Об утверждении Требований к организационным мерам и программно-техническим средствам, обеспечивающим доступ в платежные системы

Постановление Правления Национального Банка Республики Казахстан от 24 августа 2012 года № 269. Зарегистрировано в Министерстве юстиции Республики Казахстан 28 сентября 2012 года № 7950. Утратило силу постановлением Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 200

      Сноска. Утратило силу постановлением Правления Национального Банка РК от 31.08.2016 № 200 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      Сноска. Заголовок приказа в редакции постановления Правления Национального Банка РК от 28.01.2016 № 35 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      В целях реализации Закона Республики Казахстан 30 марта 1995 года «О Национальном Банке Республики Казахстан» Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:
      Сноска. Преамбула в редакции постановления Правления Национального Банка РК от 28.01.2016 № 35 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      1. Утвердить прилагаемые Требования к организационным мерам и программно-техническим средствам, обеспечивающим доступ в платежные системы.
      Сноска. Пункт 1 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 35 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      2. Признать утратившим силу постановление Правления Национального Банка Республики Казахстан от 28 ноября 2008 года № 95 «Об утверждении Инструкции о требованиях к организационным мерам и программно-техническим средствам, обеспечивающим доступ банков и организаций, осуществляющих отдельные виды банковских операций, в платежные системы Республиканского государственного предприятия на праве хозяйственного ведения «Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан» (зарегистрированное в Реестре государственной регистрации нормативных правовых актов под № 5411, опубликованное 6 февраля 2009 года в газете «Юридическая газета» № 19 (1616).
      3. Настоящее постановление вводится в действие по истечении шести месяцев после его первого официального опубликования.
      4. Приостановить до 1 января 2014 года действие пункта 2 прилагаемых Требований к организационным мерам и программно-техническим средствам, обеспечивающим доступ банкам и организациям, осуществляющим отдельные виды банковских операций, в платежные системы, установив, что в период приостановления данный пункт действует в следующей редакции:
      «2. Требования распространяют свое действие на всех пользователей платежной системы, за исключением Национального Банка Республики Казахстан».

      Председатель
      Национального Банка                        Г. Марченко

Утверждена          
постановлением Правления 
Национального Банка    
Республики Казахстан    
от 24 августа 2012 года № 269

Требования к организационным мерам и программно-техническим
средствам, обеспечивающим доступ в платежные системы

      Сноска. Заголовок Требования в редакции постановления Правления Национального Банка РК от 28.01.2016 № 35 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

1. Общие положения

      1. Требования к организационным мерам и программно-техническим средствам, обеспечивающим доступ в платежные системы (далее – Требования), разработаны в соответствии с Законом Республики Казахстан от 30 марта 1995 года «О Национальном Банке Республики Казахстан» (далее – Закон о Национальном Банке) и устанавливают требования к организационным мерам и программно-техническим средствам, обеспечивающим доступ в платежные системы Республиканского государственного предприятия на праве хозяйственного ведения «Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан» (далее – платежная система).
      Сноска. Пункт 1 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 35 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      2. Требования распространяют свое действие на всех пользователей платежной системы.
      3. В Требованиях используются следующие понятия:
      1) аутентификация – комплекс мер для подтверждения подлинности участия Республиканского государственного предприятия на праве хозяйственного ведения «Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан» (далее - Центр) и пользователей платежной системы при обмене сообщениями платежной системы, а также для подтверждения подлинности таких сообщений;
      2) средства контроля доступа – технические, программные или другие средства, позволяющие фиксировать информацию о доступе к объектам;
      3) ключевая информация – криптографические ключи или другая информация, позволяющая осуществлять криптографические преобразования информации;
      4) операционный риск – риск, связанный с нарушениями в работе информационных систем или внутренних процессов, человеческими ошибками, сбоями или нарушениями в управлении платежной системой, в том числе вследствие внешних событий;
      5) несанкционированный доступ – доступ к информационным и программным ресурсам с нарушением установленного пользователем платежной системы порядка доступа к ним;
      6) программно-аппаратный комплекс защиты от несанкционированного доступа – система защиты персонального компьютера от использования посторонними лицами, а также для разграничения полномочий зарегистрированных пользователей по доступу к информационным и программным ресурсам;
      7) нестандартные ситуации – ситуации, приведшие к сбоям (нарушениям) в функционировании программно-технического комплекса пользователя платежной системы вследствие возникновения операционного риска;
      8) пользователь платежной системы – юридические лица, заключившие договор с Центром об оказании услуг в платежной системе, и Центр;
      9) информационная система пользователя платежной системы – программное обеспечение пользователя платежной системы, используемое для формирования или преобразования электронных документов, предназначенных для дальнейшего направления в платежную систему посредством терминала платежной системы;
      10) программно-технический комплекс пользователя платежной системы – технические, программные или другие средства, обеспечивающие работу пользователя в платежной системе, включающие информационную систему, рабочее место пользователя платежной системы, терминалы платежной системы, средства коммуникации (передачи данных) с платежной системой;
      11) основной центр программно-технического комплекса пользователя платежной системы (далее – основной центр) – программно-технический комплекс пользователя платежной системы, обеспечивающий работу пользователя в платежной системе в обычном (повседневном) режиме;
      12) резервный центр программно-технического комплекса пользователя платежной системы (далее – резервный центр) – резервный программно-технический комплекс пользователя платежной системы, обеспечивающий работу пользователя в платежной системе при возникновении нестандартных ситуаций или проведении плановых тестовых работ в основном центре;
      13) рабочее место пользователя платежной системы – персональный компьютер (сервер), на котором установлен терминал платежной системы, обеспечивающий доступ в платежную систему;
      14) подразделение безопасности пользователя платежной системы – структурное подразделение пользователя платежной системы, обеспечивающее безопасность и защиту информационных и программных ресурсов пользователя платежной системы;
      15) терминал платежной системы – специальное программное обеспечение, обеспечивающее доступ в платежную систему, установленное у пользователей платежной системы;
      16) приложение терминала платежной системы – специальное программное обеспечение, предназначенное для удаленной работы с терминалом платежной системы.
      Сноска. Пункт 3 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 35 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      4. Процедуры обмена и форматы сообщений, применяемые в платежной системе, устанавливаются Центром.
      Сноска. Пункт 4 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 35 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

2. Размещение рабочего места пользователя платежной системы

      5. Рабочее место пользователя платежной системы размещается в помещении пользователя платежной системы с ограниченным доступом (далее – Помещение). Не допускается размещение в Помещении рабочих мест, не предназначенных для работы с платежной системой, за исключением рабочих мест работников, выполняющих функции операторов рабочего места пользователя платежной системы.
      Сноска. Пункт 5 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 35 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      6. Помещение оборудуется металлическими и (или) усиленными от проникновения входными дверями, на которые устанавливаются механические и (или) электромеханические замки.
      Сноска. Пункт 6 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 35 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      7. Двери Помещения оборудуются средствами контроля доступа для осуществления мониторинга событий доступа в Помещение в режиме реального времени и записи событий доступа в Помещение в электронном журнале с возможностью получения отчета о событиях доступа в Помещение. Архив событий электронного журнала хранится пользователем платежной системы не менее шести месяцев.
      8. Рабочее место пользователя платежной системы обеспечивается средствами защиты информации от утечки по электромагнитным каналам или жидкокристаллическим монитором с подключением его по цифровому интерфейсу.
      9. При расположении Помещения на первых и последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц, прилегающих крыш иных строений, окна Помещения оборудуются металлическими решетками или аналогичными средствами защиты, предназначенными для предотвращения физического проникновения в Помещение путем разбития оконных стекол.
      10. Двери и окна Помещения оборудуются исправной охранной сигнализацией.
      11. За входом в Помещение, а также за рабочим местом пользователя платежной системы устанавливается видеонаблюдение с возможностью записи видеосигналов. Допускается срабатывание запуска записи видеосигналов на движение объектов. Архив записи видеосигналов хранится не менее периода контроля целостности печатей или пломб на системном блоке рабочего места пользователя платежной системы, установленного внутренними документами пользователя платежной системы.
      Сноска. Пункт 11 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 35 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      11-1. Доступ в помещение имеют лица, допущенные к работе с платежной системой. Посещение Помещения лицами, не допущенными к работе с платежной системой, за исключением случаев возникновения нестандартных ситуаций, допускается только в присутствии лица, допущенного к работе с платежной системой.
      Сноска. Требования дополнены пунктом 11-1 в соответствии с постановлением Правления Национального Банка РК от 28.01.2016 № 35 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      12. При создании рабочего места пользователя платежной системы, получившего доступ в платежную систему, или переносе рабочего места пользователя платежной системы на новое место пользователь платежной системы в течение десяти рабочих дней с момента эксплуатации рабочего места пользователя платежной системы уведомляет об этом Национальный Банк Республики Казахстан (далее – Национальный Банк).

