Об утверждении Правил предоставления микрокредитов электронным способом

Постановление Правления Национального Банка Республики Казахстан от 28 ноября 2019 года № 217. Зарегистрировано в Министерстве юстиции Республики Казахстан 6 декабря 2019 года № 19714.

      Настоящее постановление вводится в действие с 1 января 2020 года.

      В соответствии с Законом Республики Казахстан "О микрофинансовой деятельности" Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:

      Сноска. Преамбула - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 30.10.2023 № 81 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      1. Утвердить прилагаемые Правила предоставления микрокредитов электронным способом.

      2. Департаменту методологии и регулирования финансовых организаций в установленном законодательством Республики Казахстан порядке обеспечить:

      1) совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего постановления на официальном интернет-ресурсе Национального Банка Республики Казахстан после его официального опубликования;

      3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятий, предусмотренных подпунктом 2) настоящего пункта и пунктом 3 настоящего постановления.

      3. Департаменту внешних коммуникаций – пресс-службе Национального Банка обеспечить в течение десяти календарных дней после государственной регистрации настоящего постановления направление его копии на официальное опубликование в периодические печатные издания.

      4. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального Банка Республики Казахстан Смолякова О.А.

      5. Настоящее постановление вводится в действие с 1 января 2020 года и подлежит официальному опубликованию.

      Председатель
Национального Банка
Е. Досаев

  Утверждены
постановлением Правления
Национального Банка
Республики Казахстан
от 28 ноября 2019 года № 217

Правила предоставления микрокредитов электронным способом

      Сноска. Правила - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 30.10.2023 № 81 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 1. Общие положения

      1. Настоящие Правила предоставления микрокредитов электронным способом (далее - Правила) разработаны в соответствии с пунктом 3-1 статьи 3 Закона Республики Казахстан "О микрофинансовой деятельности" (далее - Закон) и определяют порядок предоставления микрокредитов электронным способом.

      2. В Правилах используются понятия, предусмотренные Законом, а также следующие понятия:

      1) автоматизированная информационная система – информационная система микрокредитования, автоматизирующая предоставление микрокредитов электронным способом в организации, осуществляющей микрофинансовую деятельность;

      2) аутентификация – процедура проверки подлинности клиента, электронных сообщений и иных документов, в том числе электронных копий документов, необходимых для предоставления микрокредита, а также определяющих клиента и содержание его волеизъявления;

      3) задолженность – сумма долга по микрокредиту, включая суммы остатка основного долга, начисленное, но не уплаченное вознаграждение, неустойку (штрафы, пени), предусмотренные договором о предоставлении микрокредита, заключенным с заемщиком;

      4) биометрическая идентификация – комплекс мер, идентифицирующих личность на основании физиологических и биологических неизменных признаков;

      5) одноразовый пароль – пароль, действительный только для одного сеанса аутентификации субъектов получения услуг в электронной форме;

      6) исключен постановлением Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 58 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования);

      7) личный кабинет – многофункциональный защищенный сервис автоматизированной информационной системы, обеспечивающий взаимодействие между организацией, осуществляющей микрофинансовую деятельность, и клиентом;

      8) клиент – физическое или юридическое лицо, заключившее с организацией, осуществляющей микрофинансовую деятельность, договор о предоставлении микрокредита или подавшее (намеревающееся подать) заявление на получение микрокредита;

      9) идентификация клиента – процедура предоставления клиентом своих идентификационных данных с целью проведения дальнейшей его аутентификации;

      10) мобильное приложение – программный продукт, используемый на абонентском устройстве сотовой связи и предоставляющий доступ к личному кабинету посредством услуг сотовой связи или интернета;

      11) идентификатор – уникальный цифровой, буквенный или содержащий иные символы код, присваиваемый клиенту для входа в личный кабинет;

      12) центр обмена идентификационными данными (ЦОИД) – операционный центр межбанковской системы переводов денег, обеспечивающий взаимодействие с финансовыми организациями по обмену данными клиентов из доступных источников для проведения процедур идентификации клиентов;

