Об утверждении Правил организации деятельности платежных организаций
Постановление Правления Национального банка Республики Казахстан от 31 августа 2016 года № 215.
Зарегистрировано Министерством юстиции Республики Казахстан 20 октября 2016 года № 14347
Редакция с изменениями и дополнениями по состоянию на 10.03.2024 г.
В соответствии с подпунктом 52-1) части второй статьи 15 Закона Республики Казахстан «О Национальном Банке Республики Казахстан», законами Республики Казахстан «О государственных услугах», «О разрешениях и уведомлениях», и подпунктом 1) пункта 1 статьи 4 Закона Республики Казахстан «О платежах и платежных системах» Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:
1. Утвердить прилагаемые Правила организации деятельности платежных организаций.
2. Департаменту платежных систем (Ашыкбеков Е.Т.) в установленном законодательством Республики Казахстан порядке обеспечить:
1) совместно с Юридическим департаментом (Сарсенова Н.В.) государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;
2) направление настоящего постановления в республиканское государственное предприятие на праве хозяйственного ведения «Республиканский центр правовой информации Министерства юстиции Республики Казахстан»:
на официальное опубликование в информационно-правовой системе «Әділет» в течение десяти календарных дней после его государственной регистрации в Министерстве юстиции Республики Казахстан;
для включения в Государственный реестр нормативных правовых актов Республики Казахстан, Эталонный контрольный банк нормативных правовых актов Республики Казахстан в течение десяти календарных дней со дня его государственной регистрации в Министерстве юстиции Республики Казахстан;
3) размещение настоящего постановления на официальном интернет-ресурсе Национального Банка Республики Казахстан после его официального опубликования.
3. Управлению по защите прав потребителей финансовых услуг и внешних коммуникаций (Терентьев А.Л.) обеспечить направление настоящего постановления на официальное опубликование в периодические печатные издания в течение десяти календарных дней после его государственной регистрации в Министерстве юстиции Республики Казахстан.
4. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального Банка Республики Казахстан Пирматова Г.О.
5. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.
Председатель Национального Банка Д. Акишев
«СОГЛАСОВАНО»
Министерство информации и коммуникаций
Республики Казахстан
Министр _______________ Д. Абаев
«14 » сентября 2016 года
«СОГЛАСОВАНО»
Министр национальной экономики
Республики Казахстан
_________________ К. Бишимбаев
«23 » сентября 2016 года
Утверждены
постановлением Правления
Национального Банка
Республики Казахстан
от 31 августа 2016 года № 215
Правила организации деятельности платежных организаций
1. Настоящие Правила организации деятельности платежных организаций (далее – Правила) разработаны в соответствии с подпунктом 52-1) части второй статьи 15 Закона Республики Казахстан «О Национальном Банке Республики Казахстан», законами Республики Казахстан «О государственных услугах», «О разрешениях и уведомлениях», подпунктом 1) пункта 1 статьи 4 Закона Республики Казахстан «О платежах и платежных системах» (далее – Закон о платежах и платежных системах) и определяют порядок организации деятельности платежных организаций.
Порядок организации деятельности платежных организаций включает учетную регистрацию платежных организаций в Национальном Банке Республики Казахстан (далее – Национальный Банк), ведение Национальным Банком реестра платежных организаций (далее – реестр), оказание платежных услуг платежными организациями, уведомление платежными организациями об открытии филиалов, требования к программно-техническим средствам платежных организаций и системе управления информационной безопасности.
2. В Правилах используются понятия, предусмотренные Законом о платежах и платежных системах, и следующие понятия:
1) информация об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах – информация об отдельно или серийно возникающих сбоях в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающих угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов платежной организации;
2) инцидент информационной безопасности, включая нарушения, сбои в информационных системах (далее – инцидент информационной безопасности) – отдельно или серийно возникающие сбои в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающие угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов платежной организации;
3) информационная безопасность – состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;
4) угроза информационной безопасности – совокупность условий и факторов, создающих предпосылки к возникновению инцидента информационной безопасности;
5) обеспечение информационной безопасности – процесс, направленный на поддержание состояния конфиденциальности, целостности и доступности информационных активов платежной организации;
6) периметр защиты информационно-коммуникационной инфраструктуры – совокупность программно-аппаратных средств, отделяющих информационно-коммуникационную инфраструктуру платежной организации от внешних информационных сетей и обеспечивающих защиту от угроз информационной безопасности;
7) информационно-коммуникационная инфраструктура платежной организации (далее – информационная инфраструктура) – совокупность объектов информационно-коммуникационной инфраструктуры, предназначенных для обеспечения функционирования технологической среды в целях формирования электронных информационных ресурсов и предоставления доступа к ним.»;
8) информационный актив платежной организации – совокупность информации и объекта информационно-коммуникационной инфраструктуры, используемого для ее хранения и (или) обработки.
3. Платежная организация при наличии регистрационного номера учетной регистрации платежной организации, присвоенного Национальным Банком, (далее – регистрационный номер) оказывает следующие виды платежных услуг:
1) услуги по приему наличных денег для осуществления платежа без открытия банковского счета отправителя денег;
2) услуги по реализации (распространению) электронных денег и платежных карточек;
3) услуги по приему и обработке платежей, совершаемых с использованием электронных денег;
4) услуги по обработке платежей, инициированных клиентом в электронной форме, и передаче необходимой информации банку, филиалу банка-нерезидента Республики Казахстан, организации, осуществляющей отдельные виды банковских операций, для осуществления платежа и (или) перевода либо принятия денег по данным платежам.
Глава 2. Учетная регистрация платежных организаций
в Национальном Банке
4. Для прохождения учетной регистрации в Национальном Банке платежная организация представляет в Национальный Банк через веб-портал «электронного правительства» заявление по форме согласно приложению 1 к Правилам, содержащее, в том числе сведения о руководителе (членах) исполнительного органа платежной организации (с приложением копий диплома (дипломов) и документа, подтверждающего трудовую деятельность руководителя (члена) исполнительного органа платежной организации в соответствии с Трудовым кодексом Республики Казахстан.