3. Взаимодействие пользователя платежной системы и Центра

      13. Аутентификация пользователя платежной системы и Центра осуществляется путем двухстороннего обмена информацией с использованием средств криптографической защиты.
      14. При возникновении ошибки в процессе аутентификации в платежной системе выдается сообщение об ошибке и связь разрывается.
      15. Рабочее место пользователя платежной системы содержит средства, необходимые для обеспечения соединения по протоколу TCP/IP с прикладными серверами Центра, обеспечивающими работоспособность пользователя платежной системы.
      16. Договор, заключаемый между пользователем платежной системы и юридическим лицом, обеспечивающим используемый для взаимодействия с платежной системой канал передачи данных, предусматривает ответственность при сбоях в работе такого канала передачи данных.
      17. Исключен постановлением Правления Национального Банка РК от 28.01.2016 № 35 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

4. Терминал платежной системы

      18. Терминал платежной системы осуществляет прием и передачу сообщений платежной системы и является обязательным для использования пользователем платежной системы.
      19. Терминал платежной системы обрабатывает сообщения платежной системы в соответствии с процедурами обмена и форматами сообщений, применяемыми в платежной системе.
      Сноска. Пункт 19 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 35 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      20. Терминал платежной системы выполняет следующие функции:
      1) аутентификация пользователя платежной системы и Центра;
      2) обеспечение конфиденциальности и аутентификации передаваемых и получаемых сообщений;
      3) передача и прием сообщений от пользователя платежной системы к Центру и от Центра к пользователю платежной системы;
      4) проверка целостности полученных сообщений платежной системы;
      5) проверка целостности терминала платежной системы;
      6) применение ключевой информации;
      7) формирование и проверка электронной цифровой подписи сообщений;
      8) проверка принадлежности электронной цифровой подписи сообщения пользователю платежной системы или Центру.
      21. Терминал платежной системы обеспечивает ведение электронных журналов, в которых регистрируются следующие ключевые события и действия операторов и администраторов рабочего места пользователя платежной системы:
      1) время и дата открытия и закрытия терминала платежной системы;
      2) время и дата соединения с Центром и отсоединения от Центра;
      3) время начала и время завершения действий операторов и администраторов платежной системы над сообщениями платежной системы, описание совершенных действий.
      22. Доступ операторов и администраторов рабочего места пользователя платежной системы к терминалу платежной системы либо к его приложению обеспечивается только после успешного выполнения процедур идентификации и аутентификации.
      23. Эксплуатация терминала платежной системы осуществляется с использованием технических средств, которые обеспечивают надежную и бесперебойную работу терминала платежной системы и соответствуют требованиям, указанным в документации к терминалу платежной системы.
      24. Терминал платежной системы либо его приложение устанавливается на специально выделенном для этих целей персональном компьютере (сервере), имеющем инвентарный номер учета и паспорт с подробными данными по конфигурации, аппаратным и программным средствам, установленным на нем.
      25. Администрирование терминала платежной системы или его приложения осуществляется непосредственно с рабочего места пользователя платежной системы и в присутствии офицера безопасности рабочего места пользователя платежной системы.
      25-1. Работа с терминалом платежной системы осуществляется с рабочего места пользователя платежной системы. Не допускается установка и использование систем удаленного доступа на рабочем месте пользователя платежной системы. Встроенные службы удаленного доступа к рабочему месту пользователя платежной системы удаляются или отключаются.
      Сноска. Требования дополнены пунктом 25-1 в соответствии с постановлением Правления Национального Банка РК от 28.01.2016 № 35 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      26. В случае выявления некорректной работы терминала платежной системы, при которой может быть нанесен ущерб пользователям платежной системы или Центру, последний закрывает доступ этому терминалу платежной системы в платежную систему с одновременным извещением пользователя платежной системы и указанием соответствующих причин.
      27.  Обязательным условием подключения пользователя платежной системы к платежной системе является использование средства криптографической защиты информации, которое обеспечивает:
      1) механизм формирования и проверки электронной цифровой подписи;
      2) конфиденциальность информации (шифрование данных);
      3) целостность передаваемой информации (имитационная защита данных);
      4) целостность хранимой информации и программного обеспечения (хэширование данных).
      Сноска. Пункт 27 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 35 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

5. Ключевая информация

      28. Ключевая информация находится на внешнем носителе. Доступ к ключевой информации предоставляется только операторам рабочего места пользователя платежной системы.
      29. Ключевая информация загружается в терминал платежной системы только с внешнего носителя. Наличие несанкционированных копий ключевой информации, в том числе на жестком диске рабочего места пользователя платежной системы, не допускается.
      30. Порядок хранения и использования внешних носителей с ключевой информацией исключает возможность несанкционированного доступа к ним.
      31. Лица, имеющие доступ к ключевой информации, обеспечивают сохранность и неразглашение информации, полученной в результате работы с платежной системой.
      32. Плановая смена ключевой информации осуществляется не реже одного раза в год.
      33. Для хранения внешних носителей с ключевой информацией в помещении работников, ответственных за хранение внешних носителей с ключевой информацией, устанавливаются сейфы, оборудованные запирающими устройствами. При неиспользовании ключевой информации внешние носители с ключевой информацией находятся в сейфах.
      34. В случаях увольнения работников, имевших доступ к ключевой информации, или выявления попытки несанкционированного доступа к ключевой информации производится внеплановая смена ключевой информации. Новая ключевая информация вводится в действие не позднее дня увольнения работника, имеющего доступ к ключевой информации, либо не позднее дня выявления попытки несанкционированного доступа к ключевой информации.
      35. Процедуры по хранению и уходу за внешними носителями с ключевой информацией осуществляются в соответствии с рекомендациями изготовителя.
      36. Устаревшая ключевая информация хранится пользователем платежной системы в течение срока хранения электронных документов, подписанных или зашифрованных с использованием этой ключевой информации.
      37. Пользователю платежной системы не допускается:
      1) снимать несанкционированные копии ключевой информации;
      2) знакомить с содержанием внешних носителей с ключевой информацией или передавать их лицам, не имеющим к ним доступ;
      3) выводить ключевую информацию на дисплей или принтер;
      4) использовать внешний носитель с ключевой информацией в режимах, не предусмотренных условиями функционирования, установленными его производителем;
      5) записывать на внешний носитель с ключевой информацией постороннюю информацию;
      6) использовать чужую ключевую информацию.

