KgBank.net - Информационный портал о банках Кыргызстана
Информеры для вашего сайта >>>

Банки Кыргызстана
Список банков
Банковское законодательство
Микрофинансовые компании
Микрокредитные компании
Микрокредитные агентства
Кредитные союзы
Кредитные союзы, имеющие право привлечения вкладов от участников
Специализированные финансово-кредитные учреждения
Обменные бюро
Национальный банк
Истории



Общая информация
Реквизиты
Правления
Советы директоров
Благотворительность
Корреспондентские отношения
Принципы
Миссии
Награды
Денежные переводы
Платёжные карты
Депозиты
Расчётно-кассовое обслуживание
Кредиты физическим лицам
Кредиты юридическим лицам
Операции с ценными бумагами
Торговое финансирование
Интернет-банкинг
Приём платежей
Аренда сейфовых ячеек
Валютные операции
Чеки
Банковские гарантии
Эквайринг
Документарные операции
Нормативные акты НБКР
Сайты о банках
Информер курсов валют

 

Нормативные акты НБКР - Положение об основных требованиях к функционированию платежной системы Кыргызской Республики при возникновении нештатных ситуаций в платежной системе

1. Общие положения

1.1. Настоящее Положение разработано в соответствии с:

· законами Кыргызской Республики «О Национальном банке Кыргызской Республики», «О банках и банковской деятельности в Кыргызской Республике», «Об электронных платежах», «Об электронной цифровой подписи»;

· Положением «О безналичных расчетах в Кыргызской Республике», утвержденным постановлением Правительства Кыргызской Республики и Национального банка Кыргызской Республики (далее – НБКР) от 09 сентября 2005 года №420/21/4 «Об утверждении «Положения о безналичных расчетах в Кыргызской Республике»;

· «Политикой по управлению рисками в платежной системе Кыргызской Республики», утвержденной постановлением Правления НБКР от 19 мая 2005 года №16/4 «Об утверждении «Политики по управлению рисками в платежной системе Кыргызской Республики», зарегистрированной в Министерстве юстиции Кыргызской Республики (далее – МЮ КР) 27 июня 2005 года (регистрационный номер № 91-05);

· «Политикой по надзору за платежной системой Кыргызской Республики», утвержденной постановлением Правления НБКР от 23 марта 2006 года № 7/8 «Об утверждении «Политики по надзору за платежной системой Кыргызской Республики», зарегистрированной в МЮ КР 28 апреля 2006 года (регистрационный номер № 48-06);

· «Правилами осуществления надзора за платежной системой Кыргызской Республики», утвержденными постановлением Правления НБКР от 28 мая 2008 года № 22/11 «Об утверждении «Правил осуществления надзора за платежной системой Кыргызской Республики», зарегистрированной в МЮ КР 04 июля 2008 года (регистрационный номер № 67-08).

1.2. Настоящее Положение определяет основные понятия и требования к функционированию платежной системы Кыргызской Республики и действиям персонала при возникновении нештатных ситуаций в платежной системе, связанных с:

· перебоями энергоснабжения;

· сбоями аппаратного или программного обеспечения;

· сбоями каналов связи системы;

· нарушением регламента работы системы;

· несанкционированным доступом к системе;

· мошенничеством;

· форс-мажорными обстоятельствами.

1.3. Настоящее Положение распространяется на участников и операторов платежной системы, являющихся резидентами Кыргызской Республики.

1.4. Платежная система Кыргызской Республики включает:

· системно-значимые платежные системы (далее - СЗПС) - Гроссовая система расчетов в режиме реального времени (далее - ГСРРВ) и Система пакетного клиринга мелких розничных и регулярных платежей (далее - СПК);

· значимые платежные системы (далее - ЗПС)- международные и локальные системы расчетов платежными картами, национальная система расчетов платежными картами «Элкарт»;

· не системно-значимые платежные системы (далее - не СЗПС) - системы денежных переводов, трансграничных платежей, проводимых по сети SWIFT (через Узел коллективного пользования SWIFT НБКР (далее - УКП SWIFT) или посредством прямого соединения к сети SWIFT), Телекс и другие альтернативные каналы передачи данных.

