании деятельности операторов платежных систем и платежных организаций» от 25 марта 2015 года № 19/10 следующие изменения и дополнения:  

в Положении о регулировании деятельности операторов платежных систем и платежных организаций, утвержденного вышеуказанным постановлением: 

- пункт 1 признать утратившим силу; 

- пункт 2 изложить в следующей редакции: 

«2. Настоящее Положение о регулировании деятельности операторов платежных систем и платежных организаций (далее - Положение) определяет требования, обязательные для исполнения операторами платежных систем и платежными организациями, имеющими лицензию Национального банка Кыргызской Республики (далее по тексту - Национальный банк) на оказание следующих видов услуг: 

- по приему и проведению платежей и расчетов за товары и услуги, не являющиеся результатом своей деятельности, в пользу третьих лиц посредством платежных систем, основанных на информационных технологиях и электронных средствах, и способах проведения платежей; 

- оказание услуг по приему, обработке и выдаче финансовой информации (процессинг, клиринг) по платежам и расчетам третьих лиц участникам платежной системы, данного процессингового, клирингового центра.»; 

- пункт 3 изложить в следующей редакции: 

«3. Действие настоящего Положения не распространяется на платежные системы, оператором которых выступает Национальный банк и на внутренние системы хозяйствующих субъектов, осуществляющих прием, обработку и выдачу финансовой информации (процессинг, клиринг) по платежам и расчетам в своей структуре.»; 

- пункт 4 изложить в следующей редакции: 

«4. Национальный банк является оператором Гроссовой системы расчетов в режиме реального времени и Системы пакетного клиринга, функционирование которых осуществляется в соответствии с законодательством Кыргызской Республики.» 

- в пункте 5 после слов «безопасности платежной системы», дополнить словами «Кыргызской Республики»; 

- дополнить пунктом 5-1 следующего содержания: 

«5-1. Антимонопольное регулирование деятельности операторов платежных систем и платежных организаций по защите прав потребителей и защите конкуренции на рынке платежных услуг осуществляется в рамках Политики и основных принципов антимонопольного регулирования, развития конкуренции и защиты прав потребителей на рынке банковских услуг Кыргызской Республики, оказываемых коммерческими банками, другими финансово-кредитными организациями, операторами платежных систем и платежными организациями, лицензируемыми и регулируемыми Национальным банком Кыргызской Республики, утвержденной постановлением Правления Национального банка.» 

- пункт 7 изложить в следующей редакции: 

«7. В настоящем Положении используются понятия, согласно их определениям, предусмотренным в Законах Кыргызской Республики «О Национальном банке Кыргызской Республики, банках и банковской деятельности» и «О платежной системе Кыргызской Республики». 

При этом в рамках настоящего Положения используются следующие термины и определения:  

Автоматизированная система это система, состоящая из персонала, аппаратно-программного комплекса средств автоматизации его деятельности, методов и мероприятий, реализующих информационную технологию выполнения установленных функций. 

Авторизация процесс предоставления определенному субъекту прав на выполнение некоторых действий в соответствии с выполняемой ролью в системе.  

Аутентификация проверка принадлежности объекту/субъекту доступа предъявленного им идентификатора или подтверждение подлинности. 

Аффилированное лицо это: 

значительные участники юридического лица; 

юридические лица, в которых одно и то же юридическое лицо является значительным участником. 

Должностные лица - члены коллегиального исполнительного органа, осуществляющие руководство текущей деятельностью оператора платежной системы и платежной организации - члены Правления, генеральный директор/технический директор/директор (руководитель, отвечающий за техническое функционирование платежной системы), заместитель генерального директора/технического директора/директора, главный бухгалтер/бухгалтер, а также лица определяющие политику оператора платежной системы и платежной организации независимо от того, работают ли эти лица на безвозмездной основе или получают вознаграждение. 

Идентификация процесс присвоения объектам/субъектам идентификатора (уникального имени) или сравнение идентификатора объекта/субъекта с перечнем присвоенных идентификаторов. 

Информационная система взаимосвязанная совокупность средств, методов и персонала, используемых для хранения, обработки и выдачи информации в интересах достижения поставленной цели. Информационная система содержит автоматизированные и неавтоматизированные процессы хранения, обработки и выдачи информации.  

Клиринг процесс сбора, обработки, подтверждения платежей и подсчета взаимных обязательств участников системы. 

Операционный риск - риск прямых или косвенных убытков, которому подвержена организация в результате сбоев в операциях, вызванных внешними событиями, ошибками персонала, мошенничеством, а также в результате неадекватности или нарушения процессов, процедур или системы контроля. 

Связанные с юридическим лицом лица: 

1) должностные лица юридического лица и их близкие родственники; 

2) лица, которые прямо или косвенно имеют значительное участие в капитале юридического лица и/или осуществляют контроль; 

3) юридические лица, в которых юридическое лицо и его должностные лица имеют значительное участие и/или осуществляют контроль; 

4) члены исполнительного органа юридических лиц, указанных в подпунктах 2 и 3, и их близкие родственники; 

5) физические лица - близкие родственники, указанных в подпункте 2; 

6) юридические лица, в которых лица, указанные в пункте 2, имеют значительное участие и/или осуществляют контроль. 

Системный риск - это риск того, что несостоятельность одного из участников платежной системы выполнить свои обязательства по платежам сделает невозможным для других участников платежной системы выполнение их обязательств по платежам при наступлении срока платежа. Такое невыполнение обязательств может распространиться на всю платежную систему и финансовые рынки и поставить под угрозу стабильность платежной и финансовой систем.»; 

- пункт 8 признать утратившим силу; 

- пункт 9 признать утратившим силу; 

- наименование главы 3 изложить в следующей редакции: 

«3. Основные требования к деятельности операторов платежных систем и платежных организаций»; 

- после наименования главы 3 дополнить абзацем следующего содержания: 

«§1. Требования к деятельности операторов платежных систем»; 

- пункт 10 изложить в следующей редакции:  

«10. Оператор платежной системы осуществляет свою деятельность в соответствии с законодательством Кыргызской Республики и действует на основании лицензии выданной Национальным банком.»; 

- в пункте 11 после слова «оператор» дополнить словами «платежной системы», слова «финансово-кредитного учреждения» заменить словами «финансово-кредитной организации»; 

- дополнить пунктом 12-1 следующего содержания: 

«12-1. Оператор платежной системы, на этапе внедрения новых сервисов/продуктов/услуг, начала или прекращения деятельности по предоставлению услуг по процессингу и распространению электронных денег и/или совершенствования системы, должен уведомить Национальный банк о своем намерении не менее чем за 1 (один) месяц до фактического начала или прекращения данной деятельности, с приложением детальной информации, описывающей разрабатываемый сервис/продукт/услугу и/или предполагаемые изменения/дополнения в системе.»; 

- в пункте 13 слова «системы и договорами» заменить словами «функционирования платежной системы и заключенными договорами»; 

- в пункте 14: 

слова «,быть регулярно обновляющимися» исключить; 

пункт дополнить предложением следующего содержания: 

«Указанные правила и процедуры должны регулярно пересматриваться и обновляться.»; 

- пункт 15 изложить в следующей редакции: 

«15. Оператор платежной системы несет ответственность за обеспечение бесперебойного функционирования своей платежной системы, своевременную обработку платежей, обеспечение целостности, безопасности и конфиденциальности информации в системе. Оператор платежной системы несет ответственность за неоказание или оказание некачественных платежных услуг участникам платежной системы.»; 

- пункт 17 изложить в следующей редакции: 

«17. Оператор платежной системы должен: 

- контролировать соблюдение действующих правил и процедур, а также их соответствие требованиям настоящего Положения и законодательства Кыргызской Республики; 

- предоставлять технические и программные средства для проведения платежей другим участникам платежной системы; 

- вести реестр участников платежной системы; 

- оценивать и управлять рисками в платежной системе; 

- обеспечить безопасное функционирование средств обработки информации; 

- обеспечить единый подход к управлению инцидентами и вести реестр инцидентов.»; 

- дополнить пунктом 18-1 следующего содержания: 

«18-1. Оператор платежной системы может быть реорганизован (слияние, присоединение, разделение, выделение, преобразование) при соблюдении требований, установленных законодательством Кыргызской Республики.»; 

- дополнить пунктом 19-1 следующего содержания: 

«19-1. Оператор платежной системы должен один раз в год с момента получения лицензии предоставлять в Национальный банк сведения об утвержденных и действующих тарифах. Оператор платежной системы должен не менее чем за 15 (пятнадцать) рабочих дней уведомлять Национальный банк о всех изменениях действующих тарифов.»; 

- наименование главы 4 исключить; 

- пункт 20 признать утратившим силу; 

- пункт 21 изложить в следующей редакции: 

«21. Оператор платежной системы должен иметь персонал (штатные должности), ответственный за выполнение следующих задач: 

- оценку адекватности систем контроля - осуществление проверок звеньев управления, предоставление обоснованных предложений по устранению выявленных недостатков и рекомендаций по повышению эффективности управления; 

- оценка обеспечения безопасности - повышение уровня информационной безопасности, а также минимизацию возможных потерь, вызванных действиями злоумышленников, аварийными сбоями и ошибками персонала;  

- оценку эффективности деятельности - осуществление экспертных оценок различных сторон функционирования организации и предоставление обоснованных предложений по их совершенствованию; 

- проверку соответствия требованиям настоящего Положения и законодательства Кыргызской Республики; 

- обеспечение надежности, полноты и своевременности финансовой информации, используемой для принятия решений, составления финансовой и регулятивной отчетности; 

- подготовку предложений по выбору внешних аудиторов и, при необходимости, инициирование проведения специальных аудиторских проверок; 

- ведение бухгалтерского учета и составление финансовой отчетности в соответствии с Международными стандартами финансовой отчетности.»; 

- дополнить пунктами 21-1 и 21-2 следующего содержания: 

«21-1. Администрирование автоматизированной системы может осуществляться нештатным персоналом оператора платежной системы при наличии договора, составленного в соответствии с законодательством Кыргызской Республики с указанием обязательств и ответственности сторон. 