6. Требования к рабочему месту пользователя платежной системы

      38. На рабочем месте пользователя платежной системы устанавливается программно-аппаратный комплекс защиты от несанкционированного доступа, включающий в себя средства опознавания пользователя, возможность ведения электронных журналов в течение срока хранения электронных документов платежной системы с целью контроля событий, связанных с доступом к рабочему месту пользователя платежной системы и действиями пользователей.
      39. На рабочее место пользователя платежной системы устанавливаются средства обнаружения вредоносных программного кода и/или программы. В случае выявления факта заражения данная информация немедленно сообщается в подразделение безопасности пользователя платежной системы.
      40. Установка на рабочем месте пользователя платежной системы аппаратных и программных средств, не предусмотренных Требованиями и не предназначенных для решения задач по подготовке, обработке, передаче или ведения электронных документов в рамках платежной системы, не допускается.
      41. Одному системному имени пользователя, по которому идентифицируется пользователь на входе в информационные системы пользователя платежной системы, соответствует одно физическое лицо.
      42. Системный блок рабочего места пользователя платежной системы опечатывается или опломбируется с указанием на стикере или пломбе даты последнего опечатывания или опломбирования и инвентарного номера учета персонального компьютера.
      43. Порядок хранения и использования технических средств, паролей или другой информации, обеспечивающих доступ к рабочему месту пользователя платежной системы, исключает возможность их несанкционированного использования.
      44. Права по установлению и изменению настроек средств защиты от несанкционированного доступа рабочего места пользователя платежной системы предоставляются только работникам, выполняющим функции офицера безопасности рабочего места пользователя платежной системы.
      45. Порядок доступа к ресурсам (дисковое пространство, директории, сетевые ресурсы, базы данных), выделенным для накопления в них информации для передачи в платежную систему, получения информации из платежной системы, хранения, архивирования либо другой обработки информации, исключает возможность доступа к этим ресурсам лиц, не допущенных к работе с ними.
      46. Порядок доступа к рабочему месту пользователя платежной системы посредством сети и иных технических каналов передачи данных исключает возможность несанкционированного доступа.
      47. Рабочее место пользователя платежной системы оснащается техническими средствами бесперебойного электропитания, позволяющего осуществлять работу персонального компьютера при отсутствии напряжения в электросети в течение времени, необходимого для корректного завершения работы в системе, но не менее 30 (тридцати) минут.
      48. В случае внесения изменений в программное обеспечение, посредством которого осуществляется связь между пользователем платежной системы и Центром, в программно-аппаратный комплекс защиты от несанкционированного доступа рабочего места пользователя платежной системы, а также в технологию передачи электронных документов, подготовленных в информационной системе пользователя платежной системы, на рабочее место пользователя платежной системы, пользователь платежной системы в течение десяти рабочих дней со дня эксплуатации уведомляет об этом Национальный Банк.

7. Организация работ обслуживающего персонала

      49. Лица, допущенные к работе с платежной системой, подразделяются на следующие категории:
      1) администратор рабочего места пользователя платежной системы – лицо, непосредственно осуществляющее администрирование терминала платежной системы;
      2) оператор рабочего места пользователя платежной системы – лицо, непосредственно осуществляющее подготовку, передачу и прием сообщений платежной системы с использованием ключевой информации пользователя платежной системы, а также выработку и регистрацию ключевой информации в Центре в присутствии офицера безопасности рабочего места пользователя платежной системы;
      3) офицер безопасности рабочего места пользователя платежной системы – лицо, обеспечивающее установку и функционирование на рабочем месте пользователя платежной системы программно-аппаратного комплекса защиты информации от несанкционированного доступа, средств защиты информации от утечки по электромагнитным каналам, а также осуществляющее мониторинг за их работоспособностью и за выполнением требований безопасности.
      Сноска. Пункт 49 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 35 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      50. В случае наличия функции создания платежных сообщений в формате МТ 100 и (или) МТ 102 посредством терминала платежной системы либо его приложения при организации работ обслуживающего персонала не допускается исполнение одним лицом функций (полностью или частично) разных категорий лиц, указанных в пункте 49 Требований.
      Сноска. Пункт 50 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 35 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      51. Пользователь платежной системы осуществляет ведение следующих внутренних журналов регистрации:
      1) журнал посещений Помещения лицами, не допущенными к работе с платежной системой, с указанием:
      даты, времени входа/выхода посетителя и цели посещения;
      фамилии и подписи посетителя;
      фамилии и подписи сопровождающего лица из числа лиц, допущенных к работе с платежной системой;
      2) журнал использования ключевой информации с указанием:
      даты, времени начала и окончания использования ключевой информации;
      фамилии и подписи лица, использующего ключевую информацию;
      даты замены ключевой информации с указанием причин замены;
      3) журнал опломбирования и проверки целостности пломб и печатей системного блока рабочего места пользователя платежной системы с указанием:
      даты и времени опломбирования или проверки целостности пломб или печатей;
      фамилии и подписи лица, осуществившего опломбирование или проверки целостности пломб или печатей;
      причины опломбирования или проверки целостности пломб или печатей;
      формы и материала пломбы или стикера для опечатывания.
      Сноска. Пункт 51 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 35 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      52. Внутренние журналы регистрации, указанные в пункте 51 Требований, пронумеровываются, прошнуровываются и скрепляются печатью пользователя платежной системы (при ее наличии). Ошибочные записи во внутренних журналах регистрации подлежат корректировке и заверяются подписью лица, допущенного к работе с платежной системой.
      Сноска. Пункт 52 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 35 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      53. Внутренние журналы регистрации, указанные в пункте 51 Требований, хранятся пользователем платежной системы не менее одного года с момента внесения последней записи.
      Сноска. Пункт 53 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 35 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      54. Внутренними документами пользователя платежной системы определяются:
      1) режим работы с платежной системой с указанием времени работы и перерывов, порядка работы в выходные и праздничные дни, а также случаев продления операционного дня платежной системы;
      2) список работников (с указанием должности, фамилии и инициалов), допущенных к работе с платежной системой, с указанием по каждому работнику выполняемых им функций:
      администратора, оператора или офицера безопасности рабочего места пользователя платежной системы;
      архивирования и хранения электронных документов, переданных в платежную систему и полученных из платежной системы;
      мониторинга целостности печатей или пломб на системном блоке рабочего места пользователя платежной системы;
      3) список работников (с указанием должности, фамилии и инициалов), имеющих доступ к ресурсам, указанным в пункте 45 Требований, с указанием уровня доступа и выполняемых функций;
      4) список работников (с указанием должности, фамилии и инициалов) и ресурсов, имеющих доступ к рабочему месту пользователя платежной системы посредством сети и иных технических каналов передачи данных, с указанием целей предоставления доступа;
      5) порядок архивирования и дальнейшего хранения электронных документов, переданных в платежную систему и полученных из платежной системы, с указанием условий, сроков и места их хранения, а также порядка доступа к этим архивам;
      6) порядок хранения и использования технических средств, паролей или другой информации, обеспечивающих доступ к рабочему месту пользователя платежной системы, с указанием условий и мест хранения, процедур доступа к ним и сроков смены;
      7) порядок передачи электронных документов, подготовленных в информационной системе пользователя платежной системы, на рабочее место пользователя платежной системы;
      8) порядок работы с программно-аппаратным комплексом защиты от несанкционированного доступа и средствами обеспечения целостности программного обеспечения, установленными на рабочем месте пользователя платежной системы;
      9) порядок и процедуры работы с терминалом платежной системы;
      10) порядок работы с основным и резервным каналами передачи данных с указанием случаев и процедур перехода с одного канала на другой.
      Сноска. Пункт 54 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 35 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      55. С работников, допущенных к работе в платежной системе, пользователь платежных систем получает специальное обязательство о неразглашении и нераспространении технических средств, паролей или другой информации, обеспечивающих доступ к рабочему месту пользователя платежной системы, а также конфиденциальной и ключевой информации.
      Сноска. Пункт 55 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 35 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      56. При необходимости решения текущих и оперативных вопросов в части безопасности оператор и офицер безопасности рабочего места пользователя платежной системы взаимодействуют с подразделением безопасности пользователя платежной системы.
      Сноска. Пункт 56 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 35 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      57. Исключена постановлением Правления Национального Банка РК от 28.01.2016 № 35 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      Примечание РЦПИ!
      Требования предусмотрено дополнить главой 7-1 в соответствии с  постановлением Правления Национального Банка РК от 28.01.2016 № 35 (вводится в действие с 01.01.2017).
      

