Приложение
к постановлению
Правления Национального банка
Кыргызской Республики
от «____» _____________ 2022 года
№ ____________________________
Изменения
в постановление Правления Национального банка Кыргызской Республики
«Об утверждении Положения «О минимальных требованиях по
предоставлению удаленного/дистанционного обслуживания
в Кыргызской Республике» от 15 апреля 2015 года №22/3
Внести в постановление Правления Национального банка Кыргызской Республики «Об утверждении Положения «О минимальных требованиях по предоставлению удаленного/дистанционного обслуживания в Кыргызской Республике» от 15 апреля 2015 года №22/3» следующие изменения:
в Положении «О минимальных требованиях по предоставлению удаленного/дистанционного обслуживания в Кыргызской Республике», утвержденном вышеуказанным постановлением:
1) пункт 3 изложить в следующей редакции:
«3. В рамках настоящего Положения банковские и платежные услуги могут предоставляться удаленно/дистанционно посредством банкоматов, автоматизированных терминалов самообслуживания (платежных терминалов), интернет-банкинга, мобильного банкинга, мобильного приложения и иными способами удаленного/дистанционного обслуживания, не противоречащими законодательству Кыргызской Республики.»;
2) в пункте 3-1:
в первом предложении слово «банк» заменить словами «поставщик услуг удаленного/дистанционного обслуживания (поставщик услуг)»;
во втором предложении слово «банк» заменить словами «поставщик услуг»;
3) Положение дополнить пунктом 3-2 следующего содержания:
«3-2. При оказании удаленного/дистанционного обслуживания поставщики услуг обязаны соблюдать соответствующие требования иных нормативных правовых актов.»;
4) пункт 4 изложить в следующей редакции:
«4. Термины и определения, используемые в настоящем Положении, понимаются в том значении, в каком они используются в банковском законодательстве Кыргызской Республики.
В настоящем Положении также используются следующие термины и определения:
1) Аутентификация – процедура установки подлинности пользователя путем проверки и сопоставления характеристик предъявленного идентификатора (PIN-код, пароль и др.).
2) Личный кабинет – это особый раздел пользователя в системе уделенного/дистанционного обслуживания поставщика услуг, который позволяет получить доступ к данным о состоянии счета/кредитного лимита и движения денежных средств, а также к другим банковским и платежным услугам, в том числе направлять заявки, подтверждения и поручения поставщику услуг.
3) Мобильное приложение поставщика услуг (мобильное приложение) – один из инструментов систем удаленного/дистанционного обслуживания, позволяющий поставщику услуг предоставлять пользователю банковские и платежные услуги удаленным/дистанционным способом.
4) Обязательства пользователя перед НФКО – обязательства пользователя, возникшие при получении кредита в НФКО, а также посредством управления личного кабинета.
5) Пользователь – физическое, юридическое лицо либо индивидуальный предприниматель, пользующийся банковскими и платежными услугами через систему удаленного/дистанционного обслуживания.
6) Поставщик услуг удаленного/дистанционного обслуживания (поставщик услуг) – банки, небанковские финансово-кредитные организации (далее – НФКО), операторы платежных систем и платежные организации, имеющие лицензию/свидетельство Национального банка на право осуществления отдельных банковских и платежных услуг, предусмотренные законодательством Кыргызской Республики.
7) Система удаленного/дистанционного обслуживания – совокупность средств телекоммуникаций, цифровых и информационных технологий, программного обеспечения и оборудования, обеспечивающих связь между пользователем и поставщиком услуг для предоставления банковских и платежных услуг удаленным/дистанционным способом с использованием банкоматов, платежных терминалов, интернет-банкинга, электронного кошелька, мобильного банкинга, мобильного приложения и иных способов удаленного/дистанционного обслуживания.
8) Удаленное/дистанционное обслуживание – способ предоставления услуг поставщиком услуг на основании распоряжений, передаваемых пользователем удаленным/дистанционным способом с использованием систем удаленного/дистанционного обслуживания.
