Төлем жүйелеріне қолжетімділікті қамтамасыз ететін ұйымдастыру шараларына және бағдарламалық-техникалық құралдарға қойылатын талаптарды бекіту туралы

Қазақстан Республикасы Ұлттық Банкі Басқармасының 2016 жылғы 31 тамыздағы № 200 қаулысы. Қазақстан Республикасының Әділет министрлігінде 2016 жылы 5 қазанда № 14289 болып тіркелді.

      ЗҚАИ-ның ескертпесі!
      Кіріспе жаңа редакцияда көзделген - ҚР Ұлттық Банкі Басқармасының 25.12.2023 № 105 (01.07.2024 бастап қолданысқа енгізіледі) қаулысымен.

      "Қазақстан Республикасының Ұлттық Банкі туралы" 1995 жылғы 30 наурыздағы, "Төлемдер және төлем жүйелері туралы" 2016 жылғы 26 шілдедегі Қазақстан Республикасының заңдарына сәйкес, төлем жүйелеріне қолжетімділікті қамтамасыз ететін ұйымдастыру шараларына және бағдарламалық-техникалық құралдарға қойылатын талаптарды белгілеу мақсатында Қазақстан Республикасы Ұлттық Банкінің Басқармасы ҚАУЛЫ ЕТЕДІ:

      1. Қоса беріліп отырған Төлем жүйелеріне қолжетімділікті қамтамасыз ететін ұйымдастыру шараларына және бағдарламалық-техникалық құралдарға қойылатын талаптар (бұдан әрі – Талаптар) бекітілсін.

      2. Мыналардың күші жойылды деп танылсын:

      1) "Төлем жүйелеріне қолжетімділікті қамтамасыз ететін ұйымдастыру шараларына және бағдарламалық-техникалық құралдарға қойылатын талаптарды бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2012 жылғы 24 тамыздағы № 269 қаулысы (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 7950 тіркелген, 2012 жылғы 8 желтоқсанда "Егемен Қазақстан" газетінде № 809-814 (27885) жарияланған);

      2) "Банктердің және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың төлем жүйелеріне кіруін қамтамасыз ететін ұйымдастыру шараларына және бағдарламалық-техникалық құралдарға қойылатын талаптарын бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2012 жылғы 24 тамыздағы № 269 қаулысына өзгерістер мен толықтырулар енгізу туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2016 жылғы 28 қаңтардағы № 35 қаулысы (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 13187 тіркелген, 2016 жылғы 14 наурызда Қазақстан Республикасы нормативтік құқықтық актілерінің "Әділет" ақпараттық-құқықтық жүйесінде жарияланған).

      3. Төлем жүйелері департаменті (Ашықбеков Е.Т.) Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

      1) Заң департаментімен (Сәрсенова Н.В.) бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы қаулыны "Қазақстан Республикасы Әділет министрлігінің Республикалық құқықтық ақпарат орталығы" шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорнына;

      Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелгенінен кейін күнтізбелік он күн ішінде "Әділет" ақпараттық-құқықтық жүйесінде ресми жариялауға;

      Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелген күннен бастап күнтізбелік он күн ішінде Қазақстан Республикасы нормативтік құқықтық актілерінің мемлекеттік тізіліміне, Қазақстан Республикасы нормативтік құқықтық актілерінің эталондық бақылау банкіне енгізуге жіберуді;

      3) осы қаулы ресми жарияланғаннан кейін оны Қазақстан Республикасы Ұлттық Банкінің ресми интернет-ресурсына орналастыруды қамтамасыз етсін.

      4. Қаржылық қызметтерді тұтынушылардың құқықтарын қорғау және сыртқы коммуникациялар басқармасы (Терентьев А.Л.) осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелгеннен кейін күнтізбелік он күн ішінде мерзімді баспасөз басылымдарына ресми жариялауға жіберуді қамтамасыз етсін.

      5. Осы қаулының орындалуын бақылау Қазақстан Республикасының Ұлттық Банкі Төрағасының орынбасары Ғ.О. Пірматовқа жүктелсін.

      6. Осы қаулы Талаптардың 2017 жылғы 1 қаңтардан бастап қолданысқа енгізілетін 58, 59, 60, 61, 62, 63 және 64-тармақтарын қоспағанда, алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Ұлттық Банк
Төрағасы
Д. Ақышев

  Қазақстан Республикасы
  Ұлттық Банкі Басқармасының
  2016 жылғы 31 тамыздағы
  № 200 қаулысымен
  бекітілген

Төлем жүйелеріне қолжетімділікті қамтамасыз ететін ұйымдастыру
шараларына және бағдарламалық-техникалық құралдарға қойылатын талаптар

1-тарау. Жалпы ережелер

      1. Төлем жүйелеріне қолжетімділікті қамтамасыз ететін ұйымдастыру шараларына және бағдарламалық-техникалық құралдарға қойылатын талаптар (бұдан әрі – Талаптар) "Қазақстан Республикасының Ұлттық Банкі туралы" 1995 жылғы 30 наурыздағы (бұдан әрі – Ұлттық Банк туралы заң), "Төлемдер және төлем жүйелері туралы" 2016 жылғы 26 шілдедегі (бұдан әрі – Төлемдер және төлем жүйелері туралы заң) Қазақстан Республикасының заңдарына сәйкес әзірленді және операторы Ұлттық Банк болып табылатын төлем жүйелеріне (бұдан әрі – төлем жүйесі) қолжетімділікті қамтамасыз ететін ұйымдастыру шараларына және бағдарламалық-техникалық құралдарға қойылатын талаптарды айқындайды.

      Талап төлем жүйесін пайдаланушының жұмыс орнын орналастырудан, төлем жүйесін пайдаланушының және "Қазақстан Республикасы Ұлттық Банкінің Қазақстан банкаралық есеп айырысу орталығы" шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорынның (бұдан әрі – Орталық) өзара іс қимылынан, төлем жүйесінің терминалынан, негізгі ақпараттан, төлем жүйесін пайдаланушының жұмыс орнына қойылатын талаптардан, қызмет көрсететін қызметкердің жұмысын ұйымдастырудан, операциялық тәуекелді басқаруға және төлем жүйесін пайдаланушы қызметінің үздіксіздігін қамтамасыз етуге қойылатын талаптардан тұрады.

      2. Талаптар төлем жүйесінің барлық пайдаланушыларына қолданылады.

      3. Талаптарда Төлемдер және төлем жүйелері туралы заңда көзделген ұғымдар және мынадай ұғымдар пайдаланылады:

      1) аутентификация - төлем және ақпараттық хабарлармен алмасу кезінде жүйені пайдаланушылардың қатысу түпнұсқалылығын растауға, сондай-ақ төлем және ақпараттық хабарлардың түпнұсқалылығын растауға арналған шаралар кешені;

      2) куәландыратын орталық – электрондық цифрлық қолтаңбаның ашық кілтінің электрондық цифрлық қолтаңбаның жабық кілтіне сәйкестігін куәландыратын, сондай-ақ тіркеу куәлігінің дұрыстығын растайтын заңды тұлға;

      3) кіруді бақылау құралдары - техникалық, бағдарламалық немесе объектілерге кіру туралы ақпаратты тіркеуге мүмкіндік беретін басқа құралдар;

      4) негізгі ақпарат – криптографиялық кілттер (ашық және жабық) немесе ақпаратты криптографиялық қайта өзгертуді жүзеге асыруға мүмкіндік беретін басқа ақпарат;

      5) операциялық тәуекел – ақпараттық жүйелердің жұмысындағы немесе ішкі процестердегі бұзушылықтармен, қателермен, төлем жүйесін басқарудағы іркілістермен немесе бұзушылықтармен байланысты, оның ішінде сыртқы оқиғалардың салдарынан болған тәуекел;

      6) рұқсатсыз кіру – Қазақстан Республикасының заңнамасын, сондай-ақ оған кірудің төлем жүйесін пайдаланушы белгілеген тәртібін бұза отырып ақпараттық және бағдарламалық ресурстарға кіру;

      7) рұқсатсыз кіруден қорғайтын бағдарламалық-аппараттық кешен – дербес компьютерді бөтен адамдардың пайдалануынан, сондай-ақ тіркелген пайдаланушылардың ақпараттық және бағдарламалық ресурстарға кіру бойынша өкілеттіктерін шектеуге арналған қорғау жүйесі;

      8) стандартты емес жағдай – операциялық тәуекелді іске асыру салдарынан төлем жүйесін пайдаланушының бағдарламалық-техникалық кешенінің жұмысындағы іркілістер (бұзушылықтар);

      9) төлем жүйесін пайдаланушы – Орталықпен төлем жүйесінде қызмет көрсету туралы шарт жасаған заңды тұлғалар және басқа төлем жүйелерінің операторы (операциялық орталығы);

      10) төлем жүйесін пайдаланушының ақпараттық жүйесі – төлем жүйесін пайдаланушы төлем жүйесінің терминалы арқылы одан әрі төлем жүйесіне жіберуге арналған электрондық құжаттарды қалыптастыру немесе түрлендіру үшін пайдаланатын бағдарламалық қамтамасыз ету;

      11) төлем жүйесін пайдаланушының бағдарламалық-техникалық кешені – төлем жүйесін пайдаланушының төлем жүйесінде жұмыс істеуін қамтамасыз ететін, төлем жүйесін пайдаланушының ақпараттық жүйесін, жұмыс орнын, төлем жүйесімен коммуникация (деректер беру) құралдарын қамтитын техникалық, бағдарламалық немесе басқа құралдар;