8. Заключительные положения

      58. При расторжении (окончании срока действия) договора об оказании услуг в платежной системе, заключенного между пользователем платежной системы и Центром, Центр не позднее следующего рабочего дня с момента расторжения договора уведомляет об этом Национальный Банк в соответствии с договором.
      Сноска. Пункт 58 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 35 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      59. Национальный Банк в течение десяти календарных дней со дня получения уведомления, предусмотренного пунктами 12 или 48 Требований, принимает решение о необходимости/отсутствии необходимости проведения проверки пользователя платежной системы.
      При принятии решения о необходимости проведения проверки пользователя платежной системы Национальный Банк в течение двух месяцев со дня принятия указанного решения осуществляет проверку в порядке, установленном Законом о Национальном Банке.

Төлем жүйелеріне қолжетімділікті қамтамасыз ететін ұйымдастыру шараларына және бағдарламалық-техникалық құралдарға қойылатын талаптарды бекіту туралы

Қазақстан Республикасы Ұлттық Банкі Басқармасының 2012 жылғы 24 тамыздағы № 269 Қаулысы. Қазақстан Республикасы Әділет министрлігінде 2012 жылы 28 қыркүйекте № 7950 тіркелді. Күші жойылды - Қазақстан Республикасы Ұлттық Банкі Басқармасының 2016 жылғы 31 тамыздағы № 200 қаулысымен

      Ескерту. Күші жойылды - ҚР Ұлттық Банкі Басқармасының 31.08.2016 № 200 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      Қолданушылардың назарына!
      Қолданысқа енгізілу тәртібін 4-тармақтан қараңыз.

      Ескерту. Қаулының тақырыбы жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 28.01.2016 № 35 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      «Қазақстан Республикасының Ұлттық Банкі туралы» 1995 жылғы 30 наурыздағы Қазақстан Республикасының Заңын іске асыру мақсатында Қазақстан Республикасы Ұлттық Банкінің Басқармасы ҚАУЛЫ ЕТЕДІ:
      Ескерту. Кіріспе жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 28.01.2016 № 35 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      1. Қоса беріліп отырған Төлем жүйелеріне қолжетімділікті қамтамасыз ететін ұйымдастыру шараларына және бағдарламалық-техникалық құралдарға қойылатын талаптар бекітілсін.
      Ескерту. 1-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 28.01.2016 № 35 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      2. Қазақстан Республикасының Ұлттық Банкі Басқармасының «Банктердің және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың «Қазақстан Республикасы Ұлттық Банкінің Қазақстан банкаралық есеп айырысу орталығы» шаруашылық жүргізу құқығы бар республикалық мемлекеттік кәсіпорнының төлем жүйелеріне кіруін қамтамасыз ететін ұйымдастыру шараларына және бағдарламалық-техникалық құралдарға қойылатын талаптар туралы нұсқаулықты бекіту жөнінде» 2008 жылғы 28 қарашадағы № 95 қаулысының (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 5411 тіркелген, «Заң газеті» газетінде 2009 жылғы 6 ақпанда жарияланған № 19 (1442)) күші жойылды деп танылсын.
      3. Осы қаулы алғашқы ресми жарияланғанынан кейін алты ай өткен соң қолданысқа енгізіледі.
      4. Қоса беріліп отырған Банктердің және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың төлем жүйелеріне кіруін қамтамасыз ететін ұйымдастыру шараларына және бағдарламалық-техникалық құралдарға қойылатын талаптары 2-тармағының қолданылуы 2014 жылғы 1 қаңтарға дейін тоқтатыла тұрсын, тоқтата тұру кезеңінде осы тармақтың мынадай редакцияда қолданылатыны белгіленсін:
      «2. Талаптар Қазақстан Республикасының Ұлттық Банкін қоспағанда төлем жүйесінің барлық пайдаланушыларына қолданылады.».

      Ұлттық Банк
      Төрағасы                                   Г. Марченко

Қазақстан Республикасы  
Ұлттық Банкі Басқармасының
2012 жылғы 24 тамыздағы  
№ 269 қаулысымен     
бекітілген         

Төлем жүйелеріне қолжетімділікті қамтамасыз ететін ұйымдастыру
шараларына және бағдарламалық-техникалық құралдарға қойылатын
талаптар

      Ескерту. Талаптың тақырыбы жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 28.01.2016 № 35 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

1. Жалпы ережелер

      1. Төлем жүйелеріне қолжетімділікті қамтамасыз ететін ұйымдастыру шараларына және бағдарламалық-техникалық құралдарға қойылатын талаптар (бұдан әрі – Талаптар) «Қазақстан Республикасының Ұлттық Банкі туралы» 1995 жылғы 30 наурыздағы Қазақстан Республикасының Заңына (бұдан әрі – Ұлттық Банк туралы заң) сәйкес әзірленді және «Қазақстан Республикасы Ұлттық Банкінің Қазақстан банкаралық есеп айырысу орталығы» шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорнының төлем жүйелеріне (бұдан әрі – төлем жүйесі) қолжетімділікті қамтамасыз ететін ұйымдастыру шараларына және бағдарламалық-техникалық құралдарға қойылатын талаптарды белгілейді.
      Ескерту. 1-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 28.01.2016 № 35 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      2. Талаптар төлем жүйесінің барлық пайдаланушыларына қолданылады.
      3. Талаптарда мынадай ұғымдар пайдаланылады:
      1) аутентификация - төлем жүйелерінің хабарламаларымен алмасу кезінде «Қазақстан Республикасы Ұлттық Банкінің Қазақстан банкаралық есеп айырысу орталығы» шаруашылық жүргізу құқығы бар республикалық мемлекеттік кәсіпорнының (бұдан әрі - Орталық) және төлем жүйесін пайдаланушылардың қатысу түпнұсқалылығын растауға, сондай-ақ осындай хабарламалардың түпнұсқалылығын растауға арналған шаралар кешені;
      2) кіруді бақылау құралдары - техникалық, бағдарламалық немесе объектілерге кіру туралы ақпаратты тіркеуге мүмкіндік беретін басқа құралдар;
      3) негізгі ақпарат – криптографиялық кілттер немесе ақпаратты криптографиялық қайта өзгертуді жүзеге асыруға мүмкіндік беретін басқа ақпарат;
      4) операциялық тәуекел – ақпараттық жүйелердің жұмысындағы немесе ішкі процестердегі бұзушылықтармен, адамдардың қателерімен, төлем жүйесін басқарудағы іркілістермен немесе бұзушылықтармен байланысты, оның ішінде сыртқы оқиғалардың салдарынан болған тәуекел;
      5) рұқсат етілмеген кіру - төлем жүйесінің пайдаланушысы белгілеген тәртіпті бұза отырып ақпараттық және бағдарламалық ресурстарға кіру;
      6) рұқсат етілмеген кіруден қорғайтын бағдарламалық-аппараттық кешен – дербес компьютерді бөтен адамдардың пайдалануынан, сондай-ақ тіркелген пайдаланушылардың ақпараттық және бағдарламалық ресурстарға кіру бойынша өкілеттіктерін шектеуге арналған қорғау жүйесі;
      7) стандартты емес жағдайлар – операциялық тәуекелдің туындауы салдарынан төлем жүйесі пайдаланушысының бағдарламалық-техникалық кешенінің жұмысында іркілістерге (бұзушылықтарға) апаратын жағдайлар;
      8) төлем жүйесінің пайдаланушысы – Орталықпен төлем жүйесінде қызмет көрсету туралы шарт жасаған заңды тұлғалар және Орталық;
      9) төлем жүйесі пайдаланушысының ақпараттық жүйесі – төлем жүйесінің пайдаланушысы төлем жүйесінің терминалы арқылы одан әрі төлем жүйесіне жіберуге арналған электрондық құжаттарды қалыптастыру немесе өзгерту үшін пайдаланатын бағдарламалық қамтамасыз ету;
      10) төлем жүйесі пайдаланушысының бағдарламалық-техникалық кешені – пайдаланушының төлем жүйесінде жұмыс істеуін қамтамасыз ететін, төлем жүйесін пайдаланушының ақпараттық жүйесін, жұмыс орнын, төлем жүйесінің терминалдарын, төлем жүйесімен коммуникация (деректер беру) құралдарын қамтитын техникалық, бағдарламалық немесе басқа да құралдар;
      11) төлем жүйесі пайдаланушысының бағдарламалық-техникалық кешенінің негізгі орталығы (бұдан әрі – негізгі орталық) – пайдаланушының төлем жүйесінде әдеттегі (күнделікті) режимде жұмыс істеуін қамтамасыз ететін төлем жүйесі пайдаланушысының бағдарламалық-техникалық кешені;
      12) төлем жүйесі пайдаланушысының бағдарламалық-техникалық кешенінің резервтік орталығы (бұдан әрі – резервтік орталық) – төлем жүйесі пайдаланушысының стандартты емес жағдайлар туындаған немесе негізгі орталықта жоспарлы тест жұмыстары жүргізілген кезде пайдаланушының төлем жүйесінде жұмыс істеуін қамтамасыз ететін резервтік бағдарламалық-техникалық кешені;
      13) төлем жүйесі пайдаланушысының жұмыс орны – төлем жүйесіне кіруді қамтамасыз ететін төлем жүйесінің терминалы орнатылған дербес компьютер (сервер);
      14) төлем жүйесі пайдаланушысының қауіпсіздік бөлімшесі – төлем жүйесі пайдаланушысының ақпараттық және бағдарламалық ресурстарының қауіпсіздігі мен олардың қорғалуын қамтамасыз ететін төлем жүйесі пайдаланушысының құрылымдық бөлімшесі;
      15) төлем жүйесінің терминалы – төлем жүйесінің пайдаланушыларында орнатылған, төлем жүйесіне кіруді қамтамасыз ететін арнайы бағдарламалық қамтамасыз ету;
      16) төлем жүйесі терминалының қосымшасы - төлем жүйесінің терминалымен қашықтықтан жұмыс істеуге арналған арнайы бағдарламалық қамтамасыз ету.
      Ескерту. 3-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 28.01.2016 № 35 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      4. Төлем жүйесінде қолданылатын хабарламалар алмасу рәсімдерін және форматтарын Орталық белгілейді.
      Ескерту. 4-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 28.01.2016 № 35 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

