Dekrét č. 2 / 2022 Zb.
Vyhláška č. 7 / 2018 Z. z. o určitých podmienkach vykonávania činností platobnej inštitúcie, správcu informácií o platobnom účte, malého poskytovateľa platobných služieb, inštitúcie elektronického peňažníctva a malého vydavateľa elektronických peňazí
Platný
Účinnosť od 01.07.2022
Zobrazeno prvních 200 z celkem 299 ustanovení tohoto předpisu.
Zobrazit celý předpis →
Pro stažení celého znění použijte tlačítko Stáhnout výše.
2
VYHLÁSENIE
z 22. decembra 2021,
ktorým sa mení vyhláška č. 7 / 2018 Z. z. o určitých podmienkach vykonávania činnosti platobnej inštitúcie, správcu informácií o platobnom účte, malého poskytovateľa platobných služieb, inštitúcie elektronického peňažníctva a emitenta elektronických peňazí malého rozsahu
Česká národná banka ustanovuje podľa § 263 zákona č. 370 / 2017 Z. z. pri platbe na implementáciu § 16 ods. 5, § 17 ods. 3, § 20 ods. 4, § 46 ods. 2, § 48 ods. 4, § 59 ods. 4, § 65a ods. 2, § 74 ods. 6, § 75 ods. 3, § 78 ods. 4 a § 100 ods. 4 tohto zákona:
Vyhláška č. 7 / 2018 Z. z. o určitých podmienkach vykonávania činností platobnej inštitúcie, správcu informácií o platobnom účte, malého poskytovateľa platobných služieb, inštitúcie elektronického peňažníctva a emitenta malých elektronických peňazí sa mení takto:
1. Odsek 1 vrátane názvu a poznámky pod čiarou 1 znie takto:
Predmet úpravy
Táto vyhláška vykonáva príslušné ustanovenia Európskej únie1 a stanovuje
a) spôsob, akým sú splnené určité požiadavky na riadiaci a kontrolný systém platobnej inštitúcie, inštitúciu elektronického peňažníctva a správcu informácií o platobnom účte;
(b) spôsob, akým sú splnené požiadavky systému riadenia bezpečnostných a prevádzkových rizík a systému riadenia sťažností a sťažností malého poskytovateľa platobných služieb a malého emitenta elektronických peňazí;
(c) pravidlá výpočtu výšky vlastných zdrojov a kapitálovej primeranosti platobnej inštitúcie a inštitúcie elektronického peňažníctva vrátane individuálnych prístupov, ktoré možno uplatniť pri výpočte kapitálovej primeranosti;
(d) minimálnu úroveň poistného a minimálnu úroveň porovnateľného kolaterálu pre platobnú inštitúciu, inštitúciu elektronického peňažníctva a správcu informácií o platobnom účte.
(1) Článok 4 ods . 46 , článok 8 ods . 2, článok 9 , článok 9 ods . 1 / časť / EÚ a článok 9 ods . 2 smernice Európskeho parlamentu a Rady (EÚ) 2015 / 2366 z 25 . novembra 2015 o platobných službách na vnútornom trhu , ktorou sa menia smernice 2002 / 65 / ES , 2009 / 110 / ES a 2013 / 36 / EÚ a nariadenie (EÚ) č . 1093 / 2010 a zrušuje smernica 2007 / 64 / ES. Článok 5 ods .
2. Druhá časť, vrátane názvu, znie:
METÓDA VYKONÁVANIA URČITÝCH POŽIADAVIEK
METÓDA VYKONÁVANIA URČITÝCH POŽIADAVIEK NA SYSTÉM RIADENIA A KONTROLY PLATOBNÝCH INŠTITÚCIÍ
(K § 20 ods. 4 zákona)
Vnútorné pravidlá
(1) Platobná inštitúcia zahrnie do svojich vnútorných pravidiel požiadavky ustanovené pre systém riadenia a kontroly a postupy ich vykonávania, čo znamená stratégie, organizačné pravidlá, plány a iné vnútorné zásady a postupy platobnej inštitúcie.
(2) Vyplácajúca inštitúcia zavedie a uplatňuje postup prijímania a zmeny a doplnenia vnútorných pravidiel a zabezpečí pravidelné hodnotenie a prípadné úpravy vnútorných pravidiel.
(3) Platobná inštitúcia zabezpečí, aby vnútorné pravidlá boli v súlade s informáciami uvedenými v žiadosti o povolenie na prevádzkovanie platobnej inštitúcie alebo jej príloh, na základe ktorých bolo povolenie udelené, prípadne zmenené a doplnené v súlade s článkom 11 zákona.
(4) Platobné inštitúcie zohľadňujú vo svojich vnútorných pravidlách všeobecné usmernenia a odporúčania vydané Európskym orgánom pre bankovníctvo, Európskym orgánom pre cenné papiere a trhy, Európskym orgánom pre poisťovníctvo a dôchodkové poistenie zamestnancov alebo Spoločným výborom európskych orgánov dohľadu a určené poskytovateľom platobných služieb.
(5) Platobné inštitúcie zabezpečia, aby boli všetci pracovníci oboznámení s príslušnými vnútornými pravidlami a aby boli v potrebnom rozsahu v súlade s nimi.
Postupy schvaľovania a rozhodovania
Platobná inštitúcia zabezpečí, aby bolo jasne stanovené povolenie na schválenie a podpis dokumentov v súvislosti s činnosťou platobnej inštitúcie a aby sa mohli zaznamenávať, uchovávať a sledovať a zrekonštruovať všetky príslušné procesy schvaľovania a rozhodovania a kontrolné činnosti vrátane súvisiacich zodpovedností a právomocí v súvislosti s činnosťou platobnej inštitúcie a jej vnútornými pravidlami. Na tento účel tiež zodpovedajúcim spôsobom upraví svoje informačné a komunikačné systémy.
