Указ No 2 / 2022 Coll.
Указ про внесення змін до Указу No 7 / 2018 Coll, про певні умови здійснення діяльності платіжної установи, адміністратора інформації про платіжний обліковий запис, постачальника послуг малого розміру, електронного грошового закладу та малогабаритних електронних грошових емітентів
Чинний
Чинний від 01.07.2022
Zobrazeno prvních 200 z celkem 299 ustanovení tohoto předpisu.
Zobrazit celý předpis →
Pro stažení celého znění použijte tlačítko Stáhnout výše.
2 000 р.
ВИЗНАЧЕННЯ
від 22 грудня 2021
внесення змін до Указу No 7 / 2018 Coll., на певних умовах для здійснення діяльності платіжної установи, адміністратора інформації про платіжний рахунок, провайдера послуг малого розміру, електронного грошового закладу та емітента малогабаритних електронних грошей
Чеський національний банк передбачає виконання § 263 Акту No 370 / 2017 Кол., про оплату, за здійснення § 16 (5), § 17 (3), § 20 (4), § 48 (4), § 59 (4), § 65а (2), § 74 (6), § 75 (3), § 78 (4) та § 100 (4) цього Акту:
Указ No 7 / 2018 Coll., за певними умовами для здійснення діяльності платіжної установи, адміністратора інформації про платіжний обліковий запис, постачальника послуг малого розміру, електронного грошового закладу та емітента малогабаритних електронних грошей, внесені зміни:
1. Параграф 1, в тому числі заголовок і примітка 1, читати далі:
Тема питання
Цей Указ реалізовує відповідні положення Європейського Союзу1) та надає для
(а) спосіб, в якому зустрінеться певні вимоги до системи управління та контролю платіжної установи, електронного грошових установ та адміністратора інформації про платіжний рахунок;
(b) спосіб, в якому задовольняються вимоги системи управління безпекою та операційним ризиком, а також системи управління скаргою та скаргами провайдера платіжної служби малого та середнього розміру;
(c) правила розрахунку суми власних коштів та капіталізації платіжної установи та електронного грошового закладу, в тому числі індивідуальних підходів, які можуть застосовуватися в розрахунку капіталізації;
(d) мінімальний рівень страхових премій та мінімальний рівень порівняльної застави для платіжної установи, електронного грошового закладу та інформаційного менеджера платіжного рахунку.
(1) ст. 4 (46), ст. 8 (2), ст. 9, ст. 9 (1) / частина / ЄС та ст. 9 (2) Директивного (ЄС) 2015 / 2366 Європейського Парламенту та Ради 25 листопада 2015 року щодо платіжних послуг на внутрішньому ринку, що поправляє Директиви 2002 / 65 / EC, 2009 / 110 / EC та 2013 / 36 / EU та Регламент (ЄС) No 1093 / 2010 та реагування Директиви 2007 / 64 / EC. ст. 5 (2), ст. 5 (3), ст. 5 (4) та ст. 5 (6) Директивного 2009 / 110 / ЕК Європейського Парламенту та Ради 16 вересня 2009 року з прийняття та претенційного нагляду за електронними грошовими установами;
2. Частина друга, в тому числі назва, читає:
МЕТОД ЗВ’ЯЗКИ СЕРТОВИЩА
МЕТОД ІМПЛЕМЕНТАЦІЇ КЛІЄНТНИХ ОБЛАДНІВ ДЛЯ УПРАВЛІННЯ ТА КОНТРОЛЮ СИСТЕМИ УМОВИХ ЗАБЕЗПЕЧЕНЬ
(К § 20 (4) Акту)
Внутрішні правила
(1) Платіжна установа включає в себе вимоги, викладені для системи управління та контролю та процедури їх реалізації в її внутрішні правила, що означає стратегії, організаційні правила, плани та інші внутрішні принципи та процедури платіжної установи.
(2) Платна установа встановлює та застосовується порядок прийняття та внесення змін до внутрішніх правил та забезпечить регулярну оцінку внутрішніх правил та, де необхідно, коригувати.
(3) Платіжна установа забезпечить, що внутрішні правила знаходяться у відповідності до інформації, наданої у заяві про дозвіл на роботу платіжної установи або її аніматорів, на підставі яких було надано дозвіл, можливо, змінено відповідно до статті 11 Закону.
(4) Платіжні установи враховують у внутрішні правила, загальні вказівки та рекомендації, які видаються Європейським банком, Європейським органом з цінних паперів та ринків, Європейським Страхуванням та Окупаційним управлінням, або Спільним комітетом Європейських Спостережних органів та зверталися до постачальників платіжних послуг.
(5) Платіжні установи забезпечують, що всі працівники знайомляться і відповідають відповідним внутрішнім правилам і будь-яким змінам, які необхідно.