9) PIN-код (Personal identification number) – персональный идентификационный номер, позволяющий аутентифицировать пользователя для совершения операции.»;
5) в пункте 5:
абзац четвертый изложить в следующей редакции:
«- разработать внутреннюю политику по управлению рисками информационной безопасности, интегрированную с общей политикой управления рисками банка, определяющую ответственность поставщиков услуг при взаимодействии с пользователями, с учетом требований нормативных правовых актов в сфере обеспечения информационной безопасности, а также в случае возникновения нештатной ситуации;»;
дополнить абзацами пятым и шестым следующего содержания:
«- разработать и поддерживать в актуальном состоянии внутренний нормативный документ о порядке взаимодействия и реагирования при возникновении нештатных ситуаций в соответствии с нормативными правовыми актами Национального банка;
- разработать процедуру по урегулированию споров и возврату денежных средств пользователю по ошибочным или несанкционированным операциям;»;
в тексте на официальном языке в абзаце седьмом слово «перемещении» заменить словом «передаче»;
6) Положение дополнить пунктом 6-2 следующего содержания:
«6-2. Поставщик услуг несет ответственность за предоставляемые услуги, включая несанкционированные операции, за исключением случаев, когда операции произошли по вине самого пользователя, согласно перечню, порядку и условиям системы удаленного/дистанционного обслуживания.»;
7) Положение дополнить пунктом 7-1 следующего содержания:
«7-1. Поставщик услуг обязан предусмотреть в системе удаленного/дистанционного обслуживания специальные функции или иные возможности, в том числе решения, предоставляемыми третьими сторонами, позволяющие лицам с ограниченными возможностями здоровья пользоваться оказываемыми услугами, а также информировать их об этих возможностях.»;
8) пункт 9 признать утратившим силу;
9) пункт 10 изложить в следующей редакции:
«10. Удаленное/дистанционное обслуживание должно предоставляться на основании договора публичной оферты или письменного договора между пользователем и поставщиком услуг, в котором должны быть указаны:
- данные о пользователе (фамилия, имя, отчество, паспортные данные (или данные других документов, удостоверяющих личность, в соответствии с законодательством Кыргызской Республики) и другие личные данные пользователя, позволяющие его идентифицировать) в случае предоставления ему услуг через систему удаленного/дистанционного обслуживания;
- перечень предоставляемых услуг;
- способы предоставления услуг удаленным/дистанционным способом и получения доступа к системам удаленного/дистанционного обслуживания;
- права, обязанности и ответственность пользователя и поставщика услуг;
- типы и размер комиссий, подлежащих оплате пользователем;
- схема конвертации из одной валюты в другую, предусматривающая различные варианты конвертаций при проведении пользователем операций в валюте, отличной от валюты его банковского счета, а также порядок информирования клиентов об обменном курсе при проведении операций по конвертации валюты;
- способы предоставления поставщиком услуг выписок о движении денежных средств и остатке на банковском счете, по обязательствам пользователя перед НФКО или электронном кошельке;
- основные требования по соблюдению безопасности пользователем, включая порядок аутентификации и подтверждения прав клиента на использование систем удаленного/дистанционного обслуживания (использование PIN-кода, паролей, лимиты, действия пользователя в случае утери или кражи устройств доступа);
- процедура информирования поставщика услуг о факте утери, хищения или использования устройств доступа к системам удаленных/дистанционных обслуживаний неуполномоченным лицом;
- распределение ответственности между поставщиками услуг и пользователями при утере, хищении или использовании устройств доступа неуполномоченным лицом;
- условия приостановления и прекращения доступа к системам удаленного/дистанционного обслуживания;
- способы оповещения клиента в случае изменения условий договора;
- контактные данные для связи с поставщиком услуг, в том числе в нерабочее время и выходные (праздничные дни);
- распределение рисков и ответственности между сторонами в случае нарушения процедур безопасности или других условий договора;
- порядок рассмотрения споров, предоставления/приема жалоб и претензий пользователя, условия их рассмотрения и решения;
- механизм определения пользователя, от имени которого используется электронная подпись, и обязанность соблюдения конфиденциальности ключа электронной подписи.»;
10) пункт 13 изложить в следующей редакции:
«13. При осуществлении доступа и обслуживании с использованием банкоматов и платежных терминалов:
1) удаленное/дистанционное обслуживание через банкомат осуществляется посредством банковских платежных карт или иным способом для получения наличных денежных средств, осуществления денежных переводов и других безналичных платежей, получения информации по совершенным транзакциям по банковскому счету, выдачи чека либо SMS-информирования по всем видам произведенных транзакций на мобильный телефон, согласно договору с пользователем.
