Указ No 2 / 2022 Сб.
Постановление о внесении изменений в Постановление No 7/2018 Сб. об определенных условиях осуществления деятельности платежного учреждения, администратора информации платежного счета, мелкомасштабного поставщика платежных услуг, учреждения электронных денег и мелкомасштабного эмитента электронных денег
Действующий
Действует с 01.07.2022
Zobrazeno prvních 200 z celkem 299 ustanovení tohoto předpisu.
Zobrazit celý předpis →
Pro stažení celého znění použijte tlačítko Stáhnout výše.
2 2
Декларация
от 22 декабря 2021 года
внесение изменений в Постановление No 7/2018 Сб., об определенных условиях осуществления деятельности платежного учреждения, администратора информации платежного счета, мелкомасштабного поставщика платежных услуг, учреждения электронных денег и эмитента мелких электронных денег
Чешский национальный банк предоставляет в соответствии с § 263 Закона No 370 / 2017 Coll., на оплату, для осуществления § 16 (5), § 17 (3), § 20 (4), § 46 (2), § 48 (4), § 59 (4), § 65a (2), § 74 (6), § 75 (3), § 78 (4) и § 100 (4) настоящего Закона:
В Постановление No 7/2018 Сб., об определенных условиях осуществления деятельности платежного учреждения, администратора информации платежного счета, мелкомасштабного поставщика платежных услуг, учреждения электронных денег и эмитента мелкомасштабных электронных денег, вносятся следующие изменения:
1. Пункт 1, включая заголовок и сноску 1, гласит следующее:
Тема вопроса
Настоящий Указ реализует соответствующие положения Европейского Союза1 и предусматривает
(a) порядок выполнения определенных требований к системе управления и контроля платежного учреждения, учреждения электронных денег и администратора информации платежного счета;
(b) способ выполнения требований системы управления безопасностью и операционными рисками, а также системы управления жалобами и жалобами мелкомасштабного поставщика платежных услуг и мелкомасштабного эмитента электронных денег;
c правила расчета суммы собственных средств и достаточности капитала платежного учреждения и учреждения электронных денег, включая индивидуальные подходы, которые могут применяться при расчете достаточности капитала;
(d) минимальный уровень страховых взносов и минимальный уровень сопоставимого обеспечения для платежного учреждения, учреждения электронных денег и менеджера информации платежного счета.
(1) Статья 4 (46), Статья 8 (2), Статья 9, Статья 9 (1) / часть / ЕС и Статья 9 (2) Директивы (ЕС) 2015 / 2366 Европейского парламента и Совета от 25 ноября 2015 года о платежных услугах на внутреннем рынке, изменяющая Директивы 2002 / 65 / EC, 2009 / 110 / EC и 2013 / 36 / ЕС и Регламент (ЕС) No 1093 / 2010 и отменяющая Директиву 2007 / 64 / EC. Статья 5 (2), Статья 5 (3), Статья 5 (4) и Статья 5 (6) Директивы 2009 / 110 / EC Европейского парламента и Совета от 16 сентября 2009 года о принятии и пруденциальном надзоре за учреждениями электронных денег;
Часть вторая, включая заголовок, гласит:
Способ выполнения соответствующих требований
Способ применения соответствующих требований к управлению и регулированию платежных систем
(K § 20 (4) Закона)
Внутренние правила
(1) Платежное учреждение включает в свои внутренние правила требования, установленные для системы управления и контроля, и процедуры их реализации, что означает стратегии, организационные правила, планы и другие внутренние принципы и процедуры платежного учреждения.
(2) Платежная организация устанавливает и применяет процедуру принятия и изменения внутренних правил и обеспечивает, чтобы внутренние правила регулярно оценивались и, при необходимости, корректировались.
(3) Учреждение-плательщик обеспечивает, чтобы внутренние правила соответствовали информации, представленной в заявке на получение разрешения на деятельность платежного учреждения или приложениях к ней, на основании которых было предоставлено разрешение, возможно, измененное в соответствии со статьей 11 Закона.
(4) Платежные учреждения должны учитывать в своих внутренних правилах общие руководящие принципы и рекомендации, выпущенные Европейским банковским органом, Европейским органом по ценным бумагам и рынкам, Европейским органом по страхованию и профессиональным пенсиям или Объединенным комитетом европейских надзорных органов и адресованные поставщикам платежных услуг.
(5) Платежные учреждения должны обеспечить, чтобы все работники были знакомы с соответствующими внутренними правилами и соблюдали их, а также любые изменения к ним в необходимой степени.
