Про затвердження Положення про порядок здійснення оверсайту платіжної інфраструктури в Україні
Відповідно до статей 7, 15, 56 Закону України “Про Національний банк України”, статті 82 Закону України “Про платіжні послуги” (далі - Закон) та з метою визначення порядку здійснення оверсайту платіжної інфраструктури в Україні Правління Національного банку України ПОСТАНОВЛЯЄ:
1. Затвердити Положення про порядок здійснення оверсайту платіжної інфраструктури в Україні (далі - Положення), що додається.
2. Об’єктам оверсайту-резидентам привести свою діяльність та документи у відповідність до вимог Положення, а саме:
1) платіжним організаціям платіжних систем, учасникам платіжних систем, зареєстрованим у Національному банку України станом на день введення в дію Закону, які мають намір продовжувати роботу платіжної системи/діяльність у платіжній системі, - протягом одного року з дня введення в дію Закону;
2) оператору послуг платіжної інфраструктури, зареєстрованому в Національному банку України станом на день введення в дію Закону, який має намір продовжувати діяльність, - протягом шести місяців із дня введення в дію Закону;
3) розрахунковому банку платіжної системи, зареєстрованої в Національному банку України станом на день введення в дію Закону, який має намір продовжувати надавати послуги розрахункового банку в цій платіжній системі, - протягом одного року з дня введення в дію Закону;
4) емітенту електронних грошей, який на день введення в дію Закону має узгоджені правила використання електронних грошей в Україні та який має намір продовжувати діяльність з випуску та використання електронних грошей, - протягом одного року з дня введення в дію Закону.
3. Визнати такими, що втратили чинність:
1) постанову Правління Національного банку України від 28 листопада 2014 року № 755 “Про затвердження Положення про нагляд (оверсайт) платіжних систем та систем розрахунків в Україні”;
2) пункт 5 постанови Правління Національного банку України від 24 липня 2015 року № 480 “Про внесення змін до деяких нормативно-правових актів Національного банку України”;
3) постанову Правління Національного банку України від 28 жовтня 2015 року № 747 “Про затвердження Змін до Положення про нагляд (оверсайт) платіжних систем та систем розрахунків в Україні”;
4) підпункт 3 пункту 1 постанови Правління Національного банку України від 13 лютого 2017 року № 11 “Про затвердження Змін до деяких нормативно-правових актів Національного банку України”;
5) пункт 3 постанови Правління Національного банку України від 07 червня 2018 року № 61 “Про затвердження Змін до деяких нормативно-правових актів Національного банку України”;
6) пункт 2 постанови Правління Національного банку України від 22 листопада 2019 року № 139 “Про внесення змін до деяких нормативно-правових актів Національного банку України”;
7) постанову Правління Національного банку України від 21 січня 2020 року № 11 “Про затвердження Змін до Положення про нагляд (оверсайт) платіжних систем та систем розрахунків в Україні”.
4. Контроль за виконанням цієї постанови покласти на заступника Голови Національного банку України Олексія Шабана.
5. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.
ПОЛОЖЕННЯ
про порядок здійснення оверсайту платіжної інфраструктури в Україні
1. Це Положення розроблено відповідно до статей 7, 15 Закону України “Про Національний банк України”, статей 71, 82 Закону України “Про платіжні послуги” і визначає основні організаційні засади та порядок здійснення оверсайту платіжної інфраструктури (далі - оверсайт), критерії та порядок визначення важливих об’єктів оверсайту, а також вимоги до об’єктів оверсайту, що здійснюють діяльність на території України.
2. Терміни в цьому Положенні вживаються в такому значенні:
1) багаторівнева структура участі - структура участі, що передбачає можливість участі в платіжній системі прямим та непрямим учасникам платіжної системи;
2) безперервність діяльності - спроможність об’єкта оверсайту своєчасно та ефективно здійснювати/надавати критичні операції/послуги в штатному режимі діяльності та в разі виникнення надзвичайної ситуації;
3) важливий об’єкт оверсайту - учасник платіжної системи, надавач платіжних послуг, емітент електронних грошей та технологічний оператор платіжних послуг (далі - технологічний оператор), яких віднесено Національним банком України (далі - Національний банк) до категорії важливих відповідно до визначених цим Положенням критеріїв важливості;
4) валові розрахунки в режимі реального часу - режим розрахунків, що передбачає безперервне виконання зобов’язань учасників платіжної системи окремо за кожним переказом у платіжній системі без відстрочення в часі;
5) відкладені нетто-розрахунки - режим розрахунків, що передбачає виконання зобов’язань учасників платіжної системи за результатами клірингу з визначеною періодичністю;
6) взаємозалежність - взаємозв’язок, що виникає в процесі діяльності між об’єктами оверсайту;
7) гарантування - функція схеми виконання платіжних операцій (далі - платіжна схема), що полягає у забезпеченні збереження коштів користувачів платіжних послуг та/або надавачів платіжних послуг, які використовують платіжну схему в порядку, установленому в платіжній схемі, відповідно до вимог законодавства України;
8) депозитарний ризик - ризик втрати фінансових активів об’єкта оверсайту;
9) загальний комерційний ризик - ризик погіршення фінансового стану об’єкта оверсайту в результаті зниження його доходів або збільшення видатків, унаслідок якого витрати перевищують доходи та призводять до втрат, покриття яких здійснюється за рахунок капіталу. До загального комерційного ризику не належать ризики, пов’язані з невиконанням зобов’язань учасником платіжної системи, надавачем платіжних послуг, емітентом електронних грошей або іншою особою, яка має фінансові зобов’язання перед об’єктом оверсайту;
10) заінтересовані особи - власники оператора платіжної системи, учасники платіжної системи, органи державної влади, розрахункові банки, технологічні оператори;
11) значущі платіжні системи - платіжні системи, віднесені Національним банком до категорії системно важливих або важливих відповідно до визначених цим Положенням критеріїв важливості;
12) інвестиційний ризик - ризик втрати або недоступності фінансових активів об’єкта оверсайту, що виникає внаслідок їх інвестування;
13) інформаційна інфраструктура - сукупність обладнання, засобів, комплексів та систем для оброблення, передавання та приймання інформації, а також системи електронних комунікацій, що використовуються для здійснення платіжних операцій;
14) істотний інцидент порушення безперервності діяльності - неспроможність об’єкта оверсайту своєчасно та ефективно виконувати/надавати критичні операції/послуги в штатному режимі діяльності та в разі виникнення надзвичайної ситуації протягом двох годин або більш тривалого часу;
15) кіберзагроза - наявні та потенційно можливі явища і чинники, що спричиняють або можуть спричинити ризик порушення конфіденційності, цілісності, доступності інформаційних ресурсів та/або спостережності і керованості інформаційної інфраструктури;
16) кіберінцидент - подія або сукупність несприятливих подій ненавмисного характеру або таких, що мають ознаки можливої кібератаки, які становлять загрозу безпеці інформаційної інфраструктури, створюють імовірність порушення штатного режиму її функціонування, а також ставлять під загрозу захищеність інформаційних ресурсів;
17) кіберризик - ризик реалізації кіберзагроз щодо інформаційних ресурсів та/або інформаційної інфраструктури, а також наслідки таких подій. Кіберризик є складовою операційного ризику;
18) кіберстійкість об’єкта оверсайту - спроможність об’єкта оверсайту запобігати, протистояти, стримувати та оперативно відновлюватися після кіберінцидентів та кібератак;
19) кредитний ризик - ризик того, що об’єкт оверсайту не зможе виконати свої фінансові зобов’язання в повному обсязі в установлений момент часу або в будь-який момент у подальшому. В об’єкта оверсайту може виникати поточний кредитний ризик та/або потенційний майбутній кредитний ризик;
20) критерії важливості - установлені Національним банком обсяги операцій та види послуг, у разі надання яких платіжна система, учасник платіжної системи, надавач платіжних послуг, емітент електронних грошей та технологічний оператор можуть бути віднесені Національним банком до відповідної категорії важливості, визначеної цим Положенням;
21) критична залежність - залежність діяльності платіжної системи/схеми від учасника платіжної системи/суб’єкта платіжної схеми, невиконання зобов’язань якими може призвести до неможливості забезпечення безперервності діяльності платіжної системи/схеми;
22) критичні операції/послуги - платіжні операції та/або послуги, невиконання/ненадання яких призведе до порушення надання послуг об’єктами оверсайту та/або роботи об’єкта оверсайту в цілому;
23) міжнародні стандарти оверсайту - документи, прийняті Комітетом з платіжних систем та ринкової інфраструктури Банку міжнародних розрахунків та Технічним комітетом Міжнародної організації комісій з цінних паперів, що визначають стандарти оверсайту об’єктів інфраструктури фінансового ринку;
24) надзвичайна ситуація - чинники та обставини, що становлять загрозу для безперервності діяльності об’єкта оверсайту: економічна криза, терористичний акт, природні катастрофи (землетрус, зсув, обвал, сель, цунамі, лавина, повінь, смерч, посуха, заморозки, гроза, природна пожежа), техногенні катастрофи та аварії (вибух, пожежа), масові заворушення, збої в постачанні електроенергії, кіберінциденти в платіжній інфраструктурі та кібератаки на неї;
25) об’єкт оверсайту, який здійснює управління платіжною схемою - оператор платіжної системи, надавач платіжних послуг, емітент електронних грошей, які встановлюють правила, стандарти та/або процедури роботи платіжної схеми та відповідають за її управління (далі - оператор платіжної схеми);
26) операційний ризик - ризик того, що недоліки інформаційних систем або внутрішніх процесів, людські помилки, операційні збої (помилки чи затримки під час оброблення, перебої в роботі систем, кіберінциденти, недостатня пропускна спроможність), втрата або витік інформації, шахрайство або порушення в управлінні внаслідок зовнішніх подій призведуть до скорочення, погіршення або зупинення надання послуг об’єктом оверсайту;
27) основна робоча зона - приміщення та розташоване в ньому обладнання, за допомогою якого забезпечується штатний режим діяльності об’єкта оверсайту;
28) остаточність розрахунків - обумовлений документами об’єкта оверсайту момент часу, в який розрахунок у платіжній системі/схемі стає безвідкличним та безумовним;
29) оцінювання - комплекс заходів, що здійснюються Національним банком з метою вдосконалення діяльності платіжних систем/схем в Україні відповідно до міжнародних стандартів оверсайту, а також попередження, виявлення та усунення порушень у діяльності окремої платіжної системи/схеми шляхом систематичного контролю за відповідністю їх діяльності вимогам, установленим законодавством України;
30) правовий ризик - ризик відсутності правового регулювання, зміни або непередбачуваного застосування положень законодавства України, що можуть призвести до виникнення збитків об’єкта оверсайту;
31) резервна робоча зона - географічно віддалене від основної робочої зони допоміжне приміщення, призначене для здійснення/надання критичних операцій/послуг об’єкта оверсайту в разі виникнення надзвичайної ситуації до відновлення штатного режиму діяльності;
32) ризик ліквідності - ризик того, що об’єкт оверсайту не матиме достатньо коштів для виконання своїх фінансових зобов’язань належним чином у повному обсязі в установлений момент часу, але він зможе їх виконати в інший момент часу в подальшому;
33) ринковий ризик - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів як за балансовими, так і позабалансовими позиціями внаслідок зміни ринкових цін;
34) розрахунковий ризик - ризик того, що розрахунки в платіжній системі/схемі не здійснюватимуться належним чином;
35) системний ризик - ризик того, що неспроможність одного з учасників платіжної системи та/або технологічного оператора виконати свої зобов’язання або порушення безперервності діяльності самої платіжної системи призведе до порушення діяльності учасників платіжної системи, інших установ або функціонування фінансової системи в цілому;
36) спільний оверсайт - діяльність, що здійснює Національний банк разом із центральними банками інших держав щодо оверсайту об’єктів, створених нерезидентами;
37) стрес-сценарій - модель можливого розвитку подій (обставин) унаслідок впливу різних факторів ризиків, виникнення яких може завдати шкоди безперервності діяльності об’єкта оверсайту та/або фінансовому стану, та/або ліквідності суб’єктів платіжних систем;
38) управління операційним ризиком - постійна діяльність об’єкта оверсайту щодо оцінки операційного ризику, визначення його допустимого рівня та застосування заходів контролю з метою забезпечення безперервності діяльності;
39) управління платіжною схемою - функція оператора платіжної схеми, що полягає в забезпеченні її функціонування шляхом установлення відповідних правил, стандартів та/або процедур, а також шляхом забезпечення їх реалізації;
40) штатний режим діяльності об’єкта оверсайту - функціонування за стандартними для цього об’єкта оверсайту регламентом і технологією виконання операцій.