      13) смарт-карта – пластиковая карта со встроенной микросхемой;

      14) терминал – электронно-механическое устройство, предназначенное для осуществления операций, связанных с предоставлением микрокредитов;

      15) токен – устройство, предназначенное для обеспечения информационной безопасности пользователя, а также для идентификации его владельца, безопасного удаленного доступа к информационным ресурсам;

      16) уполномоченный орган – государственный орган, осуществляющий государственное регулирование, контроль и надзор финансового рынка и финансовых организаций;

      17) веб-портал "электронного правительства" – информационная система, представляющая собой единое окно доступа ко всей консолидированной правительственной информации, включая нормативную правовую базу, и к государственным услугам, услугам по выдаче технических условий на подключение к сетям субъектов естественных монополий и услугам субъектов квазигосударственного сектора, оказываемым в электронной форме.

      Сноска. Пункт 2 с изменениями, внесенными постановлением Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 58 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 2. Предоставление микрокредитов электронным способом

      3. Операции, связанные с предоставлением микрокредитов электронным способом, осуществляются с использованием автоматизированной информационной системы, соответствующей требованиям главы 3 настоящих Правил, в личном кабинете клиента на интернет-ресурсе, в мобильном приложении и (или) терминалах организации, осуществляющей микрофинансовую деятельность.

      4. За 10 (десять) рабочих дней до открытия интернет-ресурса, мобильного приложения и (или) терминала, посредством которых осуществляется предоставление микрокредитов электронным способом, организация, осуществляющая микрофинансовую деятельность, уведомляет об этом уполномоченный орган.

      Уведомление, направляемое в уполномоченный орган, содержит:

      1) наименование интернет-ресурса, мобильного приложения и (или) место нахождения терминала организации, осуществляющей микрофинансовую деятельность;

      2) перечень услуг (операций), которые возможно предоставлять посредством интернет-ресурса, мобильного приложения и (или) терминала организации, осуществляющей микрофинансовую деятельность;

      3) информацию о наличии у организации, осуществляющей микрофинансовую деятельность, утвержденных процедур безопасности и защиты информации от несанкционированного доступа при предоставлении услуг посредством интернет-ресурса, мобильного приложения и (или) терминала, с приложением подтверждающих документов.

      5. При изменении информации, содержащейся в уведомлении, указанном в пункте 4 Правил, организация, осуществляющая микрофинансовую деятельность, за 10 (десять) рабочих дней до осуществления таких изменений уведомляет об этом уполномоченный орган.

      Примечание ИЗПИ!
      Пункт 6 действует до 01.01.2025 в соответствии с постановлением Правления Агентства РК по регулированию и развитию финансового рынка от 27.09.2024 № 77.

      6. Для регистрации в личном кабинете клиент - физическое лицо вводит (прикрепляет) следующие данные:

      фамилию, имя, отчество (при его наличии), указанные в документе, удостоверяющем личность, за исключением свидетельства о рождении;

      индивидуальный идентификационный номер;

      номер и срок действия документа, удостоверяющего личность, за исключением свидетельства о рождении;

      абонентский номер устройства сотовой связи;

      фотография лица в анфас на светлом фоне, с нейтральным выражением лица и закрытым ртом.

      Для регистрации в личном кабинете клиент - юридическое лицо вводит (прикрепляет) следующие данные (документы в сканированном виде):

      приказ о назначении руководителя исполнительного органа юридического лица или доверенность, подтверждающая полномочия лица, уполномоченного подписывать договор о предоставлении микрокредита;

      фамилию, имя, отчество (при его наличии), указанные в документе, удостоверяющем личность, за исключением свидетельства о рождении, лица, уполномоченного подписывать договор о предоставлении микрокредита;

      бизнес идентификационный номер клиента - юридического лица;

      индивидуальный идентификационный номер лица, уполномоченного подписывать договор о предоставлении микрокредита;

      номер и срок действия документа, удостоверяющего личность, за исключением свидетельства о рождении, лица, уполномоченного подписывать договор о предоставлении микрокредита;

      абонентский номер устройства сотовой связи клиента - юридического лица;

      фотография клиента в анфас на светлом фоне, с нейтральным выражением лица и закрытым ртом, уполномоченного подписывать договор о предоставлении микрокредита.

