Положение Правления ЦБ Республики Узбекистан № 13/1 от 24.04.2024

2. Операторы платежных систем и поставщики платежных услуг разрабатывают политику информационной безопасности с учетом особенностей своих информационных систем. 

внедрение системы идентификации, аутентификации и авторизации;

использовать методы, исключающие несанкционированный доступ к системе (логин, пароль, биометрическая идентификация, двухфакторная аутентификация (2FA) и т. д.);

защита от подделки платежных документов и идентификационных данных, их несанкционированного изменения и раскрытия третьим лицам;

обеспечение и контроль формирования платежной информации, проверки подлинности платежных документов и их обработки, а также внесения обоснованных изменений;

при передаче платежных документов обеспечивать доставку данного документа первоначальному владельцу и недопущение его передачи иным лицам;

При хранении информации о произведенных платежах принимать меры, исключающие ее несанкционированное копирование, изменение, удаление и передачу третьим лицам;

обеспечить хранение платежной информации, переданной во внешний накопитель, в сейфе (в сейфе) и назначить сотрудника (сотрудников), ответственного за хранение данных;

контроль и учет программного обеспечения в информационных системах и обеспечение бесперебойной работы программных интерпретаций, аппаратно-программных устройств и программных средств в информационных системах;

обеспечение актуальности (актуальности) информационных систем, в том числе внедрение в информационную систему новых версий программного обеспечения после проведения тестирования;

процессы обработки платежной информации, ее передачи и хранения автоматически формируются в электронные отчеты и обеспечивают их хранение;

организация деятельности служб информационной безопасности и кибербезопасности и мер по противодействию подозрительным мошенническим операциям в банковских и платежных системах, а также контроль за проводимой работой по обеспечению информационной безопасности и кибербезопасности и принятием мер по противодействию подозрительным (мошенническим) операциям с банковскими картами;

обеспечение безопасности и криптографической защиты компьютерной сети, защиту от компьютерных вирусов, контроль доступа к информационным системам, настройку технических средств и применение иных мер;

обеспечение использования оборудования, устройств, аппаратно-программных средств, обеспечивающих информационную безопасность и кибербезопасность, а также принятие мер по предотвращению подозрительных (мошеннических) операций с банковскими картами, и их регулярное совершенствование, установление порядка их использования, осуществление технического обслуживания, ремонта, а также в иных случаях, исключающих их несанкционированное использование непреднамеренным образом;

защиту от несанкционированного доступа к используемым техническим средствам со стороны всех телекоммуникационных сетей, изменения, удаления, копирования данных;

предотвратить утечку (потерю) информации;

Принятие мер по усилению систем защиты на основе анализа фактов несанкционированного доступа к информационным системам или инцидентов кибербезопасности.

Выявление кодов (компьютерных вирусов), способных нарушить работу вычислительных устройств (серверов, компьютеров и т.п.), банкоматов, эмбоссеров и платежных терминалов (исходя из технических возможностей), и принятие мер по предотвращению их негативного воздействия;

использовать в информационных системах только лицензионное антивирусное программное обеспечение, следить за актуальностью его версий и баз;

обеспечение автоматической работы антивирусных программ;

проверка всей информации, получаемой через Интернет и корпоративные сети, с помощью антивирусной программы.

порядок подключения, запуска, использования и вывода из эксплуатации средств криптографической защиты к автоматизированным системам;

порядок их восстановления в случае остановки, выхода из строя и иной чрезвычайной ситуации средств криптографической защиты;

порядок внесения изменений в программы криптографической защиты и техническую документацию;

порядок управления криптографическими ключами;

порядок применения организационных, технических мер по использованию, хранению, замене и т. п. устройств, несущих криптографические ключи.

Операторы платежных систем и поставщики платежных услуг обязаны обеспечивать информационную безопасность и кибербезопасность при обмене информацией с Центральным банком Республики Узбекистан.