2. Төлем жүйесi пайдаланушысының жұмыс орнын орналастыру

      5. Төлем жүйесі пайдаланушысының жұмыс орны кіруі шектеулі үй-жайда (бұдан әрі – Үй-жай) орналастырылады. Төлем жүйесі пайдаланушысының жұмыс орны операторларының функцияларын орындайтын қызметкерлердің жұмыс орындарын қоспағанда, Үй-жайда төлем жүйесімен жұмыс істеуге арналмаған жұмыс орындарын орналастыруға жол берілмейді.
      Ескерту. 5-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 28.01.2016 № 35 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      6. Үй-жай механикалық және (немесе) электромеханикалық құлыптар орнатылатын металл және (немесе) кіруден қорғайтын күшейтілген кіретін есіктерімен жабдықталады.
      Ескерту. 6-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 28.01.2016 № 35 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      7. Үй-жайдың есiктерi нақты уақыт және Үй-жайға кiру оқиғаларын электрондық журналға жазу режимінде Үй-жайға кiру оқиғалары туралы есеп алуға мүмкiндiк беретін Үй-жайға кiру оқиғаларының мониторингiн жүргiзуге арналған кiрудi бақылау құралдарымен жабдықталады. Төлем жүйесiн пайдаланушы электрондық журналдағы оқиғалар мұрағатын кемiнде алты ай сақтайды.
      8. Төлем жүйесі пайдаланушысының жұмыс орны ақпаратты электромагнитті арналармен жария болудан қорғайтын құралдармен немесе сандық интерфейспен қосылған сұйық кристалды монитормен қамтамасыз етіледі.
      9. Үй-жай үйдің бiрiншi және соңғы қабаттарында орналасқан, сондай-ақ терезелердiң жанында балкондар, өрт кезiнде пайдаланылатын сатылар, өзге де құрылыстардың шатырлары жақын тұрған жағдайда, Үй-жайдың терезелерi терезенiң әйнектерiн сындырып, Үй-жайға нақты кiрiп кетудi болдырмауға арналған металл торлармен немесе соған ұқсас қорғау құралдарымен жабдықталады.
      10. Үй-жайдың есiктерi мен терезелерi жұмыс iстеп тұрған күзет сигнализациясымен жабдықталады.
      11. Үй-жайға кіретін жерде, сондай-ай төлем жүйесі пайдаланушысының жұмыс орнында бейнедабылдарды жазып алу мүмкіндігі бар бейнебақылау орнатылады. Объектілердің қозғалысына бейнедабылдардың жазылуының іске қосылуына жол беріледі. Жазылған бейнедабылдар мұрағаты төлем жүйесі пайдаланушысының ішкі құжаттарында белгіленген төлем жүйесі пайдаланушысының жұмыс орнының жүйелік блогындағы мөрлердің немесе пломбалардың бүтіндігін бақылау кезеңінен аз болмайтын уақытқа сақталады.
      Ескерту. 11-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 28.01.2016 № 35 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      11-1. Үй-жайға кіру рұқсаты төлем жүйесінде жұмыс істеуге рұқсат берілген адамдарда болады. Төлем жүйесінде жұмыс істеуге рұқсаты жоқ адамдардың Үй-жайға кіруіне, стандартты емес жағдайлар туындаған жағдайларды қоспағанда, төлем жүйесінде жұмыс істеуге рұқсат берілген адамның қатысуымен ғана жол беріледі.
      Ескерту. 11-1-тармақпен толықтырылды - ҚР Ұлттық Банкі Басқармасының 28.01.2016 № 35 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      12. Төлем жүйесiне кiруге рұқсат алған пайдаланушының төлем жүйесiн пайдаланушының жұмыс орнын жасаған немесе төлем жүйесiн пайдаланушының жұмыс орнын жаңа жерге ауыстырған кезде, төлем жүйесiн пайдаланушының жұмыс орны iске қосылған сәттен бастап он жұмыс күнi iшiнде төлем жүйесi пайдаланушысы бұл жөнiнде Қазақстан Республикасының Ұлттық Банкін (бұдан әрі – Ұлттық Банк) хабардар етедi.