1.5. Ответственность за обеспечение бесперебойного функционирования и соблюдение регламента платежных систем несут операторы и участники платежных систем. Распределение ответственности сторон в случаях возникновения нештатных ситуаций в процессе осуществления платежей/переводов и расчетов, порядок и время информирования определяются в договорах между оператором и участниками, а также во внутренних процедурах, устанавливающих порядок действий и взаимоотношения персонала платежной системы.

1.6. Персонал платежной системы должен состоять из персонала оператора и персонала участника системы и включать основной и дублирующий состав. В случае отсутствия какого-либо специалиста основного состава его функции выполняет специалист из дублирующего состава.

1.7. Персонал оператора платежной системы должен включать:

· специалистов, выполняющих функции управления по сбору, обработке, и передаче платежей (переводов) и сообщений;

· специалистов, выполняющих функции управления проведением расчетов, включая окончательный расчет;

· специалистов по сопровождению системы, обеспечивающих бесперебойное функционирование технической инфраструктуры и безопасность системы.

1.8. Персонал участника платежной системы должен включать:

· специалистов, выполняющих функции формирования, отправки и приема платежей (переводов), а также функции обмена другими сообщениями в рамках системы;

· специалистов по сопровождению системы, обеспечивающих бесперебойное функционирование и безопасность технической инфраструктуры участника системы.

1.9. Внутренние процедуры операторов и участников платежной системы должны устанавливать регламент, порядок проведения работ и взаимодействия персонала системы при возникновении нештатных ситуаций, а также меры по восстановлению штатного функционирования системы. Данные процедуры должны в обязательном порядке предусматривать:

· порядок и сроки информирования руководства и персонала системы о возникновении нештатной ситуации;

· регистрацию факта возникновения нештатной ситуации (дату, время, описание события) в специальном журнале;

· порядок действий, если проблемы не были решены на уровне ответственных исполнителей персонала системы за предусмотренное процедурами время;

· порядок и сроки информирования руководства и персонала системы после устранения нештатной ситуации и восстановления штатного функционирования системы, включая порядок регистрации информации о восстановлении штатного функционирования системы (дату, время, причину возникновения нештатной ситуации, содержание принятых мер по её устранению с указанием ответственных исполнителей), подготовки актов и экспертных заключений о ситуации.

1.10. Техническая инфраструктура платежной системы должна включать:

· основной аппаратно-программный комплекс (далее - АПК), к которому предъявляются определенные требования по обеспечению штатного функционирования системы и восстановлению в случае возникновения нештатных ситуаций;

· резервный АПК, который в случае выхода из строя любых компонентов основного аппаратно-программного комплекса должен полностью обеспечить штатное функционирование системы;

· каналы связи и средства безопасности передачи данных.

1.11. Для минимизации рисков, возможных при возникновении нештатных ситуаций в платежной системе:

ь функционирование платежной системы должно осуществляться в соответствии с критериями по обеспечению непрерывности, установленными внутри каждой системы и включающими наличие:

· основного и резервного центров по обработке платежей и автоматическое или ручное переключение работы системы с основного на резервный АПК и наоборот в случае возникновения сбоев в работе системы;

· средств безопасности передачи данных, минимизирующих риски несанкционированного доступа;

· установленного предельного значения времени простоя системы в случае возникновения сбоев в работе системы;

· утвержденной максимальной продолжительности времени автоматизированного или ручного переключения между основным и резервным АПК с указанием максимально допустимого времени простоя до полного восстановления штатного функционирования системы;

· установленного предельного времени восстановления базы данных в случае возникновения сбоев;

· критерия максимально допустимого времени восстановления работы системы в случае сбоев основного и резервного АПК.

Модернизация системы, время, условия реагирования и порядок взаимодействия с поставщиком платежной системы при возникновении нештатных ситуаций, которые приводят к нарушению данных критериев, и меры по их устранению должны быть определены в договоре на техническую поддержку с поставщиком платежной системы.