контроль физического доступа к информационным объектам, включая банкоматы, платежные терминалы и электронные платежные устройства, а также доступа в здания и помещения с техническим оборудованием;

обеспечение физической защиты (режим безопасности) автоматизированных систем, программ, вычислительной техники, параметров и конструкций телекоммуникационных устройств, используемых при осуществлении платежей, а также технических средств, содержащих данные (пароли, биометрические и иные данные), предоставляющие право на работу в платежной системе, и исключение несанкционированного вмешательства;

осуществлять контроль доступа работников операторов платежных систем и провайдеров платежных услуг к объектам информации и внедрять системы защиты от несанкционированного распространения информации;

контроль рабочих процессов в помещениях, где размещены серверы и телекоммуникационное оборудование, с использованием систем видеонаблюдения.

информация об остатке денежных средств на банковском (карточном) счете;

информация об остатках электронных денег;

информация о произведенных платежах;

информация, в том числе по безналичным расчетам;

платежная информация межбанковских платежных и клиринговых систем;

криптографические ключи, используемые для обеспечения криптографической защиты;

конфиденциальную информацию, обрабатываемую при осуществлении платежей (банковская тайна, персональные данные и иная охраняемая законом информация);

информация о банковских картах, счетах и ​​идентификационных данных клиентов.

обеспечение полной проверки всех функций удаленных информационных систем, связанных с обработкой платежей;

проведение экспертизы удаленных информационных систем в рамках технических заданий, их соответствия техническому заданию и требованиям кибербезопасности, а также представление в Центральный банк экспертных заключений по их результатам;

обеспечение подключения удаленных информационных систем к системе обеспечения информационной безопасности на уровне сотовой связи, централизованным системам противодействия мошенничеству и современным системам биометрической идентификации Центрального банка;

разработка инструкций по использованию программ и предоставление их клиентам, обеспечение их актуальности;

обеспечить внесение изменений для устранения выявленных недостатков;

контролировать актуальность программ, используемых клиентами.

Операторы платежных систем или поставщики платежных услуг обязаны после внедрения новой версии (версий) систем дистанционного информирования ограничить использование старой версии (версий) и перейти (обновиться) на новую версию (версии).

9. Операторы платежных систем и поставщики платежных услуг обязаны разрабатывать правила обеспечения информационной безопасности и кибербезопасности, включая свои обязанности, ответственность и требования настоящего Положения, исходя из особенностей объектов информатизации сторон, а также меры по противодействию подозрительным (мошенническим) операциям с банковскими картами, в целях обмена платежной информацией и данными, относящимися к платежной информации, по сетям электросвязи.

10. В агентском договоре, заключаемом платежным агентом с банком или платежной организацией на оказание платежных услуг, должны быть определены обязанности сторон по обеспечению безопасности информации.

11. В субагентском договоре, заключаемом платежным субагентом с платежным агентом на оказание платежных услуг, должны быть определены обязанности сторон по обеспечению безопасности информации.

обеспечение защиты целостности и конфиденциальности конфиденциальных и персональных данных, обрабатываемых в платежной системе, и разработка порядка их использования;

разработка правил и требований по обеспечению безопасности и конфиденциальности при работе с защищаемой информацией, регламентируемых внутренними документами;

Максимально ограничить численность работников, работающих с конфиденциальной и персональной информацией, заключать с работниками соглашения (договоры), исключающие разглашение конфиденциальной и персональной информации, а также определять права работников по использованию этой информации, исходя из их должностных обязанностей;

формирование и утверждение состава комиссии по ведению перечня сведений, составляющих государственную тайну;

определение и утверждение перечня и объема конфиденциальной информации;

формирование и утверждение списка работников, допущенных к работе с конфиденциальной информацией;

разработка и утверждение технического паспорта объекта информатизации;

разработка и утверждение порядка работы с конфиденциальной информацией;

учет и уничтожение носителей конфиденциальной информации, ведение журналов вывоза/ввоза носителей конфиденциальной информации;

в целях обеспечения целостности и безопасности данных использование ключей электронной цифровой подписи и определение порядка хранения зашифрованных данных;

обеспечить идентификацию, аутентификацию и авторизацию при доступе к ресурсам, содержащим конфиденциальную и персональную информацию;

не допускать несанкционированной передачи прав на работу с конфиденциальной и персональной информацией;

фиксирование в электронных отчетах действий, осуществляемых в процессе доступа, обработки, хранения и представления защищаемой информации пользователей информационных систем;

предотвращение выноса из здания внешних запоминающих устройств и технического оборудования, а также их кражи;

контроль за обеспечением мер по предотвращению передачи, хранения, удаления, обработки данных и их несанкционированного распространения.