      Организация, осуществляющая микрофинансовую деятельность, для подтверждения регистрации клиента осуществляет сверку данных, предоставленных:

      клиентом - физическим лицом: фамилию, имя, отчество (при его наличии), индивидуальный идентификационный номер и фотографию клиента;

      клиентом - юридическим лицом: фамилию, имя, отчество (при его наличии) и фотографию лица, указанные в документе, удостоверяющим личность, за исключением свидетельства о рождении, лица, уполномоченного подписывать договор о предоставлении микрокредита.

      При регистрации клиента в личном кабинете применяется биометрическая идентификация посредством использования услуг ЦОИД или по биометрическим данным, полученным посредством устройств организации, осуществляющей микрофинансовую деятельность и (или) электронная цифровая подпись клиента, представленная аккредитованным удостоверяющим центром Республики Казахстан.

      При регистрации клиента-физического лица, зарегистрированного в качестве индивидуального предпринимателя, применение электронной цифровой подписи не требуется.

      После регистрации клиента в личном кабинете последующий допуск клиента к личному кабинету осуществляется путем генерации и (или) ввода паролей или с использованием не менее одного из аутентификационных признаков (токенов, смарт-карт, одноразовых паролей).

      Внесение изменений в данные об абонентском номере устройства сотовой связи клиента или реквизитов банковского счета (за исключением предоставления микрокредитов посредством терминалов), осуществляется в личном кабинете клиента с применением биометрической идентификации посредством использования услуг ЦОИД или с использованием биометрических данных клиента, полученных при регистрации клиента посредством устройств организации, осуществляющей микрофинансовую деятельность и (или) электронной цифровой подписи клиента, представленной аккредитованным удостоверяющим центром Республики Казахстан.

      В личном кабинете не подлежат изменению данные об индивидуальном идентификационном номере или бизнес-идентификационном номере клиента.

      Сноска. Пункт 6 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 27.09.2024 № 77 (вводится в действие со дня его первого официального опубликования).

      7. Личный кабинет должен предоставлять клиенту возможность осуществления следующих, но не ограничиваясь ими, действий:

      1) подача клиентом заявления на получение микрокредита;

      2) просмотр сведений об организации, осуществляющей микрофинансовую деятельность (юридический и (или) фактический адрес, контактные телефоны, факс, адрес электронной почты и другие сведения), сведений о первом руководителе (фамилия, имя, отчество (при его наличии) организации, осуществляющей микрофинансовую деятельность;

      3) просмотр договора (договоров) клиента о предоставлении микрокредита (до и после заключения договора);

      4) просмотр информации о ходе и результатах рассмотрения заявления клиента на получение микрокредита;

      5) просмотр информации о сумме текущей задолженности клиента по микрокредиту (микрокредитам), предстоящих и фактических платежах клиента, в том числе о сумме основного долга, вознаграждения, неустойки (штрафов, пени);

      6) просмотр информации о способах погашения микрокредита клиентом;

      7) обмен письмами (сообщениями) между клиентом и организацией, осуществляющей микрофинансовую деятельность.

      Сноска. Пункт 7 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 58 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      8. До предоставления микрокредита электронным способом организация, осуществляющая микрофинансовую деятельность:

      1) осуществляет надлежащую проверку клиента в соответствии с законодательством Республики Казахстан в сфере противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма и внутренними документами;

      2) ознакамливает клиента с правилами предоставления микрокредитов;

      3) предоставляет клиенту полную и достоверную информацию о платежах и переводах, связанных с получением, обслуживанием и погашением (возвратом) микрокредита;

      4) предоставляет клиенту для ознакомления и выбора метода погашения микрокредита проекты графиков погашения, рассчитанных различными методами (методом дифференцированных платежей, аннуитетных платежей или методом, рассчитанным в соответствии с правилами предоставления микрокредитов);