К заявлению также прилагаются документы, предусмотренные подпунктами 1-1), 2), 3) и 7) пункта 2 статьи 16 Закона о платежах и платежных системах.
5. Пункт исключен (см. сноску)
6. Пункт исключен (см. сноску)
7. Правила осуществления деятельности платежной организации содержат следующие обязательные условия:
1) описание платежных услуг, оказываемых платежной организацией;
2) порядок и сроки оказания платежных услуг клиентам платежной организации;
3) стоимость платежных услуг (тарифы), оказываемых платежной организацией;
4) порядок взаимодействия с третьими лицами, обеспечивающими технологическое обеспечение платежных услуг, оказываемых платежной организацией;
5) сведения о системе управления рисками, используемой платежной организацией;
6) порядок урегулирования спорных ситуаций и разрешения споров с клиентами;
7) порядок соблюдения мер информационной безопасности;
8) описание программно-технических средств и оборудования, необходимого для осуществления платежных услуг.
8. Пункт исключен (см. сноску)
9. Пункт исключен (см. сноску)
10. Национальный Банк рассматривает заявление платежной организации и принимает по нему решение в течение десяти рабочих дней со дня представления полного пакета документов, предусмотренных пунктом 2 статьи 16 Закона о платежах и платежных системах.
При повторном представлении платежной организацией заявления в случае, предусмотренном пунктом 2 статьи 17 Закона о платежах и платежных системах, заявление рассматривается Национальным Банком в срок, предусмотренный частью первой настоящего пункта.
11. Национальный Банк по итогам рассмотрения заявления принимает решение об учетной регистрации платежной организации либо об отказе в учетной регистрации платежной организации.
12. В случае внесения изменений и (или) дополнений в документы, предусмотренные пунктом 2 статьи 16 Закона о платежах и платежных системах, платежная организация представляет в Национальный Банк измененные и (или) дополненные документы в течение десяти календарных дней со дня внесения таких изменений и (или) дополнений.
12-1. Платежная организация, прошедшая учетную регистрацию в Национальном Банке, в случае необходимости включения в перечень оказываемых платежных услуг дополнительных платежных услуг представляет в Национальный Банк документы, предусмотренные подпунктами 1-1), 3) и 7) пункта 2 статьи 16 Закона о платежах и платежных системах, с внесенными изменениями и (или) дополнениями с учетом планируемых к оказанию платежных услуг в течение десяти календарных дней со дня внесения таких изменений и (или) дополнений.
13. Пункт исключен (см. сноску)
14. Учетная регистрация платежной организации, образованной в результате добровольной реорганизации платежной организации (платежных организаций) в соответствии со статьей 20 Закона о платежах и платежных системах, производится Национальным Банком в порядке, предусмотренном настоящей главой.
15. Исключение из реестра реорганизованной (реорганизованных) платежной организации (платежных организаций) осуществляется Национальным Банком в день включения образованной (образованных) в результате добровольной реорганизации платежной организации (платежных организаций) в реестр.
Глава 2-1. Порядок оказания государственной услуги «Включение в реестр платежных организаций, прошедших учетную регистрацию в Национальном Банке Республики Казахстан» (далее – государственная услуга по учетной регистрации)
15-1. Перечень основных требований к оказанию государственной услуги по учетной регистрации, включающие характеристики процесса, форму, содержание и результат оказания, а также иные сведения с учетом особенностей предоставления государственной услуги по учетной регистрации установлен в приложении 2 к Правилам.
15-2. Работник Национального Банка, уполномоченный на прием и регистрацию корреспонденции, в день поступления заявления осуществляет его прием, регистрацию и направление на исполнение в подразделение, ответственное за оказание государственной услуги по учетной регистрации (далее – ответственное подразделение). При поступлении заявления после окончания рабочего времени, в выходные и праздничные дни согласно трудовому законодательству Республики Казахстан прием заявлений осуществляется следующим рабочим днем.
При направлении платежной организацией заявления через веб-портал «электронного правительства» в личном кабинете автоматически отображается статус о принятии запроса на оказание государственной услуги с указанием даты и времени получения результата.
Национальный Банк получает из соответствующих государственных информационных систем через шлюз «электронного правительства» сведения о документах, удостоверяющих личность руководителя платежной организации, и о государственной регистрации (перерегистрации) юридического лица.
15-3. Работник ответственного подразделения в течение пяти рабочих дней со дня регистрации заявления проверяет полноту представленных документов.
В случае установления факта неполноты представленных документов ответственное подразделение в течение пяти рабочих дней со дня регистрации заявления готовит и направляет письменный мотивированный отказ в дальнейшем рассмотрении заявления.
15-4. При установлении факта полноты представленных документов ответственное подразделение в течение восьми рабочих дней со дня регистрации заявления рассматривает документы на предмет их соответствия требованиям законодательства Республики Казахстан, готовит проект уведомления о прохождении учетной регистрации для предоставления разрешения (права) на предоставление платежной организацией платежных услуг (далее – уведомление) согласно приложению 3 к Правилам либо проект мотивированного отказа.
Руководитель ответственного подразделения согласовывает и подписывает уведомление либо мотивированный отказ в течение двух рабочих дней.
После согласования и подписания руководителем ответственного подразделения уведомления либо мотивированного отказа, работник ответственного подразделения в день принятия решения осуществляет включение платежной организации в реестр платежных организаций (при подписании уведомления), направляет платежной организации результат оказания государственной услуги по учетной регистрации.
На веб-портале «электронного правительства» результат оказания государственной услуги по учетной регистрации направляется платежной организации в личный кабинет в форме электронного документа, удостоверенного электронной цифровой подписью (далее – ЭЦП) уполномоченного лица.
15-5. Информация о стадии оказания государственной услуги по учетной регистрации обновляется в автоматическом режиме в информационной системе мониторинга оказания государственных услуг.
16. Реестр содержит сведения о платежных организациях, прошедших учетную регистрацию в Национальном Банке.