Затвердження та прийняття рішень
Платіжна установа гарантує, що авторизація затвердження та підпису документів в контексті діяльності платіжної установи чітко встановлена, що всі відповідні затвердження та процеси прийняття рішень та контрольні заходи, включаючи пов’язані обов’язки та повноваження в контексті діяльності платіжної установи та її внутрішніх правил, можуть бути записані, зберігаються та реконструюватись. Для цього необхідно налаштувати інформаційні системи та зв’язку відповідно.
Система управління безпекою та операційним ризиком
(1) Оплатна установа здійснює заходи щодо мінімізації ризиків та механізмів контролю безпеки та операційних ризиків, пов’язаних з наданням платіжних послуг. Платіжні установи встановлюють та підтримують ефективні процедури управління безпекою та оперативними інцидентами, в тому числі для виявлення та класифікації серйозних безпеки та операційних інцидентів.
(2) Платіжні установи в системі безпеки та оперативного управління ризиками також управляти ризиками у сфері інформаційних та комунікаційних технологій та безпеки, що включають принаймні:
(а) ризик втрати в результаті порушення конфіденційності даних, цілісності систем і даних, або наявності систем і даних, або нездатності змінювати інформаційні та комунікаційні системи в розумний час і з розумними витратами, де навколишнє середовище або зміни діяльності;
(b) ризики безпеки, що виникають внаслідок нестачі або відсутності внутрішніх процесів або зовнішніх подій, включаючи кібератаки або відсутність фізичної безпеки.
(3) Деталі управління ризиками в галузі інформаційних та комунікаційних технологій та безпеки, до яких платіжна установа або може бути піддана у зв’язку з платіжними послугами, що надаються ним, встановлюються в додатку до цієї постанови.
(4) Платіжна установа має розробити безпеку інформаційної політики, що визначає принципи та правила захисту конфіденційності, цілісності та наявності даних та інформації користувачів платіжної установи та платіжної служби. Платіжна установа, в її внутрішніх правилах, адаптувати заходи безпеки відповідно до реквізитів управління ризиками, викладених в додатку до цього Регламенту.
Скарги та скарги
(1) Платіжна установа встановлює та застосовує процедури обробки скарг та скарг користувачів платіжної служби, які:
(а) вони затверджуються особою, яка фактично керує діяльністю платіжної установи в сфері надання платіжних послуг, а також перевіряє їх відповідність на постійній основі;
(b) вказані в внутрішнього регламенту;
(c) увімкнути належне розслідування та забезпечити виявлення та пом’якшення потенційних конфліктів інтересу до їх розгляду.
(2) Платіжна установа реєструється внутрішньо, відповідно до лімітів часу, укладених за скаргу та скаргу та її виконання, таким чином, що відповідає вимогам інформаційної безпеки.
(3) Платіжна установа налаштує систему скарження скарг та скарг, дозволяючи їй забезпечити Чеський національний банк, за запитом, без зайвих затримок, з інформацією про скарги та скарги, включаючи конкретні процедури їх обробки.
(4) Платіжні установи постійно аналізують дані про скарги та результати їх обробки для забезпечення ідентифікації та вирішення будь-яких системних недоліків та потенційних ризиків, принаймні:
(a) проаналізувати причини виникнення індивідуальних скарг і скарг і визначити основні причини кожного виду скарг і скарг;
(b) оцінити, чи можуть впливати на інші процеси, послуги або товари, зокрема, ті, які не безпосередньо стосуються скарги або скарги;
(c) у разі системних недоліків, завжди слід видалити ідентифіковані причини скарг і скарг.
(5) Платіжні установи
(а) надавати Користувачу платіжного сервісу, за запитом і в будь-який час у зв'язку з підтвердженням отримання скарги або скарги, письмовою інформацією про процедуру скарги або скарги, в чеській мові або в іншій мові, якщо погоджено з користувачем платіжної служби;
(b) зробити інформацію, зазначену в пункті (c) для користувачів платіжної служби та громадськості через електронну пошту адреси користувачів платіжної служби або в будь-який інший спосіб, узгоджений з користувачами платіжних послуг у своїх бізнес-заміщених приміщеннях, а також на них сайтів, принаймні в чеській мові;
(c) надати вичерпну, точну та актуальну інформацію про порядок скарги та скарги, включаючи:
1. відомості про те, як подати скаргу або скаргу, зокрема, тип інформації, яку Користувач повинен надати платіжну послугу, а також контактні дані особи або послуги платіжної установи, до якого буде відправлено скаргу або скаргу;
2. інформація про період, в рамках якого Користувач платіжного сервісу буде повідомлено про обробку скарги та обмеження строку дії на обробку скарги або скарги;
3. суттєва проміжна інформація про обробку скарг або скарг;
Інформація про контактні дані Чеського Національного банку, Офісу Фінансового арбітра та Офісу Омбудсмена.