осуществление контроля за выполнением требований настоящего Положения по обеспечению информационной безопасности и кибербезопасности в информационных системах;

оценка обеспечения мер информационной безопасности, повышение уровня информационной безопасности и кибербезопасности, а также снижение и предотвращение потерь в результате аварий и ошибок сотрудников;

контролировать целостность и безопасность информационной инфраструктуры;

защита программного обеспечения на серверах;

ведение реестра электронных отчетов о действиях сотрудников во всех технологических процессах, а также действий пользователей платежных услуг, реализованных в информационных системах;

принять меры по обеспечению кибербезопасности в автоматизированных системах и предотвращению нецелевого использования средств путем противоправных действий;

принимать меры по предотвращению разглашения информации третьим лицам;

предоставлять информацию в Центральный банк при выявлении инцидентов информационной безопасности и кибербезопасности, киберугроз и кибератак, возникающих в инфраструктуре информационно-коммуникационных технологий;

проводить не реже двух раз в год исследование соответствия состояния информационной безопасности и кибербезопасности инфраструктуры информационно-коммуникационных технологий, информационных систем и ресурсов требованиям настоящего Положения, внутренним правилам и процедурам с учетом рисков информационной безопасности и кибербезопасности и документировать результаты исследования.

разрабатывать процедуры и правила, определяющие права работы в информационных системах, и отражать их в должностных инструкциях, а также обеспечивать порядок использования системы на основании соответствующего документа (заявления, запроса или иной формы);

формирование списка ответственных работников, допущенных к работе в информационных системах;

регистрация действий, связанных с определением и распределением прав на работы в информационных системах;

периодически (не реже двух раз в год) проверять, что права на работу в информационных системах определены логично и правильно исходя из должностных обязанностей;

обеспечивать информационную безопасность и кибербезопасность при эксплуатации и тестировании информационных систем, а также контролировать корректность прав на работу в данных информационных системах;

обеспечить, чтобы пользователи информационной системы не имели возможности изменять права, предоставляемые информационной системой, и принять меры по ограничению передачи этих прав посторонним лицам.

заключение соглашения о неразглашении конфиденциальной и персональной информации;

Работа с платежными и иными защищенными данными в информационных системах на основании авторизации в установленном порядке;

привлечение организаций, имеющих соответствующую лицензию и (или) иные разрешения (в случае, если указанная деятельность осуществляется на основании лицензии или соответствующего разрешения);

разработка мер по обеспечению конфиденциальности информации на этапе проектирования информационных систем;

меры по обеспечению информационной безопасности и кибербезопасности (выполняемые работы, устанавливаемые программы, устройства и т.п.), четко определенное техническое задание, акт приемки (план испытаний) и другие соответствующие документы;

составление перечня программного обеспечения и организаций, его разработавших и внесших (внесших) в него изменения;

определить предполагаемые сроки и условия разработки и внедрения информационных систем;

Служба информационной безопасности и кибербезопасности и ответственное должностное лицо по информатизации осуществляют контроль за обоснованностью изменений, вносимых в информационные системы сотрудниками задействованной организации, их соответствием действующим техническим требованиям, отсутствием чуждых информационной системе программ (функций системы), а также положительными результатами тестовых испытаний.

После выполнения организацией, внесшей изменения в автоматизированные системы, своих обязанностей или по истечении срока действия заключенного с ней договора вся известная ей конфиденциальная информация (идентификаторы, пароли и т.п.) и доступы к системе должны быть изменены службой информационной безопасности и кибербезопасности.