21-2. Персонал, имеющий доступ к работе с автоматизированной системой оператора платежной системы, должен:  

- быть ознакомлен с нормами и требованиями обеспечения безопасности и конфиденциальности при работе с финансовой информацией, регламентированными внутренними правилами и процедурами; 

- иметь уровень квалификации, необходимый для управления программно-техническими средствами доступа к АС и обработкой финансовой информации, согласно внутренним документам; 

- нести персональную ответственность за нарушение требований по обеспечению безопасности и конфиденциальности при работе с финансовой информацией.»; 

- в пункте 22 слова «системы расчетов платежными картами» заменить словами «платежной системы»; 

- пункт 23 изложить в следующей редакции: 

«23. Автоматизированная система оператора платежной системы должна обеспечить: 

- бесперебойный обмен и обработку информации; 

- целостность и подлинность данных при их передаче по каналам связи с места ее инициирования до процессингового центра и обратно; 

- идентификацию, авторизацию и аутентификацию технического персонала оператора платежной системы, имеющего доступ к работе с автоматизированной системой; 

- сохранность, целостность и конфиденциальность данных; 

- защиту данных и оборудования при сбоях автоматизированной системы, нештатных ситуациях или в случае несанкционированного доступа к данным; 

- мониторинг и контроль над работоспособностью объектов, подключенных к процессинговому центру, сеансов доступа к информационным ресурсам системы, включая доступ к данным потребителей услуг, и персонала процессингового центра.»; 

- пункт 24 изложить в следующей редакции: 

«24. Если программное обеспечение оператора платежной системы разработано самостоятельно или внешней организацией, то у него в наличии должны быть: 

- договор, заключенный с организацией, которая разработала программное обеспечение; 

- детально разработанные технические задания и требования; 

- перечень работников, имеющих возможность вносить изменения в исходный код программного обеспечения; 

- руководство или сопровождающие документы для пользователей программного обеспечения; 

- программа и методика испытаний; 

- акт ввода и журнал испытаний опытной эксплуатации; 

- акт ввода в промышленную эксплуатацию; 

- акт приема-передачи, подписанный оператором платежной системы и организацией, разработавшей программное обеспечение.»; 

- пункт 25 признать утратившим силу; 

- наименование главы 5 изложить в следующей редакции: 

«§2. Требования к правилам оператора платежной системы»; 

- пункт 26 изложить в следующей редакции: 

«26. Правила работы системы и процедуры оператора платежной системы должны содержать следующее: 

- архитектуру платежной системы и схему описание ее работы; 

- предоставление безопасных и надежных каналов связи; 

- процедуры вступления и выхода из платежной системы; 

- порядок подключения участника к платежной системе; 

- порядок проведения процессинга; 

- порядок проведения клиринга; 

- порядок и требования по безопасности при процессинге и клиринге (если данная услуга передана участнику системы или стороннему процессинговому центру); 

- порядок предоставления сведений участниками платежной системы о своей деятельности оператору платежной системы; 

- система управления рисками в платежной системе, включая используемую модель управления рисками, перечень мероприятий и способов управления рисками; 

- требование к защите информации; 

- порядок разрешения споров, жалоб участников и клиентов; 

- порядок действия участников при возникновении нештатных ситуаций в системе; 

- порядок уведомления участников платежной системы;  

- права, обязанности и ответственность участников платежной системы; 

- тарифы и тарифную политику; 

- иные требования, предусмотренные законодательством Кыргызской Республики. 

При необходимости могут быть представлены количественные и качественные критерии к участникам платежной системы.»; 

- пункт 27 изложить в следующей редакции: 

«27. Правила и процедуры оператора платежной системы помимо требований, приведенных в пункте 26 настоящего Положения должны содержать следующее: 

- регистрацию и настройку участника в платежной системе; 

- порядок и требования по безопасности при персонализации карт (если данная услуга передана участнику системы или стороннему процессинговому центру); 

- порядок и требования по безопасности при процессинге и клиринге карт (если данная услуга передана участнику системы или стороннему процессинговому центру); 

- порядок и требования к осуществлению эмиссии карт эмитентом; 

- порядок и требования к осуществлению эквайринга карт эквайером; 

- порядок проведения платежей в системе; 

- порядок приема и обработки претензионных платежей;  

- межбанковские комиссии, сервисные платы и другие комиссии в системе.»; 

- второй абзац пункта 28 исключить; 

- наименование главы 6 изложить в следующей редакции: 

«§3. Требования к деятельности платежной организация»; 

- пункт 29 изложить в следующей редакции: 

«29. Платежная организация должна осуществлять свою деятельность в соответствии с законодательством Кыргызской Республики и действовать на основании лицензии, выданной Национальным банком.»; 

- дополнить пунктами 29-1 и 29-2 следующего содержания: 

«29-1. Платежная организация должна иметь разработанные и утвержденные внутренние правила, и процедуры по предоставлению услуги по приему платежей в пользу третьих лиц, в соответствии с нормативными правовыми актами Национального банка. 

29-2. Платежная организация должна назначить специальное должностное лицо, ответственное за соблюдение и реализацию правил противодействия легализации (отмыванию) преступных доходов и финансированию террористической или экстремистской деятельности, согласно требованиям законодательства Кыргызской Республики.»; 

- в пункте 30 слова «финансово-кредитного учреждения» заменить словами «финансово-кредитной организации»; 

- пункт 31 изложить в следующей редакции: 

«31. Платежная организация вправе:   

- осуществлять сопутствующую деятельность (продажа, ремонт и техническое обслуживание платежных терминалов, иных инструментов приема платежей и размещение рекламы на терминалах, в пунктах приема платежей); 

- оказывать консультационные и информационные услуги, связанные с деятельностью платежной организации.»; 

- дополнить пунктом 31-1 следующего содержания: 

«31-1. Платежная организация может быть реорганизована (слияние, присоединение, разделение, выделение, преобразование) при соблюдении требований, установленных законодательством Кыргызской Республики.»; 

- пункт 32 изложить в следующей редакции: 

«32. В целях страхования возможных рисков, связанных с деятельностью платежной организации и поставщиков услуг, где договорные отношения не предусматривают предоплату поставщику, платежная организация должна депонировать денежные средства на счете в коммерческом банке, страховой депозит, либо представить безотзывную банковскую гарантию в пользу поставщика товаров/услуг.»; 

- дополнить пунктами 33-1 и 33-2 следующего содержания: 

«33-1. Размер депонированной суммы, ценной бумаги, банковской гарантии должен составлять 10 процентов от суммы среднедневного оборота платежной организации за последний квартал по поставщикам товаров/услуг, где договорные отношения не предусматривают предоплату, страховой депозит или банковскую гарантию от платежной организации. 

33-2. Платежная организация должна соблюдать требования по приёму, хранению, передаче/перечислению денежных средств (инкассации) в соответствии с законодательством Кыргызской Республики.»; 

- пункт 35 изложить в следующей редакции: 

«35. Платежная организация обязана обеспечивать защиту и конфиденциальность персональных данных, финансовой информации по платежам и иной информации, имеющейся в ее распоряжении, подлежащей обязательной защите, и предоставлять ее третьим лицам только в случаях, предусмотренных законодательством Кыргызской Республики.»; 

- в пункте 36 слова «аппаратно-программный комплекс» заменить словами «автоматизированная система»; 

- пункт 38 изложить в следующей редакции: 

«38. Платежная организация должна осуществлять сохранность данных обо всех операциях, на территории Кыргызской Республики, с возможностью получения данных о любой транзакции за любой период, с момента получения лицензии Национального банка в период, не превышающий 1 (один) рабочий день с момента поступления запроса.»; 

- пункт 39 изложить в следующей редакции: 

«39. Платежная организация должна не реже одного раза в шесть месяцев проводить протоколированную проверку безопасности автоматизированной системы на соответствие требованиям внутренних правил и процедур. Результаты проверки должны быть оформлены протокольно.»; 

- пункт 40 признать утратившим силу; 

- наименование главы 7 изложить в следующей редакции: 

«§4. Требования к агентам»; 

- пункт 43 изложить в следующей редакции: 

«43. Платежная организация имеет право заключать агентские договора с другими лицами для организации своей деятельности, и обязана иметь базу, содержащую следующую информацию по агентам, включая его пункты приема платежей:  

1) если юридическое лицо - наименование организации, копия свидетельства о государственной регистрации, копия лицензии на право осуществления предпринимательской деятельности (в случае, если деятельность лицензируется), учредительные документы, фактический адрес, контакты, актуальный список адресов, где установлены терминалы; 

2) если индивидуальный предприниматель копию паспорта предпринимателя, свидетельства о регистрации в качестве индивидуального предпринимателя, действующий патент, лицензию на право осуществления предпринимательской деятельности (в случае, если деятельность лицензируется), список адресов, где установлены терминалы и фактическое место осуществления деятельности.»; 

- дополнить пунктом 43-1 следующего содержания: 

«43-1. Платежной организации запрещается иметь договорные отношения с агентом, если агент имеет один из следующих показателей:  

- 30 (тридцать) процентов и более от ежемесячного оборота денежных средств платежной организации, но не менее 1 (одного) миллиона сомов;  

- 30 (тридцать) процентов и более ежемесячного количества агентской и/или терминальной сети платежной организации;   

- 30 (тридцать) процентов и более от ежемесячного объема кассовых операций платежной организации.  

При наличии данных показателей такой агент должен получить лицензию и самостоятельно осуществлять деятельность как платежная организация в соответствии с требованиями данного Положения.»; 

- пункт 44 изложить в следующей редакции: 

«44. Платежная организация должна иметь документы для обучения агентов принципам пользования системы в рамках выполняемых ими функций. При заключении договора необходимо проведение инструктажа в соответствии с имеющимися процедурами и ознакомление субагента с требованиями законодательства Кыргызской Республики, включая требования о противодействии легализации (отмыванию) преступных доходов и финансированию террористической или экстремистской деятельности, и последующего мониторинга за агентами по соблюдению указанных требований.»; 

- в пункте 45 после слов «или агент» дополнить словами «включая его пункты приема платежей,»; 

- дополнить пунктом 45-1 следующего содержания: 

«45-1. Платежная организация несет полную ответственность за соблюдение агентом, включая его пункты приема платежей, требований настоящего Положения.»; 

- наименование главы 8 изложить в следующей редакции: 

«4. Управления рисками»; 

-дополнить пунктом 46-1 следующего содержания: 

«46-1. Оператор платежной системы должен обеспечивать онлайн мониторинг за рисками в платежной системе.»;  

- пункт 47 изложить в следующей редакции: 

«47. При обнаружении системного риска, где участники платежной системы не в состоянии совершить свои функции, оператор платежной системы и платежные организации должны: 

- уведомить Национальный банк посредством отправки электронного сообщения и телефонного звонка уполномоченному структурному подразделению; 

- уведомить сторону или стороны, подвергающиеся риску; 

- принять меры по исполнению своих финансовых обязательств перед поставщиками услуг и участниками платежной системы; 

- принять меры по обеспечению сохранности данных и восстановлению работоспособности платежной системы; 

- обеспечить для других участников возможность выполнения своих обязательств.»; 

- наименование главы 9 изложить в следующей редакции: 

«5. Требования к платежной организации при взаимодействии с поставщиками товаров/услуг»

- в пункте 65 после слов «с поставщиком» дополнить словом «товаров/»; 

- дополнить пунктом 65-1 следующего содержания: 

«65-1. Платежная организация должна иметь актуальную базу по поставщикам. Агентский договор между платежной организацией и поставщиком должен содержать, как минимум, следующую информацию, с приложением подтверждающих документов:  

- наименование юридического лица/индивидуального предпринимателя;  