Процессы утверждения и принятия решений
Платежное учреждение должно обеспечить, чтобы разрешение на утверждение и подписание документов в контексте деятельности платежного учреждения было четко установлено и чтобы все соответствующие процессы утверждения и принятия решений и контрольная деятельность, включая соответствующие обязанности и полномочия в контексте деятельности платежного учреждения и его внутренних правил, могли быть записаны, сохранены, отслежены и реконструированы. С этой целью он также соответствующим образом корректирует свои информационно-коммуникационные системы.
Система управления безопасностью и операционными рисками
(1) Платежная организация осуществляет меры по снижению этих рисков и механизмы контроля для управления рисками безопасности и операционными рисками, связанными с предоставляемыми ею платежными услугами. Платежные учреждения устанавливают и поддерживают эффективные процедуры управления инцидентами безопасности и оперативными инцидентами, в том числе для выявления и классификации серьезных инцидентов безопасности и оперативных инцидентов.
(2) Платежные учреждения в рамках системы управления безопасностью и операционными рисками также управляют рисками в области информационно-коммуникационных технологий и безопасности, к которым относятся:
(a) риск потери в результате нарушения конфиденциальности данных, целостности систем и данных, или наличия систем и данных, или невозможности изменить информационные и коммуникационные системы в течение разумного времени и с разумными затратами в случае изменения окружающей среды или деятельности;
(b) риски безопасности, возникающие в результате отсутствия или сбоя внутренних процессов или внешних событий, включая кибератаки или отсутствие физической безопасности.
(3) Детали управления рисками в области информационно-коммуникационных технологий и безопасности, которым платежное учреждение подвергается или может подвергаться в связи с предоставляемыми им платежными услугами, изложены в Приложении к настоящему Указу.
(4) Платежное учреждение разрабатывает информационную политику безопасности, определяющую принципы и правила защиты конфиденциальности, целостности и доступности данных и информации платежного учреждения и пользователей платежных услуг. Платежная организация должна в своих внутренних правилах адаптировать меры безопасности в соответствии с деталями управления рисками, изложенными в Приложении к настоящему Регламенту.
Система жалоб и жалоб
(1) Платежная организация устанавливает и применяет процедуры рассмотрения жалоб и жалоб пользователями платежных услуг, которые:
(a) они утверждаются лицом, которое фактически управляет деятельностью платежного учреждения в области предоставления платежных услуг, и это лицо также проверяет их соответствие на постоянной основе;
b) указаны во внутренних правилах;
c обеспечивают их надлежащее расследование и выявляют и смягчают потенциальные конфликты интересов при их рассмотрении.
(2) Платежное учреждение регистрируется внутри организации в соответствии со сроками, установленными для подачи жалобы и рассмотрения жалобы, в порядке, соответствующем требованиям информационной безопасности.
(3) Платежное учреждение создает систему урегулирования жалоб и жалоб, предоставляя Чешскому национальному банку по запросу без неоправданной задержки информацию о жалобах и жалобах, включая конкретные процедуры их рассмотрения.
(4) Платежные учреждения должны постоянно анализировать данные о жалобах и жалобах и результаты их обработки, чтобы обеспечить выявление и устранение любых системных недостатков и потенциальных рисков, по крайней мере:
а анализирует причины индивидуальных жалоб и жалоб и выявляет основные причины каждого вида жалоб и жалоб;
(b) оценить, могут ли выявленные основные причины повлиять на другие процессы, услуги или продукты, включая те, которые непосредственно не связаны с жалобой или жалобой;
c в случае системных недостатков оно всегда устраняет выявленные причины жалоб и жалоб.
(5) Платежные учреждения
(a) предоставлять пользователю платежных услуг по запросу и в любое время в связи с подтверждением получения жалобы или жалобы письменную информацию о его жалобе или процедуре подачи жалобы на чешском языке или на другом языке, если это согласовано с пользователем платежных услуг;
(b) сделать информацию, указанную в пункте (c), доступной для пользователей платежных услуг и общественности через адреса электронной почты пользователей платежных услуг или любым другим способом, согласованным с пользователями платежных услуг в их деловых помещениях, а также, если на них установлены веб-сайты, по крайней мере на чешском языке;
c предоставлять исчерпывающую, точную и актуальную информацию о процедуре рассмотрения жалоб и жалоб, включая:
1. сведения о том, как подать жалобу или жалобу, в частности тип информации, которую должен предоставить пользователь платежной услуги, и контактные данные лица или службы платежного учреждения, которому должна быть направлена жалоба или жалоба;
2. информацию о периоде, в течение которого пользователь платежного сервиса будет проинформирован об обработке жалобы и ориентировочном сроке обработки жалобы или жалобы;
3. существенная промежуточная информация об обработке жалоб или жалоб;
4. сведения о контактных данных Чешского национального банка, Управления финансового арбитра и Управления омбудсмена.
