Про затвердження Положення про застосування електронного підпису в банківській системі України
{Із змінами, внесеними згідно з Постановою Національного банку
№ 42 від 25.02.2019}
Відповідно до статей 7, 15, 56 Закону України "Про Національний банк України", з метою визначення порядку застосування електронного підпису, у тому числі електронного цифрового підпису, у банківській системі України Правління Національного банку України ПОСТАНОВЛЯЄ:
1. Затвердити Положення про застосування електронного підпису в банківській системі України, що додається.
2. Департаменту безпеки (Скомаровський О.А.) після офіційного опублікування довести зміст цієї постанови до відома банків України для використання в роботі.
3. Контроль за виконанням цієї постанови покласти на першого заступника Голови Національного банку України Смолія Я.В.
4. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.
ЗАТВЕРДЖЕНО |
ПОЛОЖЕННЯ
про застосування електронного підпису та електронної печатки в банківській системі України
1. Це Положення розроблено відповідно до Законів України “Про Національний банк України”, “Про електронні довірчі послуги”, “Про електронні документи та електронний документообіг” і визначає організаційно-методологічні умови застосування електронного підпису (далі - ЕП) та електронної печатки в банківській системі України під час створення, оброблення та зберігання електронних документів.
2. Голова правління банку несе відповідальність за організацію застосування ЕП та електронних печаток в банку України, якщо інше не встановлено законодавством України.
3. У цьому Положенні терміни вживаються в такому значенні:
1) електронний підпис Національного банку України (далі - ЕП Національного банку) - удосконалений електронний підпис або удосконалена електронна печатка, що використовується в платіжних системах Національного банку України та інформаційних задачах Національного банку України згідно з нормативно-правовими актами Національного банку України;
2) контрагент банку - будь-яка юридична чи фізична особа, яка має з банком відносини фінансового характеру. Контрагент може одночасно мати з банком відносини іншого характеру, зокрема трудові;
3) перевірка цілісності - процедура, яка дає змогу виявлення будь-яких змін в електронному документі та змін ЕП після підписання електронного документа;
4) простий електронний підпис (далі - простий ЕП) - будь-який вид ЕП, крім кваліфікованого ЕП, удосконаленого ЕП, ЕП Національного банку;
5) суб’єкти електронної взаємодії - Національний банк України, банки України, комерційні агенти банків, клієнти та контрагенти банків України.
Інші терміни в цьому Положенні використовуються в значеннях, наведених у Законах України “Про банки і банківську діяльність”, “Про електронні довірчі послуги”, “Про електронні документи та електронний документообіг”, “Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення”.
4. Дія цього Положення поширюється на суб’єктів електронної взаємодії.
5. ЕП є обов’язковим реквізитом електронного документа.
6. Норми цього Положення щодо використання ЕП ніяким чином не можуть тлумачитись як такі, що будь-яким чином обмежують права суб’єктів електронної взаємодії вчиняти правочини в усній формі чи у вигляді паперових документів (змінювати, доповнювати або припиняти дію електронних документів паперовими документами чи в іншій не забороненій законодавством України формі і навпаки).
7. Створення та зберігання електронних документів у банківській системі здійснюється із забезпеченням можливості перевірки їх цілісності та справжності.
8. Підписувач, який створює електронний документ з ЕП, цим самим засвідчує, що ознайомився з усім текстом документа, повністю зрозумів його зміст, не має заперечень до тексту документа (або його заперечення внесені як окремий реквізит документа) і свідомо застосовував свій ЕП у контексті, передбаченому документом (підписав, затвердив, погодив, завізував, засвідчив, ознайомився).
9. ЕП створюються у послідовності, визначеній застосованою технологією оброблення інформації, якщо електронний документ підписується двома або більше посадовими особами суб’єкта електронної взаємодії чи представниками двох або більше суб’єктів електронної взаємодії. Технологія оброблення інформації розробляється з урахуванням законодавства України.