2) банкомат/платежный терминал пересылает данные о транзакции информационной системе поставщика услуг. После завершения обработки транзакции, банкомат/платежный терминал должен предоставить подтверждающий документ о совершении операции в соответствии с законодательством Кыргызской Республики, содержащий следующие обязательные реквизиты:
- номер чека;
- дата и время проведения транзакции/платежа;
- сумма транзакции/платежа;
- размер комиссии;
- наименование поставщика услуг;
- телефонный номер сall-center поставщика услуг.
3) поставщик услуг при удаленном/дистанционном обслуживании через банкомат/платежные терминалы должен:
- информировать клиентов о возможных рисках, связанных с использованием банкоматов и платежных терминалов, а также о мерах предосторожности;
- в местах установления банкоматов и платежных терминалов регулярно проводить проверки по безопасности и документировать результаты проверок;
- организовать центры поддержки (сall-center) и обеспечить их ежедневную и непрерывную работу;
- поместить на банкомате/платежном терминале указатель принадлежности банка/платежной организации, логотипы платежных систем, карты которых принимаются к обслуживанию банкоматом и платежным терминалом.»;
11) пункт 14 изложить в следующей редакции:
«14. Поставщик услуг при удаленном/дистанционном обслуживании через интернет-банкинг обязан:
- информировать клиентов о возможных рисках и о мерах предосторожности;
- информировать клиентов о необходимости соблюдения правил и процедур безопасности при совершении платежей через интернет-банкинг (недопущение передачи паролей, кодов, ключей третьим сторонам);
- обеспечить конфиденциальность при передаче финансовых сообщений и платежей;
- использовать защищенные сетевые протоколы;
- применять механизмы по предотвращению мошеннической подмены веб-страниц сервера интернет-банкинга (личного кабинета пользователя);
- использовать многофакторную аутентификацию с учетом оценки риска проводимой операции (например, пароль/код/одноразовый код и PIN-код, биометрические средства и др.);
- применять политику, предусматривающую использование сложных паролей и их регулярное изменение;
- использовать механизмы предотвращения автоматического подбора паролей;
- использовать механизмы блокировки сеанса соединения с сервером интернет-банкинга при бездействии пользователя сверх установленного промежутка времени.»;
12) пункт 15 изложить в следующей редакции:
«15. Поставщик услуг при удаленном/дистанционном обслуживании через мобильный банкинг, мобильные приложения или иные системы удаленного/дистанционного обслуживания обязан предусмотреть следующее:
- условия регистрации и идентификации пользователя у поставщика услуг;
- правила и процедуры безопасности при проведении платежей с использованием систем удаленного/дистанционного обслуживания/мобильных устройств (недопущение передачи информации третьим сторонам без согласия пользователя при обмене и передачи сообщений между пользователем и поставщиками услуг; обеспечение конфиденциальности при передаче финансовых сообщений и платежей);
- принятие необходимых мер для защиты персональных данных пользователя;
- порядок доступа для осуществления платежей;
- другие условия, установленные в пункте 10 настоящего Положения.»;
13) во втором предложении пункта 16 слова «выдачи чека, карт-чека, получения SMS-подтверждения» заменить словами «/или получения подтверждающего документа о совершении платежа (выдачи чека, получения SMS-подтверждения и т.д.)»;
14) в пункте 21:
абзац шестой изложить в следующей редакции:
«- определение и оценка лимитов по проводимым транзакциям;»;
в абзаце седьмом слова «электронные кошельки» заменить словами «системы удаленного/дистанционного обслуживания»;
в абзаце восьмом слово «интернет-банкинга» исключить;
15) пункт 26 изложить в следующей редакции:
«26. Применение соответствующих способов идентификации должно быть определено в процессе оценки рисков. При использовании соответствующих способов идентификации должны учитываться следующие аспекты: вид систем удаленных/дистанционных обслуживаний (информационный или операционный), разновидность систем (интернет-банкинг, мобильный банкинг, мобильные приложения и другие), статус клиента (юридическое или физическое), вид операций разрешенных системой, объем и количество операций.»;