- юридический, фактический адрес и контактные данные;  

- наименование товара или вид услуг, предоставляемых поставщиком;   

- ответственность сторон при предоставлении/непредставлении товаров/услуг клиенту;  

- срок действия договора;  

- банковские реквизиты сторон;  

- условия оплаты (тарифы, комиссии и вознаграждения и др.).»; 

- пункт 66 изложить в следующей редакции: 

«66. Платежная организация при приеме платежей обязана использовать отдельные банковские счета в коммерческом банке для хранения и использования средств хозяйственной деятельности, а также для осуществления расчетов с поставщиками товаров/услуг.»; 

- наименование главы 10 изложить в следующей редакции: 

«6. Предоставление отчетности и другой информации»; 

- пункт 68 изложить в следующей редакции: 

«68. Оператор платежной системы/платежные организации должны предоставлять в Национальный банк информацию о размере уставного капитала, составе коллегиального исполнительного органа, учредителях, аффилированных и связанных лицах, источниках происхождения денежных средств, фактическом и юридическом адресах по мере возникновения изменений в течение 5 (пяти) рабочих дней после принятия решения об изменениях, с приложением копий подтверждающих документов.»; 

- пункт 69 изложить в следующей редакции: 

«69. Оператор платежной системы/платежная организация обязаны ежеквартально предоставлять сведения о финансовом состоянии по формам отчетностей в соответствии с Международными стандартами финансовой отчетности. Отчетность предоставляется оператором платежной системы не позднее 25 (двадцать пятого) числа месяца, следующего за отчетным кварталом. Отчетность может предоставляться в указанные сроки в электронном виде (сканированная версия документа), с последующим досылом бумажной версии.»; 

- в пунктах 70 и 71 после слов «оператор» дополнить словами «платежной системы»; 

- пункт 73 изложить в следующей редакции: 

«73. Оператор платежной системы/платежная организация обязаны предоставлять Национальному банку информацию о вновь заключенных договорах с поставщиками услуг в срок не позднее двух недель с момента заключения договора.» 

- пункт 75 изложить в следующей редакции: 

«75. В случае невыполнения и/или ненадлежащего исполнения оператором платежной системы требований настоящего Положения, Национальным банком могут быть применены в отношении оператора платежной системы меры воздействия в соответствии с Положением «О мерах воздействия, применяемых к операторам платежных систем/платежным организациям».»; 

- пункты 76 и 77 изложить в следующей редакции: 

«76. Национальный банк ежегодно на основе проведения мониторинга за платежной системой Кыргызской Республики определяет и публикует перечень системно-значимых и значимых платежных систем в Кыргызской Республике

Операторы платежной системы, платежные системы которых определены в качестве системно-значимых и значимых, а также провайдеры критических услуг, обязаны проводить независимый финансовый аудит и аудит информационных систем не реже 1 (один) раз в 2 (два) года. Операторы платежных систем, не подпадающих под критерии значимости платежных систем, подлежат обязательному независимому финансовому аудиту и аудиту информационных систем 1 (один) раз в 3 (три) года.  

Платежные организации подлежат обязательному независимому финансовому аудиту 1 (один) раз в 2 (два) года. 

Копия аналитического отчета по итогам независимого финансового аудита и/или аудита информационных систем должна быть предоставлена в Национальный банк не позднее 1 (одного) месяца с момента его подписания.  

Аудит информационных систем оператора платежных систем должен включать, как минимум, оценку:  

действующих политик и процедур; 

безопасности платежной системы; 

политики по управлению рисками. 

77. Оператор платежной системы расчетов с использованием международных платежных карт должен проводить аудит информационных систем 1 (один) раз в 3 (три) года с привлечением аудиторов, сертифицированных по международным программам сертификации. Копия аналитического отчета по результатам аудита информационных систем должен быть предоставлен в Национальный банк не позднее 1 (одного) месяца с момента его подписания.»; 

- дополнить главами 7 и 8 следующего содержания: 

«7. Требования к автоматизированному терминалу самообслуживания (сash-in) для приема платежей 

79. Автоматизированный терминал самообслуживания должен: 

- позволять плательщику ознакомиться с краткой инструкцией/информацией по использованию устройства для осуществления платежа за услуги поставщиков;  

- иметь прямое соединение с единым аппаратно-программным комплексом платежной организации, его размещение должно отвечать требованиям безопасности, установленным законодательством Кыргызской Республики;  

- выдавать информацию по комиссии/тарифам за проведение платежа, до оплаты клиента за товары и услуги; 

- быть оснащен устройством по выдаче чека в качестве подтверждения по проведенной операции в соответствии с законодательством Кыргызской Республики. 

80. Платежная организация и его агент для размещения автоматизированного терминала самообслуживания должны обладать всеми необходимыми документами, удостоверяющими его права на установку устройства в данном месте.  

81. Платежная организация и его агент должны назначить ответственное лицо для поддержания работы и проведения профилактических технических работ по автоматизированному терминалу самообслуживания. 

 

8. Минимальные требования к процессинговому центру 

82. Оператор платежной системы должен использовать комплекс мер по обеспечению информационной безопасности всех участников платежной системы, вовлеченных в процесс по получению, обработке, сохранению и предоставлению информации участникам платежной системы. 

83. Оператор платежной системы при осуществлении платежей должен обеспечить шифрование данных, передаваемых посредством АС. 

84. Оператор платежной системы обязан обеспечивать защиту персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством Кыргызской Республики. 

85. Оператор платежной системы должен: 

- обеспечить защиту и конфиденциальность имеющейся в его распоряжении финансовой информации, предоставлять ее третьим лицам только в случаях, предусмотренных законодательством Кыргызской Республики; 

- разработать программу управления уязвимостями и защищать все системы от вредоносных программных обеспечений, регулярно обновлять антивирусное программное обеспечение; 

- разрабатывать и поддерживать безопасность платежной системы; 

- обеспечить ведение журнала системных сообщений (логов) для всех операций на уровне АС и его приложений (вход/выход пользователя в/из систему/ы, изменения данных и т.д.); 

- обеспечить хранение и ведение архивов данных по обработанной финансовой информации в соответствии со сроками, установленными законодательством Кыргызской Республики; 

- не реже 1 (одного) раза в 6 (шесть) месяцев проводить протоколированную проверку безопасности АС на соответствие требованиям внутренних правил и процедур платежной системы, а также соответствие требованиям Национального банка. Результаты проверки должны быть оформлены протокольно и подписаны участниками проверки. 

86. Серверное помещение оператора платежной системы должно соответствовать следующим основным требованиям: 

- изолированность (нахождение во внутренней пространственной части здания, отделенной от других смежных частей строения стенами, без оконных проемов); 

- наличие надежных замков; 

- наличие средств пожарной и охранной сигнализации либо наличие круглосуточной охраны или средств наблюдения, исключающих возможность несанкционированного проникновения в помещение посторонних лиц и обеспечивающих физическую сохранность находящихся в помещении защищаемых ресурсов; 

- строгое разграничение доступа персонала в соответствии с функциональными обязанностями; 

наличие журнала учета посещения серверного помещения или системы контроля и управления доступом. 

87. Оператор платежной системы должен осуществлять сохранность данных обо всех операциях на территории Кыргызской Республики с возможностью получения данных о любой транзакции за любой период, с момента получения лицензии Национального банка, в реальном режиме времени и/или по запросу в срок, не превышающий 1 (один) рабочий день с момента поступления запроса. 

88. Оператор платежной системы должен назначить специальное должностное лицо, ответственное за соблюдение и реализацию правил внутреннего противодействия легализации (отмыванию) преступных доходов и финансированию террористической или экстремистской деятельности, согласно требованиям законодательства Кыргызской Республики. 

89. Платежи на территории Кыргызской Республики должны осуществляться в национальной валюте. 

90. Процессинг и клиринг платежей должен проводиться на территории Кыргызской Республики. 

91. Процессинговый центр должен соответствовать минимальным требованиям, установленным настоящим Положением. 

92. Оператор платежной системы должен иметь технический регламент для обеспечения работоспособности используемой АС. 

93. Используемое оператором платежной системы программное обеспечение должно содержать паспорт системы, включая описание программы, руководство для пользователя и администратора, а также иные необходимые сопроводительные документы для эксплуатации платежной системы. 

94. Оператор платежной системы, осуществляющий обработку транзакций: 

- с использованием международных платежных карт, должен иметь сертификацию Payment Card Industry Data Security Standard (PCI DSS) международного стандарта, определяющего параметры защиты информации в области платежных карт, и ежегодно подтверждать его соответствие внешними аудиторами; 

- с использованием платежных карт национальной или локальных систем должен соответствовать требованиям, установленным законодательством Кыргызской Республики.». 

 

 

 

 

 

 

 

СРАВНИТЕЛЬНАЯ ТАБЛИЦА  

к проекту изменений и дополнений в постановление Правления Национального банка Кыргызской Республики  

«Об утверждении Положения «О регулировании деятельности операторов платежных систем и платежных организаций»  

от 25 марта 2015 года № 19/10 

  

Действующая редакция  

Предлагаемая редакция  

1. Настоящее Положение разработано в соответствии с Гражданским кодексом Кыргызской Республики, законами Кыргызской Республики "О Национальном банке Кыргызской Республики", "О платежной системе Кыргызской Республики", "О банках и банковской деятельности в Кыргызской Республике", "О лицензионно-разрешительной системе в Кыргызской Республике", "О противодействии финансированию терроризма и легализации (отмыванию) доходов, полученных преступным путем", "О защите прав потребителей", "О конкуренции" и другими нормативными правовыми актами Кыргызской Республики. 

Признать утратившим силу. 

2. Положение устанавливает требования, обязательные для исполнения операторами платежных систем и платежными организациями, имеющими лицензию Национального банка Кыргызской Республики (далее по тексту - Национальный банк) на оказание следующих видов услуг: 

- по приему и проведению платежей и расчетов за товары и услуги, не являющиеся результатом своей деятельности, в пользу третьих лиц посредством платежных систем, основанных на информационных технологиях и электронных средствах, и способах проведения платежей; 

- оказание услуг по приему, обработке и выдаче финансовой информации (процессинг, клиринг) по платежам и расчетам третьих лиц участникам платежной системы, данного процессингового, клирингового центра. 

2. Настоящее Положение о регулировании деятельности операторов платежных систем и платежных организаций (далее - Положение) определяет требования, обязательные для исполнения операторами платежных систем и платежными организациями, имеющими лицензию Национального банка Кыргызской Республики (далее по тексту - Национальный банк) на оказание следующих видов услуг: 

- по приему и проведению платежей и расчетов за товары и услуги, не являющиеся результатом своей деятельности, в пользу третьих лиц посредством платежных систем, основанных на информационных технологиях и электронных средствах, и способах проведения платежей; 

- оказание услуг по приему, обработке и выдаче финансовой информации (процессинг, клиринг) по платежам и расчетам третьих лиц участникам платежной системы, данного процессингового, клирингового центра. 