(6) Платежные учреждения
а прилагать усилия к тому, чтобы разумно требовать от него получения и проверки всех соответствующих доказательств и информации, касающихся жалобы или жалобы;
(b) общаться с пользователем платежных услуг простым и понятным способом;
c предоставлять ответы без неоправданных задержек и не позднее установленных статьей 258 Закона сроков; Если он не в состоянии выполнить эти сроки, он должен проинформировать пользователя платежной системы о причинах задержки и дате, когда жалоба или жалоба завершены;
(d) при вынесении заключения, которое не полностью соответствует требованиям пользователя платежных услуг, оно подробно разъясняет решение жалобы или жалобы и предоставляет информацию о возможности пользователя платежных услуг настаивать на жалобах или жалобах и обращаться в Управление финансового арбитра, Чешский национальный банк и право на равное обращение и защиту от дискриминации в Управление омбудсмена, включая контактные данные учреждения или суда.
Методика выполнения обязательных требований к управлению и регулированию системы электронных денежных средств
(K § 78 (4) Закона)
Для учреждения электронных денег применяются пункты 2-5 mutatis mutandis.
Способ применения КОНТРОЛЬНОЙ СИСТЕМЫ ПЛАТЕЖНЫХ ТРЕБОВАНИЙ ДЛЯ УПРАВЛЕНИЯ И КОНТРОЛЬНОЙ СИСТЕМЫ ИНФОРМАЦИИ ПЛАТЕЖНОГО СЧЕТА
(пункт 4 статьи 48 Закона)
(1) Пункты 2 и 3 применяются mutatis mutandis к администратору информации платежного счета.
(2) Для соответствия требованиям системы управления безопасностью и операционными рисками администратор информации платежного счета действует mutatis mutandis в соответствии с разделом 4.
(3) Для удовлетворения требований по обращению с жалобами и жалобами управляющий информацией платежного счета должен действовать mutatis mutandis в соответствии с разделом 5.
Способ применения требований к системе управления безопасностью, операционным риском, а также система сбора и пересчета для платных услуг малой перспективы
(Параграф 59 (4) Закона)
(1) Маломасштабный поставщик платежных услуг должен отражать требования, установленные для системы управления безопасностью и операционными рисками, а также системы управления жалобами и жалобами, в свои внутренние правила и должен действовать mutatis mutandis в соответствии со Статьей 2 (2) - (5) для выполнения требований к таким внутренним правилам.
(2) Для удовлетворения требований к процессам утверждения и принятия решений, касающихся системы управления безопасностью и операционными рисками, а также системы управления жалобами и жалобами, поставщик платежных услуг должен действовать mutatis mutandis в соответствии со статьей 3.
(3) Для удовлетворения требований системы управления безопасностью и операционными рисками, связанными с предоставлением платежных услуг, поставщик платежных услуг малого масштаба действует mutatis mutandis в соответствии с разделом 4.
(4) Для удовлетворения требований системы урегулирования жалоб и жалоб поставщик платежных услуг малого размера действует mutatis mutandis в соответствии с разделом 5.
Способ выполнения требований по обеспечению безопасности и функционирования системы управления рисками, а также усложняющая система и требования к обеспечению электронными деньгами
(K § 100 (4) Закона)
(1) Маломасштабный эмитент электронных денег должен отражать требования, установленные для системы управления безопасностью и операционными рисками, а также системы управления жалобами и жалобами, в свои внутренние правила и должен действовать mutatis mutandis в соответствии со Статьей 2 (2) - (5) для выполнения требований к таким внутренним правилам.
(2) В целях соблюдения требований к процессам утверждения и принятия решений, относящихся к системе управления безопасностью и операционными рисками, а также к системе управления жалобами и жалобами, мелкий эмитент электронных денег действует mutatis mutandis в соответствии со статьей 3.
(3) Для соответствия требованиям системы управления безопасностью и операционными рисками мелкий эмитент электронных денег действует mutatis mutandis в соответствии с разделом 4.
(4) Для удовлетворения требований системы рассмотрения жалоб и жалоб мелкий эмитент электронных денег действует mutatis mutandis в соответствии с разделом 5.
сноски 2-4 исключить.
Пункт 27 (4) гласит следующее:
(4) Платежное учреждение, которое также осуществляет предпринимательскую деятельность, отличную от той, для которой оно уполномочено осуществлять деятельность на основании разрешения, предоставленного в соответствии с законом ("гибридное платежное учреждение"), не включает в собственные средства, указанные в пункте 1, те статьи или их части, которые используются для осуществления деятельности, отличной от той, для которой оно разрешено в соответствии с законом;
4. В пункте 34 добавлен следующий пункт 1:
(1) Капитал рассчитывается mutatis mutandis как собственные средства в соответствии со статьей 4 (1) (118) Регламента.