сегментацию компьютерных сетей и использование межсетевых экранов;

принятие технических (криптографических и иных) и/или организационных мер по предотвращению несанкционированного доступа к информации, получаемой и передаваемой по информационным сетям, включая сеть Интернет, а также обеспечение фильтрации сетевых данных (с использованием сетевых экранов);

идентификация, многофакторная аутентификация и авторизация при осуществлении платежей через информационные сети и веб-сайты (при осуществлении мобильных и бесконтактных платежей многофакторная аутентификация не применяется);

идентификация пользователей информационных сетей и сети Интернет, а также серверов и каналов связи;

реализация доступа сотрудников к интернет-ресурсам через прокси-сервер, ограничение доступа к веб-сайтам, не являющимся необходимыми для выполнения служебных обязанностей, и учет посещенных веб-сайтов;

обеспечение информационных систем основными и резервными каналами связи;

защита серверной сети (создание демилитаризованных зон (DMZ));

закрытие портов на серверах, не являющихся необходимыми для выполнения служебных обязанностей, и остановка предоставления услуг;

отслеживание объектов и ресурсов, обращающихся к информационной системе;

многофакторная аутентификация пользователей при осуществлении мобильных платежей (могут использоваться SMS, QR-код, NFC, отпечатки пальцев, радужная оболочка глаза или аналогичные методы проверки); обеспечение информационной безопасности и кибербезопасности платежных данных и информационных систем (баз данных) при удаленном доступе с использованием мобильных устройств;определение порядка использования паролей (одноразовых или многоразовых), используемых для идентификации и аутентификации клиентов в системах дистанционного обслуживания и иных информационных системах, использование кодов подтверждения, направление в систему одноразовых кодов подтверждения в зашифрованном виде, использование систем противодействия мошенничеству и биометрической идентификации, уточнение времени активации кодов и т. д.;

запись идентификационных данных (IP-адрес, MAC-адрес и другие идентификаторы) об устройстве, используемом для входа в автоматизированную систему;

использование систем обнаружения и предотвращения атак.

17. Операторы платежных систем и поставщики платежных услуг вправе использовать технические средства защиты информации иностранных организаций.

18. Операторы платежных систем должны установить технические и организационные меры и процедуры для обмена платежной информацией, а поставщики платежных услуг должны обеспечить реализацию этих процедур.

19. В целях повышения информационной безопасности и кибербезопасности может использоваться протокол трансляции сетевых адресов (NAT), позволяющий изменять IP-адреса сетевых транзитных пакетов в сетевом протоколе (TCP/IP). При этом должны вестись электронные журналы всех соединений по сети с указанием исходных IP-адресов и осуществляться их электронное архивирование в установленном порядке.

порядок обеспечения информационных сетей защищенными и надежными каналами связи;

порядок входа и выхода из платежной системы;

порядок обеспечения информационной безопасности и кибербезопасности при подключении пользователя к платежной системе;

порядок оценки и управления рисками, связанными с инцидентами информационной безопасности и кибербезопасности, киберугрозами и кибератаками;

процедуры и требования по обеспечению информационной безопасности в процессах обработки и клиринга (в случае внедрения данной услуги);

меры и методы управления рисками;

порядок создания уникальных идентификаторов пользователей в автоматизированной системе, информационных программах;

перечень действий, подлежащих регистрации;

Процедура регистрации и хранения данных.

учет программ и устройств, используемых для обработки, хранения и передачи информации по сетям информационной инфраструктуры;

внедрение систем (SIEM и других), позволяющих проводить анализ событий информационной безопасности и кибербезопасности, мониторинг состояния информационной безопасности и кибербезопасности, оповещение;

анализировать данные системы мониторинга состояния информационной безопасности и кибербезопасности и принимать меры по устранению и (или) предотвращению выявленных ситуаций (несанкционированного доступа и попыток доступа к информационной сети, сбоев в работе системы, нехватки информационных ресурсов, сбоев в работе сети, ограничений по обеспечению информационной безопасности и кибербезопасности и иных событий);

принимать меры по предотвращению несанкционированного доступа к конфиденциальной информации и критически важным логическим и физическим ресурсам (информационным сетям, информационным системам, базам данных, модулям защиты информации);

дата (день, месяц, год) и время (час, минута, секунда) совершения пользователем операции, идентификационный номер, присвоенный пользователю в автоматизированных системах и информационных программах, идентификационные данные, доступные при доступе к системам (IP-адрес, MAC-адрес, IMEI-код, номер телефона и/или иной идентификатор устройства), фиксирование действий по предоставлению прав пользователю автоматизированными системами;

организация круглосуточного мониторинга информационной безопасности и кибербезопасности;

обеспечение подключения системы мониторинга информационной безопасности и кибербезопасности к системе мониторинга центра кибербезопасности CERT-CBU Центрального банка;

регистрация действий (операций) пользователей, связанных с использованием информационных программ и автоматизированных систем.