3. Действие настоящего Положения не распространяется на платежные системы, оператором которых выступает Национальный банк и на внутренние системы хозяйствующих субъектов, осуществляющих обработку финансовой информации в своей структуре. 

3. Действие настоящего Положения не распространяется на платежные системы, оператором которых выступает Национальный банк и на внутренние системы хозяйствующих субъектов, осуществляющих прием, обработку и выдачу финансовой информации (процессинг, клиринг) по платежам и расчетам в своей структуре. 

4. Национальный банк является оператором системно-значимых платежных систем (Гроссовой системы расчетов в режиме реального времени и Системы пакетного клиринга), функционирование которых осуществляется в соответствии с нормативными правовыми актами Кыргызской Республики. 

4. Национальный банк является оператором Гроссовой системы расчетов в режиме реального времени и Системы пакетного клиринга, функционирование которых осуществляется в соответствии с законодательством Кыргызской Республики. 

5. Национальный банк регулирует и осуществляет надзор за платежными системами, операторами платежных систем и платежными организациями для обеспечения стабильности, надежности и безопасности платежной системы в соответствии с нормативными правовыми актами Кыргызской Республики. 

5. Национальный банк регулирует и осуществляет надзор за платежными системами, операторами платежных систем и платежными организациями для обеспечения стабильности, надежности и безопасности платежной системы Кыргызской Республики в соответствии с нормативными правовыми актами Кыргызской Республики. 

5-1. Антимонопольное регулирование деятельности операторов платежных систем и платежных организаций по защите прав потребителей и защите конкуренции на рынке платежных услуг осуществляется в рамках Политики и основных принципов антимонопольного регулирования, развития конкуренции и защиты прав потребителей на рынке банковских услуг Кыргызской Республики, оказываемых коммерческими банками, другими финансово-кредитными организациями, операторами платежных систем и платежными организациями, лицензируемыми и регулируемыми Национальным банком Кыргызской Республики, утвержденной постановлением Правления Национального банка.  

7. Оператор системы расчетов платежными картами - это оператор аппаратно-программного комплекса, предназначенного для сбора, обработки и рассылки участникам расчетов информации по транзакциям, совершенным с использованием карт, а также выполнения иных функций, предусмотренных соответствующими договорами между участниками системы расчетов с использованием карт (процессинг транзакций). 

7. В настоящем Положении используются понятия, согласно их определениям, предусмотренным в законах Кыргызской Республики «О Национальном банке Кыргызской Республики, банках и банковской деятельности» и «О платежной системе Кыргызской Республики». 

При этом в рамках настоящего Положения используются следующие термины и определения:  

Автоматизированная система это система, состоящая из персонала, аппаратно-программного комплекса средств автоматизации его деятельности, методов и мероприятий, реализующих информационную технологию выполнения установленных функций. 

Авторизация процесс предоставления определенному субъекту прав на выполнение некоторых действий в соответствии с выполняемой ролью в системе.  

Аутентификация проверка принадлежности объекту/субъекту доступа предъявленного им идентификатора или подтверждение подлинности. 

Аффилированное лицо это: 

значительные участники юридического лица; 

юридические лица, в которых одно и то же юридическое лицо является значительным участником. 

Должностные лица - члены коллегиального исполнительного органа, осуществляющие руководство текущей деятельностью оператора платежной системы и платежной организации - члены Правления, генеральный директор/технический директор/директор (руководитель, отвечающий за техническое функционирование платежной системы), заместитель генерального директора/технического директора/директора, главный бухгалтер/бухгалтер, а также лица определяющие политику оператора платежной системы и платежной организации независимо от того, работают ли эти лица на безвозмездной основе или получают вознаграждение. 

Идентификация процесс присвоения объектам/субъектам идентификатора (уникального имени) или сравнение идентификатора объекта/субъекта с перечнем присвоенных идентификаторов. 

Информационная система взаимосвязанная совокупность средств, методов и персонала, используемых для хранения, обработки и выдачи информации в интересах достижения поставленной цели. Информационная система содержит автоматизированные и неавтоматизированные процессы хранения, обработки и выдачи информации.  

Клиринг процесс сбора, обработки, подтверждения платежей и подсчета взаимных обязательств участников системы. 

Операционный риск - риск прямых или косвенных убытков, которому подвержена организация в результате сбоев в операциях, вызванных внешними событиями, ошибками персонала, мошенничеством, а также в результате неадекватности или нарушения процессов, процедур или системы контроля. 

Связанные с юридическим лицом лица: 

7) должностные лица юридического лица и их близкие родственники; 

8) лица, которые прямо или косвенно имеют значительное участие в капитале юридического лица и/или осуществляют контроль; 

9) юридические лица, в которых юридическое лицо и его должностные лица имеют значительное участие и/или осуществляют контроль; 

10) члены исполнительного органа юридических лиц, указанных в пунктах 2 и 3, и их близкие родственники; 

11) физические лица - близкие родственники и родственники до четвертой степени родства лиц, указанных в пункте 2 настоящей части; 

12) юридические лица, в которых лица, указанные в пункте 2 настоящей части, имеют значительное участие и/или осуществляют контроль. 

Системный риск - это риск того, что несостоятельность одного из участников платежной системы выполнить свои обязательства по платежам сделает невозможным для других участников платежной системы выполнение их обязательств по платежам при наступлении срока платежа. Такое невыполнение обязательств может распространиться на всю платежную систему и финансовые рынки и поставить под угрозу стабильность платежной и финансовой систем. 

8. Системный риск - это риск того, что несостоятельность одного из участников платежной системы выполнить свои обязательства по платежам сделает невозможным для других участников платежной системы выполнение их обязательств по платежам при наступлении срока платежа. Такое невыполнение обязательств может распространиться на всю платежную систему и финансовые рынки и поставить под угрозу стабильность платежной и финансовой систем. 

Признать утратившим силу. 

9. Операционный риск - риск прямых или косвенных убытков, которому подвержена организация в результате сбоев в операциях, вызванных внешними событиями, ошибками персонала, мошенничеством, а также в результате неадекватности или нарушения процессов, процедур или системы контроля. 

Признать утратившим силу. 

3. Основные требования к деятельности операторов платежных систем 

Глава 3.Основные требования к деятельности операторов платежных систем и платежных организаций 

§1. Требования к деятельности операторов платежных систем 

10. Оператор платежной системы осуществляет свою деятельность в соответствии с лицензией Национального банка. 

10. Оператор платежной системы осуществляет свою деятельность в соответствии с законодательством Кыргызской Республики и действует на основании лицензии выданной Национальным банком. 

11. Оператор может совмещать свою деятельность с деятельностью платежной организации или финансово-кредитного учреждения при наличии соответствующей лицензии, а также вправе проводить иные операции, необходимые для обеспечения их деятельности, в соответствии с законодательством Кыргызской Республики. Совмещение деятельности оператора платежной системы с деятельностью оператора мобильной сотовой связи запрещается. 

11. Оператор платежной системы может совмещать свою деятельность с деятельностью платежной организации или финансово-кредитной организации при наличии соответствующей лицензии, а также вправе проводить иные операции, необходимые для обеспечения их деятельности, в соответствии с законодательством Кыргызской Республики. Совмещение деятельности оператора платежной системы с деятельностью оператора мобильной сотовой связи запрещается. 

12-1. Оператор платежной системы, на этапе внедрения новых сервисов/продуктов/услуг, начинает или прекращает деятельность по предоставлению услуг по процессингу и распространению электронных денег и/или совершенствования системы, должен уведомить Национальный банк о своем намерении не менее чем за 1 (один) месяц до фактического начала или прекращения данной деятельности, с приложением детальной информации, описывающей разрабатываемый сервис/продукт/услугу и/или предполагаемые изменения/дополнения в системе. 

13. Оператор платежной системы обеспечивает функционирование платежной системы в соответствии с разработанными правилами и процедурами. Взаимоотношения с участниками устанавливаются правилами системы и договорами. 

13. Оператор платежной системы обеспечивает функционирование платежной системы в соответствии с разработанными правилами и процедурами. Взаимоотношения с участниками устанавливаются правилами функционирования платежной системы и заключенными договорами. 

14. Правила и процедуры системы должны давать участникам четкое представление о влиянии системы на каждый из финансовых рисков, которые они несут в силу участия в системе, объяснять юридическую основу и роли сторон-участников, время и принципы управления рисками системы, быть регулярно обновляющимися

14. Правила и процедуры системы должны давать участникам четкое представление о влиянии системы на каждый из финансовых рисков, которые они несут в силу участия в системе, объяснять юридическую основу и роли сторон-участников, время и принципы управления рисками системы. Указанные правила и процедуры должны регулярно пересматриваться и обновляться. 

15. Оператор платежной системы несет ответственность за обеспечение бесперебойного функционирования системы, своевременную обработку платежей, обеспечение целостности, безопасности и конфиденциальности информации в системе. Оператор платежной системы несет ответственность за неоказание или оказание некачественных платежных услуг. 

15. Оператор платежной системы несет ответственность за обеспечение бесперебойного функционирования своей платежной системы, своевременную обработку платежей, обеспечение целостности, безопасности и конфиденциальности информации в системе. Оператор платежной системы несет ответственность за неоказание или оказание некачественных платежных услуг участникам платежной системы. 

17. Оператор платежной системы должен: 

- контролировать соблюдение действующих правил и процедур; 

- предоставлять технические и программные средства для проведения платежей другим участникам платежной системы в соответствии с нормативными правовыми актами Национального банка; 

- вести реестр участников платежной системы; 

- оценивать и управлять рисками в платежной системе. 

17. Оператор платежной системы должен: 

- контролировать соблюдение действующих правил и процедур, а также их соответствие требованиям настоящего Положения и законодательства Кыргызской Республики; 

- предоставлять технические и программные средства для проведения платежей другим участникам платежной системы; 

- вести реестр участников платежной системы; 

- оценивать и управлять рисками в платежной системе; 

- обеспечить безопасное функционирование средств обработки информации; 

- обеспечить единый подход к управлению инцидентами и вести реестр инцидентов.  

-  

18-1. Оператор платежной системы может быть реорганизован (слияние, присоединение, разделение, выделение, преобразование) при соблюдении требований, установленных законодательством Кыргызской Республики. 

-  

19-1. Оператор платежной системы должен один раз в год с момента получения лицензии предоставлять в Национальный банк сведения об утвержденных и действующих тарифах. Оператор платежной системы должен не менее чем за 15 (пятнадцать) рабочих дней уведомлять Национальный банк о всех изменениях действующих тарифов. 

4. Требования к оператору системы расчетов платежными картами 

Признать утратившим силу 

20. Все требования к оператору платежной системы, приведенные в настоящем Положении, распространяются на оператора системы расчетов платежными картами. 

