Правила Национальной системы массовых электронных платежей

Глава 5. Правила забезпечення безпеки в НСМЕП

5.1. Одним із найважливіших елементів мінімізації ризиків у НСМЕП є забезпечення високого рівня захисту інформації (далі - інформаційна безпека) системи. Розроблення правил організації (політики) інформаційної безпеки НСМЕП та їх реалізація здійснюється Платіжною організацією або іншою установою на її замовлення відповідно до законодавства України та вимог, установлених Національним банком.

5.2. Під час проведення політики інформаційної безпеки в НСМЕП Платіжна організація застосовує комплекс організаційних заходів та програмно-технічних засобів, які забезпечують надійний захист інформації на кожній ланці організаційної та технологічної інфраструктури системи.

5.3. Члени та учасники НСМЕП зобов'язані виконувати встановлені законодавством України, Правилами та іншими нормативними документами Платіжної організації вимоги щодо забезпечення захисту інформації, яка обробляється в системі, а також несуть відповідальність у разі порушення цих вимог відповідно до законодавства України та Правил.

5.4. Члени та учасники НСМЕП зобов'язані повідомляти Платіжну організацію про виявлені ними випадки порушення вимог щодо забезпечення інформаційної безпеки в системі. У разі виявлення ознак, що можуть свідчити про вчинення злочину, вони зобов'язані повідомити про це порушення відповідні правоохоронні органи.

5.5. Головними об'єктами захисту в НСМЕП є:

фінансові трансакції та трансакції за операціями із використанням службових карток;

документи за операціями із застосуванням платіжних карток та документи на переказ, що формуються на підставі фінансових трансакцій;

обмін інформацією між компонентами АПК, системи автоматизації банківських операцій тощо;

важлива інформація НСМЕП (ключі, стоп-листи, довідники, архіви, інформація про клієнтів та стан їх рахунків тощо);

програмно-технічні засоби оброблення трансакцій, документів за операціями із застосуванням платіжних карток та документів на переказ;

програмно-технічні засоби генерації, обліку і розповсюдження ключової інформації, а також ініціалізації та персоналізації карток.

5.6. Головною метою захисту інформації в НСМЕП є запобігання:

несанкціонованому доступу до інформації, знищенню, викривленню інформації трансакцій, документів за операціями із застосуванням платіжних карток та документів на переказ на кожній ланці організаційної та технологічної інфраструктури системи або втручанню в процес їх формування;

несанкціонованим змінам конфігурації та програмного забезпечення компонентів НСМЕП;

несанкціонованим діям обслуговуючого персоналу НСМЕП.

5.7. Для запобігання порушенням, що можуть загрожувати інформаційній безпеці системи, в НСМЕП повинні здійснюватися такі організаційні заходи:

проведення аналізу можливих загроз та втрат для системи в цілому і кожного її члена та учасника зокрема, а також підготовка даних для прийняття рішень щодо нештатних ситуацій;

розроблення Платіжною організацією інструкцій та рекомендацій щодо забезпечення захисту інформації кожним членом та учасником НСМЕП;

розроблення інструкцій щодо дій обслуговуючого персоналу членів та учасників НСМЕП із збереження конфіденційної інформації під час виникнення стихійних лих;

організація навчання обслуговуючого персоналу членів та учасників НСМЕП та контроль за їх роботою;

керування розподілом прав доступу користувачів та обслуговуючого персоналу до інформаційних джерел НСМЕП, облік засобів доступу до них;

керування генерацією, обліком та поширенням ключової інформації;

регламентація порядку внесення змін до програмно-технічних засобів технологічної інфраструктури системи;

організація обліку, зберігання і знищення документів та носіїв з конфіденційною інформацією.

5.8. Для запобігання порушенням, що можуть загрожувати інформаційній безпеці системи, в НСМЕП застосовуються такі програмно-апаратні засоби та заходи щодо захисту інформації:

чіткий розподіл прав доступу до інформаційних джерел НСМЕП як між членами/учасниками НСМЕП, так і між обслуговуючим персоналом, а також персоніфікація здійснення операцій і їх протоколювання;

розвинута ключова система, що дає змогу контролювати трансакції та запити двома незалежними шляхами;

розвинута система стоп-листів;

апаратні модулі безпеки, що містять важливу інформацію НСМЕП та здійснюють криптографічні операції;

автоматичне ведення захищених журналів, що містять записи використання компонентів системи, усіх дій АКС, процесингу та виконання фінансових і деяких службових операцій для карток і терміналів;

засоби самодіагностики, що дають змогу визначати порушення цілісності баз даних і програмного забезпечення, відсутність та спроби повторення трансакцій, спроби несанкціонованого доступу до компонентів системи.