(6) Платіжні установи
(a) докладає зусиль для того, щоб отримати і перевірити всі відповідні докази і інформацію, що стосується скарги або скарги;
(b) спілкуватися з користувачем платіжної служби простим і зрозумілим способом;
(c) надавати відповіді без затримки не пізніше, ніж протягом строків, укладених в Розділ 258 Закону; Якщо не вдається дотримуватися цих строків, то повідомте користувача платіжної служби з причин затримки та дати, на яку здійснюється скарга або скарга;
(d) при здійсненні думки, яка не повністю відповідає вимогам користувача платіжної служби, роз’яснюється докладно рішення про скаргу або скаргу та надасть інформацію про можливість користувача платіжної служби наполягають на скаргах або скаргах та контакті з Офісом Фінансового арбітра, Чеським національним банком та право на рівне лікування та захист від дискримінації до Офісу Омбудсмена, включаючи контактні дані установи або суду.
МЕТОД ІМПЛЕМЕНТАЦІЇ КЛІЄНТНИХ ОБЛАДНІВ ДЛЯ УПРАВЛІННЯ ТА КОНТРОЛЮ СИСТЕМИ ЕЛЕКТРОННИХ ГРОШИХ ІНСТИТУЦІЙ
(K § 78 (4) Акту)
Для електронного грошових установок абзаци 2 до 5 застосовуються мутати мутанди.
МЕТОД УМОВИХ РЕЧОВИХ ОБ’ЄДНІВ ДЛЯ УПРАВЛІННЯ ТА КОНТРОЛЮ СИСТЕМИ ПЛАННОЇ ІНФОРМАЦІЇ
(Параграф 48 (4) Закону)
(1) пункту 2 і 3 застосовуються мутанди мутати до адміністратора інформації про платіжний рахунок.
(2) Для задоволення вимог системи управління безпекою та операційним ризиком адміністратор платіжного рахунку повинен діяти мутатис слизової оболонки відповідно до розділу 4.
(3) Для того, щоб задовольнити вимоги до розгляду скарг та скарг, інформаційний менеджер платіжного рахунку продовжить мутати слизової оболонки відповідно до розділу 5.
МЕТОД ВПРОВАДЖЕННЯ ОБЛАДНАННЯ ДЛЯ БЕЗПЕКИ, ОПЕРАЦІЙНО-РИЗИЧНОЇ СИСТЕМИ УПРАВЛІННЯ ТА СИСТЕМИ ЗАБЕЗПЕЧЕННЯ ДЛЯ УМОВИХ ПОСЛУГ МАЛОГО ШКОПИТУ
(Параграф 59 (4) Закону)
(1) Послуга невеликого розміру відображає вимоги, викладені на системі управління безпекою та оперативним ризиком, а також систему управління скаргою та скаргами в її внутрішні правила та зобов’язується діяти на мутати у відповідності до статті 2 (2) до (5) за виконання вимог до таких внутрішніх правил.
(2) З метою задоволення вимог до затвердження та прийняття рішень щодо системи управління безпекою та оперативним ризиком та системою управління скаргою та скаргами, провайдер послуг з невеликого розміру, має діяти мутати слизової оболонки відповідно до статті 3.
(3) З метою дотримання вимог системи управління безпекою та операційними ризиками, пов’язаними з наданням платіжних послуг, невеликий провайдер платіжних послуг має діяти мутати мутанди відповідно до розділу 4.
(4) З метою дотримання вимог системи врегулювання скарг та скарг, провайдер малогабаритної платіжної служби повинен діяти мутатис слизової оболонки відповідно до розділу 5.
МЕТОД ВПРОВАДЖЕННЯ ОБЛАДНАННЯ ДЛЯ БЕЗПЕКИ ТА ОПЕРАЦІЙНОЇ СИСТЕМИ УПРАВЛІННЯ РИЗИКАМИ ТА СИСТЕМИ ЗАБЕЗПЕЧЕННЯ ТА ЗАБЕЗПЕЧЕННЯ ЕЛЕКТРОННОГО ЗДОРОВ’Я
(К § 100 (4) Акту)
(1) Для виконання вимог до таких внутрішніх правил малогабаритних електронних грошових емітентів відобразить вимоги, викладених у системі управління безпекою та оперативним ризиком, а також систему управління скаргами та скаргами.
(2) З метою дотримання вимог до затвердження та прийняття рішень щодо системи управління безпекою та оперативним ризиком та системою управління скаргою та скаргою, маломасштабний електронний грошових емітента буде діяти мутатисом mutandis відповідно до статті 3.