Інші терміни в цьому Положенні вживаються в значеннях, визначених законодавством України.
3. Вимоги цього Положення поширюються на об’єкти оверсайту-резидентів (якщо інше не встановлено цим Положенням), а саме:
1) операторів платіжних систем, розрахункові банки, технологічних операторів, учасників платіжних систем (далі - суб’єкти платіжних систем) у частині дотримання ними вимог законодавства України, що регулює діяльність платіжних систем, надання послуг технологічними операторами;
2) надавачів платіжних послуг у частині використання ними платіжних інструментів, платіжних схем, електронних грошей, взаємодії з іншими учасниками платіжного ринку;
3) емітентів електронних грошей у частині випуску та використання електронних грошей.
4. Вимоги цього Положення поширюються на Національний банк як оператора платіжних систем, надавача платіжних послуг та емітента електронних грошей (якщо інше не встановлено цим Положенням).
5. Вимоги пунктів 14, 15, 16 розділу I, пункту 84 розділу VIII та пункту 92 розділу X цього Положення поширюються на об’єкти оверсайту-нерезидентів.
6. Це Положення ґрунтується на міжнародних стандартах оверсайту.
7. Національний банк здійснює оверсайт з метою забезпечення безперервного, надійного та ефективного функціонування платіжної інфраструктури, що включає:
1) моніторинг платіжної інфраструктури;
2) оцінювання платіжної інфраструктури на відповідність вимогам законодавства України та міжнародним стандартам оверсайту;
3) встановлення вимог та обмежень щодо діяльності платіжної інфраструктури;
4) надання рекомендацій щодо вдосконалення діяльності платіжної інфраструктури та/або застосування заходів впливу.
8. Національний банк за потреби обмінюється інформацією щодо діяльності об’єктів оверсайту-нерезидентів у межах спільного оверсайту з центральними банками інших держав, резидентами яких вони є, а також з іншими міжнародними організаціями та органами влади.
9. Національний банк здійснює виїзний та безвиїзний моніторинг об’єктів оверсайту відповідно до нормативно-правових актів, які визначають порядок здійснення такого моніторингу.
10. Національний банк має право застосовувати до об’єкта оверсайту заходи впливу за невиконання вимог цього Положення, визначені законодавством України, відповідно до порядку та критеріїв, установлених нормативно-правовими актами Національного банку.
11. Національний банк має право вимагати від об’єктів оверсайту надання інформації та документів, що підтверджують виконання вимог цього Положення, шляхом направлення відповідного запиту.
12. Об’єкт оверсайту зобов’язаний надавати на запит Національного банку:
1) інформацію та документи в строк до 30 календарних днів, якщо інший строк не встановлено в запиті;
2) повну, актуальну та достовірну інформацію, документи належної якості, що дає змогу прочитати всі зазначені в них відомості.
13. Об’єкт оверсайту зобов’язаний протягом трьох місяців із дати прийняття Національним банком рішення про включення його до Реєстру платіжної інфраструктури (далі - Реєстр) або з дати початку надання ним платіжних послуг (для об’єктів оверсайту, щодо яких не передбачено внесення Національним банком відомостей до Реєстру) визначити в своїх документах положення, зазначені в підпункті 4 пункту 25, пункті 41 розділу II та пункті 55 розділу IV цього Положення.
14. Об’єкт оверсайту зобов’язаний надсилати інформацію та документи до Національного банку засобами системи електронної пошти Національного банку (за умови підключення), на офіційну електронну поштову скриньку Національного банку або іншими засобами електронного зв’язку, що використовуються Національним банком для електронного документообігу, із використанням кваліфікованого електронного підпису (далі - КЕП).
15. Об’єкт оверсайту зобов’язаний подавати документи на виконання вимог цього Положення, які засвідчені підписом керівника об’єкта оверсайту (якщо законодавством України не встановлено інше) та оформлені з урахуванням вимог, зазначених у пункті 16 розділу I цього Положення.
16. Об’єкт оверсайту, який надсилає до Національного банку документи, зобов’язаний дотримуватися таких вимог:
1) документи викладені українською мовою;
2) сторінки документів пронумеровані;
3) документи, що складені іноземною мовою, супроводжуються нотаріально засвідченим перекладом українською мовою;
4) електронний документ (підписаний КЕП) та/або електронна копія документа в паперовій формі у форматі pdf (без накладання КЕП);
5) файл має коротку назву латинськими літерами, що відображає зміст та реквізити документа;
6) електронна копія документа створюється шляхом сканування документа в паперовій формі з урахуванням таких вимог:
документи, що містять більше однієї сторінки, скановані в один файл;
сканована копія кожного окремого документа зберігається як окремий файл;
роздільна здатність сканування не нижча ніж 300 dpi.
17. Національний банк забезпечує нерозголошення інформації, отриманої ним під час оверсайту, третім особам, крім випадків, визначених законодавством України.
18. Національний банк з метою забезпечення безперервного, надійного та ефективного функціонування платіжної інфраструктури має право надавати рекомендації об’єктам оверсайту щодо вдосконалення їх діяльності.
19. Національний банк надає рекомендації щодо вдосконалення діяльності об’єктів оверсайту шляхом:
1) надсилання відповідного листа;
2) оприлюднення їх на сторінках офіційного Інтернет-представництва Національного банку;
3) видання методичних рекомендацій щодо окремих питань діяльності об’єктів оверсайту.
20. Національний банк має право організовувати робочі зустрічі з представниками об’єкта оверсайту з метою обговорення питань щодо вдосконалення діяльності цього об’єкта оверсайту.
21. Національний банк готує звіт з оверсайту один раз на рік. Звіт з оверсайту повинен містити:
1) загальну інформацію щодо діяльності Національного банку з оверсайту в звітному періоді;
2) результати діяльності об’єктів оверсайту;
3) інформацію про важливість об’єктів оверсайту;
4) інформацію про результати проведеного оцінювання об’єктів оверсайту та їх самооцінювання;
5) загальну інформацію щодо моніторингу об’єктів оверсайту та застосованих до них заходів впливу;
6) іншу інформацію щодо діяльності Національного банку з оверсайту.
22. Національний банк має право оприлюднювати інформацію зі звіту з оверсайту на сторінках офіційного Інтернет-представництва Національного банку.
II. Загальні вимоги до діяльності та документів об’єктів оверсайту
23. Суб’єкти платіжної системи діють відповідно до правил цієї платіжної системи, інших документів платіжної системи та вимог законодавства України про платіжні послуги.
24. Надавач платіжних послуг, емітент електронних грошей та технологічний оператор діють відповідно до документів, на підставі яких інформацію про них було внесено до Реєстру, платіжної схеми, інших документів цих об’єктів оверсайту та вимог законодавства України про платіжні послуги.
25. Оператор платіжної системи зобов’язаний:
1) доводити інформацію, отриману від Національного банку, що стосується надання послуг учасниками платіжної системи, технологічними операторами, розрахунковими банками, до їх відома для використання в роботі;
2) забезпечувати збереження та нерозголошення інформації, що може загрожувати безпеці та безперервності діяльності платіжної системи, та інформації, що містить комерційну таємницю та/або конфіденційну інформацію про учасників платіжної системи та її користувачів;
3) здійснювати постійний контроль за відповідністю правил платіжної системи, інших документів платіжної системи та договорів законодавству України;
4) визначити в правилах або внутрішніх/установчих документах оператора платіжної системи (далі - документи платіжної системи):
порядок здійснення контролю за дотриманням учасниками платіжної системи, розрахунковими банками, технологічними операторами вимог правил платіжної системи та вимог до них, установлених іншими документами платіжної системи, що розроблені оператором платіжної системи на виконання вимог цього Положення;
момент остаточності розрахунків.
26. Оператор платіжної системи зобов’язаний надавати роз’яснення учасникам платіжної системи стосовно їх участі в платіжній системі, пов’язаних із цим ризиків та проводити консультації:
1) з новими учасниками платіжної системи - перед початком надання ними послуг у платіжній системі;
2) з діючими учасниками платіжної системи - не менше одного разу на рік.
27. Оператор платіжної системи зобов’язаний реєструвати звернення учасників платіжної системи з питань надання роз’яснень щодо правил і процедур діяльності платіжної системи, умов участі, надання пропозицій, запитань і зауважень від учасників платіжної системи, іншої інформації щодо роботи платіжної системи.