Під час проходження інформації (службові та фінансові трансакції) на ланках картка - термінал - АКС - процесинговий центр завжди забезпечується її цілісність за допомогою автентифікаційного коду повідомлення.

5.9. Оперативне управління безпекою НСМЕП виконує ГПЦ, який має у своєму складі відповідну службу. Аналогічні служби повинні мати РПЦ, БПЦ, а також члени та учасники НСМЕП, у яких є власні АКС.

Служби безпеки НСМЕП членів (учасників) НСМЕП підпорядковуються керівнику своєї служби захисту інформації або аналогічної служби. Служба безпеки НСМЕП члена (учасника) співпрацює із службою безпеки відповідного процесингового центру, а остання - із службою безпеки ГПЦ, отримуючи методичну, інформаційну та консультативну допомогу.

5.10. Правила забезпечення безпеки Платіжною організацією, членами та учасниками НСМЕП, а також перелік основних об'єктів, які підлягають захисту кожним з них, наведені в її документах щодо забезпечення безпеки в НСМЕП.

Розділ XII. Порядок вирішення спорів. Припинення членства (участі) в НСМЕП

Глава 1. Порядок вирішення спорів


1.1. У разі виникнення суперечностей між членами та/або учасниками НСМЕП унаслідок невиконання або неналежного виконання ними своїх зобов'язань відповідно до умов укладених договорів, з метою отримання необхідної інформації сторони мають право звертатися до інших членів та/або учасників НСМЕП, з якими вони мають договірні відносини, або до Платіжної організації в разі відсутності таких договірних відносин.

Члени та учасники НСМЕП, які отримали відповідний запит про надання необхідної інформації, зобов'язані оперативно розглянути цей запит і за наявності такої інформації задовольнити його. Платіжна організація у разі потреби має право отримати будь-яку необхідну інформацію у членів та/або учасників НСМЕП, а також повинна надати її члену та/або учаснику НСМЕП за його запитом.

1.2. Для розгляду спорів, що виникають під час вирішення суперечностей між членами та/або учасниками системи, Платіжна організація має постійно діючу комісію з вирішення спорів (далі - комісія).

1.3. Комісія зобов'язана оперативно розглянути звернення заявника і прийняти рішення. З цією метою комісія має право проводити відповідні перевірки із залученням до її роботи представників від членів та/або учасників системи та отримувати будь-яку необхідну для прийняття обґрунтованого рішення інформацію від членів та/або учасників НСМЕП. Якщо сторони (сторона) не згодні з рішеннями, прийнятими комісією, то вони(а) можуть(е) для вирішення спору звернутися до суду (господарського суду).

Глава 2. Загальні підстави припинення членства (участі) в НСМЕП

2.1. Усі члени та учасники НСМЕП можуть припинити участь у НСМЕП за власним бажанням або з причин, наведених у цьому розділі.

2.2. Підставою для ініціювання припинення членства або участі в НСМЕП за власним бажанням є:

для члена НСМЕП - заява Платіжній організації про припинення членства в НСМЕП (у письмовій формі);

для учасника НСМЕП - юридичної особи - заява Платіжній організації або лист до іншої сторони договірних відносин (у разі відсутності договору з Платіжною організацією) про припинення участі в НСМЕП (у письмовій формі);

для учасника НСМЕП - фізичної особи - заява емітенту про припинення його розрахункового обслуговування за платіжною карткою (у письмовій формі).

Члени та учасники НСМЕП - юридичні особи повинні звертатися до Платіжної організації або іншої сторони договірних відносин із заявою (листом) про припинення членства (участі) в НСМЕП у строки, передбачені відповідним договором.

Глава 3. Припинення членства (участі) в НСМЕП юридичної особи

3.1. З ініціативи Платіжної організації ініціювання припинення членства (участі) в НСМЕП її члена або учасника - юридичної особи може бути здійснено з таких причин:

невиконання зобов'язань, пов'язаних із розрахунками з іншими членами та учасниками НСМЕП;

порушення умов договору з Платіжною організацією та вимог Правил;

встановлення факту надання Платіжній організації недостовірної фінансової інформації та/або інших даних, які потрібні для укладання договору, вирішення спорів і конфліктів, забезпечення функціонування НСМЕП;

якщо учасник НСМЕП - юридична особа або член НСМЕП не розпочав обслуговування інших членів або учасників НСМЕП протягом строку, визначеного у документах Платіжної організації щодо порядку вступу до НСМЕП та оформлення участі в НСМЕП, що відлічується від дати набрання чинності договору з Платіжною організацією.