Systém riadenia bezpečnosti a prevádzkových rizík
(1) Platobná inštitúcia zavedie opatrenia na zmiernenie týchto rizík a kontrolných mechanizmov na riadenie bezpečnostných a prevádzkových rizík spojených s platobnými službami, ktoré poskytuje. Platobné inštitúcie zavedú a udržiavajú účinné postupy riadenia bezpečnostných a prevádzkových incidentov vrátane odhaľovania a klasifikácie závažných bezpečnostných a prevádzkových incidentov.
(2) Platobné inštitúcie v rámci systému riadenia bezpečnosti a prevádzkových rizík takisto riadia riziká v oblasti informačných a komunikačných technológií a bezpečnosti, ktoré zahŕňajú aspoň:
(a) riziko straty v dôsledku porušenia dôvernosti údajov, integrity systémov a údajov alebo dostupnosti systémov a údajov, alebo neschopnosti zmeniť informačné a komunikačné systémy v primeranom čase a s primeranými nákladmi, ak sa životné prostredie alebo činnosti zmenia;
b) bezpečnostné riziká vyplývajúce z nedostatku alebo zlyhania vnútorných procesov alebo vonkajších udalostí vrátane kybernetických útokov alebo nedostatku fyzickej bezpečnosti.
(3) Podrobnosti riadenia rizík v oblasti informačných a komunikačných technológií a bezpečnosti, ktorým je platobná inštitúcia vystavená alebo by mohla byť vystavená v súvislosti s platobnými službami, ktoré poskytuje, sú uvedené v prílohe k tomuto dekrétu.
(4) Platobná inštitúcia vypracuje politiku bezpečnosti informácií vymedzujúcu zásady a pravidlá ochrany dôvernosti, integrity a dostupnosti údajov a informácií platobnej inštitúcie a používateľov platobných služieb. Platobná inštitúcia vo svojich vnútorných pravidlách upraví bezpečnostné opatrenia v súlade s údajmi o riadení rizík uvedenými v prílohe k tomuto nariadeniu.
Systém sťažností a sťažností
(1) Platobná inštitúcia zavedie a uplatňuje postupy na vybavovanie sťažností a sťažností zo strany používateľov platobných služieb, ktorí:
(a) sú schválené osobou, ktorá skutočne riadi činnosti platobnej inštitúcie v oblasti poskytovania platobných služieb, a táto osoba tiež priebežne kontroluje ich dodržiavanie;
b) sú špecifikované vo vnútornom nariadení;
(c) umožniť ich riadne vyšetrovanie a zabezpečiť identifikáciu a zmiernenie potenciálnych konfliktov záujmov pri ich riešení.
(2) Platobná inštitúcia sa interne zaregistruje v súlade s lehotami stanovenými pre sťažnosť, sťažnosť a jej spracovanie spôsobom, ktorý spĺňa požiadavky na bezpečnosť informácií.
(3) Platobná inštitúcia zriadi systém vybavovania sťažností a sťažností, ktorý jej umožní poskytnúť Českej národnej banke na požiadanie bez zbytočného odkladu informácie o sťažnostiach a sťažnostiach vrátane osobitných postupov na ich spracovanie.
(4) Platobné inštitúcie priebežne analyzujú údaje o sťažnostiach a sťažnostiach a výsledky ich spracovania s cieľom zabezpečiť identifikáciu a riešenie akýchkoľvek systémových nedostatkov a potenciálnych rizík, aspoň:
(a) analyzovať dôvody jednotlivých sťažností a sťažností a určiť hlavné príčiny každého typu sťažností a sťažností;
(b) posúdi, či identifikované hlavné príčiny môžu ovplyvniť iné procesy, služby alebo výrobky vrátane tých, ktorých sa sťažnosť alebo sťažnosť priamo netýka;
c) v prípade systémových nedostatkov vždy odstráni identifikované príčiny sťažností a sťažností.
(5) Platobné inštitúcie
(a) poskytne používateľovi platobných služieb na požiadanie a kedykoľvek v súvislosti s potvrdením prijatia sťažnosti alebo sťažnosti písomné informácie o jeho sťažnostiach alebo reklamačnom konaní, v českom jazyku alebo v inom jazyku, ak sa dohodne s používateľom platobných služieb;
(b) sprístupní informácie uvedené v písmene c) používateľom platobných služieb a verejnosti prostredníctvom e-mailových adries používateľov platobných služieb alebo akýmkoľvek iným spôsobom dohodnutým s používateľmi platobných služieb v ich obchodných priestoroch a v prípade, že sú na nich založené webové stránky, aspoň v českom jazyku;
c) poskytovať komplexné, presné a aktuálne informácie o postupe vybavovania sťažností a sťažností vrátane:
1. podrobnosti o tom, ako podať sťažnosť alebo sťažnosť, najmä druh informácií, ktoré musí užívateľ platobných služieb poskytnúť, a kontaktné údaje osoby alebo služby platobnej inštitúcie, ktorej má byť sťažnosť alebo sťažnosť zaslaná;
2. informácie o lehote, v ktorej bude užívateľ platobných služieb informovaný o riešení sťažnosti a orientačnej lehote na spracovanie sťažnosti alebo sťažnosti;
3. podstatné predbežné informácie o spracovaní sťažností alebo sťažností;
4. informácie o kontaktných údajoch českej národnej banky, úradu finančného rozhodcu a úradu ombudsmana.
