Про затвердження Положення про нагляд (оверсайт) платіжних систем та систем розрахунків в Україні
{Із змінами, внесеними згідно з Постановами Національного банку
№ 480 від 24.07.2015
№ 747 від 28.10.2015
№ 11 від 13.02.2017
№ 61 від 07.06.2018
№ 139 від 22.11.2019
№ 11 від 21.01.2020}
Відповідно до пункту 29 статті 7 Закону України "Про Національний банк України", статті 41 Закону України "Про платіжні системи та переказ коштів в Україні" Правління Національного банку України ПОСТАНОВЛЯЄ:
1. Затвердити Положення про нагляд (оверсайт) платіжних систем та систем розрахунків в Україні (далі - Положення), що додається.
2. Департаменту платіжних систем та розрахунків (Кравець В.М.):
забезпечити організацію та проведення нагляду (оверсайта) платіжних систем та систем розрахунків відповідно до вимог Положення;
після офіційного опублікування довести зміст цієї постанови до відома платіжних організацій платіжних систем та учасників/членів платіжних систем.
3. Платіжні організації платіжних систем та учасники/члени платіжних систем, діяльність яких не відповідає вимогам розділу XIII Положення, зобов'язані привести її у відповідність до цих вимог протягом 120 календарних днів із дати набрання чинності цією постановою.
4. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.
5. Контроль за виконанням цієї постанови покласти на заступника Голови Національного банку України Смолія Я.В.
ПОЛОЖЕННЯ
про нагляд (оверсайт) платіжних систем та систем розрахунків в Україні
{У тексті Положення слова “нагляд (оверсайт)” “на сторінках Офіційного інтернет-представництва”, “види валют”, “веб-сайт” у всіх відмінках та числах замінено відповідно словами “оверсайт”, “на сторінках офіційного Інтернет-представництва”, “найменування валют”, “вебсайт” у відповідних відмінках та числах згідно з Постановою Національного банку № 11 від 21.01.2020}
1. Це Положення розроблено відповідно до статті 7 Закону України "Про Національний банк України", статті 41 Закону України "Про платіжні системи та переказ коштів в Україні" та ґрунтується на міжнародних стандартах оверсайта платіжних систем та систем розрахунків (далі - платіжні системи).
2. Це Положення визначає основні організаційні засади та порядок здійснення оверсайта (далі - оверсайт) платіжних систем, критерії та порядок визначення важливості платіжних систем, а також вимоги до платіжних систем, що здійснюють діяльність на території України.
{Пункт 2 розділу I із змінами, внесеними згідно з Постановами Національного банку № 11 від 13.02.2017, № 11 від 21.01.2020}
3. Перевірки щодо дотримання об'єктами оверсайта платіжних систем [далі - об'єкти оверсайта] вимог законодавства України з питань діяльності платіжних систем та переказу коштів (далі -законодавство України) здійснюються відповідно до нормативно-правового акта, що визначає порядок організації та проведення Національним банком України (далі - Національний банк) перевірок дотримання вимог законодавства України об'єктами оверсайта.
{Пункт 3 розділу I із змінами, внесеними згідно з Постановою Національного банку № 139 від 22.11.2019}
4. Вимоги цього Положення поширюються на об'єкти оверсайта, а саме: платіжні організації платіжних систем, учасників/членів платіжних систем (далі - учасники платіжних систем) та операторів послуг платіжної інфраструктури.
Вимоги цього Положення застосовуються до міжнародних платіжних систем, платіжними організаціями яких є нерезиденти, у частині їх діяльності на території України.
5. Національний банк здійснює оверсайт платіжних систем з метою забезпечення безперервного, надійного та ефективного функціонування платіжних систем шляхом:
1) моніторингу платіжних систем;
2) оцінювання платіжних систем;
3) у разі необхідності надання вказівок щодо усунення порушень законодавства України та рекомендацій щодо вдосконалення діяльності відповідних платіжних систем, застосування заходів впливу до об'єктів оверсайта.
6. Національний банк застосовує до об'єктів оверсайта, крім платіжних систем, створених Національним банком, заходи впливу, передбачені законодавством України, у порядку, установленому нормативно-правовим актом, що визначає порядок пред'явлення Національним банком вимог до об'єктів оверсайта щодо усунення порушень законодавства України та застосування до них заходів впливу.
7. Національний банк вимагає від об'єктів оверсайта надання інформації та документів для здійснення оверсайта платіжних систем шляхом направлення відповідного запиту.
8. Об'єкти оверсайта зобов'язані надавати до Національного банку повну та достовірну інформацію і документи та їх копії належної якості (що дає змогу прочитати всі зазначені в них відомості) у встановлені строки у визначеному порядку та форматі.
9. Об'єкт оверсайта-резидент зобов'язаний надсилати інформацію та документи до Національного банку засобами системи електронної пошти Національного банку (за умови підключення до системи електронної пошти Національного банку) або на офіційну електронну поштову скриньку Національного банку з використанням кваліфікованого електронного підпису.
Об'єкт оверсайта-резидент зобов'язаний надати на запит Національного банку документи (їх копії та/або витяги з них) на паперовому носії.
{Розділ I доповнено новим пунктом 9 згідно з Постановою Національного банку № 11 від 21.01.2020}
10. Документи, що надсилаються об'єктом оверсайта до Національного банку засобами системи електронної пошти/на офіційну електронну поштову скриньку Національного банку, повинні відповідати таким вимогам:
1) документи викладені українською мовою;
2) сторінки документів пронумеровані;
3) документи, що складені іноземною мовою, супроводжуються нотаріально засвідченим перекладом українською мовою;
4) копії документів в електронному вигляді створені у вигляді файлів у форматі pdf, які містять відскановані з паперових носіїв зображення документів;
5) сканована копія кожного окремого документа збережена як окремий файл;
6) файл має коротку назву латинськими літерами, що відображає зміст та реквізити документа;
7) документи, що містять більше однієї сторінки, скановані в один файл;
8) роздільна здатність сканування не нижча ніж 300 dpi.
{Розділ I доповнено новим пунктом 10 згідно з Постановою Національного банку № 11 від 21.01.2020}
11. Національний банк забезпечує нерозголошення інформації, отриманої ним під час оверсайта платіжних систем, третім особам, за винятком випадків, передбачених законодавством України.
12. Слова "платіжна система", "система розрахунків", "система переказу коштів" та похідні від них дозволяється використовувати в назві лише тим юридичним особам, які зареєстровані Національним банком шляхом унесення відомостей про них до Реєстру платіжних систем, систем розрахунків, учасників цих систем та операторів послуг платіжної інфраструктури (далі - Реєстр).
1. У цьому Положенні терміни вживаються в таких значеннях:
1) багаторівнева структура участі - структура участі, що передбачає можливість надання доступу до послуг платіжної системи прямим та непрямим учасникам платіжної системи;
2) безперервність діяльності платіжної системи - спроможність платіжної системи своєчасно та ефективно виконувати/надавати критичні операції/послуги в штатному режимі діяльності платіжної системи та надзвичайних ситуаціях;
3) валові розрахунки в режимі реального часу - режим розрахунків, що передбачає безперервне виконання зобов'язань учасників платіжної системи окремо за кожним переказом у платіжній системі без відстрочення в часі;
4) відкладені нетто-розрахунки - режим розрахунків, що передбачає виконання зобов'язань учасників платіжної системи за результатами клірингу з визначеною періодичністю;
5) внутрішньодержавний переказ коштів - рух певної суми коштів у межах України з метою її зарахування на рахунок отримувача або видачі йому в готівковій формі;
6) депозитарний ризик - ризик втрати фінансових активів платіжної організації платіжної системи та/або фінансових активів, що передані платіжній організації платіжної системи учасником платіжної системи, з вини юридичної особи, що прийняла на зберігання ці фінансові активи;
7) загальний комерційний ризик - ризик погіршення фінансового стану платіжної організації платіжної системи в результаті зниження її доходів або збільшення видатків, унаслідок якого витрати перевищують доходи та призводять до втрат, покриття яких здійснюється за рахунок капіталу. До загального комерційного ризику не належать ризики, пов'язані з невиконанням зобов'язань учасником платіжної системи або іншою організацією, що має фінансові зобов'язання перед платіжною організацією платіжної системи;
8) заінтересовані особи - власники платіжної організації платіжної системи, прямі та непрямі учасники платіжної системи, органи державної влади, розрахункові банки, оператори послуг платіжної інфраструктури;
9) значущий оператор послуг платіжної інфраструктури - оператор послуг платіжної інфраструктури, який відповідає визначеним цим Положенням критеріям важливості;
{Пункт 1 розділу II доповнено новим підпунктом 9 згідно з Постановою Національного банку № 61 від 07.06.2018; в редакції Постанови Національного банку № 11 від 21.01.2020}
10) значущі платіжні системи - платіжні системи, які віднесені Національним банком до категорії системно важливих, соціально важливих або важливих відповідно до визначених цим Положенням критеріїв важливості платіжних систем;
11) інвестиційний ризик - ризик втрати або недоступності фінансових активів платіжної організації платіжної системи та/або фінансових активів, що передані платіжній організації платіжної системи учасником платіжної системи, що виникає внаслідок їх інвестування;
12) інформаційна інфраструктура - сукупність обладнання, засобів, комплексів та систем для оброблення, передавання та приймання інформації, а також системи електронних комунікацій, що використовуються для ініціювання та здійснення переказу коштів;
{Пункт 1 розділу II доповнено новим підпунктом 12 згідно з Постановою Національного банку № 11 від 21.01.2020}
13) кіберзагроза - наявні та потенційно можливі явища і чинники, що спричиняють або можуть спричинити ризик порушення конфіденційності, цілісності, доступності інформаційних ресурсів та/або спостережності і керованості інформаційної інфраструктури;
{Пункт 1 розділу II доповнено новим підпунктом 13 згідно з Постановою Національного банку № 11 від 21.01.2020}
14) кіберінцидент - подія або сукупність несприятливих подій ненавмисного характеру, або таких, що мають ознаки можливої кібератаки, які становлять загрозу безпеці інформаційної інфраструктури, створюють імовірність порушення штатного режиму її функціонування, а також ставлять під загрозу захищеність інформаційних ресурсів;
{Пункт 1 розділу II доповнено новим підпунктом 14 згідно з Постановою Національного банку № 11 від 21.01.2020}
15) кіберризик - ризик реалізації кіберзагроз щодо інформаційних ресурсів та/або інформаційної інфраструктури, а також наслідки таких подій. Кіберризик є складовою операційного ризику;
{Пункт 1 розділу II доповнено новим підпунктом 15 згідно з Постановою Національного банку № 11 від 21.01.2020}
16) кіберстійкість платіжної системи - спроможність платіжної організації, учасників платіжної системи, операторів послуг платіжної інфраструктури та розрахункового(их) банку(ів) цієї платіжної системи запобігати, протистояти, стримувати та оперативно відновлюватися після кіберінцидентів та кібератак на неї;
{Пункт 1 розділу II доповнено новим підпунктом 16 згідно з Постановою Національного банку № 11 від 21.01.2020}
17) кредитний ризик - ризик того, що учасник платіжної системи або інша організація, з якою платіжна організація платіжної системи має договірні відносини, не зможе виконати свої фінансові зобов'язання у платіжній системі в повному обсязі в установлений момент часу або в будь-який момент у майбутньому. У платіжній системі може виникати поточний кредитний ризик та/або потенційний майбутній кредитний ризик;
18) критерії важливості платіжних систем - установлені Національним банком обсяги операцій та види послуг, у разі надання яких платіжна система може бути визначена Національним банком значущою платіжною системою;
19) критична залежність - залежність діяльності платіжної системи від учасника платіжної системи та/або оператора послуг платіжної інфраструктури, невиконання зобов'язань якими може призвести до неможливості забезпечення безперервності діяльності платіжної системи;
20) критичні операції/послуги - операції та/або послуги платіжної системи, невиконання/ненадання яких призведе до порушення надання послуг учасниками платіжної системи та/або роботи платіжної системи в цілому;
21) надзвичайна ситуація - чинники та обставини, що становлять загрозу для безперервності діяльності платіжної системи: економічна криза, терористичний акт, природні катастрофи (землетруси, зсув, обвал, сель, цунамі, лавина, повінь, смерч, посуха, заморозки, гроза, природна пожежа), техногенні катастрофи та аварії (вибух, пожежі), масові заворушення, збої в постачанні електроенергії, кіберінциденти у платіжній системі та кібератаки на неї тощо;