      12) төлем жүйесін пайдаланушының бағдарламалық-техникалық кешенінің негізгі орталығы (бұдан әрі – негізгі орталық) – төлем жүйесін пайдаланушының төлем жүйесінде әдеттегі (күнделікті) режімде жұмыс істеуін қамтамасыз ететін төлем жүйесін пайдаланушының бағдарламалық-техникалық кешені;

      13) төлем жүйесін пайдаланушының бағдарламалық-техникалық кешенінің резервтік орталығы (бұдан әрі – резервтік орталық) – төлем жүйесін пайдаланушының стандартты емес жағдайлар туындаған немесе негізгі орталықта жоспарлы тест жұмыстары жүргізілген кезде төлем жүйесін пайдаланушының төлем жүйесінде жұмыс істеуін қамтамасыз ететін резервтік бағдарламалық-техникалық кешені;

      14) төлем жүйесін пайдаланушының жұмыс орны – төлем жүйесіне қолжетілімділікті қамтамасыз ететін төлем жүйесінің терминалы орнатылған дербес компьютер (сервер);

      15) төлем жүйесін пайдаланушының жұмыс орнын басқарушы – төлем жүйесінің терминалын басқаруды тікелей жүзеге асыратын адам;

      16) төлем жүйесін пайдаланушының жұмыс орнының қауіпсіздік офицері – төлем жүйесін пайдаланушының жұмыс орнында ақпаратты рұқсатсыз кіруден қорғайтын бағдарламалық-аппараттық кешенді, ақпаратты электромагнитті арналар бойынша жария болудан қорғайтын құралдарды орнатуды және оның жұмыс істеуін қамтамасыз ететін,

      сондай-ақ олардың жұмыс қабілеттілігін және қауіпсіздік талаптарының орындалуының мониторингін жүзеге асыратын адам;

      17) төлем жүйесін пайдаланушының жұмыс орнының операторы – төлем жүйесін пайдаланушының негізгі ақпаратын пайдалана отырып, төлем жүйесінің хабарларын дайындауды, беруді және қабылдауды, сондай-ақ Орталықтың куәландыратын орталығында төлем жүйесін пайдаланушының жұмыс орнының қауіпсіздік офицерінің қатысуымен негізгі ақпаратты әзірлеуді және тіркеуді тікелей жүзеге асыратын адам;

      18) төлем жүйесін пайдаланушының қауіпсіздік бөлімшесі – төлем жүйесін пайдаланушының ақпараттық және бағдарламалық ресурстарының қауіпсіздігі мен олардың қорғалуын қамтамасыз ететін төлем жүйесін пайдаланушының құрылымдық бөлімшесі;

      19) төлем жүйесінің терминалы – төлем жүйесін пайдаланушыда орнатылған, төлем жүйесіне қолжетімділікті қамтамасыз ететін арнайы бағдарламалық қамтамасыз ету;

      20) төлем жүйесі терминалының қосымшасы – төлем жүйесінің терминалымен қашықтықтан жұмыс істеуге арналған арнайы бағдарламалық қамтамасыз ету.

      4. Төлем жүйесінде қолданылатын хабарлармен алмасу рәсімдерін және форматтарын Орталық Қазақстан Республикасының Ұлттық Банкімен (бұдан әрі – Ұлттық Банк) келісе отырып белгілейді.

      2-тарау. Төлем жүйесін пайдаланушының жұмыс орнын орналастыру

      5. Төлем жүйесін пайдаланушының жұмыс орны төлем жүйесін пайдаланушының орналасқан жері бойынша кіруі шектеулі үй-жайда (бұдан әрі – Үй-жай) орналастырылады. Төлем жүйесін пайдаланушының жұмыс орны операторларының функцияларын орындайтын қызметкерлердің жұмыс орындарын қоспағанда, Үй-жайда төлем жүйесімен жұмыс істеуге арналмаған жұмыс орындарын орналастыруға жол берілмейді.

      6. Үй-жай механикалық және (немесе) электромеханикалық құлыптар орнатылатын металл және (немесе) кіруден қорғайтын күшейтілген кіретін есіктерімен жабдықталады.

      7. Үй-жайдың есіктері нақты уақыт және Үй-жайға кіру оқиғаларын электрондық журналға жазу режімінде Үй-жайға кіру оқиғалары туралы есеп алуға мүмкіндік беретін Үй-жайға кіру оқиғаларының мониторингін жүргізуге арналған кіруді бақылау құралдарымен жабдықталады. Төлем жүйесін пайдаланушы электрондық журналдағы оқиғалар мұрағатын кемінде алты ай сақтайды.

      8. Төлем жүйесін пайдаланушының жұмыс орны ақпаратты электромагнитті арналармен жария болудан қорғайтын құралдармен немесе сандық интерфейспен қосылған сұйық кристалды монитормен қамтамасыз етіледі.

      9. Үй-жай үйдің бірінші және соңғы қабаттарында орналасқан,

      сондай-ақ терезелердің жанында балкондар, өрт кезінде пайдаланылатын сатылар, өзге де құрылыстардың шатырлары жақын тұрған жағдайда, Үй-жайдың терезелері терезенің әйнектерін сындырып, Үй-жайға нақты кіріп кетуді болдырмауға арналған металл торлармен немесе соған ұқсас қорғау құралдарымен жабдықталады.

      10. Үй-жайдың есіктері мен терезелері күзет сигнализациясымен жабдықталады.

      11. Үй-жайға кіретін жерде, сондай-ақ төлем жүйесін пайдаланушының жұмыс орнында бейнебелгілерді жазып алу мүмкіндігі бар бейнебақылау орнатылады. Объектілердің қозғалысына бейнебелгілердің жазылуының іске қосылуына жол беріледі. Жазылған бейнебелгілер мұрағаты төлем жүйесін пайдаланушының ішкі құжаттарында белгіленген төлем жүйесін пайдаланушының жұмыс орнының жүйелік блогындағы мөрлердің немесе пломбалардың бүтіндігін бақылау кезеңінен аз болмайтын уақытқа сақталады.

      12. Үй-жайға кіру рұқсаты төлем жүйесінде жұмыс істеуге рұқсат берілген адамдарда болады. Төлем жүйесінде жұмыс істеуге рұқсаты жоқ адамдардың Үй-жайға кіруіне, стандартты емес жағдайлар туындаған жағдайларды қоспағанда, төлем жүйесінде жұмыс істеуге рұқсат берілген адамның қатысуымен ғана жол беріледі.

      13. Төлем жүйесіне кіруге рұқсат алған пайдаланушының төлем жүйесін пайдаланушының жұмыс орнын жасаған немесе төлем жүйесін пайдаланушының жұмыс орнын жаңа жерге ауыстырған кезде, төлем жүйесін пайдаланушының жұмыс орны іске қосылған күннен бастап он жұмыс күні ішінде төлем жүйесін пайдаланушы бұл жөнінде Ұлттық Банкті ерікті жазбаша нысанда хабардар етеді.

      Ескерту. 13-тармақ жаңа редакцияда – ҚР Ұлттық Банкі Басқармасының 28.11.2019 № 221 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

3-тарау. Төлем жүйесін пайдаланушының және Орталықтың өзара іс-қимылдары

      14. Төлем жүйесін пайдаланушының және Орталықтың аутентификациясы Орталықтың куәландыратын орталығында тіркелген ақпаратты және негізгі ақпаратты криптографиялық қорғау құралдары пайдаланыла отырып екіжақты ақпарат алмасу арқылы жүзеге асырылады.

      15. Аутентификация барысында қате пайда болғанда, төлем жүйесінде қате туралы хабар шығады және байланыс үзіледі.

      16. Төлем жүйесін пайдаланушының жұмыс орнында TCP (IP) хаттамасы бойынша Орталықтың төлем жүйесін пайдаланушының жұмыс істеуін қамтамасыз ететін қолданбалы серверлерімен қосуды қамтамасыз етуге қажетті құралдар болады.

      17. Төлем жүйесін пайдаланушы мен деректерді беру арнасын қамтамасыз ететін заңды тұлға арасында жасалатын шарт төлем жүйесімен өзара іс-қимыл жасау үшін пайдаланылады және осындай деректер беру арнасының жұмысында іркілістер болған кезде жауапкершілікті көздейді.

4-тарау. Төлем жүйесінің терминалы

      18. Төлем жүйесінің терминалы төлем жүйесінің хабарларын қабылдап, өткізуді жүзеге асырады және (немесе) төлем жүйесін пайдаланушы оны пайдалануға міндетті.

      19. Төлем жүйесінің терминалы төлем жүйесінің хабарларын төлем жүйесінде қолданылатын хабарламалар алмасу рәсімдеріне және форматтарына сәйкес өңдейді.

      20. Төлем жүйесінің терминалы мынадай функцияларды орындайды:

      1) төлем жүйесін пайдаланушы мен Орталықты аутентификациялау;

      2) Орталықтың куәландыратын орталығымен өзара іс-қимылды;

      3) берілетін және алынатын ақпараттың конфиденциалдылығын және аутентификациялануын қамтамасыз етуді;

      4) хабарларды төлем жүйесін пайдаланушыдан Орталыққа және Орталықтан төлем жүйесін пайдаланушыға беруді және (немесе) қабылдауды;

      5) алынған төлем жүйесі хабарларының тұтастығын тексеруді;

      6) төлем жүйесі терминалының тұтастығын тексеруді;

      7) негізгі ақпаратты қолдануды;

      8) хабарлардың электрондық цифрлық қолтаңбаларын қалыптастыру және тексеруді;

      9) хабардың электрондық цифрлық қолтаңбасының төлем жүйесін пайдаланушыға немесе оны қоюға уәкілетті Орталыққа тиесілі екенін тексеруді.