ь Операторы системы должны иметь процедуры по:

· обеспечению непрерывного функционирования АПК системы и требуемых для его функционирования каналов связи с указанием разового и суммарного времени простоя системы в течение квартала;

· осуществлению переключения между основным и резервным АПК с указанием максимально допустимого времени простоя до полного восстановления штатного функционирования системы;

· проведению периодических проверок персоналом оператора системы работоспособности резервного АПК, каналов связи системы и регулярного тестирования переключения работы системы с основного на резервный АПК и наоборот;

· обеспечению непрерывности функционирования рабочих станций персонала оператора системы;

· обеспечению восстановления данных в случае их повреждения или искажения в соответствии с установленным регламентом;

· обеспечению конфиденциальности передаваемых и получаемых системой данных согласно законодательству Кыргызской Республики.

ь Участники системы должны иметь процедуры по:

· обеспечению непрерывности функционирования рабочих станций персонала участника системы;

· резервированию каналов связи по передаче данных;

· обеспечению конфиденциальности передаваемых и получаемых от системы данных согласно законодательству Кыргызской Республики.

1.12. Для минимизации рисков в СЗПС и УКП SWIFT при возникновении у участников проблем с рабочими станциями или каналами связи должен быть создан Единый сервисный центр (далее – ЕСЦ), который должен обеспечивать проведение работ по формированию, отправке/получению платежных документов и других сообщений в системе.

1.13. НБКР осуществляет:

· мониторинг и надзор за функционированием платежной системы;

· контроль функционирования межбанковской коммуникационной сети (МКС), УКП SWIFT;

· проведение проверок у операторов или участников платежной системы на соответствие функционирования системы стандартам и нормативным правовым актам.

2. Определения

2.1. Термины и определения, используемые в настоящем Положении, соответствуют терминам и определениям, приведенным:

· в «Основных положениях по организации платежной системы в Кыргызской Республике», утвержденным постановлением Правления НБКР от 25 марта 1999 года №20/7 «Об основных положениях по организации платежной системы в Кыргызской Республике»;

· в «Положении о банковских платежных картах в Кыргызской Республике», утвержденном постановлением Правления НБКР от 27 сентября 2006 года № 28/12 «Об утверждении «Положения о банковских платежных картах в Кыргызской Республике», зарегистрированной в МЮ КР 01 ноября 2006 года (регистрационный номер № 108-06);

· в «Политике по надзору за платежной системой Кыргызской Республики», утвержденной постановлением Правления НБКР от 23.03.2006 № 7/8 «Об утверждении «Политики по надзору за платежной системой Кыргызской Республики», зарегистрированной в МЮ КР от 28.04.2006 года (регистрационный номер №48-06).

2.2. Дополнительно в настоящем Положении используются следующие термины и определения:

Нештатная ситуация – ситуация, которая не может быть решена встроенными автоматическими средствами управления рисками отдельной платежной системы в соответствии с правилами и технологией работы системы и требует для ее разрешения специально организованной деятельности персонала оператора или участника данной платежной системы. Правила управления нештатными ситуациями, ответственность и взаимодействие персонала устанавливаются во внутренних процедурах оператора или участника платежной системы.

Payment Card Industry Data Security Standard (PCI DSS) – стандарт, определяющий параметры защиты информации в области платежных карт, разработанный международными платежными системами («Visa» и «MasterCard»).

«Floor limit» - максимальная сумма транзакции, в рамках которой торгово-сервисное предприятие может проводить операции с платежными картами без авторизационного запроса.

Мошенничество в платежной системе – в рамках настоящего положения это противоправные преднамеренные обманные действия (или злоупотребление доверием) персонала оператора/ участника системы (внутреннее мошенничество) или третьей стороны (внешнее мошенничество), направленные на несанкционированный доступ и использование информации относящейся к банковской тайне для получения денежных средств с банковских счетов участников системы и/или их клиентов.

