Постановление Правления Национального банка 

Кыргызской Республики  

от 27 декабря 2017 г.  

№ 2017-П-14\54-10-(НПА)  

 

 

 

 

 

О внесении изменений и дополнений  

в постановление Правления Национального банка Кыргызской Республики  

«Об утверждении Положения «О регулировании деятельности операторов платежных систем и платежных организаций» от 25 марта 2015 года № 19/10 

  

 

В соответствии со статьями 20 и 68 Закона «О Национальном банке Кыргызской Республики, банках и банковской деятельности» Правление Национального банка Кыргызской Республики постановляет: 

  

1. Внести в постановление Правления Национального банка Кыргызской Республики «Об утверждении Положения «О регулировании деятельности операторов платежных систем и платежных организаций» от 25 марта 2015 года № 19/10 изменения и дополнения (прилагаются).  

2. Юридическому управлению: 

- опубликовать настоящее постановление на официальном интернет-сайте Национального банка Кыргызской Республики; 

- после официального опубликования направить настоящее постановление в Министерство юстиции Кыргызской Республики для внесения в Государственный реестр нормативных правовых актов Кыргызской Республики. 

3. Настоящее постановление вступает в силу по истечении 15 дней со дня официального опубликования. 

4. Пункт 76 и пункт 90 Положения «О регулировании деятельности операторов платежных систем и платежных организаций» вступают в силу с 1 января 2019 года. 

5. Отделу развития государственного языка и документооборота довести настоящее постановление до сведения соответствующих структурных подразделений, областных управлений и представительства Национального банка в Баткенской области. 

6. Управлению платежных систем довести настоящее постановление до сведения коммерческих банков, операторов платежных систем и платежных организаций Кыргызской Республики.  

7. Контроль за исполнением настоящего постановления возложить на заместителя председателя Национального банка Кыргызской Республики Орозбаеву Л.Дж.  

 

 

Председатель Т.Абдыгулов 

 

 

 

Приложение   к постановлению Правления Национального банка   Кыргызской Республики   от 27 декабря 2017 года № 2017-П-14\54-10-(НПА)

 

Изменения и дополнения 

в постановление Правления Национального банка Киргизской Республики  

«Об утверждении Положения «О регулировании деятельности операторов платежных систем и платежных организаций»  

от 25 марта 2015 года № 19/10 

 

 

 Внести в постановление Правления Национального банка Кыргызской Республики «Об утверждении Положения «О регулировании деятельности операторов платежных систем и платежных организаций» от 25 марта 2015 года № 19/10 следующие изменения и дополнения:  

в Положении о регулировании деятельности операторов платежных систем и платежных организаций, утвержденного вышеуказанным постановлением: 

- пункт 1 признать утратившим силу; 

- пункт 2 изложить в следующей редакции: 

«2. Настоящее Положение о регулировании деятельности операторов платежных систем и платежных организаций (далее - Положение) определяет требования, обязательные для исполнения операторами платежных систем и платежными организациями, имеющими лицензию Национального банка Кыргызской Республики (далее по тексту - Национальный банк) на оказание следующих видов услуг: 

- по приему и проведению платежей и расчетов за товары и услуги, не являющиеся результатом своей деятельности, в пользу третьих лиц посредством платежных систем, основанных на информационных технологиях и электронных средствах, и способах проведения платежей; 

- оказание услуг по приему, обработке и выдаче финансовой информации (процессинг, клиринг) по платежам и расчетам третьих лиц участникам платежной системы, данного процессингового, клирингового центра.»; 

- пункт 3 изложить в следующей редакции: 

«3. Действие настоящего Положения не распространяется на платежные системы, оператором которых выступает Национальный банк и на внутренние системы хозяйствующих субъектов, осуществляющих прием, обработку и выдачу финансовой информации (процессинг, клиринг) по платежам и расчетам в своей структуре.»; 

- пункт 4 изложить в следующей редакции: 

«4. Национальный банк является оператором Гроссовой системы расчетов в режиме реального времени и Системы пакетного клиринга, функционирование которых осуществляется в соответствии с законодательством Кыргызской Республики.» 

