ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ
ПОСТАНОВА
07.06.2018 N 61
Про затвердження Змін до деяких нормативно-правових
актів Національного банку України
Відповідно до статей 7, 15, 56 Закону України "Про Національний банк України", статті 41 Закону України "Про платіжні системи та переказ коштів в Україні", з метою вдосконалення нагляду (оверсайта) платіжних систем Правління Національного банку Українипостановляє:
1. Затвердити Зміни до Положення про порядок проведення перевірок щодо дотримання об'єктами нагляду (оверсайта) вимог законодавства України з питань діяльності платіжних систем в Україні, затвердженого постановою Правління Національного банку України від 09 грудня 2013 року N 503, зареєстрованого в Міністерстві юстиції України 26 грудня 2013 року за N 2213/24745 (зі змінами), що додаються.
2. Унести до розділу VI Положення про застосування Національним банком України заходів впливу за порушення об'єктами нагляду (оверсайта) законодавства України з питань діяльності платіжних систем в Україні, затвердженого постановою Правління Національного банку України від 19 грудня 2013 року N 524, зареєстрованого в Міністерстві юстиції України 15 січня 2014 року за N 62/24839 (зі змінами), такі зміни:
1) в абзаці другому пункту 4 цифри "20" замінити цифрами "15";
2) у пункті 5 цифру та слова "5 цього розділу" замінити цифрами та словами "4 розділу VI цього Положення".
3. Затвердити Зміни до Положення про нагляд (оверсайт) платіжних систем та систем розрахунків в Україні, затвердженого постановою Правління Національного банку України від 28 листопада 2014 року N 755 (зі змінами), що додаються.
4. Департаменту платіжних систем та інноваційного розвитку (Яблунівський О. М.) після офіційного опублікування довести до відома платіжних організацій платіжних систем, створених резидентами, інформацію про прийняття цієї постанови.
5. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.
Голова Я. В. Смолій
Затверджено
Постанова Правління
Національного банку України
07.06.2018 N 61
Зміни до Положення
про порядок проведення перевірок щодо дотримання об'єктами нагляду (оверсайта)
вимог законодавства України з питань діяльності платіжних систем в Україні
1. У розділі III:
1) пункт 1 доповнити новим абзацом такого змісту:
"Затверджений план проведення перевірок надсилається для ознайомлення керівникам структурних підрозділів Національного банку, працівники яких можуть залучатися до перевірок.";
2) в абзаці першому пункту 4 слово "рідше" замінити словом "частіше".
2. Розділ VI після пункту 4 доповнити новим пунктом 5 такого змісту:
"5. Отримання та повернення документів і матеріалів під час проведення виїзної перевірки з ініціативи уповноважених працівників або керівника об'єкта перевірки здійснюється шляхом підписання уповноваженим працівником та керівником об'єкта перевірки та/або уповноваженою ним особою копії запиту / відповіді на запит / супровідного листа, разом з яким передаються документи/матеріали, із зазначенням дати та часу отримання або повернення таких документів/матеріалів.";
У зв'язку з цим пункти 5 - 7 уважати відповідно пунктами 6 - 8.
3. Підпункт 9 пункту 1 розділу VII викласти в такій редакції:
"9) безпосереднього доступу під час проведення перевірки до інформації, яка розміщена в автоматизованих системах обліку об'єкта перевірки, з можливістю її вибірки/обробки, отримувати від об'єкта перевірки консультаційну підтримку з питань її вибірки/обробки та функціонування таких систем.".
4. У розділі X:
1) після пункту 6 доповнити розділ новим пунктом 7 такого змісту:
"7. Позначка про відмову керівника об'єкта перевірки від отримання першого примірника довідки або неможливість вручення йому першого примірника довідки з інших причин проставляється на другому примірнику довідки із зазначенням дати та часу, а перший примірник довідки надсилається об'єкту перевірки рекомендованим листом із повідомленням про вручення.
Перший примірник довідки вважається врученим у день, зазначений поштовою службою в повідомленні про вручення, та в якому зазначено причини невручення, якщо поштова служба не вручила примірник довідки керівникові (представнику) об'єкта перевірки через його відмову в отриманні або з інших причин.".