К данной деятельности относятся:

· распространение внутренней конфиденциальной информации;

· нарушение прав доступа к информации, оборудованию, допущение утечки информации;

· умышленное удаление информации, которое может привести к невыполнению принятых на себя обязательств оператором или участником системы перед своим клиентом или третьими лицами;

· использование необъективной или сфальсифицированной информации;

· изготовление поддельных карт;

· операции с украденными/утерянными платежными картами для осуществления покупки товаров и услуг, а также снятия наличных денег;

· многократное снятие со счета денежных средств путем оформления торгово-сервисным предприятием нескольких платежных чеков по одному факту оплаты;

· многократная оплата услуг и товаров в торгово-сервисных предприятиях на суммы, не превышающие определенный лимит («floor limit») и не требующие проведения авторизации;

· мошенничество с использованием поддельных документов, а также украденных (утерянных) документов держателей карт;

· мошенничество с почтовыми/телефонными заказами и заказами через Интернет;

· мошенническое использование банкоматов при выдаче наличных денежных средств;

· подключение электронного записывающего устройства к терминалу/банкомату;

· другие виды мошенничества (использование подложных слипов, создание и использование фиктивных предприятий обслуживания карт и т.д.).

3. Нештатные ситуации в платежной системе

3.1. Перебои энергоснабжения

3.1.1. Оператор и участники системы должны обеспечить соответствие мощности линий и другого оконечного оборудования, через которое осуществляется подача энергоснабжения для работы систем, требованиям систем по мощности.

3.1.2. В случаях перебоев энергоснабжения у оператора и/или участника системы должно обеспечиваться автономное функционирование системы.

3.1.3. Оператор и участники системы должны иметь процедуры, регламентирующие время автономного функционирования системы, а также обеспечивающие выполнение требований по продолжительности автономной работы системы с момента прекращения энергоснабжения и до момента последующего переключения на резервный АПК системы.

3.1.4. Участник СЗПС в случае перебоев энергоснабжения должен обеспечить отправку/получение платежных документов посредством ЕСЦ в соответствии с установленным НБКР порядком и регламентом.

3.1.5. В случае перебоев энергоснабжения участник УКП SWIFT может проводить отправку/получение платежных документов через рабочие станции ЕСЦ в соответствии с установленным НБКР порядком и регламентом, или через альтернативные каналы передачи данных, используемые участником системы.

3.1.6. После восстановления энергоснабжения работы по переводу на основной АПК проводятся в соответствии с установленными внутренними процедурами участника или оператора системы.

3.2. Сбои аппаратного и/или программного обеспечения системы

3.2.1. Сбои аппаратного обеспечения включают в себя нарушение функционирования или выход из строя серверного, сетевого, криптографического оборудования, оборудования для персонализации карт и рабочих станций участника/оператора системы.

3.2.2. Сбои программного обеспечения включают в себя нарушение функционирования операционной системы, прикладного программного обеспечения, программного обеспечения на серверах доступа, PKI инфраструктуры и рабочих станций персонала системы.

3.2.3. В СЗПС при сбоях аппаратного и/или программного обеспечения системы или рабочих станций оператора проводится автоматическое или ручное переключение на резервный АПК или резервные рабочие станции оператора в соответствии с установленным НБКР порядком. В случае невозможности перехода на резервный АПК работы по обработке платежей участников системы и проведению окончательного расчета проводятся оператором с использованием бумажной формы документов в соответствии с установленным НБКР порядком.

3.2.4. Участники системы при сбоях собственного аппаратного или программного обеспечения должны обеспечить использование альтернативных и/или резервных средств в соответствии со своими внутренними процедурами.

3.2.5. В случае невозможности участником СЗПС продолжить работу со своего резервного оборудования выполнение соответствующих работ может проводиться через рабочие станции ЕСЦ в соответствии с установленным НБКР порядком и регламентом.

3.2.6. В случае невозможности участником ЗПС продолжить работу с резервной рабочей станции, выполнение соответствующих работ может проводиться через рабочие станции оператора ЗПС в соответствии с установленным оператором порядком и регламентом.