      21. Төлем жүйесінің терминалы төлем жүйесін пайдаланушының жұмыс орны операторлары мен басқарушыларының мынадай негізгі оқиғалары мен іс-әрекеттерін:

      1) төлем жүйесінің терминалын ашудың және жабудың уақыты мен күнін;

      2) Орталықпен қосудың және Орталықтан ажыратудың уақыты мен күнін;

      3) төлем жүйесі операторлары мен басқарушыларының төлем жүйесінің хабарлары бойынша жүргізетін іс-әрекеттерінің басталу уақыты мен аяқталу уақытын, жасалған іс-әрекеттердің сипатын тіркейтін электрондық журналдарды жүргізуді қамтамасыз етеді.

      22. Төлем жүйесін пайдаланушының жұмыс орны операторлары мен басқарушыларының төлем жүйесінің терминалына не оның қосымшасына кіруді сәйкестендіру және аутентификациялау табысты орындалғаннан кейін қамтамасыз етеді.

      23. Төлем жүйесінің терминалын іске қосу төлем жүйесі терминалының үздіксіз жұмысын қамтамасыз ететін техникалық құралдарды пайдалану арқылы жүзеге асырылады және төлем жүйесінің терминалына арналған құжаттамада көрсетілген талаптарға сәйкес келеді.

      24. Төлем жүйесінің терминалы не оның қосымшасы осы мақсаттар үшін арнайы бөлінген, есепке алынатын түгендеу нөмірі (серверде) және оған орнатылған конфигурация, аппараттық және бағдарламалық құралдар бойынша жан-жақты деректер беретін паспорты бар дербес компьютерде орнатылады.

      25. Төлем жүйесінің терминалын немесе оның қосымшасын басқару төлем жүйесін пайдаланушының жұмыс орнынан тікелей және төлем жүйесін пайдаланушының жұмыс орны қауіпсіздік офицерінің қатысуымен жүзеге асырылады.

      26. Төлем жүйесінің терминалымен жұмыс істеу төлем жүйесін пайдаланушының жұмыс орнынан жүзеге асырылады. Төлем жүйесін пайдаланушының жұмыс орнында қашықтықтан кіру жүйелерін орнатуға және пайдалануға жол берілмейді. Төлем жүйесін пайдаланушының жұмыс орнына орнатылған қашықтан кіру қызметтері алынады немесе ажыратылады.

      27. Төлем жүйесі терминалының дұрыс жұмыс істемей, төлем жүйесін пайдаланушы немесе Орталық зиян шегуі мүмкін болатын жағдай анықталғанда, соңғысы бір мезгілде төлем жүйесін пайдаланушыны хабардар ете отырып, тиісті себептерді көрсетіп, төлем жүйесінің осы терминалына кіруді жабады.

      28. Ақпаратты криптографиялық қорғау құралын пайдалану төлем жүйесін пайдаланушыны төлем жүйесіне қосудың талабы болып табылады, ол мыналарды:

      1) электрондық цифрлық қолтаңбаны қалыптастыру және тексеру тетігін;

      2) ақпараттың конфиденциалдылығын (деректерді шифрлеуді);

      3) берілетін ақпараттың тұтастығын (деректерді имитациялық қорғауды);

      4) сақталатын ақпараттың және бағдарламалық қамтамасыз етудің тұтастығын (хэштелген деректерді) қамтамасыз етеді.

5-тарау. Негізгі ақпарат

      29. Пайдаланушы негізгі ақпаратты Орталықтың куәландыратын орталығында тіркейді.

      30. Негізгі ақпарат сыртқы тасымалдағышта болады. Негізгі ақпарат бар тасымалдағышқа кіру тек төлем жүйесін пайдаланушының жұмыс орнының операторларына ғана беріледі.

      31. Негізгі ақпарат төлем жүйесінің терминалына тек қана сыртқы тасымалдағыштан жүктеледі. Негізгі ақпараттың рұқсат етілмеген көшірмелерінің, оның ішінде төлем жүйесін пайдаланушының жұмыс орнындағы қатты дискіде болуына жол берілмейді.

      32. Негізгі ақпараты бар сыртқы тасымалдағыштарды сақтау және пайдалану тәртібі бойынша оларға рұқсатсыз кіру мүмкіндігі болмайды.

      33. Негізгі ақпаратқа кіруге рұқсаты бар тұлғалар төлем жүйесімен жұмыс нәтижесінде алынған ақпараттың сақталуына және жария болмауын қамтамасыз етеді.

      34. Негізгі ақпаратты жоспарлы түрде ауыстыру кем дегенде жылына бір рет жүзеге асырылады.

      35. Негізгі ақпараты бар сыртқы тасымалдағыштар негізгі ақпараты бар сыртқы тасымалдағыштарды сақтауға жауапты қызметкерлердің үй-жайында орналасқан бекітілетін құрылғымен жабдықталған сейфте сақталады. Негізгі ақпарат пайдаланылмаған жағдайда негізгі ақпараты бар сыртқы тасымалдағыштар сейфтерде болады.

      36. Негізгі ақпаратқа кіруге рұқсаты бар қызметкерлер жұмыстан босатылған немесе негізгі ақпаратқа рұқсатсыз кіруге әрекеттенгендігі анықталған жағдайларда негізгі ақпаратты жоспардан тыс ауыстыру жүзеге асырылады. Жаңа негізгі ақпарат негізгі ақпаратқа кіруге рұқсаты бар қызметкер жұмыстан босатылған күннен кешіктірілмей не негізгі ақпаратқа рұқсатсыз кіруге әрекеттенгендігі анықталған күннен кешіктірілмей қолданысқа енгізіледі.

      Пайдаланушы жаңа негізгі ақпаратты Орталықтың куәландыратын орталығында тіркейді.

      37. Негізгі ақпараты бар сыртқы тасымалдағыштарды сақтау және күту жөніндегі рәсімдер өндірушінің ұсынымдарына сәйкес жүзеге асырылады.

      38. Төлем жүйесін пайдаланушы ескірген негізгі ақпаратты осы негізгі ақпарат пайдаланыла отырып қол қойылған немесе шифрленген электрондық құжаттардың сақталу мерзімі ішінде сақтайды.

      39. Төлем жүйесін пайдаланушыға:

      1) негізгі ақпараттың рұқсат етілмеген көшірмелерін алуға;

      2) негізгі ақпаратқа рұқсаты жоқ адамдарды онымен таныстыруға немесе оны беруге;

      3) негізгі ақпаратты дисплейге немесе принтерге шығаруға;

      4) негізгі ақпараты бар сыртқы тасымалдағышты оның өндірушісі белгілеген жұмыс істеу талаптарында көзделмеген режимдерде пайдалануға;

      5) негізгі ақпараты бар сыртқы тасымалдағышқа бөтен ақпарат жазуға;

      6) бөтен негізгі ақпаратты пайдалануға жол берілмейді.

6-тарау. Төлем жүйесін пайдаланушының жұмыс орнына қойылатын талаптар

      40. Төлем жүйесін пайдаланушының жұмыс орнында рұқсатсыз кіруден қорғайтын бағдарламалық-аппараттық кешен орнатылады, оған пайдаланушыны аутентификациялау құралдары, төлем жүйесін пайдаланушының жұмыс орнына кіруіне және пайдаланушылардың іс-әрекеттеріне байланысты оқиғаларды бақылау мақсатында төлем жүйесінің электрондық құжаттарын сақтау мерзімі ішінде электрондық журналдар жүргізу мүмкіндігі кіреді.

      41. Төлем жүйесін пайдаланушының жұмыс орнына зиян келтіретін бағдарламалық кодты және (немесе) бағдарламаны табатын құралдары орнатылады. Жұқтыру фактісі анықталған жағдайда бұл ақпарат төлем жүйесін пайдаланушының қауіпсіздік бөлімшесіне дереу хабарланады.

      42. Төлем жүйесін пайдаланушының жұмыс орнына Талаптарда көзделмеген және төлем жүйесі шеңберіндегі электрондық құжаттарды дайындау, өңдеу, өткізу немесе жүргізу жөніндегі міндеттерді шешуге арналмаған аппараттық және бағдарламалық құралдарды орнатуға жол берілмейді.

      43. Төлем жүйесімен жұмыс істеуге рұқсат берілген адамның, осы адам төлем жүйесін пайдаланушының ақпараттық жүйелеріне кіретін кезде сәйкестендірілетін бір жүйелік атына бір жеке тұлға сәйкес келеді.

      44. Төлем жүйесін пайдаланушының жұмыс орнының жүйелік блогы стикерде немесе пломбада соңғы мөр басылған немесе пломбаланған күнін және дербес компьютер есепке алынатын түгендеу нөмірі көрсетіліп, мөр басылады немесе пломбаланады.

      45. Төлем жүйесін пайдаланудың жұмыс орнына кіруді қамтамасыз ететін техникалық құралдарды, парольдерді немесе басқа ақпаратты сақтау және пайдалану тәртібі оларды рұқсатсыз пайдалану мүмкіндігіне жол бермейді.

      46. Төлем жүйесін пайдаланушының жұмыс орнын рұқсатсыз кіруден қорғау құралдарын орнату және теңшелуін өзгерту құқығы тек төлем жүйесін пайдаланушының жұмыс орны қауіпсіздігі офицерінің функцияларын орындайтын қызметкерлерге ғана беріледі.

      47. Төлем жүйесіне ақпарат өткізуге, төлем жүйесінен ақпарат алуға, ақпаратты сақтауға, мұрағаттауға не басқадай өңдеуге ақпарат жинақтау үшін бөлінген ресурстарға (дискілік кеңістік, директорийлер, желілік ресурстар, деректер базалары) кіру тәртібі бойынша осы ресурстармен жұмыс істеуге рұқсат етілмеген адамдардың оларға кіру мүмкіндігіне жол берілмейді.

