Dekret Nr. 2 / 2022 Coll.
Dekret zur Änderung des Dekrets Nr. 7 / 2018 Coll., zu bestimmten Bedingungen für die Durchführung der Tätigkeiten des Zahlungsinstituts, des Verwalters der Zahlungskontoinformationen, eines kleinen Zahlungsdienstleisters, einer elektronischen Geldeinrichtung und eines kleinen elektronischen Geldgebers
Gültig
In Kraft seit 01.07.2022
Zobrazeno prvních 200 z celkem 299 ustanovení tohoto předpisu.
Zobrazit celý předpis →
Pro stažení celého znění použijte tlačítko Stáhnout výše.
2.
ERKLÄRUNG
vom 22. Dezember 2021
zur Änderung des Erlasses Nr. 7 / 2018 Slg., zu bestimmten Bedingungen für die Ausübung der Tätigkeit eines Zahlungsinstituts, des Verwalters von Zahlungskontoinformationen, des Kleinzahldienstleisters, der elektronischen Geldeinrichtung und des Emittenten von Kleingeld
Die Tschechische Nationalbank sieht gemäß § 263 des Gesetzes Nr. 370 / 2017 Coll., zur Zahlung, zur Durchführung von § 16 Abs. 5, § 17 Abs. 3, § 20 (4), § 46 (2), § 48 (4), § 59 Abs. 4 Abs. 65a Abs. 2, § 74 (6), § 75 Abs. 3 Abs. 4 und § 100 Abs. 4 dieses Gesetzes vor:
Erlass Nr. 7 / 2018 Coll., zu bestimmten Bedingungen für die Durchführung der Tätigkeiten des Zahlungsinstituts, der Verwalter der Zahlungskontoinformationen, der kleine Zahlungsdienstleister, die elektronische Geldeinrichtung und der Emittent von kleinräumigen elektronischen Geldern, werden wie folgt geändert:
1. Absatz 1 einschließlich Titel und Fußnote 1 lautet wie folgt:
Gegenstand
Diese Verordnung führt die einschlägigen Bestimmungen der Europäischen Union1) durch und sieht vor
a) die Art und Weise, in der bestimmte Anforderungen an das Verwaltungs- und Kontrollsystem des Zahlungsinstituts, das elektronische Geldinstitut und den Informationsverwalter des Zahlungskontos erfüllt sind;
b) die Art und Weise, in der die Anforderungen des Sicherheits- und Betriebsrisikomanagementsystems sowie des Beschwerde- und Beschwerdemanagementsystems des Kleinzahldienstleisters und des Kleingeldgebers erfüllt sind;
c) Vorschriften für die Berechnung der Höhe der Eigenmittel und der Kapitaladäquität des Zahlungsinstituts und des elektronischen Geldinstituts, einschließlich der individuellen Ansätze, die bei der Berechnung der Kapitaladäquität angewandt werden können;
d) die Mindesthöhe der Versicherungsprämien und die Mindesthöhe der vergleichbaren Sicherheiten für das Zahlungsinstitut, das elektronische Geldinstitut und den Zahlungskonto-Informationsmanager.
(1) Artikel 4 (46), Artikel 8 Absatz 2, Artikel 9, Artikel 9 Absatz 1 / EU und Artikel 9 Absatz 2 der Richtlinie (EU) 2015 / 2366 des Europäischen Parlaments und des Rates vom 25. November 2015 über Zahlungsdienste im Binnenmarkt zur Änderung der Richtlinien 2002 / 65 / EG, 2009 / 110 / EG und 2013 / 36 / EU und Verordnung (EU) Nr. 1093 / 2010 und zur Aufhebung der Richtlinie 2007 / 64 / EG
2. Teil 2, einschließlich des Titels, lautet:
METHODE DER UMSETZUNG VON BESTIMMTEN ANFORDERUNGEN
VERFAHREN ZUR UMSETZUNG VON BESTIMMTEN ANFORDERUNGEN FÜR VERWALTUNGS- UND KONTROLSYSTEM DER ZAHLUNGSINSTITUTIONEN
(K § 20 Abs. 4 des Gesetzes)
Interne Vorschriften
(1) Das Zahlungsinstitut nimmt die für das Verwaltungs- und Kontrollsystem festgelegten Anforderungen und die Verfahren für ihre Umsetzung in seine internen Vorschriften ein, was die Strategien, Organisationsregeln, Pläne und andere interne Grundsätze und Verfahren des Zahlungsinstituts bedeuten.
(2) Das Zahlinstitut legt und wendet das Verfahren für die Annahme und Änderung der internen Vorschriften an und stellt sicher, dass die internen Vorschriften regelmäßig bewertet und gegebenenfalls angepasst werden.
(3) Der Zahler stellt sicher, dass die internen Vorschriften den im Antrag auf Zulassung zum Betrieb des Zahlungsinstituts oder seiner Anlagen vorgesehenen Informationen entsprechen, auf deren Grundlage die Genehmigung erteilt wurde, gegebenenfalls gemäß Artikel 11 des Gesetzes geändert wurde.
(4) Die Zahlungsinstitute berücksichtigen in ihren internen Regeln die allgemeinen Leitlinien und Empfehlungen der Europäischen Bankenaufsichtsbehörde, der Europäischen Wertpapier- und Marktaufsichtsbehörde, der Europäischen Versicherungs- und Beschäftigungsaufsichtsbehörde oder des Gemischten Ausschusses europäischer Aufsichtsbehörden und richten sich an Zahlungsdienstleister.
(5) Die Zahlungsinstitute stellen sicher, dass alle Arbeitnehmer mit den einschlägigen internen Vorschriften vertraut sind und diese in dem erforderlichen Umfang ändern.
Genehmigungs- und Entscheidungsverfahren
Das Zahlungsinstitut stellt sicher, dass die Genehmigung für die Genehmigung und Unterschrift von Dokumenten im Rahmen der Tätigkeit des Zahlungsinstituts eindeutig festgelegt ist und dass alle einschlägigen Genehmigungs- und Entscheidungsprozesse und Kontrolltätigkeiten, einschließlich der damit verbundenen Verantwortlichkeiten und Befugnisse im Rahmen der Tätigkeit des Zahlungsinstituts und seiner internen Vorschriften, erfasst, gespeichert und nachvollzogen und rekonstruiert werden können. Zu diesem Zweck hat sie auch ihre Informations- und Kommunikationssysteme entsprechend anzupassen.