3.2.7. В случае невозможности участником УКП SWIFT продолжить работу со своего резервного оборудования, выполнение соответствующих работ может проводиться через рабочие станции ЕСЦ в соответствии с установленным НБКР порядком и регламентом, или через альтернативные каналы передачи данных, используемые участником системы.

3.3. Сбои каналов связи системы

3.3.1. При сбое канала основного канала связи между основным и резервным АПК системы оператор системы должен провести переключение на резервный канал связи в соответствии со своими внутренними процедурами.

3.3.2. При сбое основного канала связи между оператором и участниками системы участник системы должен провести переключение на собственный резервный канал связи в соответствии со своими внутренними процедурами.

3.3.3. При выходе из строя обоих каналов связи у участника СЗПС и УКП SWIFT, работа по отправке/получении платежных документов и сообщений системы выполняется через ЕСЦ в соответствии с установленным НБКР порядком и регламентом.

3.3.4. При выходе из строя обоих каналов связи участник ЗПС может выполнять работу с резервной рабочей станции оператора в соответствии с установленным оператором порядком и регламентом.

3.4. Нарушение регламента работы системы

3.4.1. К нарушениям регламента работы СЗПС и ЗПС относится продление периодов операционного дня вследствие:

· проведения работ по восстановлению штатного функционирования СЗПС и ЗПС в случае возникновения нештатной ситуации у оператора и/или участника системы в течение операционного дня;

· несвоевременной передачи сообщений и отчетов оператором ЗПС;

· несвоевременной передачи платежей и сообщений оператором и участниками СЗПС;

· несвоевременной передачи сообщений между ГСРРВ и СПК.

3.4.2. Регламент и порядок работы системы определяются нормативными правовыми актами, регулирующими функционирование системы. Ответственность сторон за соблюдение и санкции за нарушение регламента и порядка работы системы устанавливаются в договорах и соглашениях между оператором и участниками системы.

4. Несанкционированный доступ и мошенничество в платежной системе

4.1. Несанкционированный доступ и мошенничество в платежной системе

4.1.1. Оператор и участник системы должны иметь внутреннюю политику по обеспечению информационной безопасности системы, которая должна:

· быть разработана в соответствии с «Инструкцией по обеспечению необходимого уровня безопасности электронных платежей», утвержденной постановлением Правления НБКР от 06.11.1999 года № 66/9 «Об «Инструкции по обеспечению необходимого уровня безопасности электронных платежей»;

· иметь четко определенные задачи, основные требования по обеспечению конфиденциальности и доступу к информации, адекватности внутреннего контроля, а также критерии разграничения ответственности соответствующих лиц при осуществлении контроля;

· предусматривать своевременное реагирование на возникновение подозрительных операций или попыток несанкционированного доступа и порядок взаимодействия со Службой Финансовой Разведки Кыргызской Республики и/или правоохранительными органами;

· предусматривать разработку новых методов борьбы с мошенничеством;

· включать обязательные требования о проведении обучения сотрудников безопасности и персонала системы механизмам предотвращения мошенничества и несанкционированного доступа.

4.1.2. Оператор и участник системы на регулярной основе (по мере необходимости, но не реже 1 раза в три года) должны осуществлять пересмотр внутренней политики с целью обновления и включения новых инновационных методов борьбы с мошенничеством и несанкционированным доступом в систему.

4.1.3. Для снижения риска возникновения внутреннего мошенничества оператор и участники системы должны иметь системы защиты от мошенничества и несанкционированного доступа на уровне аппаратно-программного комплекса (использование паролей и прав доступа к системе, криптографии, шифрования и т.п.), квалифицированный и прошедший проверку персонал для работы в системе, а также утвержденные должностные инструкции, определяющие ответственность, права и обязанности персонала.

4.1.4. Разрешение спорных ситуаций при возникновении риска внутреннего мошенничества, ответственность сторон и другие условия работы с системой должны быть определены в договорах между оператором и участниками системы.

