Система Orphus

 

 

Приложение
к постановлению Правления Национального банка Кыргызской Республики
от 16 ноября 2017 года № 2017-П-14/48-3-(ПС)

 

ПОЛОЖЕНИЕ
о нештатных ситуациях в платежной системе

1. Общие положения

1. Положение "О нештатных ситуациях в платежной системе" (далее - Положение) определяет основные понятия и требования к функционированию платежной системы Кыргызской Республики и действиям персонала при возникновении нештатных ситуаций в платежной системе, связанных с:

- надежностью и бесперебойностью;

- доступностью;

- несанкционированным доступом к системе и мошенничеством;

- форс-мажорными обстоятельствами.

2. Настоящее Положение распространяется на участников и операторов платежной системы, являющихся резидентами Кыргызской Республики, которые осуществляют свою деятельность в соответствии с законами "О Национальном банке Кыргызской Республики, банках и банковской деятельности", "О лицензионно-разрешительной системе в Кыргызской Республике", "О платежной системе Кыргызской Республики", "Об электронной подписи", "Об электронном управлении" (далее - законодательство Кыргызской Республики) и нормативными правовыми актами Национального банка Кыргызской Республики.

3. Платежная система Кыргызской Республики включает:

- системно-значимые платежные системы (далее - СЗПС);

- значимые платежные системы (далее - ЗПС);

- другие платежные системы.

4. В соответствии с критериями выделяются национальные платежные системы.

5. Организация деятельности платежной системы и инфраструктуры платежной системы должна предусматривать восстановление штатной работоспособности системы и минимизацию отрицательного влияния на функции, работоспособность которых оказалась нарушенной при возникновении нештатной ситуации.

6. Поддержание бесперебойного функционирования платежной системы Кыргызской Республики предполагает удовлетворение следующим требованиям:

- гарантия осуществления расчета в пределах установленного законодательством срока;

- гарантия исполнения расчета платежной системой и возврата денежных средств в сумме, размер которой определен законодательством, в случае неисполнения расчета платежной системой;

- обеспечение доступа к платежным услугам без ограничений для всех пользователей и в течение периода времени, востребованного пользователями, но ограниченный регламентом работы платежных систем.

7. Национальный банк Кыргызской Республики (далее - Национальный банк) осуществляет:

- надзор (оверсайт) за функционированием платежной системы Кыргызской Республики;

- наблюдение за технической инфраструктурой платежной системы Кыргызской Республики, в том числе контроль за функционированием межбанковской коммуникационной сети (далее - МКС) и узлом коллективного пользования SWIFT Национального банка (далее - УКП SWIFT), которые являются частью технической инфраструктуры платежной системы Кыргызской Республики;

- проверки деятельности операторов и участников платежных систем, банков, и платежных организаций, провайдеров критических услуг в соответствии с нормативными правовыми актами Национального банка.

2. Определения

8. Для целей настоящего Положения используются термины и определения, установленные законами "О Национальном банке Кыргызской Республики, банках и банковской деятельности", "О платежной системе Кыргызской Республики", Положением "О безналичных расчетах в Кыргызской Республике", утвержденным постановлением Правительства Кыргызской Республики и Национального банка Кыргызской Республики от 9 сентября 2005 года № 420/21/4, Политикой по надзору (оверсайту) за платежной системой Кыргызской Республики, утвержденной постановлением Правления Национального банка Кыргызской Республики от 15 июля 2015 года № 38/4, а также Положением "О банковских платежных картах в Кыргызской Республике", утвержденным постановлением Правления Национального банка Кыргызской Республики от 9 декабря 2015 года № 76/8. В настоящем Положении также используются следующие термины и определения:

Инцидент - это любое событие, которое не является частью штатного функционирования системы и вызывает или может негативно отразиться на бесперебойности или качестве проведения платежей и расчетов в платежной системе.

Нештатная ситуация - ситуация, которая выходит за рамки правил и технологии работы платежной системы/платежной инфраструктуры и требует для ее разрешения специально организованной деятельности персонала оператора платежной системы и/или провайдера критических услуг. Правила управления нештатными ситуациями, ответственность и взаимодействие персонала устанавливаются во внутренних процедурах оператора/участника платежной системы, провайдера критических услуг.