(6) Platobné inštitúcie
(a) vynakladá úsilie na primeranú potrebu získať a overiť všetky relevantné dôkazy a informácie týkajúce sa sťažnosti alebo sťažnosti;
(b) komunikovať s používateľom platobných služieb jednoduchým a zrozumiteľným spôsobom;
c) poskytnúť odpovede bez zbytočného odkladu a najneskôr v lehotách stanovených v oddiele 258 zákona; Ak nie je schopný dodržať tieto lehoty, informuje používateľa platobných služieb o dôvodoch omeškania a o dátume, kedy bola sťažnosť alebo sťažnosť skompletizovaná;
d) pri prijímaní stanoviska, ktoré nie je v plnom rozsahu v súlade s požiadavkami používateľa platobných služieb, podrobne vysvetlí riešenie sťažnosti alebo sťažnosti a poskytne používateľovi platobných služieb informácie o možnosti trvať na sťažnostiach alebo sťažnostiach a kontaktuje Úrad finančného rozhodcu, Českú národnú banku a právo na rovnaké zaobchádzanie a ochranu pred diskrimináciou úradu ombudsmana vrátane kontaktných údajov inštitúcie alebo súdu.
METÓDA VYKONÁVANIA URČITÝCH POŽIADAVIEK NA SYSTÉM RIADENIA A KONTROLY ELEKTRONICKEJ PONUKY
(K § 78 ods. 4 zákona)
V prípade inštitúcie elektronického peňažníctva sa odseky 2 až 5 uplatňujú mutatis mutandis.
METÓDA VYKONÁVANIA URČITÝCH POŽIADAVIEK NA SYSTÉM RIADENIA A KONTROLY INFORMÁCIÍ O PLATOBNÝCH ÚČTOCH
(Odsek 48 ods. 4 zákona)
(1) Odseky 2 a 3 sa uplatňujú mutatis mutandis na správcu informácií o platobnom účte.
(2) S cieľom splniť požiadavky systému riadenia bezpečnosti a prevádzkových rizík správca informácií o platobnom účte koná mutatis mutandis v súlade s oddielom 4.
(3) S cieľom splniť požiadavky na vybavovanie sťažností a sťažností správca informácií o platobnom účte postupuje mutatis mutandis v súlade s oddielom 5.
METÓDA VYKONÁVANIA POŽIADAVIEK NA BEZPEČNOSŤ, SYSTÉM RIADENIA PREVÁDZKOVÝCH RIZÍK A SYSTÉM DOPLŇOVANIA A PRIJÍMANIA PLATOBNÝCH SLUŽIEB S MALÝM ROZSAHOM PÔSOBNOSTI
(Odsek 59 ods. 4 zákona)
(1) Malý poskytovateľ platobných služieb zohľadní požiadavky stanovené pre systém riadenia bezpečnostných a prevádzkových rizík a systém riadenia sťažností a sťažností do svojich vnútorných pravidiel a koná mutatis mutandis v súlade s článkom 2 ods. 2 až 5 na splnenie požiadaviek pre takéto vnútorné pravidlá.
(2) S cieľom splniť požiadavky na schvaľovacie a rozhodovacie postupy týkajúce sa systému riadenia bezpečnosti a prevádzkových rizík a systému riadenia sťažností a sťažností poskytovateľ platobných služieb malého rozsahu koná mutatis mutandis v súlade s článkom 3.
(3) S cieľom splniť požiadavky systému riadenia bezpečnostných a prevádzkových rizík súvisiacich s poskytovaním platobných služieb poskytovateľ platobných služieb v malom rozsahu koná mutatis mutandis v súlade s oddielom 4.
(4) S cieľom splniť požiadavky systému vyrovnania sťažností a sťažností poskytovateľ platobných služieb malého rozsahu koná mutatis mutandis v súlade s oddielom 5.
METÓDA VYKONÁVANIA POŽIADAVIEK NA SYSTÉM BEZPEČNOSTNÉHO A PREVÁDZKOVÉHO RIADENIA RIZÍK A SÚLADNEHO SYSTÉMU A NÁKLADOV ELEKTRONICKÉHO VYDAVÁVANIA PEŇAZÍ
(K § 100 ods. 4 zákona)
(1) Malý emitent elektronických peňazí zohľadní požiadavky stanovené pre systém riadenia bezpečnosti a prevádzkových rizík a systém riadenia sťažností a sťažností do svojich vnútorných pravidiel a koná mutatis mutandis v súlade s článkom 2 ods. 2 až 5 na splnenie požiadaviek pre takéto vnútorné pravidlá.
(2) S cieľom splniť požiadavky na schvaľovacie a rozhodovacie postupy týkajúce sa systému riadenia bezpečnosti a prevádzkových rizík a systému riadenia sťažností a sťažností, emitent elektronických peňazí v malom rozsahu koná mutatis mutandis v súlade s článkom 3.
(3) S cieľom splniť požiadavky systému riadenia bezpečnosti a prevádzkových rizík emitent elektronických peňazí v malom rozsahu koná mutatis mutandis v súlade s oddielom 4.
(4) S cieľom splniť požiadavky systému sťažností a reklamácií emitent elektronických peňazí v malom rozsahu koná mutatis mutandis v súlade s oddielom 5."
poznámky pod čiarou č. 2 až 4 sa vypúšťajú.