4.2. Мошенничество в ЗПС

4.2.1. При работе с картами международных платежных систем оператору и участнику системы рекомендуется принять за основу «Общие критерии для оценки безопасности информационных технологий» (ISO/IEC 15408) и PCI DSS и придерживаться соблюдения данных требований.

4.2.2. Оператор и участники (эмитенты) ЗПС должны иметь внутренние процедуры с указанием в них, как минимум:

· ограничений по доступу персонала к базе данных системы (к информации о номерах карт, кодовых словах, фамилии, имени, отчестве держателя карты, об образце подписи и т.д.) и список сотрудников персонала системы, имеющих такой доступ; ответственность и санкции за нарушение ограничений;

· системы защиты от мошенничества при эмиссии карт,

· порядка обработки заявлений клиентов и получения карт, включающего требования по обязательной идентификации и проверке клиента;

· порядка возврата захваченных банкоматами карт.

4.2.3. Участники (эквайеры) ЗПС должны иметь внутренние процедуры с указанием в них, как минимум:

· порядка обработки заявлений торгово-сервисных предприятий и заключения с ними договоров, включающих требования к предоставляемому пакету документов (нотариально заверенные копии учредительных документов и Устава, регистрации в налоговых органах, разрешений/лицензий на заявленные виды деятельности, ксерокопии паспортов руководства, бухгалтерский баланс с отметкой налоговых органов);

· порядка ведения базы данных торгово-сервисных предприятий, с которыми были расторгнуты договора или заявления которых были отвергнуты с указанием причины отказа;

· механизма контроля торгово-сервисных предприятий, включающего подтверждение факта его регистрации, регулярную проверку качества обслуживания карт, условий содержания и работоспособности терминалов, хранения чеков (слипов), определение значений «floor limit» в зависимости от мошеннической активности торгово-сервисного предприятия.

4.2.4. Для снижения риска внешнего мошенничества операторы системы должны иметь программное обеспечение, позволяющее проводить мониторинг и анализ риска, а также отслеживание подозрительных транзакций и авторизаций, совершённых посредством платежных карт на регулярной основе. Программное обеспечение должно контролировать как транзакции, совершенные в сети эквайера (контроль риска эквайера относительно торгово-сервисных предприятий), так и транзакции, совершенные посредством карт, эмитированных банком (контроль риска эмитента относительно держателей карт).

4.2.5. Участники системы могут иметь собственное программное обеспечение, позволяющее самостоятельно осуществлять мониторинг и управление своими рисками, связанными с эмиссией и эквайрингом платежных карт для снижения потерь, вызываемых возможным мошенничеством при использовании платежных карт, или воспользоваться данной услугой оператора системы на договорных условиях.

4.2.6. Операторы и участники системы должны установить параметры мониторинга за авторизациями/ транзакциями, превышение значений которых будет считаться подозрительными авторизациями/транзакциями. Мониторинг должен отражать, как минимум, следующие случаи когда:

· сумма отдельной авторизации/транзакции (или общая сумма) превышает установлённый лимит в заданный период времени;

· авторизация/транзакция карты проводится в торгово-сервисных предприятиях в 2-x или более странах в заданный период времени;

· общая сумма транзакций в конкретной стране с повышенным риском превышает установленный лимит в заданный период времени;

· общее число авторизаций на одном торгово-сервисном предприятии превышает установленный лимит в заданный период времени;

· количество некорректных попыток ввода ПИН-кода в банкоматах превышает установленный лимит за заданный период времени;

· сумма отдельной авторизации/транзакции превышает установленный лимит для конкретной группы торгово-сервисных предприятий с повышенным риском.

Оператор или участник системы может устанавливать дополнительные правила мониторинга за подозрительными транзакциями.

4.2.7. Оператор и участник системы должны иметь подготовленный персонал для проведения анализа рисков возможного мошенничества, осуществляющий контроль транзакций и авторизаций платежных карт.

4.2.8. Оператор и участник системы должны иметь внутренние процедуры с описанием средств и инструментов по распознаванию поддельных карт и операций с использованием карт, методов противодействия мошенническому использованию карт, а также порядка действий персонала в случае выявления таких операций.