Реестр ведется Национальным Банком в целях контроля за рынком платежных услуг и размещается на официальном интернет-ресурсе Национального Банка.
17. Национальный Банк при принятии решения об учетной регистрации платежной организации в течение десяти рабочих дней со дня представления полного пакета документов, предусмотренных пунктом 2 статьи 16 Закона о платежах и платежных системах:»
1) присваивает платежной организации регистрационный номер и осуществляет запись в реестре по форме согласно приложению 4 к Правилам;
2) в письменной форме направляет платежной организации уведомление о прохождении учетной регистрации платежной организации с указанием регистрационного номера.
18. Национальный Банк при принятии решения об отказе в учетной регистрации платежной организации в течение десяти рабочих дней со дня представления полного пакета документов, предусмотренных пунктом 2 статьи 16 Закона о платежах и платежных системах, направляет платежной организации мотивированный отказ в учетной регистрации с указанием причины отказа.
19. Национальный Банк ведет досье по каждой платежной организации, прошедшей учетную регистрацию в Национальном Банке, на бумажном носителе или в электронном виде.
20. Национальный Банк исключает платежную организацию из реестра по основаниям, предусмотренным пунктом 1 статьи 18 Закона о платежах и платежных системах.
21. Платежная организация в течение трех рабочих дней со дня вступления в законную силу решения суда о прекращении деятельности платежной организации либо принятия решения о добровольном прекращении деятельности путем реорганизации (присоединения, слияния, разделения, выделения, преобразования) или ликвидации направляет в Национальный Банк в произвольной письменной форме уведомление с приложением подтверждающих документов.
22. Национальный Банк в течение пяти рабочих дней со дня исключения Национальным Банком платежной организации из реестра письменно уведомляет платежную организацию по фактическому местонахождению платежной организации либо адресу, указанному в заявлении, и публикует информацию об этом на официальном интернет-ресурсе Национального Банка.
23. В случае исключения из реестра платежная организация в течение тридцати календарных дней со дня уведомления Национальным Банком об исключении из реестра принимает решение об изменении наименования при наличии в нем слов «платежная организация» либо реорганизации, либо ликвидации платежной организации.
Глава 3-1. Порядок оказания государственной услуги «Выдача согласия на проведение добровольной реорганизации (присоединение, слияние, разделение, выделение, преобразование) платежных организаций» (далее – государственная услуга по добровольной реорганизации)
23-1. Выдача согласия на проведение добровольной реорганизации платежной организации осуществляется при предоставлении платежной организацией в Национальный Банк через веб-портал «электронного правительства» решения о добровольной реорганизации.
23-2. Работник Национального Банка, уполномоченный на прием и регистрацию корреспонденции, в день поступления документов осуществляет прием, регистрацию и направление на исполнение в подразделение, ответственное за оказание государственной услуги по добровольной реорганизации (далее – ответственное подразделение). При поступлении документов после окончания рабочего времени, в выходные и праздничные дни согласно трудовому законодательству Республики Казахстан прием документов осуществляется следующим рабочим днем.
При направлении платежной организацией заявления через портал в личном кабинете автоматически отображается статус о принятии запроса на оказание государственной услуги с указанием даты и времени получения результата.
23-3. Работник ответственного подразделения в течение пяти рабочих дней со дня регистрации документов проверяет их полноту.
В случае установления факта неполноты представленных документов ответственное подразделение в течение пяти рабочих дней со дня регистрации заявления готовит и направляет письменный мотивированный отказ в дальнейшем рассмотрении заявления.
23-4. При установлении факта полноты представленных документов ответственное подразделение в течение восьми рабочих дней со дня регистрации документов рассматривает документы на предмет их соответствия требованиям законодательства Республики Казахстан, готовит проект уведомления о выдаче согласия на проведение добровольной реорганизации (далее – уведомление) либо мотивированного отказа;
Руководитель ответственного подразделения согласовывает и подписывает уведомление либо мотивированный отказ в течение двух рабочих дней.
После согласования и подписания руководителем ответственного подразделения уведомления либо мотивированного отказа, работник ответственного подразделения в день принятия решения направляет платежной организации результат оказания государственной услуги по добровольной реорганизации.
На веб-портале «электронного правительства» результат оказания государственной услуги по добровольной реорганизации направляется платежной организации в личный кабинет в форме электронного документа, удостоверенного ЭЦП уполномоченного лица.
23-5. Информация о стадии оказания государственной услуги по добровольной реорганизации обновляется в автоматическом режиме в информационной системе мониторинга оказания государственных услуг.
Глава 3-2. Порядок обжалования решений, действий (бездействия) Национального Банка и (или) его должностных лиц по вопросам оказания государственных услуг
23-6. Обжалование решений, действий (бездействий) Национального Банка и (или) его должностных лиц по вопросам оказания государственных услуг производится в письменном виде на имя руководителя Национального Банка.
В жалобе платежной организации указываются его наименование, почтовый адрес, исходящий номер и дата подачи жалобы.
Жалоба подписывается платежной организацией.
Подтверждением принятия жалобы является ее регистрация (штамп, входящий номер и дата) в канцелярии Национального Банка с указанием фамилии и инициалов лица, принявшего жалобу, срока и места получения ответа на поданную жалобу.
Жалоба платежной организации по вопросам оказания государственных услуг, поступившая в адрес Национального Банка, рассматривается в течение пяти рабочих дней со дня ее регистрации.
В случае несогласия с результатами оказанной государственной услуги платежная организация обращается с жалобой в уполномоченный орган по оценке и контролю за качеством оказания государственных услуг.
Жалоба платежной организации, поступившая в адрес уполномоченного органа по оценке и контролю за качеством оказания государственных услуг, рассматривается в течение пятнадцати рабочих дней со дня ее регистрации.
23-7. В случае несогласия с результатами оказанной государственной услуги платежная организация обращается в суд в установленном законодательством Республики Казахстан порядке.