      5) информирует клиента о его правах и обязанностях, связанных с получением микрокредита;

      6) запрашивает у клиента способ предоставления микрокредита (посредством выдачи клиенту наличных денег через терминал или кассу, или перевода микрокредита на банковский счет (платежную карточку) клиента или банковский счет юридического лица, с которым у организации, осуществляющей микрофинансовую деятельность, заключен договор, предусматривающий оплату за приобретаемый товар или выполненные работы, услуги заемщиком);

      7) запрашивает реквизиты банковского счета (IBAN) и (или) реквизиты платежной карточки клиента, в случае предоставления микрокредита на банковский счет (платежную карточку) клиента;

      8) осуществляет проверку на наличие в кредитном отчете информации об установлении клиентом добровольного отказа от получения микрокредита.

      Сноска. Пункт 8 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 29.03.2024 № 17 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      Примечание ИЗПИ!
      Пункт 9 действует до 01.01.2025 в соответствии с постановлением Правления Агентства РК по регулированию и развитию финансового рынка от 27.09.2024 № 77.

      9. Заключение договора о предоставлении микрокредита, внесение изменений и дополнений в договор о предоставлении микрокредита электронным способом между организацией, осуществляющей микрофинансовую деятельность, и клиентом осуществляется с применением биометрической идентификации посредством использования услуг ЦОИД или с использованием биометрических данных клиента, полученных при регистрации клиента посредством устройств организации, осуществляющей микрофинансовую деятельность и (или) электронной цифровой подписи клиента, представленной аккредитованным удостоверяющим центром Республики Казахстан.

      При заключении с клиентом-физическим лицом, зарегистрированным в качестве индивидуального предпринимателя договора о предоставлении микрокредита, связанного с осуществлением предпринимательской деятельности, а также при внесении изменений и дополнений в него, применение электронной цифровой подписи не требуется.

      Предоставление микрокредита электронным способом осуществляется путем перевода денег с банковского счета организации, осуществляющей микрофинансовую деятельность, на банковский счет (платежную карточку) клиента, а также посредством выдачи клиенту наличных денег через терминал или кассу и (или) перевода микрокредита по заявлению заемщика на банковский счет юридического лица, с которым у организации, осуществляющей микрофинансовую деятельность, заключен договор, предусматривающий оплату за приобретаемый товар или выполненные работы, услуги заемщиком.

      Перевод микрокредита по заявлению заемщика на банковский счет юридического лица, с которым у организации, осуществляющей микрофинансовую деятельность, заключен договор, предусматривающий оплату за приобретаемый товар или выполненные работы, услуги заемщиком, осуществляется с применением биометрической идентификации посредством использования услуг ЦОИД или с использованием биометрических данных клиента, полученных при регистрации клиента посредством устройств организации, осуществляющей микрофинансовую деятельность.

      Предоставление заемщику микрокредита через кассу осуществляется путем проведения визуальной идентификации клиента, получающего наличные деньги, с документом, удостоверяющим его личность (за исключением свидетельства о рождении) либо данными, подтверждающими (идентифицирующими) личность клиента, полученными посредством сервиса цифровых документов, а также предоставления доверенности, подтверждающей полномочия лица, уполномоченного на получение денег, в случае предоставления микрокредита клиенту – юридическому лицу.

      Сноска. Пункт 9 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 27.09.2024 № 77 (вводится в действие со дня его первого официального опубликования).

      10. Организация, осуществляющая микрофинансовую деятельность, отказывает в предоставлении клиенту микрокредита по основаниям, предусмотренным законодательством Республики Казахстан в сфере противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, а также при установлении клиентом добровольного отказа от получения микрокредита.