{Підпункт 21 пункту 1 розділу II із змінами, внесеними згідно з Постановою Національного банку № 11 від 21.01.2020}
22) непрямий учасник платіжної системи - юридична особа, що відповідно до законодавства України має право надавати послуги щодо проведення переказу коштів та яка на підставі договору, укладеного з прямим учасником платіжної системи, якому надано право на укладання таких договорів платіжною організацією цієї платіжної системи, надає такі послуги;
{Підпункт пункту 1 розділу II в редакції Постанови Національного банку № 61 від 07.06.2018}
23) операційний ризик - ризик того, що недоліки інформаційних систем або внутрішніх процесів, людські помилки, операційні збої (помилки чи затримки під час оброблення, перебої в роботі систем, недостатня пропускна спроможність), втрата або витік інформації, шахрайство або порушення в управлінні внаслідок зовнішніх подій призведуть до скорочення, погіршення або зупинення надання послуг платіжною системою;
24) основна робоча зона - приміщення та розташоване в ньому обладнання, за допомогою якого забезпечується штатний режим діяльності платіжної системи;
25) остаточність розрахунків - обумовлений правилами платіжної системи момент часу, в який розрахунок у платіжній системі стає безвідкличним та безумовним;
26) оцінювання платіжних систем - комплекс заходів, що здійснюються Національним банком з метою вдосконалення діяльності платіжних систем в Україні відповідно до міжнародних стандартів оверсайта платіжних систем, а також попередження, виявлення та усунення порушень у діяльності окремої платіжної системи шляхом систематичного контролю за відповідністю діяльності платіжних систем вимогам, установленим законодавством України;
27) правовий ризик - ризик відсутності правового регулювання, зміни або непередбачуваного застосування положень законодавства, що можуть призвести до виникнення збитків платіжної організації платіжної системи та/або її учасників;
28) прямий учасник платіжної системи - юридична особа, яка відповідно до законодавства України має право надавати послуги щодо проведення переказу коштів та на підставі договору, укладеного з платіжною організацією платіжної системи, надає такі послуги;
{Підпункт пункту 1 розділу II в редакції Постанови Національного банку № 61 від 07.06.2018}
{Підпункт 29 пункту 1 розділу II виключено на підставі Постанови Національного банку № 11 від 21.01.2020}
29) резервна робоча зона - географічно віддалене від основної робочої зони допоміжне приміщення, призначене для виконання/надання критичних операцій/послуг платіжної системи в надзвичайній ситуації до відновлення штатного режиму діяльності платіжної системи;
30) ризик ліквідності - ризик того, що учасник платіжної системи або інша організація, з якою платіжна організація платіжної системи має договірні відносини, не матиме достатньо коштів для виконання своїх фінансових зобов'язань у платіжній системі належним чином у повному обсязі в установлений момент часу, але він зможе їх виконати в інший момент часу в майбутньому;
31) розрахунковий ризик - ризик того, що розрахунки в платіжній системі не здійснюватимуться належним чином;
32) система міжбанківських розрахунків - платіжна система, у якій забезпечується проведення міжбанківських переказів;
33) система переказу коштів - платіжна система, призначена для здійснення переказів коштів, які ініціюються платниками для зарахування коштів на рахунки отримувачів або видачі отримувачам - фізичним особам у готівковій формі;
{Пункт 1 розділу II доповнено новим підпунктом 33 згідно з Постановою Національного банку № 11 від 21.01.2020}
34) система роздрібних платежів - платіжна система, яка призначена для здійснення переказів коштів за операціями, які ініціюються юридичними та фізичними особами із застосуванням електронних платіжних засобів та обробляються на кліринговій основі;
35) системний ризик - ризик того, що неспроможність одного з учасників платіжної системи та/або оператора послуг платіжної інфраструктури виконати свої зобов'язання або порушення безперервності діяльності самої платіжної системи призведе до порушення діяльності учасників платіжної системи, інших установ або функціонування фінансової системи в цілому;
36) спільний оверсайт платіжних систем - діяльність, що здійснює Національний банк разом із центральними банками інших держав щодо оверсайта за міжнародними платіжними системами;
37) транскордонний переказ коштів - рух певної суми коштів в Україну або за її межі з метою її зарахування на рахунок отримувача або видачі йому в готівковій формі;
38) управління операційним ризиком - постійна діяльність платіжної організації платіжної системи щодо оцінки операційного ризику, визначення його допустимого рівня та застосування заходів контролю з метою забезпечення безперервності діяльності платіжної системи;
39) штатний режим діяльності платіжної системи - функціонування платіжної системи в повному обсязі за стандартними для цієї платіжної системи регламентом та технологією виконання операцій.
2. Інші терміни в цьому Положенні вживаються відповідно до визначень, наведених у законодавстві України.
III. Моніторинг платіжних систем
1. Національний банк здійснює моніторинг платіжних систем шляхом збору, систематизації та аналізу інформації щодо дільності об'єктів оверсайта, у тому числі щодо статистичних показників діяльності та їх динаміки.
{Пункт 1 розділу III в редакції Постанови Національного банку № 11 від 13.02.2017}
2. Національний банк здійснює моніторинг платіжних систем на підставі, зокрема:
1) статистичних звітів та іншої інформації, яка подається об'єктами оверсайта до Національного банку відповідно до законодавства України;
{Підпункт 1 пункту 2 розділу III в редакції Постанови Національного банку № 11 від 13.02.2017}
2) інформації, отриманої на запит Національного банку;
3) інформації щодо діяльності об'єктів оверсайта, отриманої під час здійснення перевірок;
{Пункт 2 розділу III доповнено новим підпунктом 3 згідно з Постановою Національного банку № 11 від 13.02.2017; із змінами, внесеними згідно з Постановою Національного банку № 139 від 22.11.2019}
4) інформації, отриманої від третіх осіб, у тому числі від органів державної влади та користувачів платіжної системи.
3. Національний банк для здійснення моніторингу платіжних систем вимагає від осіб, які є об'єктами оверсайта, надання інформації та документів за показниками, визначеними в пунктах 5 та 7 цього розділу, шляхом направлення відповідного запиту.
4. Платіжна організація платіжної системи зобов'язана надавати на запит Національного банку інформацію, визначену в пунктах 5 та 7 цього розділу:
1) платіжна організація платіжної системи, створеної резидентом України, - засобами системи електронної пошти Національного банку;
2) платіжна організація платіжної системи, створеної нерезидентом України, - засобами поштового зв'язку.
5. Національний банк здійснює моніторинг платіжних систем за такими показниками їх діяльності:
1) обсяги та види операцій, виконані в платіжній системі, та їх частка в загальному обсязі операцій, здійснених у країні системами відповідного виду за визначений період;
2) кількість учасників платіжної системи в розрізі їх видів (резидент/нерезидент, банк/небанківська фінансова установа, прямий/непрямий учасник платіжної системи тощо);
3) частка операцій окремих учасників платіжної системи у загальному обсязі операцій, що виконуються в платіжній системі;
4) обсяги та види операцій, виконані в платіжній системі за участю операторів послуг платіжної інфраструктури, у розрізі видів послуг;
5) вартість послуг, що надаються користувачам платіжної системи.
Національний банк здійснює моніторинг системно важливої платіжної системи відповідно до системи показників, установлених ним у своїх внутрішніх документах.
{Пункт 5 розділу III доповнено новим абзацом згідно з Постановою Національного банку № 11 від 21.01.2020}
6. Національний банк здійснює моніторинг платіжних систем щодо інших показників діяльності платіжної системи залежно від специфіки її діяльності, попередньо повідомивши платіжну організацію платіжної системи про перелік цих показників і про необхідність отримувати і зберігати зазначені показники під час роботи платіжної системи.
7. Національний банк має право вимагати від операторів послуг платіжної інфраструктури надання інформації щодо видів послуг та обсягів операцій, здійснених ними за період та в термін, що зазначені в запиті.
8. Національний банк розміщує на сторінках офіційного Інтернет-представництва Національного банку не рідше двох разів на рік інформацію про результати моніторингу платіжних систем, зокрема щодо:
кількості платіжних систем та їх учасників;
обсягів операцій (кількість та сума), здійснених з використанням платіжних систем.
{Пункт 8 розділу III в редакції Постанови Національного банку № 747 від 28.10.2015}
9. Національний банк за результатами моніторингу з метою забезпечення безперервного, надійного та ефективного функціонування платіжних систем має право надавати рекомендації об'єктам оверсайта щодо вдосконалення їх діяльності.
{Розділ III доповнено новим пунктом 9 згідно з Постановою Національного банку № 61 від 07.06.2018}
IV. Визначення важливості об'єктів оверсайта
{Заголовок розділу IV в редакції Постанови Національного банку № 11 від 21.01.2020}
1. Національний банк за результатами моніторингу платіжних систем та відповідно до критеріїв важливості, установлених у пунктах 2-5 розділу IV цього Положення, визначає важливість платіжних систем та операторів послуг платіжної інфраструктури у лютому за підсумками їх діяльності протягом попереднього року.
{Пункт 1 розділу IV в редакції Постанов Національного банку № 11 від 13.02.2017, № 11 від 21.01.2020}
2. Національний банк визнає платіжну систему системно важливою платіжною системою в разі її відповідності хоча б одному з таких критеріїв важливості платіжної системи:
1) платіжна система забезпечує проведення міжбанківських переказів, частка яких становить більше ніж 10% від загальної суми переказів, виконаних у країні системами міжбанківських розрахунків та через кореспондентські рахунки банків, відкриті в інших банках України;
2) платіжна система здійснює перекази коштів за правочинами з державними цінними паперами на відкритому ринку;
3) платіжна система забезпечує врегулювання зобов'язань учасників, які виникають в інших платіжних системах.
3. Національний банк визнає платіжну систему соціально важливою платіжною системою в разі її відповідності хоча б одному з таких критеріїв важливості платіжної системи:
1) платіжна система здійснює внутрішньодержавні перекази коштів та транскордонні перекази коштів, частка яких перевищує 10% від загальної суми переказів, виконаних системами переказу коштів, створених резидентами та нерезидентами;
2) платіжна система здійснює операції з використанням електронних платіжних засобів, частка яких перевищує 10% від загальної суми операцій, виконаних системами роздрібних платежів на території України.
4. Національний банк визнає платіжну систему важливою платіжною системою в разі її відповідності хоча б одному з таких критеріїв важливості платіжної системи:
1) платіжна система забезпечує проведення міжбанківських переказів, частка яких становить від 5 до 10% від загальної суми переказів, виконаних у країні системами міжбанківських розрахунків та через кореспондентські рахунки банків, відкриті в інших банках України;
2) платіжна система здійснює внутрішньодержавні перекази коштів та транскордонні перекази коштів, частка яких становить від 5 до 10% від загальної суми переказів, виконаних системами переказу коштів, створеними резидентами та нерезидентами;
3) платіжна система здійснює операції з використанням електронних платіжних засобів, частка яких становить від 5 до 10% від загальної суми операцій, виконаних системами роздрібних платежів на території України;
4) платіжна система здійснює внутрішньодержавні перекази коштів, частка яких становить більше ніж 5% від загальної суми внутрішньодержавних переказів коштів, виконаних системами переказу коштів, створеними резидентами та нерезидентами;
5) платіжна система здійснює транскордонні перекази коштів, частка яких становить більше ніж 5% від загальної суми транскордонних переказів, виконаних системами переказу коштів, створеними резидентами та нерезидентами.
Національний банк має право визнати платіжну систему, що є єдиною на ринку за видом послуг, які надаються з її використанням, важливою платіжною системою.
5. Національний банк визнає оператора послуг платіжної інфраструктури значущим, якщо він обробляє більше 10% операцій (за кількістю та/або сумою), оброблених операторами послуг платіжної інфраструктури-резидентами у платіжних системах, внесених Національним банком до Реєстру.