Створення електронного документа завершується створенням останнього ЕП відповідно до технології створення такого електронного документа.
10. Банки України зобов’язані розробити з урахуванням вимог законодавства України внутрішні документи, у яких має передбачатися порядок:
1) створення і засвідчення електронної копії з паперового документа;
2) створення і засвідчення копії на папері з електронного документа;
3) виявлення будь-яких змін в електронному документі;
4) виявлення будь-яких змін ЕП після підписання електронного документа;
5) роботи з удосконаленою електронною печаткою та кваліфікованою електронною печаткою банку.
Ці внутрішні документи можуть оформлятися у вигляді окремих документів, одного документа або бути частиною/частинами іншого/інших документа/документів.
Уповноважена відповідно до статутних документів банку особа затверджує зазначені документи і банк зобов’язаний забезпечити до них безперешкодний доступ клієнтів та потенційних клієнтів.
11. ЕП має юридичну силу незалежно від технологій, що застосовуються для створення ЕП, якщо відповідає таким умовам:
1) електронні дані, що використовуються для створення ЕП, є унікальними та однозначно пов’язані із підписувачем і не пов’язані з жодною іншою особою;
2) ЕП дає змогу однозначно ідентифікувати підписувача;
3) технологія застосування ЕП забезпечує підписувачу під час підписування контроль електронних даних, які підписуються, та електронних даних, які використовуються для створення ЕП;
4) під час перевірки відповідно до затвердженого в банку порядку не виявлено будь-яких змін в електронному документі;
5) під час перевірки відповідно до затвердженого в банку порядку не виявлено будь-яких змін ЕП після підписання електронного документа.
12. Національний банк України має право перевіряти дотримання вимог цього Положення, а також здійснювати перевірки інформаційно-телекомунікаційних систем, що використовуються банками для доведення цілісності та справжності електронних документів.
II. Види електронного підпису та електронної печатки в банківській системі України
13. У банківській системі України застосовуються:
5) кваліфікована електронна печатка;
6) удосконалена електронна печатка.
14. Використання удосконаленого ЕП, удосконаленої електронної печатки та простого ЕП здійснюється на підставі договору між банком і клієнтом, який укладається в письмовій формі (у вигляді паперового документа з власноручними підписами сторін або як електронний документ із кваліфікованим ЕП) після проведення ідентифікації та верифікації клієнта відповідно до вимог законодавства України у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму.
Договір має містити умови та порядок (процедуру) визнання суб’єктами електронної взаємодії правочинів у вигляді електронних документів із використанням удосконаленого ЕП, удосконаленої електронної печатки або простого ЕП відповідно.
Договір має також містити умови щодо розподілу ризиків збитків, що можуть бути заподіяні підписувачам і третім особам у разі використання удосконаленого ЕП або удосконаленої електронної печатки відповідно.
Банк та клієнт мають право укласти договір про використання удосконаленого ЕП, удосконаленої електронної печатки та простого ЕП у вигляді електронного документа з використанням електронних підписів, щодо яких між клієнтом та банком вже укладено договір.
Укладення окремого договору щодо використання кваліфікованого ЕП не вимагається.
15. Банк зобов’язаний надати клієнтові на його вимогу засвідчену копію на папері з електронного документа в разі здійснення правочину у вигляді електронного документа.
16. Банк самостійно приймає рішення про застосування того чи іншого виду ЕП та електронної печатки з дотриманням вимог законодавства України з питань електронних довірчих послуг, електронного документообігу, цього Положення, нормативно-правових актів Національного банку України.
III. Застосування кваліфікованого ЕП
17. Банки України зобов’язані забезпечити:
1) приймання, реєстрацію, підтвердження про отримання електронних документів із створеними кваліфікованими ЕП з дотриманням вимог законодавства України у сфері електронного документообігу;
2) функціонування електронної поштової скриньки для приймання, реєстрації, підтвердження про отримання електронних документів із створеними кваліфікованими ЕП.