      Сноска. Пункт 10 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 29.03.2024 № 17 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      11. Предоставление микрокредитов электронным способом осуществляется в соответствии с внутренними документами организации, осуществляющей микрофинансовую деятельность, предусматривающими выявление искажений и (или) изменений в содержании электронных документов, на основании которых клиенту предоставлен микрокредит электронным способом, а также защиту от несанкционированного доступа к информации, составляющей тайну предоставления микрокредита, и целостность данной информации, включая защиту предоставляемых клиентом идентификационных и аутентификационных данных от повторного несанкционированного использования при получении микрокредита.

      12. По запросу клиента организация, осуществляющая микрофинансовую деятельность, предоставляет ему подтверждение об отправке и (или) получении электронных документов, подтверждающих предоставление (получение) микрокредита электронным способом, в порядке и сроки, предусмотренные договором о предоставлении микрокредита.

      13. В случае обнаружения несанкционированного доступа к информации, составляющей тайну предоставления микрокредита, ее несанкционированного изменения, осуществления несанкционированных действий со стороны третьих лиц либо иных незаконных (мошеннических) действий с микрокредитами, организация, осуществляющая микрофинансовую деятельность, в течение двух рабочих дней принимает меры для устранения причин и последствий таких действий, а также в течение одного рабочего дня информирует об этом клиента и уполномоченный орган.

      В случае внесения лицом, осуществляющим досудебное расследование в соответствии со статьей 200 Уголовно-процессуального кодекса Республики Казахстан (далее – УПК РК), в организацию, осуществляющую микрофинансовую деятельность, представления о принятии мер по устранению обстоятельств, способствовавших совершению уголовного правонарушения в отношении пострадавших, либо постановления о признания заемщика организации, осуществляющей микрофинансовую деятельность, потерпевшим в соответствии со статьей 71 УПК РК, организация, осуществляющая микрофинансовую деятельность, не позднее 3 (трех) рабочих дней с даты получения представления либо постановления:

      приостанавливает начисление вознаграждения по такому микрокредиту;

      приостанавливает взыскание задолженности и претензионно-исковую работу по микрокредиту;

      приостанавливает направление в кредитные бюро информации о наличии задолженности клиента по микрокредиту;

      направляет письменное уведомление клиенту о приостановлении начисления вознаграждения по микрокредиту, взыскания задолженности и проведения претензионно-исковой работы по клиенту.

      В случае отмены уполномоченным на то лицом или органом представления либо постановления, на основании которого приостановлено начисление вознаграждения по микрокредиту, взыскание задолженности и проведение претензионно-исковой работы, организация, осуществляющая микрофинансовую деятельность, вправе доначислить вознаграждение за пользование микрокредитом за период приостановления начисления вознаграждения, и возобновить взыскание задолженности и претензионно-исковую работу по клиенту.

      На основании вступившего в законную силу приговора суда, в котором установлен факт неполучения клиентом микрокредита, организация, осуществляющая микрофинансовую деятельность, в течении 15 (пятнадцати) рабочих дней:

      принимает решение о списании задолженности клиента по данному микрокредиту;

      вносит корректировки в кредитную историю клиента в кредитных бюро путем направления информации об отсутствии задолженности по данному микрокредиту и количестве просроченных дней по нему;

      осуществляет возврат клиенту сумм задолженности по данному микрокредиту, ранее взысканных организацией, осуществляющей микрофинансовую деятельность, либо погашенных клиентом самостоятельно.

      Списание задолженности клиента по микрокредиту, согласно настоящему пункту Правил, не лишает организацию, осуществляющую микрофинансовую деятельность, права требовать с клиента возмещения задолженности по выданному ему микрокредиту, оформленному мошенническим способом при наличии вины самого клиента, установленной судом.

Глава 3. Требования к автоматизированной информационной системе

      14. Автоматизированная информационная система включает:

      1) программное обеспечение серверов веб-приложений (далее – веб-приложение);

      2) программное обеспечение для мобильных устройств (далее – мобильное приложение);

      3) программное обеспечение серверов программных интерфейсов (далее – серверное ППО).

      15. Разработка и (или) доработка автоматизированной информационной системы осуществляется организацией, осуществляющей микрофинансовую деятельность, в соответствии с внутренним документом, регламентирующим порядок разработки и (или) доработки, этапы разработки и их участников.