определить организационные меры по обеспечению информационной безопасности и кибербезопасности, которые необходимо применять;

назначение персонала, ответственного за использование, наладку и регистрацию данных существующих технических устройств;

принимать меры по выявлению инцидентов, связанных с нарушением требований информационной безопасности и кибербезопасности, и при выявлении указанных инцидентов работниками информировать службу информационной безопасности и кибербезопасности;

Устранять инциденты, связанные с нарушениями требований информационной безопасности и кибербезопасности, выявлять и анализировать причины их возникновения, а также принимать соответствующие меры по недопущению возникновения выявленных инцидентов;

регистрация (ведение журнала) выявленных инцидентов;

определение порядка хранения информации о выявленных событиях;

принимать иные меры по обеспечению информационной безопасности и кибербезопасности.

Операторы платежных систем и поставщики платежных услуг обязаны незамедлительно уведомлять Центральный банк в письменной или электронной форме о любых инцидентах, связанных с нарушением требований информационной безопасности и кибербезопасности.

требования по обеспечению информационной безопасности и кибербезопасности технических и программных средств, необходимых для осуществления платежей в пользу других участников платежной системы;

требования к форме и порядку информирования о неблагоприятных событиях, связанных с платежной системой и платежами;

порядок управления рисками, связанными с информационной безопасностью и кибербезопасностью в платежной системе, и критерии их оценки;

порядок обеспечения безопасного функционирования средств обработки платежных данных;

порядок взаиморасчетов при возникновении неприятных событий в платежной системе.

принятие мер по предотвращению рисков, связанных с доставкой платежных устройств клиенту;

сообщать операторам платежных систем при выявлении случаев утери, кражи, завладения посторонними лицами платежного оборудования.

25. Операторы платежных систем обязаны предоставлять поставщикам платежных услуг информацию об инцидентах, связанных с нарушением требований информационной безопасности и кибербезопасности в платежной системе, а также методическое руководство по анализу и устранению указанных ситуаций.

Предвидеть необходимые действия в ответ на потенциальные инциденты и определить список действий, которые необходимо предпринять;

принять краткосрочные меры воздействия в отношении инцидентов;

обеспечение непрерывности бизнеса, а также предотвращение незаконных платежей и несанкционированного изменения остатков на счетах, восстановление информации и устранение других негативных ситуаций;

обеспечение соблюдения работниками установленных требований информационной безопасности и кибербезопасности при работе в существующих информационных системах;

формализация, сбор, анализ электронных отчетов сетевых устройств и информационных систем с целью определения факторов возникновения произошедших событий и разработка на их основе соответствующих инструкций.

порядок анализа службой информационной безопасности и кибербезопасности совместно с профильными подразделениями причин выявленных инцидентов после принятия мер по ним;

изучение соответствующих электронных протоколов информационных систем и получение объяснений от сотрудников, причастных к выявленному инциденту;

выяснять причины возникновения инцидентов и принимать меры по предупреждению возникновения таких ситуаций или в случае их возникновения — по снижению вероятности причинения вреда (в том числе путем привлечения соответствующих специалистов);

классификация событий по уровню негативного воздействия и их оценка на основе критериев оценки.

Меры реагирования, принятые по выявленным инцидентам, связанным с нарушениями требований информационной безопасности и кибербезопасности, результаты их оценки и другая дополнительная информация должны публиковаться и храниться в отдельном файле.