Пункты 1-5 пронумеровываются пунктами 2-6.
Пункт 34 (4) гласит:
(4) Учреждение электронных денег, осуществляющее предпринимательскую деятельность, отличную от той, на которую оно имеет право в соответствии с разрешением, предоставленным в соответствии с законом, не может включать в собственные средства, указанные в пункте 1, те статьи или их части, которые используются для осуществления деятельности, отличной от той, на которую оно уполномочено в соответствии с законом.
6. добавляется следующее приложение:
"Приложение к Указу No 7/2018 Сб.
Подробная информация об управлении рисками в области ИКТ и безопасности
Пропорциональность
1. Платежное учреждение должно соблюдать требования по управлению рисками в отношении информационно-коммуникационных технологий и безопасности (далее именуемые ИКТ и риски безопасности) способом, соответствующим размеру платежного учреждения, его организационной структуре и характеру, масштабу, сложности и риску услуг и продуктов, которые оно предоставляет или намеревается предоставить.
Стратегическое и оперативное управление, организационные мероприятия
2. Лицо, фактически осуществляющее руководство деятельностью платежного учреждения в сфере предоставления платежных услуг (далее именуемое «управляющий»), обеспечивает надлежащее внутреннее управление и внутренний контроль за рисками и безопасностью ИКТ. Руководитель должен четко определить роли и обязанности для функций ИКТ, управления рисками и безопасности ИКТ, включая информационную безопасность и непрерывное выполнение деятельности и продолжение функционирования платежного учреждения, в том числе для себя.
3.Управляющий должен обеспечить, чтобы численность персонала платежного учреждения и их компетенция и опыт были достаточными для постоянной поддержки деятельности платежного учреждения в области информационно-коммуникационных технологий, управления рисками и безопасности ИКТ, а также для реализации его стратегии ИКТ и выделенного ему бюджета. Платежные учреждения должны обеспечивать, чтобы все работники получали соответствующую подготовку не реже одного раза в год, уделяя особое внимание ИКТ и рискам безопасности, включая информационную безопасность (пункт 49).
4.Управляющий несет ответственность за разработку и утверждение стратегии платежного учреждения в области информационно-коммуникационных технологий в рамках общей стратегии платежного учреждения, контроль за реализацией этой стратегии и создание эффективной системы управления рисками и безопасности ИКТ.
5.Стратегия ИКТ согласуется с общей стратегией платежного учреждения и определяет:
а) каким образом следует разрабатывать информационно-коммуникационные технологии платежных учреждений в целях эффективной поддержки общей стратегии платежного учреждения, включая определение организационных изменений, изменений в системах информационно-коммуникационных технологий (ИКТ) и ключевых зависимостей третьих сторон;
b) планируемая стратегия и развитие архитектуры ИКТ, включая зависимость от третьих сторон;
с) понятные цели в области информационной безопасности с уделением особого внимания системам и услугам ИКТ, персоналу и процессам в области информационно-коммуникационных технологий.
6.Учреждение по оплате труда устанавливает комплексы планов действий, содержащие меры, необходимые для реализации стратегии ИКТ. Такие планы должны быть доведены до сведения всех соответствующих сотрудников и других соответствующих лиц, включая поставщиков и внешних поставщиков услуг или деятельность, которая означает поставщиков аутсорсинга, внутригрупповых поставщиков, членом которых является платежное учреждение, или других внешних поставщиков (далее именуемых «внешние поставщики»), где это применимо и уместно. Платежная организация должна регулярно пересматривать планы действий и обеспечивать их актуальность и пригодность. Платежная организация устанавливает процессы мониторинга и оценки эффективности реализации своей стратегии в области ИКТ.
7. Платежное учреждение обеспечивает эффективность мер по снижению рисков, определенных в рамках системы управления рисками, даже если какие-либо оперативные функции предоставления платежных услуг или систем ИКТ или услуг в области информационно-коммуникационных технологий (далее - услуги ИКТ) переданы на аутсорсинг.