3. Төлем жүйесі пайдаланушысының және
Орталықтың өзара іс-әрекет етуi

      13. Төлем жүйесі пайдаланушысының және Орталықтың аутентификациясы криптографиялық қорғау құралдары пайдаланыла отырып екіжақты ақпарат алмасу арқылы жүзеге асырылады.
      14. Аутентификация барысында қате пайда болғанда, төлем жүйесінде қате туралы хабар шығады және байланыс үзiледi.
      15. Төлем жүйесі пайдаланушысының жұмыс орнында TCP/IP протоколы бойынша Орталықтың төлем жүйесі пайдаланушысының жұмыс iстеуiн қамтамасыз ететін серверлерiмен қосуды қамтамасыз етуге қажетті құралдар болады.
      16. Төлем жүйесі пайдаланушысы және деректер өткізу арнасының төлем жүйесiмен өзара iс-әрекет жасау үшін пайдалануды қамтамасыз ететiн заңды тұлға арасында жасалатын шарт осындай деректер өткiзу арнасының жұмысында iркiлiстер болған кезде жауапкершiлiк көзделеді.
      17. Алып тасталды - ҚР Ұлттық Банкі Басқармасының 28.01.2016 № 35 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

4. Төлем жүйесiнiң терминалы

      18. Төлем жүйесiнiң терминалы төлем жүйесiнiң хабарларын қабылдап, өткiзудi жүзеге асырады және төлем жүйесiнiң пайдаланушысы оны пайдалануға мiндеттi.
      19. Төлем жүйесінің терминалы төлем жүйесінің хабарларын төлем жүйесінде қолданылатын хабарламалар алмасу рәсімдеріне және форматтарына сәйкес өңдейді.
      Ескерту. 19-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 28.01.2016 № 35 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      20. Төлем жүйесiнiң терминалы мынадай функцияларды орындайды:
      1) төлем жүйесi пайдаланушысы мен Орталықты аутентификациялау;
      2) берiлетiн және алынатын ақпараттың конфиденциалдылығын және аутентификациялануын қамтамасыз ету;
      3) хабарларды төлем жүйесінің пайдаланушысынан Орталыққа және Орталықтан төлем жүйесінің пайдаланушысына қабылдау және беру;
      4) алынған төлем жүйесі хабарларының тұтастығын тексеру;
      5) төлем жүйесі терминалының тұтастығын тексеру;
      6) негiзгi ақпаратты қолдану;
      7) хабарлардың электрондық цифрлық қолтаңбаларын қалыптастыру және тексеру;
      8) хабардың электрондық цифрлық қолтаңбасының төлем жүйесінің пайдаланушысына немесе оны қоюға уәкілетті Орталыққа тиесілі екенін тексеру.
      21. Төлем жүйесiнiң терминалы төлем жүйесi пайдаланушысының жұмыс орны операторлары мен басқарушыларының мынадай негiзгi оқиғалары мен iс-әрекеттерi тiркелетiн электрондық журналдарды жүргiзудi қамтамасыз етедi:
      1) төлем жүйесiнiң терминалын ашудың және жабудың уақыты мен күні;
      2) Орталықпен қосудың және Орталықтан ажыратудың уақыты мен күні;
      3) төлем жүйесі операторлары мен басқарушыларының төлем жүйесiнiң хабарларымен жүргiзетiн iс-әрекеттерiнiң басталу уақыты мен аяқталу уақыты, жасалған iс-әрекеттердiң сипаты.
      22. Төлем жүйесі пайдаланушысының жұмыс орны операторлары мен басқарушыларының төлем жүйесінің терминалына не оның қосымшасына кіруі идентификациялау және аутентификациялау процедураларының табысты орындауынан кейін қамтамасыз етеді.
      23. Төлем жүйесiнiң терминалын iске қосу төлем жүйесi терминалының үздiксiз жұмысын қамтамасыз ететін техникалық құралдарды пайдалану арқылы жүзеге асырылады және төлем жүйесiнiң терминалына арналған құжаттамада көрсетілген талаптарға сәйкес келеді.
      24. Төлем жүйесiнiң терминалы не оның қосымшасы осы мақсаттар үшiн арнайы бөлiнген, есепке алынатын түгендеу нөмiрi (серверде) және оған орнатылған конфигурация, аппараттық және бағдарламалық құралдар бойынша жан-жақты деректер беретін паспорты бар дербес компьютерде орнатылады.
      25. Төлем жүйесінің терминалын немесе оның қосымшасын басқару төлем жүйесі пайдаланушысының жұмыс орнынан тікелей және төлем жүйесі пайдаланушысының жұмыс орны қауіпсіздік офицерінің қатысуымен жүзеге асырылады.
      25-1. Төлем жүйесінің терминалымен жұмыс істеу төлем жүйесі пайдаланушысының жұмыс орнынан жүзеге асырылады. Төлем жүйесі пайдаланушысының жұмыс орнында қашықтықтан кіру жүйелерін орнатуға және пайдалануға жол берілмейді. Төлем жүйесі пайдаланушысының жұмыс орнына орнатылған қашықтан кіру қызметтері алынады немесе ажыратылады.
      Ескерту. 25-1-тармақпен толықтырылды - ҚР Ұлттық Банкі Басқармасының 28.01.2016 № 35 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      26. Төлем жүйесі терминалының дұрыс жұмыс істемей, төлем жүйесiнiң пайдаланушысы немесе Орталық зиян шегуі мүмкін болатын жағдай анықталғанда, соңғысы бір мезгілде төлем жүйесiнiң пайдаланушысын хабардар ете отырып, тиiстi себептерді көрсетіп, төлем жүйесiнiң осы терминалына кiрудi жабады.
      27. Ақпаратты криптографиялық қорғау құралын пайдалану төлем жүйесі пайдаланушысын төлем жүйесіне қосудың міндетті талабы болып табылады, ол мыналарды:
      1) электрондық цифрлық қолтаңбаны қалыптастыру және тексеру тетігін;
      2) ақпараттың конфиденциалдылығын (деректерді шифрлеуді);
      3) берілетін ақпараттың тұтастығын (деректерді имитациялық қорғауды);
      4) сақталатын ақпараттың және бағдарламалық қамтамасыз етудің тұтастығын (хэштелген деректерді) қамтамасыз етеді.
      Ескерту. 27-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 28.01.2016 № 35 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

5. Негiзгi ақпарат

      28. Негiзгi ақпарат сыртқы тасымалдағышта болады. Негізгі ақпаратқа рұқсат төлем жүйесі пайдаланушысының жұмыс орнының операторларына ғана беріледі.
      29. Негiзгi ақпарат төлем жүйесiнiң терминалына тек қана сыртқы тасымалдағыштан жүктеледі. Негiзгi ақпараттың рұқсат етiлмеген көшiрмелерiнiң, оның iшiнде төлем жүйесi пайдаланушысының жұмыс орнындағы қатты дискiде болуына рұқсат етiлмейдi.
      30. Негiзгi ақпараты бар сыртқы тасымалдағыштарды сақтау және пайдалану тәртiбi бойынша оларға рұқсат етiлмеген кiру мүмкiндiгi болмайды.
      31. Негiзгi ақпаратқа рұқсаты бар тұлғалар төлем жүйесiмен жұмыс нәтижесiнде алынған ақпараттың сақталуына және жария болмауын қамтамасыз етедi.
      32. Негiзгi ақпаратты жоспарлы түрде ауыстыру кем дегенде жылына бiр рет жүзеге асырылады.
      33. Негiзгi ақпараты бар сыртқы тасымалдағыштарды негiзгi ақпараты бар сыртқы тасымалдағыштарды сақтауға жауапты қызметкерлердiң Үй-жайында сақтауға арналған жабу құрылғыларымен жабдықталған сейфтер қойылады. Негiзгi ақпарат пайдаланылмаған кезде негiзгi ақпараты бар сыртқы тасымалдағыштар сейфтерде болады.
      34. Негiзгi ақпаратқа рұқсаты болған қызметкерлер босатылған немесе негiзгi ақпаратқа рұқсат етiлмеген кiруге тырысу анықталған жағдайларда негiзгi ақпаратты жоспардан тыс ауыстыру жүзеге асырылады. Жаңа негiзгi ақпарат негiзгi ақпаратқа рұқсаты болған қызметкер босатылған күннен кешiктiрiлмей не негiзгi ақпаратқа рұқсат етiлмеген кiруге тырысу анықталған күннен кешiктiрiлмей қолданысқа енгiзiледi.
      35. Негiзгi ақпараты бар сыртқы тасымалдағыштарды сақтау және күту жөнiндегi рәсiмдер дайындаушының ұсынымдарына сәйкес жүзеге асырылады.
      36. Төлем жүйесiнің пайдаланушысы ескiрген негiзгi ақпаратты осы негiзгi ақпарат пайдаланыла отырып қол қойылған немесе шифрленген электрондық құжаттардың сақталу мерзiмi iшiнде сақтайды.
      37. Төлем жүйесiнiң пайдаланушысына:
      1) негiзгi ақпараттың рұқсат етiлмеген көшiрмелерiн алуға;
      2) негiзгi ақпараты бар сыртқы тасымалдағыштардың мазмұнымен рұқсаты жоқ адамдарды таныстыруға немесе оларды беруге;
      3) негiзгi ақпаратты дисплейге немесе принтерге шығаруға;
      4) негiзгi ақпараты бар сыртқы тасымалдағышты оның өндiрушiсi белгiлеген жұмыс iстеу талаптарында көзделмеген режимдерде пайдалануға;
      5) негiзгi ақпараты бар сыртқы тасымалдағышқа бөтен ақпарат жазуға;
      6) бөтен негізгі ақпаратты пайдалануға рұқсат етілмейді.