- в пункте 5 после слов «безопасности платежной системы», дополнить словами «Кыргызской Республики»; 

- дополнить пунктом 5-1 следующего содержания: 

«5-1. Антимонопольное регулирование деятельности операторов платежных систем и платежных организаций по защите прав потребителей и защите конкуренции на рынке платежных услуг осуществляется в рамках Политики и основных принципов антимонопольного регулирования, развития конкуренции и защиты прав потребителей на рынке банковских услуг Кыргызской Республики, оказываемых коммерческими банками, другими финансово-кредитными организациями, операторами платежных систем и платежными организациями, лицензируемыми и регулируемыми Национальным банком Кыргызской Республики, утвержденной постановлением Правления Национального банка.» 

- пункт 7 изложить в следующей редакции: 

«7. В настоящем Положении используются понятия, согласно их определениям, предусмотренным в Законах Кыргызской Республики «О Национальном банке Кыргызской Республики, банках и банковской деятельности» и «О платежной системе Кыргызской Республики». 

При этом в рамках настоящего Положения используются следующие термины и определения:  

Автоматизированная система – это система, состоящая из персонала, аппаратно-программного комплекса средств автоматизации его деятельности, методов и мероприятий, реализующих информационную технологию выполнения установленных функций. 

Авторизация – процесс предоставления определенному субъекту прав на выполнение некоторых действий в соответствии с выполняемой ролью в системе.  

Аутентификация – проверка принадлежности объекту/субъекту доступа предъявленного им идентификатора или подтверждение подлинности. 

Должностные лица - члены коллегиального исполнительного органа, осуществляющие руководство текущей деятельностью оператора платежной системы и платежной организации - члены Правления, генеральный директор/технический директор/директор (руководитель, отвечающий за техническое функционирование платежной системы), заместитель генерального директора/технического директора/директора, главный бухгалтер/бухгалтер, учредители/участники/акционеры. 

Идентификация – процесс присвоения объектам/субъектам идентификатора (уникального имени) или сравнение идентификатора объекта/субъекта с перечнем присвоенных идентификаторов. 

Информационная система – взаимосвязанная совокупность средств, методов и персонала, используемых для хранения, обработки и выдачи информации в интересах достижения поставленной цели. Информационная система содержит автоматизированные и неавтоматизированные процессы хранения, обработки и выдачи информации.  

Клиринг – процесс сбора, обработки, подтверждения платежей и подсчета взаимных обязательств участников системы. 

Операционный риск - риск прямых или косвенных убытков, которому подвержена организация в результате сбоев в операциях, вызванных внешними событиями, ошибками персонала, мошенничеством, а также в результате неадекватности или нарушения процессов, процедур или системы контроля. 

Связанные с юридическим лицом лица: 

1) должностные лица данного юридического лица и их близкие родственники; 

2) другие юридические или физические лица, которые прямо или косвенно имеют значительное участие в капитале юридического лица и/или осуществляют контроль; 

3) юридические лица, в которых юридическое лицо и его должностные лица имеют значительное участие и/или осуществляют контроль; 

4) члены исполнительного органа других юридических лиц, указанных в подпунктах 2 и 3 настоящего термина, и их близкие родственники; 

5) физические лица - близкие родственники физических лиц, указанных в подпункте 2 настоящего термина; 

6) другие юридические лица, в которых лица, указанные в пункте 2 настоящего термина, имеют значительное участие и/или осуществляют контроль. 

Системный риск - это риск того, что несостоятельность одного из участников платежной системы выполнить свои обязательства по платежам сделает невозможным для других участников платежной системы выполнение их обязательств по платежам при наступлении срока платежа. Такое невыполнение обязательств может распространиться на всю платежную систему и финансовые рынки и поставить под угрозу стабильность платежной и финансовой систем.»; 

- пункт 8 признать утратившим силу; 

- пункт 9 признать утратившим силу; 

- наименование главы 3 изложить в следующей редакции: 

«3. Основные требования к деятельности операторов платежных систем и платежных организаций»; 

- после наименования главы 3 дополнить абзацем следующего содержания: 

«§1. Требования к деятельности операторов платежных систем»; 

- пункт 10 изложить в следующей редакции:  

«10. Оператор платежной системы осуществляет свою деятельность в соответствии с законодательством Кыргызской Республики и действует на основании лицензии выданной Национальным банком.»; 

- пункт 11 изложить в следующей редакции:  

«Оператор платежной системы может заниматься только теми видами деятельности, которые указаны в лицензии, а также оказывать консультационные/информационные услуги и проводить иные необходимые операции, связанные с его деятельностью.   