Признать утратившим силу 

21. Оператор системы расчетов платежными картами должен иметь в своем штате персонал, ответственный за выполнение следующих задач: 

- оценку адекватности систем контроля - осуществление проверок звеньев управления, предоставление обоснованных предложений по устранению выявленных недостатков и рекомендаций по повышению эффективности управления; 

- оценку эффективности деятельности - осуществление экспертных оценок различных сторон функционирования организации и предоставление обоснованных предложений по их совершенствованию; 

- проверку соответствия требованиям законодательства, в том числе нормативным правовым актам Национального банка; 

- обеспечение надежности, полноты и своевременности финансовой информации, используемой для принятия решений, составления финансовой и регулятивной отчетности; 

- подготовку предложений по выбору внешних аудиторов и, при необходимости, инициирование проведения специальных аудиторских проверок; 

- ведение бухгалтерского учета и составление финансовой отчетности в соответствии с международными стандартами финансовой отчетности. 

21. Оператор платежной системы должен иметь персонал (штатные должности), ответственный за выполнение следующих задач: 

- оценку адекватности систем контроля - осуществление проверок звеньев управления, предоставление обоснованных предложений по устранению выявленных недостатков и рекомендаций по повышению эффективности управления; 

- оценка обеспечения безопасности - повышение уровня информационной безопасности, а также минимизацию возможных потерь, вызванных действиями злоумышленников, аварийными сбоями и ошибками персонала;  

- оценку эффективности деятельности - осуществление экспертных оценок различных сторон функционирования организации и предоставление обоснованных предложений по их совершенствованию; 

- проверку соответствия требованиям настоящего Положения и законодательства Кыргызской Республики; 

- обеспечение надежности, полноты и своевременности финансовой информации, используемой для принятия решений, составления финансовой и регулятивной отчетности; 

- подготовку предложений по выбору внешних аудиторов и, при необходимости, инициирование проведения специальных аудиторских проверок; 

- ведение бухгалтерского учета и составление финансовой отчетности в соответствии с Международными стандартами финансовой отчетности. 

21-1. Администрирование автоматизированной системы может осуществляться нештатным персоналом оператора платежной системы при наличии договора, составленного в соответствии с законодательством Кыргызской Республики с указанием обязательств и ответственности сторон. 

21-2. Персонал, имеющий доступ к работе с автоматизированной системой оператора платежной системы, должен:  

- быть ознакомлен с нормами и требованиями обеспечения безопасности и конфиденциальности при работе с финансовой информацией, регламентированными внутренними правилами и процедурами; 

- иметь уровень квалификации, необходимый для управления программно-техническими средствами доступа к АС и обработкой финансовой информации, согласно внутренним документам; 

- нести персональную ответственность за нарушение требований по обеспечению безопасности и конфиденциальности при работе с финансовой информацией.  

22. Оператор системы расчетов платежными картами должен обеспечить ключевые компоненты системы основными и резервными каналами связи. 

22. Оператор платежной системы должен обеспечить ключевые компоненты системы основными и резервными каналами связи. 

23. Аппаратно-программный комплекс оператора системы расчетов платежными картами должен обеспечить: 

- бесперебойный обмен и обработку информации; 

- целостность и подлинность данных при их передаче по каналам связи с места ее инициирования до процессингового центра и обратно; 

- идентификацию персонала процессингового центра, имеющего доступ к работе с аппаратно-программным комплексом

- конфиденциальность данных; 

- защиту данных и оборудования при сбоях аппаратно-программного комплекса, нештатных ситуациях или в случае несанкционированного доступа к данным; 

- мониторинг и контроль над работоспособностью объектов, подключенных к процессинговому центру, сеансов доступа к информационным ресурсам системы, включая доступ к данным потребителей услуг, и персонала процессингового центра. 

23. Автоматизированная система оператора платежной системы должна обеспечить: 

- бесперебойный обмен и обработку информации; 

- целостность и подлинность данных при их передаче по каналам связи с места ее инициирования до процессингового центра и обратно; 

- идентификацию, авторизацию и аутентификацию технического персонала оператора платежной системы, имеющего доступ к работе с автоматизированной системой

- сохранность, целостность и конфиденциальность данных; 

- защиту данных и оборудования при сбоях автоматизированной системы, нештатных ситуациях или в случае несанкционированного доступа к данным; 

- мониторинг и контроль над работоспособностью объектов, подключенных к процессинговому центру, сеансов доступа к информационным ресурсам системы, включая доступ к данным потребителей услуг, и персонала процессингового центра. 

24. Если оператор системы расчетов платежными картами разработал программную систему самостоятельно, то в его наличии должны быть: 

- четко разработанные технические задания и требования; 

- перечень лиц-участников разработки программного обеспечения с указанием занимаемых должностей и специального образования; 

- язык разработки программы, интерфейс; 

- местонахождение кода программы; 

- перечень работников, имеющих возможность вносить изменения в код программы

- руководство или сопровождающая литература, документы для пользователей программного обеспечения. 

24. Если программное обеспечение оператора платежной системы разработано самостоятельно или внешней организацией, то у него в наличии должны быть: 

- договор, заключенный с организацией, которая разработала программное обеспечение; 

- детально разработанные технические задания и требования; 

- перечень работников, имеющих возможность вносить изменения в исходный код программного обеспечения; 

- руководство или сопровождающие документы для пользователей программного обеспечения; 

- программа и методика испытаний; 

- акт ввода и журнал испытаний опытной эксплуатации; 

- акт ввода в промышленную эксплуатацию; 

акт приема-передачи, подписанный оператором платежной системы и организацией, разработавшей программное обеспечение. 

25. Если программное обеспечение оператора системы расчетов платежными картами разработано другой организацией, то в его наличии должны быть: 

- договор, заключенный с организацией, которая разрабатывает программное обеспечение; 

- детальное техническое задание и требования, представленные организации, разрабатывающей программное обеспечение; 

- акт приема-передачи, подписанный оператором системы расчетов платежными картами и организацией, разработавшей программное обеспечение. 

Признать утратившим силу. 

5. Правила оператора платежной системы 

§2. Требования к правилам оператора платежной системы 

26. Правила оператора платежной системы должны содержать следующее: 

- архитектура системы и схема ее работы; 

- процедуры вступления и выхода из системы; 

- порядок подключения участника к системе; 

- порядок проведения процессинга; 

- порядок предоставления сведений участниками платежной системы о своей деятельности оператору платежной системы; 

- система управления рисками в платежной системе, включая используемую модель управления рисками, перечень мероприятий и способов управления рисками; 

- требование к защите информации; 

- порядок разрешения споров; 

- порядок действия участников при возникновении нештатных ситуаций в системе; 

- права, обязанности и ответственность участников; 

- иные требования, предусмотренные законодательством Кыргызской Республики. 

26. Правила работы системы и процедуры оператора платежной системы должны содержать следующее: 

- архитектуру платежной системы и схему описание ее работы; 

- предоставление безопасных и надежных каналов связи; 

- процедуры вступления и выхода из платежной системы; 

- порядок подключения участника к платежной системе; 

- порядок проведения процессинга; 

- порядок проведения клиринга; 

- порядок и требования по безопасности при процессинге и клиринге (если данная услуга передана участнику системы или стороннему процессинговому центру); 

- порядок предоставления сведений участниками платежной системы о своей деятельности оператору платежной системы; 

- система управления рисками в платежной системе, включая используемую модель управления рисками, перечень мероприятий и способов управления рисками; 

- требование к защите информации; 

- порядок разрешения споров, жалоб участников и клиентов; 

- порядок действия участников при возникновении нештатных ситуаций в системе; 

- порядок уведомления участников платежной системы;  

- права, обязанности и ответственность участников платежной системы; 

- тарифы и тарифную политику; 

- иные требования, предусмотренные законодательством Кыргызской Республики. 

При необходимости могут быть представлены количественные и качественные критерии к участникам платежной системы. 

27. Правила оператора системы расчетов платежными картами помимо требований, приведенных в п.26 настоящего Положения должны содержать следующее: 

- регистрация и настройка участника в системе; 

- порядок и требования к осуществлению эмиссии эмитентом; 

- порядок и требования к осуществлению эквайринга эквайером; 

- порядок проведения платежей в системе; 

- межбанковские комиссии, сервисные платы и другие комиссии в системе. 

27. Правила и процедуры оператора платежной системы помимо требований, приведенных в пункте 26 настоящего Положения должны содержать следующее: 

- регистрацию и настройку участника в платежной системе; 

- порядок и требования по безопасности при персонализации карт (если данная услуга передана участнику системы или стороннему процессинговому центру); 

- порядок и требования по безопасности при процессинге и клиринге карт (если данная услуга передана участнику системы или стороннему процессинговому центру); 

- порядок и требования к осуществлению эмиссии карт эмитентом; 

- порядок и требования к осуществлению эквайринга карт эквайером; 

- порядок проведения платежей в системе; 

- порядок приема и обработки претензионных платежей;  

- межбанковские комиссии, сервисные платы и другие комиссии в системе.  

28. В правилах платежной системы запрещается установление требований: 

- к участникам платежной системы о неучастии в других платежных системах (условия об исключительном участии); 

- к участникам платежной системы об ограничении (запрете) осуществления между ними клиринга и расчета вне рамок платежной системы на основании договоров, заключаемых между участниками платежной системы под ответственность таких участников; 

- к операторам услуг платежной инфраструктуры об ограничении (запрете) оказания услуг платежной инфраструктуры в рамках других платежных систем (условие об исключительном оказании услуг платежной инфраструктуры); 

- к участникам платежной системы, ограничивающих их право на самостоятельное определение стоимости услуг. 

28. В правилах платежной системы запрещается установление требований: 

- к участникам платежной системы о неучастии в других платежных системах (условия об исключительном участии); 

- к операторам услуг платежной инфраструктуры об ограничении (запрете) оказания услуг платежной инфраструктуры в рамках других платежных систем (условие об исключительном оказании услуг платежной инфраструктуры); 

- к участникам платежной системы, ограничивающих их право на самостоятельное определение стоимости услуг. 

6. Платежная организация и требование к ее деятельности 

§3. Требования к деятельности платежной организация 

29. Платежная организация должна осуществлять свою деятельность в соответствии с лицензией Национального банка. 

29. Платежная организация должна осуществлять свою деятельность в соответствии с законодательством Кыргызской Республики и действовать на основании лицензии, выданной Национальным банком. 

29-1. Платежная организация должна иметь разработанные и утвержденные внутренние правила, и процедуры по предоставлению услуги по приему платежей в пользу третьих лиц, в соответствии с нормативными правовыми актами Национального банка. 

29-2. Платежная организация должна назначить специальное должностное лицо, ответственное за соблюдение и реализацию правил противодействия легализации (отмыванию) преступных доходов и финансированию террористической или экстремистской деятельности, согласно требованиям законодательства Кыргызской Республики. 