8. Для бесперебойного использования систем ИКТ и услуг ИКТ платежное учреждение должно обеспечить, чтобы контракты и аналогичные соглашения об уровне обслуживания со всеми внешними поставщиками включали:
a цели и меры, связанные с информационной безопасностью, включая конкретные требования и критерии; В этой связи минимальные требования к кибербезопасности, спецификации жизненного цикла платежного учреждения, все требования, касающиеся шифрования данных, процессов сетевой безопасности и мониторинга безопасности и местоположения центров обработки данных,
(b) оперативные процедуры и процедуры для рассмотрения разовых событий или ряда связанных с ними событий незапланированного платежного учреждения, которые оказывают или могут оказать неблагоприятное воздействие на целостность, доступность, конфиденциальность или подлинность услуг (далее именуемые «инциденты безопасности и эксплуатации»), включая передачу на более высокий уровень управления и отчетности.
9. Платежное учреждение должно контролировать и обеспечивать, чтобы внешние поставщики обеспечивали необходимый уровень целей безопасности, мер и оперативных задач платежного учреждения, которые передаются на аутсорсинг.
Система управления рисками и безопасности ИКТ
10. Платежное учреждение должно признавать и управлять рисками ИКТ и безопасностью, которой оно подвергается или может подвергаться в отношении предоставляемых им платежных услуг. При этом он должен применять процедуры и средства контроля для обеспечения того, чтобы все такие риски были идентифицированы, оценены, измерены, контролировались, сообщались и ограничены в соответствии с утвержденным уровнем готовности платежного учреждения к доступу к этим рискам, а также реализованные проекты и системы и осуществляемая деятельность соответствовали другим внутренним правилам, установленным платежным учреждением, и требованиям, установленным законами, правилами или средствами правовой защиты, введенными Чешским национальным банком.
11. Платежные учреждения несут ответственность за управление рисками и безопасность ИКТ и надзор за ними. Платежные учреждения обеспечивают независимость и объективность этой контрольной функции, надлежащим образом отделяя ее от оперативной деятельности в области ИКТ. Эта контрольная функция несет прямую ответственность перед менеджером и отвечает за мониторинг и мониторинг системы управления рисками и безопасности ИКТ. Он также обеспечивает выявление, оценку, измерение, мониторинг и отчетность рисков и безопасности ИКТ. Платежная организация должна гарантировать, что эта контрольная функция не подлежит внутреннему аудиту.
В целях обеспечения эффективной системы управления рисками в области ИКТ и безопасности платежного учреждения определяются ключевые роли и обязанности, соответствующие иерархические отношения и соответствующие обязанности. Платежные учреждения должны обеспечить полную интеграцию управления рисками и безопасности ИКТ в систему управления рисками платежного учреждения, включая обеспечение эффективности и согласованности связей в рамках этой системы и соответствия различным процессам системы управления рисками.
13. Система управления рисками и безопасности ИКТ включает процессы для:
(a) определение готовности платежного учреждения принимать такие риски в соответствии с готовностью платежного учреждения принимать риски;
(b) признание и оценка рисков, которым подвергается платежное учреждение;
c принятие мер по уменьшению возникновения или воздействия таких рисков;
d мониторинг эффективности мер и количества уведомляемых инцидентов, связанных с безопасностью и эксплуатацией в области платежей, в том числе в соответствии со статьей 221 Закона, которые оказывают влияние на деятельность в области информационно-коммуникационных технологий и, при необходимости, принятие мер;
(e) сообщать менеджеру об этих рисках и мерах;
(f) признание и оценка этих рисков, возникающих в результате каких-либо существенных изменений в системах ИКТ и услугах ИКТ, процессах или процессах или после любого значительного инцидента безопасности и эксплуатации.
14. Платежные учреждения должны обеспечивать, чтобы система управления рисками и безопасности в области ИКТ надлежащим образом документировалась и постоянно совершенствовалась на основе полученных знаний. Менеджер не реже одного раза в год утверждает и пересматривает настройки системы управления рисками и безопасности ИКТ.
Платежная организация должна определять и картировать бизнес-функции, роли и процессы поддержки с точки зрения их важности и связей друг с другом в отношении рисков и безопасности ИКТ.
16. Платежная организация должна также идентифицировать защищаемую информацию (далее - "информационный актив"), поддерживать бизнес-функции и процессы поддержки, а также устанавливать и обновлять их мониторинг. Платежная организация всегда способна управлять информационными активами, которые поддерживают ее важнейшие бизнес-функции и процессы.
17. Платежная организация должна классифицировать идентифицированные бизнес-функции, вспомогательные процессы и информационные активы, как указано в пунктах 15 и 16, с точки зрения их критичности.
18. Для определения критических замечаний в отношении этих выявленных бизнес-функций, процессов поддержки и информационных активов платежное учреждение должно, по крайней мере, учитывать требования конфиденциальности, целостности и доступности. Платежные учреждения должны четко определять обязательства и ответственность в отношении информационных активов.