{Пункт 5 розділу IV в редакції Постанов Національного банку № 747 від 28.10.2015, № 11 від 21.01.2020}
6. Рішення про визнання платіжної системи системно важливою, соціально важливою або важливою, а також оператора послуг платіжної інфраструктури значущим та/або про визнання платіжної системи/оператора послуг платіжної інфраструктури такими, що більше не відповідають встановленим критеріям важливості, приймає Комітет з питань нагляду та регулювання діяльності банків, оверсайту платіжних систем.
{Пункт 6 розділу IV в редакції Постанови Національного банку № 11 від 21.01.2020}
7. Національний банк протягом 15 календарних днів після визнання платіжної системи системно важливою, соціально важливою або важливою платіжною системою, а також оператора послуг платіжної інфраструктури значущим або такими, що більше не відповідають встановленим критеріям важливості:
1) уносить відповідну інформацію до Реєстру та оприлюднює на сторінках офіційного Інтернет-представництва Національного банку;
2) надсилає платіжній організації платіжної системи (крім платіжної системи, створеної Національним банком) або її представництву в Україні письмове повідомлення про відповідність платіжної системи критеріям важливості платіжних систем або про визнання платіжної системи такою, що більше не відповідає встановленим критеріям важливості платіжних систем.
У повідомленні про відповідність платіжної системи критеріям важливості платіжних систем зазначаються:
дата визнання платіжної системи системно важливою, соціально важливою або важливою платіжною системою;
категорія важливості платіжної системи;
необхідність виконання вимог цього Положення;
3) надсилає оператору послуг платіжної інфраструктури письмове повідомлення про відповідність його діяльності критеріям важливості або про визнання його таким, що більше не відповідає встановленим критеріям важливості.
У повідомленні про відповідність оператора послуг платіжної інфраструктури критеріям важливості зазначаються:
дата визнання оператора послуг платіжної інфраструктури значущим;
інформація про відповідність встановленим критеріям важливості;
необхідність виконання вимог цього Положення.
{Пункт 7 розділу IV в редакції Постанови Національного банку № 11 від 21.01.2020}
8. Національний банк має право після визнання міжнародної платіжної системи, створеної нерезидентом, значущою платіжною системою надіслати центральному банку країни, резидентом якої є платіжна організація цієї платіжної системи, письмовий запит для отримання інформації про оцінювання цієї платіжної системи на відповідність міжнародним стандартам оверсайта платіжних систем.
{Пункт 8 розділу IV в редакції Постанови Національного банку № 11 від 21.01.2020}
9. Платіжна організація платіжної системи, яку визнано системно важливою, зобов'язана виконати вимоги, установлені в пунктах 7-11 розділу V, розділах VI-XI та пункті 1 розділу XII цього Положення.
Платіжна організація платіжної системи, яку визнано соціально важливою, зобов'язана виконати вимоги, установлені в пунктах 7-10 розділу V, розділах VI-XI та пункті 2 розділу XII цього Положення.
Платіжна організація платіжної системи, яку визнано важливою, зобов'язана виконати вимоги, установлені в пунктах 7-10 розділу V, розділах VI-XI цього Положення.
Вимоги, визначені у розділах VI-X цього Положення, поширюються на платіжні системи, які на момент прийняття Національним банком рішення про визнання їх значущими платіжними системами мають не менше трьох прямих учасників (включаючи платіжну організацію платіжної системи, що виконує функції учасника у цій платіжній системі).
{Розділ IV доповнено новим пунктом 9 згідно з Постановою Національного банку № 11 від 13.02.2017; в редакції Постанови Національного банку № 11 від 21.01.2020}
10. Платіжна організація значущої платіжної системи зобов'язана виконати вимоги, передбачені в пункті 9 розділу IV цього Положення, протягом 90 календарних днів із дня надсилання Національним банком письмового повідомлення про відповідність платіжної системи критеріям важливості платіжних систем.
{Розділ IV доповнено новим пунктом 10 згідно з Постановою Національного банку № 11 від 13.02.2017; в редакції Постанови Національного банку № 11 від 21.01.2020}
11. Платіжна організація платіжної системи, яка на момент прийняття Національним банком рішення про визнання її значущою має менше трьох прямих учасників, зобов'язана виконати вимоги, установлені у розділах VI-X цього Положення, протягом 90 календарних днів із дня внесення Національним банком до Реєстру відомостей про прямого учасника платіжної системи, включення якого збільшує кількість прямих учасників платіжної системи щонайменше до трьох.
{Розділ IV доповнено новим пунктом згідно з Постановою Національного банку № 747 від 28.10.2015; в редакції Постанови Національного банку № 11 від 21.01.2020}
12. Оператор послуг платіжної інфраструктури, якого визнано значущим, зобов'язаний протягом 90 календарних днів із дня надсилання Національним банком письмового повідомлення про відповідність його діяльності критеріям важливості виконати вимогу, установлену в пункті 12 розділу V, та здійснити заходи, визначені в пункті 6 розділу XIII цього Положення, а також забезпечити належний контроль за їх виконанням.
{Розділ IV доповнено новим пунктом згідно з Постановою Національного банку № 747 від 28.10.2015; в редакції Постанови Національного банку № 11 від 21.01.2020}
13. Національний банк має право на підставі обґрунтованого клопотання платіжної організації платіжної системи/оператора послуг платіжної інфраструктури прийняти рішення про збільшення строку виконання вимог, передбачених у пунктах 10-12 розділу IV цього Положення, на строк, що не може перевищувати 90 календарних днів.
{Пункт 13 розділу IV в редакції Постанови Національного банку № 11 від 21.01.2020}
V. Вимоги до документів об'єктів оверсайта, що підтверджують виконання вимог цього Положення
1. Об'єкт оверсайта зобов'язаний надавати на вимогу Національного банку документи, що підтверджують виконання вимог, установлених у розділі V цього Положення, у строк до 30 календарних днів від дати запиту Національного банку.
2. Платіжна організація платіжної системи-резидент зобов'язана виконати вимоги розділу V цього Положення шляхом доопрацювання правил платіжної системи/внутрішніх/статутних документів платіжної організації платіжної системи (далі - документи платіжної системи).
3. Документи, що подаються до Національного банку відповідно до вимог розділу V цього Положення, повинні бути затверджені керівником об'єкта оверсайта, його заступником або керівним органом об'єкта оверсайта, якщо законодавством України не встановлено інше, та оформлені з урахуванням вимог, визначених у пункті 10 розділу I цього Положення.
4. Платіжна організація платіжної системи зобов'язана здійснювати постійний контроль за відповідністю документів платіжної системи, договорів та інших правочинів законодавству України.
5. Платіжна організація платіжної системи-резидент зобов'язана визначити у документах платіжної системи:
1) момент остаточності розрахунків;
2) порядок здійснення контролю за дотриманням учасниками платіжної системи вимог правил платіжної системи та вимог до учасників платіжної системи, установлених іншими документами платіжної системи, що розроблені/доопрацьовані платіжною організацією на виконання вимог цього Положення.
6. Платіжна організація платіжної системи-резидент та учасник платіжної системи зобов'язані встановити у своїх документах порядок:
1) зберігання паперових та електронних документів на переказ коштів, а також створення архівів електронних документів відповідно до законодавства України;
2) забезпечення безперервності діяльності платіжної системи відповідно до організаційних та технічних заходів, передбачених у підпунктах 1-6 пункту 6 розділу XIII цього Положення.
7. Платіжна організація значущої платіжної системи-резидент, що має більше трьох прямих учасників (включаючи платіжну організацію платіжної системи, що виконує функції учасника у цій платіжній системі), зобов'язана визначити в документах платіжної системи:
1) цілі та завдання діяльності платіжної системи, включаючи забезпечення безперервності діяльності платіжної системи та планові операційні показники діяльності платіжної системи (кількість та сума операцій; час, необхідний для оброблення трансакцій);
2) механізми регулярного контролю за відповідністю результатів діяльності платіжної системи поставленим цілям та завданням;
3) склад, обов'язки, повноваження, порядок діяльності керівних органів платіжної системи, відповідальність керівних органів та їх членів;
4) обов'язки, повноваження, відповідальність, порядок звітування керівним органам особи(іб) та/або підрозділу(ів), відповідальної(их) за управління ризиками, що виникають у платіжній системі, включаючи функції і обов'язки працівників, відповідальних за управління операційним ризиком, та їх розподіл;
5) порядок внутрішнього контролю за управлінням ризиками;
6) порядок звітування особою(ами) та/або підрозділом(ами), відповідальним(ими) за управління ризиками та забезпечення інформаційної безпеки в платіжній системі, перед керівними органами платіжної організації значущої платіжної системи;
7) порядок вирішення конфліктів інтересів (за наявності) між заінтересованими особами та платіжною організацією платіжної системи під час прийняття нею рішень;
8) порядок контролю за відповідністю досягнутих результатів діяльності платіжної системи поставленим цілям та завданням діяльності платіжної системи;
9) механізми контролю, заходи щодо управління, моніторингу, мінімізації та усунення наслідків впливу ризиків, на які наражається у своїй діяльності, та/або які спричиняє платіжна система:
кредитного ризику, ризику ліквідності, загального комерційного ризику, депозитарного ризику, інвестиційного ризику (далі - фінансові ризики);
операційного ризику, включаючи кіберризик;
інших ризиків, які платіжна організація значущої платіжної системи має право визначати як такі, що притаманні діяльності платіжної системи;
10) вимоги до розрахункового(их) банку(ів), з яким (якими) вона взаємодіє (крім Національного банку);
11) правила та порядок зменшення правового ризику, що виникає, якщо платіжна система або її учасники є суб'єктом права різних юрисдикцій;
12) відповідальність сторін та порядок дій, включаючи здійснення розрахунків, використання ресурсів та покриття втрат, у разі невиконання зобов'язання учасником платіжної системи;
13) порядок відновлення ліквідності;
14) порядок забезпечення безперервності діяльності платіжної системи відповідно до організаційних та технічних заходів, передбачених у підпунктах 7-14 пункту 6 розділу XIII цього Положення;
15) заходи, спрямовані на реалізацію вимог щодо досягнення кіберстійкості платіжної системи, передбачених у пункті 1 розділу XI цього Положення, і забезпечити їх перегляд не рідше одного разу на рік.
8. Платіжна організація значущої платіжної системи-резидент, у якій передбачена багаторівнева структура участі, зобов'язана встановити в документах платіжної системи вимогу до прямих учасників платіжної системи щодо надання платіжній організації платіжної системи не рідше двох разів на рік інформації про:
1) надання повноважень на здійснення діяльності в платіжній системі непрямим учасникам платіжної системи та іншим прямим учасникам, яким платіжною організацією платіжної системи надано право проводити розрахунки за операціями інших учасників у цій платіжній системі (для карткових платіжних систем);
2) непрямих учасників платіжної системи та/або прямих учасників, яким платіжною організацією платіжної системи надано право проводити розрахунки за операціями інших учасників у цій платіжній системі, обсяги трансакцій яких протягом 180 календарних днів більші, ніж обсяги трансакцій, здійснених за аналогічний період прямими учасниками платіжної системи, через яких здійснюються розрахунки в платіжній системі;
3) відповідальність прямого та непрямого учасника платіжної системи за остаточність розрахунку за трансакціями, що здійснюються прямим учасником платіжної системи за дорученням непрямого учасника платіжної системи, та порядок оброблення цих трансакцій у разі невиконання зобов'язань прямим та/або непрямим учасником платіжної системи.
Обсяг інформації, передбаченої у підпункті 2 пункту 8 розділу V цього Положення, визначається платіжною організацією платіжної системи.
9. Платіжна організація значущої платіжної системи-резидент зобов'язана розробити план заходів із забезпечення безперервності діяльності платіжної системи (далі - План заходів), що затверджується керівним органом платіжної організації платіжної системи.