3. Bod 27 ods. 4 znie takto:
"(4) Platobná inštitúcia , ktorá tiež vykonáva iné obchodné činnosti ako tie , pre ktoré je oprávnená vykonávať na základe povolenia udeleného podľa zákona ("hybridná platobná inštitúcia "), nezahŕňa do vlastných zdrojov určených podľa odseku 1 tie položky alebo ich časti , ktoré sa používajú na vykonávanie iných činností ako tých , na ktoré je oprávnená podľa zákona ."
4. V odseku 34 sa dopĺňa tento odsek 1:
"(1) Kapitál sa vypočíta mutatis mutandis ako vlastné zdroje podľa článku 4 ods. 1 bodu 118 nariadenia."
Odseky 1 až 5 sa prečíslujú na odseky 2 až 6.
5. Bod 34 ods. 4 znie:
"(4) Inštitúcia elektronického peňažníctva, ktorá vykonáva iné obchodné činnosti ako tie, na ktoré má nárok na základe povolenia udeleného podľa zákona, nesmie do vlastných zdrojov určených podľa odseku 1 zahrnúť tie položky alebo ich časti, ktoré sa používajú na vykonávanie iných činností, ako sú tie, na ktoré je oprávnená podľa zákona."
6. Dopĺňa sa táto príloha:
"Príloha k vyhláške č. 7 / 2018 Zb.
Podrobnosti o riadení rizík v oblasti IKT a bezpečnosti
Proporcionalita
1. Platobná inštitúcia dodržiava požiadavky na riadenie rizík pre informačné a komunikačné technológie a bezpečnosť (ďalej len "IKT a bezpečnostné riziká") spôsobom, ktorý zodpovedá veľkosti platobnej inštitúcie, jej organizačnej štruktúre a povahe, rozsahu, zložitosti a riziku služieb a produktov, ktoré poskytuje alebo plánuje poskytovať.
Strategické a prevádzkové riadenie, organizačné opatrenia
2. Osoba, ktorá skutočne riadi činnosti platobnej inštitúcie v oblasti poskytovania platobných služieb (ďalej len "správca"), zabezpečí, aby platobná inštitúcia mala primeraný rámec vnútornej správy a vnútornej kontroly rizík a bezpečnosti IKT. Manažér jasne vymedzí úlohy a zodpovednosť za funkcie IKT, riadenie rizika a bezpečnosť IKT vrátane bezpečnosti informácií a nepretržitého vykonávania činností a nepretržitého fungovania platobnej inštitúcie, a to aj pre seba.
3. Manažér zabezpečí, aby bol počet zamestnancov platobnej inštitúcie a ich spôsobilosť a skúsenosti primerané na priebežnú podporu fungovania platobnej inštitúcie v oblasti informačných a komunikačných technológií, riadenia rizík a bezpečnosti IKT a na vykonávanie jej stratégie IKT a rozpočtu, ktorý mu bol pridelený. Platobné inštitúcie zabezpečia, aby všetci pracovníci absolvovali primeranú odbornú prípravu aspoň raz ročne so zameraním na IKT a bezpečnostné riziká vrátane informačnej bezpečnosti (bod 49).
4. Manažér zodpovedá za vytvorenie a schválenie stratégie platobnej inštitúcie v oblasti informačných a komunikačných technológií v rámci celkovej stratégie platobnej inštitúcie, dohľad nad vykonávaním tejto stratégie a vytvorenie účinného rámca riadenia rizika a bezpečnosti IKT.
5. Stratégia IKT je v súlade s celkovou stratégiou platobnej inštitúcie a definuje:
a) ako by sa mali vyvíjať informačné a komunikačné technológie platobných inštitúcií s cieľom účinne podporovať celkovú stratégiu platobnej inštitúcie vrátane vymedzenia organizačného vývoja, zmien v systémoch informačných a komunikačných technológií (IKT) a kľúčových závislostí tretích strán;
(b) plánovanú stratégiu a rozvoj architektúry IKT vrátane závislosti tretích strán;
(c) zrozumiteľné ciele v oblasti informačnej bezpečnosti so zameraním na systémy a služby IKT, personál a procesy v oblasti informačných a komunikačných technológií.
6. Platobná inštitúcia vypracuje súbory akčných plánov, ktoré obsahujú opatrenia potrebné na vykonávanie stratégie IKT. Takéto plány sa oznamujú všetkým príslušným zamestnancom a iným príslušným osobám vrátane dodávateľov a externých poskytovateľov služieb alebo činností, čo znamená poskytovateľov outsourcingu, poskytovateľov v rámci skupiny, ktorých je platobná inštitúcia členom, alebo iných externých poskytovateľov (ďalej len "externí poskytovatelia"), ak je to vhodné a relevantné. Platobná inštitúcia pravidelne preskúmava akčné plány a zabezpečuje ich trvalú relevantnosť a vhodnosť. Platobná inštitúcia zavedie postupy na monitorovanie a hodnotenie účinnosti vykonávania svojej stratégie IKT.
7. Platobná inštitúcia zabezpečí, aby opatrenia na zmiernenie rizika vymedzené v rámci systému riadenia rizík boli účinné aj vtedy, ak sa externe vykonávajú prevádzkové funkcie poskytovania platobných služieb alebo systémov alebo služieb IKT v oblasti informačných a komunikačných technológií (ďalej len "služby IKT").