Sicherheits- und Betriebsrisikomanagementsystem
(1) Das Zahlinstitut führt Maßnahmen zur Minderung dieser Risiken und Kontrollmechanismen zur Bewältigung der Sicherheits- und Betriebsrisiken im Zusammenhang mit den von ihm erbrachten Zahlungsdiensten durch. Die Zahlungsinstitute setzen wirksame Verfahren für die Verwaltung von Sicherheits- und Betriebsvorfällen ein, einschließlich der Feststellung und Klassifizierung schwerer Sicherheits- und Betriebsvorfälle.
(2) Zahlungsinstitute unter dem Sicherheits- und Betriebsrisikomanagementsystem verwalten auch Risiken im Bereich der Informations- und Kommunikationstechnologien und -sicherheit, die mindestens Folgendes umfassen:
a) das Risiko von Verlusten infolge einer Verletzung der Datengeheimnis, der Integrität von Systemen und Daten oder der Verfügbarkeit von Systemen und Daten oder der Unfähigkeit, Informations- und Kommunikationssysteme innerhalb einer angemessenen Zeit und mit angemessenen Kosten zu ändern, wenn sich die Umwelt oder Tätigkeiten ändern;
b) Sicherheitsrisiken, die sich aus einem Mangel oder Ausfall interner Prozesse oder externer Ereignisse, einschließlich Cyberangriffe oder einem Mangel an physischer Sicherheit, ergeben.
(3) Die Einzelheiten des Risikomanagements im Bereich der Informations- und Kommunikationstechnologien und der Sicherheit, denen das Zahlungsinstitut im Zusammenhang mit den von ihm erbrachten Zahlungsdiensten ausgesetzt ist, sind im Anhang dieses Erlasses aufgeführt.
(4) Das Zahlungsinstitut entwickelt eine Sicherheit der Informationspolitik, die die Grundsätze und Regeln für den Schutz der Vertraulichkeit, der Integrität und der Verfügbarkeit von Daten und Informationen des Zahlungsinstituts und der Zahlungsdienstnutzer definiert. Das Zahlungsinstitut passt in seinen internen Vorschriften die Sicherheitsmaßnahmen gemäß den im Anhang dieser Verordnung aufgeführten Angaben zur Risikomanagement.
Beschwerden und Beschwerden
(1) Ein Zahlungsinstitut erstellt und wendet Verfahren für die Behandlung von Beschwerden und Beschwerden durch Zahlungsdienstnutzer an, die
a) sie werden von der Person genehmigt, die die Tätigkeiten des Zahlungsinstituts im Bereich der Erbringung von Zahlungsdiensten tatsächlich verwaltet, und diese Person prüft auch ihre Einhaltung fortlaufend;
b) in der internen Verordnung angegeben sind;
c) ihre ordnungsgemäße Untersuchung zu ermöglichen und die Identifizierung und Minderung potenzieller Interessenkonflikte in ihrem Umgang sicherzustellen.
(2) Das Zahlungsinstitut registriert sich nach den für die Beschwerde und die Beschwerde und deren Behandlung festgelegten Fristen intern in einer Weise, die den Informationssicherheitsanforderungen entspricht.
(3) Das Zahlungsinstitut wird ein Beschwerde- und Beschwerdeabwicklungssystem einrichten, indem es es es der Tschechischen Nationalbank auf Antrag unverzüglich Informationen über Beschwerden und Beschwerden, einschließlich spezifischer Verfahren zur Behandlung, zur Verfügung stellt.
(4) Zahlungsinstitute analysieren kontinuierlich die Daten über Beschwerden und Beschwerden und die Ergebnisse ihrer Verarbeitung, um die Identifizierung und Auflösung von systemischen Mängeln und potenziellen Risiken zumindest sicherzustellen:
a) die Gründe für einzelne Beschwerden und Beschwerden zu analysieren und die Hauptursachen jeder Art von Beschwerden und Beschwerden zu ermitteln;
b) zu prüfen, ob die identifizierten Hauptursachen andere Prozesse, Dienstleistungen oder Produkte betreffen können, einschließlich derjenigen, die nicht direkt von der Beschwerde oder Beschwerde betroffen sind;
c) bei systemischen Mängeln wird sie immer identifizierte Ursachen von Beschwerden und Beschwerden beseitigen.
(5) Zahlungsinstitute
a) dem Zahlungsdienstnutzer auf Anfrage und jederzeit im Zusammenhang mit der Bestätigung des Erhalts einer Beschwerde oder Beschwerde schriftliche Informationen über sein Beschwerde- oder Beschwerdeverfahren, in der tschechischen Sprache oder in einer anderen Sprache zur Verfügung stellen, wenn er mit dem Zahlungsdienstnutzer vereinbart wird;
b) die unter Buchstabe c genannten Informationen den Zahlungsdienstnutzern und der Öffentlichkeit über E-Mail-Adressen der Zahlungsdienstnutzer oder auf andere Weise, die mit den Zahlungsdienstnutzern in ihren Geschäftsräumen vereinbart wurden, zur Verfügung zu stellen und, sofern Webseiten eingerichtet werden, auch auf diesen, zumindest in der tschechischen Sprache;
c) umfassende, genaue und aktuelle Informationen über das Beschwerde- und Beschwerdeverfahren, einschließlich:
1. Einzelheiten über die Einreichung einer Beschwerde oder einer Beschwerde, insbesondere der Art der Informationen, die ein Zahlungsdienstnutzer zur Verfügung stellen muss, und Kontaktdaten der Person oder des Dienstes des Zahlungsinstituts, an das die Beschwerde oder Beschwerde zu senden ist;
2. Informationen über den Zeitraum, in dem der Zahlungsdienstnutzer über die Behandlung der Beschwerde und die Richtzeitgrenze für die Bearbeitung der Beschwerde oder Beschwerde informiert wird;
3. wesentliche Zwischeninformationen zur Bearbeitung von Beschwerden oder Beschwerden;