1) порядок відновлення безперервності діяльності платіжної системи в разі виникнення надзвичайної ситуації;
2) технологію виконання операцій в надзвичайній ситуації;
3) строк відновлення безперервності діяльності платіжної системи та момент її відновлення;
4) порядок повідомлення заінтересованих осіб про виникнення надзвичайної ситуації;
5) порядок взаємодії та комунікацій в надзвичайній ситуації між працівниками платіжної організації платіжної системи, а також платіжною організацією платіжної системи та заінтересованими особами;
6) порядок дій щодо забезпечення виконання/надання критичних операцій/послуг у разі відмови телекомунікаційних мереж та/або окремих складових програмно-технічного забезпечення;
7) функції та відповідальність працівників, які забезпечують виконання/надання критичних операцій/послуг, у разі виникнення надзвичайної ситуації;
8) порядок формування, склад, завдання та функції тимчасової структурної одиниці платіжної організації платіжної системи, що формується на час надзвичайної ситуації та ліквідації її наслідків і відповідає за реалізацію Плану заходів;
9) потенційні внутрішні та зовнішні загрози для діяльності платіжної системи та можливий їх вплив;
10) критерії класифікації операцій/послуг, що виконуються/надаються платіжною системою за ступенем їх критичності;
11) критерії віднесення прямих, непрямих учасників платіжної системи та операторів послуг платіжної інфраструктури (за їх наявності) до тих, від яких платіжна організація платіжної системи критично залежить;
12) перелік критичних залежностей і критичних операцій/послуг платіжної системи, включаючи ті, що передано оператору послуг платіжної інфраструктури;
13) порядок реєстрації та аналізу операційних проблем та фактів порушення безперервності діяльності платіжної системи;
14) порядок дій щодо блокування/знищення критичних засобів захисту інформації в надзвичайній ситуації та розгортання системи захисту інформації платіжної системи в резервній робочій зоні.
Інформація, що міститься в Плані заходів, крім тієї, що зазначена в пункті другому розділу XI цього Положення, є конфіденційною.
10. Платіжна організація значущої платіжної системи-резидент зобов'язана проводити перегляд і тестування Плану заходів не рідше одного разу на рік.
11. Платіжна організація системно важливої платіжної системи-резидент зобов'язана додатково передбачити в Плані заходів:
1) порядок використання резервної робочої зони;
2) порядок відновлення безперервності діяльності платіжної системи та роботи комп'ютерних систем у разі настання надзвичайної ситуації, з урахуванням вимоги, визначеної в підпункті 2 пункту 1 розділу XII цього Положення;
3) порядок забезпечення безперервного виконання/надання критичних операцій/послуг.
12. Значущий оператор послуг платіжної інфраструктури зобов'язаний визначати у своїх документах порядок забезпечення безперервності діяльності відповідно до організаційних та технічних заходів, передбачених у пункті 6 розділу XIII цього Положення.
13. Національний банк у разі невідповідності документів об'єктів оверсайта вимогам цього Положення має право надіслати листа з вимогою щодо усунення порушення вимог законодавства України (далі - письмова вимога) у порядку, установленому нормативно-правовими актами, що визначають порядок пред'явлення Національним банком вимог до об'єктів оверсайта щодо усунення порушень законодавства України та застосування до них заходів впливу.
14. Національний банк у разі ненадання, несвоєчасного надання документів та/або надання завідомо недостовірної інформації об'єктами оверсайта застосовує до них заходи впливу в порядку, установленому нормативно-правовими актами, що визначають порядок пред'явлення Національним банком вимог до об'єктів оверсайта щодо усунення порушень законодавства України та застосування до них заходів впливу.
15. Національний банк визначає інформацію, зазначену в розділі V цього Положення, щодо платіжних систем, платіжною організацією яких він є, у документах цих платіжних систем.
{Положення доповнено новим розділом V згідно з Постановою Національного банку № 11 від 21.01.2020}
VI. Вимоги до платіжної організації значущої платіжної системи щодо управління та організації діяльності
{Пункт 1 розділу VI виключено на підставі Постанови Національного банку № 11 від 21.01.2020}
1. Платіжна організація значущої платіжної системи зобов'язана здійснювати контроль за відповідністю досягнутих результатів діяльності платіжної системи поставленим цілям та завданням не рідше одного разу на рік.
2. До складу керівних органів платіжної організації значущої платіжної системи мають право входити дієздатні фізичні особи, які мають бездоганну ділову репутацію, вищу освіту та управлінський досвід не менше одного року.
3. Керівні органи платіжної організації значущої платіжної системи зобов'язані забезпечити, зокрема:
1) відповідність діяльності платіжної системи її завданням та цілям;
2) ефективне управління ризиками в платіжній системі та необхідні для цього ресурси;
3) повноту, достовірність та своєчасність надання інформації органам державної влади, власникам платіжної організації платіжної системи, учасникам платіжної системи та іншим заінтересованим особам;
4) внутрішній контроль за управлінням ризиками, у тому числі щодо захисту від зловживань інформацією з обмеженим доступом;
5) оцінку ефективності процесів управління;
6) відповідність системи захисту інформації платіжної системи законодавству України.
4. Керівні органи платіжної організації значущої платіжної системи зобов'язані призначити особу(іб) та/або підрозділ(и), відповідальну(их) за управління ризиками та забезпечення інформаційної безпеки в платіжній системі, та здійснювати нагляд за її діяльністю.
5. Платіжна організація значущої платіжної системи з метою ефективного управління ризиками зобов'язана забезпечити взаємодію особи(іб) або підрозділу(ів), відповідальної(их) за управління ризиками та забезпечення інформаційної безпеки в платіжній системі, з керівними органами та її(їх) незалежність.
VII. Вимоги до платіжної організації значущої платіжної системи щодо доступу та участі в платіжній системі
1. Платіжна організація значущої платіжної системи зобов'язана встановлювати умови членства в платіжній системі та висувати вимоги до учасників цієї платіжної системи щодо наявності необхідних операційних потужностей, фінансових ресурсів, юридичних повноважень, відповідності системи захисту інформації законодавству України, а також щодо вжиття заходів з метою запобігання виникненню ризику, що виходить за межі, установлені платіжною організацією значущої платіжної системи.
{Пункт 2 розділу VII виключено на підставі Постанови Національного банку № 11 від 21.01.2020}
2. Платіжна організація значущої платіжної системи зобов'язана виявляти тих учасників платіжної системи, діяльність яких не відповідає встановленим вимогам щодо участі в платіжній системі.
Платіжна організація значущої платіжної системи, крім Національного банку, зобов'язана письмово попереджати Національний банк та органи державної влади в межах їх компетенції про виявлення фактів недотримання учасниками платіжної системи встановлених вимог щодо участі в платіжній системі, що призводять або можуть призвести до виникнення ризику, що виходить за межі ризиків, установлені платіжною організацією платіжної системи.
{Пункт 3 розділу VII виключено на підставі Постанови Національного банку № 11 від 21.01.2020}
3. Платіжна організація значущої платіжної системи, організаційною структурою якої передбачена багаторівнева структура участі, зобов'язана:
1) ідентифікувати додатковий кредитний ризик та ризик ліквідності, що можуть виникати внаслідок багаторівневої структури участі, та здійснювати їх аналіз не рідше одного разу на рік та після змін у правилах платіжної системи щодо організаційної структури;
{Підпункт 1 пункту розділу із змінами, внесеними згідно з Постановами Національного банку № 747 від 28.10.2015, № 11 від 21.01.2020}
{Підпункт 2 пункту 3 розділу VII виключено на підставі Постанови Національного банку № 11 від 21.01.2020}
2) забезпечити, щоб невиконання зобов'язань прямим та/або непрямим учасником платіжної системи не впливало на остаточність розрахунків непрямих учасників платіжної системи.
4. Платіжна організація значущої платіжної системи, у якій передбачена багаторівнева структура участі, має право встановлювати умови, після виконання яких непрямий учасник платіжної системи зобов'язаний стати прямим учасником платіжної системи та привести свою діяльність у відповідність до вимог щодо умов участі, визначених платіжною організацією платіжної системи.
VIII. Загальні вимоги до платіжної організації значущої платіжної системи щодо системи управління ризиками у значущій платіжній системі
{Пункт 1 розділу VIII виключено на підставі Постанови Національного банку № 11 від 21.01.2020}
1. Платіжна організація значущої платіжної системи зобов'язана регулярно:
1) аналізувати ризики, які виникають у діяльності платіжної системи та які можуть призвести до виникнення ризиків у діяльності інших осіб, у тому числі учасників платіжної системи, розрахунковий(і) банк(и) (за наявності), операторів послуг платіжної інфраструктури тощо, та встановлювати допустимі межі ризиків;
2) виявляти внутрішні та зовнішні загрози, що можуть спричинити виникнення ризиків у платіжній системі, та їх джерела;
3) забезпечувати звітування особи(іб) та/або підрозділу(ів), відповідальної(их) за управління ризиками та забезпечення інформаційної безпеки в платіжній системі, про результати аналізу роботи перед керівними органами платіжної організації платіжної системи.
2. Платіжна організація значущої платіжної системи зобов'язана вживати заходів щодо мінімізації та усунення наслідків впливу ризиків, що виникають у платіжній системі.
{Розділ IX виключено на підставі Постанови Національного банку № 11 від 21.01.2020}
IX. Вимоги до платіжної організації значущої платіжної системи щодо управління фінансовими ризиками у значущій платіжній системі
1. Платіжна організація значущої платіжної системи зобов'язана здійснювати кількісну оцінку, моніторинг, управління та контроль за фінансовими ризиками.
{Пункт 2 розділу IX виключено на підставі Постанови Національного банку № 11 від 21.01.2020}
2. Платіжна організація значущої платіжної системи, що здійснює відкладені нетто-розрахунки, зобов'язана в надзвичайній ситуації забезпечити покриття найбільшого сукупного кредитного ризику двох прямих учасників платіжної системи, з урахуванням кредитного ризику непрямих учасників платіжної системи, за дорученням яких діють зазначені прямі учасники платіжної системи.
Платіжна організація платіжної системи, що залучає для здійснення розрахунків у платіжній системі розрахунковий(і) банк(и), зобов'язана вимагати від нього(них) виконання вимог цього пункту.
{Абзац другий пункту 2 розділу IX із змінами, внесеними згідно з Постановою Національного банку № 11 від 21.01.2020}
3. Платіжна організація значущої платіжної системи зобов'язана диверсифікувати ліквідні активи за джерелами їх надходження та регулярно перевіряти доступність ліквідних активів.
4. Платіжна організація значущої платіжної системи, у якій передбачено розподіл непокритого дефіциту ліквідності між учасниками платіжної системи, зобов'язана узгодити з учасниками платіжної системи порядок розподілу непокритого дефіциту ліквідності між учасниками платіжної системи та довести його до відома учасників платіжної системи.
5. Платіжна організація значущої платіжної системи зобов'язана контролювати свої грошові потоки та операційні витрати.
6. Платіжна організація значущої платіжної системи не має права вкладати активи учасників платіжної системи у цінні папери учасників платіжної системи як прямих, так і непрямих та цінні папери їх афілійованих осіб.
7. Платіжна організація значущої платіжної системи не має права використовувати активи учасників платіжної системи для власної комерційної діяльності, у тому числі для надання кредитів.
8. Платіжна організація значущої платіжної системи зобов'язана не рідше одного разу на рік аналізувати потенційні зміни доходів та операційних витрат, а також можливість виникнення значних разових збитків, за умови підвищення загального комерційного ризику.
9. Платіжна організація значущої платіжної системи, що здійснює розрахунки через розрахунковий(і) банк(и), зобов'язана контролювати концентрацію поточного та потенційного майбутнього кредитних ризиків та ризику ліквідності, на які вона наражається в результаті такої взаємодії.
10. Платіжна організація значущої платіжної системи має право вимагати забезпечення від учасників платіжної системи для управління кредитним ризиком.
Платіжна організація значущої платіжної системи, що вимагає забезпечення, зобов'язана:
1) приймати у забезпечення тільки активи з низьким рівнем кредитного ризику, ризику ліквідності та ринкового ризику;
2) здійснювати аналіз потенційних змін вартості забезпечення та ринкової ситуації;
3) диверсифікувати активи, які вона приймає як забезпечення;
4) мінімізувати ризики, пов'язані з використанням активів, прийнятих у забезпечення, що виражені в іноземній валюті та/або розміщені за межами України, та/або емітовані нерезидентом України.
