ЗАХИСТ ІНФОРМАЦІЇ ПРИ ПРОВЕДЕННІ ПЕРЕКАЗУ
Розділ VIII
ЗАХИСТ ІНФОРМАЦІЇ ПРИ ПРОВЕДЕННІ
ПЕРЕКАЗУ
Стаття 38. Вимоги щодо захисту інформації
38.1. Система захисту інформації повинна забезпечувати
безперервний захист інформації щодо переказу коштів на усіх етапах
її формування, обробки, передачі та зберігання.
38.2. Електронні документи на переказ, розрахункові
документи та документи за операціями із застосуванням електронних
платіжних засобів, що містять банківську таємницю, під час їх
передавання засобами телекомунікаційного зв\’язку повинні бути
зашифровані згідно з вимогами відповідної платіжної системи, а за
їх відсутності – відповідно до законів України та
нормативно-правових актів Національного банку України. { Пункт
38.2 статті 38 в редакції Закону N 2056-IV ( 2056-15 ) від
06.10.2004 }
38.3. Порядок захисту та використання засобів захисту
інформації щодо переказу визначається законами України,
нормативно-правовими актами Національного банку України та
правилами платіжних систем.
Порядок захисту та використання засобів захисту інформації
учасниками міжнародних платіжних систем визначається правилами цих
систем, а за відсутності в таких правилах відповідних положень –
законами України та нормативно-правовими актами Національного
банку України. { Пункт 38.3 статті 38 доповнено абзацом другим
згідно із Законом N 2056-IV ( 2056-15 ) від 06.10.2004; із
змінами, внесеними згідно із Законом N 5518-VI ( 5518-17 ) від
06.12.2012 }
38.4. Захист інформації забезпечується суб\’єктами переказу
коштів шляхом обов\’язкового впровадження та використання
відповідної системи захисту, що складається з:
1) законодавчих актів України та інших нормативно-правових
актів, а також внутрішніх нормативних актів суб\’єктів переказу, що
регулюють порядок доступу та роботи з відповідною інформацією, а
також відповідальність за порушення цих правил;
2) заходів охорони приміщень, технічного обладнання
відповідної платіжної системи та персоналу суб\’єкта переказу;
3) технологічних та програмно-апаратних засобів
криптографічного захисту інформації, що обробляється в платіжній
системі.
38.5. Система захисту інформації повинна забезпечувати:
1) цілісність інформації, що передається в платіжній системі,
та компонентів платіжної системи;
2) конфіденційність інформації під час її обробки,
передавання та зберігання в платіжній системі;
3) неможливість відмови ініціатора від факту передавання та
отримувачем від факту прийняття документа на переказ, документа за
операціями із застосуванням засобів ідентифікації, документа на
відкликання;
4) забезпечення постійного та безперешкодного доступу до
компонентів платіжної системи особам, які мають на це право або
повноваження, визначені законодавством України, а також
встановлені договором.
38.6. Розробка заходів охорони, технологічних та
програмно-апаратних засобів криптографічного захисту здійснюється
платіжною організацією відповідної платіжної системи, її
учасниками або іншою установою на їх замовлення.
{ Пункт 38.6 статті 38 в редакції Закону N 2056-IV ( 2056-15 ) від
06.10.2004 }
Стаття 39. Відповідальність суб\’єктів переказу за
забезпечення захисту інформації
39.1. Суб\’єкти переказу зобов\’язані виконувати встановлені
законодавством України та правилами платіжних систем вимоги щодо
захисту інформації, яка обробляється за допомогою цих платіжних
систем. Правила платіжних систем мають передбачати
відповідальність за порушення цих вимог з урахуванням вимог
законодавства України.
39.2. При проведенні переказу його суб\’єкти мають здійснювати
в межах своїх повноважень захист відповідної інформації від:
1) несанкціонованого доступу до інформації – доступу до
інформації щодо переказу, що є банківською таємницею або є
інформацією з обмеженим доступом, осіб, які не мають на це прав
або повноважень, визначених законодавством України, а також якщо
це не встановлено договором.
До банківської таємниці належить інформація, визначена
Законом України \”Про банки і банківську діяльність\” ( 2121-14 ), а
до інформації з обмеженим доступом – інформація, що визначається
іншими законами.
