Об утверждении Правил ведения реестра платежных систем Постановление Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 221. Зарегистрировано в Министерстве юстиции Республики Казахстан 6 октября 2016 года № 14297

В соответствии с подпунктом 52-7) части второй статьи 15 Закона Республики Казахстан «О Национальном Банке Республики Казахстан» и подпунктом 22) пункта 1 статьи 4 Закона Республики Казахстан «О платежах и платежных системах» ПОСТАНОВЛЯЕТ:

Преамбула изложена в новой редакции Постановления Правления Национального Банка РК от 28.04.2022 г. № 35 (см. редакцию от 30.11.2020 г.)(изменение вводится в действие с 16.07.2022 г.)

1. Утвердить прилагаемые Правила ведения реестра платежных систем (далее – Правила).

2. Департаменту платежных систем (Ашыкбеков Е. Т.) в установленном законодательством Республики Казахстан порядке обеспечить:

1) совместно с Юридическим департаментом (Сарсенова Н.В.) государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

2) направление настоящего постановления в республиканское государственное предприятие на праве хозяйственного ведения "Республиканский центр правовой информации Министерства юстиции Республики Казахстан":

на официальное опубликование в информационно-правовой системе "Әділет" в течение десяти календарных дней после его государственной регистрации в Министерстве юстиции Республики Казахстан;

для включения в Государственный реестр нормативных правовых актов Республики Казахстан, Эталонный контрольный банк нормативных правовых актов Республики Казахстан в течение десяти календарных дней со дня его государственной регистрации в Министерстве юстиции Республики Казахстан;

3) размещение настоящего постановления на официальном интернет-ресурсе Национального Банка Республики Казахстан после его официального опубликования.

3. Управлению по защите прав потребителей финансовых услуг и внешних коммуникаций (Терентьев А.Л.) обеспечить направление настоящего постановления на официальное опубликование в периодические печатные издания в течение десяти календарных дней после его государственной регистрации в Министерстве юстиции Республики Казахстан.

4. Операторам платежных систем по платежным системам, созданным и (или) функционирующим на территории Республики Казахстан до введения в действие настоящего постановления, представить в Национальный Банк Республики Казахстан на бумажном носителе либо в электронном виде информацию о создании на территории Республики Казахстан собственной платежной системы или начале функционирования на территории Республики Казахстан иностранной платежной системы по форме согласно приложению 1 к Правилам, и документы, предусмотренные пунктом 5 статьи 5 Закона о платежах и платежных системах, в течение шести месяцев после дня первого официального опубликования Закона о платежах и платежных системах.

Банкам и организациям, осуществляющим отдельные виды банковских операций, являющимся до введения в действие настоящего постановления участниками платежной системы, в том числе иностранной платежной системы, представить в Национальный Банк Республики Казахстан на бумажном носителе либо в электронном виде информацию об участии в платежной системе, в том числе в иностранной платежной системе, по форме согласно приложению 5 к Правилам и документы, предусмотренные подпунктами 1) и 2) пункта 8 Правил, в течение двадцати рабочих дней со дня введения в действие настоящего постановления.

5. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального Банка Республики Казахстан Пирматова Г.О.

6. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Председатель Национального Банка Д. Акишев

1. Настоящие Правила ведения реестра платежных систем (далее – Правила) разработаны в соответствии с законами Республики Казахстан от 30 марта 1995 года "О Национальном Банке Республики Казахстан ", от 26 июля 2016 года "О платежах и платежных системах" (далее – Закон о платежах и платежных системах) и определяют порядок ведения реестра платежных систем.

Порядок ведения реестра платежных систем включает представление в Национальный Банк Республики Казахстан (далее – Национальный Банк) информации, документов и сведений для включения в реестр и ведение Национальным Банком реестра.

2. Реестр платежных систем (далее – реестр) содержит сведения о системно значимых, значимых и иных платежных системах.

Реестр ведется Национальным Банком в целях осуществления надзора (оверсайта) за платежными системами.

3. В Правилах используются понятия, предусмотренные Законом о платежах и платежных системах и Правилами организации деятельности платежных организаций, утвержденными постановлением Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 215 «Об утверждении Правил организации деятельности платежных организаций», зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 14347.

Пункт 3 изложен в новой редакции Постановления Правления Национального Банка РК от 28.04.2022 г. № 35 (см. редакцию от 30.11.2020 г.)(изменение вводится в действие с 16.07.2022 г.)