ведение учета банкоматов, инфокиосков и платежных терминалов и предотвращение несанкционированного доступа к их информационной программе;

контроль за деятельностью персонала технической службы банкоматов, инфокиосков и платежных терминалов и ведение электронного учета вносимых ими изменений;

контроль процессов работы с банкоматами с использованием систем видеонаблюдения (ПИН-коды банковских карт, вставленных в банкоматы, не должны фиксироваться системами видеонаблюдения);

обеспечить запись данных видеонаблюдения с банкоматов, расположенных вне здания головного банка и его инфраструктуры (отделения, мини-банка и т.п.), а также других охраняемых объектов, непосредственно (в режиме реального времени) на технические устройства в головном банке или его филиале;

защита кабелей сети АТМ;

замена замков банкоматов, идентичных другим банкоматам;

защита банкоматов от возможных атак (включая скимминг) по каналам связи или при физическом подключении;

Защитите права доступа к операционной системе и BIOS банкомата с помощью сложных паролей;

установка процедуры аутентификации;

учет платежных устройств;

обеспечение физической защиты денежных средств в банкоматах;

обеспечение информационной безопасности и кибербезопасности при информационном обмене в сети;

Внедрение средств и систем защиты информации в соответствии с требованиями международных стандартов (PCI DSS, PTS, PA DSS) в информационные системы, работающие с международными платежными системами.

29. Операторы платежных систем совместно с банками обеспечивают информационную безопасность и кибербезопасность банкоматов и инфокиосков в своих системах, а также осуществляют контроль за их бесперебойной и корректной работой. В случае возложения части (или всей) ответственности за обеспечение информационной безопасности и кибербезопасности на поставщика платежных услуг это должно быть отражено в соответствующих договорах, а организации, на которую возложена эта ответственность, должны быть предоставлены необходимые условия (права на работу в информационной системе банкоматов).

обеспечить надежность бесперебойной работы платежной системы;

организация службы информационной безопасности и кибербезопасности и определение ее обязанностей;

Собственный DSt 2875:2014«Требования к центрам обработки данных. Обеспечение готовности и защищенности телекоммуникационной инфраструктуры центров обработки данных не ниже третьего уровня стандарта «Обеспечение безопасности инфраструктуры и информации»;

соблюдение стандарта безопасности PCI DSS и Директивы о платежных услугах (PSD2) при использовании международных банковских карт;

обеспечение аудита ИКТ-инфраструктуры (состояния информационной безопасности) путем привлечения авторитетных международных аудиторских организаций на предмет правильности организации информационных систем;

Выполнение требований, установленных для операторов значимых платежных систем Законом Республики Узбекистан «О платежах и платежных системах» и другими законодательными актами.

31. Операторы значимых платежных систем обязаны создавать основные информационные системы обработки данных и резервные информационные системы на расстоянии не ближе 50 километров от места их нахождения. При этом основные и резервные информационные системы создаются на территории Республики Узбекистан.

Операторы значимых платежных систем обязаны хранить данные своих информационных систем (электронные записи и иные данные, связанные с платежами) в электронных архивах не менее чем в двух экземплярах (в том числе по одному экземпляру в каждой из основных и резервных информационных систем).

восстановить работоспособность сети и иных устройств, относящихся к платежной системе, а также обеспечить их бесперебойную работу в случае возникновения сбоев;

разработать порядок (механизм) резервного копирования и хранения копий операционных систем, программного обеспечения, программ информационных систем, данных (баз данных, настроек, электронных протоколов) в электронном архиве, их восстановления, а также ведения их учета и контроля;

иметь запасные технические устройства и оборудование;

Разработать план восстановления резервных копий данных на случай технических сбоев и аварийных ситуаций и периодически (раз в год) проводить проверку восстановления информационной системы;

проверить внесение изменений в программы на серверах, предназначенных для тестирования;

контролировать работу устройств и оборудования в системе;

предотвращение ситуаций, которые могут негативно повлиять на непрерывность функционирования платежной системы, и обеспечение защиты информации;

использование дизельной электростанции и/или других средств обеспечения бесперебойного электроснабжения (ИБП и т.п.);

сохранять обработанные данные и обеспечивать их ведение в электронном архиве;

обеспечение хранения данных, связанных с деятельностью клиентов, в течение не менее пяти лет;

создание рабочей группы по обеспечению соблюдения требований по обеспечению информационной безопасности и кибербезопасности при электронном архивировании и представление в Центральный банк не реже двух раз в год отчетов о результатах ее работы;

иметь резервные сети передачи информации.