30. Платежная организация может совмещать свою деятельность с деятельностью оператора платежной системы или финансово-кредитного учреждения при наличии соответствующей лицензии, а также вправе проводить иные операции, необходимые для обеспечения своей деятельности, в соответствии с законодательством Кыргызской Республики. 

30. Платежная организация может совмещать свою деятельность с деятельностью оператора платежной системы или финансово-кредитной организации при наличии соответствующей лицензии, а также вправе проводить иные операции, необходимые для обеспечения своей деятельности, в соответствии с законодательством Кыргызской Республики. 

31. Платежная организация может: 

1) приобретать/продавать товары и оказывать услуги, связанные с деятельностью поставщиков услуг, с которыми у платежной организации заключен договор; 

2) оказывать консультационные и информационные услуги, связанные с деятельностью платежной организации. 

31. Платежная организация может заниматься только теми видами деятельности, которые указаны в лицензии, а также оказывать консультационные/информационные услуги и проводить иные необходимые операции, связанные с его деятельностью.  

31-1. Платежная организация может быть реорганизована (слияние, присоединение, разделение, выделение, преобразование) при соблюдении требований, установленных законодательством Кыргызской Республики. 

32. В целях страхования возможных рисков, связанных с предпринимательской деятельностью платежной организации и поставщиков услуг, полностью или частично находящихся в государственной собственности, и бюджетных организаций, где договорные отношения не предусматривают предоплату, страхового депозита или банковскую гарантию от платежной организации, платежная организация должна депонировать денежные средства на счете в коммерческом банке или ценные бумаги, либо представить безотзывную банковскую гарантию в пользу Национального банка. 

32. В целях страхования возможных рисков, связанных с деятельностью платежной организации и поставщиков услуг, где договорные отношения не предусматривают предоплату поставщику, платежная организация должна депонировать денежные средства на счете в коммерческом банке, страховой депозит, либо представить безотзывную банковскую гарантию в пользу поставщика товаров/услуг. 

33-1. Размер депонированной суммы, ценной бумаги, банковской гарантии должен составлять 10 процентов от суммы среднедневного оборота платежной организации за последний квартал по поставщикам товаров/услуг, где договорные отношения не предусматривают предоплату, страховой депозит или банковскую гарантию от платежной организации. 

33-2. Платежная организация должна соблюдать требования по приёму, хранению, передаче/перечислению денежных средств (инкассации) в соответствии с законодательством Кыргызской Республики. 

35. Платежная организация обязана обеспечивать защиту персональных данных и иной информации, подлежащей обязательной защите, в соответствии с законодательством Кыргызской Республики. 

35. Платежная организация обязана обеспечивать защиту и конфиденциальность персональных данных, финансовой информации по платежам и иной информации, имеющейся в ее распоряжении, подлежащей обязательной защите, и предоставлять ее третьим лицам только в случаях, предусмотренных законодательством Кыргызской Республики. 

36. Для обеспечения безопасности, помещение в котором эксплуатируется аппаратно-программный комплекс платежной организации должно соответствовать следующим основным требованиям: 

- наличие надежных автоматических замков; 

- наличие средств пожарной и охранной сигнализации, либо наличие круглосуточной охраны или средств наблюдения, исключающие возможность бесконтрольного проникновения в помещение посторонних лиц и обеспечивающие физическую сохранность находящихся в помещении защищаемых ресурсов; 

- доступ персонала в помещение должен быть строго регламентирован в соответствии с функциональными обязанностями. 

36. Для обеспечения безопасности, помещение в котором эксплуатируется автоматизированная система платежной организации должно соответствовать следующим основным требованиям: 

- наличие надежных автоматических замков; 

- наличие средств пожарной и охранной сигнализации, либо наличие круглосуточной охраны или средств наблюдения, исключающие возможность бесконтрольного проникновения в помещение посторонних лиц и обеспечивающие физическую сохранность находящихся в помещении защищаемых ресурсов; 

- доступ персонала в помещение должен быть строго регламентирован в соответствии с функциональными обязанностями. 

38. В случае нахождения аппаратного комплекса за пределами Кыргызской Республики платежная организация должна осуществлять архивирование данных об операциях на территории Кыргызской Республики. 

38. Платежная организация должна осуществлять сохранность данных обо всех операциях, на территории Кыргызской Республики, с возможностью получения данных о любой транзакции за любой период, с момента получения лицензии Национального банка в период, не превышающий 1 (один) рабочий день с момента поступления запроса. 

39. Платежная организация должна не реже одного раза в шесть месяцев проводить протоколированную проверку безопасности аппаратно-программного комплекса на соответствие требованиям внутренних правил и процедур. 

39. Платежная организация должна не реже одного раза в шесть месяцев проводить протоколированную проверку безопасности автоматизированной системы на соответствие требованиям внутренних правил и процедур. Результаты проверки должны быть оформлены протокольно. 

40. Платежная организация должна обеспечить защиту и конфиденциальность имеющейся в ее распоряжении финансовой информации, предоставлять ее третьим лицам только в случаях, предусмотренных законодательством Кыргызской Республики. 

Признать утратившим силу. 

7. Субагенты 

§4. Требования к агентам 

43. Субагент должен заключить с платежной организацией (агентом) договор об осуществлении деятельности по приему платежей в пользу третьих лиц в соответствии с законодательством Кыргызской Республики. 

43. Платежная организация имеет право заключать агентские договора с другими лицами для организации своей деятельности, и обязана иметь базу, содержащую следующую информацию по агентам, включая его пункты приема платежей:  

1) если юридическое лицо - наименование организации, копия свидетельства о государственной регистрации, копия лицензии на право осуществления предпринимательской деятельности (в случае, если деятельность лицензируется), учредительные документы, фактический адрес, контакты, актуальный список адресов, где установлены терминалы; 

1) если индивидуальный предприниматель копию паспорта предпринимателя, свидетельства о регистрации в качестве индивидуального предпринимателя, действующий патент, лицензию на право осуществления предпринимательской деятельности (в случае, если деятельность лицензируется), список адресов, где установлены терминалы и фактическое место осуществления деятельности. 

43-1. Платежной организации запрещается иметь договорные отношения с агентом, если агент имеет один из следующих показателей:  

- 30 (тридцать) процентов и более от ежемесячного оборота денежных средств платежной организации, но не менее 1 (одного) миллиона сомов;  

- 30 (тридцать) процентов и более ежемесячного количества агентской и/или терминальной сети платежной организации;   

- 30 (тридцать) процентов и более от ежемесячного объема кассовых операций платежной организации.  

При наличии данных показателей такой агент должен получить лицензию и самостоятельно осуществлять деятельность как платежная организация в соответствии с требованиями данного Положения. 

44. Платежная организация должна иметь документы для обучения субагентов принципам пользования системы в рамках выполняемых ими функций. При заключении договора необходимо проведение инструктажа в соответствии с имеющимися процедурами и ознакомление субагента с требованиями законодательства Кыргызской Республики, включая требования о противодействии финансированию терроризма и легализации (отмыванию) доходов, полученных преступным путем. 

44. Платежная организация должна иметь документы для обучения агентов принципам пользования системы в рамках выполняемых ими функций. При заключении договора необходимо проведение инструктажа в соответствии с имеющимися процедурами и ознакомление субагента с требованиями законодательства Кыргызской Республики, включая требования о противодействии легализации (отмыванию) преступных доходов и финансированию террористической или экстремистской деятельности, и последующего мониторинга за агентами по соблюдению указанных требований. 

45. Платежная организация или субагент при приеме платежей обязан обеспечить в каждом пункте приема платежей предоставление плательщикам следующей информации: 

- наименование, контактные данные и местонахождение платежной организации; 

- номер и дата выдачи лицензии платежной организации; 

- стоимость услуг, уплачиваемая плательщиком; 

- способы подачи претензий; 

- номера call-центра, телефонов поставщиков оператора по приему платежей. 

45. Платежная организация или агент, включая его пункты приема платежей, при приеме платежей обязан обеспечить в каждом пункте приема платежей предоставление плательщикам следующей информации: 

- наименование, контактные данные и местонахождение платежной организации; 

- номер и дата выдачи лицензии платежной организации; 

- стоимость услуг, уплачиваемая плательщиком; 

- способы подачи претензий; 

- номера call-центра, телефонов поставщиков оператора по приему платежей. 

45-1. Платежная организация несет полную ответственность за соблюдение агентом, включая его пункты приема платежей, требований настоящего Положения.  

8. Управление рисками 

4. Управления рисками 

46-1. Оператор платежной системы должен обеспечивать онлайн мониторинг за рисками в платежной системе. 

47. При обнаружении системного риска, где участники платежной системы не в состоянии совершить свои функции, оператор платежной системы и платежные организации должны: 

- в срок не более 1 (одного) дня с момента обнаружения риска уведомить Национальный банк посредством отправки электронного сообщения и телефонного звонка уполномоченному структурному подразделению; 

- уведомить сторону или стороны, подвергающиеся риску; 

- обеспечить для других участников возможность выполнения своих обязательств. 

47. При обнаружении системного риска, где участники платежной системы не в состоянии совершить свои функции, оператор платежной системы и платежные организации должны: 

- уведомить Национальный банк посредством отправки электронного сообщения и телефонного звонка уполномоченному структурному подразделению; 

- уведомить сторону или стороны, подвергающиеся риску; 

- принять меры по исполнению своих финансовых обязательств перед поставщиками услуг и участниками платежной системы; 

- принять меры по обеспечению сохранности данных и восстановлению работоспособности платежной системы; 

- обеспечить для других участников возможность выполнения своих обязательств. 

9. Порядок предоставления услуг платежными организациями 

5. Требования к платежной организации при взаимодействии с поставщиками товаров/услуг 

65. Платежная организация для приема платежей должна заключить с поставщиком услуг договор об осуществлении деятельности по приему платежей от потребителей услуг, по условиям которого платежная организация вправе от имени поставщика осуществлять прием денежных средств от плательщиков, а также обязана осуществлять расчеты с поставщиком в установленном договором порядке и в соответствии с законодательством Кыргызской Республики. 

65. Платежная организация для приема платежей должна заключить с поставщиком товаров/услуг договор об осуществлении деятельности по приему платежей от потребителей услуг, по условиям которого платежная организация вправе от имени поставщика осуществлять прием денежных средств от плательщиков, а также обязана осуществлять расчеты с поставщиком в установленном договором порядке и в соответствии с законодательством Кыргызской Республики. 

 

65-1. Платежная организация должна иметь актуальную базу по поставщикам. Агентский договор между платежной организацией и поставщиком должен содержать, как минимум, следующую информацию, с приложением подтверждающих документов:  

- наименование юридического лица/индивидуального предпринимателя;  

- юридический, фактический адрес и контактные данные;  

- наименование товара или вид услуг, предоставляемых поставщиком;   

- ответственность сторон при предоставлении/непредставлении товаров/услуг клиенту;  

- срок действия договора;  

- банковские реквизиты сторон;  

условия оплаты (тарифы, комиссии и вознаграждения и др.). 