Оператор платежной системы может совмещать свою деятельность только с деятельностью платежной организации.»; 

- дополнить пунктом 12-1 следующего содержания: 

«12-1. Оператор платежной системы, на этапе внедрения новых сервисов/продуктов/услуг, начала или прекращения деятельности по предоставлению услуг по процессингу и распространению электронных денег и/или совершенствования системы, должен уведомить Национальный банк о своем намерении не менее чем за 15 (пятнадцать) рабочх дней до фактического начала или прекращения данной деятельности, с приложением детальной информации, описывающей разрабатываемый сервис/продукт/услугу и/или предполагаемые изменения/дополнения в системе.»; 

- в пункте 13 слова «системы и договорами» заменить словами «функционирования платежной системы и заключенными договорами»; 

- в пункте 14: 

слова «,быть регулярно обновляющимися» исключить; 

пункт дополнить предложением следующего содержания: 

«Указанные правила и процедуры должны регулярно пересматриваться и обновляться в случаях необходимости.»; 

- пункт 15 изложить в следующей редакции: 

«15. Оператор платежной системы несет ответственность за обеспечение бесперебойного функционирования своей платежной системы, своевременную обработку платежей, обеспечение целостности, безопасности и конфиденциальности информации в системе. Оператор платежной системы несет ответственность за неоказание или оказание некачественных платежных услуг участникам платежной системы.»; 

- пункт 17 изложить в следующей редакции: 

«17. Оператор платежной системы должен: 

- контролировать соблюдение действующих правил и процедур, а также их соответствие требованиям настоящего Положения и законодательства Кыргызской Республики; 

- предоставлять требования к необходимым техническим и программным средствам для проведения платежей другим участникам платежной системы; 

- вести реестр участников платежной системы; 

- оценивать и управлять рисками в платежной системе; 

- обеспечить безопасное функционирование средств обработки информации; 

- обеспечить единый подход к управлению инцидентами и вести реестр инцидентов.»; 

- дополнить пунктом 18-1 следующего содержания: 

«18-1. Оператор платежной системы может быть реорганизован (слияние, присоединение, разделение, выделение, преобразование) при соблюдении требований, установленных законодательством Кыргызской Республики.»; 

- дополнить пунктом 19-1 следующего содержания: 

«19-1. Оператор платежной системы должен один раз в год с момента получения лицензии предоставлять в Национальный банк сведения об утвержденных и действующих тарифах. Оператор платежной системы должен не менее чем за 10 (десять) рабочих дней уведомлять Национальный банк о всех изменениях действующих тарифов.»; 

- наименование главы 4 исключить; 

- пункт 20 признать утратившим силу; 

- пункт 21 изложить в следующей редакции: 

«21. Оператор платежной системы должен иметь персонал (штатные должности), ответственный за выполнение следующих задач: 

- оценку адекватности систем контроля - осуществление проверок звеньев управления, предоставление обоснованных предложений по устранению выявленных недостатков и рекомендаций по повышению эффективности управления; 

- оценка обеспечения безопасности - повышение уровня информационной безопасности, а также минимизацию возможных потерь, вызванных действиями злоумышленников, аварийными сбоями и ошибками персонала;  

- оценку эффективности деятельности - осуществление экспертных оценок различных сторон функционирования организации и предоставление обоснованных предложений по их совершенствованию; 

- проверку соответствия требованиям настоящего Положения и законодательства Кыргызской Республики; 

- обеспечение надежности, полноты и своевременности финансовой информации, используемой для принятия решений, составления финансовой и регулятивной отчетности; 

- подготовку предложений по выбору внешних аудиторов и, при необходимости, инициирование проведения специальных аудиторских проверок; 

- ведение бухгалтерского учета и составление финансовой отчетности в соответствии с Международными стандартами финансовой отчетности.»; 

- дополнить пунктами 21-1 и 21-2 следующего содержания: 

«21-1. Администрирование автоматизированной системы может осуществляться нештатным персоналом оператора платежной системы при наличии договора, составленного в соответствии с законодательством Кыргызской Республики с указанием обязательств и ответственности сторон. 