Мошенничество в платежной системе - в рамках настоящего Положения это противоправные преднамеренные обманные действия (или злоупотребление доверием) персонала оператора/участника системы/провайдера критических услуг (внутреннее мошенничество) или третьей стороны (внешнее мошенничество), направленные на несанкционированный доступ и использование информации, относящейся к банковской тайне, для получения денежных средств с банковских счетов/электронных кошельков участников системы и/или их клиентов.

К данной деятельности относятся:

- распространение внутренней конфиденциальной информации;

- нарушение прав доступа к информации, оборудованию, допущение утечки информации;

- умышленное удаление информации, которое может привести к невыполнению обязательств оператором и/или участником системы перед своим клиентом или третьими лицами;

- использование необъективной или сфальсифицированной информации/платежных инструментов;

- операции с украденными/утерянными платежными инструментами/данными платежных инструментов для осуществления покупки товаров и услуг, а также снятия/перевода/хищения денежных средств;

- многократное снятие денежных средств путем оформления нескольких платежных чеков по одному факту оплаты;

- многократная оплата услуг и товаров в торгово-сервисных предприятиях на суммы, не превышающие определенный лимит ("floor limit") и не требующие проведения авторизации;

- несанкционированное использование периферийных устройств и платежной инфраструктуры и незаконное завладение чужими денежными средствами с банковских счетов, электронных кошельков, отправка и выдача денежных переводов;

- несанкционированное подключение стороннего электронного записывающего устройства к периферийному устройству/платежной инфраструктуре;

- другие виды мошенничества (создание и использование фиктивных предприятий обслуживания банковских платежных карт, приема электронных денег, отправки и выдачи денежных переводов и т.д.).

Облачные вычисления - это предоставление вычислительной мощности, хранилищ для баз данных, приложений и других информационно-технологических ресурсов по требованию через платформы облачных услуг по сети с оплатой по факту использования.

"Floor limit" - максимальная сумма транзакции, в рамках которой торгово-сервисное предприятие может проводить операции с банковскими платежными картами без авторизационного запроса.

Payment Card Industry Data Security Standard (PCI DSS) - стандарт, определяющий параметры защиты информации в области банковских платежных карт, разработанный международными платежными системами ("Visa" и "MasterCard").

3. Надежность и бесперебойность платежных систем

§ 1. Обеспечение надежности

9. Ответственность за обеспечение бесперебойного функционирования и соблюдение регламента платежных систем несут операторы и участники платежных систем. Провайдеры критических услуг несут ответственность за обеспечение бесперебойной обработки и маршрутизации сообщений в рамках платежной системы. Распределение ответственности сторон в случаях возникновения нештатных ситуаций в процессе осуществления платежей/переводов и расчетов, порядок и время информирования определяются в договорах между оператором, участниками и провайдерами критических услуг, а также во внутренних процедурах, устанавливающих порядок действий и взаимоотношения персонала платежной системы и платежной инфраструктуры.

10. Обеспечение конфиденциальности данных, безопасности системы, надежности и возможность восстановления должны входить в организацию и методы управления рисками и внутреннего контроля оператора/участников платежных систем/провайдеров критических услуг. Порядок управления рисками должен предусматривать периодическое обновление и мониторинг оценки рисков, включая изменения в системах, условиях эксплуатации или эксплуатации, которые могут повлиять на анализ рисков.

11. Внутренние процедуры операторов/участников платежной системы/провайдеров критических услуг должны устанавливать регламент управления инцидентами, порядок проведения работ и взаимодействия персонала по восстановлению штатного функционирования системы. Данные процедуры должны быть детализированными и в обязательном порядке предусматривать:

- порядок и сроки информирования руководства и персонала системы о возникновении нештатной ситуации;

- регистрацию факта возникновения нештатной ситуации (дату, время, описание события) в специальном журнале;

- порядок действий, если проблемы не были решены на уровне ответственных исполнителей персонала системы за предусмотренное процедурами время;

- порядок информирования клиентов о любом крупном инциденте, который также должен учитывать оценку эффективности способа коммуникации, включая информирование широкой общественности в случаях, когда это необходимо;

- порядок и сроки информирования руководства и персонала системы после устранения нештатной ситуации и восстановления штатного функционирования системы, включая порядок регистрации информации о восстановлении штатного функционирования системы (дату, время, причину возникновения нештатной ситуации, содержание принятых мер по ее устранению с указанием ответственных исполнителей), подготовки актов и экспертных заключений о ситуации.

12. Персонал оператора и участника платежной системы, провайдера критических услуг должен включать основной и дублирующий состав. В случае отсутствия какого-либо специалиста основного состава, его функции выполняет специалист из дублирующего состава.