(3) З метою дотримання вимог системи управління безпекою та оперативним ризиком, малогабаритний електронний грошових емітент повинен діяти мутатис слизової оболонки відповідно до розділу 4.
(4) З метою дотримання вимог системи скарг та скарг малогабаритних електронних грошових емітентів зобов’язаний діяти мутатис слизової оболонки відповідно до розділу 5. ';
Видаляє 2 до 4.
3. Параграф 27 (4) читати далі:
"(4) Платіжна установа, яка також здійснює діяльність бізнесу, крім тих, для яких вона уповноважена виконувати на підставі авторизації, наданої законом ("гібридна платіжна установа ') не включає в себе власні кошти, визначені пунктом 1 цих пунктів або частинами, які використовуються для здійснення діяльності, крім тих, для яких він уповноважений законом.";
4. У пункті 34 додано наступний пункт 1:
"(1) Столиці розраховується мутатис слизової оболонки як власні кошти за ст. 4 (1) (118) Регламенту. -
Публіки 1 до 5 будуть перераховані пункти 2 до 6.
5. Параграф 34 (4) Читає:
"(4) Електронна грошова установа, яка здійснює діяльність бізнесу, крім тих, для яких вона має право на авторизації, надані законом, не може включати в себе власні кошти, визначені пунктом 1 цих пунктів або частин, які використовуються для здійснення заходів, крім тих, для яких він уповноважений законом."
6. Додано наступний Додаток:
"Аннекс до Указу No 7 / 2018 Coll.
Детальніше про управління ризиками в ІКТ та безпеці
Пропортажність
1. Платіжна установа повинна відповідати вимогам управління ризиками для інформаційно-комунікаційних технологій та безпеки (далі – ІКТ та ризики безпеки) в порядку, відповідному розмірам платіжної установи, її організаційної структури та природи, масштабу, складності та ризику послуг та товарів, що надаються або мають намір надати.
Стратегічне та оперативне управління, організаційні заходи
2. Особа, яка фактично керує діяльністю платіжної установи в галузі надання платіжних послуг (далі – «менеджер»), гарантує, що платіжна установа має достатню внутрішню систему управління та внутрішню систему управління для ризиків ІКТ та безпеки. Менеджер чітко визначає ролі та обов’язки для функцій ІКТ, управління ризиками ІКТ та безпеки, включаючи інформаційну безпеку та безперервне функціонування платіжної установи, у тому числі для себе.
3. Керівник зобов’язується забезпечити, що кількість персоналу платіжної установи та їх компетенції та досвіду є достатнім для постійної підтримки функціонування платіжної установи в галузі інформаційних та комунікаційних технологій, управління ризиками та безпеки, а також для реалізації його стратегії ІКТ та бюджету, виділеного ним. Платіжні установи забезпечують, що всі працівники отримують відповідну підготовку принаймні один раз на рік, орієнтуючись на ризики ІКТ та безпеки, включаючи інформаційну безпеку (пункт 49).
4. Менеджер несе відповідальність за створення та затвердження стратегії платіжної установи в галузі інформаційних та комунікаційних технологій в рамках загальної стратегії платіжної установи, нагляду за виконанням цієї стратегії та створення ефективної системи управління ризиками та безпеки.
5. Стратегія ICT відповідає загальній стратегії платіжного закладу та визначає:
(а) як інформаційні та комунікаційні технології платіжних установ повинні бути розроблені для ефективного забезпечення загальної стратегії платіжної установи, в тому числі визначення організаційних розробок, зміни інформаційних та комунікаційних систем (систем) та ключових сторонніх залежностей;
(b) планова стратегія та розвиток архітектури ICT, в тому числі сторонньої залежності;
(c) зрозумілі цілі в галузі інформаційної безпеки, зосередження на системах ІКТ та сервісах, персоналу та процесах в галузі інформаційних та комунікаційних технологій.
6. Платіжна установа встановлює набори заходів, що містять заходи, необхідні для реалізації стратегії ІКТ. Такі плани поспілкуються з усіма відповідними кадрами та іншими відповідними особами, включаючи постачальників та зовнішніх постачальників послуг або діяльність, які представляють інтереси постачальників, внутрішньогрупних провайдерів, які є учасником платіжної установи, або іншими зовнішніми постачальниками (далі – «зовнішні постачальники»), де застосовуються та актуальні. Платіжна установа регулярно переглядає плани дій та забезпечує їх продовження актуальності та придатності. Платіжна установа встановлює процеси для моніторингу та оцінки ефективності реалізації стратегії ІКТ.