21-2. Персонал, имеющий доступ к работе с автоматизированной системой оператора платежной системы, должен:  

- быть ознакомлен с нормами и требованиями обеспечения безопасности и конфиденциальности при работе с финансовой информацией, регламентированными внутренними правилами и процедурами; 

- иметь уровень квалификации, необходимый для управления программно-техническими средствами доступа к АС и обработкой финансовой информации, согласно внутренним документам; 

- нести персональную ответственность за нарушение требований по обеспечению безопасности и конфиденциальности при работе с финансовой информацией.»; 

- в пункте 22 слова «системы расчетов платежными картами» заменить словами «платежной системы»; 

- пункт 23 изложить в следующей редакции: 

«23. Автоматизированная система оператора платежной системы должна обеспечить: 

- бесперебойный обмен и обработку информации в соответствии с критериями бесперебойного функционирования системы; 

- целостность и подлинность данных при их передаче по каналам связи с места ее инициирования до процессингового центра и обратно; 

- идентификацию, авторизацию и аутентификацию технического персонала оператора платежной системы, имеющего доступ к работе с автоматизированной системой; 

- сохранность, целостность и конфиденциальность данных; 

- защиту данных и оборудования при сбоях автоматизированной системы, нештатных ситуациях или в случае несанкционированного доступа к данным; 

- мониторинг и контроль над работоспособностью объектов, подключенных к процессинговому центру, сеансов доступа к информационным ресурсам системы, включая доступ к данным потребителей услуг, и персонала процессингового центра.»; 

- пункт 24 изложить в следующей редакции: 

«24. Если программное обеспечение оператора платежной системы разработано самостоятельно или внешней организацией, то у него в наличии должны быть: 

- договор, заключенный с организацией, которая разработала программное обеспечение или организацией, уполномоченной правообладателем программного обеспечения; 

- детально разработанные технические задания и требования; 

- перечень работников, имеющих возможность вносить изменения в исходный код программного обеспечения; 

- руководство или сопровождающие документы для пользователей программного обеспечения; 

- программа и методика испытаний; 

- акт ввода и журнал испытаний опытной эксплуатации; 

- акт ввода в промышленную эксплуатацию; 

- акт приема-передачи, подписанный оператором платежной системы и организацией, разработавшей программное обеспечение или организацией, уполномоченной правообладателем программного обеспечения»; 

- пункт 25 признать утратившим силу; 

- наименование главы 5 изложить в следующей редакции: 

«§2. Требования к правилам оператора платежной системы»; 

- пункт 26 изложить в следующей редакции: 

«26. Правила работы системы и процедуры оператора платежной системы должны содержать следующее: 

- архитектуру платежной системы и схему описание ее работы; 

- предоставление безопасных и надежных каналов связи; 

- процедуры вступления и выхода из платежной системы; 

- порядок подключения участника к платежной системе; 

- порядок проведения процессинга; 

- порядок проведения клиринга; 

- порядок и требования по безопасности при процессинге и клиринге (если данная услуга передана участнику системы или стороннему процессинговому центру); 

- критерии бесперебойного функционирования системы; 

- порядок предоставления сведений участниками платежной системы о своей деятельности оператору платежной системы; 

- система управления рисками в платежной системе, включая используемую модель управления рисками, перечень мероприятий и способов управления рисками; 

- требование к защите информации; 

- порядок разрешения споров, жалоб участников и клиентов; 

- порядок действия участников при возникновении нештатных ситуаций в системе; 

- порядок уведомления участников платежной системы;  

- права, обязанности и ответственность участников платежной системы; 

- тарифную политику; 

- иные требования, предусмотренные законодательством Кыргызской Республики. 