13. Персонал оператора платежной системы должен включать:

- специалистов, выполняющих функции управления по сбору, обработке и передаче платежей (переводов) и сообщений, а также иметь службы технической и клиентской поддержки для качественной и своевременной обработки всех поступающих заявок;

- специалистов, выполняющих функции мониторинга за платежами (переводами) и сообщениями, платежными очередями, различными лимитами, соединениями и действиями участников и пользователей участников и т.п.;

- специалистов, выполняющих функции управления проведением расчетов, включая окончательный расчет;

- специалистов по сопровождению системы, обеспечивающих бесперебойное функционирование технической инфраструктуры и безопасность системы.

Не допускается возложение вышеперечисленных функций на одних и тех же сотрудников, выполнение вышеуказанных функций должно осуществляться разными сотрудниками. Оператор платежной системы обязан обеспечить достаточное количество персонала с соответствующей квалификацией. Количество и квалификация персонала должна соответствовать объемам услуг, предоставляемым оператором платежной системы.

14. Персонал участника платежной системы должен включать:

- специалистов, выполняющих функции формирования, отправки и приема платежей (переводов), а также функции обмена другими сообщениями в рамках системы;

- специалистов по сопровождению системы, обеспечивающих бесперебойное функционирование и безопасность технической инфраструктуры участника системы.

15. Персонал провайдера критических услуг должен включать, как минимум, специалистов по сопровождению системы, обеспечивающих безопасное и бесперебойное функционирование технической инфраструктуры обмена сообщениями в рамках платежной системы.

16. Техническая инфраструктура платежной системы должна включать:

- основной аппаратно-программный комплекс (далее - АПК), к которому предъявляются определенные требования по обеспечению штатного функционирования системы и восстановлению в случае возникновения нештатных ситуаций;

- резервный АПК, который в случае выхода из строя любых компонентов основного аппаратно-программного комплекса должен полностью обеспечить штатное функционирование системы;

- каналы связи и средства безопасности передачи данных.

17. Функционирование платежной системы и критической инфраструктуры должно осуществляться в соответствии с критериями по обеспечению непрерывности, установленными внутри каждой системы и включающими наличие:

- основного и резервного центров по обработке платежей и автоматическое или ручное переключение работы системы с основного на резервный АПК и наоборот в случае возникновения сбоев в работе системы. В случае СЗПС, ЗПС, национальных платежных систем и у провайдеров критических услуг переключение работы системы с основного на резервный АПК и наоборот в случае возникновения сбоев в работе системы должно обеспечиваться в автоматическом режиме;

- средств безопасности передачи данных, минимизирующих риски несанкционированного доступа;

- установленного предельного значения времени простоя системы в случае возникновения сбоев в работе системы. В случае СЗПС, национальных платежных систем и провайдеров критических услуг предельное время простоя системы при возникновении сбоев в работе системы не должно превышать четырех часов;

- утвержденной максимальной продолжительности времени автоматизированного или ручного переключения между основным и резервным АПК с указанием максимально допустимого времени простоя до полного восстановления штатного функционирования системы;

- установленного предельного времени восстановления базы данных в случае возникновения сбоев;

- критерия максимально допустимого времени восстановления работы системы в случае сбоев основного и резервного АПК.

18. Модернизация системы, время, условия реагирования и порядок взаимодействия с поставщиком АПК и/или компанией, оказывающей услуги программного обеспечения платежной системы при возникновении нештатных ситуаций, которые приводят к нарушению критериев непрерывности, и меры по их устранению должны быть определены в договоре на техническую поддержку с провайдерами услуг и поставщиком АПК и программного обеспечения платежной системы.

19. Обновления систем, новые версии и вновь внедряемые системы, а также приложения до предоставления их пользователям должны проходить обязательное тестирование системы при различных сценариях стрессовой нагрузки и условиях восстановления.

20. Операторы платежной системы должны иметь утвержденные пошаговые процедуры по:

- обеспечению непрерывного функционирования АПК системы и требуемых для его функционирования каналов связи с указанием разового и суммарного времени простоя системы в течение квартала;

- осуществлению переключения между основным и резервным АПК с указанием максимально допустимого времени простоя до полного восстановления штатного функционирования системы;

- проведению периодических проверок персоналом оператора системы работоспособности резервного АПК, каналов связи системы и регулярного тестирования переключения работы системы с основного на резервный АПК и наоборот;

- обеспечению непрерывности функционирования рабочих станций персонала оператора системы;

- обеспечению восстановления данных в случае их повреждения или искажения в соответствии с установленным регламентом;

- обеспечению конфиденциальности передаваемых и получаемых системой данных согласно законодательству Кыргызской Республики.