      48. Төлем жүйесін пайдаланушының жұмыс орнына желі және деректер өткізудің өзге де техникалық арналарының көмегімен кіру тәртібі рұқсатсыз кіру мүмкіндігіне жол бермейді.

      49. Төлем жүйесін пайдаланушының жұмыс орны электр желісінде ток болмаған кезде жүйедегі жұмысты дұрыс аяқтауға қажетті уақыт, бірақ кемінде отыз минут ішінде дербес компьютердің жұмыс істеуіне мүмкіндік жасайтын үздіксіз электр қуатын беретін техникалық құралдармен жабдықталады.

      50. Төлем жүйесін пайдаланушы мен Орталықтың арасындағы байланысты жүзеге асыратын бағдарламалық қамтамасыз етуге, төлем жүйесін пайдаланушының жұмыс орнына рұқсатсыз кіруден қорғайтын бағдарламалық-аппараттық кешенге, сондай-ақ төлем жүйесін пайдаланушының ақпараттық жүйесінде дайындалған электрондық құжаттарды төлем жүйесін пайдаланушының жұмыс орнының өткізу технологиясына өзгерістер енгізілген жағдайда, төлем жүйесін пайдаланушы өзгерістер енгізілген күннен бастап он жұмыс күні ішінде өз қызметінің Талаптарға сәйкестігі туралы қорытындыны (ақпаратты) алу үшін бұл жөнінде Ұлттық Банкті еркін жазбаша нысанда хабардар етеді.

      Ескерту. 50-тармақ жаңа редакцияда – ҚР Ұлттық Банкі Басқармасының 22.12.2017 № 248 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

7-тарау. Қызмет көрсететін қызметкерлердің жұмысын ұйымдастыру

      51. Төлем жүйесімен жұмыс істеуге рұқсат етілген адамдар мынадай санаттарға бөлінеді:

      1) төлем жүйесін пайдаланушының жұмыс орнын басқарушы;

      2) төлем жүйесін пайдаланушының жұмыс орнының операторы;

      3) төлем жүйесін пайдаланушының жұмыс орнының қауіпсіздік офицері.

      ЗҚАИ-ның ескертпесі!
      52-тармақ жаңа редакцияда көзделген - ҚР Ұлттық Банкі Басқармасының 25.12.2023 № 105 (01.07.2024 бастап қолданысқа енгізіледі) қаулысымен.

      52. Қызмет көрсететін қызметкерлердің жұмысын ұйымдастыру кезінде төлем жүйесінің терминалы не оның қосымшасы арқылы МТ 100 және (немесе) МТ 102 форматында төлем хабарларын жасау функциясы болған кезде бір адамның Талаптардың 51-тармағында көрсетілген әртүрлі адамдар санаттарының функцияларын (толық немесе ішінара) атқаруына жол берілмейді.

      53. Төлем жүйесін пайдаланушы мынадай ішкі тіркеу журналдарын жүргізуді жүзеге асырады:

      1) төлем жүйесімен жұмыс істеуге рұқсат берілмеген адамдардың Үй-жайға келу журналын, онда мыналар көрсетіледі:

      келуші кірген және шыққан күні, уақыты мен келу мақсаты;

      келушінің тегі және қолы;

      төлем жүйесімен жұмыс істеуге рұқсат берілген адамдардың қатарынан бірге ілесіп жүретін адамның тегі мен қолы;

      2) негізгі ақпаратты пайдалану журналы, онда мыналар көрсетіледі:

      негізгі ақпаратты пайдалануды бастау және аяқтау күні, уақыты;

      негізгі ақпаратты пайдаланатын адамның тегі және қолы;

      ауыстыру себебі көрсетілген негізгі ақпаратты ауыстыру күні;

      3) төлем жүйесін пайдаланушының жұмыс орнының жүйелік блогын пломбалау және пломбалар мен мөрлердің бүтіндігін тексеру журналы, онда мыналар көрсетіледі:

      пломбалаудың немесе пломбалардың немесе мөрлердің бүтіндігін тексеру күні мен уақыты;

      пломбалауды немесе пломбалардың немесе мөрлердің бүтіндігін тексеруді жүзеге асырған адамның тегі және қолы;

      пломбалаудың немесе пломбалардың немесе мөрлердің бүтіндігін тексерудің себептері;

      сүргі салу нысандары және сүргі салуға арналған пломбаның немесе стикердің материалы.

      54. Талаптардың 53-тармағында көрсетілген ішкі тіркеу журналдары нөмірленеді, байланады, тігіледі және төлем жүйесімен жұмыс істеуге рұқсат берілген адамның қолымен куәландырылады. Ішкі тіркеу журналдарындағы түзетілуге тиіс қате жазбалар да төлем жүйесімен жұмыс істеуге рұқсат берілген адамның қолымен куәландырылады.

      Ескерту. 54-тармақ жаңа редакцияда – ҚР Ұлттық Банкі Басқармасының 27.08.2018 № 182 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      55. Төлем жүйесін пайдаланушы Талаптардың 53-тармағында көрсетілген ішкі тіркеу журналдарын соңғы жазба жасалған күннен бастап кемінде бір жыл сақтайды.

      56. Төлем жүйесін пайдаланушының ішкі құжаттарында мыналар айқындалады:

      1) жұмыс пен үзілістердің уақытын, демалыс және мереке күндеріндегі жұмыс тәртібін, сондай-ақ төлем жүйесінің операциялық күні ұзартылған жағдайларды көрсете отырып, төлем жүйесімен жұмыс істеу режимі;

      2) әрбір қызметкер бойынша:

      төлем жүйесін пайдаланушы жұмыс орнының басқарушысы, операторы немесе қауіпсіздік офицері;

      төлем жүйесіне берілген және төлем жүйесінен алынған электрондық құжаттарды мұрағаттау және сақтау;

      төлем жүйесін пайдаланушының жүйелік блогында мөрлердің немесе пломбалардың бүтіндігінің мониторингі бойынша орындайтын функцияларын көрсете отырып, төлем жүйесімен жұмыс істеуге рұқсат берілген қызметкерлердің (лауазымы, тегі және инициалдары көрсетілген) тізімі;

      3) қол жеткізу деңгейі мен орындайтын функцияларын көрсете отырып, Талаптардың 47-тармағында көрсетілген ресурстарға кіруге рұқсаты бар қызметкерлердің (лауазымы, тегі және инициалдары көрсетілген) тізімі;

      4) кіруге рұқсат беру мақсаттары көрсетіле отырып, желі және деректерді берудің өзге де техникалық арналары арқылы төлем жүйесін пайдаланушының жұмыс орнына кіруге рұқсаты бар қызметкерлердің (лауазымы, тегі және инициалдары көрсетілген) және ресурстардың тізімі;

      5) төлем жүйесіне берілген және төлем жүйесінен алынған электрондық құжаттарды сақтаудың талаптары, мерзімдері және орындары сондай-ақ осы мұрағаттарға кірудің тәртібі көрсетіле отырып, оларды мұрағаттаудың және одан әрі сақтаудың тәртібі;

      6) техникалық құралдарды, парольдерді немесе төлем жүйесін пайдаланушының жұмыс орнына кіруді қамтамасыз ететін басқа да ақпаратты сақтау талаптары мен орындарын, оларға кіру рәсімдерін және ауыстыру мерзімдерін көрсете отырып, оларды сақтау және пайдалану тәртібі;

      7) төлем жүйесін пайдаланушының ақпараттық жүйесінде дайындалған электрондық құжаттарды төлем жүйесін пайдаланушының жұмыс орнына беру тәртібі;

      8) төлем жүйесін пайдаланушының жұмыс орнында орнатылған, рұқсатсыз кіруден қорғайтын бағдарламалық-аппараттық кешенмен және бағдарламалық қамтамасыз етудің тұтастығын қамтамасыз ету құралдарымен жұмыс істеу тәртібі;

      9) төлем жүйесі терминалымен жұмыс істеу тәртібі мен рәсімдері;

      10) бір арнадан басқасына өту жағдайлары мен рәсімдерін көрсете отырып, деректер өткізудің негізгі және резервтік арналарымен жұмыс істеу тәртібі.

      57. Төлем жүйелерін пайдаланушы төлем жүйесінде жұмыс істеуге жіберілген қызметкерлерден төлем жүйесін пайдаланушының жұмыс орнына кіруді қамтамасыз ететін парольдерді немесе басқа ақпаратты, сондай-ақ конфиденциалды және негізгі ақпаратты жария етпеу және таратпау туралы арнайы міндеттеме алады.

      58. Қауіпсіздікке қатысты ағымдағы және жедел мәселелерді шешу қажет болғанда, төлем жүйесін пайдаланушының жұмыс орнының операторы мен қауіпсіздік офицері төлем жүйесінің қауіпсіздігі бөлімшесімен өзара іс-әрекет жасайды.

8-тарау. Операциялық тәуекелді басқаруға және төлем жүйесін пайдаланушы қызметінің үздіксіздігін қамтамасыз етуге қойылатын талаптар

      59. Операциялық тәуекелді басқару мақсатында төлем жүйесін пайдаланушы мыналарды:

      1) операциялық тәуекелді басқару әдістерін;

      2) төлем жүйесін пайдаланушының бағдарламалық-техникалық кешенінің жұмыс істеу сапасы мен сенімділігін бағалау тәртібін;

      3) төлем жүйесін пайдаланушы қызметінің үздіксіздігін қамтамасыз ету жоспарын айқындайтын ішкі құжаттарды жүргізуді қамтамасыз етеді.