При необходимости могут быть представлены количественные и качественные критерии к участникам платежной системы.»; 

- пункт 27 изложить в следующей редакции: 

«27. Правила и процедуры оператора платежной системы осуществляющего процессинг карт помимо требований, приведенных в пункте 26 настоящего Положения должны содержать следующее: 

- регистрацию и настройку участника в платежной системе; 

- порядок и требования по безопасности при персонализации карт (если данная услуга передана участнику системы или стороннему процессинговому центру); 

- порядок и требования по безопасности при процессинге и клиринге карт (если данная услуга передана участнику системы или стороннему процессинговому центру); 

- порядок и требования к осуществлению эмиссии карт эмитентом; 

- порядок и требования к осуществлению эквайринга карт эквайером; 

- порядок проведения платежей в системе; 

- порядок приема и обработки претензионных платежей;  

- межбанковские комиссии, сервисные платы и другие комиссии в системе.»; 

- третий и четвертый абзац пункта 28 исключить; 

- наименование главы 6 изложить в следующей редакции: 

«§3. Требования к деятельности платежной организация»; 

- пункт 29 изложить в следующей редакции: 

«29. Платежная организация должна осуществлять свою деятельность в соответствии с законодательством Кыргызской Республики и действовать на основании лицензии, выданной Национальным банком.»; 

- дополнить пунктами 29-1 и 29-2 следующего содержания: 

«29-1. Платежная организация должна иметь разработанные и утвержденные внутренние правила, и процедуры по предоставлению услуги по приему платежей в пользу третьих лиц, в соответствии с нормативными правовыми актами Национального банка. 

29-2. Платежная организация должна назначить специальное должностное лицо, ответственное за соблюдение и реализацию правил противодействия легализации (отмыванию) преступных доходов и финансированию террористической или экстремистской деятельности, согласно требованиям законодательства Кыргызской Республики.»; 

- в пункте 30 

«Платежная организация может заниматься только теми видами деятельности, которые указаны в лицензии, а также оказывать консультационные/информационные услуги и проводить иные необходимые операции, связанные с его деятельностью.   

Платежная организация может совмещать свою деятельность только с деятельностью оператора платежной системы.»; 

- пункт 31 признать утратившим силу; 

- дополнить пунктом 31-1 следующего содержания: 

«31-1. Платежная организация может быть реорганизована (слияние, присоединение, разделение, выделение, преобразование) при соблюдении требований, установленных законодательством Кыргызской Республики.»; 

- пункт 32 изложить в следующей редакции: 

«32. В целях страхования возможных рисков, связанных с деятельностью платежной организации и поставщиков услуг, где договорные отношения не предусматривают предоплату поставщику, платежная организация должна депонировать денежные средства на счете в коммерческом банке, страховой депозит, либо представить безотзывную банковскую гарантию в пользу поставщика товаров/услуг.»; 

- дополнить пунктами 33-1 и 33-2 следующего содержания: 

«33-1. Размер депонированной суммы, страхового депозита, банковской гарантии должен составлять 10 процентов от суммы среднедневного оборота платежной организации за последний квартал по поставщикам товаров/услуг, где договорные отношения не предусматривают предоплату, страховой депозит или банковскую гарантию от платежной организации. 

33-2. Платежная организация должна соблюдать требования по приёму, хранению, передаче/перечислению денежных средств (инкассации) в соответствии с законодательством Кыргызской Республики.»; 

- пункт 35 изложить в следующей редакции: 

«35. Платежная организация обязана обеспечивать защиту и конфиденциальность персональных данных, финансовой информации по платежам и иной информации, имеющейся в ее распоряжении, подлежащей обязательной защите, и предоставлять ее третьим лицам только в случаях, предусмотренных законодательством Кыргызской Республики.»; 

- в пункте 36 слова «аппаратно-программный комплекс» заменить словами «автоматизированная система»; 

- пункт 38 изложить в следующей редакции: 

«38. Платежная организация должна осуществлять сохранность данных обо всех операциях, на территории Кыргызской Республики, с возможностью получения данных о любой транзакции за любой период, с момента получения лицензии Национального банка в период, не превышающий 1 (один) рабочий день с момента поступления запроса.»; 