У зв'язку з цим пункти 7 - 13 уважати відповідно пунктами 8 - 14;
2) абзац перший пункту 9 викласти в такій редакції:
"9. Керівник робочої групи відповідає за складання звіту, який складається протягом 30 робочих днів із дня отримання довідки(ок), підписаної(их) керівником об'єкта перевірки.";
3) пункт 12 викласти в такій редакції:
"12. Звіт складається у двох примірниках і підписується керівником робочої групи. У разі включення до звіту пропозицій щодо фактів та висновків, що містяться в довідці, наданих керівником структурного підрозділу Національного банку та фахівці якого відповідно до пункту 2 розділу V цього Положення залучалися до складу робочої групи, звіт також підписується керівником цього структурного підрозділу або його заступником.
Перший примірник звіту разом із супровідним листом надсилається до об'єкта перевірки з урахуванням вимог щодо пересилання документів з грифом обмеження доступу, установлених Національним банком.".
Директор Департаменту платіжних
систем та інноваційного розвитку О. М. Яблунівський
Затверджено
Постанова Правління
Національного банку України
07.06.2018 N 61
Зміни до Положення
про нагляд (оверсайт) платіжних систем та систем розрахунків в Україні
1. У пункті 1 розділу II:
1) після підпункту 8 доповнити пункт новим підпунктом 9 такого змісту:
"9) значущий оператор послуг платіжної інфраструктури - оператор послуг платіжної інфраструктури, який обслуговує значущу платіжну систему;".
У зв'язку з цим підпункти 9 - 33 уважати відповідно підпунктами 10 - 34;
2) підпункти 17 та 23 викласти в такій редакції:
"17) непрямий учасник платіжної системи - юридична особа, що відповідно до законодавства України має право надавати послуги щодо проведення переказу коштів та яка на підставі договору, укладеного з прямим учасником платіжної системи, якому надано право на укладання таких договорів платіжною організацією цієї платіжної системи, надає такі послуги;";
"23) прямий учасник платіжної системи - юридична особа, яка відповідно до законодавства України має право надавати послуги щодо проведення переказу коштів та на підставі договору, укладеного з платіжною організацією платіжної системи, надає такі послуги;".
2. Розділ III доповнити новим пунктом такого змісту:
"9. Національний банк за результатами моніторингу з метою забезпечення безперервного, надійного та ефективного функціонування платіжних систем має право надавати рекомендації об'єктам нагляду (оверсайта) щодо вдосконалення їх діяльності.".
3. У розділі IV:
1) абзац дев'ятий пункту 6 виключити;
2) в абзаці першому пункту 11 цифри та слова "45 календарних днів" замінити цифрами та словами "60 робочих днів".
4. У розділі XI:
1) в абзаці другому пункту 4 слова "засвідчений відбитком печатки платіжної організації платіжної системи та підписом керівника" замінити словами "підписаний керівником платіжної організації платіжної системи";
2) пункт 8 викласти в такій редакції:
"8. Платіжна організація платіжної системи має право визнати учасника значущої платіжної системи таким, від якого вона критично залежить та за потреби встановити до такого учасника платіжної системи додаткові вимоги щодо управління ризиками в платіжній системі, про що повідомляє цього учасника протягом п'яти робочих днів з моменту такого визнання.";
3) доповнити розділ новим пунктом такого змісту:
"12. Платіжна організація значущої платіжної системи для забезпечення безперервності діяльності повинна здійснювати організаційні та технічні заходи, визначені в пункті 6 розділу XIII цього Положення, та забезпечити належний контроль за їх виконанням.".
5. Розділ XIII викласти в такій редакції:
"XIII. Загальні вимоги до платіжних організацій платіжних систем, учасників
платіжних систем та операторів послуг платіжної інфраструктури
1. Платіжна організація платіжної системи (крім внутрішньобанківської платіжної системи), її учасники та оператори послуг платіжної інфраструктури, які надають послуги в цій платіжній системі, діють відповідно до правил цієї платіжної системи і вимог законодавства з питань діяльності платіжних систем та переказу коштів.