16) в пункте 28 слова «неавторизованные действия» заменить словами «несанкционированные операции»;
17) Положение дополнить пунктом 28-1 следующего содержания:
«28-1. Поставщик услуг при предоставлении услуг удаленного/дистанционного обслуживания обязан на постоянной основе вести мониторинг и обеспечить актуальность персональных данных пользователя.»;
18) в пункте 29 слова «неавторизованных действий» заменить словами «несанкционированных операций»;
19) пункт 30 изложить в следующей редакции:
«30. Поставщик услуг при обнаружении фактов несанкционированного доступа/операций обязан незамедлительно приостановить доступ к системе удаленного/дистанционного обслуживания и при необходимости к банковскому счету и иным инструментам.»;
20) в пункте 31 слова «информационной системы,» заменить словами «системы удаленного/дистанционного обслуживания»;
21) в пункте 32 слова «письменно уведомить Национальный банк о предоставлении» заменить словами «заранее информировать Национальный банк о начале или прекращении предоставления»;
22) Положение дополнить пунктом 32-1 следующего содержания:
«32-1. Поставщик услуг обязан предоставлять в Национальный банк сведения о пользователях и используемых инструментах удаленного/дистанционного обслуживания не позднее 10 числа месяца, следующего за отчетным месяцем, в порядке и форме, согласно приложениям 3 и 4 к настоящему Положению.»;
23) в абзаце первом Приложения 1 слова «в рамках удаленных/дистанционных обслуживаний» заменить словами «посредством удаленного/дистанционного обслуживания».
24) пункт 1 Приложения 1 изложить в следующей редакции:
«1. Пользователь при использовании интернет-банкинга:
1) не должен раскрывать посторонним лицам логин, пароль и другие данные;
- не должен хранить свой логин и пароль и другие данные на устройствах доступа (персональный компьютер, мобильный телефон и т.д.) или других незащищенных носителях;
- необходимо периодически менять код, пароль и PIN-код, при этом не использовать пароли с низким уровнем защиты, такие как имя или дата рождения. Пароль должен содержать комбинацию, состоящую из не менее 6 знаков: букв (прописных и заглавных), специальных символов и цифр;»;
2) должен обеспечить конфиденциальность личной информации, а именно не раскрывать личную информацию (данные паспорта, адрес электронной почты и другие данные) посторонним лицам;»;
3) необходимо регулярно проверять историю операций и выписки для отслеживания ошибок или несанкционированных операций по счету и незамедлительно информировать поставщика услуг о любых случаях несанкционированных операций;»;....
4) необходимо проверять правильность и безопасность веб-страницы, при этом:
- перед осуществлением любых онлайн-операций или предоставление личной информации должен убедиться, что используется правильная веб-страница интернет-банкинга. Необходимо остерегаться фальшивых веб-страниц, созданных в целях мошенничества;
- необходимо убедиться в безопасности веб-страницы, проверив наличие Унифицированных Указателей Ресурсов (URL), которые должны начинаться с «https», а на статусе интернет-браузера должен появиться знак защищенного соединения;
- всегда вводить URL веб-страницы непосредственно в интернет-браузер и избегать перенаправления или ссылки на другие ненадежные страницы;
- по возможности использовать программу, которая автоматически шифрует или кодирует передаваемую информацию в процессе осуществления электронных операций;
5) должен защитить свое устройство доступа (персональный компьютер, мобильный телефон и т.д.) от несанкционированного доступа и вредоносных программ;
6) необходимо покинуть сайт, где осуществляются электронные операции, даже если устройство оставлен без присмотра на короткий срок и не забывать выходить из системы после осуществления электронных операций;
7) необходимо ознакомиться с политикой безопасности системы интернет-банкинга:
- необходимо внимательно ознакомиться с условиями системы интернет-банкинга относительно осуществления платежей, переводов, дебетования/кредитования счета и другими условиями банковского обслуживания;
- перед вводом личной финансовой информации системы интернет-банкинга необходимо внимательно ознакомиться с условиями использования или распространения данной информации.