Оператор платіжної системи реєструє звернення учасників платіжної системи шляхом унесення відомостей до журналу реєстрації звернень учасників платіжної системи, який ведеться в електронній довільній формі із забезпеченням цілісності, конфіденційності та доступності інформації, що міститься в ньому.
28. Оператор платіжної системи зобов’язаний здійснювати контроль та несе відповідальність за дотримання правил платіжної системи учасниками платіжної системи, розрахунковими банками та технологічними операторами, з якими він уклав договори про надання відповідних послуг у цій платіжній системі.
29. Оператор платіжної системи зобов’язаний не менше одного разу на рік фіксувати результати здійсненого контролю за учасниками платіжної системи, розрахунковими банками та технологічними операторами шляхом унесення відомостей до електронного журналу реєстрації результатів контролю, який ведеться в електронній довільній формі із забезпеченням цілісності, конфіденційності та доступності інформації, що міститься в ньому.
30. Учасник платіжної системи зобов’язаний здійснювати контроль та несе відповідальність за дотримання правил платіжної системи технологічними операторами, з якими він уклав договори про надання відповідних послуг у цій платіжній системі, відповідно до умов таких договорів.
31. Надавач платіжних послуг та емітент електронних грошей зобов’язані здійснювати контроль та несуть відповідальність за дотримання технологічним оператором умов та порядку надання відповідних послуг цим об’єктам оверсайту згідно з укладеними між ними договорами та відповідно до вимог законодавства України.
32. Учасник платіжної системи, надавач платіжних послуг, емітент електронних грошей зобов’язані не менше одного разу на рік фіксувати результати здійсненого контролю за технологічними операторами шляхом унесення відомостей до електронного журналу реєстрації результатів контролю, який ведеться в електронній довільній формі із забезпеченням цілісності, конфіденційності та доступності інформації, що міститься в ньому.
33. Прямий учасник платіжної системи зобов’язаний здійснювати контроль за діяльністю непрямого учасника платіжної системи в частині дотримання ним умов договору про непряму участь та правил платіжної системи.
34. Оператор платіжної системи, учасник платіжної системи, надавач платіжних послуг зобов’язані за наявності вести реєстр місць (пунктів) надання фінансових послуг, банківських автоматів, програмно-технічних комплексів самообслуговування, що використовуються для надання платіжних послуг, та забезпечувати актуальність даних у цьому реєстрі.
35. Об’єкт оверсайту зобов’язаний:
1) забезпечувати належний рівень захисту інформації відповідно до вимог законодавства України;
2) реєструвати звернення користувачів із питань надання платіжних послуг, помилкових платіжних операцій шляхом унесення відомостей до електронного журналу реєстрації звернень користувачів, який ведеться в електронній довільній формі із забезпеченням цілісності, конфіденційності та доступності інформації, що міститься в ньому.
36. Технологічний оператор зобов’язаний:
1) виявляти та управляти операційними ризиками, що притаманні послугам, які ним надаються об’єктам оверсайту;
2) забезпечувати доступність та надійність критичних послуг, які він надає іншим об’єктам оверсайту;
3) забезпечувати своєчасне відновлення надання критичних послуг у разі виникнення надзвичайної ситуації;
4) повідомляти об’єкт оверсайту, якому він надає послуги, про порушення своєї діяльності, що можуть вплинути на безперервність діяльності цього об’єкта оверсайту;
5) забезпечувати ефективний обмін інформацією з об’єктом оверсайту, якому він надає послуги;
6) погоджувати з об’єктом оверсайту, якому він надає послуги, передавання виконання функцій іншому технологічному оператору, відомості щодо якого внесені до Реєстру, та забезпечити отримання потрібної інформації об’єктом оверсайту щодо наданих послуг;
7) повідомляти об’єкт оверсайту, якому він надає послуги, про внесення змін до програмно-технічних засобів, які технологічний оператор використовує для надання послуг;
8) забезпечувати зберігання інформації про кожну платіжну операцію в розрізі об’єктів оверсайту, яким він надає послуги, у встановленому ним порядку з можливістю відновлення даних про дату здійснення операції (із зазначенням годин, хвилин та секунд), ініціатора та отримувача переказу, місця ініціювання та виплати переказу, суму та валюту платіжної операції;
9) зберігати інформацію про кожну платіжну операцію в міжнародній платіжній системі, створеній нерезидентом, відповідно до документів такої платіжної системи;
10) надавати свої послуги згідно з узгодженими з Національним банком умовами та порядком його діяльності.
37. Розрахунковий банк зобов’язаний:
1) виявляти та управляти розрахунковим і кредитним ризиками, які виникають унаслідок здійснення розрахунків у платіжній системі;
2) узгоджувати строк здійснення остаточного розрахунку в платіжній системі з оператором платіжної системи та забезпечувати своєчасний остаточний розрахунок відповідно до укладених договорів з оператором платіжної системи та документів платіжної системи (крім випадків, коли оператор платіжної системи виконує функції розрахункового банку відповідно до вимог законодавства України);
3) забезпечувати зберігання інформації про здійснені розрахунки в платіжній системі відповідно до вимог законодавства України та документів платіжної системи.
38. Об’єкт оверсайту зобов’язаний забезпечити зберігання всіх документів (у паперовій та електронній формах), що підтверджують надання платіжних послуг (виконання платіжних операцій), не менше п’яти років із дня припинення ділових відносин із клієнтом або з дня завершення разової фінансової операції без установлення ділових відносин із клієнтом.
Об’єкт оверсайту повинен зберігати електронні документи на носіях інформації у формі, що дає змогу перевірити цілісність, достовірність та авторство електронних документів на цих носіях.
39. Об’єкт оверсайту під час створення архівів електронних документів зобов’язаний вжити заходів для забезпечення:
1) можливості перевірки цілісності та достовірності електронного документа в архіві;
2) виключення можливості внесення змін до архівної копії документа після її створення та знищення електронного документа після його створення;
3) можливості відновлення з архіву та використання електронного документа в будь-який час.
40. Об’єкт оверсайту в разі неможливості зберігання електронних документів протягом установленого часу повинен ужити заходів щодо дублювання цих електронних документів на кількох носіях інформації та здійснювати їх періодичне копіювання. Під час копіювання електронного документа з носія інформації обов’язково перевіряється цілісність даних на цьому носії.
41. Об’єкт оверсайту зобов’язаний встановити у своїх документах порядок зберігання документів у паперовій та електронній формах, що підтверджують надання платіжних послуг (виконання платіжних операцій), а також порядок створення архівів електронних документів відповідно до вимог законодавства України.
42. Оператор платіжної системи зобов’язаний забезпечити зберігання інформації про кожну платіжну операцію, здійснену в платіжній системі, у своїй системі обліку, а учасник платіжної системи - у своїй системі обліку та системі обліку оператора платіжної системи в установленому ними порядку з можливістю відновлення даних про дату здійснення платіжної операції (із зазначенням годин, хвилин та секунд), ініціатора та отримувача платіжної операції, місця її ініціювання та виплати, суму та валюту, форму розрахунків (готівкова чи безготівкова).
Надавач платіжних послуг та емітент електронних грошей зобов’язані забезпечити зберігання інформації про кожну платіжну операцію у своїй системі обліку в установленому ними порядку з можливістю відновлення даних про дату здійснення платіжної операції (із зазначенням годин, хвилин та секунд), ініціатора та отримувача платіжної операції, місця її ініціювання та виплати, суму та валюту, форму розрахунків (готівкова чи безготівкова).
43. Вимоги абзацу другого пункту 27 та пунктів 29, 32 розділу II цього Положення не застосовуються до Національного банку.
III. Оприлюднення інформації об’єктами оверсайту
44. Об’єкт оверсайту зобов’язаний мати власний офіційний вебсайт та корпоративну електронну поштову скриньку.
45. Оператор платіжної системи зобов’язаний оприлюднювати на власному офіційному вебсайті інформацію щодо:
1) свого повного найменування відповідно до відомостей з Єдиного державного реєстру юридичних осіб, фізичних осіб-підприємців та громадських формувань (далі - Єдиний державний реєстр) та комерційного (фірмового) найменування відповідно до установчих документів (за наявності);
2) юридичної адреси та фактичного місцезнаходження;
3) номера контактного телефону, адреси корпоративної електронної поштової скриньки або інший спосіб зв’язку для оперативного звернення;
4) офіційного найменування платіжної системи, а також комерційного (фірмового) найменування, торговельної марки/знаку для товарів та послуг платіжної системи, що відрізняється від офіційного найменування платіжної системи (за наявності);
5) опису організаційної структури платіжної системи;
6) складу керівних органів оператора платіжної системи;
7) умов та критеріїв участі в платіжній системі;
8) переліку учасників платіжної системи;
9) порядку припинення участі та виключення учасника платіжної системи, який порушує вимоги щодо участі в платіжній системі або більше не відповідає цим вимогам та встановленим критеріям;
10) види платіжних послуг, що надаються платіжною системою, уключаючи:
порядок та умови здійснення платіжних операцій;
види платіжних інструментів, які використовуються для ініціювання платіжних операцій;
строки виконання платіжних операцій;
11) перелік усіх тарифів, комісійних винагород та зборів за послуги платіжної системи (крім системи міжбанківських розрахунків, оператором якої є Національний банк);
12) переліку прав і обов’язків оператора платіжної системи та її учасників;
13) порядок вирішення спорів між учасниками платіжної системи;
14) відомостей, що підтверджують унесення платіжної системи до Реєстру (крім платіжних систем, створених Національним банком) із гіперпосиланням, що забезпечує перенаправлення (відсилання) на сторінку офіційного Інтернет-представництва Національного банку, на якій можливо перевірити такі відомості.