6. Төлем жүйесі пайдаланушысының жұмыс орнына қойылатын
талаптар

      38. Төлем жүйесі пайдаланушысының жұмыс орнында рұқсат етілмеген кіруден қорғайтын бағдарламалық-аппараттық кешен орнатылады, оған пайдаланушыны танитын құралдар, төлем жүйесі пайдаланушысының жұмыс орнына кiруiне және пайдаланушылардың iс-әрекеттерiне байланысты оқиғаларды бақылау мақсатында төлем жүйесiнiң электрондық құжаттарын сақтау мерзiмi iшiнде электрондық журналдар жүргiзу мүмкiндiгi кiредi.
      39. Төлем жүйесі пайдаланушысының жұмыс орнына зиян келтiретiн бағдарламалардың және/немесе программалық кодтың табатын құралдары орнатылады. Жұқтыруды айғақтың анықталуы жағдайында бұл ақпарат төлем жүйесі пайдаланушысының қауіпсіздігі бөлімшесіне дереу хабарланады.
      40. Төлем жүйесi пайдаланушысының жұмыс орнына Талаптарда көзделмеген және төлем жүйесi шеңберiндегi электрондық құжаттарды дайындау, өңдеу, өткiзу немесе жүргiзу жөнiндегi мiндеттердi шешуге арналмаған аппараттық және бағдарламалық құралдарды орнатуға рұқсат етiлмейдi.
      41. Төлем жүйесi пайдаланушысының ақпараттық жүйелеріне кiретiн жердегi пайдаланушы сол бойынша сәйкестендiрiлетiн пайдаланушының жүйелiк бiр атына бiр ғана нақты тұлға сәйкес келеді.
      42. Төлем жүйесi пайдаланушысының жұмыс орнының жүйелiк блогы стикерде немесе пломбада соңғы мөрленген немесе пломбаланған күн және дербес компьютер есепке алынатын түгендеу нөмiрi көрсетiлiп, мөрленедi немесе пломбаланады.
      43. Төлем жүйесi пайдаланушысының жұмыс орнына рұқсатты қамтамасыз ететiн техникалық құралдарды, парольдердi немесе өзге де ақпаратты сақтау және пайдалану тәртiбi бойынша оларды рұқсат етілмеген пайдалану мүмкiндiгiне жол берiлмейді.
      44. Төлем жүйесі пайдаланушысының жұмыс орнын рұқсат етілмеген пайдаланудан қорғау құралдарын орнату және ретке келтірулерін өзгерту құқығы тек қана төлем жүйесі пайдаланушысының жұмыс орны қауіпсіздік офицерінің функцияларын орындайтын қызметкерлерге беріледі.
      45. Төлем жүйесіне ақпарат өткізуге, төлем жүйесінен ақпарат алуға, ақпаратты сақтауға, мұрағаттауға не басқадай өңдеуге ақпарат жинақтау үшiн бөлiнген ресурстарға (дискiлiк кеңiстiк, директорийлер, желiлiк ресурстар, деректер базалары) кiру тәртiбi бойынша осы ресурстармен жұмыс iстеуге рұқсат етiлмеген адамдардың оларға кiру мүмкiндiгiне жол берiлмейдi.
      46. Төлем жүйесі пайдаланушысының жұмыс орнына желі және деректер өткiзудiң өзге де техникалық арналарының көмегімен кіру тәртiбi рұқсат етiлмеген кiру мүмкiндiгiне жол бермейдi.
      47. Төлем жүйесi пайдаланушысының жұмыс орны электр желiсiнде ток болмаған кезде жүйедегi жұмысты дұрыс аяқтауға қажетті уақыт, бірақ кемiнде 30 (отыз) минут iшiнде дербес компьютердің жұмыс iстеуiне мүмкiндiк жасайтын үздiксiз электр қуатын беретін техникалық құралдармен жабдықталады.
      48. Төлем жүйесі пайдаланушысы мен Орталықтың арасындағы байланысты жүзеге асыратын бағдарламалық қамтамасыз етуге, төлем жүйесi пайдаланушысының жұмыс орнына рұқсат етілмеген кіруден қорғайтын бағдарламалық-аппараттық кешенге, сондай-ақ төлем жүйесi пайдаланушысының ақпараттық жүйесінде дайындалған электрондық құжаттарды төлем жүйесі пайдаланушысының жұмыс орнының өткізу технологиясына өзгерістер енгiзiлген жағдайда, төлем жүйесiнiң пайдаланушысы іске қосылған күннен бастап он жұмыс күні iшiнде бұл жөнінде Ұлттық Банкке хабардар етеді.