25) пункт 2 Приложения 1 изложить в следующей редакции:
«2. Пользователь при использовании мобильного банкинга, мобильного приложения и иных систем удаленного/дистанционного обслуживания:
- не должен раскрывать посторонним лицам свой PIN-код, пароль к системе удаленного/дистанционного обслуживания, пароль от электронной почты, иные сведения, которые могут способствовать несанкционированному доступу при удаленном/дистанционном обслуживании от имени пользователя;
- необходимо периодически менять свой PIN-код, пароль используемый для мобильного банкинга, мобильного приложения и иных систем удаленного/дистанционного обслуживания;
- не должен позволять посторонним лицам использовать свой мобильный телефон, через который осуществляется банковская операция;
- при потере или краже мобильного телефона незамедлительно сообщить поставщику услуг;
- не должен отправлять свою личную информацию, содержащую пароль или PIN-код через электронную почту, социальные сети и другие средства электронного обмена данными;
- необходимо регулярно проверять историю операций и выписки для отслеживания ошибок или несанкционированных операций и незамедлительно информировать поставщика услуг о любых случаях несанкционированных операций;
- должен незамедлительно сообщить поставщику услуг при возникновении любых вопросов относительно безопасности доступа к системам удаленного/дистанционного обслуживания.
Необходимые меры для обеспечения безопасного хранения карт, их реквизитов, PIN-кода и безопасности других данных определены в нормативных правовых актах Национального банка.».
26) Положение дополнить приложениями 3 и 4 следующего содержания:
«Приложение 3
к Положению «О минимальных
требованиях по предоставлению
удаленного/дистанционного обслуживания
в Кыргызской Республике»
ОТЧЕТ
о физических лицах, использующие инструменты
удаленного/дистанционного обслуживания
для физических лиц |
Наименование дистанционного платежного инструмента |
Количество пользователей |
Оплата за товары и услуги |
Переводы |
Конвертация |
Другие операции |
||||||||||||||||
нац валюте |
ин валюте |
нац валюте |
ин валюте |
нац валюте |
ин валюте |
нац валюте |
ин валюте |
|||||||||||||||
Количество |
Объем |
Количество |
Объем |
Количество |
Объем |
Количество |
Объем |
Количество |
Объем |
Количество |
Объем |
Количество |
Объем |
Количество |
Объем |
|||||||
Интернет-банкинг |
Внутренние операции |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
Международные операции |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
Мобильный банкинг |
Внутренние операции |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
Международные операции |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
Мобильные приложение |
Внутренние операции |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
Международные операции |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
Итого |
Внутренние операции |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
Международные операции |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
К отчету должно прилагаться сопроводительное письмо с приложением.
Приложение 4
к Положению «О минимальных
требованиях по предоставлению
удаленного/дистанционного обслуживания
в Кыргызской Республике»
ОТЧЕТ
о юридических лицах, использующие инструменты
удаленного/дистанционного обслуживания
для юридических лиц |
Наименование дистанционного платежного инструмента |
Количество пользователей |
Оплата за товары и услуги |
Переводы |
Конвертация |
Другие Операции |
||||||||||||||||
нац валюте |
ин валюте |
нац валюте |
ин валюте |
нац валюте |
нац валюте |
нац валюте |
ин валюте |
|||||||||||||||
Количество |
Объем |
Количество |
Объем |
Количество |
Объем |
Количество |
Объем |
Количество |
Объем |
Количество |
Объем |
Количество |
Объем |
Количество |
Объем |
|||||||
Интернет-банкинг |
Внутренние операции |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
Международные операции |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
Мобильный банкинг |
Внутренние операции |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
Международные операции |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
Мобильные приложение |
Внутренние операции |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
Международные операции |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
Итого |
Внутренние операции |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
Международные операции |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
К отчету должно прилагаться сопроводительное письмо с приложением.».