33. Операторы платежных систем и поставщики платежных услуг, не являющиеся операторами критически важных платежных систем, обязаны создать основные информационные системы обработки данных и создать резервные информационные системы не ближе 5 километров от места своего нахождения. При этом основные и резервные информационные системы создаются на территории Республики Узбекистан.

Информация в информационных системах (электронные документы и иная информация, связанная с платежами) может храниться в электронных архивах не менее чем в двух экземплярах (в том числе по одному экземпляру в каждой из основных и резервных информационных систем).

34. При прекращении деятельности операторов платежных систем и поставщиков платежных услуг информационные ресурсы имеющегося у них электронного архива передаются в государственные архивы.

При прекращении деятельности операторов платежных систем и поставщиков платежных услуг и передаче их в другую организацию данные электронного архива передаются в электронный архив передаваемой организации.

быть защищенным от несанкционированного физического доступа;

Если помещение находится на первом этаже, его окна должны быть оборудованы железными решетками;

оборудован двумя охранно-пожарными барьерами;

оборудованы средствами ночной охраны и оповещения;

наблюдение посредством видеонаблюдения.

Операторы платежных систем и поставщики платежных услуг могут принимать иные меры безопасности в дополнение к требованиям, изложенным в настоящем пункте, к хранению и обработке данных, связанных с платежами.

36. Срок хранения всех данных видеонаблюдения, указанных в настоящем Положении, не должен быть менее одного месяца.

37. При обеспечении безопасности помещений операторов платежных систем и поставщиков платежных услуг они должны быть оснащены необходимым оборудованием, организационно-техническими средствами, а также использоваться соответствующее программное обеспечение.

38. Операторы платежных систем должны осуществлять контроль и мониторинг обеспечения информационной безопасности и кибербезопасности в своих платежных системах.

39. Операторы платежных систем и поставщики платежных услуг обязаны проводить анализ автоматизированных систем, приложений и объектов информационной инфраструктуры на предмет уязвимостей информационной безопасности и кибербезопасности, проверку на предмет несанкционированного доступа не реже двух раз в год и контролировать отсутствие недокументированных возможностей.

40. Операторы платежных систем и поставщики платежных услуг обязаны ежегодно не позднее 1 апреля следующего года представлять в Центральный банк отчет о состоянии информационной безопасности и кибербезопасности.

подключение информационных систем (мобильных приложений, интернет-банкинга и т.д.), обеспечивающих дистанционное совершение операций по банковским картам и счетам, учетных записей в мобильных приложениях, электронных кошельков к централизованным системам противодействия мошенничеству и биометрической идентификации Центрального банка;

ведение реестра подозрительных (мошеннических) операций, связанных с переводом денежных средств;

сбор информации о банковских картах и ​​счетах, учетных записях в мобильных приложениях, а также банковских картах, участвующих в подозрительных (мошеннических) операциях, связанных с электронными кошельками;

Предотвращение подозрительных (мошеннических) операций по банковским картам и счетам, счетам в мобильных приложениях, электронным кошелькам с использованием систем противодействия мошенничеству;

В случае выявления подозрительных (мошеннических) операций с банковскими картами временное ограничение (блокирование) использования банковских карт и счетов, счетов в мобильных приложениях, электронных кошельков на срок до трех суток на основании обязательного для исполнения указания Центрального банка;

организовать работу службы по принятию мер по противодействию подозрительным (мошенническим) операциям по банковским картам и счетам, счетам в мобильных приложениях и электронным кошелькам (сотрудников, ответственных за принятие мер по противодействию подозрительным (мошенническим) операциям) в круглосуточном (24/7) режиме;

осуществлять удаленный мониторинг бесперебойной работы информационных систем (мобильных приложений, интернет-банкинга и т.д.), осуществляющих операции по банковским картам и счетам, счетам мобильных приложений, электронным кошелькам, во взаимосвязи с системами противодействия мошенничеству и биометрической идентификации.