4. Informationen zu den Kontaktdaten der Tschechischen Nationalbank, des Finanzamts und des Bürgerbeauftragten.
(6) Zahlungsinstitute
a) die Anstrengungen zu unternehmen, um es angemessen zu verlangen, alle relevanten Beweise und Informationen über die Beschwerde oder Beschwerde einzuholen und zu überprüfen;
b) auf einfache und verständliche Weise mit dem Zahlungsdienstnutzer kommunizieren;
c) die Antworten unverzüglich und spätestens innerhalb der in § 258 des Gesetzes vorgesehenen Fristen zu erteilen; Ist es nicht möglich, diese Fristen einzuhalten, so unterrichtet sie den Zahlungsdienstnutzer über die Gründe für die Verzögerung und den Zeitpunkt, an dem die Beschwerde oder Beschwerde abgeschlossen ist;
d) wenn eine Stellungnahme abgegeben wird, die den Anforderungen des Zahlungsdienstnutzers nicht vollständig entspricht, erklärt sie die Lösung der Beschwerde oder der Beschwerde ausführlich und informiert über die Möglichkeit des Zahlungsdienstnutzers, auf Beschwerden oder Beschwerden zu bestehen und sich an das Finanzamt des Schiedsrichters, die Tschechische Nationalbank und das Recht auf Gleichbehandlung und Schutz vor Diskriminierung beim Amt des Bürgerbeauftragten einschließlich Kontaktdaten des Organs oder des Gerichts zu wenden.
VERFAHREN ZUR UMSETZUNG VON BESTIMMTEN ANFORDERUNGEN FÜR VERWALTUNGS- UND KONTROLSYSTEM DER ELEKTRONISCHEN MONEY-INSTITUTION
(K § 78 Abs. 4 des Gesetzes)
Für ein elektronisches Geldinstitut gelten die Absätze 2 bis 5 entsprechend.
VERFAHREN ZUR UMSETZUNG VON BESTIMMTEN ANFORDERUNGEN FÜR VERWALTUNGS- UND KONTROLSYSTEM ZAHLUNGSEINRICHTUNGEN
(Paragraph 48 (4) des Gesetzes)
(1) Absatz 2 und 3 gelten entsprechend für den Verwalter der Zahlungskontoinformationen.
(2) Um den Anforderungen des Sicherheits- und Betriebsrisikomanagementsystems gerecht zu werden, beschließt der Informationsverwalter des Zahlungskontos entsprechend Abschnitt 4.
(3) Um die Anforderungen an die Behandlung von Beschwerden und Beschwerden zu erfüllen, muss der Zahlungskonto-Informationsmanager entsprechend Abschnitt 5 verfahren.
METHODE DER UMSETZUNG DER ANFORDERUNGEN FÜR DIE SICHERHEIT, OPERATIONALE RISIKOSYSTEME UND DAS WICHTIGSTEN UND RECRACINGSYSTEM FÜR DIE ZAHLUNGSLEISTUNGEN
(Paragraph 59 (4) des Gesetzes)
(1) Ein kleiner Zahlungsdienstleister muss die Anforderungen an das Sicherheits- und Betriebsrisikomanagementsystem sowie das Beschwerde- und Beschwerdemanagementsystem in seine internen Vorschriften widerspiegeln und entsprechend Artikel 2 Absätze 2 bis 5 für die Erfüllung der Anforderungen an diese internen Vorschriften handeln.
(2) Um die Anforderungen an Genehmigungs- und Entscheidungsprozesse im Hinblick auf das Sicherheits- und Betriebsrisikomanagementsystem und das Beschwerde- und Beschwerdemanagementsystem zu erfüllen, muss ein kleiner Zahlungsdienstleister gemäß Artikel 3 entsprechend handeln.
(3) Um den Anforderungen des Systems zur Verwaltung von Sicherheits- und Betriebsrisiken im Zusammenhang mit der Erbringung von Zahlungsdiensten gerecht zu werden, handelt ein kleiner Zahlungsdienstleister entsprechend Abschnitt 4.
(4) Um den Anforderungen des Beschwerde- und Beschwerdeabwicklungssystems gerecht zu werden, muss ein kleiner Zahlungsdienstleister entsprechend § 5 entsprechend handeln.
METHODE DER UMSETZUNG DER ANFORDERUNGEN FÜR DIE SICHERHEIT UND RISIKOPÄISCHES MANAGEMENTSYSTEM UND DES WICHTIGSTEN SYSTEMS UND ERKLÄREN DES ELEKTRONISCHEN MONEY ISSUER
(K § 100 Absatz 4 des Gesetzes)
(1) Ein kleiner elektronischer Geldgeber muss die Anforderungen an das Sicherheits- und Betriebsrisikomanagementsystem sowie das Beschwerde- und Beschwerdemanagementsystem in seine internen Vorschriften widerspiegeln und entsprechend Artikel 2 Absätze 2 bis 5 für die Erfüllung der Anforderungen an diese internen Vorschriften handeln.
(2) Um den Anforderungen an die Genehmigungs- und Entscheidungsprozesse im Zusammenhang mit dem Sicherheits- und Betriebsrisikomanagementsystem und dem Beschwerde- und Beschwerdemanagementsystem nachzukommen, muss der kleine elektronische Geldgeber gemäß Artikel 3 entsprechend handeln.
(3) Um den Anforderungen des Sicherheits- und Betriebsrisikomanagementsystems gerecht zu werden, muss der Kleinanzeiger gemäß Abschnitt 4 entsprechend handeln.
(4) Um den Anforderungen des Beschwerde- und Beschwerdesystems gerecht zu werden, muss der Kleinanleger entsprechend Abschnitt 5 entsprechend handeln.
Fußnoten 2 bis 4 werden gestrichen.