46. Учасник платіжної системи, надавач платіжних послуг та емітент електронних грошей зобов’язані оприлюднювати на власному офіційному вебсайті, на екранах банківського автомата, програмно-технічного комплексу самообслуговування (за наявності) інформацію щодо:
1) свого повного найменування відповідно до відомостей з Єдиного державного реєстру та комерційного (фірмового) найменування відповідно до установчих документів (за наявності);
2) інформацію про торговельні марки/знаки для товарів і послуг, що використовуються для надання платіжних послуг (за наявності);
3) юридичної адреси та фактичного місцезнаходження;
4) номера контактного телефону та адреси корпоративної електронної поштової скриньки або інший спосіб зв’язку для оперативного звернення;
5) переліку платіжних послуг, що надаються об’єктом оверсайту, уключаючи:
порядок та умови здійснення платіжних операцій;
строки виконання платіжних операцій;
види платіжних інструментів, які використовуються для ініціювання платіжних операцій;
6) найменування отримувачів коштів (юридичних осіб), на користь яких здійснюються платіжні операції та з якими укладені відповідні договори (за наявності таких договорів);
7) місця розташування банківських автоматів та програмно-технічних комплексів самообслуговування, місць (пунктів) надання фінансових послуг;
8) режиму роботи банківських автоматів та програмно-технічних комплексів самообслуговування (на екранах таких платіжних пристроїв);
9) відомості про участь у платіжних системах (для учасників платіжних систем) шляхом розміщення їх переліку із зазначенням назви, дати включення до Реєстру, найменування, місцезнаходження (платіжних систем-резидентів), гіперпосилання, що забезпечує перенаправлення (відсилання) на сторінку офіційного Інтернет-представництва Національного банку, на якій можливо перевірити такі відомості.
47. Технологічний оператор зобов’язаний оприлюднювати на власному офіційному вебсайті інформацію щодо:
1) свого повного найменування відповідно до відомостей з Єдиного державного реєстру та комерційного (фірмового) найменування відповідно до установчих документів (за наявності);
2) юридичної адреси та фактичного місцезнаходження;
3) номера контактного телефону, адреси корпоративної електронної поштової скриньки або інший спосіб зв’язку для оперативного звернення;
4) повного найменування юридичних осіб (оператора платіжної системи, учасника платіжної системи, надавача платіжних послуг, емітента електронних грошей), яким він надає послуги як технологічний оператор.
48. Об’єкт оверсайту зобов’язаний оприлюднювати інформацію, передбачену в пунктах 45-47 розділу III цього Положення, у такі строки:
не пізніше 20 робочих днів із дати прийняття Національним банком рішення про включення надавача платіжних послуг та емітента електронних грошей до Реєстру або з дати початку надання платіжних послуг (для надавачів платіжних послуг банків, щодо яких не передбачено внесення Національним банком відомостей до Реєстру);
не пізніше 10 робочих днів із дати прийняття Національним банком рішення про включення платіжної системи, учасника платіжної системи та технологічного оператора до Реєстру.
Об’єкт оверсайту зобов’язаний розміщувати оновлену інформацію, передбачену в пунктах 45-47 розділу III цього Положення, не пізніше п’яти робочих днів із дня настання відповідних обставин або з дня, коли об’єкт оверсайту дізнався, або повинен був дізнатися про настання відповідних обставин.
49. Учасник платіжної системи, надавач платіжних послуг та емітент електронних грошей, які, крім власного офіційного вебсайту, використовують для надання платіжних послуг інші вебсайти, зобов’язані розміщувати на таких вебсайтах інформацію про наявність власного офіційного вебсайту та посилання на нього.
50. Учасник платіжної системи, надавач платіжних послуг зобов’язані оприлюднювати в місцях (пунктах) надання фінансових послуг (за наявності) інформацію, передбачену в пункті 46 розділу III цього Положення.
51. Учасник платіжної системи, який використовує комерційне найменування/торговельну марку/знак для товарів та послуг, що відрізняється від найменування платіжної системи, послуги якої надаються, зобов’язаний під час надання послуг та/або їх рекламування зазначати найменування платіжної системи перед комерційним найменуванням/торговельною маркою/знаком для товарів та послуг. Найменування платіжної системи подається шрифтом та/або розміром не менше половини розміру шрифту та/або розміру, яким подано комерційне найменування/торговельну марку/знак для товарів та послуг.
IV. Забезпечення безперервності діяльності об’єктами оверсайту
52. Оператор платіжної системи зобов’язаний надавати учасникам платіжної системи, розрахунковому банку та технологічному оператору інформацію, потрібну для забезпечення безперервності діяльності платіжної системи та управління операційним ризиком (уключаючи кіберризик) у платіжній системі.
53. Оператор платіжної системи зобов’язаний надавати учаснику платіжної системи, розрахунковому банку платіжної системи, технологічному оператору інформацію про порядок:
1) повідомлення заінтересованих осіб про виникнення надзвичайної ситуації;
2) взаємодії та комунікацій у разі виникнення надзвичайної ситуації між працівниками оператора платіжної системи, а також оператором платіжної системи та заінтересованими особами;
3) дій щодо забезпечення виконання/надання критичних операцій/послуг у разі відмови телекомунікаційних мереж та/або окремих складових програмно-технічного забезпечення.
54. Об’єкт оверсайту для забезпечення безперервності діяльності повинен здійснювати організаційні та технічні заходи, визначені в пунктах 1-6 додатка до цього Положення, та забезпечити належний контроль за їх виконанням.
55. Об’єкт оверсайту зобов’язаний встановити у своїх документах порядок забезпечення безперервності діяльності відповідно до організаційних та технічних заходів, зазначених у пунктах 1-6 додатка до цього Положення.
56. Об’єкт оверсайту після виникнення кожного інциденту порушення безперервності діяльності зобов’язаний документально зафіксувати інформацію про:
1) дату та час виникнення порушення безперервності діяльності;
2) тривалість порушення безперервності діяльності;
3) причини виникнення порушення безперервності діяльності;
4) види послуг, на безперервність яких вплинуло порушення;
5) заходи, ужиті для відновлення діяльності та недопущення надалі порушень безперервності діяльності об’єкта оверсайту.
57. Об’єкт оверсайту зобов’язаний протягом трьох робочих днів після виникнення істотного інциденту порушення безперервності діяльності надавати Національному банку інформацію, зазначену в пункті 56 розділу IV цього Положення.
58. Інформація про порушення безперервності діяльності об’єкта оверсайту надсилається Національному банку:
1) засобами системи електронної пошти Національного банку (у разі підключення);
2) на офіційну електронну поштову скриньку Національного банку;
3) іншими засобами електронного зв’язку, які використовуються Національним банком для електронного документообігу;
4) засобами поштового зв’язку в паперовій формі (у разі неможливості внаслідок порушення безперервності діяльності об’єкта оверсайту надсилання повідомлення засобами системи електронної пошти Національного банку).
Національний банк визначає порядок надсилання повідомлення щодо порушення безперервності діяльності створених ним платіжних систем для цілей оверсайту в документах цих платіжних систем.
59. Вимоги розділу IV цього Положення застосовуються до розрахункових банків у частині надання ними послуг у платіжній системі.
V. Визначення важливості об’єктів оверсайту
60. Національний банк за результатами моніторингу платіжної інфраструктури та відповідно до критеріїв важливості, установлених у пунктах 61-66 розділу V цього Положення, визначає важливість платіжних систем, учасників платіжних систем, надавачів платіжних послуг, емітентів електронних грошей та технологічних операторів.
Національний банк визначає важливість об’єктів оверсайту в лютому за підсумками їх діяльності протягом попереднього року.
61. Національний банк визнає платіжну систему системно важливою платіжною системою в разі її відповідності хоча б одному з таких критеріїв важливості:
1) платіжна система забезпечує проведення міжбанківських платіжних операцій, частка яких становить більше ніж 10% від загальної суми платіжних операцій, виконаних у країні системами міжбанківських розрахунків та через кореспондентські рахунки банків, відкриті в інших банках України;
2) платіжна система здійснює платіжні операції за правочинами з державними цінними паперами на відкритому ринку;
3) платіжна система забезпечує врегулювання зобов’язань учасників платіжних систем, які виникають в інших платіжних системах.
62. Національний банк визнає платіжну систему важливою платіжною системою в разі її відповідності хоча б одному з таких критеріїв важливості:
1) платіжна система здійснює платіжні операції, частка яких перевищує 10% від загальної суми платіжних операцій, виконаних у межах України, в Україну та за її межі платіжними системами, створеними резидентами та нерезидентами (крім систем міжбанківських розрахунків та платіжних систем, які здійснюють емісію електронних платіжних засобів);
2) платіжна система здійснює операції з використанням електронних платіжних засобів, емітованих у цій платіжній системі, частка яких перевищує 10% від загальної суми платіжних операцій, виконаних на території України платіжними системами, що здійснюють емісію електронних платіжних засобів.
Національний банк має право визнати платіжну систему, що є єдиною на ринку за видом послуг, які надаються з її використанням, важливою платіжною системою.
63. Національний банк визнає учасника значущої платіжної системи важливим, якщо він забезпечує виконання платіжних операцій, частка яких перевищує 25% від загальної суми та/або кількості платіжних операцій, виконаних у межах цієї платіжної системи.
Вимога пункту 63 розділу V цього Положення не поширюється на оператора платіжної системи, який виконує функцію учасника у створеній ним платіжній системі.
64. Національний банк визнає надавача платіжних послуг важливим, якщо він здійснює платіжні операції, частка яких перевищує 10% від загальної суми платіжних операцій, виконаних надавачами платіжних послуг у межах України.
65. Національний банк визнає емітента електронних грошей важливим, якщо частка платіжних операцій із використанням електронних грошей цього емітента перевищує 10% від загальної суми платіжних операцій, виконаних з електронними грошима та електронними платіжними засобами.
66. Національний банк визнає технологічного оператора важливим, якщо він обробляє більше 10% операцій (від загальної кількості та/або суми), оброблених технологічними операторами в платіжних системах, а також у надавачів платіжних послуг та емітентів електронних грошей.
67. Рішення про віднесення об’єкта оверсайту до відповідної категорії важливості або про визнання його таким, що більше не відповідає встановленим критеріям важливості, приймає Комітет з питань нагляду та регулювання діяльності банків, нагляду (оверсайту) платіжних систем Національного банку.
68. Національний банк протягом 15 календарних днів після віднесення об’єкта оверсайту до відповідної категорії важливості або про визнання його таким, що більше не відповідає встановленим критеріям важливості:
1) уносить відповідну інформацію до Реєстру та оприлюднює на сторінках офіційного Інтернет-представництва Національного банку;
2) надсилає оператору платіжної системи (крім платіжної системи, створеної Національним банком) або її представництву в Україні письмове повідомлення про відповідність платіжної системи критеріям важливості або про визнання платіжної системи такою, що більше не відповідає встановленим критеріям важливості.
У повідомленні про відповідність зазначається:
дата визнання платіжної системи системно важливою або важливою платіжною системою;
категорія важливості платіжної системи;
потреба виконання вимог цього Положення;
3) надсилає учаснику платіжної системи, надавачу платіжних послуг, емітенту електронних грошей, технологічному оператору письмове повідомлення про відповідність їх діяльності критеріям важливості або про визнання їх такими, що більше не відповідають установленим критеріям важливості.