Глава 4. Оказание платежных услуг платежными организациями
24. Платежная организация после оказания платежной услуги выдает клиенту документ, подтверждающий факт оказания платежной услуги, на бумажном носителе либо посредством сети телекоммуникаций.
25. При оказании платежной организацией платежных услуг, предусмотренных подпунктами 1) и 4) пункта 3 Правил, документ, подтверждающий факт оказания платежной услуги, содержит следующие реквизиты:
1) номер документа, число, месяц, год его выписки;
2) наименование платежной организации;
5) сумма комиссионного вознаграждения;
7) наименование поставщика услуг (в случае оказания платежной услуги, предусмотренной подпунктом 1) пункта 3 Правил);
8) наименование либо банковский идентификационный код банка, филиала банка-нерезидента Республики Казахстан или организации, осуществляющей отдельные виды банковских операций, которому (которой) платежная организация представляет информацию для осуществления платежа и (или) перевода либо принятия денег по данным платежам в соответствии с подпунктом 9) пункта 1 статьи 12 Закона о платежах и платежных системах (в случае оказания платежной услуги, предусмотренной подпунктом 4) пункта 3 Правил).
26. При оказании платежной организацией платежных услуг, предусмотренных подпунктами 2) и 3) пункта 3 Правил, документ, подтверждающий факт оказания платежной услуги, выдается платежной организацией в соответствии с Правилами выпуска, использования и погашения электронных денег, а также требованиями к эмитентам электронных денег и системам электронных денег на территории Республики Казахстан, утвержденными постановлением Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 202 «Об утверждении Правил выпуска, использования и погашения электронных денег, а также требований к эмитентам электронных денег и системам электронных денег на территории Республики Казахстан», зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 14298, Правилам выпуска платежных карточек, а также требованиями к деятельности по обслуживанию операций с их использованием на территории Республики Казахстан, утвержденными постановлением Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 205 «Об утверждении Правил выпуска платежных карточек, а также требований к деятельности по обслуживанию операций с их использованием на территории Республики Казахстан», зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 14299.
27. Платежная организация при оказании платежных услуг, предусмотренных подпунктами 1) и 2) пункта 3 Правил, через платежного агента и (или) платежного субагента обеспечивает:
1) ведение реестра платежных агентов и (или) платежных субагентов в соответствии с внутренним документом платежной организации;
2) контроль за соблюдением платежным агентом требований Закона о платежах и платежных системах, а также условий оказания платежных услуг, предусмотренных договором между платежным агентом и платежной организацией.
Контроль, предусмотренный подпунктом 2) части первой настоящего пункта, осуществляется в соответствии с договором между платежной организацией и платежным агентом и (или) внутренними документами платежной организации.
28. Платежная организация оказывает платежные услуги, предусмотренные подпунктом 1) пункта 3 Правил, в соответствии с договором между платежной организацией и поставщиком услуги.
Платежная организация оказывает платежные услуги по приему платежей в бюджет без открытия банковского счета клиента в соответствии с агентским договором по оказанию платежных услуг между платежной организацией и банком и (или) организацией, осуществляющей отдельные виды банковских операций.
29. Платежная организация оказывает платежные услуги в качестве платежного агента банка, филиала банка-нерезидента Республики Казахстан и (или) организации, осуществляющей отдельные виды банковских операций либо платежного субагента в соответствии с агентским договором по оказанию платежных услуг между платежной организацией и банком, филиалом банка-нерезидента Республики и (или) организацией, осуществляющей отдельные виды банковских операций или платежным агентом.
30. Договор с поставщиком услуги и агентский договор по оказанию платежных услуг содержат условия, предусмотренные частью четвертой пункта 3 статьи 13 Закона о платежах и платежных системах.
31. При осуществлении деятельности в качестве платежного агента платежная организация представляет в банк либо организацию, осуществляющую отдельные виды банковских операций, с которым (которой) заключен агентский договор по оказанию платежных услуг, информацию о привлеченных платежных субагентах в соответствии с договором между ними.
Глава 5. Уведомление платежными организациями
об открытии филиалов
32. Платежная организация в течение десяти рабочих дней со дня открытия филиала платежной организации на территории Республики Казахстан и за пределами Республики Казахстан представляет в Национальный Банк уведомление об открытии филиала по форме согласно приложению 6 к Правилам на бумажном носителе либо в электронном виде через финансовую автоматизированную систему транспорта информации.
К уведомлению об открытии филиала прилагаются:
1) копия решения органа управления платежной организации об открытии филиала и избрании (назначении) первого руководителя филиала платежной организации;
2) нотариально засвидетельствованная копия положения о филиале;
4) копия доверенности, выданной первому руководителю филиала.
33. Документы, предусмотренные пунктом 32 Правил, хранятся в досье платежной организации на бумажном носителе и в электронном виде.
Глава 6. Требования к программно-техническим средствам платежных организаций и системе управления информационной безопасностью
34. Программное обеспечение обеспечивает:
1) надежное хранение информации, защиту от несанкционированного доступа, целостность баз данных и полную сохранность информации в электронных архивах и базах данных при полном или частичном отключении электропитания в любое время на любом участке оборудования;
2) многоуровневый доступ к входным данным, функциям, операциям, отчетам, реализованным в программном обеспечении, предусматривающим как минимум, два уровня доступа: администратор и пользователь;
3) контроль полноты вводимых данных полей обязательных к заполнению, необходимых для проведения и регистрации операций (при выполнении функций или операций без полного заполнения всех полей программа обеспечивает выдачу соответствующего уведомления);
4) поиск информации по критериям и параметрам, определенным для данной информационной системы, с сохранением запроса, а также сортировку информации по любым параметрам (определенным для данной информационной системы) и возможность просмотра информации за предыдущие даты, если такая информация подлежит хранению в информационной системе;
5) обработку информации и ее хранение по дате и времени;
6) автоматизированное формирование форм отчетов, представляемых платежными организациями в Национальный Банк, а также отчетов о проведенных операциях;
7) ведение и автоматизированное формирование журналов системы внутреннего учета. Программное обеспечение формирует журнал полностью, а также частично (на указанный диапазон дат, определенную дату);
8) возможность резервирования и восстановления данных, хранящихся в учетных системах;
9) возможность вывода выходных документов на экран, принтер или в файл;
10) возможность обмена электронными документами;
11) регистрацию и идентификацию происходящих в информационной системе событий с сохранением следующих атрибутов: дата и время начала события, наименование события, пользователь, производивший действие, идентификатор записи, дата и время окончания события, результат выполнения события;
12) изменение паролей предустановленных учетных записей средств обеспечения безопасности периметра защиты информационно-коммуникационной инфраструктуры.