3. Absatz 27 (4) lautet wie folgt:
„(4) Ein Zahlungsinstitut, das auch andere Geschäftstätigkeiten ausübt als die, für die es befugt ist, auf der Grundlage einer nach dem Gesetz erteilten Genehmigung („Hybrid Payment Institution"), darf in den nach Absatz 1 benannten Eigenmitteln nicht jene Posten oder Teile davon enthalten, die für die Ausübung von Tätigkeiten außer denen, für die es nach dem Recht zugelassen ist, verwendet werden.“
4. In Absatz 34 wird folgender Absatz 1 angefügt:
"(1) Das Kapital wird entsprechend als Eigenmittel gemäß Artikel 4 Absatz 1 der Verordnung berechnet."
Die Absätze 1 bis 5 werden in den Absätzen 2 bis 6 umnummeriert.
5. Absatz 34 (4) lautet:
"(4) Ein elektronisches Geldinstitut, das andere Geschäftstätigkeiten ausübt als die, für die es nach einer nach dem Gesetz erteilten Genehmigung berechtigt ist, darf in den nach Absatz 1 benannten Eigenmitteln nicht jene Posten oder Teile davon enthalten, die für die Ausübung von Tätigkeiten verwendet werden, die nicht die nach dem Gesetz zugelassenen sind."
6. Folgender Anhang wird angefügt:
"Anhang zum Erlass Nr. 7 / 2018 Coll.
Details zum Risikomanagement in IKT und Sicherheit
Anteil
1. Das Zahlungsinstitut erfüllt die Risikomanagementanforderungen für Informations- und Kommunikationstechnologien und -sicherheit (nachfolgend IKT- und Sicherheitsrisiken genannt) in einer der Größe des Zahlungsinstituts, seiner Organisationsstruktur und der Art, Größe, Komplexität und Gefahr der von ihm erbrachten oder beabsichtigten Dienstleistungen und Produkte angemessenen Weise.
Strategisches und operatives Management, Organisationsvereinbarungen
2. Die Person, die die Tätigkeiten des Zahlungsinstituts im Bereich der Erbringung von Zahlungsdiensten tatsächlich verwaltet (im Folgenden „Verwalter“), stellt sicher, dass das Zahlungsinstitut einen angemessenen internen Governance- und internen Kontrollrahmen für IKT-Risiken und -Sicherheit besitzt. Der Verwalter legt eindeutig die Rollen und Verantwortlichkeiten für IKT-Funktionen, IKT-Risikomanagement und -Sicherheit fest, einschließlich der Informationssicherheit und der kontinuierlichen Erfüllung der Tätigkeiten und des fortgesetzten Funktionierens des Zahlungsinstituts, einschließlich für sich selbst.
3. Der Verwalter stellt sicher, dass die Zahl der Mitarbeiter des Zahlungsinstituts und deren Kompetenz und Erfahrung für die laufende Unterstützung des Betriebs des Zahlungsinstituts im Bereich der Informations- und Kommunikationstechnologien, des IKT-Risikomanagements und der Sicherheit sowie für die Umsetzung seiner IKT-Strategie und des ihr zugewiesenen Haushalts angemessen ist. Die Zahlungsinstitute stellen sicher, dass alle Arbeitnehmer mindestens einmal jährlich eine angemessene Ausbildung erhalten, die sich auf IKT- und Sicherheitsrisiken einschließlich der Informationssicherheit konzentriert (Punkt 49).
4. Der Verwalter ist dafür verantwortlich, die Strategie des Zahlungsinstituts im Bereich der Informations- und Kommunikationstechnologien im Rahmen der Gesamtstrategie des Zahlungsinstituts festzulegen und zu genehmigen, die Umsetzung dieser Strategie zu überwachen und einen wirksamen IKT-Risikomanagement- und Sicherheitsrahmen zu schaffen.
5. Die IKT-Strategie entspricht der Gesamtstrategie des Zahlungsinstituts und definiert:
a) wie die Informations- und Kommunikationstechnologien der Zahlungsinstitute entwickelt werden sollten, um die Gesamtstrategie des Zahlungsinstituts wirksam zu unterstützen, einschließlich der Definition von organisatorischen Entwicklungen, Änderungen der Informations- und Kommunikationstechnologiesysteme (ICT-Systeme) und Schlüsselabhängigkeiten Dritter;
b) die geplante Strategie und Entwicklung der IKT-Architektur, einschließlich der Abhängigkeit von Dritten;
c) verständliche Ziele im Bereich der Informationssicherheit, die sich auf IKT-Systeme und -Dienste, Personal und Prozesse im Bereich der Informations- und Kommunikationstechnologien konzentrieren.
6. Das Zahlungsinstitut legt Handlungspläne fest, die die zur Umsetzung der IKT-Strategie erforderlichen Maßnahmen enthalten. Diese Pläne werden allen relevanten Mitarbeitern und anderen relevanten Personen, einschließlich Lieferanten und externen Dienstleistern oder Tätigkeiten, die Outsourcing-Anbieter, Intra-Gruppen-Anbieter, von denen das Zahlungsinstitut Mitglied ist, oder anderen externen Anbietern (nachstehend als "externe Anbieter" bezeichnet), gegebenenfalls und relevant, mitgeteilt. Das Zahlungsinstitut überprüft regelmäßig die Aktionspläne und sorgt für ihre anhaltende Relevanz und Eignung. Das Zahlungsinstitut legt Verfahren zur Überwachung und Bewertung der Wirksamkeit der Umsetzung seiner IKT-Strategie fest.
7. Das Zahlungsinstitut stellt sicher, dass die im Rahmen des Risikomanagementsystems festgelegten Risikominderungsmaßnahmen wirksam sind, auch wenn operative Funktionen der Bereitstellung von Zahlungsdiensten oder IKT-Systemen oder -Diensten im Bereich der Informations- und Kommunikationstechnologien (nachstehend als IKT-Dienste bezeichnet) ausgelagert werden.