У повідомленні про відповідність зазначається:
дата визнання об’єкта оверсайту важливим;
інформація про відповідність установленим критеріям важливості;
потреба виконання вимог цього Положення.
69. Національний банк має право після віднесення платіжної системи, створеної нерезидентом, до категорії важливості надіслати центральному банку країни, резидентом якої є оператор цієї платіжної системи, письмовий запит для отримання інформації про оцінювання платіжної системи на відповідність міжнародним стандартам оверсайту.
70. Оператор значущої платіжної системи зобов’язаний привести діяльність платіжної системи у відповідність до вимог, зазначених у розділах VI-XIII цього Положення, протягом 180 календарних днів із дня надсилання Національним банком письмового повідомлення про відповідність платіжної системи критеріям важливості.
71. Важливий об’єкт оверсайту зобов’язаний виконати вимоги, зазначені в розділі XIV цього Положення, протягом 180 календарних днів із дня надсилання Національним банком письмового повідомлення про відповідність об’єкта оверсайту критеріям важливості.
Важливий об’єкт оверсайту (надавач платіжних послуг та емітент електронних грошей) як оператор платіжної схеми зобов’язаний виконати вимоги, зазначені в розділі XV цього Положення, протягом 180 календарних днів із дня надсилання Національним банком письмового повідомлення про відповідність об’єкта оверсайту критеріям важливості.
72. Національний банк має право на підставі обґрунтованого клопотання об’єкта оверсайту прийняти рішення про збільшення строку виконання вимог цього Положення на строк, що не може перевищувати 90 календарних днів.
VI. Вимоги до документів значущої платіжної системи
73. Оператор значущої платіжної системи зобов’язаний визначити в документах платіжної системи:
1) цілі та завдання діяльності платіжної системи, уключаючи:
забезпечення безперервності діяльності та кіберстійкості платіжної системи;
планові показники операційної діяльності платіжної системи, час відновлення діяльності в разі виникнення надзвичайної ситуації, рівень операційної доступності (операційні цілі);
2) порядок та механізми контролю за відповідністю досягнутих результатів діяльності платіжної системи поставленим цілям та завданням, забезпечити його здійснення не менше одного разу на рік;
3) склад, обов’язки, повноваження, порядок діяльності керівних органів оператора платіжної системи, відповідальність керівних органів та їх членів;
4) обов’язки, повноваження, відповідальність, порядок звітування керівним органам особи та/або підрозділу, відповідальної/відповідального за функції, визначені в пункті 79 розділу VII цього Положення, та їх розподіл;
5) порядок внутрішнього контролю за управлінням ризиками;
6) порядок звітування особою та/або підрозділом, відповідальною/відповідальним за функції, визначені в пункті 79 розділу VII цього Положення, перед керівними органами оператора значущої платіжної системи;
7) порядок вирішення конфліктів інтересів між заінтересованими особами та оператором платіжної системи під час прийняття ним рішень;
8) механізми контролю, заходи щодо управління, моніторингу, мінімізації та усунення наслідків впливу ризиків, на які наражається у своїй діяльності, та/або спричиняє платіжна система:
правового ризику (уключаючи правила та порядок зменшення правового ризику, що виникає, якщо платіжна система або її учасники є суб’єктом права різних юрисдикцій);
кредитного ризику, ризику ліквідності, загального комерційного ризику, депозитарного ризику, інвестиційного ризику (далі - фінансові ризики);
операційного ризику, уключаючи кіберризик;
інших ризиків, які оператор значущої платіжної системи має право визначати як такі, що притаманні діяльності платіжної системи;
9) вимоги до розрахункового банку платіжної системи (крім Національного банку);
10) відповідальність сторін та порядок дій, уключаючи здійснення розрахунків, використання ресурсів та покриття втрат, у разі невиконання зобов’язання учасником платіжної системи;
11) порядок відновлення ліквідності;
12) порядок забезпечення безперервності діяльності платіжної системи відповідно до організаційних та технічних заходів, зазначених у додатку до цього Положення;
13) заходи, спрямовані на реалізацію вимог щодо досягнення кіберстійкості платіжної системи, зазначених у пункті 95 розділу XI цього Положення, і забезпечити їх перегляд не менше одного разу на рік;
14) вимоги до забезпечення, що приймається від учасників платіжної системи, для управління кредитним ризиком (у разі прийняття такого забезпечення).
74. Оператор значущої платіжної системи, у якій передбачена багаторівнева структура участі, зобов’язаний установити в документах платіжної системи вимогу до прямих учасників платіжної системи щодо надання оператору платіжної системи не менше двох разів на рік інформації про:
1) непрямих учасників платіжної системи та/або прямих учасників, яким оператором платіжної системи надано право проводити розрахунки за операціями інших учасників у цій платіжній системі, обсяги платіжних операцій яких протягом 180 календарних днів більші, ніж обсяги платіжних операцій, здійснених за аналогічний період прямими учасниками платіжної системи, через яких здійснюються розрахунки в платіжній системі;
2) відповідальність прямого та непрямого учасника платіжної системи за остаточність розрахунків, що здійснюються прямим учасником платіжної системи за дорученням непрямого учасника платіжної системи, та порядок здійснення розрахунків у разі невиконання зобов’язань прямим та/або непрямим учасником платіжної системи.
75. Оператор значущої платіжної системи зобов’язаний розробити план заходів із забезпечення безперервності діяльності платіжної системи (далі - План заходів) та проводити його перегляд і тестування не менше одного разу на рік.
План заходів повинен передбачати:
1) порядок відновлення безперервності діяльності платіжної системи в разі виникнення надзвичайної ситуації;
2) технологію виконання операцій в разі виникнення надзвичайної ситуації;
3) строк відновлення безперервності діяльності платіжної системи та момент її відновлення;
4) порядок повідомлення заінтересованих осіб про виникнення надзвичайної ситуації;
5) порядок взаємодії та комунікацій в разі виникнення надзвичайної ситуації між працівниками оператора платіжної системи, а також між оператором платіжної системи та заінтересованими особами;
6) порядок дій щодо забезпечення виконання/надання критичних операцій/послуг у разі відмови телекомунікаційних мереж та/або окремих складових програмно-технічного забезпечення;
7) функції та відповідальність працівників, які забезпечують виконання/надання критичних операцій/послуг, у разі виникнення надзвичайної ситуації;
8) порядок формування, склад, завдання та функції тимчасової структурної одиниці оператора платіжної системи, яка формується на час надзвичайної ситуації та ліквідації її наслідків і відповідає за реалізацію Плану заходів, проведення консультацій із заінтересованими особами та повідомлення про виникнення надзвичайної ситуації;
9) потенційні внутрішні та зовнішні загрози для діяльності платіжної системи та можливий їх вплив;
10) критерії класифікації операцій/послуг, що виконуються/надаються платіжною системою за ступенем їх критичності;
11) критерії віднесення прямих, непрямих учасників платіжної системи та технологічних операторів (за їх наявності) до тих, від яких оператор платіжної системи критично залежить;
12) перелік критичних залежностей і критичних операцій/послуг платіжної системи, уключаючи ті, що передано технологічному оператору;
13) порядок реєстрації та аналізу операційних проблем та фактів порушення безперервності діяльності платіжної системи;
14) порядок дій щодо блокування/знищення критичних засобів захисту інформації в надзвичайній ситуації та розгортання системи захисту інформації платіжної системи в резервній робочій зоні.
76. Оператор системно важливої платіжної системи зобов’язаний додатково передбачити в Плані заходів порядок:
1) використання резервної робочої зони;
2) відновлення безперервності діяльності платіжної системи та роботи комп’ютерних систем у разі настання надзвичайної ситуації, з урахуванням вимоги, зазначеної в підпункті 1 пункту 101 розділу XI цього Положення;
3) забезпечення безперервного виконання/надання критичних операцій/послуг.
VII. Управління та організація діяльності значущої платіжної системи
77. До складу керівних органів оператора значущої платіжної системи мають право входити дієздатні фізичні особи, які мають бездоганну ділову репутацію, вищу освіту та досвід, потрібний для виконання своїх обов’язків щодо функціонування платіжної системи та управління ризиками.
78. Керівні органи оператора значущої платіжної системи зобов’язані забезпечити:
1) відповідність діяльності платіжної системи встановленим цілям та завданням;
2) ефективне управління ризиками в платіжній системі та потрібні для цього ресурси;
3) повноту, достовірність та своєчасність надання інформації Національному банку, органам державної влади, власникам оператора платіжної системи, учасникам платіжної системи та іншим заінтересованим особам;
4) внутрішній контроль за управлінням ризиками;
5) захист від зловживань інформацією з обмеженим доступом;
6) оцінку ефективності процесів управління;
7) відповідність системи захисту інформації платіжної системи законодавству України;
8) чіткий розподіл між виконанням операційної функції, функцій, пов’язаних з управлінням ризиками та внутрішнім аудитом у платіжній системі.
Особа та/або підрозділ, відповідальна/відповідальний за управління ризиками, не може/не можуть виконувати функції, пов’язані з внутрішнім аудитом та виконанням операційної функції у платіжній системі.
79. Керівні органи оператора значущої платіжної системи зобов’язані призначити особу та/або підрозділ, відповідальну/відповідальний за:
1) управління ризиками та забезпечення інформаційної безпеки в платіжній системі;
2) забезпечення безперервності діяльності в частині розроблення, перегляду, оновлення та тестування Плану заходів, звітування про інциденти порушення безперервності діяльності в порядку, зазначеному в пунктах 56, 57 розділу IV цього Положення.
80. Керівні органи оператора значущої платіжної системи зобов’язані в разі виникнення надзвичайної ситуації забезпечити створення тимчасової структурної одиниці, що формується на час надзвичайної ситуації та ліквідації її наслідків і відповідає за реалізацію Плану заходів, проведення консультацій із заінтересованими особами та направлення їм повідомлення про виникнення надзвичайної ситуації.
81. Оператор значущої платіжної системи з метою ефективного управління ризиками зобов’язаний забезпечити взаємодію особи/підрозділу, відповідальної/відповідального за управління ризиками та забезпечення інформаційної безпеки в платіжній системі, з керівними органами оператора платіжної системи та її/його незалежність.
82. Оператор значущої платіжної системи зобов’язаний інформувати заінтересованих осіб та за потреби громадськість про основні рішення керівних органів оператора платіжної системи.