      60. Төлем жүйесін пайдаланушы стандартты емес жағдайларда төлем жүйесін пайдаланушының бағдарламалық-техникалық кешенінің жұмысын қалпына келтіру үшін, төлем жүйесін пайдаланушының жұмыс орнына және оның орналастыруға, төлем жүйесінің терминалына, Орталықпен өзара іс-қимыл жасауға, негізгі ақпаратты пайдалану және сақтау тәртібіне, қызмет көрсететін қызметкерлердің жұмыстарының ұйымдастырылуына қойылатын талаптарды қоса алғанда, Талаптардың 2, 3, 4, 5, 6, 7 және осы тарауларында белгіленген талаптарға сәйкес келетін резервтік орталықтың жұмыс істеуін қамтамасыз етеді.

      61. Төлем жүйесін пайдаланушы Орталықтың төлем жүйесімен коммуникациялаудың (деректер берудің) резервтік арнасының жұмыс істеуін қамтамасыз етеді. Коммуникацияның резервтік арнасын төлем жүйесінің резервтік және (немесе) негізгі орталығының желілік (коммуникациялық) жабдығына қосу мүмкіндігі қарастырылады.

      62. Төлем жүйесін пайдаланушы қызметінің үздіксіздігін қамтамасыз ету жоспарында мынадай негізгі талаптар қамтылады:

      1) резервтік орталықтың орналасқан жері;

      2) стандартты емес жағдайдың туындағаны туралы, оның реттеу нәтижелері туралы төлем жүйесін пайдаланушының басшылығын және Ұлттық Банкті хабардар ету тәртібі;

      3) резервтік орталықта қалпына келтіру талап етілетін, пайдаланушының Орталықтың төлем жүйесімен жұмыс істеуін қамтамасыз ететін техникалық, бағдарламалық немесе басқа да құралдардың тізбесі;

      4) резервтік орталықта пайдаланылатын, төлем жүйесін пайдаланушының бағдарламалық-техникалық кешенінің жұмыс істеуін қызметкерлердің жұмысын қолдауға арналған тыныс-тіршілікті қамтамасыз ету жүйелерінің (электрмен жабдықтау, жылу, желдеткіш, сумен жабдықтау, кәріз, өрт сөндіру және өрт дабылы, ғимараттарды күзету) тізбесі;

      5) төлем жүйесін пайдаланушының бағдарламалық-техникалық кешенін резервтік орталыққа қайталау және резервтеу тәртібі;

      6) резервтік орталықта қалпына келтіруге жататын төлем жүйесін пайдаланушының бизнес-процестері;

      7) әрбір бизнес-процесс бойынша төлем жүйесін пайдаланушының қалпына келтіру командаларының, олардың резервтік орталықтың жұмысына ауысқан кездегі іс-қимылдарының тәртібі сипатталған тізімі;

      8) төлем жүйесін пайдаланушының қалпына келтіру командасына жұмысты резервтік орталыққа ауыстыру және оны резервтік орталық орналасқан жерге тасымалдау қажеттігі туралы хабарлау тәртібі;

      9) сыртқы өзара іс-қимыл жасауға арналған байланыс;

      10) резервтік орталықтың жұмысын тестілеуден өткізу тәртібі.

      63. Негізгі орталықта стандартты емес жағдай туындаған кезде төлем жүйесін пайдаланушы:

      1) төлем жүйесін пайдаланушының бағдарламалық-техникалық кешенін резервтік орталыққа ауыстыруды қамтамасыз етеді.

      Төлем жүйесін пайдаланушының бағдарламалық-техникалық кешенін резервтік орталыққа ауыстыру бойынша стандартты уақыт нормативі стандартты емес жағдай туындаған сәттен бастап үш сағаттан аспайды.

      Стандартты уақыт нормативін сақтауға мүмкіндік болмаған кезде төлем жүйесін пайдаланушы Орталықтың төлем жүйесінің операциялық күні аяқталғанға дейін төлемдер мен ақша аударымдары бойынша қабылданған міндеттемелерді орындау қажеттігін ескере отырып, төлем жүйесін пайдаланушының жұмысын резервтік орталыққа ауыстыру үшін қажетті шараларды қабылдайды;

      2) "Ақпарат тасымалдаудың қаржылық автоматандырылған жүйесі" тасымалдау жүйесінің (бұдан әрі – АТҚАЖ) қорғалған байланыс арнасы немесе факсимильді байланыс арқылы Ұлттық Банкке бағдарламалық-техникалық кешенді резервтік орталыққа ауыстыру шешімінің қабылданғандығы туралы хатты көрсетілген шешім қабылданғаннан кейін үш сағаттың ішінде жібереді;

      3) АТҚАЖ байланысының қорғалған арнасы немесе факсимильді байланыс арқылы Ұлттық Банкке бағдарламалық-техникалық кешенді резервтік орталыққа ауыстыру нәтижелері туралы хатты ауыстыру жұмыстары аяқталғаннан кейін үш сағат ішінде жібереді;

      4) АТҚАЖ байланысының қорғалған арнасы немесе факсимильді байланыс арқылы Ұлттық Банкке бағдарламалық-техникалық кешенді қайтадан негізгі орталыққа ауыстыру нәтижелері туралы хатты ауыстыру жұмыстары аяқталғаннан кейін үш сағат ішінде жібереді.

      Ескерту. 63-тармақ жаңа редакцияда – ҚР Ұлттық Банкі Басқармасының 22.12.2017 № 248 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      64. Төлем жүйесін пайдаланушы жылына кемінде бір рет төлем жүйесін пайдаланушының жұмысын резервтік орталықты пайдалануға жоспарлы ауыстыру жолымен резервтік орталықтың жұмыс істеуін тестілеуді жүргізеді. Төлем жүйесін пайдаланушы Ұлттық Банкке жоспарланып отырған тестілеу мерзімдері туралы бағдарламалық техникалық кешенді резервтік орталыққа жоспарлы ауыстыру басталғанға дейін он жұмыс күні бұрын жазбаша хабарлайды.

      Төлем жүйесін пайдаланушы тестілеудің нәтижелері туралы мәліметтерді, анықталған проблемаларды (бар болса) және оларды жою бойынша қабылданған шаралар туралы мәліметтерді көрсете отырып, Ұлттық Банкке бағдарламалық-техникалық кешенді резервтіктен негізгі орталыққа қайтару бойынша іс-шаралар аяқталған күннен кейінгі бес жұмыс күні ішінде ұсынады.

      65. Төлем жүйесін пайдаланушы операциялық тәуекелді басқару әдістерін реттейтін құжатты және төлем жүйесін пайдаланушы қызметінің үздіксіздігін қамтамасыз ету жоспарын өзектендіру қажеттілігі тұрғысынан жыл сайын талдауға тиіс.

9-тарау. Қорытынды ережелер

      66. Төлем жүйесін пайдаланушы мен Орталықтың арасында төлем жүйесінде қызмет көрсету туралы жасалған шарт бұзылған (қолданылу мерзімі аяқталған) кезде Орталық бұл туралы Ұлттық Банкке шарт бұзылған күннен кейінгі келесі жұмыс күнінен кешіктірмей шартқа сәйкес хабарлайды.

      67. Ұлттық Банк Талаптардың 13 және 50-тармақтарында көзделген хабарламаны алған күннен бастап он күндік мерзім ішінде төлем жүйесін пайдаланушының жұмыс орнын тексеру қажеттігінің бар не қажеттігінің жоқ екендігі туралы шешім қабылдайды.

      Егер төлем жүйесін пайдаланушының қызметінде Талаптардың бұзылғандығы анықталса не соңғы тексеру екі жылдан астам уақыт ішінде жүргізілсе (жүзеге асырылса) тексеру жүргізуге рұқсат етіледі.

      Ұлттық Банк тексеру жүргізу (жүзеге асыру) туралы шешім қабылданған күннен не өтініш алған күннен бастап екі ай ішінде төлем жүйесін пайдаланушының жұмыс орнына тексеру жүргізеді (жүзеге асырады).

Об утверждении Требований к организационным мерам и программно-техническим средствам, обеспечивающим доступ в платежные системы

Постановление Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 200. Зарегистрировано в Министерстве юстиции Республики Казахстан 5 октября 2016 года № 14289.

      Примечание РЦПИ!
      Порядок введения в действие см. п.6
      Примечание ИЗПИ!
      Преамбула предусмотрена в редакции постановления Правления Национального Банка РК от 25.12.2023 № 105 (вводится в действие с 01.07.2024).

      В соответствии с законами Республики Казахстан от 30 марта 1995 года "О Национальном Банке Республики Казахстан", от 26 июля 2016 года "О платежах и платежных системах", в целях установления требований к организационным мерам и программно-техническим средствам, обеспечивающим доступ в платежные системы Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:

      1. Утвердить прилагаемые Требования к организационным мерам и программно-техническим средствам, обеспечивающим доступ в платежные системы, (далее – Требования).

      2. Признать утратившими силу:

      1) постановление Правления Национального Банка Республики Казахстан от 24 августа 2012 года № 269 "Об утверждении Требований к организационным мерам и программно-техническим средствам, обеспечивающим доступ в платежные системы" (зарегистрированное в Реестре государственной регистрации нормативных правовых актов под № 7950, опубликованное 8 декабря 2012 года в газете "Казахстанская правда" № 427-428 (27246-27247);

      2) постановление Правления Национального Банка Республики Казахстан от 28 января 2016 года № 35 "О внесении изменений и дополнений в постановление Правления Национального Банка Республики Казахстан от 24 августа 2012 года № 269 "Об утверждении Требований к организационным мерам и программно-техническим средствам, обеспечивающим доступ банкам и организациям, осуществляющим отдельные виды банковских операций, в платежные системы" (зарегистрированное в Реестре государственной регистрации нормативных правовых актов № 13187, опубликованное 14 марта 2016 года в информационно-правовой системе "Әділет" республиканского государственного предприятия на праве хозяйственного ведения "Республиканский центр правовой информации Министерства юстиции Республики Казахстан").