X. Вимоги до платіжної організації значущої платіжної системи щодо управління розрахунковим ризиком у значущій платіжній системі
{Пункт 1 розділу X виключено на підставі Постанови Національного банку № 11 від 21.01.2020}
1. Платіжна організація значущої платіжної системи зобов'язана:
1) забезпечувати своєчасний остаточний розрахунок;
2) використовувати для розрахунків активи з мінімальним або нульовим кредитним ризиком та ризиком ліквідності.
2. Платіжна організація значущої платіжної системи, що уклала договір про здійснення розрахунків у платіжній системі з розрахунковим(и) банком(ами), зобов'язана узгодити строк здійснення остаточного розрахунку розрахунковим(и) банком(ами).
3. Платіжна організація значущої платіжної системи, що здійснює транскордонні перекази, зобов'язана забезпечувати своєчасний та ефективний обмін інформацією в платіжній системі з урахуванням міжнародних стандартів (правил та форматів передавання повідомлень і контрольних даних для ідентифікації фінансових інструментів, контрагентів тощо).
4. Платіжна організація значущої платіжної системи має право здійснювати розрахунки в платіжній системі самостійно з урахуванням вимог законодавства України або через один чи більше розрахункових банків.
XI. Вимоги до платіжної організації значущої платіжної системи щодо управління операційним ризиком у значущій платіжній системі. Забезпечення безперервності діяльності значущої платіжної системи
1. Платіжна організація значущої платіжної системи-резидент для забезпечення кіберстійкості платіжної системи зобов'язана:
1) установити чіткий розподіл функцій, обов'язків, повноважень та відповідальності за забезпечення кіберстійкості платіжної системи та забезпечити належний рівень управління цим процесом;
2) аналізувати специфіку діяльності платіжної системи (операції/послуги, процеси, інформацію, персонал) і зовнішні взаємозв'язки та залежності, що можуть становити загрозу для кіберстійкості платіжної системи, за ступенем їх критичності для діяльності платіжної системи у разі кіберінциденту та/або кібератаки на неї;
3) вживати заходів для забезпечення захисту, виявлення, реагування на кіберзагрози, кібератаки та кіберінциденти, що можуть мати вплив на здійснення/надання критичних операцій/послуг платіжної системи, та оперативного відновлення після них;
4) вживати заходів для підвищення рівня обізнаності персоналу, що забезпечує діяльність платіжної системи, щодо наявних та потенційних кіберзагроз, що можуть мати вплив на безперервність діяльності платіжної системи, процедур повідомлення про виникнення кіберінцидентів і кібератак та реагування на них;
5) забезпечувати навчання та підвищення кваліфікації працівників, на яких покладено обов'язки, пов'язані з управлінням операційним ризиком та забезпеченням кіберстійкості платіжної системи;
6) здійснювати тестування ефективності заходів, передбачених платіжною організацією платіжної системи для забезпечення кіберстійкості платіжної системи не рідше одного разу на рік.
{Пункт 1 розділу XI в редакції Постанови Національного банку № 11 від 21.01.2020}
2. Платіжна організація значущої платіжної системи зобов'язана повідомити заінтересованим особам інформацію про порядок:
1) повідомлення заінтересованих осіб про виникнення надзвичайної ситуації;
2) взаємодії та комунікацій у надзвичайній ситуації між працівниками платіжної організації платіжної системи, а також платіжною організацією платіжної системи та заінтересованими особами;
3) дій щодо забезпечення виконання/надання критичних операцій/послуг у разі відмови телекомунікаційних мереж та/або окремих складових програмно -технічного забезпечення.
У разі оновлення інформації, зазначеної в цьому пункті, платіжна організація значущої платіжної системи зобов'язана повідомити заінтересованим особам оновлену інформацію не пізніше ніж через 15 календарних днів після затвердження змін до Плану заходів.
3. Платіжна організація значущої платіжної системи зобов'язана забезпечити незалежність виконання функцій та обов'язків щодо реалізації Плану заходів від конкретних працівників платіжної організації платіжної системи.
{Пункт 4 розділу XI виключено на підставі Постанови Національного банку № 11 від 21.01.2020}
{Пункт 5 розділу XI виключено на підставі Постанови Національного банку № 11 від 21.01.2020}
4. Платіжна організація значущої платіжної системи зобов'язана створити постійно діючу структурну одиницю або визначити посадову особу, у положенні/посадовій інструкції якої визначені обов'язки та відповідальність за розроблення, перегляд, оновлення та тестування Плану заходів.
5. Платіжна організація значущої платіжної системи зобов'язана в надзвичайній ситуації забезпечити створення тимчасової структурної одиниці, що формується на час надзвичайної ситуації та ліквідації її наслідків та відповідає за реалізацію Плану заходів, у тому числі проведення консультацій із заінтересованими особами та повідомлення про виникнення надзвичайної ситуації.
6. Платіжна організація платіжної системи має право визнати учасника значущої платіжної системи таким, від якого вона критично залежить та за потреби встановити до такого учасника платіжної системи додаткові вимоги щодо управління ризиками в платіжній системі, про що повідомляє цього учасника протягом п'яти робочих днів з моменту такого визнання.
{Пункт розділу в редакції Постанови Національного банку № 61 від 07.06.2018}
{Пункт 9 розділу виключено на підставі Постанови Національного банку № 11 від 13.02.2017}
7. Платіжна організація значущої платіжної системи зобов'язана забезпечувати наявність зв'язку для взаємодії між працівниками платіжної організації платіжної системи, а також між платіжною організацією платіжної системи та заінтересованими особами під час надзвичайної ситуації.
8 Платіжна організація значущої платіжної системи зобов'язана вести, постійно оновлювати та мати в наявності контактну інформацію про працівників, які забезпечують виконання/надання критичних операцій/послуг платіжної системи, а також контактних осіб заінтересованих осіб, у тому числі з їх резервних робочих зон (за їх наявності).
9. Платіжна організація значущої платіжної системи зобов'язана в разі настання надзвичайної ситуації мінімізувати передавання інформації фіксованим зв'язком і рухомим (мобільним) зв'язком, передбачити можливість передавання інформації через альтернативні канали зв'язку.
{Пункт 12 розділу виключено на підставі Постанови Національного банку № 11 від 13.02.2017}
10. Платіжна організація значущої платіжної системи для забезпечення безперервності діяльності повинна здійснювати організаційні та технічні заходи, визначені в пункті 6 розділу XIII цього Положення, та забезпечити належний контроль за їх виконанням.
{Розділ доповнено новим пунктом згідно з Постановою Національного банку № 61 від 07.06.2018}
XII. Додаткові вимоги до платіжної організації системно важливої та соціально важливої платіжної системи
1. Платіжна організація системно важливої платіжної системи зобов'язана:
1) здійснювати розрахунки в режимі реального часу або забезпечувати завершення розрахунків упродовж операційного дня, у тому числі в надзвичайній ситуації;
2) відновити виконання/надання критичних операцій/послуг не пізніше ніж через дві години після виникнення події, що викликала настання надзвичайної ситуації;
3) забезпечувати наявність резервної робочої зони;
4) забезпечувати початок роботи резервної робочої зони одразу після виникнення надзвичайної ситуації, що несе загрозу для безперервності діяльності платіжної системи;
5) підтримувати в резервній робочій зоні достатні матеріальні та трудові ресурси до відновлення штатного режиму діяльності платіжної системи;
6) забезпечувати фізичну відокремленість каналів зв'язку основної та резервної робочих зон;
{Підпункт 7 пункту 1 розділу XII виключено на підставі Постанови Національного банку № 11 від 21.01.2020}
7) забезпечувати в надзвичайних ситуаціях надання послуг у платіжній системі на рівні, не нижчому, ніж планові показники операційної діяльності, визначені у внутрішніх документах.
2. Платіжна організація соціально важливої платіжної системи зобов'язана:
{Підпункт 1 пункту 2 розділу XII виключено на підставі Постанови Національного банку № 11 від 21.01.2020}
1) забезпечувати в надзвичайних ситуаціях надання послуг у платіжній системі на рівні, не нижчому, ніж планові операційні показники діяльності платіжної системи, визначені у документах платіжної системи;
{Підпункт 1 пункту 2 розділу XII із змінами, внесеними згідно з Постановою Національного банку № 11 від 21.01.2020}
2) інформувати заінтересованих осіб, а за потреби громадськість про основні рішення керівних органів платіжної організації платіжної системи.
XIII. Загальні вимоги до об'єктів оверсайта
{Заголовок розділу XIII в редакції Постанови Національного банку № 11 від 21.01.2020}
1. Платіжна організація платіжної системи (крім внутрішньобанківської платіжної системи), її учасники та оператори послуг платіжної інфраструктури, які надають послуги в цій платіжній системі, діють відповідно до правил цієї платіжної системи, інших документів платіжної системи та вимог законодавства з питань діяльності платіжних систем та переказу коштів.
{Пункт 1 розділу XIII в редакції Постанови Національного банку № 11 від 21.01.2020}
2. Платіжні організація платіжної систем-резидент, учасник платіжної системи зобов'язані вести реєстр пунктів приймання та виплати готівки, платіжних пристроїв та забезпечувати актуальність даних у ньому (у разі їх наявності).
{Пункт 2 розділу XIII в редакції Постанови Національного банку № 11 від 21.01.2020}
3. Платіжні організація платіжної систем-резидент зобов'язана забезпечити зберігання інформації про кожну операцію з переказу коштів, здійснену в платіжній системі, у системі обліку платіжної організації, а учасник платіжної системи - у системі обліку платіжної організації та учасника платіжної системи, у встановленому ними порядку, з можливістю відновлення даних про дату здійснення операції (із зазначенням годин, хвилин та секунд), ініціатора та отримувача переказу, місця ініціювання та виплати переказу, суму та валюту переказу коштів, форму розрахунків (готівкова чи безготівкова).
{Абзац перший пункту 3 розділу XIII в редакції Постанови Національного банку № 11 від 21.01.2020}
4. Платіжна організація платіжної системи зобов'язана доводити інформацію, отриману від Національного банку, що стосується надання послуг учасниками та операторами послуг платіжної інфраструктури, до їх відома для використання в роботі.
5. Платіжні організації платіжних систем-резиденти та учасники платіжних систем для забезпечення безперервності діяльності повинні здійснювати організаційні та технічні заходи, визначені в підпунктах 1 - 6 пункту 6 розділу XIII цього Положення, та забезпечити належний контроль за їх виконанням.
6. Організаційні та технічні заходи для забезпечення безперервності діяльності:
1) створення детальної схеми комплексу програмно-апаратних засобів із описом функціонального призначення та взаємозв'язку його компонентів;
2) визначення переліку критично важливих компонентів комплексу програмно-апаратних засобів та особливо важливих даних, необхідних для надання послуг, та запровадження політики їх резервування та відновлення;
3) забезпечення роботи критично важливих компонентів комплексу програмно-апаратних засобів джерелами безперебійного електроживлення;
4) здійснення резервного копіювання баз даних та інших особливо важливих даних;
5) забезпечення моніторингу всіх компонентів комплексу програмно-апаратних засобів, реєстрації та аналізу інцидентів, пов'язаних із порушенням безперервності діяльності;
6) забезпечення дотримання вимог законодавства України у сфері інтелектуальної власності під час використання програмного забезпечення на всіх компонентах комплексу програмно-апаратних засобів;
7) зберігання електронних архівів, архівів особливо важливих даних, а також програмних засобів, що необхідні для відновлення змісту баз даних, на зовнішніх носіях щонайменше в одному примірнику в приміщенні за основним місцезнаходженням та додатковий примірник у приміщенні (кімнаті), територіально віддаленому(ній) від основного;
8) здійснення аналізу можливих загроз безперервному функціонуванню комплексу програмно-апаратних засобів, забезпечення мінімізації їх можливого впливу та планування дій для випадків їх можливої реалізації;
9) розроблення інструкцій дій обслуговуючого персоналу щодо попередження порушень у разі настання надзвичайної ситуації та відновлення функціонування комплексу програмно-апаратних засобів, їх аналіз та перегляд не рідше одного разу на рік;
10) забезпечення наявності інструкцій із супроводження та експлуатації комплексу програмно-апаратних засобів;
11) навчання обслуговуючого персоналу супроводженню та експлуатації комплексу програмно-апаратних засобів і діям для відновлення його функціонування;
12) визначення порядку внесення змін до програмного забезпечення та конфігурації всіх компонентів комплексу програмно-апаратних засобів;
13) забезпечення обслуговування та технічної підтримки [надання консультацій користувачам (включаючи проблеми, що виникли під час експлуатації), ремонт та заміна непрацюючого обладнання, установлення оновлень/нових версій та виправлень помилок програмного забезпечення] усіх компонентів комплексу програмно-апаратних засобів;
14) забезпечення взаємодії та комунікацій у надзвичайній ситуації з користувачами та заінтересованими особами.