42. Операторы платежных систем, участники платежной системы и платежные организации в документах по управлению рисками определяют порядок выявления операций, соответствующих признакам переводов денежных средств, осуществляемых без согласия физических и юридических лиц, с банковских карт, путем анализа наименования, суммы и характера операций по переводам денежных средств, осуществляемым без согласия физических и юридических лиц.

43. Операторам платежных систем необходимо внедрить транзакционные системы противодействия мошенничеству для предотвращения несанкционированных переводов денежных средств физическими и юридическими лицами с использованием банковских карт и обеспечить их интеграцию в централизованную систему противодействия мошенничеству Центрального банка.

44. Участникам платежной системы и платежным организациям следует внедрить сеансовые системы противодействия мошенничеству и обеспечить их интеграцию в централизованную систему противодействия мошенничеству Центрального банка.

45. При выявлении операций, соответствующих признакам переводов денежных средств, осуществляемых без согласия физических и юридических лиц с использованием банковских карт в участниках платежных систем и платежных организациях, исполнение распоряжения, поданного на совершение данной операции, осуществляется в рамках систем противодействия мошенничеству.

анализировать описание, объемы и движения денежных переводов, осуществляемых без согласия физических и юридических лиц, оценивать и управлять рисками, а также определять процессы выявления операций, соответствующих их критериям;

освещать вопросы применения мер по противодействию подозрительным (мошенническим) операциям с банковскими картами в рамках системы противодействия мошенничеству в договорах, заключаемых между физическими и юридическими лицами (публичных офертах);

сбор и анализ поступающих жалоб о подозрительных (мошеннических) операциях, связанных с банковскими картами;

В случае если при осуществлении пользователем платежного сервиса перевода денежных средств данный платеж попадает в список подозрительных (мошеннических) операций, пользователь уведомляется об этом (посредством SMS, мессенджера или иных информационных систем), получает повторное подтверждение (путем ввода PIN-кода, секретного слова или иной информации) и, если данное подтверждение не поступает в течение определенного срока, отменяет данную платежную операцию;

предоставление возможности пользователю приостанавливать (блокировать) платежные операции по его счетам;

своевременно предоставлять по запросу Центрального банка сведения, имеющиеся в его информационных системах, о банковских картах и ​​счетах, счетах мобильных приложений, электронных кошельках, участвовавших в подозрительных (мошеннических) операциях с использованием банковских карт;

Представлять в Центральный банк сведения о выявленных в информационных системах и ресурсах случаях несанкционированного перевода денежных средств или попытках осуществления переводов денежных средств физических и юридических лиц.

47. В случаях осуществления платежей операторами платежных систем, участниками платежных систем и платежными организациями без согласия физических и юридических лиц временное ограничение (блокирование) использования банковских карт и счетов, счетов мобильных приложений и электронных кошельков, участвующих в платежной системе, снимается на срок временного ограничения (блокирования), если иные основания для их ограничения (блокирования) не предусмотрены законодательством.

48. Критерии осуществления переводов денежных средств без согласия физических и юридических лиц определяются на основании решения Центрального банка.

вести реестр платежных агентов и субагентов, а также представлять измененный реестр в Центральный банк в течение 1 рабочего дня с момента регистрации, изменения и исключения платежных агентов и субагентов;

Использовать отдельный терминал ЭПОС для осуществления переводов денежных средств между физическими лицами (P2P), а также запрещать использование этих терминалов ЭПОС в иных целях;

контролировать использование терминалов ЭПОС в целях, указанных в договоре;

разработать порядок обеспечения информационной безопасности и кибербезопасности при использовании терминалов ЭПОС, а также паролей и прав доступа пользователей.

50. Операторы платежных систем и участники платежных систем обязаны в соответствии с обязательными для исполнения предписаниями Центрального банка принимать меры по приостановлению использования терминалов ЭПОС или отключению этих терминалов в целях ограничения или пресечения осуществления подозрительных (мошеннических) операций.

51. Лица, виновные в нарушении требований настоящих Правил, несут ответственность в порядке, установленном законодательными актами.