7. Платіжна установа гарантує, що заходи щодо зниження ризику, визначені в системі управління ризиками, є ефективними навіть якщо будь-які операційні функції надання платіжних послуг або ICT-систем або послуг у сфері інформаційних та комунікаційних технологій (далі – ICT-послуги) є вихідним.
8. Для гладкого використання ІКТ-систем та ІКТ-послуг, платіжна установа забезпечить, що договори та аналогічні умови рівня обслуговування з усіма зовнішніми постачальниками включають:
(а) завдання та заходи, пов’язані з безпекою інформації, включаючи конкретні вимоги та критерії; У зв'язку з тим, що мінімальні вимоги до кібербезпеки, технічні характеристики життєвого циклу платіжних установ, всі вимоги щодо шифрування даних, мережних процесів безпеки та моніторингу безпеки та розташування центрів даних,
(b) оперативні процедури та процедури боротьби з односторонніми подіями або рядом пов’язаних заходів непланованої платіжної установи, яка має або, ймовірно, має несприятливий вплив на цілісність, наявність, конфіденційність або достовірність послуг (далі – «безпека та оперативний інцидент»), включаючи передачу на вищий рівень управління та звітності.
9. Платіжна установа повинна контролювати і забезпечити, що зовнішні постачальники забезпечують необхідний рівень цілей безпеки, заходів та оперативних завдань платіжної установи, що є аутсорсингом.
Система управління ризиками та безпеки
10. Платіжна установа впізнає та управляти ризиками ІКТ та безпекою, на які вона або може бути піддається впливу на надання платіжних послуг. Таким чином, це стосується процедур і контрольів, щоб забезпечити, що всі такі ризики виявляються, оцінені, вимірюються, відстежуються, повідомляють і обмежуються відповідно до затвердженого рівня готовність платіжної установи до доступу до цих ризиків, а також проектів і систем, які реалізовані, і діяльність, що здійснюється, дотримання інших внутрішніх правил, встановлених платіжною установою і вимог, викладених законами, регламентами або засобами, встановленими чеським національним банком.
11. Платіжні установи зобов’язані доручити відповідальність за та нагляд за ризиком ІКТ та безпекою. Платіжні установи забезпечують самостійність та об’єктивність цієї функції управління відповідно відокремлюючи її від оперативної діяльності ІКТ. Ця функція контролю повинна бути безпосередньо відповідальна менеджеру та несе відповідальність за моніторинг та моніторинг системи управління ризиками ІКТ. Також передбачено, що виявлені ризики ІКТ та безпека, оцінюються, вимірюються, відстежуються та повідомляють. Платіжна установа забезпечує, що ця функція контролю не підлягає внутрішньому перевірці.
12. З метою забезпечення ефективної системи управління ризиками ІКТ та безпеки платіжної установи, ключових ролей та обов’язків, відповідних ієрархічних відносин та їх обов’язків будуть визначені. Платіжні установи забезпечують, що управління ризиками ІКТ та безпека повністю інтегровані в систему управління ризиками платіжної установи, включаючи забезпечення ефективності та консистенції посилань в цій системі та послідовно з різними процесами системи управління ризиками.
13. Система управління ризиками ІКТ включає процеси:
(а) визначення готовності платіжної установи приймати такі ризики відповідно до вимог платіжної установи до ризиків;
(b) визнання та оцінка ризиків, на які здійснюється платіжна установа;
(c) вжити заходів для зменшення виникнення або впливу таких ризиків;
(d) моніторинг ефективності заходів та кількості визначених заходів безпеки та операційних інцидентів у сфері оплати, у тому числі у розділі 221 Закону, що впливають на діяльність інформаційних та комунікаційних технологій та, де необхідно, прийняття заходів;
(e) звітувати про ризики та заходи керівника;
(f) визнання та оцінка цих ризиків, що виникають з будь-яких суттєвих змін у системах ІКТ та сервісах ІКТ, процесах або процесах або за будь-яким значним забезпеченням безпеки та оперативним інцидентом.
14. Платіжні установи забезпечують, що система управління ризиками ІКТ належним чином задокументована і безперервно поліпшується на підставі отриманих знань. Як мінімум один раз на рік менеджер зобов'язується і переглядати налаштування системи управління ризиками ІКТ і безпеки.
15. Платіжна установа виявляти та малювати ділові функції, ролі та процеси підтримки з точки зору їх значення та зв’язків між собою щодо ризиків ІКТ та безпеки.
16. Платіжна установа також визначає інформацію, яка буде захищена (далі – «інформаційний актив», підтримує ділові функції та процеси підтримки та встановлює та оновлює їх моніторинг. Для управління активами інформації, які підтримують її критичні ділові функції та процеси.
17. Платіжна установа має класифікувати ідентифіковані функції бізнесу, підтримувати процеси та інформаційні активи, які зазначені в пунктах 15 та 16, відповідно до їх критичності.