- пункт 39 изложить в следующей редакции: 

«39. Платежная организация должна не реже одного раза в шесть месяцев проводить протоколированную проверку безопасности автоматизированной системы на соответствие требованиям внутренних правил и процедур. Результаты проверки должны быть оформлены протокольно.»; 

- пункт 40 признать утратившим силу; 

- наименование главы 7 изложить в следующей редакции: 

«§4. Требования к агентам»; 

- пункт 43 изложить в следующей редакции: 

«43. Платежная организация имеет право заключать агентские договора с другими лицами для организации своей деятельности, и обязана иметь базу, содержащую следующую информацию по агентам, включая его пункты приема платежей:  

1) если юридическое лицо - наименование организации, копия свидетельства о государственной регистрации, копия лицензии на право осуществления предпринимательской деятельности (в случае, если деятельность лицензируется), учредительные документы, фактический адрес, контакты, актуальный список адресов, где установлены терминалы; 

2) если индивидуальный предприниматель – копию паспорта предпринимателя, свидетельства о регистрации в качестве индивидуального предпринимателя, действующий патент, лицензию на право осуществления предпринимательской деятельности (в случае, если деятельность лицензируется), список адресов, где установлены терминалы и фактическое место осуществления деятельности.»; 

- пункт 44 изложить в следующей редакции: 

«44. Платежная организация должна иметь документы для обучения агентов принципам пользования системы в рамках выполняемых ими функций. При заключении договора необходимо проведение инструктажа в соответствии с имеющимися процедурами и ознакомление агента с требованиями законодательства Кыргызской Республики, включая требования о противодействии легализации (отмыванию) преступных доходов и финансированию террористической или экстремистской деятельности, и последующего мониторинга за агентами по соблюдению указанных требований.»; 

- в пункте 45 после слов «или агент» дополнить словами «включая его пункты приема платежей,»; 

- дополнить пунктом 45-1 следующего содержания: 

«45-1. Платежная организация несет полную ответственность за соблюдение агентом, включая его пункты приема платежей, требований настоящего Положения.»; 

- наименование главы 8 изложить в следующей редакции: 

«4. Управления рисками»; 

-дополнить пунктом 46-1 следующего содержания: 

«46-1. Оператор платежной системы должен обеспечивать онлайн мониторинг за рисками в платежной системе.»;  

- пункт 47 изложить в следующей редакции: 

«47. При обнаружении системного риска, где участники платежной системы не в состоянии совершить свои функции, оператор платежной системы и платежные организации должны: 

- уведомить Национальный банк посредством отправки электронного сообщения и телефонного звонка уполномоченному структурному подразделению; 

- уведомить сторону или стороны, подвергающиеся риску; 

- принять меры по исполнению своих финансовых обязательств перед поставщиками услуг и участниками платежной системы; 

- принять меры по обеспечению сохранности данных и восстановлению работоспособности платежной системы; 

- обеспечить для других участников возможность выполнения своих обязательств.»; 

- наименование главы 9 изложить в следующей редакции: 

«5. Требования к платежной организации при взаимодействии с поставщиками товаров/услуг»; 

- в пункте 65 после слов «с поставщиком» дополнить словом «товаров/»; 

- дополнить пунктом 65-1 следующего содержания: 

«65-1. Платежная организация должна иметь актуальную базу по поставщикам. Агентский договор между платежной организацией и поставщиком должен содержать, как минимум, следующую информацию, с приложением подтверждающих документов:  

- наименование юридического лица/индивидуального предпринимателя;  

- юридический, фактический адрес и контактные данные;  

- наименование товара или вид услуг, предоставляемых поставщиком;   

- ответственность сторон при предоставлении/непредставлении товаров/услуг клиенту;  

- срок действия договора;  

- банковские реквизиты сторон;  

- условия оплаты (тарифы, комиссии и вознаграждения и др.).»; 

- пункт 66 изложить в следующей редакции: 

«66. Платежная организация при приеме платежей обязана использовать отдельные банковские счета в коммерческом банке для хранения и использования средств хозяйственной деятельности, а также для осуществления расчетов с поставщиками товаров/услуг.»; 