VIII. Система управління ризиками в значущій платіжній системі
83. Оператор значущої платіжної системи зобов’язаний не менше одного разу на рік:
1) аналізувати ризики, що виникають у діяльності платіжної системи та можуть призвести до виникнення ризиків у діяльності осіб, з якими взаємодіє оператор платіжної системи, та встановлювати допустимі межі ризиків;
2) виявляти внутрішні та зовнішні загрози, що можуть спричинити виникнення ризиків у платіжній системі, та їх джерела;
3) забезпечувати звітування особи та/або підрозділу, відповідальної/відповідального за управління ризиками та забезпечення інформаційної безпеки в платіжній системі, про результати аналізу роботи перед керівними органами оператора платіжної системи.
84. Оператор значущої платіжної системи зобов’язаний уживати заходів щодо мінімізації та усунення наслідків впливу ризиків, що виникають у платіжній системі.
85. Оператор значущої платіжної системи зобов’язаний:
1) здійснювати кількісну оцінку, моніторинг, управління та контроль за фінансовими ризиками;
2) підтримувати на достатньому рівні ліквідні ресурси у валюті здійснення розрахунків у платіжній системі;
3) диверсифікувати ліквідні активи за джерелами їх надходження та регулярно перевіряти доступність ліквідних активів;
4) контролювати грошові потоки та операційні витрати платіжної системи;
5) аналізувати не менше одного разу на рік потенційні зміни доходів та операційних витрат, а також можливість виникнення значних разових збитків за умови підвищення загального комерційного ризику;
6) контролювати концентрацію поточного та потенційного майбутнього кредитних ризиків та ризику ліквідності, на які він наражається в результаті взаємодії з розрахунковим банком.
86. Оператор значущої платіжної системи, у якій здійснюються відкладені нетто-розрахунки без забезпечення та учасники якої наражаються на кредитний ризик, зобов’язаний у разі виникнення надзвичайної ситуації забезпечити покриття найбільшого сукупного кредитного ризику двох прямих учасників платіжної системи з урахуванням кредитного ризику непрямих учасників платіжної системи, за дорученням яких діють зазначені прямі учасники платіжної системи.
87. Оператор платіжної системи, що залучає для здійснення розрахунків у платіжній системі розрахунковий банк, зобов’язаний вимагати від нього виконання вимог пункту 86 розділу VIII цього Положення.
88. Оператор значущої платіжної системи, у якій передбачено розподіл непокритого дефіциту ліквідності між учасниками платіжної системи, зобов’язаний узгодити з учасниками платіжної системи порядок розподілу непокритого дефіциту ліквідності між учасниками платіжної системи та довести його до відома учасників платіжної системи.
IX. Забезпечення в значущій платіжній системі
89. Оператор значущої платіжної системи, документами якої передбачено прийняття забезпечення для управління кредитним ризиком, зобов’язаний:
1) приймати в забезпечення тільки активи з низьким рівнем кредитного ризику, ризику ліквідності та ринкового ризику;
2) здійснювати аналіз потенційних змін вартості забезпечення та ринкової ситуації;
3) диверсифікувати активи, які він приймає як забезпечення;
4) мінімізувати ризики, пов’язані з використанням активів, прийнятих у забезпечення, що виражені в іноземній валюті та/або розміщені за межами України, та/або емітовані нерезидентом України.
90. Оператор значущої платіжної системи не має права:
1) укладати активи учасників платіжної системи в цінні папери учасників платіжної системи як прямих, так і непрямих та цінні папери їх афілійованих осіб;
2) використовувати активи учасників платіжної системи для власної комерційної діяльності, уключаючи надання кредитів.
X. Організація грошових розрахунків та остаточність розрахунків у значущій платіжній системі
91. Оператор значущої платіжної системи зобов’язаний:
1) використовувати для розрахунків активи з мінімальним або нульовим кредитним ризиком та ризиком ліквідності;
2) узгодити строк здійснення остаточного розрахунку з розрахунковим банком.
92. Оператор значущої платіжної системи зобов’язаний забезпечувати своєчасний остаточний розрахунок.
93. Оператор значущої платіжної системи, що здійснює розрахунки за двома взаємозалежними зобов’язаннями, повинен мінімізувати ризик втрати основної суми операції шляхом забезпечення здійснення остаточного розрахунку за одним із зобов’язань тільки після остаточного розрахунку за іншим незалежно від того, який режим розрахунків застосовується в платіжній системі.
94. Оператор системно важливої платіжної системи зобов’язаний:
1) мати ефективні операційні та аналітичні інструменти для постійного та своєчасного виявлення, вимірювання та відстеження грошових потоків, пов’язаних із розрахунками та фінансуванням, уключаючи використання ліквідності в межах дня;
2) підтримувати ліквідні ресурси в усіх валютах, у яких у платіжній системі здійснюються розрахунки, достатні для забезпечення завершення розрахунків упродовж операційного дня, та в разі різних потенційних стрес-сценаріїв;
3) розробити різні стрес-сценарії, що можуть унеможливити виконання/надання критичних операцій/послуг, з урахуванням різних ризиків (дефіцит ліквідності, спричинений дефолтом учасника, загальні збитки, відмова розрахункового банку, технологічного оператора від виконання покладених на них обов’язків, значний вплив на капітал та ліквідність, серйозні втрати через зловмисників, значні зміни курсів валют, шахрайство, репутаційні кризи);
4) здійснювати розрахунки в режимі реального часу або забезпечувати завершення розрахунків упродовж операційного дня та в разі виникнення надзвичайної ситуації.
XI. Управління операційним ризиком та забезпечення безперервності діяльності значущої платіжної системи
95. Оператор значущої платіжної системи для забезпечення кіберстійкості платіжної системи зобов’язаний:
1) установити чіткий розподіл функцій, обов’язків, повноважень і відповідальності за забезпечення кіберстійкості платіжної системи та забезпечити належний рівень управління цим процесом;
2) аналізувати специфіку діяльності платіжної системи (операції/послуги, процеси, інформацію, персонал) і зовнішні взаємозв’язки та залежності, що можуть становити загрозу для кіберстійкості платіжної системи, за ступенем їх критичності для діяльності платіжної системи в разі кіберінциденту та/або кібератаки на неї;
3) уживати заходів для забезпечення захисту, виявлення, реагування на кіберзагрози, кібератаки та кіберінциденти, що можуть мати вплив на здійснення/надання критичних операцій/послуг платіжної системи, та оперативного відновлення після них;
4) уживати заходів для підвищення рівня обізнаності працівників, які забезпечують діяльність платіжної системи, щодо наявних та потенційних кіберзагроз, що можуть мати вплив на безперервність діяльності платіжної системи, процедур повідомлення про виникнення кіберінцидентів і кібератак та реагування на них;
5) забезпечувати навчання та підвищення кваліфікації працівників, на яких покладено обов’язки, пов’язані з управлінням операційним ризиком та забезпеченням кіберстійкості платіжної системи;
6) здійснювати тестування ефективності заходів для забезпечення кіберстійкості платіжної системи не менше одного разу на рік.
96. Оператор значущої платіжної системи має право визнати учасника платіжної системи або технологічного оператора таким, від якого він критично залежить, та за потреби встановити до такого учасника платіжної системи/технологічного оператора додаткові вимоги щодо управління ризиками в платіжній системі, про що повідомляє цього учасника/технологічного оператора протягом п’яти робочих днів із дня такого визнання.
97. Оператор значущої платіжної системи зобов’язаний забезпечувати наявність зв’язку для взаємодії між працівниками оператора платіжної системи, а також між оператором платіжної системи та заінтересованими особами під час виникнення надзвичайної ситуації.
98. Оператор значущої платіжної системи зобов’язаний вести, постійно оновлювати та мати в наявності контактну інформацію про працівників, які забезпечують виконання/надання критичних операцій/послуг платіжної системи, а також контактних осіб заінтересованих осіб та їх резервних робочих зон (за наявності).
99. Оператор значущої платіжної системи зобов’язаний у разі виникнення надзвичайної ситуації:
1) передбачити можливість передавання інформації через альтернативні канали зв’язку в разі неможливості передавання інформації фіксованим і мобільним зв’язком;
2) забезпечувати в разі виникнення надзвичайної ситуації надання послуг у платіжній системі на рівні, не нижчому, ніж планові показники операційної діяльності, визначені в документах платіжної системи.
100. Оператор значущої платіжної системи для забезпечення безперервності діяльності повинен здійснювати організаційні та технічні заходи, зазначені в додатку до цього Положення, та забезпечити належний контроль за їх виконанням.
101. Оператор системно важливої платіжної системи зобов’язаний:
1) відновити виконання/надання критичних операцій/послуг не пізніше ніж через дві години після виникнення події, що спричинила настання надзвичайної ситуації;
2) забезпечувати наявність резервної робочої зони;
3) забезпечувати початок роботи резервної робочої зони одразу після виникнення надзвичайної ситуації, що несе загрозу для безперервності діяльності платіжної системи;
4) підтримувати в резервній робочій зоні достатні матеріальні та трудові ресурси до відновлення штатного режиму діяльності платіжної системи;
5) забезпечувати фізичну відокремленість каналів зв’язку основної та резервної робочих зон.
XII. Доступ та участь у значущій платіжній системі
102. Оператор значущої платіжної системи зобов’язаний:
1) установлювати умови участі в платіжній системі та висувати вимоги до учасників цієї платіжної системи щодо наявності потрібних операційних потужностей, фінансових ресурсів, юридичних повноважень, відповідності системи захисту інформації законодавству України, а також щодо вжиття заходів з метою запобігання виникненню ризику, що виходить за межі, установлені оператором платіжної системи;
2) виявляти тих учасників платіжної системи, діяльність яких не відповідає встановленим вимогам щодо участі в платіжній системі.
103. Оператор значущої платіжної системи (крім Національного банку) зобов’язаний письмово попереджати Національний банк та органи державної влади в межах їх компетенції про виявлення фактів недотримання учасниками платіжної системи встановлених вимог щодо участі в платіжній системі, що призводять або можуть призвести до виникнення ризику, що виходить за межі ризиків, установлених оператором платіжної системи.
104. Оператор значущої платіжної системи, організаційною структурою якої передбачена багаторівнева структура участі, зобов’язаний:
1) ідентифікувати додатковий кредитний ризик та ризик ліквідності, що можуть виникати внаслідок багаторівневої структури участі, та здійснювати їх аналіз не менше одного разу на рік та після змін у документах платіжної системи щодо організаційної структури;
2) забезпечити, щоб невиконання зобов’язань прямим та/або непрямим учасником платіжної системи не впливало на остаточність розрахунків непрямих учасників платіжної системи.