21. Участники платежной системы должны иметь процедуры по:

- обеспечению безопасности и непрерывности функционирования рабочих станций персонала участника системы;

- резервированию каналов связи по передаче данных;

- обеспечению конфиденциальности передаваемых и получаемых от платежной системы данных согласно законодательству Кыргызской Республики.

22. Меры поддержания работоспособности платежной системы должны быть предусмотрены при использовании облачных вычислений. Оператор и участники платежных систем до заключения контракта с провайдером услуг должны убедиться и подвергнуть проверке способность провайдера услуг обеспечить надежность сервиса и восстанавливать внешние системы и услуги в оговоренных временных рамках.

23. Для минимизации операционных рисков в СЗПС, национальных платежных системах и УКП SWIFT при возникновении у участников проблем с рабочими станциями или каналами связи, операторы СЗПС, национальных платежных систем и УКП SWIFT должны обеспечить для участников доступ к Единому сервисному центру (далее - ЕСЦ) проведения работ по формированию, отправке/получению платежных документов и других сообщений в системе.

§ 2. Перебои энергоснабжения

24. Оператор/участники платежных системы и провайдеры критических услуг должны обеспечить соответствие мощности линий и другого оконечного оборудования, через которое осуществляется подача энергоснабжения для работы систем, требованиям систем по мощности.

25. В случаях перебоев энергоснабжения, у оператора/участника платежных систем и провайдера критических услуг должно обеспечиваться автономное энергоснабжение.

26. Оператор/участники платежных системы и провайдеры критических услуг должны иметь процедуры, регламентирующие время автономного функционирования системы, а также обеспечивающие выполнение требований по продолжительности автономной работы системы с момента прекращения энергоснабжения и до момента последующего переключения на резервный АПК системы.

27. Оператор СЗПС, ЗПС, национальных платежных систем и провайдер критических услуг обязаны максимально минимизировать простой системы вследствие перебоев энергоснабжения.

28. Участник СЗПС, в случае перебоев энергоснабжения, должен обеспечить отправку/получение платежных документов посредством ЕСЦ в соответствии с установленным порядком и регламентом.

29. В случае перебоев энергоснабжения, участник УКП SWIFT может проводить отправку/получение платежных документов через рабочие станции ЕСЦ в соответствии с установленным порядком и регламентом или через альтернативные каналы передачи данных, используемые участником системы.

30. После восстановления энергоснабжения работы по переводу на основной АПК проводятся в соответствии с установленными внутренними процедурами участника или оператора системы.

§ 3. Сбои аппаратного и/или программного обеспечения системы

31. Сбои аппаратного обеспечения включают в себя нарушение функционирования или выход из строя серверного, сетевого, криптографического оборудования, специализированного оборудования и рабочих станций участника/оператора системы.

32. Сбои программного обеспечения включают в себя нарушение функционирования операционной системы, прикладного программного обеспечения, программного обеспечения на серверах доступа, инфраструктуры открытых ключей (PKI) и рабочих станций персонала системы.

33. Операторы платежной системы при сбоях собственного аппаратного или программного обеспечения должны проводить автоматическое переключение на резервный АПК или резервные рабочие станции оператора. В случае невозможности перехода на резервный АПК/рабочие станции, оператор должен обеспечить своевременное информирование всех своих участников, а также меры по решению нештатной ситуации и недопущению аналогичных случаев в будущем. Меры оператора должны быть отражены в Правилах системы, договорах и внутренних процедурах оператора платежной системы.

34. Участники платежной системы при сбоях собственного аппаратного или программного обеспечения должны обеспечить использование альтернативных и/или резервных средств в соответствии со своими внутренними процедурами.

35. В СЗПС при сбоях аппаратного и/или программного обеспечения системы или рабочих станций оператора проводится автоматическое переключение на резервный АПК или резервные рабочие станции оператора в соответствии с установленным порядком. В случае невозможности перехода на резервный АПК, работы по обработке платежей участников системы и проведению окончательного расчета проводятся оператором в соответствии с установленным порядком.

36. В случае невозможности участником СЗПС продолжить работу со своего резервного оборудования, выполнение соответствующих работ может проводиться через рабочие станции ЕСЦ в соответствии с установленным порядком и регламентом.