- наименование главы 10 изложить в следующей редакции: 

«6. Предоставление отчетности и другой информации»; 

- пункт 68 изложить в следующей редакции: 

«68. Оператор платежной системы/платежные организации должны предоставлять в Национальный банк информацию о размере уставного капитала, составе коллегиального исполнительного органа, учредителях, аффилированных и связанных лицах, источниках происхождения денежных средств, фактическом и юридическом адресах по мере возникновения изменений в течение 5 (пяти) рабочих дней после принятия решения об изменениях, с приложением копий подтверждающих документов.»; 

- пункт 69 изложить в следующей редакции: 

«69. Оператор платежной системы/платежная организация обязаны ежеквартально предоставлять сведения о финансовом состоянии по формам отчетностей в соответствии с Международными стандартами финансовой отчетности. Отчетность предоставляется оператором платежной системы не позднее 25 (двадцать пятого) числа месяца, следующего за отчетным кварталом. Отчетность может предоставляться в указанные сроки в электронном виде (сканированная версия документа), с последующим досылом бумажной версии.»; 

- в пункте 70 после слов «оператор» дополнить словами «платежной системы»; 

- в пункте 71 после слов «оператор» дополнить словами «платежной системы», слова «15 числа» заменить на «25 числа»; 

- пункт 73 изложить в следующей редакции: 

«73. Оператор платежной системы/платежная организация обязаны предоставлять Национальному банку информацию о вновь заключенных договорах с поставщиками услуг в срок не позднее двух недель с момента заключения договора.» 

- пункт 75 изложить в следующей редакции: 

«75. В случае невыполнения и/или ненадлежащего исполнения оператором платежной системы/платежной организацией требований настоящего Положения, Национальным банком могут быть применены в отношении оператора платежной системы меры воздействия в соответствии с Положением «О мерах воздействия, применяемых к операторам платежных систем/платежным организациям».»; 

- пункты 76 и 77 изложить в следующей редакции: 

«76. Национальный банк ежегодно на основе проведения мониторинга за платежной системой Кыргызской Республики определяет и публикует перечень системно-значимых и значимых платежных систем в Кыргызской Республике. 

Операторы платежной системы, платежные системы которых определены в качестве системно-значимых и значимых, а также провайдеры критических услуг, обязаны проводить независимый финансовый аудит и аудит информационных систем не реже 1 (один) раз в 2 (два) года. Операторы платежных систем, не подпадающих под критерии значимости платежных систем, подлежат обязательному независимому финансовому аудиту и аудиту информационных систем 1 (один) раз в 3 (три) года.  

Копия аналитического отчета по итогам независимого финансового аудита и аудита информационных систем должна быть предоставлена в Национальный банк не позднее 1 (одного) месяца с момента его подписания.  

Аудит информационных систем оператора платежных систем должен включать, как минимум, оценку:  

действующих политик и процедур; 

безопасности платежной системы; 

политики по управлению рисками. 

77. Оператор платежной системы расчетов с использованием международных платежных карт должен проводить аудит информационных систем 1 (один) раз в 3 (три) года с привлечением аудиторов, сертифицированных по международным программам сертификации. Копия аналитического отчета по результатам аудита информационных систем должен быть предоставлен в Национальный банк не позднее 1 (одного) месяца с момента его подписания.»; 

- дополнить главами 7 и 8 следующего содержания: 

«7. Требования к автоматизированному терминалу самообслуживания (сash-in) для приема платежей 

79. Автоматизированный терминал самообслуживания должен: 

- позволять плательщику ознакомиться с краткой инструкцией/информацией по использованию устройства для осуществления платежа за услуги поставщиков;  

- иметь прямое соединение с единым аппаратно-программным комплексом платежной организации, его размещение должно отвечать требованиям безопасности, установленным законодательством Кыргызской Республики;  

- выдавать информацию по комиссии/тарифам за проведение платежа, до оплаты клиента за товары и услуги; 

- быть оснащен устройством по выдаче чека в качестве подтверждения по проведенной операции в соответствии с законодательством Кыргызской Республики. 

80. Платежная организация и его агент для размещения автоматизированного терминала самообслуживания должны обладать всеми необходимыми документами, удостоверяющими его права на установку устройства в данном месте.  