8. V záujme bezproblémového využívania systémov IKT a služieb IKT platobná inštitúcia zabezpečí, aby zmluvy a podobné dohody o úrovni služieb so všetkými externými poskytovateľmi zahŕňali:
a) ciele a opatrenia týkajúce sa bezpečnosti informácií vrátane osobitných požiadaviek a kritérií; V tejto súvislosti minimálne požiadavky na kybernetickú bezpečnosť, špecifikácie životného cyklu platobnej inštitúcie, všetky požiadavky týkajúce sa šifrovania údajov, procesov bezpečnosti sietí a bezpečnostného monitorovania a umiestnenia dátových centier,
(b) prevádzkové postupy a postupy na riešenie jednorazových udalostí alebo série súvisiacich udalostí neplánovanej platobnej inštitúcie, ktoré majú alebo pravdepodobne budú mať nepriaznivý vplyv na integritu, dostupnosť, dôvernosť alebo pravosť služieb (ďalej len "bezpečnostný a operačný incident"), vrátane prevodu na vyššiu úroveň riadenia a podávania správ.
9. Platobná inštitúcia monitoruje a zabezpečuje, aby externí poskytovatelia zabezpečili požadovanú úroveň bezpečnostných cieľov, opatrení a prevádzkových úloh platobnej inštitúcie, ktorá je externe zadaná.
ICT Riadenie rizík a bezpečnostný systém
10. Platobná inštitúcia uznáva a riadi riziká IKT a bezpečnosť, ktorej je alebo by mohla byť vystavená v súvislosti s platobnými službami, ktoré poskytuje. Pritom uplatňuje postupy a kontroly s cieľom zabezpečiť, aby sa všetky takéto riziká identifikovali, hodnotili, merali, monitorovali, nahlasovali a obmedzili v súlade so schválenou úrovňou ochoty platobnej inštitúcie pristupovať k týmto rizikám a aby projekty a zavedené systémy a vykonávané činnosti boli v súlade s inými vnútornými pravidlami stanovenými platobnou inštitúciou a požiadavkami stanovenými zákonmi, inými právnymi predpismi alebo nápravnými opatreniami, ktoré ukladá Česká národná banka.
11. Platobné inštitúcie poveria zodpovednosť za riadenie a bezpečnosť rizík IKT a dohľad nad nimi. Platobné inštitúcie zabezpečia nezávislosť a objektivitu tejto kontrolnej funkcie primeraným oddelením od prevádzkových činností IKT. Táto kontrolná funkcia je priamo zodpovedná manažérovi a je zodpovedná za monitorovanie a monitorovanie systému riadenia rizika a bezpečnosti IKT. Zabezpečuje aj identifikáciu, hodnotenie, meranie, monitorovanie a podávanie správ o rizikách a bezpečnosti IKT. Platobná inštitúcia zabezpečí, aby táto kontrolná funkcia nepodliehala žiadnemu internému auditu.
12. Na zabezpečenie účinného systému riadenia rizika IKT a bezpečnosti platobnej inštitúcie sa vymedzia kľúčové úlohy a zodpovednosti, príslušné hierarchické vzťahy a ich príslušné zodpovednosti. Platobné inštitúcie zabezpečia, aby sa riadenie rizík a bezpečnosť IKT plne začlenili do systému riadenia rizík platobnej inštitúcie vrátane zabezpečenia účinnosti a konzistentnosti prepojení v rámci tohto systému a v súlade s rôznymi postupmi systému riadenia rizík.
13. Systém riadenia a bezpečnosti IKT zahŕňa postupy pre:
a) určenie ochoty platobnej inštitúcie prijať takéto riziká v súlade s ochotou platobnej inštitúcie riskovať;
(b) uznanie a hodnotenie rizík, ktorým je platobná inštitúcia vystavená;
c) prijatie opatrení na zníženie výskytu alebo vplyvu takýchto rizík;
d) monitorovanie účinnosti opatrení a počtu oznámených bezpečnostných a prevádzkových incidentov v oblasti platieb vrátane tých, ktoré sú uvedené v oddiele 221 zákona, ktoré majú vplyv na činnosti v oblasti informačných a komunikačných technológií a v prípade potreby na prijatie opatrení;
(e) oznamovanie týchto rizík a opatrení manažérovi;
(f) uznanie a hodnotenie týchto rizík vyplývajúcich z akejkoľvek významnej zmeny v systémoch, postupoch alebo postupoch IKT a v súvislosti s akýmikoľvek významnými bezpečnostnými a prevádzkovými incidentmi.
14. Platobné inštitúcie zabezpečia, aby sa riadenie rizika a bezpečnostný systém IKT riadne zdokumentovali a neustále zlepšovali na základe získaných poznatkov. Manažér aspoň raz ročne schváli a preskúma nastavenia systému riadenia rizík IKT a bezpečnosť.
15. Platobná inštitúcia identifikuje a zmapuje obchodné funkcie, úlohy a podporné procesy z hľadiska ich významu a vzájomných prepojení vo vzťahu k rizikám a bezpečnosti IKT.
16. Platobná inštitúcia identifikuje aj informácie, ktoré sa majú chrániť (ďalej len "informačné aktívum "), podporuje obchodné funkcie a podporné postupy a vytvára a aktualizuje ich monitorovanie. Platobná inštitúcia je vždy schopná spravovať informačné aktíva, ktoré podporujú jej kritické obchodné funkcie a procesy.
17. Platobná inštitúcia klasifikuje identifikované obchodné funkcie, podporné procesy a informačné aktíva uvedené v odsekoch 15 a 16 z hľadiska ich kritickosti.
18. S cieľom vymedziť kritiku týchto identifikovaných obchodných funkcií, podporných procesov a informačných aktív platobná inštitúcia zváži aspoň požiadavky na dôvernosť, integritu a dostupnosť. Platobné inštitúcie jasne vymedzia povinnosti a povinnosti týkajúce sa informačných aktív.