Платіжна організація платіжної системи здійснює контроль за діяльністю своїх учасників та операторів послуг платіжної інфраструктури, які надають послуги в цій платіжній системі, у частині виконання ними правил цієї платіжної системи.
2. Платіжні організації платіжних систем-резиденти, учасники платіжних систем зобов'язані вести реєстр пунктів приймання та виплати готівки, платіжних пристроїв та забезпечувати актуальність даних у ньому.
3. Платіжні організації платіжних систем-резиденти та учасники платіжних систем зобов'язані забезпечити зберігання інформації про кожну операцію з переказу коштів, здійснену в платіжній системі, у системі обліку платіжної організації / учасника платіжної системи, у встановленому ними порядку, з можливістю відновлення даних про дату здійснення операції (із зазначенням годин, хвилин та секунд), ініціатора та отримувача переказу, місця ініціювання та виплати переказу, суму та валюту переказу коштів.
Платіжна організація міжнародної платіжної системи-нерезидент зберігає інформацію про кожну операцію з переказу коштів відповідно до правил такої платіжної системи.
4. Платіжна організація платіжної системи зобов'язана доводити інформацію, отриману від Національного банку, що стосується надання послуг учасниками та операторами послуг платіжної інфраструктури, до їх відома для використання в роботі.
5. Платіжні організації платіжних систем-резиденти та учасники платіжних систем для забезпечення безперервності діяльності повинні здійснювати організаційні та технічні заходи, визначені в підпунктах 1 - 6 пункту 6 розділу XIII цього Положення, та забезпечити належний контроль за їх виконанням.
6. Організаційні та технічні заходи для забезпечення безперервності діяльності:
1) створення детальної схеми комплексу програмно-апаратних засобів із описом функціонального призначення та взаємозв'язку його компонентів;
2) визначення переліку критично важливих компонентів комплексу програмно-апаратних засобів та особливо важливих даних, необхідних для надання послуг, та запровадження політики їх резервування та відновлення;
3) забезпечення роботи критично важливих компонентів комплексу програмно-апаратних засобів джерелами безперебійного електроживлення;
4) здійснення резервного копіювання баз даних та інших особливо важливих даних;
5) забезпечення моніторингу всіх компонентів комплексу програмно-апаратних засобів, реєстрації та аналізу інцидентів, пов'язаних із порушенням безперервності діяльності;
6) забезпечення дотримання вимог законодавства України у сфері інтелектуальної власності під час використання програмного забезпечення на всіх компонентах комплексу програмно-апаратних засобів;
7) зберігання електронних архівів, архівів особливо важливих даних, а також програмних засобів, що необхідні для відновлення змісту баз даних, на зовнішніх носіях щонайменше в одному примірнику в приміщенні за основним місцезнаходженням та додатковий примірник у приміщенні (кімнаті), територіально віддаленому(ній) від основного;
8) здійснення аналізу можливих загроз безперервному функціонуванню комплексу програмно-апаратних засобів, забезпечення мінімізації їх можливого впливу та планування дій для випадків їх можливої реалізації;
9) розроблення інструкцій дій обслуговуючого персоналу щодо попередження порушень у разі настання надзвичайної ситуації та відновлення функціонування комплексу програмно-апаратних засобів, їх аналіз та перегляд не рідше одного разу на рік;
10) забезпечення наявності інструкцій із супроводження та експлуатації комплексу програмно-апаратних засобів;
11) навчання обслуговуючого персоналу супроводженню та експлуатації комплексу програмно-апаратних засобів і діям для відновлення його функціонування;
12) визначення порядку внесення змін до програмного забезпечення та конфігурації всіх компонентів комплексу програмно-апаратних засобів;
13) забезпечення обслуговування та технічної підтримки [надання консультацій користувачам (включаючи проблеми, що виникли під час експлуатації), ремонт та заміна непрацюючого обладнання, установлення оновлень / нових версій та виправлень помилок програмного забезпечення] усіх компонентів комплексу програмно-апаратних засобів;
14) забезпечення взаємодії та комунікацій у надзвичайній ситуації з користувачами та заінтересованими особами.