18. З метою визначення критики цих ідентифікованих функцій ведення бізнесу, процесів підтримки та інформаційних активів, платіжна установа не менше розглядається конфіденційність, цілісність та вимоги до доступності. Платіжні установи чітко визначають обов’язки та обов’язки щодо інформаційних активів.
19. Платіжна установа розгляне адекватність класифікації інформаційних активів та відповідної документації при здійсненні оцінки ризиків.
20. Платна установа визнає ризики ІКТ та безпеку, які впливають на ідентифіковані функції бізнесу, процеси підтримки та інформаційні активи, відповідно до їх критики. Це оцінка ризику здійснюється, включаючи документацію, принаймні один раз на рік і в усі часи з усіма основними змінами інфраструктури, процесів або процесів, що впливають на функції бізнесу, процеси підтримки або інформаційні активи. На цій підставі платіжна установа оновлюється дійсна оцінка ризику.
21. Платіжна установа постійно контролює загрози та вразливості, які відносяться до функцій бізнесу, процесів підтримки та інформаційних активів та регулярно перегляд сценаріїв ризику, що впливають на них.
22. На підставі оцінки ризику, платіжна установа визначає заходи, що призводять до зменшення визнаних ризиків ІКТ та безпеки на рівні, відповідних рівням готовності платіжної установи до ризиків доступу. Також необхідно визначити, чи потрібні зміни до існуючих бізнес-процесів, контрольних заходів, систем ICT та ICT. Платіжні установи повинні враховувати час, необхідний для здійснення таких змін і часу, щоб прийняти відповідні заходи щодо обмеження ризиків ІКТ і безпеки в обсязі, що платіжна установа буде здійснювати такі ризики.
23. Платіжна установа вживає заходів для обмеження виявлених ризиків ІКТ та безпеки та захисту інформаційних активів відповідно до їх класифікації.
24. Платіжна установа гарантує, що результати оцінки ризику чітко та своєчасно оцінюються менеджеру.
Внутрішній аудит на ICT ризик і безпека
25. Внутрішня аудиторська функція застосовується орієнтований на ризики та самостійно перевіряє відповідність всіх заходів платіжної установи, пов’язаних з інформаційно-комунікаційними технологіями та безпекою за принципами та процедурами платіжної установи та зовнішніми вимогами, вивчається, чи поважаються ці принципи та процедури у відділах, що стосуються та забезпечення об’єктивного незалежного забезпечення. Внутрішня аудиторська функція, що надається платіжною установою, внутрішньо або зовнішньо, надає менеджеру незалежне забезпечення ефективності системи управління ризиками та забезпечення безпеки на регулярній основі. Персонал, що надає функцію внутрішнього аудиту, має бути компетентним та мати достатній досвід щодо ризиків та безпеки, платежів та незалежні від платіжної установи або платіжної установи. Частота та фокус перевірок повинні відповідати вираженості цих ризиків.
26. Виконавчий директор затвердить план проведення перевірок, в тому числі будь-які перевірки в галузі інформаційних та комунікаційних технологій та будь-яких суттєвих змін. План аудиту та його реалізація, включаючи частоту проведення перевірок, відображають притаманні ризики ІКТ та безпеку платіжної установи, пропорційно та регулярно оновлюються.
27. Платіжна установа передбачає своєчасну перевірку та корекцію критичних знахідок перевірок у сфері інформаційних та комунікаційних технологій.
Захист інформації
Політика інформаційної безпеки
28. Платіжна установа гарантує, що політика інформаційної безпеки відповідає цілям платіжної установи в галузі інформаційної безпеки і ґрунтується на результатах оцінки ризику. Політика інформаційної безпеки повинна бути затверджена менеджером.
29. Політика безпеки включає в себе опис основних ролей та обов’язків у сфері управління інформаційної безпеки та вимоги до персоналу та зовнішніх постачальників, процесів та технологій, пов’язаних з безпекою інформації. Для забезпечення безпеки інформації про платіжну установу, відповідну діяльності, які здійснюють діяльність, необхідно надати їм завдання та повноваження, які вони мають. Політика інформаційної безпеки забезпечує конфіденційність, цілісність та доступність критичних логічних та фізичних активів, ресурсів та чутливих даних платіжної установи як на депозиті, так і на передачу та використанні. Всі працівники та зовнішні постачальники знайомі з політикою безпеки.
30. На підставі політики інформаційної безпеки платіжна установа вживає заходи безпеки для обмеження ризиків ІКТ та безпеки, на які вона може бути піддана. Заходи охоплюють такі напрямки:
(а) внутрішнього управління відповідно до вимог пунктів 10, 11 та 25;
(b) логічна безпека,
(c) фізична безпека,
(d) безпека інформаційних та комунікаційних технологій;
(e) моніторинг безпеки;
(f) відгуки, оцінка та перевірка інформаційної безпеки;
(г) навчання та інформація у сфері інформаційної безпеки.