19. Platobná inštitúcia preskúma primeranosť klasifikácie informačných aktív a príslušnú dokumentáciu pri vykonávaní posúdení rizika.
20. Platiaca inštitúcia podľa svojej kritiky uznáva riziká a bezpečnosť IKT, ktoré majú vplyv na identifikované a klasifikované obchodné funkcie, podporné procesy a informačné aktíva. Toto posúdenie rizika sa vykonáva vrátane dokumentácie aspoň raz ročne a vždy so všetkými významnými zmenami v infraštruktúre, procesoch alebo procesoch ovplyvňujúcich obchodné funkcie, podporné procesy alebo informačné aktíva. Na tomto základe platobná inštitúcia aktualizuje platné hodnotenie rizika.
21. Platobná inštitúcia priebežne monitoruje hrozby a slabé miesta súvisiace s obchodnými funkciami, podpornými procesmi a informačnými aktívami a pravidelne skúma rizikové scenáre, ktoré ich ovplyvňujú.
22. Na základe posúdenia rizika platobná inštitúcia určí opatrenia vedúce k zníženiu uznaných rizík a bezpečnosti IKT na úroveň zodpovedajúcu úrovni ochoty platobnej inštitúcie pristupovať k rizikám. Platobné inštitúcie tiež určia, či sú potrebné zmeny existujúcich obchodných procesov, kontrolných opatrení, systémov IKT a služieb IKT. Platobné inštitúcie zvážia čas potrebný na vykonanie takýchto zmien a čas na prijatie primeraných dočasných opatrení na obmedzenie rizík a bezpečnosti IKT v rozsahu, v akom je platobná inštitúcia ochotná prijať takéto riziká.
23. Platobná inštitúcia prijme opatrenia na obmedzenie identifikovaných rizík IKT a bezpečnosti a na ochranu informačných aktív v súlade s ich klasifikáciou.
24. Platobná inštitúcia zabezpečí, aby výsledky posúdenia rizika boli jasne a včas oznámené manažérovi.
Vnútorný audit rizík a bezpečnosti IKT
25. Funkcia vnútorného auditu uplatňuje prístup orientovaný na riziko a nezávisle skúma súlad všetkých činností platobnej inštitúcie týkajúcich sa informačných a komunikačných technológií a bezpečnosti so zásadami a postupmi platobnej inštitúcie a externými požiadavkami, skúma, či sa tieto zásady a postupy dodržiavajú v príslušných útvaroch a či poskytujú objektívne nezávislé záruky. Funkcia vnútorného auditu, ktorú poskytuje platobná inštitúcia interne alebo externe, poskytuje manažérovi pravidelné nezávislé uistenie o účinnosti riadenia rizika a bezpečnostného systému IKT. Zamestnanci vykonávajúci funkciu vnútorného auditu sú kompetentní a majú dostatočné skúsenosti s rizikami a bezpečnosťou IKT, platbami a sú nezávislí od dotknutej platobnej inštitúcie alebo platobnej inštitúcie. Frekvencia a zameranie auditov musia byť v súlade so závažnosťou týchto rizík.
26. Výkonný riaditeľ schvaľuje plán auditu vrátane všetkých auditov v oblasti informačných a komunikačných technológií a všetkých jeho podstatných zmien. Plán auditu a jeho vykonávanie vrátane frekvencie auditov odrážajú vlastné riziká IKT a bezpečnosť platobnej inštitúcie, sú primerané a pravidelne aktualizované.
27. Platobná inštitúcia stanoví opatrenia na včasné overenie a nápravu kritických zistení auditov v oblasti informačných a komunikačných technológií.
Bezpečnosť informácií
Politika bezpečnosti informácií
28. Platobná inštitúcia zabezpečí, aby politika bezpečnosti informácií bola v súlade s cieľmi platobnej inštitúcie v oblasti bezpečnosti informácií a vychádza z výsledkov posúdenia rizika. Pravidlá bezpečnosti informácií schvaľuje manažér.
29. Bezpečnostná politika obsahuje opis hlavných úloh a zodpovedností v oblasti riadenia bezpečnosti informácií a požiadaviek na zamestnancov a externých poskytovateľov, postupy a technológie súvisiace s bezpečnosťou informácií. Od všetkých zamestnancov a externých poskytovateľov sa vyžaduje, aby zabezpečili bezpečnosť informácií platobnej inštitúcie zodpovedajúcich činnostiam, ktoré vykonávajú, úloh, ktoré im boli zverené, a právomocí, ktoré majú. Politika bezpečnosti informácií zabezpečuje dôvernosť, integritu a dostupnosť kritických logických a fyzických aktív, zdrojov a citlivých údajov platobnej inštitúcie tak pri vklade, ako aj pri prevode a používaní. Všetci pracovníci a externí poskytovatelia sú oboznámení s bezpečnostnou politikou.
30. Na základe politiky bezpečnosti informácií platobná inštitúcia prijme bezpečnostné opatrenia na obmedzenie rizík IKT a bezpečnosti, ktorým je alebo by mohla byť vystavená. Opatrenia sa vzťahujú na tieto oblasti:
(a) vnútorné riadenie v súlade s požiadavkami bodov 10, 11 a 25;
b) logická bezpečnosť,
c) fyzická bezpečnosť,
(d) bezpečnosť prevádzky informačných a komunikačných technológií;
(e) bezpečnostné monitorovanie;
f) preskúmania, hodnotenia a testovanie bezpečnosti informácií;
g) odborná príprava a informácie v oblasti bezpečnosti informácií.