8. Für den reibungslosen Einsatz von IKT-Systemen und IKT-Diensten sorgt das Zahlungsinstitut dafür, dass Verträge und ähnliche Service-Level-Anordnungen mit allen externen Anbietern umfassen:
a) die Ziele und Maßnahmen im Zusammenhang mit der Informationssicherheit, einschließlich spezifischer Anforderungen und Kriterien; Insofern sind die Mindestanforderungen an die Cybersicherheit, die Spezifikationen des Lebenszyklus des Zahlungsinstituts, alle Anforderungen an die Datenverschlüsselung, die Netzwerksicherheitsprozesse und die Sicherheitsüberwachung und den Standort von Rechenzentren,
b) Verfahren und Verfahren zur Behandlung von Einzelereignissen oder einer Reihe von verbundenen Ereignissen eines nicht geplanten Zahlungsinstituts, das sich nachteilig auf die Integrität, Verfügbarkeit, Vertraulichkeit oder Authentizität von Dienstleistungen (nachfolgend "Sicherheit und betrieblicher Vorfall" genannt) auswirkt, einschließlich der Übertragung auf ein höheres Management- und Berichtsniveau.
9. Das Zahlungsinstitut überwacht und stellt sicher, dass externe Anbieter die erforderlichen Sicherheitsziele, Maßnahmen und operativen Aufgaben des ausgelagerten Zahlungsinstituts gewährleisten.
ICT Risikomanagement und Sicherheitssystem
10. Das Zahlungsinstitut erkennt und verwaltet die Risiken der IKT und die Sicherheit, denen es gegenüber den von ihm erbrachten Zahlungsdiensten ausgesetzt ist oder könnte. Sie wendet Verfahren und Kontrollen an, um sicherzustellen, dass alle diese Risiken gemäß dem genehmigten Stand der Bereitschaft des Zahlungsinstituts zum Zugang zu diesen Risiken identifiziert, bewertet, überwacht, gemeldet und eingeschränkt werden, und dass die umgesetzten Projekte und Systeme und die durchgeführten Tätigkeiten mit anderen internen Vorschriften des Zahlungsinstituts und den Anforderungen der von der Tschechischen Nationalbank erlassenen Gesetze, Verordnungen oder Rechtsbehelfe übereinstimmen.
11. Die Zahlungsinstitute betrauen der Verantwortung für das IKT-Risikomanagement und die Sicherheit. Die Zahlungsinstitute sorgen für die Unabhängigkeit und Objektivität dieser Kontrollfunktion, indem sie diese entsprechend von den IKT-Betriebstätigkeiten trennen. Diese Kontrollfunktion ist unmittelbar für den Manager verantwortlich und ist für die Überwachung und Überwachung des IKT-Risikomanagements und des Sicherheitssystems verantwortlich. Außerdem wird sichergestellt, dass IKT-Risiko und Sicherheit identifiziert, bewertet, gemessen, überwacht und gemeldet werden. Das Zahlungsinstitut stellt sicher, dass diese Kontrollfunktion keiner internen Prüfung unterliegt.
12. Um ein effizientes IKT-Risikomanagementsystem und die Sicherheit eines Zahlungsinstituts zu gewährleisten, werden wichtige Rollen und Verantwortlichkeiten, relevante hierarchische Beziehungen und deren jeweilige Verantwortung definiert. Die Zahlungsinstitute stellen sicher, dass das IKT-Risikomanagement und die Sicherheit vollständig in das Risikomanagementsystem des Zahlungsinstituts integriert sind, einschließlich der Sicherstellung der Wirksamkeit und Konsistenz der Verbindungen innerhalb dieses Systems und im Einklang mit den verschiedenen Prozessen des Risikomanagementsystems.
13. Das ICT Risk Management und Safety System umfasst Prozesse für:
a) die Entschlossenheit des Zahlungsinstituts, solche Risiken gemäß der Risikobereitschaft des Zahlungsinstituts zu ergreifen;
b) Anerkennung und Bewertung der Risiken, denen das Zahlungsinstitut ausgesetzt ist;
c) Maßnahmen zur Verringerung des Auftretens oder der Auswirkungen solcher Risiken;
d) Überwachung der Wirksamkeit der Maßnahmen und der Zahl der gemeldeten Sicherheits- und Betriebsvorfälle im Zahlungsbereich, einschließlich derjenigen nach Abschnitt 221 des Gesetzes, die sich auf die Tätigkeiten der Informations- und Kommunikationstechnologie und gegebenenfalls die Annahme von Maßnahmen auswirken;
e) Berichterstattung über diese Risiken und Maßnahmen an den Manager;
f) die Anerkennung und Bewertung dieser Risiken, die sich aus einer signifikanten Änderung der IKT-Systeme und IKT-Dienste, Prozesse oder Prozesse oder nach einem erheblichen Sicherheits- und Betriebsfall ergeben.
14. Zahlungsinstitute stellen sicher, dass das IKT-Risikomanagement- und Sicherheitssystem auf der Grundlage der gewonnenen Kenntnisse ordnungsgemäß dokumentiert und kontinuierlich verbessert wird. Mindestens einmal im Jahr genehmigt und überprüft der Manager die Einstellungen des ICT-Risikomanagementsystems und der Sicherheit.
15. Das Zahlungsinstitut ermittelt und erstellt Geschäftsfunktionen, Rollen und Support-Prozesse in Bezug auf ihre Bedeutung und Verbindungen zueinander in Bezug auf IKT-Risiken und -Sicherheit.
16. Das Zahlungsinstitut ermittelt auch die zu schützenden Informationen (im Folgenden „Informationsvermögen“), unterstützt Geschäftsfunktionen und Support-Prozesse und erstellt und aktualisiert ihre Überwachung. Ein Zahlungsinstitut ist immer in der Lage, Informationen zu verwalten, die seine kritischen Geschäftsfunktionen und Prozesse unterstützen.
17. Das Zahlinstitut klassifiziert die identifizierten Geschäftsfunktionen, die Unterstützung von Prozessen und Informationsvermögen gemäß den Absätzen 15 und 16 hinsichtlich ihrer Kritik.
18. Um die Kritik an diesen identifizierten Geschäftsfunktionen, Support-Prozessen und Informationsvermögen zu definieren, muss das Zahlungsinstitut zumindest die Vertraulichkeit, Integrität und Verfügbarkeit berücksichtigen. Die Zahlungsinstitute definieren eindeutig Verpflichtungen und Verantwortlichkeiten in Bezug auf Informationsvermögen.