Банки України мають право визначити додаткові канали електронної взаємодії, через які вони забезпечують приймання, реєстрацію, підтвердження про отримання електронних документів із створеними кваліфікованими ЕП, та забезпечити вільний доступ до інформації про зазначені канали електронної взаємодії.
18. Підписувач не має права подавати один і той самий відкритий ключ кільком кваліфікованим надавачам електронних довірчих послуг для засвідчення його чинності.
19. Працівник банку здійснює оформлення електронних копій з паперових документів під час первинної ідентифікації та верифікації банком клієнта з використанням кваліфікованого ЕП/кваліфікованої електронної печатки та застосуванням електронної позначки часу.
20. Перевірка та підтвердження кваліфікованого ЕП здійснюється відповідно до вимог Закону України “Про електронні довірчі послуги”.
21. Кваліфікований сертифікат ЕП повинен відповідати вимогам Закону України “Про електронні довірчі послуги”.
22. Підписувач зобов’язаний під час створення кваліфікованого ЕП перевірити чинність свого кваліфікованого сертифіката відкритого ключа підписувача.
Перевірка чинності кваліфікованих сертифікатів відкритих ключів здійснюється виключно засобом кваліфікованого ЕП чи печатки відповідно до вимог Закону України “Про електронні довірчі послуги”.
Підписувачу забороняється створювати кваліфікований ЕП, якщо кваліфікований сертифікат відкритого ключа підписувача є нечинним або одержати інформацію про його статус неможливо.
IV. Застосування удосконаленого ЕП
23. Банки України та їх клієнти під час вчинення правочинів у вигляді електронних документів мають право використовувати удосконалений ЕП на підставі договору з урахуванням вимог пункту 14 розділу ІІ цього Положення.
24. Банк визначає технологію використання удосконаленого ЕП та засоби удосконаленого електронного підпису чи печатки, що використовуються під час взаємодії банку з клієнтом.
25. Суб’єкти електронної взаємодії використовують удосконалений ЕП без сертифіката відкритого ключа або чинність відкритого ключа підписувача засвідчується сертифікатом відкритого ключа на договірних засадах, або чинність відкритого ключа підписувача засвідчується надавачем електронних довірчих послуг згідно з вимогами законодавства України у сфері електронних довірчих послуг, нормативно-правових актів Національного банку України.
26. Удосконалений ЕП є таким, що пройшов перевірку, якщо перевірку удосконаленого ЕП здійснено згідно з процедурою, зазначеною в договорі, укладеному між учасниками електронної взаємодії.
V. Застосування ЕП Національного банку
27. Використання ЕП Національного банку суб’єктами електронної взаємодії дозволяється тільки у випадках, прямо передбачених нормативно-правовими актами Національного банку України, і з обов’язковим використанням засобів захисту інформації Національного банку України.
28. ЕП Національного банку є таким, що пройшов перевірку та отримав підтвердження, якщо:
1) перевірку ЕП Національного банку проведено засобом захисту інформації Національного банку України;
2) засіб захисту інформації Національного банку України надав повідомлення про позитивний результат перевірки ЕП Національного банку.
29. Фізична особа, яка не є суб’єктом підприємницької діяльності, має право використовувати простий ЕП у разі дотримання таких вимог:
1) електронна взаємодія фізичної особи здійснюється виключно з банком і з використанням технології, визначеної банком;
2) використання простого ЕП здійснюється на підставі договору відповідно до вимог пункту 14 розділу II цього Положення.
30. Простий ЕП має забезпечувати однозначну ідентифікацію особи підписувача.
31. Доведення цілісності електронних даних із створеним простим ЕП може забезпечуватися засобами інформаційної системи, у якій здійснюється створення, оброблення, зберігання електронних документів.