35. Платежные организации обеспечивают создание и функционирование системы управления информационной безопасностью, являющейся частью общей системы управления платежной организации, предназначенной для управления процессом обеспечения информационной безопасности.
36. Система управления информационной безопасностью обеспечивает защиту информационных активов платежной организации, допускающую минимальный уровень потенциального ущерба для бизнес-процессов платежной организации.
37. Платежная организация обеспечивает надлежащий уровень системы управления информационной безопасностью, ее развитие и улучшение.
38. Платежная организация в целях обеспечения конфиденциальности, целостности и доступности информации платежной организации осуществляет следующие функции:
1) организует систему управления информационной безопасностью, осуществляет координацию и контроль деятельности по обеспечению информационной безопасности и мероприятий по выявлению и анализу угроз, противодействию атакам и расследованию инцидентов информационной безопасности;
2) обеспечивает методологическую поддержку процесса обеспечения информационной безопасности;
3) осуществляет выбор, внедрение и применение методов, средств и механизмов управления, обеспечения и контроля информационной безопасности в рамках своих полномочий;
4) осуществляет сбор, консолидацию, хранение и обработку информации об инцидентах информационной безопасности;
5) осуществляет анализ информации об инцидентах информационной безопасности;
6) обеспечивает внедрение, надлежащее функционирование программно-технических средств, автоматизирующих процесс обеспечения информационной безопасности, а также предоставление доступа к ним;
7) определяет ограничения по использованию привилегированных учетных записей;
8) организует и проводит мероприятия по обеспечению осведомленности работников платежной организации в вопросах информационной безопасности;
9) осуществляет мониторинг состояния системы управления информационной безопасностью платежной организации;
10) периодически (но не реже одного раза в год) осуществляет информирование руководства платежной организации о состоянии системы управления информационной безопасностью платежной организации;
11) поддерживает в актуальном состоянии схемы периметра защиты информационно-коммуникационной инфраструктуры и перечень администраторов средств обеспечения его безопасности;
12) устанавливает на периметре защиты информационно-коммуникационной инфраструктуры межсетевые экраны;
13) обеспечивает безопасность доступа пользователей к ресурсам сети Интернет из периметра защиты информационно-коммуникационной инфраструктуры.
39. Платежная организация управляет рисками информационной безопасности с указанием критериев приемлемого уровня по отношению к информационным активам.
При реализации рисков информационной безопасности разрабатывается план мероприятий, направленный на минимизацию возникновения подобных рисков.
40. Информация об инцидентах информационной безопасности, полученная в ходе мониторинга деятельности по обеспечению информационной безопасности, подлежит консолидации, систематизации и хранению.
41. Срок хранения информации об инцидентах информационной безопасности составляет не менее 5 (пяти) лет.
42. Платежной организацией определяется порядок принятия неотложных мер к устранению инцидента информационной безопасности, его причин и последствий.
43. В платежной организации ведется журнал учета инцидентов информационной безопасности с отражением всей информации об инциденте информационной безопасности, принятых мерах и предлагаемых корректирующих мерах.
44. Платежная организация предоставляет в Национальный Банк информацию о следующих выявленных инцидентах информационной безопасности:
1) эксплуатация уязвимостей в прикладном и системном программном обеспечении;
2) несанкционированный доступ в информационную систему;
3) атака «отказ в обслуживании» на информационную систему или сеть передачи данных;
4) заражение сервера вредоносной программой или кодом;
5) совершение несанкционированного перевода денежных средств вследствие нарушения контролей информационной безопасности;
6) инцидентах информационной безопасности, несущих угрозу стабильности деятельности платежной организации.
Информация об инцидентах информационной безопасности, указанных в настоящем пункте, предоставляется платежной организацией в возможно короткий срок, но не позднее 48 часов с момента выявления, в виде карты инцидента информационной безопасности по форме согласно приложению 7 к Правилам.
Информация по обработанным инцидентам информационной безопасности представляется в электронном формате с использованием платформы Национального Банка для обмена событиями и инцидентами информационной безопасности.
На каждый инцидент информационной безопасности заполняется отдельная карта инцидента информационной безопасности.
Приложение 1
к Правилам организации
деятельности платежных
организаций
Национальный Банк
Республики Казахстан
___________________________________________________________________
(наименование и бизнес-идентификационный номер платежной организации)
просит осуществить учетную регистрацию платежной организации и включить платежную организацию
в реестр платежных организаций
1. Место нахождения платежной организации:
________________________________________________________________________________________
________________________________________________________________________
(индекс, город (область), район, улица, номер дома (офиса)
_________________________________________________________________________________________
__________________________________________________________________
(телефон, факс, адрес электронной почты, интернет-ресурс (при наличии)
2. Сведения о государственной регистрации (перерегистрации) платежной организации:
___________________________________________________________________________________________
_____________________________________________________________________
(наименование документа, номер и дата выдачи, кем выдан)
3. Перечень планируемых к оказанию платежных услуг в соответствии с пунктом 3 Правил организации
деятельности платежных организаций:
1) ____________________________________________________________;
2) ____________________________________________________________;
3) ___________________________________________________________
4. Перечень представляемых документов в соответствии с пунктом 2 статьи 16 Закона
Республики Казахстан от 26 июля 2016 года «О платежах и платежных системах»:
1) ___________________________;
2) ___________________________;
5. Сведения о руководителе (членах) исполнительного органа платежной организации:
|
Фамилия, имя, отчество (при его наличии)
|
__________________________________________________
(в соответствии с документом, удостоверяющим личность, в случае изменения фамилии, имени, отчества – указать, когда и по какой причине произошли изменения)
|
|
Индивидуальный идентификационный номер
|
|
|
Данные документа, удостоверяющего личность
|
(наименование документа, номер, серия (при наличии) и дата выдачи, кем выдан)
|
|
Место жительства
|
(место жительства, включая номера домашнего, служебного телефонов, а также адрес электронной почты)
|
|
Гражданство
|
|
Полный перечень места работ и должностей:
|
№
|
Период работы (месяц/год)
|
Наименование организации, занимаемые должности
|
Должностные обязанности
|
|
1.