37. В случае невозможности участником УКП SWIFT продолжить работу со своего резервного оборудования, выполнение соответствующих работ может проводиться через рабочие станции ЕСЦ в соответствии с установленным порядком и регламентом, или через альтернативные каналы передачи данных, используемые участником системы.

38. В национальных платежных системах при сбоях аппаратного и/или программного обеспечения системы или рабочих станций оператора проводится автоматическое переключение на резервный АПК или резервные рабочие станции оператора. В случае невозможности участником национальных платежных систем продолжить работу со своего резервного оборудования, выполнение соответствующих работ может проводиться через рабочие станции ЕСЦ.

§ 4. Сбои каналов связи системы

39. При сбое канала основного канала связи между основным и резервным АПК системы, оператор системы должен провести переключение на резервный канал связи в соответствии со своими внутренними процедурами.

40. При сбое основного канала связи между оператором и участниками системы участник системы должен провести переключение на собственный резервный канал связи в соответствии со своими внутренними процедурами.

41. При выходе из строя обоих каналов связи у участника СЗПС, национальных платежных систем и УКП SWIFT работа по отправке/получении платежных документов и сообщений системы выполняется через ЕСЦ в соответствии с установленным порядком и регламентом.

§ 5. Нарушение регламента работы платежной системы

42. К нарушениям регламента работы относится продление периодов операционного дня вследствие:

- проведения работ по восстановлению штатного функционирования системы в случае возникновения нештатной ситуации у оператора системы в течение операционного дня;

- несвоевременной передачи сообщений и отчетов оператором платежной системы своим участникам;

- несвоевременной передачи платежей и сообщений между операторами платежной системы.

43. Регламент и порядок работы систем определяются нормативными правовыми актами, регулирующими функционирование системы, правилами работы системы, а также договорными отношениями между операторами платежных систем, между оператором и участниками платежных систем. Ответственность сторон за соблюдение и санкции за нарушение регламента и порядка работы системы устанавливаются в договорах и соглашениях между операторами, или оператором и участниками системы.

4. Несанкционированный доступ и мошенничество в платежной системе

§ 1. Обеспечение безопасности

44. Оператор и участники системы должны устанавливать четкую политику защиты платежных систем (в том числе и информационных ресурсов системы) от несанкционированного доступа, злоупотребления или мошеннического изменения, вставки, удаления, замены, подавления или раскрытия, иметь внутреннюю политику по обеспечению информационной безопасности системы, которая должна:

- иметь четко определенные задачи, основные требования по обеспечению конфиденциальности и доступу к информации, адекватности внутреннего контроля, а также критерии разграничения ответственности соответствующих лиц при осуществлении контроля;

- предусматривать своевременное реагирование на возникновение подозрительных операций или попыток несанкционированного доступа и порядок взаимодействия с правоохранительными органами Кыргызской Республики;

- предусматривать порядок незамедлительного информирования Национального банка и участников рынка платежных услуг о фактах внешних угроз, преступлений, мошенничества, которое может угрожать другим участникам;

- предусматривать разработку новых методов борьбы с мошенничеством;

- включать обязательные требования о проведении регулярного обучения сотрудников по безопасности и персонала системы механизмам предотвращения мошенничества и несанкционированного доступа.

45. Оператор и участники системы на регулярной основе (по мере необходимости, но не реже одного раза в три года) должны осуществлять самооценку системы и пересмотр внутренней политики по безопасности с целью обновления и включения новых инновационных методов борьбы с мошенничеством и несанкционированным доступом в систему.

46. Результаты самооценки должны представляться по запросу в Национальный банк.

§ 2. Внутреннее мошенничество

47. Для снижения риска возникновения внутреннего мошенничества оператор и участники системы должны иметь систему защиты от мошенничества и несанкционированного доступа на уровне аппаратно-программного комплекса (использование паролей и прав доступа к системе, криптографии, шифрования и т.п.), квалифицированный и прошедший проверку персонал для работы в системе, а также утвержденные должностные инструкции, определяющие ответственность, права и обязанности персонала.

48. Разрешение спорных ситуаций при возникновении риска внутреннего мошенничества, ответственность сторон и другие условия работы с системой должны быть определены в договорах между оператором и участниками системы.