Вимоги до резервного копіювання баз даних та інших особливо важливих даних, а також інші вимоги щодо забезпечення безпеки електронних платежів та захисту даних визначаються іншими нормативно-правовими актами Національного банку.
7. Платіжна організація платіжної системи-резидент, учасник платіжної системи та оператори послуг платіжної інфраструктури після виникнення кожного порушення безперервності діяльності зобов'язані документально зафіксувати інформацію про:
{Абзац перший пункту 7 розділу XIII із змінами, внесеними згідно з Постановою Національного банку № 11 від 21.01.2020}
1) дату та час виникнення порушення безперервності діяльності платіжної системи;
2) тривалість порушення безперервності діяльності платіжної системи;
3) причини виникнення порушення безперервності діяльності платіжної системи;
4) види послуг, на безперервність яких вплинуло порушення;
5) заходи, ужиті для відновлення діяльності та недопущення надалі порушень безперервності діяльності платіжної системи, - для платіжної організації платіжної системи-резидента;
6) заходи, ужиті для відновлення діяльності та недопущення надалі порушень безперервності діяльності в платіжній системі, - для учасників платіжних систем та операторів послуг платіжної інфраструктури.
Платіжна організація платіжної системи-резидент, учасник платіжної системи та оператори послуг платіжної інфраструктури зобов'язані протягом трьох робочих днів після виникнення кожного порушення безперервності діяльності надавати Національному банку інформацію, зазначену в підпунктах 1 - 6 пункту 7 розділу XIII цього Положення.
{Абзац восьмий пункту 7 розділу XIII із змінами, внесеними згідно з Постановою Національного банку № 11 від 21.01.2020}
Інформація про порушення безперервності діяльності платіжної системи за наведеними в підпунктах 1-6 пункту 7 розділу XIII цього Положення показниками надсилається Національному банку засобами системи електронної пошти Національного банку (у разі підключення)/на офіційну електронну поштову скриньку Національного банку або на паперовому носії засобами поштового зв'язку (у разі неможливості у наслідок порушення безперервності діяльності платіжної системи направлення повідомлення засобами системи електронної пошти Національного банку).
{Абзац дев'ятий пункту 7 розділу XIII в редакції Постанови Національного банку № 11 від 21.01.2020}
Національний банк визначає порядок обміну інформацією щодо порушення безперервності діяльності створених ним платіжних систем, для здійснення їх оверсайта у документах цих платіжних систем.
{Пункт 7 розділу XIII доповнено новим абзацом згідно з Постановою Національного банку № 11 від 21.01.2020}
8. Платіжні організації платіжних систем-резиденти, учасники платіжних систем та оператори послуг платіжної інфраструктури зобов'язані здійснювати реєстрацію звернень користувачів з питань діяльності платіжної системи та переказу коштів, включаючи звернення щодо помилкових та неналежних переказів, шляхом унесення відомостей до журналу реєстрації звернень користувачів. Журнал ведеться в електронній формі та повинен містити:
2) дату надходження звернення;
5) прізвище, ім'я, по батькові особи, яка звертається;
6) вид звернення (усне чи письмове);
8) прізвище, ім'я та по батькові відповідального працівника, який зареєстрував звернення;
9) рішення, прийняті за результатами звернення;
10) дату та номер вихідного документа (у разі надсилання відповіді в письмовій формі);
11) дату відповіді на звернення (якщо відповідь надається в телефонному режимі або електронною поштою).
Журнал реєстрації звернень користувачів ведеться із забезпеченням захисту інформації, що міститься в ньому, відповідно до законодавства України.
9. Платіжна організація платіжної системи-резидент, учасник платіжної системи та оператор послуг платіжної інфраструктури зобов'язані мати власний офіційний вебсайт та корпоративну електронну поштову скриньку.
{Пункт 9 розділу XIII в редакції Постанови Національного банку № 11 від 21.01.2020}
10. Платіжна організація платіжної системи-резидент зобов'язана оприлюднювати на власному офіційному вебсайті таку актуальну інформацію:
1) відомості, що підтверджують унесення платіжної системи до Реєстру;
2) опис організаційної структури платіжної системи;
3) склад керівних органів платіжної організації платіжної системи;
4) умови участі в платіжній системі;
5) перелік учасників платіжної системи;
6) порядок припинення участі та виключення учасника платіжної системи, який порушує вимоги щодо участі в платіжній системі або більше їм не відповідає;
7) опис послуг, що надаються платіжною системою, включаючи всіх платні послуги;
8) вартість послуг, що надаються користувачам платіжної системи (розмір комісійної винагороди/плату за здійснення операції), крім систем міжбанківських розрахунків;
{Підпункт 8 пункту 10 розділу XIII із змінами, внесеними згідно з Постановою Національного банку № 11 від 21.01.2020}
9) перелік прав і обов'язків платіжної організації платіжної системи та її учасників;
10) порядок вирішення спорів між учасниками та користувачами платіжної системи;
11) порядок (умови) здійснення переказу коштів;
12) місця розташування програмно-технічних комплексів самообслуговування, пунктів приймання та виплати готівки, які використовуються для здійснення переказів коштів у платіжній системі (за наявності);
{Підпункт 12 пункту 10 розділу XIII із змінами, внесеними згідно з Постановою Національного банку № 11 від 21.01.2020}
13) інформацію щодо номера контактного телефону, поштової адреси та адреси корпоративної електронної поштової скриньки;
{Підпункт 13 пункту 10 розділу XIII із змінами, внесеними згідно з Постановою Національного банку № 11 від 21.01.2020}
14) найменування валют переказу коштів;
Вимоги підпунктів 2, 4 - 6, 9, 10 пункту 10 розділу XIII цього Положення не поширюються на платіжні організації внутрішньобанківських платіжних систем.
{Абзац сімнадцятий пункту 10 розділу XIII із змінами, внесеними згідно з Постановою Національного банку № 11 від 21.01.2020}
11. Учасник платіжної системи зобов'язаний оприлюднювати на власному офіційному вебсайті та моніторі платіжних пристроїв актуальну інформацію щодо:
{Абзац перший пункту 11 розділу XIII в редакції Постанови Національного банку № 11 від 21.01.2020}
1) свого найменування та місцезнаходження;
2) платіжних систем, учасниками яких вони є, а також найменування та місцезнаходження платіжних організацій зазначених платіжних систем;
3) послуг, які ними надаються;
4) порядку (умов) здійснення переказу коштів;
5) строків зарахування коштів отримувачам;
6) найменування отримувачів коштів, на користь яких здійснюються перекази коштів та з якими укладені відповідні договори (за наявності таких договорів);
{Підпункт 6 пункту 11 розділу XIII із змінами, внесеними згідно з Постановою Національного банку № 11 від 21.01.2020}
7) вартості послуг з переказу коштів (розмір комісійної винагороди/плата за здійснення операції);
8) місця розташування програмно-технічних комплексів самообслуговування (за наявності);
{Підпункт 8 пункту 11 розділу XIII із змінами, внесеними згідно з Постановою Національного банку № 11 від 21.01.2020}
9) порядку вирішення спорів між учасниками та користувачами платіжних систем;
10) номера контактного телефону, поштової адреси та адреси корпоративної електронної поштової скриньки;
{Підпункт 10 пункту 11 розділу XIII із змінами, внесеними згідно з Постановою Національного банку № 11 від 21.01.2020}
11) найменувань валют переказу коштів.
{Підпункт 12 пункту 11 розділу XIII виключено на підставі Постанови Національного банку № 11 від 21.01.2020}
Учасники платіжних систем зобов'язані оприлюднювати на власному офіційному вебсайті актуальну інформацію щодо пунктів приймання та виплати готівки, які використовуються ними для здійснення переказу коштів.
Учасники платіжних систем зобов'язані оприлюднювати на моніторі платіжних пристроїв актуальну інформацію щодо режиму роботи платіжних пристроїв.
Учасник платіжної системи, який крім власного офіційного вебсайта використовує для надання послуг з переказу коштів у платіжній(их) системі(ах) інший(і) вебсайт(и), зобов'язаний розміщувати на таких вебсайтах посилання на власний офіційний вебсайт.
{Пункт 11 розділу XIII доповнено новим абзацом Постанови Національного банку № 11 від 21.01.2020}
12. Платіжні організації платіжної системи-резидент, учасник платіжної системи зобов'язані оприлюднювати в пунктах приймання та виплати готівки, які використовуються ними для здійснення переказу коштів (у разі їх наявності), інформацію щодо:
{Абзац перший пункту 12 розділу XIII в редакції Постанови Національного банку № 11 від 21.01.2020}
1) найменування платіжної системи;
2) найменування та місцезнаходження платіжної організації/учасника платіжної системи;
3) послуг, які ними надаються згідно з правилами платіжної системи, узгодженими Національним банком;
4) номера контактного телефону, поштової адреси та адреси електронної пошти;
Платіжні організації платіжних систем-резиденти, учасники платіжних систем зобов'язані в пунктах приймання та виплати готівки, які використовуються ними для здійснення переказу коштів, на вимогу клієнта надавати інформацію, визначену пунктом 11 розділу XIII цього Положення.
13. Платіжна організація платіжної системи зобов'язана надавати роз'яснення учасникам платіжної системи стосовно їх участі в платіжній системі та пов'язаних із цим ризиків та проводити консультації:
1) з новими учасниками платіжної системи - перед початком надання ними послуг у платіжній системі;
2) з діючими учасниками платіжної системи - не рідше одного разу на рік.
14. Учасники платіжних систем, які використовують комерційне найменування/торговельну марку/знак для товарів та послуг, що відрізняються від найменування платіжної системи, послуги якої надаються, зобов'язані під час надання послуг із переказу коштів та/або їх рекламування зазначати найменування платіжної системи перед комерційним найменуванням/торговельною маркою/знаком для товарів та послуг. Найменування платіжної системи подається шрифтом та/або розміром не менше половини розміру шрифту та/або розміру, яким подано комерційне найменування/торговельну марку/знак для товарів та послуг.
15. Платіжна організація платіжної системи зобов'язана надавати учасникам платіжної системи, розрахунковому банку платіжної системи, оператору послуг платіжної інфраструктури інформацію про порядок:
1) повідомлення заінтересованих осіб про виникнення надзвичайної ситуації;
2) взаємодії та комунікацій у надзвичайній ситуації між працівниками платіжної організації платіжної системи, а також платіжною організацією платіжної системи та заінтересованими особами;
3) дій щодо забезпечення виконання/надання критичних операцій/послуг у разі відмови телекомунікаційних мереж та/або окремих складових програмно-технічного забезпечення.
Платіжна організація платіжної системи зобов'язана надавати учасникам платіжної системи, розрахунковому банку платіжної системи, оператору послуг платіжної інфраструктури інформацію, необхідну для забезпечення безперервності діяльності платіжної системи та управління ризиками в платіжній системі.
16. Платіжна організація платіжної системи зобов'язана забезпечити збереження та нерозголошення інформації, що може загрожувати безпеці та цілісності платіжної системи, та інформації, що містить комерційну таємницю та/або конфіденційну інформацію про учасників платіжної системи.
17. Платіжна організація платіжної системи зобов'язана не рідше одного разу на рік здійснювати контроль за діяльністю своїх учасників та операторів послуг платіжної інфраструктури в межах послуг, що надаються ними в платіжній системі, та за дотриманням ними вимог правил платіжної системи і вимог, встановлених іншими документами платіжної системи (у разі їх наявності).
Платіжна організація міжнародної карткової платіжної системи зобов'язана виконувати вимоги, установлені в цьому пункті, щодо учасників, яким платіжною організацією цієї платіжної системи надано право проводити розрахунки за операціями інших учасників у цій платіжній системі.