3.2. Безумовне припинення участі в НСМЕП її члена ініціюється Платіжною організацією на підставі:

рішення Національного банку про ліквідацію банку;

рішення суду про ліквідацію банку чи визнання його банкрутом;

рішення вищого органу управління банку про його ліквідацію;

відкликання банківської ліцензії Національним банком;

на інших підставах, передбачених законодавством України.

3.3. Безумовне припинення участі в НСМЕП її учасника - юридичної особи ініціюється Платіжною організацією на підставі:

рішення суду про визнання його банкрутом;

рішення вищого органу управління цього учасника про його ліквідацію;

на інших підставах, передбачених законодавством України.

3.4. Обмеження або тимчасове зупинення членства/участі в НСМЕП її члена або учасника - юридичної особи може бути здійснено Платіжною організацією на визначений нею строк у разі:

порушення ним технології роботи в системі;

незадовільної якості обслуговування інших членів/учасників НСМЕП, незадовільного стану його технічної оснащеності, що впливає на якість обслуговування інших членів/учасників НСМЕП та/або виконання ними договірних зобов'язань;

невиконання ним вимог щодо забезпечення захисту головних об'єктів захисту в НСМЕП.

Учасник НСМЕП - юридична особа або член НСМЕП може продовжити роботу в НСМЕП лише після службового розслідування факту порушення ним технології роботи в системі та/або невиконання вимог щодо забезпечення захисту головних об'єктів захисту в НСМЕП та усунення недоліків. Розслідування повинно проводитися Платіжною організацією або уповноваженою нею особою в найкоротший строк.

3.5. За заявою учасника НСМЕП - юридичної особи або члена НСМЕП чи з власної ініціативи з причин, наведених у цьому розділі, Платіжна організація приймає обґрунтоване рішення про обмеження, тимчасове зупинення або припинення участі члена або учасника НСМЕП в системі. Після чого сторони договірних відносин виконують відповідні процедури за технологією, визначеною Платіжною організацією.

3.6. Умовами припинення участі в НСМЕП для торговця є:

виведення з обігу всіх терміналів НСМЕП, що були зареєстровані еквайрами за цим торговцем;

припинення дії договору(ів) між торговцем та еквайром(ами);

припинення дії договору(ів) між торговцем та технічним(и) еквайром(ами) (за наявності).

3.7. Умовами припинення членства в НСМЕП для члена є:

припинення дії договору(ів) з Платіжною організацією;

припинення дії договору з процесинговим центром, що його обслуговує;

припинення дії договорів з клієнтами та вилучення з обігу емітованих ним карток (для емітента);

припинення дії договорів з торговцями, яких він обслуговує (для еквайра);

припинення дії договору з технічним еквайром, якому він делегував інформаційні та технологічні функції обслуговування торговців (для еквайра, за наявності);

припинення дії договору з БПЦ, якому він делегував інформаційні функції емітента (для емітента/еквайра, що працює з делегуванням інформаційних функцій).

3.8. Умови вилучення з обігу платіжних і службових карток, а також терміналів (банкоматів) у разі припинення участі члена або учасника в НСМЕП обумовлюються відповідними договорами. Також умовами цих договорів повинні регламентуватися строки інформування іншої сторони договірних відносин про припинення членства/участі члена/учасника в НСМЕП та порядок повернення платіжних і службових карток, а також виведення терміналів із обігу.

У зв'язку з припиненням свого членства в НСМЕП емітент повинен повідомити своїх клієнтів про припинення дії договору(ів) з ними за один місяць до настання цієї події. Протягом цього строку клієнти мають отримати залишки коштів на відповідних платіжних додатках платіжних карток.

3.9. Членство (участь) в НСМЕП для члена (учасника) - юридичної особи припиняється після виконання ним відповідних умов припинення членства (участі) в НСМЕП з дня припинення дії відповідного договору з Платіжною організацією або іншою стороною.

Глава 4. Припинення участі в НСМЕП держателя картки

4.1. Припинення участі в НСМЕП держателя картки (клієнта) може бути здійснено:

за власним бажанням;

з ініціативи емітента;

з ініціативи клієнта - юридичної особи або фізичної особи-підприємця (щодо держателя його корпоративної картки);

у разі смерті клієнта;

у випадках, визначених законодавством України.