7. Қызмет көрсететiн қызметкерлердiң жұмыстарын ұйымдастыру

      49. Төлем жүйесімен жұмыс істеуге рұқсат етілген адамдар мынадай санаттарға бөлінеді:
      1) төлем жүйесі пайдаланушысының жұмыс орнын басқарушы – төлем жүйесінің терминалын басқаруды тікелей жүзеге асыратын адам;
      2) төлем жүйесі пайдаланушысының жұмыс орнының операторы – төлем жүйесі пайдаланушысының негізгі ақпаратын пайдалана отырып, төлем жүйесінің хабарларын дайындауды, беруді және қабылдауды, сондай-ақ Орталықта төлем жүйесі пайдаланушысының жұмыс орнының қауіпсіздік офицерінің қатысуымен негізгі ақпаратты әзірлеуді және тіркеуді тікелей жүзеге асыратын адам;
      3) төлем жүйесі пайдаланушысының жұмыс орнының қауіпсіздік офицері – төлем жүйесі пайдаланушысының жұмыс орнында ақпаратты рұқсат етілмеген кіруден қорғайтын бағдарламалық-аппараттық кешенді, ақпаратты электромагнитті арналар бойынша жария болудан қорғайтын құралдарды орнатуды және оның жұмыс істеуін қамтамасыз ететін, сондай-ақ олардың жұмыс қабілеттілігін және қауіпсіздік талаптарының орындалуының мониторингін жүзеге асыратын адам.
      Ескерту. 49-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 28.01.2016 № 35 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      50. Қызмет көрсететін қызметкерлердің жұмысын ұйымдастыру кезінде төлем жүйесінің терминалы не оның қосымшасы арқылы МТ 100 және (немесе) МТ 102 форматында төлем хабарларын жасау функциясы болған жағдайда бір адамның Талаптардың 49-тармағында көрсетілген әртүрлі адамдар санаттарының функцияларын (толық немесе ішінара) атқаруына жол берілмейді.
      Ескерту. 50-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 28.01.2016 № 35 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      51. Төлем жүйесі пайдаланушысы мынадай ішкі тіркеу журналдарын жүргізуді жүзеге асырады:
      1) төлем жүйесімен жұмыс істеуге рұқсат берілмеген адамдардың Үй-жайға келу журналын, онда мыналар көрсетіледі:
      келуші кірген/шыққан күні, уақыты мен келу мақсаты;
      келушінің тегі және қолы;
      төлем жүйесімен жұмыс істеуге рұқсат берілген адамдардың қатарынан бірге ілесіп жүретін адамның тегі мен қолы;
      2) негізгі ақпаратты пайдалану журналы, онда мыналар көрсетіледі:
      негізгі ақпаратты пайдалануды бастау және аяқтау күні, уақыты;
      негізгі ақпаратты пайдаланатын адамның тегі және қолы;
      ауыстыру себебі көрсетілген негізгі ақпаратты ауыстыру күні;
      3) төлем жүйесі пайдаланушысының жұмыс орнының жүйелік блогын пломбалау және пломбалар мен мөрлердің бүтіндігін тексеру журналы, онда мыналар көрсетіледі:
      пломбалаудың немесе пломбалардың немесе мөрлердің бүтіндігін тексеру күні мен уақыты;
      пломбалауды немесе пломбалардың немесе мөрлердің бүтіндігін тексеруді жүзеге асырған адамның тегі және қолы;
      пломбалаудың немесе пломбалардың немесе мөрлердің бүтіндігін тексерудің себептері;
      сүргі салу нысандары және сүргі салуға арналған пломбаның немесе стикердің материалы.
      Ескерту. 51-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 28.01.2016 № 35 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      52. Талаптардың 51-тармағында көрсетілген ішкі тіркеу журналдары нөмірленеді, тігіледі және төлем жүйесі пайдаланушысының мөрімен (ол болған кезде) бекітіледі. Ішкі тіркеу журналдарындағы қате жазбалар түзетілуге тиіс және төлем жүйесімен жұмыс істеуге рұқсат берілген жауапты адамның қолымен расталады.
      Ескерту. 52-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 28.01.2016 № 35 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      53. Төлем жүйесінің пайдаланушысы Талаптардың 51-тармағында көрсетілген ішкі тіркеу журналдарын соңғы жазба жасалған күннен бастап кемінде бір жыл сақтайды.
      Ескерту. 53-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 28.01.2016 № 35 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      54. Төлем жүйесі пайдаланушысының ішкі құжаттарында мыналар айқындалады:
      1) жұмыс пен үзілістердің уақытын, демалыс және мереке күндеріндегі жұмыс тәртібін, сондай-ақ төлем жүйесінің операциялық күні ұзартылған жағдайларды көрсете отырып, төлем жүйесімен жұмыс істеу режимі;
      2) әрбір қызметкер бойынша:
      төлем жүйесі пайдаланушысының жұмыс орнының басқарушысы, операторы немесе қауіпсіздік офицері;
      төлем жүйесіне берілген және төлем жүйесінен алынған электрондық құжаттарды мұрағаттау және сақтау;
      төлем жүйесі пайдаланушысының жүйелік блогында мөрлердің немесе пломбалардың бүтіндігінің мониторингі бойынша орындайтын функцияларын көрсете отырып, төлем жүйесімен жұмыс істеуге рұқсат берілген қызметкерлердің (лауазымы, тегі және инициалдары көрсетілген) тізімі;
      3) қол жеткізу деңгейі мен орындайтын функцияларын көрсете отырып, Талаптардың 45-тармағында көрсетілген ресурстарға кіруге рұқсаты бар қызметкерлердің (лауазымы, тегі және инициалдары көрсетілген) тізімі;
      4) рұқсат беру мақсаттары көрсетіле отырып, желі және деректерді берудің өзге де техникалық арналары арқылы төлем жүйесі пайдаланушысының жұмыс орнына рұқсаты бар қызметкерлердің (лауазымы, тегі және инициалдары көрсетілген) және ресурстардың тізімі;
      5) төлем жүйесіне берілген және төлем жүйесінен алынған электрондық құжаттарды сақтаудың талаптары, мерзімдері және орындары сондай-ақ осы мұрағаттарға кірудің тәртібі көрсетіле отырып, оларды мұрағаттаудың және одан әрі сақтаудың тәртібі;
      6) техникалық құралдарды, парольдерді немесе төлем жүйесі пайдаланушысының жұмыс орнына кіруді қамтамасыз ететін басқа да ақпаратты сақтау талаптары мен орындарын, оларға кіру рәсімдерін және ауыстыру мерзімдерін көрсете отырып, оларды сақтау және пайдалану тәртібі;
      7) төлем жүйесі пайдаланушысының ақпараттық жүйесінде дайындалған электрондық құжаттарды төлем жүйесі пайдаланушысының жұмыс орнына беру тәртібі;
      8) төлем жүйесі пайдаланушысының жұмыс орнында орнатылған, рұқсат етілмеген кіруден қорғайтын бағдарламалық-аппараттық кешенмен және бағдарламалық қамтамасыз етудің тұтастығын қамтамасыз ету құралдарымен жұмыс істеу тәртібі;
      9) төлем жүйесі терминалымен жұмыс істеу тәртібі мен рәсімдері;
      10) бір арнадан басқасына өту жағдайлары мен рәсімдерін көрсете отырып, деректер өткізудің негізгі және резервтік арналарымен жұмыс істеу тәртібі.
      Ескерту. 54-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 28.01.2016 № 35 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      55. Төлем жүйелерінің пайдаланушысы төлем жүйесінде жұмыс істеуге жіберілген қызметкерлерден төлем жүйесі пайдаланушысының жұмыс орнына кіруді қамтамасыз ететін техникалық құралдарды, парольдерді немесе басқа ақпаратты, сондай-ақ конфиденциалды және негізгі ақпаратты жария етпеу және таратпау туралы арнайы міндеттеме алады.
      Ескерту. 55-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 28.01.2016 № 35 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      56. Қауіпсіздікке қатысты ағымдағы және жедел мәселелерді шешу қажет болғанда, төлем жүйесі пайдаланушысының жұмыс орнының операторы мен қауіпсіздік офицері төлем жүйесінің қауіпсіздігі бөлімшесімен өзара іс-әрекет жасайды.
      Ескерту. 56-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 28.01.2016 № 35 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      57. Алып тасталды - ҚР Ұлттық Банкі Басқармасының 28.01.2016 № 35 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      РҚАО-ның ескертпесі!
      7-1-тараумен толықтыру көзделген - ҚР Ұлттық Банкі Басқармасының 28.01.2016 № 35 (01.01.2017 бастап қолданысқа енгізіледі) қаулысымен.

8. Қорытынды ережелер

      58. Төлем жүйесі пайдаланушысы мен Орталықтың арасында төлем жүйесінде қызмет көрсету туралы жасалған шарт бұзылған (қолданылу мерзімі аяқталған) кезде Орталық бұл туралы шарт бұзылған сәттен бастап келесі жұмыс күнінен кешіктірмей шартқа сәйкес Ұлттық Банкке хабарлайды.
      Ескерту. 58-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 28.01.2016 № 35 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      59. Ұлттық Банк Талаптардың 12 немесе 48-тармақтарында көзделген хабарламаны алған күннен бастап он күндiк мерзiм iшiнде төлем жүйесiнiң пайдаланушысына тексеру жүргiзудiң қажеттiгi бар/қажеттiгi жоқ екендiгi туралы шешiм қабылдайды.
      Төлем жүйесiнiң пайдаланушысына тексеру жүргiзудiң қажеттiгi туралы шешiм қабылдаған кезде Ұлттық Банк көрсетiлген шешiм қабылданған күннен бастап екi айдың iшiнде Ұлттық Банк туралы Заңында белгіленген тәртіппен тексеруді жүзеге асырады.