Взаємодія між банками або іншими установами – учасниками
платіжної системи та уповноваженими державними органами щодо
надання на письмові запити цих органів інформації в межах,
необхідних для виконання цими державними органами своїх функцій,
здійснюється шляхом надання довідок в обсягах, визначених
законодавством України, та з урахуванням вимог стосовно
банківської таємниці та інформації з обмеженим доступом;
2) несанкціонованих змін інформації – внесення змін або
часткового чи повного знищення інформації щодо переказу особами,
які не мають на це права або повноважень, визначених
законодавством України, а також встановлених договором;
3) несанкціонованих операцій з компонентами платіжних
систем – використання або внесення змін до компонентів платіжної
системи протягом її функціонування особами, які не мають на це
права або повноважень, визначених законодавством України, а також
встановлених договором.
{ Пункт 39.2 статті 39 із змінами, внесеними згідно із Законом
N 5284-VI ( 5284-17 ) від 18.09.2012 }
39.3. Суб\’єкти переказу зобов\’язані повідомляти платіжну
організацію відповідної платіжної системи про випадки порушення
вимог захисту інформації. У разі виявлення при цьому ознак, що
можуть свідчити про вчинення злочину, суб\’єкти переказу та інші
учасники платіжних систем зобов\’язані повідомити про такий випадок
порушення вимог захисту інформації відповідні правоохоронні
органи.
39.4. Працівники суб\’єктів переказу повинні виконувати вимоги
щодо захисту інформації при здійсненні переказів, зберігати
банківську таємницю та підтримувати конфіденційність інформації,
що використовується в системі захисту цієї інформації.
Працівники суб\’єктів переказу несуть відповідальність за
неналежне використання та зберігання засобів захисту інформації,
що використовуються при здійсненні переказів, відповідно до
закону.
39.5. Для належної ідентифікації суб\’єктів помилкових та
неналежних переказів та вжиття заходів щодо запобігання або
припинення зазначених переказів учасники платіжної системи повинні
повідомляти інших учасників системи про таких суб\’єктів та
перекази в обсягах, встановлених правилами відповідної платіжної
системи або договорами між ними. На підставі договорів та
відповідно до цього Закону зазначену діяльність має право
здійснювати юридична особа, засновниками якої є учасники платіжних
систем, процесингові установи, платіжні організації. Учасники
платіжної системи та заснована ними юридична особа повинні
забезпечити технологічний та програмно-апаратний захист
персональних даних суб\’єктів помилкових чи неналежних переказів
згідно із цим Законом.
{ Статтю 39 доповнено пунктом 39.5 згідно із Законом N 2056-IV
( 2056-15 ) від 06.10.2004; із змінами, внесеними згідно із
Законом N 5284-VI ( 5284-17 ) від 18.09.2012 }
Стаття 40. Порядок надання інформаційних послуг
40.1. Якщо учасник платіжної системи або його клієнт бере
участь у розгляді спору судом, розрахунковий банк цієї платіжної
системи чи клірингова установа зобов\’язані надавати цьому учаснику
платіжної системи або його клієнту, а також судам та органам
досудового слідства послуги для визначення достовірності
інформації, яка міститься в електронних документах, що
обробляються платіжною системою, яку обслуговує цей розрахунковий
банк, ця клірингова установа.
Суди та органи досудового слідства не можуть відмовити у
прийнятті як доказу електронного документа та вимагати надання
паперового документа.
40.2. Порядок оплати учасником платіжної системи або його
клієнтом послуг, визначених пунктом 40.1 цієї статті, здійснюється
за тарифами, встановленими розрахунковим банком.
Стаття 40-1. Порядок проведення моніторингу
Еквайр та емітент повинні проводити моніторинг з метою
ідентифікації помилкових та неналежних переказів, суб\’єктів
помилкових та неналежних переказів та вжиття заходів із
запобігання або припинення зазначених переказів.
Моніторинг має проводитися постійно за параметрами,
встановленими правилами відповідної платіжної системи.
Національний банк України може встановлювати загальні
параметри моніторингу для всіх платіжних систем (груп платіжних
систем).
За результатами моніторингу еквайр або емітент для належної
ідентифікації суб\’єкта переказу має право доручити торгівцю
здійснити перевірку документів суб\’єкту переказу. В інших випадках
еквайр не має права зобов\’язувати торгівця, а торгівець не має
права вимагати від держателя платіжної картки, суб\’єкта переказу
пред\’явлення документів, що посвідчують особу, як засобу
ідентифікації держателя, якщо це не передбачено правилами
відповідної платіжної системи та/або умовами використання картки,
встановленими емітентом.