      3. Департаменту платежных систем (Ашыкбеков Е.Т.) в установленном законодательством Республики Казахстан порядке обеспечить:

      1) совместно с Юридическим департаментом (Сарсенова Н.В.) государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

      2) направление настоящего постановления в республиканское государственное предприятие на праве хозяйственного ведения "Республиканский центр правовой информации Министерства юстиции Республики Казахстан":

      на официальное опубликование в информационно-правовой системе "Әділет" в течение десяти календарных дней после его государственной регистрации в Министерстве юстиции Республики Казахстан;

      для включения в Государственный реестр нормативных правовых актов Республики Казахстан, Эталонный контрольный банк нормативных правовых актов Республики Казахстан в течение десяти календарных дней со дня его государственной регистрации в Министерстве юстиции Республики Казахстан;

      3) размещение настоящего постановления на официальном интернет-ресурсе Национального Банка Республики Казахстан после его официального опубликования.

      4. Управлению по защите прав потребителей финансовых услуг и внешних коммуникаций (Терентьев А.Л.) обеспечить направление настоящего постановления на официальное опубликование в периодические печатные издания в течение десяти календарных дней после его государственной регистрации в Министерстве юстиции Республики Казахстан.

      5. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального Банка Республики Казахстан Пирматова Г.О.

      6. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования, за исключением пунктов 58, 59, 60, 61, 62, 63 и 64 Требований, которые вводятся в действие с 1 января 2017 года.


Председатель


Национального Банка

Д. Акишев


  Утверждены
постановлением Правления
Национального Банка
Республики Казахстан
от 31 августа 2016 года № 200

Требования к организационным мерам и программно-техническим средствам, обеспечивающим доступ в платежные системы
Глава 1. Общие положения

      1. Требования к организационным мерам и программно-техническим средствам, обеспечивающим доступ в платежные системы, (далее – Требования) разработаны в соответствии с законами Республики Казахстан от 30 марта 1995 года "О Национальном Банке Республики Казахстан" (далее – Закон о Национальном Банке), от 26 июля 2016 года "О платежах и платежных системах" (далее – Закон о платежах и платежных системах) и определяют требования к организационным мерам и программно-техническим средствам, обеспечивающим доступ в платежные системы, оператором которых выступает Национальный Банк Республики Казахстан, (далее – платежная система).

      Требования включают размещение рабочего места пользователя платежной системы, взаимодействие пользователя платежной системы и республиканского государственного предприятия на праве хозяйственного ведения "Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан" (далее – Центр), терминал платежной системы, ключевую информацию, требования к рабочему месту пользователя платежной системы, организацию работ обслуживающего персонала, требования к управлению операционным риском и обеспечению непрерывности деятельности пользователя платежной системы.

      2. Требования распространяются на всех пользователей платежной системы.

      3. В Требованиях используются понятия, предусмотренные Законом о платежах и платежных системах, и следующие понятия:

      1) аутентификация – комплекс мер для подтверждения подлинности пользователей системы при обмене платежными и информационными сообщениями, а также для подтверждения подлинности платежных и информационных сообщений;

      2) удостоверяющий центр – юридическое лицо, удостоверяющее соответствие открытого ключа электронной цифровой подписи закрытому ключу электронной цифровой подписи, а также подтверждающее достоверность регистрационного свидетельства;

      3) средства контроля доступа – технические, программные или другие средства, позволяющие фиксировать информацию о доступе к объектам;

      4) ключевая информация – криптографические ключи (открытые и закрытые) или другая информация, позволяющая осуществлять криптографические преобразования информации;

      5) операционный риск – риск, связанный с нарушениями в работе информационных систем или внутренних процессов, ошибками, сбоями или нарушениями в управлении платежной системой, в том числе вследствие внешних событий;

      6) несанкционированный доступ – доступ к информационным и программным ресурсам с нарушением законодательства Республики Казахстан, а также порядка доступа к ним, установленным пользователем платежной системы;

      7) программно-аппаратный комплекс защиты от несанкционированного доступа – система защиты персонального компьютера от использования посторонними лицами, а также для разграничения полномочий зарегистрированных пользователей по доступу к информационным и программным ресурсам;

      8) нестандартная ситуация – сбой (нарушение) функционирования программно-технического комплекса пользователя платежной системы вследствие реализации операционного риска;

      9) пользователь платежной системы – юридические лица, заключившие договор с Центром об оказании услуг в платежной системе, и оператор (операционный центр) других платежных систем;

      10) информационная система пользователя платежной системы – программное обеспечение пользователя платежной системы, используемое для формирования или преобразования электронных документов, предназначенных для дальнейшего направления в платежную систему посредством терминала платежной системы;

      11) программно-технический комплекс пользователя платежной системы – технические, программные или другие средства, обеспечивающие работу пользователя платежной системы в платежной системе, включающие информационную систему, рабочее место пользователя платежной системы, средства коммуникации (передачи данных) с платежной системой;

      12) основной центр программно-технического комплекса пользователя платежной системы (далее – основной центр) – программно-технический комплекс пользователя платежной системы, обеспечивающий работу пользователя платежной системы в платежной системе в обычном (повседневном) режиме;

      13) резервный центр программно-технического комплекса пользователя платежной системы (далее – резервный центр) – резервный программно-технический комплекс пользователя платежной системы, обеспечивающий работу пользователя платежной системы в платежной системе при возникновении нестандартных ситуаций или проведении плановых тестовых работ в основном центре;

      14) рабочее место пользователя платежной системы – персональный компьютер (сервер), на котором установлен терминал платежной системы, обеспечивающий доступ в платежную систему;

      15) администратор рабочего места пользователя платежной системы – лицо, непосредственно осуществляющее администрирование терминала платежной системы;

      16) офицер безопасности рабочего места пользователя платежной системы – лицо, обеспечивающее установку и функционирование на рабочем месте пользователя платежной системы программно-аппаратного комплекса защиты информации от несанкционированного доступа, средств защиты информации от утечки по электромагнитным каналам, а также осуществляющее мониторинг за их работоспособностью и за выполнением требований безопасности;

      17) оператор рабочего места пользователя платежной системы – лицо, непосредственно осуществляющее подготовку, передачу и прием сообщений платежной системы с использованием ключевой информации пользователя платежной системы, а также выработку и регистрацию ключевой информации в удостоверяющем центре Центра в присутствии офицера безопасности рабочего места пользователя платежной системы;

      18) подразделение безопасности пользователя платежной системы – структурное подразделение пользователя платежной системы, обеспечивающее безопасность и защиту информационных и программных ресурсов пользователя платежной системы;

      19) терминал платежной системы – специальное программное обеспечение, обеспечивающее доступ в платежную систему, установленное у пользователя платежной системы;

      20) приложение терминала платежной системы – специальное программное обеспечение, предназначенное для удаленной работы с терминалом платежной системы.

      4. Процедуры обмена и форматы сообщений, применяемые в платежной системе, устанавливаются Центром по согласованию с Национальным Банком Республики Казахстан (далее – Национальный Банк).

Глава 2. Размещение рабочего места пользователя платежной системы

      5. Рабочее место пользователя платежной системы размещается в помещении по месту нахождения пользователя платежной системы с ограниченным доступом (далее – Помещение). Не допускается размещение в Помещении рабочих мест, не предназначенных для работы с платежной системой, за исключением рабочих мест работников, выполняющих функции операторов рабочего места пользователя платежной системы.

      6. Помещение оборудуется металлическими и (или) усиленными от проникновения входными дверями, на которые устанавливаются механические и (или) электромеханические замки.

      7. Двери Помещения оборудуются средствами контроля доступа для осуществления мониторинга событий доступа в Помещение в режиме реального времени и записи событий доступа в Помещение в электронном журнале с возможностью получения отчета о событиях доступа в Помещение. Архив событий электронного журнала хранится пользователем платежной системы не менее шести месяцев.

      8. Рабочее место пользователя платежной системы обеспечивается средствами защиты информации от утечки по электромагнитным каналам или жидкокристаллическим монитором с подключением его по цифровому интерфейсу.

      9. При расположении Помещения на первых и последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц, прилегающих крыш иных строений, окна Помещения оборудуются металлическими решетками или аналогичными средствами защиты, предназначенными для предотвращения физического проникновения в Помещение путем разбития оконных стекол.

      10. Двери и окна Помещения оборудуются охранной сигнализацией.

      11. За входом в Помещение, а также за рабочим местом пользователя платежной системы устанавливается видеонаблюдение с возможностью записи видеосигналов. Допускается запуск записи видеосигналов на движение объектов. Архив записи видеосигналов хранится не менее периода контроля целостности печатей или пломб на системном блоке рабочего места пользователя платежной системы, установленного внутренними документами пользователя платежной системы.

      12. Доступ в помещение имеют лица, допущенные к работе с платежной системой. Посещение Помещения лицами, не допущенными к работе с платежной системой, за исключением случаев возникновения нестандартных ситуаций, допускается только в присутствии лица, допущенного к работе с платежной системой.

      13. При создании рабочего места пользователя платежной системы, получившего доступ в платежную систему, или переносе рабочего места пользователя платежной системы на новое место пользователь платежной системы в течение десяти рабочих дней с даты начала эксплуатации рабочего места пользователя платежной системы уведомляет об этом Национальный Банк в произвольной письменной форме.

      Сноска. Пункт 13 в редакции постановления Правления Национального Банка РК от 28.11.2019 № 221 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 3. Взаимодействие пользователя платежной системы и Центра

      14. Аутентификация пользователя платежной системы и Центра осуществляется путем двухстороннего обмена информацией с использованием средств криптографической защиты информации и ключевой информации, зарегистрированной в удостоверяющем центре Центра.