66. Платежная организация при приеме платежей обязана использовать специальный банковский счет/а для осуществления расчетов. 

66. Платежная организация при приеме платежей обязана использовать отдельные банковские счета в коммерческом банке для хранения и использования средств хозяйственной деятельности, а также для осуществления расчетов с поставщиками товаров/услуг. 

10. Предоставление отчетности и другой информации 

6. Предоставление отчетности и другой информации 

68. Операторы/платежные организации должны предоставлять информацию об отдельных должностных лицах на ежегодной основе до 1 (первого) февраля года, следующего за отчетным. При принятии изменений об отдельных должностных лицах, операторы/платежные организации обязаны предоставлять информацию в течение 10 (десяти) календарных дней после принятия изменений. 

68. Оператор платежной системы/платежные организации должны предоставлять в Национальный банк информацию о размере уставного капитала, составе коллегиального исполнительного органа, учредителях, аффилированных и связанных лицах, источниках происхождения денежных средств, фактическом и юридическом адресах по мере возникновения изменений в течение 5 (пяти) рабочих дней после принятия решения об изменениях, с приложением копий подтверждающих документов. 

69. Оператор/платежная организация обязаны ежеквартально предоставлять сведения о финансовом состоянии по формам отчетностей в соответствии с Международными стандартами финансовой отчетности. 

69. Оператор платежной системы/платежная организация обязаны ежеквартально предоставлять сведения о финансовом состоянии по формам отчетностей в соответствии с Международными стандартами финансовой отчетности. Отчетность предоставляется оператором платежной системы не позднее 25 (двадцать пятого) числа месяца, следующего за отчетным кварталом. Отчетность может предоставляться в указанные сроки в электронном виде (сканированная версия документа), с последующим досылом бумажной версии.  

70. Оператор/платежная организация предоставляют отчетность начиная с отчетного квартала, следующего за кварталом, в котором была получена лицензия Национального банка. 

70. Оператор платежной системы/платежная организация предоставляют отчетность начиная с отчетного квартала, следующего за кварталом, в котором была получена лицензия Национального банка. 

71. Отчетность предоставляется оператором/платежной организацией не позднее 15 числа месяца, следующего за отчетным кварталом. Отчетность может предоставляться в указанные сроки в электронном виде (сканированная версия документа), с последующим предоставлением бумажной версии. 

71. Отчетность предоставляется оператором платежной системы/платежной организацией не позднее 15 числа месяца, следующего за отчетным кварталом. Отчетность может предоставляться в указанные сроки в электронном виде (сканированная версия документа), с последующим предоставлением бумажной версии. 

73. Платежная организация обязана предоставлять Национальному банку информацию о вновь заключенных договорах с поставщиками услуг в срок не позднее двух недель с момента заключения договора. 

73. Оператор платежной системы/платежная организация обязаны предоставлять Национальному банку информацию о вновь заключенных договорах с поставщиками услуг в срок не позднее двух недель с момента заключения договора. 

75. За неисполнение или ненадлежащее исполнение требований данного Положения руководитель исполнительного органа оператора платежных систем и платежной организации несет ответственность в порядке, установленном нормативными правовыми актами Национального Банка и законодательством Кыргызской Республики. 

75. В случае невыполнения и/или ненадлежащего исполнения оператором платежной системы требований настоящего Положения, Национальным банком могут быть применены в отношении оператора платежной системы меры воздействия в соответствии с Положением «О мерах воздействия, применяемых к операторам платежных систем/платежным организациям». 

76. Операторы платежных систем подлежат обязательному независимому аудиту 1 (раз) в 3 (три) года. Копия аудиторского заключения должна быть предоставлена Национальному банку не позднее 1 месяца с момента его подписания. Аудит оператора платежных систем должен включать, как минимум, оценку: 

- политик и процедур; 

- безопасности. 

76. Национальный банк ежегодно на основе проведения мониторинга за платежной системой Кыргызской Республики определяет и публикует перечень системно-значимых и значимых платежных систем в Кыргызской Республике

Операторы платежной системы, платежные системы которых определены в качестве системно-значимых и значимых, а также провайдеры критических услуг, обязаны проводить независимый финансовый аудит и аудит информационных систем не реже 1 (один) раз в 2 (два) года. Операторы платежных систем, не подпадающих под критерии значимости платежных систем, подлежат обязательному независимому финансовому аудиту и аудиту информационных систем 1 (один) раз в 3 (три) года. 

Платежные организации подлежат обязательному независимому финансовому аудиту 1 (один) раз в 2 (два) года. 

Копия аналитического отчета по итогам независимого финансового аудита и/или аудита информационных систем должна быть предоставлена в Национальный банк не позднее 1 (одного) месяца с момента его подписания.  

Аудит информационных систем оператора платежных систем должен включать, как минимум, оценку:  

действующих политик и процедур; 

безопасности платежной системы; 

политики по управлению рисками. 

77. Оператор системы расчетов платежными картами должен проводить аудит аппаратно-программного комплекса с привлечением аудиторов, сертифицированных по международным программам сертификации. 

77. Оператор платежной системы расчетов с использованием международных платежных карт должен проводить аудит информационных систем 1 (один) раз в 3 (три) года с привлечением аудиторов, сертифицированных по международным программам сертификации. Копия аналитического отчета по результатам аудита информационных систем должен быть предоставлен в Национальный банк не позднее 1 (одного) месяца с момента его подписания. 

 

7. Требования к автоматизированному терминалу самообслуживания (сash-in) для приема платежей 

79. Автоматизированный терминал самообслуживания должен: 

- позволять плательщику ознакомиться с краткой инструкцией/информацией по использованию устройства для осуществления платежа за услуги поставщиков;  

- иметь прямое соединение с единым аппаратно-программным комплексом платежной организации, его размещение должно отвечать требованиям безопасности, установленным законодательством Кыргызской Республики;  

- выдавать информацию по комиссии/тарифам за проведение платежа, до оплаты клиента за товары и услуги; 

- быть оснащен устройством по выдаче чека в качестве подтверждения по проведенной операции в соответствии с законодательством Кыргызской Республики. 

79. Платежная организация и его агент для размещения автоматизированного терминала самообслуживания должны обладать всеми необходимыми документами, удостоверяющими его права на установку устройства в данном месте.  

79. Платежная организация и его агент должны назначить ответственное лицо для поддержания работы и проведения профилактических технических работ по автоматизированному терминалу самообслуживания. 

 

8. Минимальные требования к процессинговому центру 

79. Оператор платежной системы должен использовать комплекс мер по обеспечению информационной безопасности всех участников платежной системы, вовлеченных в процесс по получению, обработке, сохранению и предоставлению информации участникам платежной системы. 

79. Оператор платежной системы при осуществлении платежей должен обеспечить шифрование данных, передаваемых посредством АС. 

79. Оператор платежной системы обязан обеспечивать защиту персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством Кыргызской Республики. 

79. Оператор платежной системы должен: 

- обеспечить защиту и конфиденциальность имеющейся в его распоряжении финансовой информации, предоставлять ее третьим лицам только в случаях, предусмотренных законодательством Кыргызской Республики; 

- разработать программу управления уязвимостями и защищать все системы от вредоносных программных обеспечений, регулярно обновлять антивирусное программное обеспечение; 

- разрабатывать и поддерживать безопасность платежной системы; 

- обеспечить ведение журнала системных сообщений (логов) для всех операций на уровне АС и его приложений (вход/выход пользователя в/из систему/ы, изменения данных и т.д.); 

- обеспечить хранение и ведение архивов данных по обработанной финансовой информации в соответствии со сроками, установленными законодательством Кыргызской Республики; 

- не реже 1 (одного) раза в 6 (шесть) месяцев проводить протоколированную проверку безопасности АС на соответствие требованиям внутренних правил и процедур платежной системы, а также соответствие требованиям Национального банка. Результаты проверки должны быть оформлены протокольно и подписаны участниками проверки. 

79. Серверное помещение оператора платежной системы должно соответствовать следующим основным требованиям: 

- изолированность (нахождение во внутренней пространственной части здания, отделенной от других смежных частей строения стенами, без оконных проемов); 

- наличие надежных замков; 

- наличие средств пожарной и охранной сигнализации либо наличие круглосуточной охраны или средств наблюдения, исключающих возможность несанкционированного проникновения в помещение посторонних лиц и обеспечивающих физическую сохранность находящихся в помещении защищаемых ресурсов; 

- строгое разграничение доступа персонала в соответствии с функциональными обязанностями; 

наличие журнала учета посещения серверного помещения или системы контроля и управления доступом. 

79. Оператор платежной системы должен осуществлять сохранность данных обо всех операциях на территории Кыргызской Республики с возможностью получения данных о любой транзакции за любой период, с момента получения лицензии Национального банка, в реальном режиме времени и/или по запросу в срок, не превышающий 1 (один) рабочий день с момента поступления запроса. 

79. Оператор платежной системы должен назначить специальное должностное лицо, ответственное за соблюдение и реализацию правил внутреннего противодействия легализации (отмыванию) преступных доходов и финансированию террористической или экстремистской деятельности, согласно требованиям законодательства Кыргызской Республики. 

79. Платежи на территории Кыргызской Республики должны осуществляться в национальной валюте. 

79. Процессинг и клиринг платежей должен проводиться на территории Кыргызской Республики. 

79. Процессинговый центр должен соответствовать минимальным требованиям, установленным настоящим Положением. 

79. Оператор платежной системы должен иметь технический регламент для обеспечения работоспособности используемой АС. 

79. Используемое оператором платежной системы программное обеспечение должно содержать паспорт системы, включая описание программы, руководство для пользователя и администратора, а также иные необходимые сопроводительные документы для эксплуатации платежной системы. 

79. Оператор платежной системы, осуществляющий обработку транзакций: 

- с использованием международных платежных карт, должен иметь сертификацию Payment Card Industry Data Security Standard (PCI DSS) международного стандарта, определяющего параметры защиты информации в области платежных карт, и ежегодно подтверждать его соответствие внешними аудиторами; 

- с использованием платежных карт национальной или локальных систем должен соответствовать требованиям, установленным законодательством Кыргызской Республики. 

 

 

 

 

 

 

АНАЛИЗ РЕГУЛЯТИВНОГО ВОЗДЕЙСТВИЯ 

к проекту изменений и дополнений к Положению «О регулировании деятельности операторов платежных систем и платежных организаций»  

 

1. Основание для разработки 

 

Во исполнение статьи 15 Закона Кыргызской Республики «О лицензионно-разрешительной системе в Кыргызской Республике» и статьи 31 Закона Кыргызской Республики «О платежной системе Кыргызской Республики».  