§ 3. Мобильные платежи и платежи в режиме реального времени

49. Оператор и участники системы должны предоставлять своим клиентам и пользователям гарантию того, что доступ к услугам, выполняемый через интернет на веб-сайте или через приложение, будет надлежащим образом защищен и аутентифицирован (передача в зашифрованном виде учетные данных, паролей и ПИН-кодов).

50. Оператор и участники системы должны применять алгоритмы шифрования, которые соответствуют общепринятым международным стандартам.

51. Оператор и участники системы должны обеспечивать безопасность физического и логического доступа для того, чтобы разрешать доступ к своим системам только уполномоченному персоналу. Процедуры должны предусматривать механизмы обработки и передачи в целях защиты целостности систем и данных.

52. Оператор и участники системы должны обеспечивать мониторинг для предупреждения о любых необычных операциях системы, ошибок при передаче данных или необычных онлайновых транзакций, а также наличие процедур реагирования на необычные операции.

53. С ростом количества и объемов транзакций в системе мобильных и онлайновых услуг должно быть внедрено программное обеспечение автоматически отслеживающее подозрительные операции или характер изменения (динамики) платежей. В процессах обнаружения подозрительной активности должны учитываться качественные и количественные факторы.

Оператор и участник системы должны иметь внутренние процедуры с описанием действий при выявлении подозрительных операций, методов противодействия мошенничеству.

54. Оператор и участники системы должны предусматривать поддержание высокой доступности онлайновых систем и вспомогательных систем, в также процедуры восстановления на случай негативного воздействия извне, направленных на отказ системы.

55. Оператор и участники системы должны предусматривать наличие многофакторных моделей аутентификации при входе в систему и подписании транзакций в целях авторизации (подтверждения).

56. Системы должны предусматривать управление лимитами на операции для минимизации возможного ущерба.

57. Операции должны проводиться только после четко определенной авторизации пользователя в системе.

58. Безопасность, обеспечиваемая базовыми используемыми сетевыми устройствами и инфраструктурами компаний-поставщиков на транспортном уровне, не может считаться достаточной применительно к конфиденциальным и секретным данным, в частности PIN-кодам и паролям (примерами такой инфраструктуры являются GSM, GPRS, 3G, Bluetooth, Wi-Fi 802.11b и IrDA и т.п.). Защита передаваемых конфиденциальных данных должна обеспечиваться с использованием средств на уровне платежной системы.

59. В программном обеспечении должны быть внедрены меры, направленные на предотвращение дублирования транзакций, возникающего в результате задержек между сеансами связи или сбоев внутри сеанса.

60. Соглашения с провайдерами услуг должны включать наличие надлежащих планов восстановления и распределения ответственности в случае сбоев системы.

61. Оператор и участники системы должны информировать своих клиентов о мерах безопасности для того, чтобы защищать мобильные устройства от вредоносного программного обеспечения или иного программного обеспечения, использование которых может привести к негативным последствия.

§ 4. Банковские платежные карты

62. При работе с банковскими платежными картами международных платежных систем оператору и участнику системы рекомендуется принять за основу Общие критерии для оценки безопасности информационных технологий (ISO/IEC 15408) и PCI DSS и придерживаться соблюдения данных требований.

63. Оператор и участники (эмитенты) должны иметь внутренние процедуры с указанием в них как минимум:

- разграничение доступа персонала к базе данных системы (к информации о номерах платежных карт, кодовых словах, держателе карты, об образце подписи и т.д.);

- список сотрудников персонала системы, имеющих такой доступ; ответственность и санкции за нарушение ограничений;

- системы защиты от внутреннего и внешнего мошенничества при эмиссии платежных карт;

- порядка обработки заявлений клиентов и получения банковских платежных карт, включающего требования по обязательной идентификации и проверке клиента;

- порядка возврата изъятых банкоматами карт.

64. Участники (эквайеры) должны иметь внутренние процедуры с указанием в них как минимум:

- порядка обработки заявлений торгово-сервисных предприятий и заключения с ними договоров, включающих требования к предоставляемому пакету документов (при необходимости нотариально заверенные копии учредительных документов и Устава, регистрации в налоговых органах, разрешений/лицензий на заявленные виды деятельности, ксерокопии паспортов руководства, бухгалтерский баланс с отметкой налоговых органов);

- порядка ведения базы данных торгово-сервисных предприятий, с которыми были расторгнуты договора или заявления которых были отвергнуты с указанием причины отказа;

- механизма контроля торгово-сервисных предприятий, включающего подтверждение факта его регистрации, регулярную проверку качества обслуживания платежных карт, условий содержания и работоспособности терминалов, хранения чеков, определение значений "floor limit" в зависимости от мошеннической активности торгово-сервисного предприятия;

- порядка закупки, хранения, установки/подключения и технического обслуживания периферийного устройства.