105. Оператор значущої платіжної системи, у якій передбачена багаторівнева структура участі, з метою управління ризиками має право встановлювати умови, після виконання яких непрямий учасник платіжної системи зобов’язаний стати прямим учасником платіжної системи та привести свою діяльність у відповідність до вимог щодо умов участі, визначених оператором платіжної системи.
XIII. Оприлюднення та надання інформації, стандарти передавання інформації у значущій платіжній системі
106. Оператор значущої платіжної системи зобов’язаний оприлюднювати на власному офіційному вебсайті додатково до інформації, визначеної в пункті 45 розділу III цього Положення, такі відомості:
1) правила і процедури діяльності платіжної системи, крім інформації, що належить до конфіденційної інформації;
2) категорію важливості платіжної системи;
3) відповідність міжнародним стандартам оверсайту (за умови здійснення Національним банком комплексного та/або тематичного оцінювання платіжної системи);
4) дані щодо кількості та сум платіжних операцій, що здійснюються платіжною системою протягом року.
107. Оператор значущої платіжної системи, що здійснює платіжні операції за межі України, зобов’язаний забезпечувати своєчасний та ефективний обмін інформацією в платіжній системі з урахуванням міжнародних стандартів щодо правил та форматів передавання повідомлень і контрольних даних для ідентифікації фінансових інструментів, контрагентів.
XIV. Вимоги до важливих об’єктів оверсайту
108. Важливий об’єкт оверсайту зобов’язаний:
1) здійснювати організаційні та технічні заходи, визначені в додатку до цього Положення, та забезпечити належний контроль за їх виконанням;
2) визначити у своїх документах порядок забезпечення безперервності діяльності відповідно до організаційних та технічних заходів, зазначених у додатку до цього Положення.
109. Керівні органи важливого об’єкта оверсайту зобов’язані призначити особу та/або підрозділ відповідальну/відповідальний за:
1) управління ризиками та забезпечення інформаційної безпеки під час надання платіжних послуг;
2) забезпечення безперервності діяльності важливого об’єкта оверсайту та звітування про інциденти порушення безперервності діяльності в порядку, зазначеному в пунктах 56, 57 розділу IV цього Положення, а також здійснювати контроль за її/його діяльністю.
110. Важливий об’єкт оверсайту, що здійснює платіжні операції за межі України, зобов’язаний забезпечувати своєчасний та ефективний обмін інформацією з урахуванням міжнародних стандартів щодо правил та форматів передавання повідомлень і контрольних даних для ідентифікації фінансових інструментів, контрагентів.
111. Важливий учасник платіжної системи зобов’язаний визначити у своїх документах механізми контролю, заходи щодо управління, моніторингу, мінімізації та усунення наслідків впливу ризиків, на які він наражається в результаті участі в платіжній системі:
2) фінансових ризиків (кредитного, ліквідності, загального комерційного, депозитарного та інвестиційного ризиків);
4) операційного ризику, уключаючи кіберризик;
6) інших ризиків, які важливий учасник платіжної системи має право визначати як такі, що притаманні його діяльності в результаті його участі в платіжній системі.
Важливий учасник міжнародної платіжної системи, створеної нерезидентом, зобов’язаний додатково встановити правила та порядок зменшення правового ризику, що виникає внаслідок того, що платіжна система та важливий учасник є суб’єктами права різних юрисдикцій.
XV. Вимоги до важливих об’єктів оверсайту, які є операторами платіжної схеми
112. Вимоги розділу XV цього Положення поширюються на надавача платіжних послуг та емітента електронних грошей, визнаних Національним банком важливими.
113. Вимоги розділу XV цього Положення не поширюються на оператора платіжної системи, який здійснює управління платіжною схемою, передбаченою правилами відповідної платіжної системи.
114. Оператор платіжної схеми зобов’язаний забезпечувати постійний контроль за відповідністю платіжної схеми, договорів та інших правочинів законодавству України.
115. Оператор платіжної схеми, надавачі платіжних послуг, які на підставі договору з оператором платіжної схеми надають користувачам послуги з виконання платіжних операцій з використанням цієї платіжної схеми, технологічні оператори, які надають послуги в цій платіжній схемі (далі - суб’єкти платіжної схеми), зобов’язані дотримуватися правил, стандартів та/або процедур цієї платіжної схеми та вимог законодавства України.
116. Оператор платіжної схеми повинен визначати чіткі та вичерпні правила, стандарти та/або процедури діяльності платіжної схеми, а також надавати достатню інформацію суб’єктам платіжної схеми, що дасть можливість усвідомлювати ризики та витрати, які вони несуть, під час надання послуг/використання цієї платіжної схеми.
117. Оператор платіжної схеми зобов’язаний визначити у своїх документах:
1) правила та порядок зменшення правового ризику, що виникає, якщо суб’єкти платіжної схеми та/або її користувачі є суб’єктами права різних юрисдикцій;
2) цілі та завдання діяльності платіжної схеми, уключаючи забезпечення ефективності та результативності її діяльності;
3) опис платіжної схеми з розподілом обов’язків, повноважень та відповідальності за виконання таких функцій:
гарантування в платіжній схемі;
проведення розрахунків у платіжній схемі;
4) порядок виявлення та вирішення конфліктів інтересів у платіжній схемі;
5) механізми контролю, заходи щодо управління, моніторингу, мінімізації та усунення наслідків впливу ризиків, на які наражається у своїй діяльності та/або які спричиняє платіжна схема:
фінансових ризиків (кредитного, ліквідності, загального комерційного, депозитарного та інвестиційного ризиків);
операційного ризику, уключаючи кіберризик;
інших ризиків, які оператор платіжної схеми має право визначати як такі, що притаманні платіжній схемі;
6) момент остаточності розрахунків у платіжній схемі;
7) вимоги до обслуговуючого банку, що бере участь у проведенні розрахунків у платіжній схемі (крім Національного банку);
8) відповідальність сторін та порядок дій, уключаючи здійснення розрахунків, використання ресурсів та покриття втрат, у разі невиконання зобов’язань надавачем платіжних послуг;
9) розподіл обов’язків, повноважень та відповідальності щодо управління операційним ризиком у платіжній схемі;
10) умови використання платіжної схеми надавачами платіжних послуг, що ґрунтуються на оцінці ризиків;
11) механізми для оцінки ефективності та результативності діяльності платіжної схеми.
118. Оператор платіжної схеми з метою ефективного управління ризиками зобов’язаний:
1) уживати заходів щодо мінімізації та усунення наслідків впливу ризиків, що виникають у платіжній схемі;
2) регулярно здійснювати кількісне вимірювання, моніторинг та управління ризиками, що виникають у платіжній схемі та можуть призвести до виникнення ризиків у діяльності суб’єктів платіжної схеми;
3) здійснювати виявлення та управління взаємозалежністю з іншими учасниками платіжного ринку;
4) розробити план дій на випадок виникнення надзвичайних ситуацій та забезпечити його тестування не менше одного разу на рік.
119. Оператор платіжної схеми має право визнати суб’єкта платіжної схеми, як такого, від якого він критично залежить та встановити до нього додаткові вимоги щодо управління ризиками в платіжній схемі, про що повідомляє суб’єкта платіжної схеми протягом п’яти робочих днів із моменту такого визнання.
XVI. Оцінювання об’єктів оверсайту на відповідність вимогам законодавства України та міжнародним стандартам оверсайту
120. Національний банк здійснює такі типи оцінювання:
1) оцінювання платіжної системи, що планує здійснювати діяльність в Україні (крім платіжної системи, створеної Національним банком);
значущої платіжної системи та платіжної системи, створеної Національним банком (далі - комплексне оцінювання платіжної системи);
платіжної схеми, оператором якої є важливий надавач платіжних послуг або важливий емітент електронних грошей (далі - комплексне оцінювання платіжної схеми);
3) оцінювання окремих аспектів діяльності:
значущої платіжної системи (далі - тематичне оцінювання платіжної системи);
платіжної схеми, оператором якої є важливий надавач платіжних послуг або важливий емітент електронних грошей (далі - тематичне оцінювання платіжної схеми).
121. Національний банк розробляє інструкції для оцінювання платіжних систем/схем та їх самооцінювання з урахуванням міжнародних стандартів оверсайту.
122. Національний банк проводить оцінювання платіжної системи, що планує здійснювати діяльність в Україні, шляхом аналізу документів, що подаються до Національного банку відповідно до нормативно-правового акта Національного банку з питань реєстрації платіжних систем, учасників платіжних систем та технологічних операторів.
123. Національний банк здійснює комплексне оцінювання платіжної системи/схеми на підставі затвердженого Національним банком плану комплексного оцінювання об’єктів оверсайту (крім платіжних систем/схем, створених Національним банком). Комплексне оцінювання платіжної системи/схеми, створеної Національним банком, здійснюється на підставі окремого розпорядчого акта Національного банку.
План оцінювання комплексного оцінювання об’єктів оверсайту складається на один рік і затверджується до 01 березня наступного року. Національний банк розміщує план комплексного оцінювання об’єктів оверсайту на сторінках офіційного Інтернет-представництва Національного банку.
124. Національний банк здійснює комплексне оцінювання:
1) системно важливої платіжної системи не менше одного разу на два роки;
2) важливої платіжної системи та платіжної схеми не раніше ніж через 36 місяців із дня закінчення останнього оцінювання.
Строк проведення комплексного оцінювання платіжної системи/схеми не може перевищувати шести місяців і збігатися з терміном проведення виїзного моніторингу оператора платіжної системи/схеми. Національний банк має право за наявності обґрунтованих причин збільшити строк проведення оцінювання платіжної системи/схеми до одного року.
125. Національний банк здійснює комплексне оцінювання значущої платіжної системи не раніше ніж через дев’ять місяців із дня віднесення платіжної системи до відповідної категорії важливості (крім комплексного оцінювання платіжних систем, створених Національним банком).
126. Національний банк здійснює комплексне оцінювання платіжної схеми не раніше ніж через шість місяців із дня визнання Національним банком надавача платіжних послуг або емітента електронних грошей важливими.
127. Національний банк повідомляє оператора платіжної системи/схеми про комплексне оцінювання не менше ніж за 30 календарних днів до його початку.
Повідомлення про комплексне оцінювання платіжної системи/схеми має містити таку інформацію:
1) дату початку та закінчення комплексного оцінювання;
2) період, що підлягає оцінюванню.