4.2.9. В договоре между оператором и участниками системы должны быть установлены как минимум:

· основные требования по соблюдению безопасности, которые участники системы должны использовать при разработке типовых договоров с держателями карт и торгово-сервисными предприятиями;

· время реагирования, порядок оповещения и взаимодействия сторон в случае выявления мошеннических операций;

· порядок разрешения спорных ситуаций между участниками системы;

· порядок и правила обработки чарджбеков;

· ответственность сторон в случае выявления мошеннических операций;

· порядок взаимодействия с правоохранительными органами по вопросам мошенничества;

· порядок предоставления и формы отчетов по подозрительным операциям;

· обмен информацией о мошеннических операциях между участниками системы.

4.2.10. В договоре между участником (эквайером) системы и торгово-сервисным предприятием должны быть отражены следующие аспекты:

· список карточных продуктов, принимаемых к оплате в торгово-сервисном предприятии;

· виды продаваемых товаров и услуг (профиль) для идентификации в системе торгово-сервисного предприятия и обязательство извещать об изменении своего профиля;

· определение значения «floor limit» для торгово-сервисного предприятия;

· требования по соблюдению безопасности торгово-сервисным предприятием (проверка подписи держателя карты, документа, удостоверяющего личность держателя карты, соответствия реквизитов на карте данным на удостоверяющем документе, использование ПИН-кода держателем карты и иные требования), защита реквизитов карт;

· возможность замораживания средств торгово-сервисного предприятия по подозрительным транзакциям, по которым проводится проверка;

· порядок проведения проверки торгово-сервисного предприятия по качеству обслуживания карт, предоставляемых услуг, условий содержания и работоспособности терминалов, хранения чеков (слипов);

· порядок взаимодействия в случае выявления операции с украденной/ утерянной картой держателя карты или проведения мошеннических транзакций самим торгово-сервисным предприятием;

· ответственность сторон при выявлении мошеннических операций;

· условия обязательного обучения кассиров правилам приема и проверки карт, а также методам выявления мошеннических операций и борьбы с ним.

4.2.11. В договоре между участником (эмитентом) системы и держателем карты должны быть определены основные требования по соблюдению безопасности держателем карты (использование ПИН-кода, лимиты, действия держателя в случае утери карты), а также распределение рисков и ответственности между сторонами при утере/похищении карты, а также в случае выявления мошеннических транзакций.

4.3. Порядок действия при возникновении мошеннических операций в ЗПС

4.3.1. Участник системы на основании отчетов системы о подозрительных операциях, получаемых самостоятельно или от оператора системы, и на основании разработанных им критериев проводит анализ подозрительных транзакций.

4.3.2. Участник обязан оповестить оператора системы о выявленных им мошеннических транзакциях, совершенных по картам или в торгово-сервисном предприятии, не позднее 3 рабочих дней с момента обнаружения, если:

· уровень мошеннических транзакций превышает 8% от общего количества транзакций по данной карте или по торгово-сервисному предприятию;

· карта заявлена как украденная/утерянная, поддельная;

· торгово-сервисное предприятие нарушало условия договора или к нему применялись штрафные санкции за мошенничество;

· от держателей карт поступило чрезмерное количество чарджбеков по данному торгово-сервисному предприятию.

4.3.3. Оператор системы должен ввести полученную информацию в базу данных о мошеннических транзакциях или базу данных о торгово-сервисных предприятиях, подозреваемых в совершении мошеннических операций, и их владельцах, сформировать консолидированный отчет и отправить всем участникам системы и НБКР.

4.3.4. При рассмотрении вопроса о заключении договора с новым торгово-сервисным предприятием участник системы должен проверить, не было ли с ним ранее расторгнуто соглашение по причине проведения мошеннических транзакций и не предпринимается ли попытка со стороны торгово-сервисного предприятия одновременно подключиться к нескольким участникам -эквайерам.