65. Для снижения риска внешнего мошенничества операторы системы должны иметь программное обеспечение, позволяющее проводить мониторинг и анализ риска, а также отслеживание подозрительных транзакций и авторизаций, совершенных посредством платежных карт на регулярной основе. Программное обеспечение должно контролировать как транзакции, совершенные в сети эквайера (контроль риска эквайера относительно торгово-сервисных предприятий), так и транзакции, совершенные посредством карт, эмитированных банком (контроль риска эмитента относительно держателей карт).

66. Участники системы могут иметь собственное программное обеспечение, позволяющее самостоятельно осуществлять мониторинг и управление своими рисками, связанными с эмиссией и эквайрингом платежных карт для снижения потерь, вызываемых возможным мошенничеством при использовании платежных карт, или воспользоваться данной услугой оператора системы на договорных условиях.

67. Операторы и участники системы должны установить параметры мониторинга за авторизациями/транзакциями, превышение значений которых будет считаться подозрительными авторизациями/транзакциями. Мониторинг должен отражать как минимум следующие случаи, когда:

- сумма отдельной авторизации/транзакции (или общая сумма) превышает установленный лимит в заданный период времени;

- авторизация/транзакция платежной карты проводится в торгово-сервисных предприятиях в двух или более странах в заданный период времени;

- общая сумма транзакций в конкретной стране с повышенным риском превышает установленный лимит в заданный период времени;

- общее число авторизаций на одном торгово-сервисном предприятии превышает установленный лимит в заданный период времени;

- количество некорректных попыток ввода ПИН-кода в банкоматах превышает установленный лимит за заданный период времени;

- сумма отдельной авторизации/транзакции превышает установленный лимит для конкретной группы торгово-сервисных предприятий с повышенным риском.

Оператор или участник системы может устанавливать дополнительные правила и параметры мониторинга за подозрительными транзакциями с банковскими платежными картами и в периферийных устройствах.

68. Оператор и участник системы должны иметь подготовленный персонал для проведения анализа рисков возможного мошенничества, осуществляющий контроль за работой периферийных устройств, транзакций и авторизаций платежных карт.

69. Оператор и участник системы должны иметь внутренние процедуры с описанием средств и инструментов по распознаванию поддельных платежных карт и подозрительных операций с использованием карт, методов противодействия мошенническому использованию карт/периферийных устройств, а также порядка действий персонала в случае выявления таких операций.

70. В договоре между оператором и участниками системы должны быть установлены как минимум:

- основные требования по соблюдению безопасности, которые участники системы должны использовать при разработке внутренних нормативных документов, процедур, типовых договоров с держателями платежных карт и торгово-сервисными предприятиями;

- время реагирования, порядок и сроки оповещения и взаимодействия сторон в случае выявления мошеннических операций;

- порядок и сроки разрешения спорных ситуаций между участниками системы;

- порядок и правила обработки чарджбеков;

- ответственность сторон в случае выявления мошеннических операций;

- порядок взаимодействия с правоохранительными органами по вопросам мошенничества;

- порядок и сроки предоставления и формы отчетов по подозрительным операциям;

- обмен информацией о мошеннических операциях между участниками системы.

71. В договоре между участником (эквайером) системы и торгово-сервисным предприятием должны быть отражены следующие аспекты:

- список карточных продуктов, принимаемых к оплате в торгово-сервисном предприятии;

- время и график работы торгово-сервисного предприятия;

- виды продаваемых товаров и услуг (профиль) для идентификации в системе торгово-сервисного предприятия и обязательство извещать об изменении своего профиля;

- определение значения "floor limit" для торгово-сервисного предприятия, если в нем используется "floor limit";

- требования по соблюдению безопасности торгово-сервисным предприятием (проверка подлинности платежной карты, проверка подписи и реквизитов на платежной карте с документом, удостоверяющим личность держателя платежной карты и иные требования), запрет на хранение реквизитов платежных карт;

- возможность замораживания средств торгово-сервисного предприятия по подозрительным транзакциям, по которым проводится проверка;

- порядок проведения проверки торгово-сервисного предприятия по качеству обслуживания платежных карт, предоставляемых услуг, условий содержания, целостности и работоспособности периферийного устройства, хранения чеков;

- порядок взаимодействия в случае выявления операции с украденной/утерянной/поддельной платежной картой держателя карты или проведения мошеннических транзакций самим торгово-сервисным предприятием;

- ответственность сторон при выявлении мошеннических операций;

- условия обязательного обучения кассиров правилам приема и проверки платежных карт, а также методам выявления мошеннических операций и борьбы с ним.