128. Оператор платіжної системи/схеми зобов’язаний здійснювати самооцінювання платіжної системи/схеми відповідно до інструкції, розробленої Національним банком (далі - Інструкція з оцінювання), та не пізніше ніж за п’ять робочих днів до початку комплексного оцінювання надіслати висновки до Національного банку за встановленою ним формою та документи, що підтверджують наведену в них інформацію.
129. Національний банк здійснює оцінювання (самооцінювання) створених ним платіжних систем/схем відповідно до порядку, визначеного в Інструкції з оцінювання.
130. Джерелом інформації під час здійснення Національним банком комплексного оцінювання платіжної системи/схеми є:
1) документи платіжної системи/оператора платіжної схеми;
2) план заходів із забезпечення безперервності діяльності платіжної системи;
3) результати моніторингу платіжної інфраструктури;
4) інформація за результатами перевірок оператора платіжної системи/схеми;
5) інформація та документи, отримані від оператора платіжної системи/схеми на запит Національного банку;
6) інформація, що надходить від органів державної влади;
7) інформація, що надходить від користувачів;
8) висновки зовнішніх аудиторів;
9) внутрішні звіти керівних органів об’єкта оверсайту, а також звіти за результатами внутрішнього аудиту;
10) протоколи за результатами двосторонніх та багатосторонніх переговорів Національного банку із суб’єктами платіжної системи/схеми;
11) висновки за результатами самооцінювання;
12) публічно доступна інформація про платіжну систему/оператора платіжної схеми.
131. Національний банк під час проведення комплексного/тематичного оцінювання має право проводити співбесіду (інтерв’ю) з працівниками оператора платіжної системи/оператора платіжної схеми з відповідним оформленням таких співбесід.
132. Комплексне оцінювання платіжної системи/схеми, оператором якої є Національний банк, здійснюється групою фахівців, кількісний та особовий склад якої затверджується окремим розпорядчим актом Національного банку.
133. За результатами комплексного оцінювання платіжної системи/схеми складається звіт з комплексного оцінювання, у якому зазначається:
1) найменування платіжної системи/схеми (за наявності);
2) повне найменування оператора платіжної системи/схеми;
3) дата визнання платіжної системи значущою/оператора платіжної схеми важливим;
4) категорія важливості платіжної системи;
5) період діяльності, за який здійснено комплексне оцінювання і термін здійснення оцінювання (дати початку і закінчення);
6) перелік та повне найменування суб’єктів платіжної системи/схеми;
7) результати моніторингу діяльності платіжної системи/оператора платіжної схеми в динаміці за період діяльності, за який здійснюється комплексне оцінювання;
8) перелік матеріалів, що використовувалися під час оцінювання;
9) результати комплексного оцінювання відповідності платіжної системи/схеми законодавству України та міжнародним стандартам оверсайту;
10) факти неподання оператором платіжної системи/схеми інформації та/або документів, потрібних для здійснення комплексного оцінювання в установлені строки (якщо такі були);
11) висновки: перелік виявлених під час оцінювання порушень у діяльності оператора платіжної системи/схеми та недоліків (за наявності), вимоги щодо усунення таких порушень/недоліків, а також загальні рекомендації щодо вдосконалення діяльності платіжної системи/схеми.
134. Національний банк у звіті з комплексного оцінювання розкриває інформацію окремо за кожним положенням ключового принципу, визначеного в Інструкції з оцінювання.
Національний банк відображає у звіті інформацію з обґрунтуванням щодо:
1) незастосування окремого принципу та/або його положень до платіжної системи/схеми;
2) неможливості визначити відповідність окремому принципу у зв’язку з ненаданням потрібної інформації оператором платіжної системи/схеми.
135. Національний банк здійснює тематичне оцінювання платіжної системи/схеми за наявності обґрунтованих підстав, якими є:
1) потреба здійснення контролю за усуненням оператором платіжної системи/схеми порушень, виявлених під час комплексного оцінювання;
2) унесення змін до документів платіжної системи/схеми;
3) порушення безперервності діяльності платіжної системи/схеми;
4) прийняття рішення про визнання платіжної системи значущою платіжною системою/оператора платіжної схеми важливим.
136. Національний банк готує звіт за результатами тематичного оцінювання платіжної системи/схеми, у якому зазначається така інформація:
1) найменування платіжної системи/схеми (за наявності);
2) повне найменування оператора платіжної системи/схеми;
3) період діяльності, за який здійснено тематичне оцінювання і термін здійснення тематичного оцінювання (дати початку і закінчення);
4) підстави для здійснення тематичного оцінювання;
5) результати тематичного оцінювання відповідності платіжної системи/платіжної схеми законодавству України та міжнародним стандартам оверсайту (за окремими напрямами);
6) факти неподання об’єктом оверсайту інформації та/або документів, потрібних для здійснення тематичного оцінювання в установлені строки (якщо такі були);
7) висновки: перелік виявлених під час тематичного оцінювання платіжної системи/схеми порушень та недоліків (за наявності), а також загальні рекомендації щодо усунення порушень і вдосконалення діяльності платіжної системи/схеми.
137. Національний банк не пізніше ніж через 15 календарних днів із дати завершення комплексного або тематичного оцінювання платіжної системи/схеми надсилає звіт за результатами тематичного/комплексного оцінювання оператору платіжної системи/схеми.
138. Оператор платіжної системи/схеми (крім Національного банку) має право впродовж семи календарних днів із дня отримання звіту за результатами тематичного/комплексного оцінювання надати Національному банку обґрунтовані заперечення фактів порушень, зазначених у звіті, що оформляються письмово, підписуються керівником об’єкта оверсайту або керівним органом об’єкта оверсайту та доповнюються документами, що підтверджують ці заперечення.
139. Оператор платіжної системи/схеми зобов’язаний протягом 30 календарних днів із дня отримання звіту за результатами комплексного/тематичного оцінювання розробити та надіслати до Національного банку план заходів, які він зобов’язується вжити для виконання рекомендацій та усунення порушень, виявлених Національним банком під час оцінювання (далі - План заходів із виконання рекомендацій). План заходів із виконання рекомендацій повинен затверджуватися керівником об’єкта оверсайту або керівним органом об’єкта оверсайту.
140. Національний банк повідомляє оператора платіжної системи/схеми про результати розгляду Плану заходів із виконання рекомендацій протягом 15 календарних днів.
141. Оператор платіжної системи/схеми після закінчення строку, визначеного Національним банком для виконання рекомендацій та усунення порушень, зобов’язаний подати до Національного банку звіт про виконання Плану заходів, затверджений керівником об’єкта оверсайту або керівним органом об’єкта оверсайту, та відповідні документи, що підтверджують виконання рекомендацій та усунення порушень, виявлених Національним банком під час оцінювання.
142. Національний банк здійснює контроль за виконанням оператором платіжної системи/схеми Плану заходів із виконання рекомендацій та має право надати до звіту про виконання Плану заходів із виконання рекомендацій зауваження, обов’язкові для врахування.
Національний банк здійснює аналіз виконання рекомендацій за результатом оцінювання платіжних систем/схем, оператором яких він є.
143. Національний банк визначає за результатами комплексного та тематичного оцінювання рівень відповідності платіжної системи/схеми кожному встановленому в Інструкції з оцінювання принципу та/або законодавству України за такими рівнями:
144. Національний банк, дійшовши за результатами оцінювання висновку, що платіжна система/схема “у цілому відповідає”, “частково відповідає” або “не відповідає” окремому принципу, визначеному в Інструкції з оцінювання, та/або законодавству України, надає у звіті рекомендації щодо вдосконалення діяльності платіжної системи/схеми та зазначає про потребу усунення порушень/недоліків (у разі їх наявності).
145. Національний банк оприлюднює інформацію про результати комплексного та тематичного оцінювання платіжної системи/схеми на сторінках офіційного Інтернет-представництва Національного банку.
Національний банк за результатами оцінювання системно важливої платіжної системи оприлюднює на сторінках офіційного Інтернет-представництва Національного банку звіт про відповідність платіжної системи міжнародним стандартам оверсайту.
Додаток |
ОРГАНІЗАЦІЙНІ ТА ТЕХНІЧНІ ЗАХОДИ
для забезпечення безперервності діяльності
1. Створення детальної схеми комплексу програмно-апаратних засобів з описом функціонального призначення та взаємозв’язку його компонентів.
2. Визначення переліку критично важливих компонентів комплексу програмно-апаратних засобів та даних, потрібних для надання критичних послуг, запровадження політики їх резервування та відновлення.
3. Забезпечення роботи критично важливих компонентів комплексу програмно-апаратних засобів джерелами безперебійного електроживлення.
4. Здійснення резервного копіювання баз даних та інших даних, потрібних для надання критичних послуг.
5. Забезпечення моніторингу всіх компонентів комплексу програмно-апаратних засобів, реєстрації та аналізу інцидентів, пов’язаних із порушенням безперервності діяльності.
6. Забезпечення дотримання вимог законодавства України у сфері інтелектуальної власності під час використання програмного забезпечення на всіх компонентах комплексу програмно-апаратних засобів.
7. Зберігання електронних архівів, архівів даних, потрібних для надання критичних послуг, а також програмних засобів, потрібних для відновлення змісту баз даних, на зовнішніх носіях щонайменше в одному примірнику в приміщенні за основним місцезнаходженням та в додатковому примірнику в приміщенні (кімнаті), територіально віддаленому (віддаленій) від основного місцезнаходження.
8. Аналіз можливих загроз безперервному функціонуванню комплексу програмно-апаратних засобів, забезпечення мінімізації їх впливу та планування дій в разі їх реалізації.
9. Розроблення інструкцій дій обслуговуючого персоналу щодо попередження порушень у разі виникнення надзвичайної ситуації та відновлення функціонування комплексу програмно-апаратних засобів, їх аналіз та перегляд не менше одного разу на рік.
10. Забезпечення наявності інструкцій із супроводження та експлуатації комплексу програмно-апаратних засобів.
11. Навчання обслуговуючого персоналу супроводженню та експлуатації комплексу програмно-апаратних засобів і діям для відновлення його функціонування.
12. Визначення порядку внесення змін до програмного забезпечення та конфігурації всіх компонентів комплексу програмно-апаратних засобів.
13. Забезпечення обслуговування та технічної підтримки [надання консультацій користувачам (уключаючи проблеми, що виникли під час експлуатації), ремонт та заміна непрацюючого обладнання, установлення оновлень/нових версій і виправлень помилок програмного забезпечення] усіх компонентів комплексу програмно-апаратних засобів.
14. Забезпечення взаємодії та комунікацій в разі виникнення надзвичайної ситуації з користувачами та заінтересованими особами.