{ Розділ VIII доповнено статтею 40-1 згідно із Законом N 2056-IV
( 2056-15 ) від 06.10.2004 }
Розділ IX
НАГЛЯД (ОВЕРСАЙТ) ПЛАТІЖНИХ СИСТЕМ ТА СИСТЕМ РОЗРАХУНКІВ
І КОНТРОЛЬ ЗА ПРОВЕДЕННЯМ ПЕРЕКАЗУ
{ Назва розділу IX в редакції Закону N 5178-VI ( 5178-17 ) від
06.07.2012; із змінами, внесеними згідно із Законом N 5518-VI
( 5518-17 ) від 06.12.2012 }
Стаття 41. Здійснення нагляду (оверсайту) платіжних систем та
систем розрахунків
{ Назва статті 41 із змінами, внесеними згідно із Законом
N 5518-VI ( 5518-17 ) від 06.12.2012 }
41.1. Національний банк України здійснює нагляд (оверсайт)
платіжних систем та систем розрахунків (далі – нагляд (оверсайт)
платіжних систем) у частині їх діяльності в Україні відповідно до
цього Закону, Закону України \”Про Національний банк України\”
( 679-14 ) та нормативно-правових актів Національного банку
України.
41.2. Об’єктами нагляду (оверсайту) платіжних систем є
платіжні організації платіжних систем, клірингові та процесингові
установи, учасники платіжних систем, інші особи, уповноважені
надавати окремі види послуг або здійснювати операційні та інші
технологічні функції в платіжних системах.
41.3. Національний банк України має право встановлювати такі
категорії важливості платіжних систем: системно важливі, важливі
та соціально важливі платіжні системи, а також вимоги до таких
систем. Критеріями визначення важливості платіжних систем є обсяги
операцій і види послуг, які надаються платіжними системами.
Національний банк України здійснює оцінювання системно
важливих платіжних систем, важливих платіжних систем та соціально
важливих платіжних систем на відповідність вимогам законодавства
України та міжнародним стандартам нагляду (оверсайту) платіжних
систем для мінімізації ризиків, які властиві платіжним системам.
41.4. Порядок здійснення нагляду (оверсайту) платіжних систем
визначається нормативно-правовими актами Національного банку
України.
41.5. Національний банк України має право безоплатно
отримувати інформацію з питань діяльності платіжних систем від
об’єктів нагляду (оверсайту) та проводити їх перевірки в порядку
та у строки, що встановлені нормативно-правовими актами
Національного банку України.
41.6. Національний банк України має право вимагати від
об’єктів нагляду (оверсайту) усунення порушень законодавства
України з питань діяльності платіжних систем, а також
застосовувати до них такі заходи впливу:
проведення переговорів з особами, які є об’єктами
нагляду (оверсайту), стосовно необхідності приведення їх
діяльності у відповідність із встановленими вимогами;
письмове застереження щодо усунення порушень;
обмеження, зупинення чи припинення надання окремих видів
послуг у платіжних системах в Україні;
накладання штрафів на посадових осіб юридичних осіб або
фізичних осіб – підприємців, які є об’єктами нагляду (оверсайту),
у порядку, встановленому законодавством України;
виключення платіжної системи/учасника платіжної
системи/оператора послуг платіжної інфраструктури з реєстру
платіжних систем, систем розрахунків, учасників цих систем та
операторів послуг платіжної інфраструктури;
заборона здійснення діяльності в Україні.
41.7. Посадові особи юридичних осіб або фізичні особи –
підприємці, які є об’єктами нагляду (оверсайту), за порушення
законодавства України з питань діяльності платіжних систем несуть
адміністративну відповідальність згідно із законодавством України.
41.8. Національний банк України для здійснення нагляду
(оверсайту) платіжних систем співпрацює з органами державної влади
України, центральними банками інших держав та міжнародними
організаціями.
{ Стаття 41 в редакції Закону N 5178-VI ( 5178-17 ) від
06.07.2012; текст статті 41 із змінами, внесеними згідно із
Законом N 5518-VI ( 5518-17 ) від 06.12.2012 }
Стаття 42. Здійснення контролю за проведенням переказу
42.1. Контроль за дотриманням учасниками платіжних систем
нормативно-правових актів, що регламентують порядок проведення
переказу, а також застосування відповідних заходів впливу,
передбачених законодавством України, покладаються на Національний
банк України.
{ Пункт 42.2 статті 42 виключено на підставі Закону N 5518-VI
( 5518-17 ) від 06.12.2012 }
42.3. Національний банк України має право встановлювати
обов\’язкові вимоги та обмеження щодо діяльності банку як еквайра
та/або емітента, якщо діяльність цього банку призвела до порушення
безпеки переказів з використанням електронних платіжних засобів,
що мало наслідками фінансові втрати держателів електронних
платіжних засобів.