Logická bezpečnosť
31. Platobná inštitúcia zavedie, zdokumentuje a uplatňuje postupy kontroly logického prístupu vrátane kontrol na monitorovanie anomálií. Platobná inštitúcia monitoruje uplatňovanie týchto postupov a pravidelne ich preskúmava. Takéto postupy vychádzajú aspoň z týchto zásad:
(a) len požadovanú zásadu znalostí, zásadu minimálnych povolení a zásadu oddelenia funkcií; platobná inštitúcia spravuje povolenie na prístup k informačným aktívam a jej podporným systémom takým spôsobom, aby užívateľ vrátane používateľa systému (ďalej len "užívateľ") vedel len to, čo je potrebné, a to aj v prípade diaľkového prístupu; používatelia majú len také prístupové práva, ktoré sú nevyhnutne potrebné na plnenie svojich povinností s cieľom zabrániť neoprávnenému prístupu k veľkému súboru údajov alebo zabrániť prideľovaniu kombinácií prístupových práv, ktoré možno použiť na obchádzanie kontrolných opatrení;
(b) zásada právomoci používateľov; platobné inštitúcie v čo najväčšej možnej miere obmedzujú používanie všeobecných a spoločných užívateľských účtov a zabezpečujú identifikáciu používateľov pre činnosti vykonávané v systémoch IKT;
(c) zásadu povolenia na privilegovaný prístup; platobná inštitúcia prísne kontroluje privilegovaný prístup do systému prostredníctvom prísneho obmedzenia účtov správcu a iných účtov so zvýšenými prístupovými právami k systému a zabezpečuje úzky dohľad nad týmito účtami, pričom poskytuje vzdialený administratívny prístup ku kritickým systémom IKT len tak, aby používateľ vedel, čo je potrebné, a len ak sa použije dôsledné overenie totožnosti používateľa;
(d) zásadu zaznamenávania činnosti používateľa; platobná inštitúcia zabezpečí vedenie audítorských záznamov a monitorovanie aspoň všetkých činností privilegovaných používateľov, bezpečnosť prístupových záznamov s cieľom zabrániť ich neoprávnenej zmene alebo vymazaniu a ich uchovaniu počas obdobia zodpovedajúceho kritike identifikovaných obchodných funkcií, podporným procesom a informačným aktívam; platobná inštitúcia používa tieto informácie na uľahčenie identifikácie a vyšetrovania neobvyklých činností služieb;
e) zásadu riadenia prístupu; platobná inštitúcia zabezpečí, aby sa prístupové práva udelili, zrušili alebo upravili včas v súlade s vopred stanovenými postupmi schvaľovania, ktoré sa týkajú vlastníka informačného aktíva, v prípade ukončenia pracovného vzťahu alebo podobného vzťahu, prístupové práva sa okamžite zrušia;
f) zásadu revízie povolení na prístup; platobná inštitúcia zabezpečuje pravidelné preskúmanie prístupových práv s cieľom zabezpečiť, aby používatelia nemali nadmerné práva a aby sa prístupové práva zrušili hneď, ako už nebudú potrebné;
g) zásada rovnocenných metód overovania totožnosti; platobná inštitúcia podporuje metódy overovania, ktoré sú dostatočne spoľahlivé na to, aby primerane a účinne zabezpečili dodržiavanie zásad a postupov kontroly prístupu v súlade s kritikou systémov IKT, informácií alebo procesov, s ktorými sa zaobchádza, vrátane aspoň zložitých hesiel, dvoch faktorov overovania alebo iných prísnych metód overovania v závislosti od príslušného rizika.
32. Platobné inštitúcie zabezpečia, aby sa vzdialený prístup prostredníctvom dátových aplikácií a systémov IKT obmedzil na minimum potrebné na poskytovanie príslušnej služby.
Fyzická bezpečnosť
33. Platobná inštitúcia vytvorí, zdokumentuje a uplatňuje opatrenia na fyzickú bezpečnosť platobnej inštitúcie s cieľom zabezpečiť ochranu jej priestorov, dátových centier a citlivých oblastí pred neoprávneným prístupom a pred environmentálnymi rizikami.
34. Platobná inštitúcia zabezpečí, aby sa fyzický prístup k systémom IKT poskytoval len oprávneným osobám, aby sa povolenie udelilo v súlade s úlohami a povinnosťami dotknutej osoby a aby bolo obmedzené na osoby, ktoré sú riadne vyškolené a ktorých činnosti sa monitorujú. Platobná inštitúcia zabezpečí pravidelné preskúmanie fyzického prístupu a v prípade potreby zrušenie zbytočných prístupových práv.
35. Platobná inštitúcia prijme vhodné opatrenia na ochranu pred environmentálnymi rizikami, ktoré sú primerané významu budov a kritickému charakteru operácií alebo systémov IKT umiestnených v takýchto budovách.
Bezpečnosť operácií IKT
36. Platobná inštitúcia zavedie, zdokumentuje a uplatňuje postupy na predchádzanie a minimalizáciu vplyvu bezpečnostných incidentov v systémoch IKT a službách IKT. Takéto postupy zahŕňajú:
(a) identifikáciu potenciálnych slabých miest, ktoré sa hodnotia a opravia aktualizáciou softvéru a firmvéru vrátane softvéru, ktorý platobná inštitúcia poskytuje používateľom, vykonaním kritických bezpečnostných opráv alebo zavedením kompenzačných opatrení;
(b) vykonávanie požiadaviek na zabezpečenie základnej konfigurácie všetkých sieťových komponentov;
(c) zavedenie segmentácie siete, systémov predchádzania stratám údajov a šifrovania sieťovej prevádzky v súlade s klasifikáciou údajov;
(d) zavedenie ochrany koncových bodov vrátane serverov, pracovných staníc a mobilných zariadení; Pred tým, ako sa umožní prístup do obchodnej siete, platobná inštitúcia posúdi, či sú koncové body v súlade s vymedzenými bezpečnostnými normami,
e) zavedenie mechanizmov na overovanie integrity softvéru, firmvéru a údajov;
f) šifrovanie uložených a prenášaných údajov v súlade s klasifikáciou údajov.