19. Das Zahlungsinstitut überprüft die Angemessenheit der Einstufung von Informationsvermögen und der einschlägigen Dokumentation, wenn die Risikobewertungen durchgeführt werden.
20. Ein zahlendes Institut erkennt IKT-Risiken und Sicherheit an, die sich auf identifizierte und klassifizierte Geschäftsfunktionen, Unterstützungsprozesse und Informationsvermögen auswirken, je nach Kritik. Diese Risikobewertung wird durchgeführt, einschließlich der Dokumentation, mindestens einmal im Jahr und zu allen Zeiten mit allen wesentlichen Änderungen in Infrastruktur, Prozessen oder Prozessen, die Geschäftsfunktionen, Support-Prozesse oder Informationsvermögen betreffen. Auf dieser Grundlage aktualisiert das Zahlungsinstitut die gültige Risikobewertung.
21. Das Zahlinstitut überwacht kontinuierlich die für Geschäftsfunktionen, Supportprozesse und Informationsvermögen relevanten Bedrohungen und Schwachstellen und überprüft regelmäßig die Risikoszenarien, die sie betreffen.
22. Auf der Grundlage der Risikobewertung legt das Zahlungsinstitut die Maßnahmen fest, die zur Verringerung anerkannter IKT-Risiken und -Sicherheit auf ein Niveau führen, das dem Niveau der Bereitschaft des Zahlungsinstituts zum Zugang zu Risiken angemessen ist. Die Zahlungsinstitute bestimmen auch, ob Änderungen an bestehenden Geschäftsprozessen, Kontrollmaßnahmen, IKT-Systemen und IKT-Diensten erforderlich sind. Die Zahlungsinstitute prüfen die Zeit, die erforderlich ist, um diese Änderungen vorzunehmen, und die Zeit, geeignete vorläufige Maßnahmen zu treffen, um IKT-Risiken und Sicherheit soweit zu begrenzen, dass das Zahlungsinstitut bereit ist, diese Risiken zu ergreifen.
23. Der Zahler trifft Maßnahmen, um die festgestellten Risiken von IKT und Sicherheit zu begrenzen und Informationsvermögen gemäß ihrer Einstufung zu schützen.
24. Das Zahlinstitut stellt sicher, dass die Ergebnisse der Risikobewertung eindeutig und rechtzeitig dem Manager mitgeteilt werden.
Interne Prüfung des IKT-Risikos und der Sicherheit
25. Die interne Prüfungsfunktion wendet einen risikoorientierten Ansatz an und überprüft unabhängig die Einhaltung aller Tätigkeiten des Zahlungsinstituts im Zusammenhang mit Informations- und Kommunikationstechnologien und Sicherheit mit den Grundsätzen und Verfahren des Zahlungsinstituts und der externen Anforderungen, prüft, ob diese Grundsätze und Verfahren in den betreffenden Dienststellen respektiert werden und eine objektive unabhängige Zusicherung bieten. Die interne Prüfungsfunktion, die vom Zahlungsinstitut intern oder extern erbracht wird, gewährleistet dem Verwalter regelmäßig eine unabhängige Versicherung über die Wirksamkeit des IKT-Risikomanagements und des Sicherheitssystems. Das Personal, das eine interne Prüfungsfunktion bereitstellt, ist zuständig und verfügt über ausreichende Erfahrungen hinsichtlich IKT-Risiko und -Sicherheit, Zahlungen und ist unabhängig von dem betreffenden Zahlungsinstitut oder dem betreffenden Zahlungsinstitut. Die Häufigkeit und der Schwerpunkt der Prüfungen sind mit der Schwere dieser Risiken vereinbar.
26. Der Exekutive genehmigt den Prüfungsplan, einschließlich etwaiger Audits im Bereich der Informations- und Kommunikationstechnologie und etwaiger wesentlicher Änderungen. Der Prüfungsplan und seine Durchführung, einschließlich der Häufigkeit der Prüfungen, spiegeln die inhärenten Risiken der IKT und die Sicherheit des Zahlungsinstituts wider, sind verhältnismäßig und regelmäßig zu aktualisieren.
27. Das Zahlungsinstitut legt Vorkehrungen für die rechtzeitige Überprüfung und Korrektur kritischer Prüfungsergebnisse im Bereich der Informations- und Kommunikationstechnologien fest.
Informationssicherheit
Informationssicherheitspolitik
28. Das Zahlungsinstitut stellt sicher, dass die Informationssicherheitspolitik den Zielen des Zahlungsinstituts im Bereich der Informationssicherheit entspricht und auf den Ergebnissen der Risikobewertung basiert. Die Informationssicherheitspolitik wird vom Manager genehmigt.
29. Die Sicherheitspolitik umfasst eine Beschreibung der Hauptrollen und Verantwortlichkeiten im Bereich des Informationssicherheitsmanagements sowie der Anforderungen an Mitarbeiter und externe Anbieter, Prozesse und Technologien im Zusammenhang mit der Informationssicherheit. Alle Personal- und externen Anbieter sind verpflichtet, die Sicherheit der Informationen des Zahlungsinstituts zu gewährleisten, die den von ihnen durchgeführten Tätigkeiten, den ihnen übertragenen Aufgaben und den Befugnissen entsprechen. Die Informationssicherheitspolitik gewährleistet die Vertraulichkeit, Integrität und Verfügbarkeit von kritischen logischen und physischen Vermögenswerten, Ressourcen und sensiblen Daten des Zahlungsinstituts sowohl bei der Einlage als auch bei der Übertragung und Nutzung. Alle Arbeitnehmer und externe Anbieter sind mit der Sicherheitspolitik vertraut.
30. Auf der Grundlage der Informationssicherheitspolitik trifft das Zahlungsinstitut Sicherheitsmaßnahmen, um die Risiken von IKT und die Sicherheit, denen es ausgesetzt ist oder ausgesetzt sein kann, zu begrenzen. Die Maßnahmen umfassen folgende Bereiche:
a) interne Governance gemäß den Anforderungen der Nummern 10, 11 und 25;
b) logische Sicherheit,
c) körperliche Sicherheit,
d) Sicherheit der Informations- und Kommunikationstechnologien;
e) Sicherheitsüberwachung;
f) Überprüfungen, Bewertungen und Prüfung der Informationssicherheit;
(g) Ausbildung und Information im Bereich der Informationssicherheit.