 

2. Описание проблем и основание для регулирования 

 

После вступления в силу Закона Кыргызской Республики «О лицензионно-разрешительной системе в Кыргызской Республике» были разработаны Положения «О лицензировании деятельности операторов платежных систем и платежных организаций» и «О регулировании операторов платежных систем и платежных организаций». С момента принятия вышеуказанных положений, с марта 2015 года Национальным банком выданы 21 лицензий оператора платежной системы и 22 лицензий платежной организации.  

Основной причиной внесения изменений и дополнений в Положение «О регулировании деятельности операторов платежных систем и платежных организаций» является гармонизация и оптимизация нормативной правовой базы для лицензирования деятельности операторов платежных систем и платежных организаций, путем приведения в соответствие с законами «О Национальном банке Кыргызской Республики, банках и банковской деятельности» и «О платежной системе Кыргызской Республики».  

Во-вторых, в ходе лицензирования и проведения инспекторских проверок, были выявлены пункты Положения, требующие оптимизации для их однозначного понимания со стороны операторов платежной системы и платежных организаций. Процедуры и требования к лицензиатам, определенные в Положении выполняются операторами платежной системы частично, в этой связи возникает необходимость проверки работоспособности аппаратно-программного комплекса и соответствия деятельности заявителя требованиям настоящего Положения.  

В-третьих, в ходе проведения инспекторских проверок были выявлены факты оказания услуг по приему, обработке и выдаче финансовой информации (процессинг, клиринг) по платежам и расчетам третьих лиц участникам платежной системы, данного процессингового, клирингового центра за пределами Кыргызской Республики. Данное обстоятельство противоречит требованиям Национального банка по обеспечению информационной безопасности и безопасности физической инфраструктуры, а также по обеспечению непрерывности деятельности. В этой связи возникает необходимость включения требований о сохранности данных обо всех операциях на территории Кыргызской Республики, с возможностью получения данных о любой транзакции за любой период. 

Регулирование деятельности данных организаций и выставление к их деятельности определенных требований необходимы для минимизации рисков, возникающих при предоставлении данными организациями услуг по приему, обработке и выдаче финансовой информации (процессинг, клиринг). В этой связи возникает необходимость в создании нормативной правовой базы, охватывающей все аспекты деятельности операторов платежной системы с учетом замечаний и практического опыта, полученного по итогам инспекторских проверок. 

 

3. Определение меры для решения проблем  

 

Цели регулирования: 

1. Минимизация рисков потерь населения и обеспечения гарантий исполнения обязательств со стороны финансовых посредников. 

2. Создание равных условий для всех участников рынка розничных платежей и расчетов. 

 

Меры для решения проблем: 

В связи с наличием рисков в деятельности, применить следующие меры и требования к операторам по оказанию услуг по приему, обработке и выдаче финансовой информации (процессинг, клиринг):  

получение лицензии на осуществление деятельности по финансовому посредничеству, разрешается совмещать деятельность только с деятельностью платежной организации или коммерческого банка при наличии соответствующей лицензии в соответствии с законодательством Кыргызской Республики;  

осуществление контроля и надзора за платежной системой субъекта предпринимательства, в целях защиты потребителей, конкуренции и национальной платежной системы; 

включение требований о сохранности данных обо всех операциях на территории Кыргызской Республики, с возможностью получения данных о любой транзакции за любой период. 

 

4. Варианты регулирования и оценка последствий 

 

Ниже рассмотрены два варианта регулирования: 

Вариант №1 «рыночное регулирование». 

Вариант №2 «государственное регулирование»

 

Вариант №1. Рыночные механизмы не способны гарантировать в полной мере минимизацию рисков. Данная деятельность осуществляется юридическими лицами только на основе агентских договоров. Ответственность сторон затрагивает интересы договаривающихся сторон, при этом интересы населения рассматриваются опосредованно. Несвоевременно поступивший платеж может повлечь за собой прекращение подачи услуг, например, прекращение подачи электроэнергии, даже при условии своевременной оплаты через финансового посредника. Отсутствие обязательных условий, гарантирующих сохранность принятых от населения средств может привести к риску того, что финансовый посредник будет распоряжаться данными средствами в своих коммерческих целях, вследствие чего, данная компания может не располагать достаточными средствами для исполнения обязательств перед компаниями, с которыми заключены агентские договора. Кроме этого, отсутствие контроля и надзора за финансовыми посредниками осложняет макроэкономическую задачу по денежным агрегатам и соотношения наличного и безналичного денежного обращения. 

Вариант №2. Так как предоставление платежных услуг осуществляется с применением инновационных технологий и программного обеспечения, финансовые посредники обязаны предоставлять финансовые отчеты, отчеты по функционированию платежных систем органу надзора за платежными системами. Для исполнения обязательств компании по предоставлению отчетов органу надзора необходимо разработать соответствующую методологическую, технологическую базу по лицензированию и регулированию их деятельности. В связи с тем, что одной из основных задач Национального банка является обеспечение безопасности, стабильности и эффективности платежной системы, оператор платежной системы, осуществляющая прием, обработку и выдачу финансовой информации (процессинг, клиринг), должна предоставлять информацию о функционировании данной системы в Национальный банк, для чего ему необходимо получить лицензию. 

 

5. Правовой анализ 

 

В соответствии со статьями 19 и 22 Закона «О нормативных правовых актах Кыргызской Республики», а также с требованиями Положения «О нормативных правовых актах Национального банка Кыргызской Республики» проекты нормативных правовых актов, непосредственно затрагивающие интересы граждан и юридических лиц, а также регулирующие предпринимательскую деятельность, подлежат общественному обсуждению и анализу регулятивного воздействия.  

В связи с этим проект Положения был размещен на общественном сайте Национального банка для проведения процедуры общественного обсуждения. 

При проведении оценки положений, предлагаемого проекта Положения содержание в них коррупциогенных факторов не выявлено.  

Представленный на рассмотрение проект не противоречит законодательству Кыргызской Республики.  

 

6. Оценка конкуренции 

 

Для банка предоставление подобной услуги для широких слоев населения является высоко затратным, поэтому себестоимость услуги выше в сравнении со стоимостью услуги, предоставляемой нефинансовой компанией, специализирующейся только на услуге по сбору и проведению платежей через электронные системы в пользу третьих лиц. Кроме того, высокотехнологичные информационные системы обеспечивают не только быстрый обмен электронной информацией, но и позволяют в короткое время создавать широкую инфраструктуру в территориальном плане и охват населения услугами по проведению быстрых платежей. 

 

7. Экономический анализ (расчет затрат и выгод) 

 

Предлагаемые методы регулирования не создают препятствия для действующих компаний на рынке. Для вновь создаваемых организаций установлен минимальный размер уставного капитала 1,0 млн. сом. Получение лицензий Национального банка стоит 3 расчетных показателя. Время на получение лицензии не превышает 1 календарный месяц. 

По результатам 2016 года общий объем платежей, прошедших через операторов платежных систем составил 23 839,1 млн. сом.  

№ п/п 

Вид платежа 

Сумма (млн. сом) 

Доля в % 

Мобильная сотовая связь 

12 969,0 

54,4 

Пополнение электронных кошельков 

3 044,5 

12,8 

Оплата за кредит ФКУ 

1 836,3 

7,7 

Коммунальные услуги 

2 072,3 

8,7 

Оплата за интернет 

1 335,2 

5,6 

Другие платежи 

2 581,8 

10,8 

Итого 

23 839,1 

100,0 

 

Общая сумма денег в обращении на 1 января 2017 года составила 74 838,8 млн. сом из них 5 500,0 млн. сом находились в кассах коммерческих банков, а остальные - вне банковской системы. Это означает, что за год через операторов платежных систем проходят 31,8% от общего объема денег в обращении.  

Каких-либо прямых или косвенных затрат со стороны государственных органов и государственного бюджета реализация данного проекта не повлечет.  

 

8. Выводы 

 

В результате рассмотрение возможных вариантов наиболее целесообразным и отвечающим цели государственной политики является вариант №2 в целях обеспечения эффективной, надежной и безопасной платежной системы Кыргызской Республики. Для обеспечения финансовой стабильности необходимо установление требования на законодательном уровне о лицензировании и регулировании деятельности по приему, обработке и выдаче финансовой информации (процессинг, клиринг) по платежам и расчетам третьих лиц участникам платежной системы, данного процессингового, клирингового центра. 

СВОДНАЯ ТАБЛИЦА 

к Анализу регулятивного воздействия 

 

Орган: Национальный банк Кыргызской Республики  

Наименование проекта нормативного правового акта:  

Положение «О регулировании деятельности операторов платежных систем и платежных организаций» 

Проблема, которую предполагается решить принятием данного нормативного правового акта: 

Гармонизация и оптимизация нормативной правовой базы путем приведения в соответствие с законами «О Национальном банке Кыргызской Республики, банках и банковской деятельности» и «О платежной системе Кыргызской Республики». 

Сроки оценки нормативного правового акта (указать дату начала и окончания оценки проекта):  

Срок проведения общественного обсуждения  

с 01.11.2017 г. по 01.12.2017 г. 

 

Субъекты, попадающие в поле действия проекта: 

Операторы платежных систем и платежные организации 

Затраты при принятии проекта (включают издержки как вовлеченных сторон, так и экономики в целом), сом 

Стоимость оплаты за одну лицензию составляет 3 расчетных показателей. Размер уставного капитала 1 млн. сомов. 

Ожидаемые выгоды от принятия проекта (включают выгоды как для всех вовлеченных сторон, так и для экономики в целом), сом 

Выгоды: 

- Минимизация рисков потерь населения и обеспечение гарантий исполнения обязательств со стороны финансовых посредников; 

- Обеспечение защиты прав потребителей банковских и платежных услуг; 

- Создание равных условий для всех участников рынка розничных платежей и расчетов; 

-  Осуществление мониторинга и контроля за платежными системами со стороны регулятора 

Варианты решения проблемы:  

1) рыночное регулирование 

Рыночные механизмы не способны гарантировать в полной мере минимизацию рисков. 

2) государственное регулирование 

Оператор платежной системы, осуществляющий прием, обработку и выдачу финансовой информации (процессинг, клиринг) по платежам и расчетам третьих лиц участникам платежной системы, данного процессингового, клирингового центра, должен предоставлять информацию о функционировании данной системы в Национальный банк, для чего ему необходимо получить лицензию. 

Необходимость в создании/пересмотре других нормативных правовых актов (указать каких):  

Необходимо внести изменения и дополнения в нормативные акты Кыргызской Республики 

Замечания по проекту нормативного правового акта:  

Таблица замечаний и предложений по проекту документа будет составлен после проведения процедуры общественного обсуждения. 

Проводилось ли общественное слушание (нужное подчеркнуть)  

Документ подготовлен для вынесения на общественное обсуждение. 

Контактные данные ответственного лица:  

Ф.И.О.  

Саякпаев Муктар Кылычбекович 

тел. 66-91-98, 

e-mail: oopo@nbkr.kg. 

Должность  

Главный специалист ООПО УПС 

Подпись 

 

Дата, печать  

01.11.2017 г.