      15. При возникновении ошибки в процессе аутентификации в платежной системе выдается сообщение об ошибке и связь разрывается.

      16. Рабочее место пользователя платежной системы содержит средства, необходимые для обеспечения соединения по протоколу TCP (IP) с прикладными серверами Центра, обеспечивающими работоспособность пользователя платежной системы.

      17. Договор, заключаемый между пользователем платежной системы и юридическим лицом, обеспечивающим канал передачи данных, используется для взаимодействия с платежной системой и предусматривает ответственность при сбоях в работе такого канала передачи данных.

Глава 4. Терминал платежной системы

      18. Терминал платежной системы осуществляет прием и (или) передачу сообщений платежной системы и является обязательным для использования пользователям платежной системы.

      19. Терминал платежной системы обрабатывает сообщения платежной системы в соответствии с процедурами обмена и форматами сообщений, применяемыми в платежной системе.

      20. Терминал платежной системы выполняет следующие функции:

      1) аутентификацию пользователя платежной системы и Центра;

      2) взаимодействие с удостоверяющим центром Центра;

      3) обеспечение конфиденциальности и аутентификации передаваемых и получаемых сообщений;

      4) передачу и (или) прием сообщений от пользователя платежной системы к Центру и от Центра к пользователю платежной системы;

      5) проверку целостности полученных сообщений платежной системы;

      6) проверку целостности терминала платежной системы;

      7) применение ключевой информации;

      8) формирование и проверку электронной цифровой подписи сообщений;

      9) проверку принадлежности электронной цифровой подписи сообщения пользователю платежной системы или Центру.

      21. Терминал платежной системы обеспечивает ведение электронных журналов, регистрирующих следующие ключевые события и действия операторов и администраторов рабочего места пользователя платежной системы:

      1) время и дату открытия и закрытия терминала платежной системы;

      2) время и дату соединения с Центром и отсоединения от Центра;

      3) время начала и время завершения действий операторов и администраторов платежной системы по сообщениям платежной системы, описание совершенных действий.

      22. Доступ операторов и администраторов рабочего места пользователя платежной системы к терминалу платежной системы либо к его приложению обеспечивается исключительно после успешного выполнения идентификации и аутентификации.

      23. Эксплуатация терминала платежной системы осуществляется с использованием технических средств, которые обеспечивают надежную и бесперебойную работу терминала платежной системы и соответствуют требованиям, указанным в документации к терминалу платежной системы.

      24. Терминал платежной системы либо его приложение устанавливается на специально выделенном для этих целей персональном компьютере (сервере), имеющем инвентарный номер учета и паспорт с подробными данными по конфигурации, аппаратным и программным средствам, установленным на нем.

      25. Администрирование терминала платежной системы или его приложения осуществляется непосредственно с рабочего места пользователя платежной системы и в присутствии офицера безопасности рабочего места пользователя платежной системы.

      26. Работа с терминалом платежной системы осуществляется с рабочего места пользователя платежной системы. Не допускается установка и использование систем удаленного доступа на рабочем месте пользователя платежной системы. Встроенные службы удаленного доступа к рабочему месту пользователя платежной системы удаляются или отключаются.

      27. В случае выявления некорректной работы терминала платежной системы, при которой может быть нанесен ущерб пользователям платежной системы или Центру, последний закрывает доступ этому терминалу платежной системы в платежную систему с одновременным извещением пользователя платежной системы и указанием соответствующих причин.

      28. Условием подключения пользователя платежной системы к платежной системе является использование средства криптографической защиты информации, которое обеспечивает:

      1) механизм формирования и проверки электронной цифровой подписи;

      2) конфиденциальность информации (шифрование данных);

      3) целостность передаваемой информации (имитационная защита данных);

      4) целостность хранимой информации и программного обеспечения (хэширование данных).

Глава 5. Ключевая информация

      29. Ключевая информация регистрируется пользователем в удостоверяющем центре Центра.

      30. Ключевая информация находится на внешнем носителе. Доступ к носителю с ключевой информацией предоставляется исключительно операторам рабочего места пользователя платежной системы.

      31. Ключевая информация загружается в терминал платежной системы с внешнего носителя. Наличие несанкционированных копий ключевой информации, в том числе на жестком диске рабочего места пользователя платежной системы, не допускается.

      32. Порядок хранения и использования внешних носителей с ключевой информацией исключает возможность несанкционированного доступа к ним.

      33. Лица, имеющие доступ к ключевой информации, обеспечивают сохранность и неразглашение информации, полученной в результате работы с платежной системой.

      34. Плановая смена ключевой информации осуществляется не реже одного раза в год.

      35. Внешние носители с ключевой информацией хранятся в сейфе, оборудованном запирающимся устройством, установленном в помещении работников, ответственных за хранение внешних носителей с ключевой информацией. В случае неиспользования ключевой информации внешние носители с ключевой информацией находятся в сейфах.

      36. В случаях увольнения работников, имевших доступ к ключевой информации, или выявления попытки несанкционированного доступа к ключевой информации производится внеплановая смена ключевой информации. Новая ключевая информация вводится в действие не позднее дня увольнения работника, имеющего доступ к ключевой информации, либо не позднее дня выявления попытки несанкционированного доступа к ключевой информации.

      Новая ключевая информация регистрируется пользователем в удостоверяющем центре Центра.

      37. Процедуры по хранению и уходу за внешними носителями с ключевой информацией осуществляются в соответствии с рекомендациями производителя.

      38. Устаревшая ключевая информация хранится пользователем платежной системы в течение срока хранения электронных документов, подписанных или зашифрованных с использованием этой ключевой информации.

      39. Пользователю платежной системы не допускается:

      1) снимать несанкционированные копии ключевой информации;

      2) знакомить с ключевой информацией или передавать ее лицам, не имеющим к ней доступ;

      3) выводить ключевую информацию на дисплей или принтер;

      4) использовать внешний носитель с ключевой информацией в режимах, не предусмотренных условиями функционирования, установленными его производителем;

      5) записывать на внешний носитель с ключевой информацией постороннюю информацию;

      6) использовать чужую ключевую информацию.

Глава 6. Требования к рабочему месту пользователя платежной системы

      40. На рабочем месте пользователя платежной системы устанавливается программно-аппаратный комплекс защиты от несанкционированного доступа, включающий в себя средства аутентификации лиц допущенных к работе с платежной системой, ведение электронных журналов в течение срока хранения электронных документов платежной системы с целью контроля событий, связанных с доступом к рабочему месту пользователя платежной системы и их действиями.

      41. На рабочее место пользователя платежной системы устанавливаются средства обнаружения вредоносного программного кода и (или) программы. В случае выявления факта заражения данная информация немедленно сообщается в подразделение безопасности пользователя платежной системы.

      42. Не допускается установка на рабочем месте пользователя платежной системы аппаратных и программных средств, не предусмотренных Требованиями и не предназначенных для решения задач по подготовке, обработке, передаче или ведения электронных документов в рамках платежной системы.

      43. Одному системному имени лица, допущенного к работе с платежной системой, по которому данное лицо идентифицируется на входе в информационные системы пользователя платежной системы, соответствует одно физическое лицо.

      44. Системный блок рабочего места пользователя платежной системы опечатывается или опломбируется с указанием на стикере или пломбе даты последнего опечатывания или опломбирования и инвентарного номера учета персонального компьютера.

      45. Порядок хранения и использования технических средств, паролей или другой информации, обеспечивающих доступ к рабочему месту пользования платежной системы, исключает возможность их несанкционированного использования.

      46. Права по установлению и изменению настроек средств защиты от несанкционированного доступа к рабочему месту пользователя платежной системы предоставляются исключительно работникам, выполняющим функции офицера безопасности рабочего места пользователя платежной системы.

      47. Порядок доступа к ресурсам (дисковое пространство, директории, сетевые ресурсы, базы данных), выделенным для накопления в них информации для передачи в платежную систему, получения информации из платежной системы, хранения, архивирования либо другой обработки информации, исключает возможность доступа к этим ресурсам лиц, не допущенных к работе с ними.

      48. Порядок доступа к рабочему месту пользователя платежной системы посредством сети и иных технических каналов передачи данных исключает возможность несанкционированного доступа.

      49. Рабочее место пользователя платежной системы оснащается техническими средствами бесперебойного электропитания, позволяющего осуществлять работу персонального компьютера при отсутствии напряжения в электросети в течение времени, необходимого для корректного завершения работы в системе, но не менее тридцати минут.

      50. В случае внесения изменений в программное обеспечение, посредством которого осуществляется связь между пользователем платежной системы и Центром, в программно-аппаратный комплекс защиты от несанкционированного доступа рабочего места пользователя платежной системы, а также в технологию передачи электронных документов, подготовленных в информационной системе пользователя платежной системы, на рабочее место пользователя платежной системы, пользователь платежной системы в течение десяти рабочих дней со дня внесения изменений уведомляет об этом Национальный Банк в произвольной письменной форме для получения заключения (информации) о соответствии его деятельности Требованиям.

      Сноска. Пункт 50 в редакции постановления Правления Национального Банка РК от 22.12.2017 № 248 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 7. Организация работы обслуживающего персонала

      51. Лица, допущенные к работе с платежной системой подразделяются на следующие категории:

      1) администратор рабочего места пользователя платежной системы;

      2) оператор рабочего места пользователя платежной системы;

      3) офицер безопасности рабочего места пользователя платежной системы.

      Примечание ИЗПИ!
      Пункт 52 предусмотрен в редакции постановления Правления Национального Банка РК от 25.12.2023 № 105 (вводится в действие с 01.07.2024).