81. Платежная организация и его агент должны назначить ответственное лицо для поддержания работы и проведения профилактических технических работ по автоматизированному терминалу самообслуживания. 

 

8. Минимальные требования к процессинговому центру 

82. Оператор платежной системы должен использовать комплекс мер по обеспечению информационной безопасности всех участников платежной системы, вовлеченных в процесс по получению, обработке, сохранению и предоставлению информации участникам платежной системы. 

83. Оператор платежной системы при осуществлении платежей должен обеспечить шифрование данных, передаваемых посредством АС. 

84. Оператор платежной системы обязан обеспечивать защиту персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством Кыргызской Республики. 

85. Оператор платежной системы должен: 

- обеспечить защиту и конфиденциальность имеющейся в его распоряжении финансовой информации, предоставлять ее третьим лицам только в случаях, предусмотренных законодательством Кыргызской Республики; 

- разработать программу управления уязвимостями и защищать все системы от вредоносных программных обеспечений, регулярно обновлять антивирусное программное обеспечение; 

- разрабатывать и поддерживать безопасность платежной системы; 

- обеспечить ведение журнала системных сообщений (логов) для всех операций на уровне АС и его приложений (вход/выход пользователя в/из систему/ы, изменения данных и т.д.); 

- обеспечить хранение и ведение архивов данных по обработанной финансовой информации в соответствии со сроками, установленными законодательством Кыргызской Республики; 

- не реже 1 (одного) раза в 6 (шесть) месяцев проводить протоколированную проверку безопасности АС на соответствие требованиям внутренних правил и процедур платежной системы, а также соответствие требованиям Национального банка. Результаты проверки должны быть оформлены протокольно и подписаны участниками проверки. 

86. Серверное помещение оператора платежной системы или арендуемое оператором платежной системы должно соответствовать следующим основным требованиям: 

- изолированность (нахождение во внутренней пространственной части здания, отделенной от других смежных частей строения стенами, без оконных проемов); 

- наличие надежных замков; 

- наличие средств пожарной и охранной сигнализации либо наличие круглосуточной охраны или средств наблюдения, исключающих возможность несанкционированного проникновения в помещение посторонних лиц и обеспечивающих физическую сохранность находящихся в помещении защищаемых ресурсов; 

- строгое разграничение доступа персонала в соответствии с функциональными обязанностями; 

наличие журнала учета посещения серверного помещения или системы контроля и управления доступом. 

87. Оператор платежной системы должен осуществлять сохранность данных обо всех операциях на территории Кыргызской Республики с возможностью получения данных о любой транзакции за любой период, с момента получения лицензии Национального банка, в реальном режиме времени и/или по запросу в срок, не превышающий 1 (один) рабочий день с момента поступления запроса. 

88. Оператор платежной системы должен назначить специальное должностное лицо, ответственное за соблюдение и реализацию правил внутреннего противодействия легализации (отмыванию) преступных доходов и финансированию террористической или экстремистской деятельности, согласно требованиям законодательства Кыргызской Республики. 

89. Платежи на территории Кыргызской Республики должны осуществляться в национальной валюте. 

90. Процессинг и клиринг платежей должен проводиться на территории Кыргызской Республики. 

91. Процессинговый центр должен соответствовать минимальным требованиям, установленным настоящим Положением. 

92. Оператор платежной системы должен иметь технический регламент для обеспечения работоспособности используемой АС. 

93. Используемое оператором платежной системы программное обеспечение должно содержать паспорт системы, включая описание программы, руководство для пользователя и администратора, а также иные необходимые сопроводительные документы для эксплуатации платежной системы. 

94. Оператор платежной системы, осуществляющий обработку транзакций: 

- с использованием международных платежных карт, должен иметь сертификацию Payment Card Industry Data Security Standard (PCI DSS) – международного стандарта, определяющего параметры защиты информации в области платежных карт, и ежегодно подтверждать его соответствие внешними аудиторами; 

- с использованием платежных карт национальной или локальных систем должен соответствовать требованиям, установленным законодательством Кыргызской Республики.».