{Пункт 17 розділу XIII в редакції Постанови Національного банку № 11 від 21.01.2020}
18. Платіжна організація платіжної системи-резидент (крім Національного банку) зобов'язана фіксувати результати здійсненого контролю за учасниками та операторами послуг платіжної інфраструктури шляхом унесення відомостей до журналу реєстрації результатів контролю.
Журнал реєстрації результатів контролю ведеться в електронній формі та повинен містити:
2) повну назву учасника платіжної системи/оператора послуг платіжної інфраструктури, контроль за яким здійснено;
3) дату(и) здійснення контролю та період, за який здійснено контроль/дату виявлення порушення;
4) прізвище, ім'я, по батькові відповідального(их) працівника(ів), який(і) здійснював(ли) контроль/виявив (ли) порушення;
5) короткий опис заходів, вжитих платіжною організацією платіжної системи з метою здійснення контролю (у разі наявності);
6) короткий опис виявлених порушень (у разі наявності);
7) короткий опис заходів, вжитих за результатами здійсненого контролю у разі виявлення порушень.
Журнал реєстрації результатів контролю ведеться із дотриманням вимог щодо забезпечення захисту інформації, що міститься в ньому, відповідно до законодавства України.
{Розділ XIII доповнено новим пунктом 18 згідно з Постановою Національного банку № 11 від 21.01.2020}
19. Оператор послуг платіжної інфраструктури зобов'язаний:
1) виявляти та управляти операційними ризиками, що притаманні послугам, які надаються ним у платіжній системі;
2) забезпечувати належний рівень захисту інформації відповідно до вимог законодавства України;
3) забезпечувати доступність та надійність критичних послуг, які він надає в платіжній системі;
4) забезпечувати своєчасне відновлення надання критичних послуг у разі настання надзвичайної ситуації;
5) повідомляти платіжну організацію платіжної системи/учасника платіжної системи, якій(ому) він надає послуги, про порушення своєї діяльності, що можуть вплинути на безперервність діяльності платіжної системи;
6) забезпечувати ефективний обмін інформацією з платіжною організацією/учасником платіжної системи, якій(ому) він надає послуги;
7) погоджувати з платіжною організацією платіжної системи/учасником платіжної системи, якій(ому) він надає послуги, передавання виконання функцій іншому оператору послуг платіжної інфраструктури, відомості щодо якого внесені до Реєстру, та забезпечити отримання необхідної інформації платіжною організацією/учасником платіжної системи щодо наданих послуг;
8) повідомляти платіжну організацію платіжної системи/учасника платіжної системи, якій(ому) він надає послуги, про внесення змін до програмно-технічних засобів, які оператор послуг платіжної інфраструктури використовує для надання послуг у платіжній системі;
9) забезпечити зберігання інформації про кожну операцію в розрізі платіжних систем, у яких він надає послуги, у встановленому ним порядку, з можливістю відновлення даних про дату здійснення операції (із зазначенням годин, хвилин та секунд), ініціатора та отримувача переказу, місця ініціювання та виплати переказу, суму та валюту переказу коштів;
10) зберігати інформацію про кожну операцію з переказу коштів у міжнародній платіжній системі, створеній нерезидентом, відповідно до правил такої платіжної системи;
11) надавати свої послуги згідно з узгодженими з Національним банком умовами та порядком його діяльності;
12) здійснювати організаційні та технічні заходи, визначені в підпунктах 1 - 6 пункту 6 розділу XIII цього Положення, та забезпечити належний контроль за їх виконанням;
13) опубліковувати на власному офіційному вебсайті повне найменування юридичних осіб (платіжних організацій платіжних систем та учасників платіжних систем), яким він надає послуги як оператор послуг платіжної інфраструктури а також адресу своєї корпоративної електронної поштової скриньки.
{Підпункт 13 пункту 19 розділу XIII із змінами, внесеними згідно з Постановою Національного банку № 11 від 21.01.2020}
20. Учасник платіжної системи зобов'язаний здійснювати контроль за діяльністю оператора(ів) послуг платіжної інфраструктури в межах послуг, що надаються ним(и) цьому учаснику в платіжній системі.
{Пункт 20 розділу XIII в редакції Постанови Національного банку № 11 від 21.01.2020}
{Розділ в редакції Постанов Національного банку № 11 від 13.02.2017, № 61 від 07.06.2018}
XIV. Порядок здійснення оцінювання платіжних систем
1. Національний банк здійснює такі типи оцінювання платіжних систем:
1) оцінювання платіжної системи, яка планує здійснювати діяльність в Україні;
{Пункт 1 розділу доповнено новим підпунктом 1 згідно з Постановою Національного банку № 11 від 13.02.2017}
2) комплексне оцінювання значущої платіжної системи/платіжної системи, створеної Національним банком;
{Підпункт 2 пункту 1 розділу XIV із змінами, внесеними згідно з Постановою Національного банку № 11 від 21.01.2020}
3) оцінювання окремих аспектів діяльності платіжної системи (далі -тематичне оцінювання).
2. Національний банк розробляє методики для здійснення оцінювання платіжних систем та їх самооцінювання з урахуванням методології оцінювання дотримання міжнародних стандартів оверсайта платіжних систем, розробленої Комітетом з платіжних і розрахункових систем Банку міжнародних розрахунків і Технічним комітетом Міжнародної організації комісій з цінних паперів.
3. Національний банк проводить оцінювання платіжної системи, яка планує здійснювати діяльність в Україні, шляхом аналізу документів, що подаються до Національного банку відповідно до нормативно-правового акта Національного банку з питань реєстрації платіжних систем, учасників платіжних систем та операторів послуг платіжної інфраструктури.
{Розділ доповнено новим пунктом 3 згідно з Постановою Національного банку № 11 від 13.02.2017}
4. Національний банк здійснює комплексне оцінювання значущої платіжної системи на підставі затвердженого Національним банком плану комплексного оцінювання значущих платіжних систем (далі - план оцінювання). Комплексне оцінювання значущих платіжних систем, створених Національним банком, може здійснюватись також на підставі окремого розпорядчого документа Національного банку.
{Абзац перший пункту розділу із змінами, внесеними згідно з Постановою Національного банку № 747 від 28.10.2015}
План оцінювання складається на один рік і затверджується до 01 березня наступного року.
{Абзац другий пункту 4 розділу із змінами, внесеними згідно з Постановою Національного банку № 11 від 13.02.2017}
Національний банк розміщує план оцінювання на сторінках офіційного Інтернет-представництва Національного банку.
Національний банк має право не включати до плану оцінювання платіжну систему, створену нерезидентом, у разі отримання від центрального банку країни, резидентом якої є платіжна організація цієї платіжної системи, інформації про проведене або заплановане оцінювання цієї міжнародної платіжної системи.
5. Національний банк здійснює комплексне оцінювання:
1) системно важливої платіжної системи не рідше одного разу на два роки;
2) соціально важливої та важливої платіжної системи не раніше ніж через 36 місяців із дня закінчення останнього комплексного оцінювання цієї платіжної системи.
Строк проведення комплексного оцінювання платіжної системи не може перевищувати шести місяців і збігатися з терміном проведення планової виїзної перевірки. Національний банк має право за наявності обґрунтованих причин збільшити строк проведення оцінювання платіжної системи до одного року.
{Пункт 5 розділу XIV в редакції Постанови Національного банку № 11 від 21.01.2020}
6. Національний банк здійснює комплексне оцінювання значущої платіжної системи не раніше ніж через шість місяців із дня визнання її значущою (крім комплексного оцінювання значущих платіжних систем, створених Національним банком).
{Пункт розділу із змінами, внесеними згідно з Постановою Національного банку № 747 від 28.10.2015}
7. Національний банк повідомляє платіжну організацію значущої платіжної системи про комплексне оцінювання платіжної системи не менше ніж за 30 календарних днів до початку оцінювання платіжної системи.
Повідомлення про комплексне оцінювання надсилається в письмовій формі та містить, зокрема, таку інформацію:
1) дати початку та закінчення комплексного оцінювання платіжної системи;
2) період, що підлягає оцінюванню платіжної системи.
8. Платіжна організація значущої платіжної системи зобов'язана здійснювати самооцінювання відповідно до методики, розробленої Національним банком (далі - Методика), та не пізніше ніж за п'ять робочих днів до початку комплексного оцінювання надіслати висновки до Національного банку за встановленою ним формою та документи, що підтверджують наведену в них інформацію (крім правил платіжної системи, узгоджених Національним банком). Щодо платіжних систем, платіжною організацією яких є Національний банк, процеси самооцінювання та оцінювання є тотожними.
{Абзац перший пункту розділу в редакції Постанови Національного банку № 747 від 28.10.2015; із змінами, внесеними згідно з Постановою Національного банку № 11 від 13.02.2017}
Платіжна організація платіжної системи зобов'язана надавати актуальну на момент направлення інформацію за результатами самооцінювання платіжної системи.
Платіжна організація платіжної системи незалежно від важливості платіжної системи має право здійснити її самооцінювання за власною ініціативою та надіслати висновки до Національного банку.
9. Джерелом інформації під час здійснення Національним банком оцінювання платіжних систем є, зокрема:
1) документи платіжної системи;
{Підпункт 1 пункту 9 розділу XIV із змінами, внесеними згідно з Постановою Національного банку № 11 від 21.01.2020}
{Підпункт 3 пункту 9 розділу XIV виключено на підставі Постанови Національного банку № 11 від 21.01.2020}
3) результати моніторингу платіжних систем;
4) інформація за результатами перевірок;
{Підпункт пункту 9 розділу із змінами, внесеними згідно з Постановою Національного банку № 139 від 22.11.2019}
5) інформація та документи, отримані від об'єктів оверсайта на запит Національного банку;
6) інформація, що надходить від органів державної влади;
7) інформація, що надходить від міжнародних організацій та центральних банків, з якими Національний банк здійснює спільний оверсайт платіжних систем;
8) інформація, що надходить від користувачів платіжної системи;
9 висновки зовнішніх аудиторів;
10) внутрішні звіти керівних органів платіжної організації платіжної системи, зборів учасників платіжної системи, а також звіти за результатами внутрішнього аудиту;
11) протоколи за результатами двосторонніх та багатосторонніх переговорів Національного банку з платіжною організацією платіжної системи, учасниками платіжної системи, операторами послуг платіжної інфраструктури;
12) висновки за результатами самооцінювання;
13) публічно доступна інформація про платіжну систему.
10. Національний банк під час проведення оцінювання має право проводити співбесіду (інтерв'ю) з керівником (працівниками) платіжної організації платіжної системи з відповідним оформленням таких співбесід.
{Розділ доповнено новим пунктом 10 згідно з Постановою Національного банку № 11 від 13.02.2017}
11 Комплексне оцінювання значущої платіжної системи, платіжною організацією якої є Національний банк, здійснюється групою фахівців, кількісний та особовий склад якої затверджується окремим розпорядчим документом Національного банку. До складу групи фахівців, крім працівників Національного банку, можуть бути включені представники інших установ, підприємств та організацій.
{Розділ доповнено новим пунктом згідно з Постановою Національного банку № 747 від 28.10.2015; із змінами, внесеними згідно з Постановою Національного банку № 11 від 13.02.2017}
12. За результатами комплексного оцінювання значущої платіжної системи складається звіт (далі - Звіт). Звіт складається у двох примірниках за формою, наведеною в додатку 1 до цього Положення.
{Пункт розділу в редакції Постанови Національного банку № 747 від 28.10.2015; із змінами, внесеними згідно з Постановою Національного банку № 11 від 13.02.2017}
13. У Звіті зазначається така інформація:
1) найменування платіжної системи;
2) повне найменування платіжної організації платіжної системи;
3) дата визнання платіжної системи значущою;
4) категорія важливості платіжної системи;
5) період діяльності, за який здійснено оцінювання платіжної системи, і термін здійснення оцінювання платіжної системи (дати початку і закінчення);
6) кількість прямих учасників;
7) кількість непрямих учасників;
8) повне найменування розрахункового(их) банку(ів);
9) перелік операторів послуг платіжної інфраструктури (за наявності);
10) результати моніторингу діяльності платіжної системи в динаміці за період діяльності платіжної системи, за який здійснюється оцінювання платіжної системи;
11) перелік матеріалів, які використовувалися під час оцінювання платіжної системи;
12) результати комплексного оцінювання відповідності платіжної організації законодавству України та міжнародним стандартам оверсайта платіжних систем;
13) факти неподання платіжною організацією платіжної системи інформації та/або документів, необхідних для здійснення оцінювання платіжної системи в установлені строки (якщо такі були);
14) висновки: перелік виявлених під час оцінювання платіжної системи порушень у її діяльності та недоліків (за наявності), а також загальні рекомендації щодо усунення порушень і вдосконалення діяльності платіжної системи.