Вимоги до резервного копіювання баз даних та інших особливо важливих даних, а також інші вимоги щодо забезпечення безпеки електронних платежів та захисту даних визначаються іншими нормативно-правовими актами Національного банку.
7. Платіжна організація платіжної системи-резидент, учасники платіжних систем та оператори послуг платіжної інфраструктури після виникнення кожного порушення безперервності діяльності зобов'язані документально зафіксувати інформацію про:
1) дату та час виникнення порушення безперервності діяльності платіжної системи;
2) тривалість порушення безперервності діяльності платіжної системи;
3) причини виникнення порушення безперервності діяльності платіжної системи;
4) види послуг, на безперервність яких вплинуло порушення;
5) заходи, ужиті для відновлення діяльності та недопущення надалі порушень безперервності діяльності платіжної системи, - для платіжної організації платіжної системи-резидента;
6) заходи, ужиті для відновлення діяльності та недопущення надалі порушень безперервності діяльності в платіжній системі, - для учасників платіжних систем та операторів послуг платіжної інфраструктури.
Платіжна організація платіжної системи-резидент, учасники платіжних систем та оператори послуг платіжної інфраструктури зобов'язані протягом трьох робочих днів після виникнення кожного порушення безперервності діяльності надавати Національному банку інформацію, зазначену в підпунктах 1 - 6 пункту 7 розділу XIII цього Положення.
Інформація про порушення безперервності діяльності платіжної системи за наведеними в підпунктах 1 - 6 пункту 7 розділу XIII цього Положення показниками надсилаються Національному банку засобами системи електронної пошти Національного банку (у разі підключення) або на паперовому носії засобами поштового зв'язку.
8. Платіжні організації платіжних систем-резиденти, учасники платіжних систем та оператори послуг платіжної інфраструктури зобов'язані здійснювати реєстрацію звернень користувачів з питань діяльності платіжної системи та переказу коштів, включаючи звернення щодо помилкових та неналежних переказів, шляхом унесення відомостей до журналу реєстрації звернень користувачів. Журнал ведеться в електронній формі та повинен містити:
1) порядковий номер;
2) дату надходження звернення;
3) дату звернення;
4) номер звернення;
5) прізвище, ім'я, по батькові особи, яка звертається;
6) вид звернення (усне чи письмове);
7) короткий зміст звернення;
8) прізвище, ім'я та по батькові відповідального працівника, який зареєстрував звернення;
9) рішення, прийняті за результатами звернення;
10) дату та номер вихідного документа (у разі надсилання відповіді в письмовій формі);
11) дату відповіді на звернення (якщо відповідь надається в телефонному режимі або електронною поштою).
Журнал реєстрації звернень користувачів ведеться із забезпеченням захисту інформації, що міститься в ньому, відповідно до законодавства України.
9. Платіжні організації платіжних систем-резиденти, учасники платіжних систем та оператори послуг платіжної інфраструктури зобов'язані:
1) мати власний офіційний веб-сайт і протягом 15 календарних днів із дня початку надання послуг повідомити Національний банк про його адресу;
2) протягом 15 календарних днів із дня зміни адреси власного офіційного веб-сайта повідомити про це Національний банк.
10. Платіжна організація платіжної системи-резидент зобов'язана оприлюднювати на власному офіційному веб-сайті таку актуальну інформацію:
1) відомості, що підтверджують унесення платіжної системи до Реєстру;
2) опис організаційної структури платіжної системи;
3) склад керівних органів платіжної організації платіжної системи;
4) умови участі в платіжній системі;
5) перелік учасників платіжної системи;
6) порядок припинення участі та виключення учасника платіжної системи, який порушує вимоги щодо участі в платіжній системі або більше їм не відповідає;
7) опис послуг, що надаються платіжною системою, включаючи всіх платні послуги;
8) вартість послуг, що надаються користувачам платіжної системи (розмір комісійної винагороди / плату за здійснення операції);
9) перелік прав і обов'язків платіжної організації платіжної системи та її учасників;
10) порядок вирішення спорів між учасниками та користувачами платіжної системи;
11) порядок (умови) здійснення переказу коштів;
12) місця розташування програмно-технічних комплексів самообслуговування, пунктів приймання та виплати готівки, які використовуються для здійснення переказів коштів у платіжній системі;
13) інформацію щодо номера контактного телефону, поштової адреси та адреси електронної пошти;
14) види валют переказу коштів;
15) курси обміну валют.