3-1. Требования Правил, применяемые по отношению к банкам, распространяются на филиалы банков-нерезидентов Республики Казахстан, созданные на территории Республики Казахстан.

Правила дополнены пунктом 3-1 в соответствии с Постановлением Правления Национального Банка РК от 30.11.2020 г. № 139 (изменение вводится в действие с 16.12.2020 г.)

4. Оператор платежной системы, за исключением Национального Банка, (далее – оператор платежной системы) в течение десяти календарных дней с даты начала функционирования платежной системы на территории Республики Казахстан представляет в Национальный Банк информацию о создании на территории Республики Казахстан собственной платежной системы или начале функционирования на территории Республики Казахстан иностранной платежной системы по форме согласно приложению 1 к Правилам (далее – информация о платежной системе) с представлением документов, предусмотренных пунктом 5 статьи 5 Закона о платежах и платежных системах.

4-1. Порядок соблюдения мер информационной безопасности в платежной системе в соответствии с требованиями подпунктов 7) и 9) пункта 2 статьи 5 Закона о платежах и платежных системах оператора платежной системы включает:

Глава 2 дополнена пунктом 4-1 в соответствии с Постановлением Правления Национального Банка РК от 28.04.2022 г. № 35 (изменение вводится в действие с 16.07.2022 г.)

1) сведения по инфраструктуре платежной системы (программное обеспечение и его характеристики, мощности, применяемое оборудование, методы восстановления и защиты резервирования);

2) сведения по методам совершенствования применяемых технологий в инфраструктуре платежной системы;

3) сведения по соответствию инфраструктуры платежной системы международным стандартам;

4) меры по соблюдению информационной безопасности в инфраструктуре платежной системы, обеспечивающие:

организацию системы управления информационной безопасностью, осуществление координации и контроля деятельности по обеспечению информационной безопасности инфраструктуры платежной системы и мероприятия по выявлению и анализу угроз, противодействию атакам и расследованию инцидентов информационной безопасности инфраструктуры платежной системы;

методологическую поддержку процесса обеспечения информационной безопасности инфраструктуры платежной системы;

выбор, внедрение и применение методов, средств и механизмов управления, обеспечение и контроль информационной безопасности инфраструктуры платежной системы;

сбор, консолидацию, хранение и обработку информации об инцидентах информационной безопасности в инфраструктуре платежной системы;

анализ информации об инцидентах информационной безопасности в инфраструктуре платежной системы;

внедрение, надлежащего функционирования программно-технических средств, автоматизирующих процесс обеспечения информационной безопасности инфраструктуры платежной системы, а также предоставление доступа к ним;

определение ограничения по использованию привилегированных учетных записей в инфраструктуре платежной системы;

организацию и проведение мероприятия по обеспечению осведомленности работников оператора платежной системы в вопросах информационной безопасности;

мониторинг состояния системы управления информационной безопасностью оператора платежной системы;

периодическое (но не реже одного раза в год) информирование руководства оператора платежной системы о состоянии системы управления информационной безопасностью;

хранение информации об инцидентах информационной безопасности в инфраструктуре платежной системы не менее пяти лет;

информирование Национального Банка о следующих выявленных инцидентах информационной безопасности в инфраструктуре платежной системы, реализованных по операциям в Республике Казахстан:

эксплуатация уязвимостей в прикладном и системном программном обеспечении инфраструктуры платежной системы;

несанкционированный доступ в информационную систему инфраструктуры платежной системы;

атака «отказ в обслуживании» на информационную систему или сеть передачи данных инфраструктуры платежной системы;

заражение сервера инфраструктуры платежной системы вредоносной программой или кодом (инцидентом);

повлекшие за собой совершение несанкционированного перевода денег вследствие нарушения контролей безопасности информационных систем и программного обеспечения инфраструктуры платежной системы.

Информация об инцидентах информационной безопасности в инфраструктуре платежной системы, указанных в настоящем пункте, предоставляется оператором платежной системы в возможно короткий срок, но не позднее сорока восьми часов с момента выявления такого инцидента оператором платежной системы по факту выявления инцидента информационной безопасности в виде карты инцидента информационной безопасности по форме согласно приложению 1-1 к Правилам и в соответствии с объемом доступной информации об инциденте на момент ее предоставления.

На каждый инцидент информационной безопасности заполняется отдельная карта инцидента информационной безопасности.