19. Платежная организация должна проверять адекватность классификации информационных активов и соответствующей документации при проведении оценки рисков.
20. Платежная организация признает риски и безопасность ИКТ, которые оказывают влияние на выявленные и классифицированные бизнес-функции, процессы поддержки и информационные активы, в соответствии с их критикой. Эта оценка риска должна проводиться, включая документацию, не реже одного раза в год и в любое время со всеми основными изменениями в инфраструктуре, процессах или процессах, влияющих на бизнес-функции, процессы поддержки или информационные активы. На этой основе платежная организация должна обновить действительную оценку риска.
21. Платежная организация должна постоянно отслеживать угрозы и уязвимости, связанные с бизнес-функциями, процессами поддержки и информационными активами, и регулярно пересматривать сценарии риска, влияющие на них.
22.На основе оценки рисков платежное учреждение определяет меры, ведущие к снижению признанных рисков и безопасности ИКТ до уровня, соответствующего уровню готовности платежного учреждения к доступу к рискам. Платежные учреждения также должны определить, необходимы ли изменения в существующих бизнес-процессах, мерах контроля, системах ИКТ и услугах ИКТ. Платежные учреждения должны учитывать время, необходимое для внесения таких изменений, и время принимать соответствующие временные меры для ограничения рисков и безопасности ИКТ в той мере, в какой платежное учреждение готово принять такие риски.
23.Учреждение-плательщик принимает меры по ограничению выявленных рисков ИКТ и безопасности и по защите информационных активов в соответствии с их классификацией.
Учреждение-плательщик должно обеспечить, чтобы результаты оценки риска были четко и своевременно уведомлены менеджеру.
Внутренний аудит рисков и безопасности ИКТ
Функция внутреннего аудита должна применять риск-ориентированный подход и самостоятельно проверять соответствие всей деятельности платежного учреждения, связанной с информационно-коммуникационными технологиями и безопасностью, принципам и процедурам платежного учреждения и внешним требованиям, проверять, соблюдаются ли эти принципы и процедуры в соответствующих департаментах и обеспечивать объективную независимую гарантию. Функция внутреннего аудита, предоставляемая платежным учреждением как внутри, так и вне его, должна обеспечивать менеджеру независимую уверенность в эффективности системы управления рисками и безопасности ИКТ на регулярной основе. Персонал, выполняющий функции внутреннего аудита, должен быть компетентным и иметь достаточный опыт в отношении рисков и безопасности ИКТ, платежей и должен быть независимым от соответствующего платежного учреждения или платежного учреждения. Частота и направленность аудитов должны соответствовать серьезности этих рисков.
26.Исполнитель утверждает план аудита, включая любые аудиты в области информационно-коммуникационных технологий и любые существенные изменения к ним. План аудита и его реализация, включая периодичность аудитов, должны отражать присущие ИКТ риски и безопасность платежного учреждения, должны быть пропорциональны и регулярно обновляться.
27.Учреждение по оплате труда устанавливает порядок своевременной проверки и исправления критических выводов проверок в области информационно-коммуникационных технологий.
Информационная безопасность
Политика информационной безопасности
28. Платежное учреждение обеспечивает соответствие политики информационной безопасности целям платежного учреждения в области информационной безопасности и основывается на результатах оценки рисков. Политика информационной безопасности утверждается руководителем.
29. Политика безопасности должна включать описание основных ролей и обязанностей в области управления информационной безопасностью и требований к персоналу и внешним поставщикам, процессов и технологий, связанных с информационной безопасностью. Все сотрудники и внешние поставщики обязаны обеспечивать сохранность информации платежного учреждения, соответствующей осуществляемой ими деятельности, возложенным на них задачам и имеющимся у них полномочиям. Политика информационной безопасности обеспечивает конфиденциальность, целостность и доступность критически важных логических и физических активов, ресурсов и конфиденциальных данных платежного учреждения как по депозиту, так и по передаче и использованию. Все работники и внешние поставщики знакомы с политикой безопасности.
30.На основе политики информационной безопасности платежное учреждение принимает меры безопасности для ограничения рисков ИКТ и безопасности, которой оно подвергается или может подвергаться. Эти меры охватывают следующие области:
а) внутреннее управление в соответствии с требованиями пунктов 10, 11 и 25;
логическая безопасность,
физической безопасности,
d) безопасность операций в области информационно-коммуникационных технологий;
e) мониторинг безопасности;
f) обзоры, оценки и испытания информационной безопасности;
g) обучение и информация в области информационной безопасности.