4.2. Для ініціювання припинення участі в НСМЕП за власним бажанням клієнт повинен подати емітенту заяву про припинення його розрахункового обслуговування за платіжною(ими) карткою(ами) у письмовій формі та пред'явити документ, що засвідчує його особу.

4.3. Для ініціювання припинення участі в НСМЕП за власним бажанням держатель картки, що є довіреною особою юридичної особи або фізичної особи-підприємця, повинен подати емітенту у письмовій формі заяву про виведення картки з обігу, підписану уповноваженими особами юридичної особи (фізичною особою - підприємцем), та пред'явити документ, що засвідчує його особу, або документ, що його замінює.

4.4. Для ініціювання припинення участі в НСМЕП клієнта з ініціативи емітента (у разі невиконання клієнтом або його довіреною особою умов договору) він повинен письмово попередити про це клієнта, обов'язково зазначивши причини розірвання договору.

4.5. Для ініціювання припинення участі в НСМЕП держателя корпоративної картки, що є довіреною особою клієнта - юридичної особи або фізичної особи-підприємця, він повинен подати емітенту заяву в письмовій формі про виведення картки з обігу, підписану уповноваженими особами юридичної особи (фізичної особи-підприємця), та внести відповідні зміни до договору з емітентом щодо держателя корпоративної картки.

4.6. Для ініціювання припинення участі в НСМЕП клієнта в разі його смерті спадкоємці повинні подати до емітента відповідну заяву в письмовій формі та пред'явити відповідні документи.

4.7. У випадках, визначених законодавством України, припинення участі в НСМЕП держателя картки відбувається згідно з цим законодавством.

4.8. Повернення емітентом коштів клієнту у разі виведення з обігу платіжної картки здійснюється таким чином:

а) у разі виведення з обігу платіжної картки повернення клієнту залишків коштів на її платіжних додатках здійснюється одним із таких способів:

шляхом блокування цієї картки та перерахування залишків коштів на її платіжних додатках на відповідний(і) рахунок(и) завантаження клієнта відповідно до трансакції блокування картки;

шляхом отримання клієнтом готівки з платіжних додатків цієї картки;

шляхом перерахування залишку коштів на чековому картрахунку на відповідний(і) рахунок(и) завантаження клієнта після закінчення періоду актуальності трансакцій;

б) у разі виведення з обігу платіжної картки, що вийшла з ладу, залишок коштів на чеку повертається клієнту на підставі його письмової заяви в термін, який визначений Платіжною організацією, в обсязі залишку коштів на відповідному чековому картрахунку шляхом перерахування цих коштів на відповідний(і) рахунок(и) завантаження клієнта. У цьому разі залишок коштів на гаманці повертається клієнту за наявності технічної можливості зчитування з картки залишку коштів на цьому платіжному додатку.

Якщо платіжна картка втрачена/викрадена, то кошти повертаються клієнту або шляхом перерахування залишку коштів на чековому картрахунку на відповідний(і) рахунок(и) завантаження клієнта після закінчення терміну дії картки, збільшеного на період актуальності трансакцій (якщо картка не була внесена за ініціативи клієнта до стоп-листа), або шляхом послідовного виконання процедур унесення її до стоп-листа з ініціативи клієнта банку чи емітента та повернення йому залишків коштів за внесеною до стоп-листа платіжною карткою відповідно до пункту 3.12 розділу XI.

4.9. У разі розірвання або припинення дії договору з ініціативи клієнта емітент на власний ризик може повернути клієнту залишки коштів на його карткових рахунках до завершення періоду актуальності трансакції, навіть якщо емітент не отримав трансакції блокування.

Під час повернення цих коштів до закінчення періоду актуальності трансакції емітент має врахувати свою відповідальність за ризик надання клієнту кредиту для виконання його зобов'язань за здійсненими операціями із застосуванням платіжної картки, що настає з дня надходження журналів операцій картки.

4.10. Видача залишків коштів клієнта в разі його смерті особам, що мають на це право, здійснюється відповідно до законодавства України на підставі заяви спадкоємців, що пред'явили відповідні документи, з урахуванням вимог пунктів 4.8 та 4.9 цього розділу.

4.11. Участь у НСМЕП держателя платіжної картки припиняється з дня припинення дії відповідного договору з емітентом.

Заступник директора Департаменту
інформатизації - начальник
управління масових електронних
платежів Б.П.Дяченко

ПОГОДЖЕНО
Заступник Голови
Національного банку України П.М.Сенищ



© 2007 - 2009, ООО "ЮРИДИЧЕСКАЯ ФИРМА "УКРКОНСАЛТИНГ", Украина, Харьков