Вимоги підпунктів 4 - 6, 9, 10 пункту 10 розділу XIII цього Положення не поширюються на платіжні організації внутрішньобанківських платіжних систем.
11. Учасники платіжних систем зобов'язані оприлюднювати на власному офіційному веб-сайті та моніторі платіжних пристроїв актуальну інформацію щодо:
1) свого найменування та місцезнаходження;
2) платіжних систем, учасниками яких вони є, а також найменування та місцезнаходження платіжних організацій зазначених платіжних систем;
3) послуг, які ними надаються;
4) порядку (умов) здійснення переказу коштів;
5) строків зарахування коштів отримувачам;
6) найменування отримувачів коштів, на користь яких здійснюються перекази коштів та з якими укладені відповідні договори;
7) вартості послуг з переказу коштів (розмір комісійної винагороди / плата за здійснення операції);
8) місця розташування програмно-технічних комплексів самообслуговування;
9) порядку вирішення спорів між учасниками та користувачами платіжних систем;
10) номера контактного телефону, поштової адреси та адреси електронної пошти;
11) видів валют переказу коштів;
12) курсу обміну валют.
Учасники платіжних систем зобов'язані оприлюднювати на власному офіційному веб-сайті актуальну інформацію щодо пунктів приймання та виплати готівки, які використовуються ними для здійснення переказу коштів.
Учасники платіжних систем зобов'язані оприлюднювати на моніторі платіжних пристроїв актуальну інформацію щодо режиму роботи платіжних пристроїв.
12. Платіжні організації платіжних систем-резиденти, учасники платіжних систем зобов'язані оприлюднювати в пунктах приймання та виплати готівки, які використовуються ними для здійснення переказу коштів, інформацію щодо:
1) найменування платіжної системи;
2) найменування та місцезнаходження платіжної організації / учасника платіжної системи;
3) послуг, які ними надаються згідно з правилами платіжної системи, узгодженими Національним банком;
4) номера контактного телефону, поштової адреси та адреси електронної пошти;
5) режиму роботи.
Платіжні організації платіжних систем-резиденти, учасники платіжних систем зобов'язані в пунктах приймання та виплати готівки, які використовуються ними для здійснення переказу коштів, на вимогу клієнта надавати інформацію, визначену пунктом 11 розділу XIII цього Положення.
13. Платіжна організація платіжної системи зобов'язана надавати роз'яснення учасникам платіжної системи стосовно їх участі в платіжній системі та пов'язаних із цим ризиків та проводити консультації:
1) з новими учасниками платіжної системи - перед початком надання ними послуг у платіжній системі;
2) з діючими учасниками платіжної системи - не рідше одного разу на рік.
14. Учасники платіжних систем, які використовують комерційне найменування / торговельну марку / знак для товарів та послуг, що відрізняються від найменування платіжної системи, послуги якої надаються, зобов'язані під час надання послуг із переказу коштів та/або їх рекламування зазначати найменування платіжної системи перед комерційним найменуванням / торговельною маркою / знаком для товарів та послуг. Найменування платіжної системи подається шрифтом та/або розміром не менше половини розміру шрифту та/або розміру, яким подано комерційне найменування / торговельну марку / знак для товарів та послуг.
15. Платіжна організація платіжної системи зобов'язана надавати учасникам платіжної системи, розрахунковому банку платіжної системи, оператору послуг платіжної інфраструктури інформацію про порядок:
1) повідомлення заінтересованих осіб про виникнення надзвичайної ситуації;
2) взаємодії та комунікацій у надзвичайній ситуації між працівниками платіжної організації платіжної системи, а також платіжною організацією платіжної системи та заінтересованими особами;
3) дій щодо забезпечення виконання/надання критичних операцій/послуг у разі відмови телекомунікаційних мереж та/або окремих складових програмно-технічного забезпечення.