|
|
|
|
|
|
|
|
|
|
Наличие неснятой или непогашенной судимости
|
Да/нет
(если да, то указать реквизиты приговора суда, статью Уголовного кодекса Республики Казахстан)
|
|
Если ранее являлся руководителем, членом органа управления, руководителем, членом исполнительного органа, главным бухгалтером финансовой организации, в период не более чем за один год до принятия решения о консервации финансовой организации либо принудительном выкупе ее акций, лишении лицензии финансовой организации, повлекших ее ликвидацию и (или) прекращение осуществления деятельности на финансовом рынке, либо вступления в законную силу решения суда о принудительной ликвидации финансовой организации или признании ее банкротом в порядке, определенном Законом Республики Казахстан от 7 марта 2014 года «О реабилитации и банкротстве»
|
Да/нет
(если да, то указывается наименование организации, должность, реквизиты решения о консервации финансовой организации либо принудительном выкупе ее акций, лишении лицензии финансовой организации, повлекших ее ликвидацию и (или) прекращение осуществления деятельности на финансовом рынке, либо вступившего в законную силу решения суда о принудительной ликвидации финансовой организации или признании ее банкротом в порядке, определенном Законом Республики Казахстан от 7 марта 2014 года «О реабилитации и банкротстве»)
|
|
Иная информация (при наличии)
|
|
Подтверждаю, что прилагаемые сведения мною проверены и являются достоверными и полными.
Согласен (согласна) на использование сведений, составляющих охраняемую законом тайну, содержащихся в
информационных системах.
Первый руководитель платежной организации или лицо, уполномоченное на подписание
______________________________________ ___________
фамилия, имя, отчество (при его наличии) подпись
Приложение 2
к Правилам организации деятельности
платежных организаций
Перечень основных требований к оказанию государственной услуги «Включение в реестр платежных организаций, прошедших учетную регистрацию в Национальном Банке Республики Казахстан»
|
1.
|
Наименование услугодателя
|
Национальный Банк Республики Казахстан
|
|
2.
|
Способы предоставления государственной услуги
|
Веб-портал «электронного правительства»
www.egov.kz, www.elicense.kz (далее - портал).
|
|
3.
|
Срок оказания государственной услуги
|
В течение десяти рабочих дней со дня регистрации заявления и полного перечня документов.
|
|
4.
|
Форма оказания государственной услуги
|
Электронная (автоматизированная).
|
|
5.
|
Результат оказания государственной услуги
|
Уведомление о прохождении учетной регистрации для предоставления разрешения (права) на предоставление платежной организацией платежных услуг, установленных Законом Республики Казахстан «О платежах и платежных системах» (далее - Закон) либо мотивированный отказ.
Форма результата оказания государственной услуги: электронная
|
|
6.
|
Размер платы, взимаемой с услугополучателя при оказании государственной услуги, и способы ее взимания в случаях, предусмотренных законодательством Республики Казахстан
|
Услуга оказывается бесплатно.
|
|
7.
|
График работы услугодателя, Государственной корпорации и объектов информации
|
1) услугодателя - с понедельника по пятницу с 9.00 до 18.30 часов с перерывом на обед с 13.00 до 14.30 часов, кроме выходных и праздничных дней, в соответствии с трудовым законодательством Республики Казахстан.
График приема документов и выдачи результатов оказания государственной услуги - с понедельника по пятницу с 9.00 до 17.30 часов с перерывом на обед с 13.00 до 14.30 часов;
2) портала - круглосуточно, за исключением технических перерывов в связи с проведением ремонтных работ (при обращении услугополучателя после окончания рабочего времени, в выходные и праздничные дни, согласно трудовому законодательству Республики Казахстан, прием заявлений и выдача результатов оказания государственной услуги осуществляется на следующий рабочий день).
|
|
8.
|
Перечень документов, необходимых для оказания государственной услуги
|
1) заявление по форме согласно приложению 1 к Правилам организации деятельности платежных организаций, утвержденным постановлением Правления Национального Банка Республики Казахстан № 215 от 31 августа 2016 года (далее - Правила).
2) копия диплома (дипломов) руководителя (члена) исполнительного органа платежной организации;
3) копия документа, подтверждающего трудовую деятельность руководителя (члена) исполнительного органа платежной организации в соответствии с Трудовым кодексом Республики Казахстан;4) копии документов, подтверждающих формирование уставного капитала;
5) устав, за исключением случаев, когда платежная организация осуществляет деятельность по типовому уставу;
6) документ, определяющий порядок взаимодействия платежной организации с соответствующим банком, филиалом банка-нерезидента Республики Казахстан или организацией, осуществляющей отдельные виды банковских операций, осуществляющими перевод денег по оказываемым платежным услугам;
7) правила осуществления деятельности платежной организации, утвержденные органом управления платежной организации.
Перечень обязательных условий правил осуществления деятельности платежной организации, устанавливается в Правилах.
|
|
9.
|
Основания для отказа в оказании государственной услуги, установленные законами Республики Казахстан
|
1) представление неполных и (или) недостоверных сведений, подлежащих отражению в документах, указанных в пункте 2 статьи 16 Закона;
2) представление неполного перечня документов или несоответствие документов требованиям Закона и Правил;
3) если руководитель исполнительного органа платежной организации не соответствует требованиям, установленным в статье 19 Закона;
4) если платежная организация в течение одного года со дня ее государственной регистрации (перерегистрации) в Государственной корпорации «Правительство для граждан» не обратилась с заявлением о прохождении учетной регистрации.