72. В договоре между участником (эмитентом) системы и держателем карты должны быть определены основные требования по соблюдению безопасности держателем платежной карты (использование ПИН-кода, лимиты, действия держателя в случае утери карты, выявления несанкционированного списания средств со счета), а также распределение рисков и ответственности между сторонами при утере/похищении платежной карты, а также в случае выявления мошеннических транзакций.

73. Оператор системы на основании полученных от участников данных должен на постоянной основе проводить проверку защищенности процессингового центра от мошеннических и внешних атак, выявлять риски и предпринимать меры для снижения уровня мошенничества.

5. Форс-мажорные обстоятельства

74. К форс-мажорным обстоятельствам относятся обстоятельства непреодолимой силы, не зависящие от воли сторон, такие как пожары, аварии, стихийные бедствия, военные действия, которые приводят к нарушению штатного функционирования платежной системы.

75. Операторы и участники платежной системы должны иметь территориально удаленный резервный центр для обеспечения быстрого восстановления штатного функционирования платежной системы в случае возникновения форс-мажорных обстоятельств.

76. Территориально удаленный резервный центр должен удовлетворять как минимум следующим условиям:

- условия размещения резервного центра должны соответствовать требованиям безопасности, установленным нормативными правовыми актами Национального банка;

- обеспечить возможность полного дублирования работы основного центра (иметь соответствующие АПК, каналы связи с участниками, подготовленный персонал, бесперебойное энергоснабжение).

77. Операторы и участники платежной системы должны разработать процедуры, регламентирующие (в случаях наступления форс-мажорных обстоятельств) порядок перевода работы на резервный центр и взаимодействие персонала системы.

6. Отчетность

78. Операторы и участники платежной системы должны фиксировать информацию об инцидентах и нештатных ситуациях в журнале регистрации нештатных ситуаций и формировать отчет согласно Приложению 1 настоящего Положения. Отчет передается в Национальный банк в электронной форме:

- операторами СЗПС - на ежедневной основе;

- операторами ЗПС и других платежных систем, участниками платежной системы - на ежемесячной основе не позднее 10 числа месяца, следующего за отчетным.

79. Национальный банк на регулярной основе осуществляет сбор и обработку информации о состоянии платежной системы, нештатных ситуациях и мошеннических операциях для анализа и оценки степени их воздействия на платежную систему в целом, а также на деятельность оператора и участника системы. В случае существенного влияния на платежную систему, Национальный банк разрабатывает и передает операторам и/или участникам платежных систем рекомендации и предложения по минимизации рисков, осуществляет контроль их исполнения и при необходимости принимает меры воздействия к операторам и/или участникам платежных систем в соответствии с законодательством Кыргызской Республики.

 

 

 

Приложение 1
к Положению по нештатным ситуациям в платежной системе

ОТЧЕТ
об инцидентах и нештатных ситуациях

Наименование системы: _______________________________________________________________________

Наименование оператора платежной системы: ____________________________________________________

Отчетный период: _____________________________________________________________________________


п/п

Дата и время регистрации/
совершения/
возникно-
вения, риск-события

Дата выяв-
ления риск-события

Дата и время устра-
нения риск-события

ГО/
филиал/
Название СП/
№ АТМ/
Название точки обслужи-
вания/
ТСП

Бизнес-процесс, на котором произошел инцидент/
вид деятель-
ности

Тип событий

Краткое описание события

Причины возник-
новения риска

Принятые решения/
предло-
жения по предотвра-
щению и миними-
зации риска

Контроль-
ные меры/
меро-
приятия

Статус исполнения контроль-
ных мер

Метод управления операцион-
ным риском (обосно-
ванное принятие, перенос, миними-
зация, отказ от вида деятель-
ности и т.д.)

Уровень риска (влияние/потери)

Дополни-
тельные коммен-
тарии/
предло-
жения

уровень влияния на деятель-
ность

уровень влияния на репу-
тацию

уровень влияния на финансы

факти-
ческие убытки

возмож-
ные убытки