Logische Sicherheit
31. Das Zahlinstitut legt Verfahren für die Kontrolle des logischen Ansatzes fest, dokumentiert und wendet Verfahren an, einschließlich Kontrollen zur Überwachung von Anomalien. Das Zahlungsinstitut überwacht die Anwendung dieser Verfahren und überprüft diese regelmäßig. Diese Verfahren beruhen mindestens auf folgenden Grundsätzen:
a) das nur erforderliche Wissensprinzip, das Prinzip der Mindestberechtigungen und das Prinzip der Trennung von Funktionen; das Zahlungsinstitut verwaltet die Zugangsberechtigung zu den Informations- und Unterstützungssystemen so, dass der Nutzer, einschließlich des Systemnutzers (nachfolgend „Benutzer“), auch bei Fernzugriff nur das Notwendige kennt; die Nutzer haben nur solche Zugriffsrechte, die ausschließlich zur Erfüllung ihrer Verpflichtungen erforderlich sind, um eine unbefugte Zugriffsberechtigung zu verhindern;
b) das Prinzip der Nutzerkompetenz; die Zahlungsinstitute beschränken die Nutzung von allgemeinen und geteilten Benutzerkonten so weit wie möglich und gewährleisten die Nutzeridentifikation für Aktionen in IKT-Systemen;
c) das Prinzip der privilegierten Zugriffsberechtigungen; das Zahlungsinstitut kontrolliert ausschließlich den privilegierten Zugang zum System durch strenge Begrenzung der Administratorkonten und anderer Konten mit erhöhten Zugriffsrechten auf das System und sorgt für eine enge Überwachung dieser Konten und stellt nur einen entfernten administrativen Zugang zu kritischen IKT-Systemen bereit, damit der Benutzer weiß, was erforderlich ist und nur dann, wenn eine starke Überprüfung der Benutzeridentität verwendet wird;
d) das Prinzip der Erfassung der Tätigkeit des Nutzers; das Zahlungsinstitut gewährleistet die Einhaltung von Audit-Aufzeichnungen und Überwachung von mindestens allen Tätigkeiten privilegierter Nutzer, die Sicherheit von Zugangsdaten, um ihre unbefugte Änderung oder Löschung zu verhindern, und ihre Speicherung für einen Zeitraum, der mit der Kritik an identifizierten Geschäftsfunktionen, unterstützenden Prozessen und Informationsvermögen übereinstimmt; das Zahlungsinstitut verwendet diese Informationen, um die Identifizierung und Untersuchung ungewöhnlicher Serviceaktivitäten zu erleichtern;
e) das Prinzip der Zutrittsverwaltung; ein Zahlungsinstitut stellt sicher, dass die Zutrittsrechte rechtzeitig erteilt, zurückgenommen oder geändert werden, nach vorbestimmbaren Genehmigungsverfahren, die den Inhaber eines Informationsvermögens betreffen, im Falle einer Beendigung eines Beschäftigungsverhältnisses oder eines ähnlichen Verhältnisses werden die Zutrittsrechte unverzüglich zurückgenommen;
f) das Prinzip der Überarbeitung von Zugangsberechtigungen; das Zahlungsinstitut stellt sicher, dass die Zugangsrechte regelmäßig überprüft werden, um sicherzustellen, dass die Nutzer keine übermäßigen Rechte genießen und dass die Zugangsrechte zurückgenommen werden, sobald sie nicht mehr erforderlich sind;
g) das Prinzip der äquivalenten Authentifizierungsmethoden; das Zahlungsinstitut fördert Prüfverfahren, die robust genug sind, um die Einhaltung der Grundsätze und Verfahren der Zugriffskontrolle entsprechend den Kritiken an IKT-Systemen, Informationen oder Prozessen zu gewährleisten, auf die es behandelt wird, einschließlich mindestens komplexer Passwörter, Zwei-Faktor-Prüfungen oder anderer starker Prüfverfahren, je nach Risiko.
32. Die Zahlungsinstitute stellen sicher, dass der Fernzugriff über Datenanwendungen und IKT-Systeme auf das für die Erbringung der betreffenden Dienstleistung erforderliche Minimum beschränkt ist.
Sicherheit
33. Ein Zahlungsinstitut legt, dokumentiert und wendet Maßnahmen zur physischen Sicherheit eines Zahlungsinstituts an, um den Schutz seiner Räumlichkeiten, Datenzentren und sensiblen Bereiche vor unbefugtem Zugang und Umweltrisiken zu gewährleisten.
34. Das Zahlungsinstitut stellt sicher, dass der physische Zugang zu IKT-Systemen nur zugelassenen Personen gewährt wird, die Genehmigung nach den Aufgaben und Verantwortlichkeiten der betroffenen Person erteilt wird und auf Personen beschränkt ist, die ordnungsgemäß ausgebildet sind und deren Tätigkeiten überwacht werden. Das Zahlungsinstitut stellt sicher, dass der physische Zugang regelmäßig überprüft wird und gegebenenfalls unnötige Zugangsrechte widerrufen werden.
35. Das Zahlungsinstitut trifft geeignete Maßnahmen zum Schutz vor Umweltrisiken, die der Bedeutung der Gebäude und der kritischen Beschaffenheit der in diesen Gebäuden befindlichen Betriebs- oder IKT-Systeme angemessen sind.