В случае отказа в учетной регистрации юридическое лицо повторно представляет заявление на учетную регистрацию при устранении причин, повлекших отказ в учетной регистрации платежной организации, или принимает решение об изменении своего наименования либо реорганизации или ликвидации.
Неустранение причин, повлекших отказ в учетной регистрации платежной организации, является основанием для отказа в повторном рассмотрении.
|
|
10.
|
Иные требования с учетом особенностей оказания государственной услуги, в том числе оказываемой в электронной форме и через Государственную корпорацию
|
Адреса мест оказания государственной услуги размещены на портале и на официальном интернет-ресурсе услугодателя: www.nationalbank.kz, раздел «Государственные услуги».
Услугополучателю открыт доступ для получения информации о порядке и статусе оказания государственной услуги в режиме удаленного доступа посредством Единого контакт-центра по вопросам оказания государственных услуг.
Контактные телефоны справочных служб по вопросам оказания государственной услуги размещены на официальном интернет-ресурсе услугодателя: www.nationalbank.kz, раздел «Государственные услуги». Единый контакт-центр по вопросам оказания государственных услуг: 8-800-080-7777, 1414.
|
Приложение 3
к Правилам организации
деятельности платежных организаций
|
«ҚАЗАҚСТАН РЕСПУБЛИКАСЫНЫҢ
ҰЛТТЫҚ БАНКІ»
РЕСПУБЛИКАЛЫҚ
МЕМЛЕКЕТТІК МЕКЕМЕСІ
|
|
РЕСПУБЛИКАНСКОЕ
ГОСУДАРСТВЕННОЕ УЧРЕЖДЕНИЕ
«НАЦИОНАЛЬНЫЙ БАНК
РЕСПУБЛИКИ КАЗАХСТАН»
|
|
[Реквизиты уполномоченного
органа на гос. языке]
|
|
[Реквизиты уполномоченного органа
на рус. языке]
|
|
[номер решения]
[дата выдачи решения]
|
|
[Наименование услугополучателя]
[Реквизиты услугополучателя]
|
Национальный Банк Республики Казахстан по итогам рассмотрения заявления
_______________________________________________________
наименование услугополучателя
и приложенных документов в соответствии с пунктом 4 статьи 16
Закона Республики Казахстан от 26 июля 2016 года
«О платежах и платежных системах» уведомляет о прохождении
________________________________
наименование услугополучателя
учетной регистрации в качестве платежной организации,
присвоении регистрационного номера № _____________ и записи
в реестр платежных организаций. В соответствии с подпунктом 4) пункта 2 статьи 13
Закона Республики Казахстан от 26 июля 2016 года «О платежах
и платежных системах» платежная организация
________________________________________________________________
мммнаименование услугополучателя оказывает следующие платежные услуги:
____________________________________________________________;
____________________________________________________________;
___________________________________________________________
[Должность подписывающего] [ФИО подписывающего]
Приложение 4
к Правилам организации деятельности
платежных организаций
Реестр платежных организаций
|
№ п/п
|
Дата регистрации платежной организации
|
Регистрационный номер платежной организации
|
Наименование платежной организации
|
Фамилия и инициалы руководите-ля
|
Бизнес-идентификационный номер платежной организации
|
Место нахождения платежной организации, телефон, факс, адрес электронной почты, интернет- ресурс (при наличии)
|
Перечень оказываемых платежных услуг
|
Примечания
|
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложение 5
к Правилам организации деятельности
платежных организаций
Перечень основных требований к оказанию государственной услуги «Выдача согласия на проведение добровольной реорганизации (присоединение, слияние, разделение, выделение, преобразование) платежных организаций»
|
1.
|
Наименование услугодателя
|
Национальный Банк Республики Казахстан
|
|
2.
|
Способы предоставления государственной услуги
|
Веб-портал «электронного правительства» www.egov.kz, www.elicense.kz (далее - портал).
|
|
3.
|
Срок оказания государственной услуги
|
В течение десяти рабочих дней со дня регистрации решения и полного перечня документов.
|
|
4.
|
Форма оказания государственной услуги
|
Электронная (автоматизированная).
|
|
5.
|
Результат оказания государственной услуги
|
Уведомление о принятом решении по результатам согласования либо мотивированный ответ об отказе в оказании государственной услуги.
Форма результата оказания государственной услуги: электронная
|
|
6.
|
Размер платы, взимаемой с услугополучателя при оказании государственной услуги, и способы ее взимания в случаях, предусмотренных законодательством Республики Казахстан
|
Услуга оказывается бесплатно.
|
|
7.
|
График работы услугодателя, Государственной корпорации и объектов информации
|
1) услугодателя - с понедельника по пятницу с 9.00 до 18.30 часов с перерывом на обед с 13.00 до 14.30 часов, кроме выходных и праздничных дней, в соответствии с трудовым законодательством Республики Казахстан.