Логическая безопасность
31.Учреждение-плательщик устанавливает, документирует и применяет процедуры контроля логического подхода, включая проверки для мониторинга аномалий. Платежная организация должна контролировать применение этих процедур и регулярно их пересматривать. Такие процедуры должны основываться по меньшей мере на следующих принципах:
(a) принцип только необходимых знаний, принцип минимальных разрешений и принцип разделения функций; платежное учреждение управляет разрешением доступа к информационным активам и системам поддержки таким образом, что пользователь, включая пользователя системы (далее именуемого «пользователь»), знает только то, что необходимо, даже в случае удаленного доступа; пользователи имеют только такие права доступа, которые строго необходимы для выполнения своих обязательств в целях предотвращения несанкционированного доступа к большому набору данных или для предотвращения распределения комбинаций прав доступа, которые могут использоваться для обхода мер контроля;
(b) принцип компетентности пользователей; платежные учреждения должны, насколько это возможно, ограничивать использование общих и общих учетных записей пользователей и обеспечивать идентификацию пользователей для действий, осуществляемых в системах ИКТ;
(c) принцип авторизации привилегированного доступа; платежное учреждение строго контролирует привилегированный доступ к системе посредством строгого ограничения учетных записей администратора и других учетных записей с повышенными правами доступа к системе и обеспечивает тщательный надзор за этими учетными записями, обеспечивая удаленный административный доступ к критически важным системам ИКТ только для того, чтобы пользователь знал, что необходимо, и только тогда, когда используется сильная проверка личности пользователя;
(d) принцип регистрации деятельности пользователя; платежное учреждение обеспечивает ведение аудиторских записей и мониторинг, по крайней мере, всей деятельности привилегированных пользователей, безопасность записей доступа, чтобы предотвратить их несанкционированное изменение или удаление, и их хранение в течение периода, соизмеримого с критикой идентифицированных бизнес-функций, вспомогательных процессов и информационных активов; платежное учреждение использует эту информацию для облегчения идентификации и расследования необычной деятельности обслуживания;
(e) принцип управления доступом; платежное учреждение должно гарантировать, что права доступа предоставляются, отозваны или изменены во времени в соответствии с заранее определенными процедурами утверждения, включающими владельца информационного актива, в случае прекращения трудовых отношений или аналогичных отношений права доступа немедленно отозваны;
(f) принцип пересмотра разрешений на доступ; платежное учреждение обеспечивает регулярный пересмотр прав доступа для обеспечения того, чтобы пользователи не пользовались чрезмерными привилегиями и чтобы права доступа были отозваны, как только они больше не нужны;
(g) принцип эквивалентных методов аутентификации; платежное учреждение должно поощрять методы проверки, которые являются достаточно надежными, чтобы обеспечить, mutatis mutandis и эффективно, соблюдение принципов и процедур контроля доступа, в соответствии с критикой систем ИКТ, информации или процессов, к которым он относится, включая по меньшей мере сложные пароли, двухфакторные проверки или другие сильные методы проверки, в зависимости от связанного с этим риска.
32. Платежные учреждения обеспечивают, чтобы удаленный доступ через приложения данных и системы ИКТ ограничивался минимумом, необходимым для предоставления соответствующей услуги.
Физическая безопасность
33. Платежное учреждение устанавливает, документирует и применяет меры по обеспечению физической безопасности платежного учреждения для обеспечения защиты его помещений, центров обработки данных и чувствительных районов от несанкционированного доступа и от экологических рисков.
Платежное учреждение обеспечивает, чтобы физический доступ к системам ИКТ предоставлялся только уполномоченным лицам, разрешение предоставляется в соответствии с задачами и обязанностями соответствующего лица и ограничивается лицами, которые должным образом обучены и чья деятельность контролируется. Платежная организация должна гарантировать, что физический доступ регулярно пересматривается и, при необходимости, лишние права доступа отменяются.
35. Платежное учреждение принимает надлежащие меры для защиты от экологических рисков, которые пропорциональны важности зданий и критическому характеру операций или систем ИКТ, расположенных в таких зданиях.
Безопасность операций ИКТ
36. Платежное учреждение устанавливает, документирует и применяет процедуры для предотвращения и минимизации последствий инцидентов безопасности в системах ИКТ и услугах ИКТ. Такие процедуры включают:
(a) выявление потенциальных уязвимостей, которые оцениваются и корректируются путем обновления программного обеспечения и прошивки, включая программное обеспечение, предоставляемое платежным учреждением пользователям, путем внесения критических исправлений безопасности или путем введения компенсационных мер;
выполнение требований по обеспечению базовой конфигурации всех сетевых компонентов;
(c) внедрение сегментации сети, систем предотвращения потери данных и шифрования сетевого трафика в соответствии с классификацией данных;
d) введение защиты конечных точек, включая серверы, рабочие станции и мобильные устройства; До того, как таким точкам будет разрешен доступ к бизнес-сети, платежная организация должна оценить, соответствуют ли конечные точки установленным стандартам безопасности.
e внедрение механизмов проверки целостности программного обеспечения, прошивки и данных;
шифрование хранимых и передаваемых данных в соответствии с классификацией данных.