Sicherheit der IKT-Operationen
36. Das Zahlungsinstitut erstellt, dokumentiert und wendet Verfahren an, um die Auswirkungen von Sicherheitsvorfällen in IKT-Systemen und IKT-Diensten zu verhindern und zu minimieren. Diese Verfahren umfassen:
a) die Identifizierung potenzieller Schwachstellen, die durch die Aktualisierung von Software und Firmware, einschließlich Software, die vom Zahlungsinstitut an die Nutzer bereitgestellt werden, durch kritische Sicherheitskorrekturen oder durch Einführung kompensatorischer Maßnahmen bewertet und korrigiert werden;
b) Umsetzung von Anforderungen zur Sicherstellung der Grundkonfiguration aller Netzkomponenten;
c) die Einführung von Netzwerksegmentierung, Datenverlustsicherungssystemen und Netzwerkverkehrsverschlüsselung gemäß der Datenklassifikation;
d) die Einführung des Endpunkteschutzes einschließlich Servern, Workstations und mobilen Geräten; Bevor diese Punkte Zugang zum Geschäftsnetz erhalten, prüft das Zahlungsinstitut, ob die Endpunkte den festgelegten Sicherheitsstandards entsprechen;
e) die Einführung von Mechanismen zur Überprüfung der Integrität von Software, Firmware und Daten;
f) Verschlüsselung gespeicherter und übermittelter Daten gemäß der Datenklassifikation.
37. Der Zahler prüft kontinuierlich, ob Änderungen des bestehenden betrieblichen Umfelds bestehende Sicherheitsmaßnahmen betreffen oder weitere Maßnahmen zur Risikominderung erforderlich machen. Die Zahlungsinstitute stellen sicher, dass diese Änderungen ordnungsgemäß geplant, geprüft, dokumentiert, genehmigt und umgesetzt werden.
Sicherheitsüberwachung
38. Das Zahlungsinstitut führt eine laufende Sicherheitsüberwachung durch. Zu diesem Zweck legt sie Verfahren fest, dokumentiert und wendet sie an ungewöhnliche Tätigkeiten, die sich auf die Sicherheit von Informationen des Zahlungsinstituts auswirken können. Im Rahmen einer laufenden Sicherheitsüberwachung kann ein Zahlungsinstitut physische oder logische Störungen und Verletzungen der Vertraulichkeit, Integrität und Verfügbarkeit von Informationsvermögen erkennen und melden. Das Zahlungsinstitut
a) relevante interne und externe Faktoren, einschließlich Geschäftsfunktionen und Verwaltungsfunktionen im Bereich der IKT;
b) Transaktionen zur Feststellung eines Missbrauchs des Zugangs durch einen Dritten oder innerhalb eines Zahlungsinstituts;
c) potenzielle interne und externe Bedrohungen.
39. Das Zahlungsinstitut hat eine Organisationsstruktur, die es ermöglicht, ständige Sicherheitsbedrohungen zu identifizieren und zu überwachen, die einen erheblichen Einfluss auf seine Leistungsfähigkeit haben. Das Zahlungsinstitut überwacht die technologischen Entwicklungen aktiv, um sich der Sicherheitsrisiken bewusst zu sein. Das Zahlungsinstitut wendet insbesondere Maßnahmen an, um mögliche Lecks von Informationen, schädlichen Codes und anderen Sicherheitsbedrohungen und öffentlich bekannte Sicherheitsanfälligkeit für Software und Hardware zu identifizieren und die entsprechenden neuen Sicherheitsupdates zu überprüfen.
40. Sicherheitsüberwachung hilft dem Zahlungsinstitut, die Art von Sicherheits- und operativen Vorfällen zu verstehen, Trends zu identifizieren und seine Untersuchungen zu unterstützen.
Überprüfung, Bewertung und Prüfung der Informationssicherheit
41. Ein Zahlungsinstitut wendet verschiedene Verfahren und Instrumente für Überprüfungen, Bewertungen und Prüfung der Informationssicherheit an, um eine wirksame Identifizierung der Sicherheitslücke in ICT-Systemen und ICT-Diensten mittels Differentialanalysen im Vergleich zu Informationssicherheitsstandards oder anderen Mitteln, Compliance-Reviews, Informationssystemen-Audits und physikalischen Sicherheitskontrollen zu gewährleisten. Das Zahlungsinstitut prüft andere Best Practices wie Quellcode-Rezensionen, Sicherheitsbewertungen, Penetrationstests und Übungen, die das Eindringen in IKT-Systeme simulieren.
42. Das Zahlungsinstitut erstellt und wendet einen Rahmen für die Prüfung der Sicherheit von Informationen an, die die Zuverlässigkeit und Wirksamkeit seiner Maßnahmen zur Informationssicherheit unter Berücksichtigung der durch die Risikoüberwachung und Risikobewertung von IKT und Sicherheit festgestellten Bedrohungen und Sicherheitslücken überprüfen.
Melden Sie sich an für Notizen, Favoriten und Benachrichtigungen
Informationen zur Vorschrift
| Zitierung | Dekret Nr. 2 / 2022 Coll., zur Änderung des Dekrets Nr. 7 / 2018 Coll., zu bestimmten Bedingungen für die Durchführung der Tätigkeiten des Zahlungsinstituts, des Verwalters von Zahlungskontoinformationen, eines kleinen Zahlungsdienstleisters, einer elektronischen Geldeinrichtung und eines kleinen elektronischen Geldgebers |
|---|---|
| Art der Vorschrift | - |
| Autor | - |
| Sammlung | Gesetzessammlung |
| Verkündungsdatum | 06.01.2022 |
|---|---|
| In Kraft seit | 01.07.2022 |
| In Kraft bis | - |
| Status | Gültig |
Öffentliche Verträge 4
Smlouva o provozování Systému veřejného sdílení jízdních kol
Statutární město Hradec Králové
nextbike Czech Republic s.r.o.
28.06.2024
Benachrichtigungen
Smlouva o nájmu prostor v datovém centrum
Národní rozvojová banka, a.s.
T-Mobile Czech Republic, a.s.
01.11.2022
Benachrichtigungen
Smlouva o smlouvě budoucí o zřízení služebnosti k pozemkům p.č. 4/2, 436, ... k.ú. Žabovřesky; částk...
Statutární město Brno
GasNet, s.r.o.
774 CZK
10.10.2022
Smlouva o smlouvě budoucí o zřízení služebnosti k pozemkům p.č. 66/1, 66/17, ... k.ú. Komín
Statutární město Brno
CETIN a.s.
1 029 CZK
13.07.2022
Quelle:
Hlídač státu
(CC BY 3.0 CZ)
Der Wortlaut der Vorschrift hat informativen Charakter.
Kommentare 0