      52. При наличии функции создания платежных сообщений в формате МТ 100 и (или) МТ 102 посредством терминала платежной системы либо его приложения при организации работ обслуживающего персонала не допускается исполнение одним лицом функций (полностью или частично) разных категорий лиц, указанных в пункте 51 Требований.

      53. Пользователь платежной системы осуществляет ведение следующих внутренних журналов регистрации:

      1) журнал посещений Помещения лицами, не допущенными к работе с платежной системой, с указанием:

      даты, времени входа и выхода посетителя и цели посещения;

      фамилии и подписи посетителя;

      фамилии и подписи сопровождающего лица из числа лиц, допущенных к работе с платежной системой;

      2) журнал использования ключевой информации с указанием:

      даты, времени начала и окончания использования ключевой информации;

      фамилии и подписи лица, использующего ключевую информацию;

      даты замены ключевой информации с указанием причин замены;

      3) журнал опломбирования и проверки целостности пломб и печатей системного блока рабочего места пользователя платежной системы с указанием:

      даты и времени опломбирования или проверки целостности пломб или печатей;

      фамилии и подписи лица, осуществившего опломбирование или проверки целостности пломб или печатей;

      причины опломбирования или проверки целостности пломб или печатей;

      формы и материала пломбы или стикера для опечатывания.

      54. Внутренние журналы регистрации, указанные в пункте 53 Требований, пронумеровываются, прошнуровываются, сшиваются и удостоверяются подписью лица, допущенного к работе с платежной системой. Ошибочные записи во внутренних журналах регистрации, подлежащие корректировке, также удостоверяются подписью лица, допущенного к работе с платежной системой.

      Сноска. Пункт 54 в редакции постановления Правления Национального Банка РК от 27.08.2018 № 182 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      55. Внутренние журналы регистрации, указанные в пункте 53 Требований, хранятся пользователем платежной системы не менее одного года с даты внесения последней записи.

      56. Внутренними документами пользователя платежной системы определяются:

      1) режим работы с платежной системой с указанием времени работы и перерывов, порядка работы в выходные и праздничные дни, а также случаев продления операционного дня платежной системы;

      2) список работников (с указанием должности, фамилии и инициалов), допущенных к работе с платежной системой, с указанием по каждому работнику выполняемых им функций:

      администратора, оператора или офицера безопасности рабочего места пользователя платежной системы;

      архивирования и хранения электронных документов, переданных в платежную систему и полученных из платежной системы;

      мониторинга целостности печатей или пломб на системном блоке рабочего места пользователя платежной системы;

      3) список работников (с указанием должности, фамилии и инициалов), имеющих доступ к ресурсам, указанным в пункте 47 Требований, с указанием уровня доступа и выполняемых функций;

      4) список работников (с указанием должности, фамилии и инициалов) и ресурсов, имеющих доступ к рабочему месту пользователя платежной системы посредством сети и иных технических каналов передачи данных, с указанием целей предоставления доступа;

      5) порядок архивирования и дальнейшего хранения электронных документов, переданных в платежную систему и полученных из платежной системы, с указанием условий, сроков и места их хранения, а также порядка доступа к этим архивам;

      6) порядок хранения и использования технических средств, паролей или другой информации, обеспечивающих доступ к рабочему месту пользователя платежной системы, с указанием условий и мест хранения, процедур доступа к ним и сроков смены;

      7) порядок передачи электронных документов, подготовленных в информационной системе пользователя платежной системы, на рабочее место пользователя платежной системы;

      8) порядок работы с программно-аппаратным комплексом защиты от несанкционированного доступа и средствами обеспечения целостности программного обеспечения, установленными на рабочем месте пользователя платежной системы;

      9) порядок и процедуры работы с терминалом платежной системы;

      10) порядок работы с основным и резервным каналами передачи данных с указанием случаев и процедур перехода с одного канала на другой.

      57. Пользователь платежной системы получает с работников, допущенных к работе в платежной системе, обязательство о неразглашении и нераспространении паролей или другой информации, обеспечивающих доступ к рабочему месту пользователя платежной системы, а также конфиденциальной и ключевой информации.

      58. При необходимости решения текущих и оперативных вопросов в части безопасности оператор и офицер безопасности рабочего места пользователя платежной системы взаимодействуют с подразделением безопасности пользователя платежной системы.

Глава 8. Требования к управлению операционным риском и обеспечению непрерывности деятельности пользователя платежной системы

      59. В целях управления операционным риском пользователь платежной системы обеспечивает ведение внутренних документов, определяющих:

      1) методы управления операционным риском;

      2) порядок оценки качества и надежности функционирования программно-технического комплекса пользователя платежной системы;

      3) план обеспечения непрерывности деятельности пользователя платежной системы.

      60. Пользователь платежной системы обеспечивает функционирование резервного центра для восстановления работы программно-технического комплекса пользователя платежной системы при нестандартных ситуациях, соответствующего условиям, установленным главами 2, 3, 4, 5, 6, 7 и настоящей главой Требований к основному центру, включая требования к рабочему месту пользователя платежной системы и его размещению, терминалу платежной системы, взаимодействию с Центром, порядку использования и хранения ключевой информации, организации работ обслуживающего персонала.

      61. Пользователь платежной системы обеспечивает функционирование резервного канала коммуникации (передачи данных) с платежной системой Центра. Предусматривается возможность подключения резервного канала коммуникации к сетевому (коммуникационному) оборудованию резервного и (или) основного центра платежной системы.

      62. План обеспечения непрерывности деятельности пользователя платежной системы содержит следующие условия:

      1) место нахождения резервного центра;

      2) порядок информирования руководства пользователя платежной системы и Национального Банка о возникновении нестандартной ситуации, о результатах ее урегулирования;

      3) перечень технических, программных или других средств, обеспечивающих работу пользователя с платежной системой Центра, восстановление которых требуется в резервном центре;

      4) перечень систем жизнеобеспечения, предназначенных для поддержания функционирования программно-технического комплекса пользователя платежной системы, работы персонала (системы электроснабжения, отопления, вентилирования, водоснабжения, канализации, пожаротушения и пожарной сигнализации, охраны зданий), которые используются в резервном центре;

      5) порядок дублирования и резервирования программно-технического комплекса пользователя платежной системы на резервный центр;

      6) бизнес-процессы пользователя платежной системы, подлежащие восстановлению в резервном центре;

      7) список команд восстановления пользователя платежной системы по каждому бизнес-процессу с описанием порядка их действий при переходе на работу резервного центра;

      8) порядок извещения команды восстановления пользователя платежной системы о необходимости перевода работы на резервный центр и ее транспортировки к месту нахождения резервного центра;

      9) контакты для внешнего взаимодействия;

      10) порядок проведения тестирования функционирования резервного центра.

      63. При возникновении нестандартной ситуации в основном центре пользователь платежной системы:

      1) обеспечивает перевод программно-технического комплекса пользователя платежной системы на резервный центр.

      Стандартный норматив времени по переводу программно-технического комплекса пользователя платежной системы на резервный центр составляет не более трех часов с момента возникновения нестандартной ситуации.

      При отсутствии возможности соблюдения стандартного норматива времени пользователь платежной системы принимает необходимые меры для перевода работы пользователя платежной системы на резервный центр с учетом необходимости исполнения принятых обязательств по платежам и переводам денег до завершения операционного дня платежной системы Центра;

      2) направляет посредством защищенного канала связи транспортной системы "Финансовая автоматизированная система транспортной информации" (далее – ФАСТИ") или факсимильной связи Национальному Банку письмо о принятии решения перевести программно-технический комплекс на резервный центр в течение трех часов после принятия указанного решения;

      3) направляет посредством защищенного канала связи ФАСТИ или факсимильной связи Национальному Банку письмо о результате перевода программно-технического комплекса на резервный центр в течение трех часов после завершения работ по переводу;

      4) направляет посредством защищенного канала связи ФАСТИ или факсимильной связи Национальному Банку письмо о результате перевода программно-технического комплекса обратно на основной центр в течение трех часов после завершения работ по переводу.

      Сноска. Пункт 63 в редакции постановления Правления Национального Банка РК от 22.12.2017 № 248 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      64. Пользователем платежной системы не менее одного раза в год проводится тестирование функционирования резервного центра путем планового перевода работы пользователя платежной системы на использование резервного центра. Пользователь платежной системы письменно уведомляет Национальный Банк о планируемых сроках тестирования за десять рабочих дней до начала планового перевода программно-технического комплекса на резервный центр.

      Сведения о результатах тестирования с указанием выявленных проблем (при наличии) и принятых мер по их устранению представляются пользователем платежной системы в Национальный Банк в течение пяти рабочих дней после дня завершения мероприятий после перевода программно-технического комплекса с резервного на основной центр.

      65. Документ, регламентирующий методы управления операционным риском, и план обеспечения непрерывности деятельности пользователя платежной системы подлежат ежегодному анализу пользователем платежной системы на предмет необходимости актуализации.

Глава 9. Заключительные положения

      66. При расторжении (окончании срока действия) договора об оказании услуг в платежной системе, заключенного между пользователем платежной системы и Центром, Центр не позднее следующего рабочего дня после дня расторжения договора уведомляет об этом Национальный Банк в соответствии с договором.

      67. Национальный Банк в течение десяти календарных дней со дня получения уведомления, предусмотренного пунктами 13 и 50 Требований, принимает решение о необходимости либо отсутствии необходимости проведения осмотра рабочего места пользователя платежной системы.

      Допускается проведение осмотра в случаях, если ранее в деятельности пользователя платежной системы были выявлены нарушения Требований либо последний осмотр был проведен (осуществлен) более двух лет назад.

      Национальный Банк проводит (осуществляет) осмотр рабочего места пользователя платежной системы в течение двух месяцев со дня принятия решения о проведении (осуществлении) осмотра либо со дня получения обращения.