Платежная организация должна постоянно проверять, влияют ли изменения в существующей операционной среде на существующие меры безопасности или требуют дальнейших мер по снижению рисков. Платежные учреждения должны обеспечить, чтобы такие изменения были должным образом спланированы, проверены, документированы, утверждены и реализованы.
Контроль за безопасностью
38. Платежное учреждение осуществляет постоянный мониторинг безопасности. С этой целью он устанавливает, документирует и применяет процедуры для обнаружения и реагирования на необычные действия, которые могут повлиять на безопасность информации платежного учреждения. В контексте постоянного мониторинга безопасности платежное учреждение может обнаруживать и сообщать о физических или логических нарушениях и нарушениях конфиденциальности, целостности и доступности информационных активов. Платежная организация должна:
a соответствующие внутренние и внешние факторы, включая деловые и административные функции в области ИКТ;
(b) операции по обнаружению неправомерного использования доступа третьей стороной или в платежном учреждении;
потенциальные внутренние и внешние угрозы.
39. Платежное учреждение имеет организационную структуру, которая позволяет ему выявлять и постоянно контролировать угрозы безопасности, оказывающие существенное влияние на его способность предоставлять услуги. Платежная организация должна активно отслеживать технологические разработки, чтобы быть в курсе рисков безопасности. Платежная организация должна применять меры, в частности, для выявления возможных утечек информации, вредоносных кодов и других угроз безопасности и публично известной уязвимости к программному и аппаратному обеспечению, а также для проверки соответствующих новых обновлений безопасности.
40.Мониторинг безопасности помогает платежному учреждению понять характер инцидентов, связанных с безопасностью и эксплуатацией, выявить тенденции и поддержать свои расследования.
Обзор, оценка и тестирование информационной безопасности
41. Платежное учреждение должно применять различные процедуры и инструменты для проведения обзоров, оценок и тестирования информационной безопасности в целях обеспечения эффективного выявления уязвимости в системах ИКТ и услугах ИКТ с помощью дифференциального анализа по сравнению со стандартами информационной безопасности или другими средствами, обзоров соблюдения, аудитов информационных систем и физических проверок безопасности. Платежное учреждение должно рассмотреть другие передовые методы, такие как обзор исходного кода, оценки уязвимости, тесты на проникновение и упражнения, имитирующие реальное проникновение в системы ИКТ.
42. Платежное учреждение создает и применяет структуру для проверки безопасности информации, которая проверяет надежность и эффективность своих мер информационной безопасности с учетом угроз и уязвимости, выявленных в результате мониторинга рисков и оценки рисков ИКТ и безопасности.
Войдите для заметок, избранного и уведомлений
Информация об акте
| Цитирование | Постановление No 2 / 2022 Сб., вносящее изменения в Постановление No 7 / 2018 Сб., об определенных условиях осуществления деятельности платежного учреждения, администратора информации платежного счета, мелкомасштабного поставщика платежных услуг, учреждения электронных денег и мелкомасштабного эмитента электронных денег |
|---|---|
| Тип акта | - |
| Автор | - |
| Сборник | Сборник законов |
| Дата опубликования | 06.01.2022 |
|---|---|
| Действует с | 01.07.2022 |
| Действует до | - |
| Статус | Действующий |
Публичные контракты 4
Smlouva o provozování Systému veřejného sdílení jízdních kol
Statutární město Hradec Králové
nextbike Czech Republic s.r.o.
28.06.2024
Уведомления
Smlouva o nájmu prostor v datovém centrum
Národní rozvojová banka, a.s.
T-Mobile Czech Republic, a.s.
01.11.2022
Уведомления
Smlouva o smlouvě budoucí o zřízení služebnosti k pozemkům p.č. 4/2, 436, ... k.ú. Žabovřesky; částk...
Statutární město Brno
GasNet, s.r.o.
774 крон
10.10.2022
Smlouva o smlouvě budoucí o zřízení služebnosti k pozemkům p.č. 66/1, 66/17, ... k.ú. Komín
Statutární město Brno
CETIN a.s.
1 029 крон
13.07.2022
Источник:
Hlídač státu
(CC BY 3.0 CZ)
Текст нормативного акта носит информационный характер.
Комментарии 0