14. У Звіті інформація розкривається окремо за кожним ключовим принципом, визначеним у Методиці.
Інформація про незастосування окремого принципу та/або його положень до значущої платіжної системи відображається у Звіті з відповідним обґрунтуванням.
Якщо відповідність окремому принципу не може бути визначена, у Звіті зазначається інформація з відповідними поясненнями, у тому числі щодо ненадання інформації платіжною організацією.
{Розділ доповнено новим пунктом згідно з Постановою Національного банку № 747 від 28.10.2015}
{Пункт 15 розділу XIV виключено на підставі Постанови Національного банку № 11 від 21.01.2020}
15. Національний банк здійснює тематичне оцінювання платіжної системи за наявності обґрунтованих підстав, якими, зокрема, є:
1) необхідність здійснення контролю за усуненням платіжною організацією платіжної системи порушень, виявлених під час комплексного оцінювання платіжної системи;
2) внесення змін до правил значущої платіжної системи;
3) порушення безперервності діяльності платіжної системи;
4) прийняття рішення про визнання платіжної системи значущою платіжною системою.
{Пункт 15 розділу XIV доповнено новим підпунктом 4 згідно з Постановою Національного банку № 11 від 21.01.2020}
16. Національний банк здійснює тематичне оцінювання платіжної системи без попередження платіжної організації платіжної системи.
17. Національний банк готує довідку про результати тематичного оцінювання платіжної системи (далі - Довідка) у двох примірниках за формою, наведеною в додатку 2 до цього Положення.
У Довідці зазначається така інформація:
1) найменування платіжної системи;
2) повне найменування платіжної організації платіжної системи;
3) період оцінювання платіжної системи;
4) термін проведення оцінювання платіжної системи;
5) підстави для здійснення тематичного оцінювання платіжної системи;
6) результати оцінювання відповідності платіжної організації законодавству України та міжнародним стандартам оверсайта платіжних систем [за окремим(и) напрямом(ами)];
7) факти неподання платіжною організацією платіжної системи інформації та/або документів, необхідних для здійснення оцінювання платіжної системи в установлені строки (якщо такі були);
8) висновки: перелік виявлених під час оцінювання платіжної системи порушень у її діяльності та недоліків (за наявності), а також вимоги щодо усунення порушень та загальні рекомендації щодо вдосконалення діяльності платіжної системи.
{Підпункт 8 пункту 17 розділу XIV із змінами, внесеними згідно з Постановою Національного банку № 11 від 21.01.2020}
18. Національний банк не пізніше ніж через 15 календарних днів із дати завершення оцінювання платіжної системи надсилає другий примірник Звіту або Довідки платіжній організації платіжної системи.
{Пункт розділу із змінами, внесеними згідно з Постановою Національного банку № 61 від 07.06.2018}
19. Платіжна організація платіжної системи має право впродовж семи календарних днів із дня отримання Звіту або Довідки надати Національному банку обґрунтовані заперечення фактів порушень, зазначених у Звіті або Довідці, які оформляються письмово, підписуються керівником платіжної організації платіжної системи та доповнюються документами, що підтверджують ці заперечення.
{Пункт розділу із змінами, внесеними згідно з Постановою Національного банку № 61 від 07.06.2018}
20. Платіжна організація платіжної системи зобов'язана протягом 30 календарних днів із дня отримання Звіту або Довідки розробити план заходів, які платіжна організація платіжної системи зобов'язується вжити для виконання рекомендацій та усунення порушень, виявлених Національним банком під час оцінювання платіжної системи.
План заходів за результатами оцінювання повинен бути затверджений керівником об'єкта оверсайта, його заступником або керівним органом об'єкта оверсайта.
{Пункт 20 розділу XIV доповнено новим абзацом згідно з Постановою Національного банку № 11 від 21.01.2020}
{Розділ доповнено новим пунктом згідно з Постановою Національного банку № 11 від 13.02.2017; із змінами, внесеними згідно з Постановою Національного банку № 11 від 21.01.2020}
21. Платіжна організація платіжної системи після закінчення строку, визначеного Національним банком для виконання рекомендацій та усунення порушень, зобов'язана подати до Національного банку Звіт про виконання Плану заходів за результатами оцінювання, затверджений керівником об'єкта оверсайта, його заступником або керівним органом об'єкта оверсайта, та відповідні документи, що підтверджують виконання платіжною організацією рекомендацій та усунення порушень, виявлених Національним банком під час оцінювання платіжної системи, наданих у Звіті або Довідці.
{Розділ доповнено новим пунктом згідно з Постановою Національного банку № 11 від 13.02.2017; в редакції Постанови Національного банку № 11 від 21.01.2020}
22. Національний банк здійснює контроль за виконанням платіжною організацією платіжної системи Плану заходів за результатами оцінювання та має право надати до Звіту про виконання плану заходів зауваження, які є обов'язковими для врахування об'єктом оверсайта.
{Розділ XIV доповнено новим пунктом 22 згідно з Постановою Національного банку № 11 від 21.01.2020}
23. Якщо в результаті оцінювання значущої платіжної системи Національний банк дійшов висновку, що її діяльність "частково не відповідає", "частково відповідає" або "не відповідає" окремому принципу, визначеному в Методиці, та/або законодавству України, то Національний банк:
надає рекомендації щодо вдосконалення діяльності платіжної системи,
та/або надсилає письмову вимогу щодо усунення виявлених порушень у порядку, установленому нормативно-правовими актами, що визначають порядок пред'явлення Національним банком вимог до об'єктів оверсайта щодо усунення порушень законодавства України та застосування до них заходів впливу.
{Пункт розділу в редакції Постанови Національного банку № 747 від 28.10.2015}
24. Національний банк оприлюднює інформацію про результати оцінювання платіжної системи на сторінках офіційного Інтернет-представництва Національного банку.
Національний банк за результатами комплексного оцінювання системно важливої платіжної системи оприлюднює на сторінках офіційного Інтернет-представництва Національного банку Звіт про відповідність платіжної системи міжнародним стандартам оверсайта за зразком, наведеним у додатку 3 до цього Положення.
{Пункт 24 розділу XIV доповнено новим абзацом згідно з Постановою Національного банку № 11 від 21.01.2020}
XV. Удосконалення діяльності платіжних систем
1. Національний банк надає рекомендації щодо вдосконалення діяльності платіжних систем шляхом надсилання платіжним організаціям платіжних систем відповідного листа та/або оприлюднення на сторінках офіційного Інтернет-представництва Національного банку, та/або видання методичних рекомендацій щодо окремих питань діяльності платіжних систем.
2. Національний банк проводить робочі зустрічі з представниками платіжних організацій платіжних систем з метою обговорення питань щодо вдосконалення діяльності платіжних систем в Україні.
3. Національний банк готує річний звіт з оверсайта не рідше одного разу на рік, що подається Голові Національного банку та/або його заступникові, який здійснює загальне керівництво та контролює діяльність підрозділу Національного банку, до компетенції якого належать питання регулювання діяльності платіжних систем та оверсайта за ними.
Річний звіт з оверсайта повинен містити:
1) загальну інформацію щодо діяльності Національного банку з оверсайта у звітному році;
2) аналіз показників діяльності об'єктів оверсайта та їх динаміки;
3) інформацію про важливість об'єктів оверсайта;
4) інформацію про результати проведеного оцінювання об'єктів оверсайта та їх самооцінювання;
5) загальну інформацію щодо проведених перевірок та застосованих заходів впливу до об'єктів оверсайта;
6) пропозиції щодо вдосконалення діяльності об'єктів оверсайта в Україні;
7) інформацію щодо порушення безперервності діяльності об'єктів оверсайта.
Національний банк має право визначати інформацію для оприлюднення з річного звіту з оверсайта та розміщувати її на сторінках офіційного Інтернет-представництва Національного банку.
{Пункт 3 розділу XV в редакції Постанови Національного банку № 11 від 21.01.2020}
XVI. Співпраця та спільний оверсайт платіжних систем
1. Національний банк співпрацює з органами державної влади України під час здійснення оверсайта платіжних систем у порядку, установленому законодавством України, а також шляхом створення міжвідомчих робочих груп, проведення спільних заходів з метою обміну інформацією тощо.
2. Національний банк співпрацює з центральними банками інших держав та міжнародними організаціями у сфері оверсайта платіжних систем відповідно до укладених договорів, меморандумів чи інших домовленостей.
3. Національний банк у разі потреби обмінюється інформацією щодо діяльності платіжних систем, створених нерезидентами, з центральними банками інших держав, резидентами яких є платіжні організації цих платіжних систем, з центральними банками, що є емітентами валюти, у якій здійснюються перекази в платіжній системі, внесеній до Реєстру, а також з іншими іноземними органами влади.
Додаток 1 |
ЗВІТ
за результатами комплексного оцінювання значущої платіжної системи
Додаток 2 |
ДОВІДКА
про результати тематичного оцінювання платіжної системи
Додаток 3 |
ЗВІТ
про відповідність [найменування платіжної системи] міжнародним стандартам оверсайта
Повне найменування | |
Юрисдикція (її), у якій(их) здійснює діяльність платіжна система: | |
Орган, відповідальний за | Національний банк України |
Дата: | місяць, рік |
За детальною інформацією просимо звертатися: | |
Національний банк України | |
Контактна особа (за потреби) | |
Електронна пошта: | |
Контактний номер телефону: | |
Звіт опубліковано на вебсайті: |
Скорочення та умовні позначення (за необхідності)
І. Резюме, що містить стислу інформацію про:
1. Відповідність діяльності платіжної системи міжнародним стандартам оверсайта;
2. Особливості діяльності платіжної системи;
3. Учасників платіжної системи;
4. Правову та нормативну базу, що регулює діяльність платіжної системи;
5. Ключові ризики, на які наражається та/або наражає інших платіжна система;
6. Інша важлива інформація щодо платіжної системи та її діяльності.
II. Ключові зміни: у діяльності платіжної системи, її правилах, організаційній структурі тощо, а також умовах діяльності та законодавстві, що регулює діяльність платіжної системи, які відбулися після проведення її останнього оприлюднення звіту про відповідність міжнародним стандартам оверсайта та/або оцінювання (за наявності).
III. Загальна інформація про платіжну систему, що містить детальний опис:
1. Ключових послуг та функцій платіжної системи;
2. Основних показників діяльності платіжної системи та її ролі на ринку платіжних послуг;
3. Організаційної структури та особливостей управління;
4. Структури власності платіжної системи;
5. Нормативно-правової бази, що регулює ключові аспекти діяльності платіжної системи;
6. Побудови та особливостей функціонування платіжної системи, що включає умови участі, етапи типової транзакції, графік роботи платіжної системи тощо;
7. Інша важлива інформація щодо платіжної системи та її діяльності.
IV. Детальна інформація щодо відповідності платіжної системи кожному принципу, встановленому міжнародними стандартами оверсайта (окремо за кожним ключовим положенням кожного принципу):
2) X.Y. Текст ключового положення Y принципу X
3) детальна інформація щодо відповідності діяльності платіжної системи ключовому положенню Y принципу X
4) висновок щодо відповідності діяльності платіжної системи принципу X: повністю відповідає/частково не відповідає/частково відповідає/не відповідає/не застосовується до платіжної системи.
V. Перелік загальнодоступних матеріалів/ресурсів (у тому числі ті, посилання на які містяться в тексті Звіту про відповідність міжнародним стандартам оверсайта).
{Положення доповнено новим Додатком 3 згідно з Постановою Національного банку № 11 від 21.01.2020}