37. Platobná inštitúcia priebežne skúma, či zmeny existujúceho operačného prostredia ovplyvňujú existujúce bezpečnostné opatrenia alebo si vyžadujú ďalšie opatrenia na zmiernenie rizík. Platobné inštitúcie zabezpečia, aby sa takéto zmeny riadne plánovali, testovali, dokumentovali, schválili a vykonávali.
Monitorovanie bezpečnosti
38. Platobná inštitúcia vykonáva priebežné monitorovanie bezpečnosti. Na tento účel stanoví, zdokumentuje a uplatňuje postupy na odhaľovanie a reakciu na nezvyčajné činnosti, ktoré môžu mať vplyv na bezpečnosť informácií platobnej inštitúcie. V kontexte priebežného monitorovania bezpečnosti je platobná inštitúcia schopná odhaliť a nahlásiť fyzické alebo logické narušenia a porušenia dôvernosti, integrity a dostupnosti informácií. Platobná inštitúcia:
(a) relevantné vnútorné a vonkajšie faktory vrátane obchodných funkcií a administratívnych funkcií v oblasti IKT;
b) transakcie na zistenie zneužitia prístupu treťou stranou alebo v rámci platobnej inštitúcie;
c) potenciálne vnútorné a vonkajšie hrozby.
39. Platobná inštitúcia má organizačnú štruktúru, ktorá jej umožňuje identifikovať a nepretržite monitorovať bezpečnostné hrozby s významným vplyvom na jej schopnosť poskytovať služby. Platobná inštitúcia aktívne monitoruje technologický vývoj, aby si bola vedomá bezpečnostných rizík. Platobná inštitúcia uplatňuje opatrenia najmä na identifikáciu možného úniku informácií, škodlivých kódov a iných bezpečnostných hrozieb a verejne známej zraniteľnosti softvéru a hardvéru a na kontrolu zodpovedajúcich nových aktualizácií bezpečnosti.
40. Bezpečnostné monitorovanie pomáha platobnej inštitúcii pochopiť povahu bezpečnostných a prevádzkových incidentov, identifikovať trendy a podporovať jej vyšetrovania.
Preskúmanie, hodnotenie a testovanie bezpečnosti informácií
41. Platobná inštitúcia uplatňuje rôzne postupy a nástroje na preskúmanie, hodnotenie a testovanie bezpečnosti informácií s cieľom zabezpečiť účinnú identifikáciu zraniteľnosti systémov IKT a služieb IKT prostredníctvom diferenciálnej analýzy v porovnaní s normami bezpečnosti informácií alebo inými prostriedkami, preskúmaním súladu, auditmi informačných systémov a fyzickou bezpečnostnou kontrolou. Platobná inštitúcia zváži iné osvedčené postupy, ako sú preskúmania zdrojového kódu, posúdenia zraniteľnosti, penetračné testy a cvičenia simulujúce skutočný prienik do systémov IKT.
42. Platobná inštitúcia vytvorí a uplatňuje rámec na testovanie bezpečnosti informácií, ktoré overujú spoľahlivosť a účinnosť jej opatrení v oblasti bezpečnosti informácií, pričom zohľadní hrozby a zraniteľnosť zistené pri monitorovaní rizík a hodnotení rizika IKT a bezpečnosti.
Prihláste sa pre poznámky, obľúbené a upozornenia
Informácie o predpise
| Citácia | Vyhláška č. 2 / 2022 Z. z., ktorou sa mení vyhláška č. 7 / 2018 Z. z., za určitých podmienok vykonávania činností platobnej inštitúcie, správcu informácií o platobnom účte, malého poskytovateľa platobných služieb, inštitúcie elektronického peňažníctva a malého vydavateľa elektronických peňazí |
|---|---|
| Typ predpisu | - |
| Autor | - |
| Zbierka | Zbierka zákonov |
| Dátum vyhlásenia | 06.01.2022 |
|---|---|
| Účinnosť od | 01.07.2022 |
| Účinnosť do | - |
| Stav | Platný |
Verejné zmluvy 4
Smlouva o provozování Systému veřejného sdílení jízdních kol
Statutární město Hradec Králové
nextbike Czech Republic s.r.o.
28.06.2024
Upozornenia
Smlouva o nájmu prostor v datovém centrum
Národní rozvojová banka, a.s.
T-Mobile Czech Republic, a.s.
01.11.2022
Upozornenia
Smlouva o smlouvě budoucí o zřízení služebnosti k pozemkům p.č. 4/2, 436, ... k.ú. Žabovřesky; částk...
Statutární město Brno
GasNet, s.r.o.
774 Kč
10.10.2022
Smlouva o smlouvě budoucí o zřízení služebnosti k pozemkům p.č. 66/1, 66/17, ... k.ú. Komín
Statutární město Brno
CETIN a.s.
1 029 Kč
13.07.2022
Zdroj:
Hlídač štátu
(CC BY 3.0 CZ)
Znenie predpisu má informatívny charakter.
Komentáre 0