Логічна безпека
31. Платіжна установа встановлює, документ та застосовує процедури контролю логічного підходу, в тому числі перевіряє контроль аномалії. Платіжна установа повинна регулярно стежити за заявою цих процедур і регулярно переглядати їх. Такі процедури повинні базуватися принаймні на наступних принципах:
(a) принцип знань тільки необхідний, принцип мінімальних дозволів і принцип поділу функцій; платіжна установа керує авторизації доступу до інформаційних активів і її систем підтримки таким чином, що користувач, включаючи користувача системи (далі – «користувач»), знає тільки те, що необхідно, навіть у разі віддаленого доступу, користувачі мають лише такі права доступу, як суворо необхідні для виконання своїх зобов’язань з метою запобігання несанкціонованого доступу до великого набору даних або запобігання розподілу комбінацій прав доступу, які можуть бути використані для вимірювання заходів контролю доступу;
(b) принципу компетентності користувача; платіжні установи повинні максимально обмежити використання загального та спільного облікового запису користувачів та забезпечити ідентифікації користувачів для дій, здійснених в системах ICT;
(c) принцип привілейованих дозволів доступу; платіжна установа суворо контролює привілейований доступ до системи через суворе обмеження облікових записів адміністратора та інших облікових записів з підвищеними правами доступу до системи та забезпечує близький нагляд цих облікових записів, що забезпечує віддалений адміністративний доступ до критичних систем ICT, так що користувач знає, що необхідно і тільки при сильному перевірці ідентичності користувача;
(d) принцип запису діяльності користувача; платіжна установа забезпечить ведення аудиторських записів та моніторинг принаймні всіх заходів привілеїв користувачів, безпеки записів доступу так, щоб запобігти їх несанкціонованої модифікації або видалення, та їх зберігання на період, що відповідає критиці виявлених функцій бізнесу, підтримуючи процеси та інформаційні активи; платіжний заклад використовує цю інформацію для полегшення ідентифікації та розслідування незвичайної діяльності;
(e) принцип управління доступом; платіжна установа забезпечить надання прав на доступ, виводити або змінюватися в часі, відповідно до заздалегідь визначених процедур узгодження з власником інформаційного активу, у разі припинення трудових відносин або аналогічних відносин, права доступу негайно виводити;
(f) принципу ревізії доступу; платіжна установа забезпечує, що права доступу регулярно переглядаються, щоб користувачі не користуються зайвими привілеями і які права доступу знімаються, як тільки вони більше не потрібні;
(g) принцип еквівалентних методів автентифікації; платіжна установа сприятиме методам перевірки, які досить надійні, щоб забезпечити, мутатис слизової оболонки і ефективно, дотримання принципів і процедур контролю доступу, що відповідають критикам систем ICT, інформації або процесів, до яких вона лікується, включаючи мінімум складні паролі, двофакторні перевірки або інші сильні методи перевірки, залежно від ризику, залучених.
32. Платіжні установи забезпечують віддалений доступ за допомогою додатків даних та систем ICT обмежений мінімальним необхідним для надання відповідного сервісу.
Фізична безпека
33. Платіжна установа встановлює, документ та застосовує заходи для фізичної безпеки платіжної установи для забезпечення захисту її приміщень, центрів обробки даних та чутливих територій від несанкціонованого доступу та від екологічних ризиків.
34. Платіжна установа гарантує, що Фізичний доступ до систем ICT надається тільки уповноваженим особам, авторизації надається відповідно до завдань і обов’язків особи, які мають відношення і обмежене фізичним особам, які належним чином навчаються, і діяльність яких контролюється. Платіжна установа забезпечує постійний перегляд фізичного доступу, де необхідно, відкликані права доступу.
35. Платіжна установа вживає відповідних заходів щодо захисту від екологічних ризиків, які пропорційно значущості будівель і критичної природи операцій або ІКТ-систем, розташованих в таких будівлях.
Безпека операцій ІКТ
36. Платіжна установа встановлює, документ та застосовує процедури для запобігання та мінімізації впливу інцидентів безпеки в системах ICT та ICT. До таких процедур відносяться:
(a) визначення потенційних вразливостей, які оцінюються та виправлені шляхом оновлення програмного забезпечення та прошивки, включаючи програмне забезпечення, що надається платіжною установою для користувачів, шляхом створення критичних правил безпеки або введення компенсаційних заходів;
(b) виконання вимог для забезпечення базової конфігурації всіх мережевих компонентів;
(c) впровадження систем запобігання втратам даних та мережевого трафіку відповідно до класифікації даних;
(d) введення захисту кінцевих точок, включаючи сервери, робочі станції та мобільні пристрої; До таких точок допускається доступ до бізнес-мережі, платіжна установа оцінюється, чи відповідають кінцевим пунктам, що відповідають встановленим стандартам безпеки,
(e) введення механізмів перевірки цілісності програмного забезпечення, прошивки та даних;
(f) шифрування збережених і переданих даних відповідно до класифікації даних.