Платіжна організація платіжної системи зобов'язана надавати учасникам платіжної системи, розрахунковому банку платіжної системи, оператору послуг платіжної інфраструктури інформацію, необхідну для забезпечення безперервності діяльності платіжної системи та управління ризиками в платіжній системі.
16. Платіжна організація платіжної системи зобов'язана забезпечити збереження та нерозголошення інформації, що може загрожувати безпеці та цілісності платіжної системи, та інформації, що містить комерційну таємницю та/або конфіденційну інформацію про учасників платіжної системи.
17. Платіжна організація платіжної системи та її учасники зобов'язані здійснювати контроль за діяльністю операторів послуг платіжної інфраструктури в межах послуг, що надаються ними в платіжній системі.
18. Оператор послуг платіжної інфраструктури зобов'язаний:
1) виявляти та управляти операційними ризиками, що притаманні послугам, які надаються ним у платіжній системі;
2) забезпечувати належний рівень захисту інформації відповідно до вимог законодавства України;
3) забезпечувати доступність та надійність критичних послуг, які він надає в платіжній системі;
4) забезпечувати своєчасне відновлення надання критичних послуг у разі настання надзвичайної ситуації;
5) повідомляти платіжну організацію платіжної системи / учасника платіжної системи, якій(ому) він надає послуги, про порушення своєї діяльності, що можуть вплинути на безперервність діяльності платіжної системи;
6) забезпечувати ефективний обмін інформацією з платіжною організацією / учасником платіжної системи, якій(ому) він надає послуги;
7) погоджувати з платіжною організацією платіжної системи / учасником платіжної системи, якій(ому) він надає послуги, передавання виконання функцій іншому оператору послуг платіжної інфраструктури, відомості щодо якого внесені до Реєстру, та забезпечити отримання необхідної інформації платіжною організацією / учасником платіжної системи щодо наданих послуг;
8) повідомляти платіжну організацію платіжної системи / учасника платіжної системи, якій(ому) він надає послуги, про внесення змін до програмно-технічних засобів, які оператор послуг платіжної інфраструктури використовує для надання послуг у платіжній системі;
9) забезпечити зберігання інформації про кожну операцію в розрізі платіжних систем, у яких він надає послуги, у встановленому ним порядку, з можливістю відновлення даних про дату здійснення операції (із зазначенням годин, хвилин та секунд), ініціатора та отримувача переказу, місця ініціювання та виплати переказу, суму та валюту переказу коштів;
10) зберігати інформацію про кожну операцію з переказу коштів у міжнародній платіжній системі, створеній нерезидентом, відповідно до правил такої платіжної системи;
11) надавати свої послуги згідно з узгодженими з Національним банком умовами та порядком його діяльності;
12) здійснювати організаційні та технічні заходи, визначені в підпунктах 1 - 6 пункту 6 розділу XIII цього Положення, та забезпечити належний контроль за їх виконанням;
13) опубліковувати на власному офіційному веб-сайті повне найменування юридичних осіб (платіжних організацій платіжних систем та учасників платіжних систем), яким він надає послуги як оператор послуг платіжної інфраструктури.
19. Значущий оператор послуг платіжної інфраструктури для забезпечення безперервності діяльності зобов'язаний здійснювати організаційні та технічні заходи, визначені в пункті 6 розділу XIII цього Положення, та забезпечити належний контроль за їх виконанням.".
6. У розділі XIV:
1) у пункті 19 слова "поштовим зв'язком із повідомленням про вручення" виключити;
2) у пункті 20 слова "засвідчуються підписом керівника платіжної організації платіжної системи і відбитком печатки" замінити словами "підписуються керівником платіжної організації платіжної системи".
Директор Департаменту платіжних систем та інноваційного розвитку О. М. Яблунівський