График приема документов и выдачи результатов оказания государственной услуги - с понедельника по пятницу с 9.00 до 17.30 часов с перерывом на обед с 13.00 до 14.30 часов;
2) портала - круглосуточно, за исключением технических перерывов в связи с проведением ремонтных работ (при обращении услугополучателя после окончания рабочего времени, в выходные и праздничные дни, согласно трудовому законодательству Республики Казахстан, прием заявлений и выдача результатов оказания государственной услуги осуществляется на следующий рабочий день).
|
|
8.
|
Перечень документов, необходимых для оказания государственной услуги
|
1) решение о добровольной реорганизации платежной организации;
2) документы, описывающие предполагаемые условия, формы, порядок и сроки добровольной реорганизации платежной организации;
3) договор о присоединении (слиянии), подписанный руководителями исполнительных органов реорганизуемых платежных организаций;
4) аудиторский отчет в соответствии с законодательством Республики Казахстан об аудиторской деятельности;
5) правила осуществления деятельности образованной в результате добровольной реорганизации платежной организации.
|
|
9.
|
Основания для отказа в оказании государственной услуги, установленные законами Республики Казахстан
|
1) установление недостоверности документов, представленных услугополучателем для получения государственной услуги, и (или) данных (сведений), содержащихся в них;
2) несоответствие услугополучателя и (или) представленных материалов, объектов, данных и сведений, необходимых для оказания государственной услуги, требованиям, установленным нормативными правовыми актами Республики Казахстан;
3) если руководитель исполнительного органа образованной в результате добровольной реорганизации платежной организации не соответствует требованиям статьи 19 Закона Республики Казахстан «О платежах и платежных системах»;
4) если добровольная реорганизация платежных организаций препятствует осуществлению контроля за рынком платежных услуг, а также причиняет вред интересам получателей платежных услуг.
|
|
10.
|
Иные требования с учетом особенностей оказания государственной услуги, в том числе оказываемой в электронной форме и через Государственную корпорацию
|
Адреса мест оказания государственной услуги размещены на портале и на официальном интернет-ресурсе услугодателя: www.nationalbank.kz, раздел «Государственные услуги».
Услугополучателю открыт доступ для получения информации о порядке и статусе оказания государственной услуги в режиме удаленного доступа посредством Единого контакт-центра по вопросам оказания государственных услуг.
Контактные телефоны справочных служб по вопросам оказания государственной услуги размещены на официальном интернет-ресурсе услугодателя: www.nationalbank.kz, раздел «Государственные услуги». Единый контакт-центр по вопросам оказания государственных услуг: 8-800-080-7777, 1414.
|
Приложение 6
к Правилам
организации деятельности
платежных организаций
Уведомление об открытии филиала
_______________________________________________________________
(наименование, место нахождения и бизнес-идентификационный номер платежной организации)
настоящим сообщает об открытии филиала:
□ на территории Республики Казахстан (в случае открытия):
_______________________________________________________________
(наименование, место нахождения и бизнес-идентификационный номер филиала платежной организации)
Данные о руководителе: _______________________________________________________________
(должность, фамилия, имя, отчество (при его наличии)
Перечень платежных услуг, оказываемых филиалом платежной организации, в соответствии с пунктом 3 Правил организации деятельности платежных организаций:
1) ______________________________________________________________;
2) ______________________________________________________________;
3) ______________________________________________________________.
□ за пределами Республики Казахстан (в случае открытия):
_______________________________________________________________
(наименование, место нахождения филиала платежной организации)
Данные о руководителе:
_______________________________________________________________
(должность, фамилия, имя, отчество (при его наличии)
Перечень платежных услуг, оказываемых филиалом платежной организации в соответствии с пунктом 3 Правил организации деятельности платежных организаций:
1) __________________________________________________________;
2) __________________________________________________________;
3) __________________________________________________________.
Подтверждаю, что прилагаемые сведения мною проверены и являются достоверными и полными.
Согласен (согласна) на использование сведений, составляющих охраняемую законом тайну, содержащихся в информационных системах.
Первый руководитель платежной организации или лицо, уполномоченное на подписание
_____________________________________ _________
фамилия, имя, отчество (при его наличии) подпись
Приложение 7
к Правилам организации деятельности
платежных организаций
Карта инцидента информационной безопасности
|
№
|
Общие сведения
|
|
Характеристики инцидента информационной безопасности
|
Информация об инциденте информационной безопасности
|
|
1
|
Наименование инцидента информационной безопасности
|
|
|
2
|
Дата и время выявления (дд.мм.гггг и чч:мм с указанием часового пояса UTC+X)
|
|
|
3
|
Место выявления (организация, филиал, сегмент информационной инфраструктуры)
|
|
|
4
|
Источник информации об инциденте информационной безопасности (пользователь, администратор, администратор информационной безопасности, работник подразделения информационной безопасности или техническое средство)
|
|
|
5
|
Использованные методы при реализации инцидента информационной безопасности (социальная инженерия, внедрение вредоносного кода)
|
|
|
Содержание инцидента информационной безопасности
|
|
6
|
Симптомы, признаки инцидента информационной безопасности
|
|
|
7
|
Основные события (эксплуатация уязвимостей в прикладном и системном программном обеспечении;
несанкционированный доступ в информационную систему;
атака «отказ в обслуживании» на информационную систему или сеть передачи данных;
заражение сервера вредоносной программой или кодом;
совершение несанкционированного перевода денежных средств;
инциденты информационной безопасности, несущие угрозу стабильности деятельности платежной организации)
|
|
|
8
|
Пораженные активы (физический уровень информационной инфраструктуры,
уровень сетевого оборудования,
уровень сетевых приложений и сервисов, уровень операционных систем,
уровень технологических процессов и приложений и уровень бизнес-процессов платежной организации)
|
|
|
9
|
Статус инцидента информационной безопасности (свершившийся инцидент информационной безопасности, попытка осуществления инцидента информационной безопасности, подозрение на инцидент информационной безопасности)
|
|
|
10
|
Ущерб
|
|
|
11
|
Источник угрозы (выявленные идентификаторы)
|
|
|
12
|
Преднамеренность (намеренный, ошибочный)
|
|
|
Предпринятые меры по инциденту информационной безопасности
|
|
13
|
Предпринятые действия (идентификация уязвимости, блокирование, восстановление)
|
|
|
14
|
Запланированные действия, направленные на минимизацию возникновения рисков информационной безопасности
|
|
|
15
|
Оповещенные лица (фамилия, имя, отчество (при его наличии) должностных лиц, наименование государственных органов, организаций)
|
|
|
16
|
Привлеченные специалисты
(фамилия, имя, отчество (при его наличии) место работы, должность, номер телефона)
|
|
Ответственный работник по информационной безопасности ____________________________________________ __________________ (фамилия, имя, отчество (при его наличии) (подпись)
Дата «____» ______ 20 ___ года