37. Платна установа постійно вивчається, чи зміни до існуючого оперативного середовища впливають на існуючі заходи безпеки або вимагають подальших заходів для зниження ризиків. Платіжні установи забезпечують, що такі зміни належним чином плануються, перевірені, документальні, затверджені та реалізовані.
Моніторинг безпеки
38. Платіжна установа здійснює постійний контроль за безпекою. Для цього необхідно встановити документ і застосувати процедури для виявлення і реагування на незвичні заходи, які можуть вплинути на безпеку інформації платіжної установи. В умовах постійного моніторингу безпеки платіжна установа здатна виявити та звітувати фізичні або логічні порушення та порушення конфіденційності, цілісності та наявності інформаційних активів. Платіжна установа:
(a) відповідні внутрішні та зовнішні чинники, в тому числі функції бізнесу та адміністративні функції в галузі ІКТ;
(b) операції для виявлення неправомірності доступу третім особам або в межах платіжної установи;
(c) потенційні внутрішні та зовнішні загрози.
39. Платіжна установа має організаційну структуру, яка дозволяє визначати та контролювати безперервні загрози безпеки з суттєвим впливом на її здатність надавати послуги. Для того, щоб бути в курсі ризиків безпеки, необхідно зареєструватися на сайті. Платіжна установа застосовується для виявлення можливих витоків інформації, шкідливих кодів та інших загроз безпеки та загальновідомих вразливостей до програмного забезпечення та апаратного забезпечення та перевірки відповідних оновлень безпеки.
40. Моніторинг безпеки допомагає платіжній установі зрозуміти характер безпеки та операційних інцидентів, визначити тенденції та підтримувати його розслідування.
Огляд, оцінка та тестування інформаційної безпеки
41. Платіжна установа застосовується різні процедури та інструменти для відгуків, оцінки та тестування інформаційної безпеки для забезпечення ефективної ідентифікації вразливостей в системах ICT та послуг ICT за допомогою диференціального аналізу у порівнянні з стандартами інформаційної безпеки або іншими засобами, відгуки про відповідність, аудит інформаційних систем та перевірка фізичної безпеки. Платіжна установа розглянула інші кращі практики, такі як рецензії початкового коду, оцінка вразливостей, аналізи проникнення та вправи, що керують реальним проникненням в системи ICT.
42. Платіжна установа встановлює та застосовується в рамках тестування безпеки інформації, яка перевіряє надійність та ефективність заходів інформаційної безпеки, враховуючи загрози та вразливість, визначені моніторингом ризику та оцінкою ризику ІКТ та безпеки.
Увійдіть для нотаток, обраного та сповіщень
Інформація про нормативний акт
| Цитування | Указ No 2 / 2022 Coll., поправки Указу No 7 / 2018 Coll., на певних умовах для здійснення діяльності платіжної установи, адміністратора платіжної інформації, постачальника послуг з малогабаритних платежів, електронного грошових коштів та малогабаритного електронного грошових емітента |
|---|---|
| Тип нормативного акту | - |
| Автор | - |
| Збірка | Збірка законів |
| Дата оприлюднення | 06.01.2022 |
|---|---|
| Чинний від | 01.07.2022 |
| Чинний до | - |
| Стан | Чинний |
Публічні договори 4
Smlouva o provozování Systému veřejného sdílení jízdních kol
Statutární město Hradec Králové
nextbike Czech Republic s.r.o.
28.06.2024
Сповіщення
Smlouva o nájmu prostor v datovém centrum
Národní rozvojová banka, a.s.
T-Mobile Czech Republic, a.s.
01.11.2022
Сповіщення
Smlouva o smlouvě budoucí o zřízení služebnosti k pozemkům p.č. 4/2, 436, ... k.ú. Žabovřesky; částk...
Statutární město Brno
GasNet, s.r.o.
774 крон
10.10.2022
Smlouva o smlouvě budoucí o zřízení služebnosti k pozemkům p.č. 66/1, 66/17, ... k.ú. Komín
Statutární město Brno
CETIN a.s.
1 029 крон
13.07.2022
Джерело:
Hlídač státu
(CC BY 3.0 CZ)
Текст нормативного акту має інформаційний характер.
Коментарі 0