32. Банк забезпечує доведення цілісності, достовірності та авторства електронного документа із створеним простим ЕП.
Банк у разі недотримання зазначеної вимоги несе відповідальність за шкоду, заподіяну фізичній особі, яка не є суб’єктом підприємницької діяльності.
VII. Застосування кваліфікованої електронної печатки
33. Створювач електронної печатки не має права подавати один і той самий відкритий ключ кільком кваліфікованим надавачам електронних довірчих послуг для засвідчення його чинності.
34. Суб’єкт електронної взаємодії зобов’язаний використовувати кваліфіковану електронну печатку у випадках, визначених законодавством України.
35. Кваліфікована електронна печатка створюється, якщо:
1) відповідно до законодавства України потрібно засвідчити дійсність підпису на електронних документах;
2) відповідно до законодавства України проставлення печатки вимагається для засвідчення відповідності копій документів оригіналам;
3) потрібно підтвердити повноваження представника юридичної особи на застосування ЕП у контексті, передбаченому документом (підписання, затвердження, погодження, візування, засвідчення, ознайомлення).
36. Створення кваліфікованих електронних печаток для електронних документів здійснює працівник суб’єкта електронної взаємодії, який має на це повноваження.
Банк зобов’язаний затвердити розпорядчим документом перелік працівників установи, яким надається право створення кваліфікованих електронних печаток для електронних документів.
37. Банк чи інша юридична особа - суб’єкт електронної взаємодії має право застосовувати кваліфіковану електронну печатку в разі надання або отримання послуг в електронній формі або під час здійснення інформаційного обміну з іншими суб’єктами електронної взаємодії.
38. Кваліфікований сертифікат електронної печатки повинен відповідати вимогам Закону України “Про електронні довірчі послуги” та мати позначку, що сертифікат сформовано як кваліфікований для використання електронної печатки.
39. Перевірка та підтвердження кваліфікованої електронної печатки здійснюється відповідно до вимог Закону України “Про електронні довірчі послуги”.
40. Суб’єкт електронної взаємодії має право використовувати більше ніж одну кваліфіковану електронну печатку.
41. Створювач електронної печатки зобов’язаний під час створення кваліфікованої електронної печатки здійснити перевірку чинності кваліфікованого сертифіката електронної печатки.
Перевірка чинності кваліфікованого сертифіката електронної печатки здійснюється виключно засобом кваліфікованого ЕП чи печатки відповідно до вимог Закону України “Про електронні довірчі послуги”.
Створювачу електронної печатки забороняється створювати кваліфіковану електронну печатку, якщо кваліфікований сертифікат електронної печатки є нечинним або одержати інформацію про його статус неможливо.
VIII. Застосування удосконаленої електронної печатки
42. Банк має право застосовувати удосконалену електронну печатку для внутрішнього документообігу на підставі розпорядчого акта банку.
43. Банк чи інша юридична особа - суб’єкт електронної взаємодії має право застосовувати удосконалену електронну печатку в разі надання або отримання послуг в електронній формі або під час здійснення інформаційного обміну з іншими суб’єктами електронної взаємодії на підставі договору з урахуванням вимог пункту 14 розділу II цього Положення.
44. Банк визначає технологію використання удосконаленої електронної печатки та засоби удосконаленого електронного підпису чи печатки клієнту, що використовуються під час взаємодії з клієнтом.
45. Удосконалена електронна печатка створюється, якщо відповідно до умов договору потрібно:
1) засвідчити дійсність підпису на електронних документах;
2) проставити печатку для засвідчення відповідності копій документів оригіналам;
3) підтвердити повноваження представника юридичної особи на застосування ЕП у контексті, передбаченому документом (підписання, затвердження, погодження, візування, засвідчення, ознайомлення).
46. Суб’єкт електронної взаємодії має право використовувати більше ніж одну удосконалену електронну печатку.
{Положення в редакції Постанови Національного банку № 42 від 25.02.2019}