4.3.5. Оператор системы на основании полученных от участников данных периодически должен проводить проверку защищенности процессингового центра от мошеннических атак, выявлять узкие места в работе и предпринимать меры для снижения уровня мошенничества.

5. Форс-мажорные обстоятельства

5.1. К форс-мажорным обстоятельствам относятся обстоятельства непреодолимой силы, не зависящие от воли сторон, такие как пожары, аварии, стихийные бедствия, военные действия и т.п., которые приводят к нарушению штатного функционирования платежной системы.

5.2. Операторы и участники платежной системы должны иметь территориально удаленный резервный центр для обеспечения быстрого восстановления штатного функционирования платежной системы в случае возникновения форс-мажорных обстоятельств.

5.3. Территориально удаленный резервный центр должен удовлетворять, как минимум, следующим условиям:

· условия размещения резервного центра должны соответствовать требованиям безопасности, установленным нормативными правовыми актами НБКР;

· обеспечить возможность полного дублирования работы основного центра (иметь соответствующие АПК, каналы связи с участниками, подготовленный персонал, бесперебойное энергоснабжение);

5.4. Операторы и участники платежной системы должны разработать процедуры, регламентирующие в случаях наступления форс-мажорных обстоятельств порядок перевода работы на резервный центр и взаимодействие персонала системы.

6. Отчетность

6.1. Операторы и участники платежной системы должны фиксировать информацию о нештатных ситуациях в журнале регистрации нештатных ситуаций и формировать отчет согласно Приложению 1 настоящего Положения. Отчет передается в НБКР в электронной и бумажной форме:

· операторами платежной системы СЗПС и оператором национальной системы расчетов платежными картами «Элкарт» - на ежедневной основе;

· участниками платежной системы - на ежеквартальной основе не позднее 10 числа месяца, следующего за отчетным.

6.2. Оператор и участники ЗПС формируют отчет по мошенническим транзакциям согласно Приложению 2 настоящего Положения и направляют в НБКР в электронной и бумажной форме не позднее 10 числа месяца, следующего за отчетным.

6.3. НБКР на регулярной основе осуществляет сбор и обработку информации о состоянии платежной системы, нештатных ситуациях и мошеннических операциях для анализа и оценки степени их воздействия на платежную систему в целом, а также на деятельность оператора и участника системы. В случае существенного влияния на платежную систему НБКР разрабатывает и передает операторам и/или участникам платежных систем рекомендации и предложения по минимизации рисков, осуществляет контроль их исполнения и при необходимости принимает меры воздействия к операторам и/или участникам платежных систем в соответствии с:

· «Политикой по надзору за платежной системой Кыргызской Республики», утвержденной постановлением Правления НБКР от 23 марта 2006 года № 7/8 «Об утверждении «Политики по надзору за платежной системой Кыргызской Республики», зарегистрированной в МЮ КР 28 апреля 2006 года (регистрационный номер № 48-06);

· «Правилами осуществления надзора за платежной системой Кыргызской Республики», утвержденными постановлением Правления НБКР от 28 мая 2008 года № 22/11 «Об утверждении «Правил осуществления надзора за платежной системой Кыргызской Республики», зарегистрированной в МЮ КР 04 июля 2008 года (регистрационный номер № 67-08);

· Положением «О мерах воздействия, применяемых к банкам и некоторым другим финансово-кредитным учреждениям, лицензируемым НБКР», утвержденным постановлением Правления НБКР от 19 мая 2005 года № 16/2 «Об утверждении Положения «О мерах воздействия, применяемых к банкам и некоторым другим финансово-кредитным учреждениям, лицензируемым НБКР», зарегистрированным МЮ КР 24 июня 2005 года (регистрационный номер №78-05).

    © KgBank.net, 2011. Все права защищены.
 
 

Предупреждение: На момент создания сайта и его страниц вся информация бралась из открытых источников (таких как, например, сайты банков). В настоящий момент сайт не обновляется, вследствие чего большинство информации на сайте устарело. Для получения актуальной информации по банкам и их услугам, рекомендуем обращаться непосредственно в банки, а также читать информацию на официальных сайтах банков.