      16. В случае, если разработка и (или) доработка автоматизированной информационной системы передана сторонней организации и (или) третьему лицу, организация, осуществляющая микрофинансовую деятельность, обеспечивает исполнение сторонней организацией и(или) третьим лицом требований настоящей главы и внутренних документов, отвечают за состояние безопасности автоматизированной информационной системы.

      17. Хранение исходных кодов автоматизированной информационной системы, разрабатываемых в организации, осуществляющей микрофинансовую деятельность, осуществляется в специализированных системах управления репозиториями кода, размещаемых в периметре защиты организации, осуществляющей микрофинансовую деятельность, с обеспечением резервного копирования.

      18. Независимо от принятого в организации, осуществляющей микрофинансовую деятельность, подхода к разработке и (или) доработке автоматизированной информационной системы, обязательным этапом является тестирование безопасности, в ходе которого осуществляются, как минимум, следующие мероприятия:

      1) статический анализ исходного кода;

      2) анализ компонентов и (или)сторонних библиотек.

      19. Статический анализ исходного кода автоматизированной информационной системы, проводится с использованием сканера статического анализа исходных кодов, поддерживающего анализ всех используемых языков программирования в проверяемом программном обеспечении, в функции которого входит выявление следующих уязвимостей, но не ограничиваясь:

      1) наличие механизмов, допускающих инъекции вредоносного кода;

      2) использование уязвимых операторов и функций языков программирования;

      3) использование слабых и уязвимых криптографических алгоритмов;

      4) использование кода, вызывающего при определенных условиях отказ в обслуживании или существенное замедление работы приложения;

      5) наличие механизмов обхода систем защиты приложения;

      6) использование в коде секретов в открытом виде;

      7) нарушение шаблонов и практик обеспечения безопасности приложения.

      20. Анализ компонентов и (или) сторонних библиотек автоматизированной информационной системы, проводится с целью выявления известных уязвимостей, присущих используемой версии компонента и(или) сторонней библиотеки, а также отслеживания зависимостей между компонентами и (или) сторонними библиотеками и их версиями.

      21. Организация, осуществляющая микрофинансовую деятельность, обеспечивает реализацию корректирующих мер по устранению выявленных уязвимостей в порядке, определенном внутренним документом, при этом критичные уязвимости устраняются до ввода в эксплуатацию автоматизированной информационной системы и (или) ее новых версий.

      22. Организация, осуществляющая микрофинансовую деятельность, обеспечивает хранение и доступ в оперативном режиме ко всем версиям исходных кодов автоматизированной информационной системы и результатов тестирования безопасности, которые были введены в эксплуатацию в течение последних 3 (трҰх) лет.

      23. Обмен данными между клиентской и серверной сторонами автоматизированной информационной системы шифруется с использованием версии протокола шифрования Transport Layer Security (Транспорт Лэйер Секьюрити) не ниже 1.2.

      24. Веб-приложение обеспечивает:

      1) однозначность идентификации принадлежности веб-приложения организации, осуществляющей микрофинансовую деятельность (доменное имя, логотипы, корпоративные цвета);

      2) запрет на сохранение в памяти браузера авторизационных данных;

      3) маскирование вводимых секретов;

      4) информирование на странице авторизации клиента о мерах обеспечения кибергигиены, которым рекомендуется следовать при использовании веб-приложения;

      5) обработку ошибок и исключений безопасным способом, не допуская отображение в интерфейсе клиента конфиденциальных данных, предоставляя минимально достаточную информацию об ошибке.

      25. Мобильное приложение обеспечивает:

      1) однозначность идентификации принадлежности мобильного приложения организации, осуществляющей микрофинансовую деятельность, (данные в официальном магазине приложений, логотипы, корпоративные цвета);

      2) блокировку функционала по предоставлению микрокредитов электронным способом организации, осуществляющей микрофинансовую деятельность, в случае обнаружения признаков нарушения целостности и (или) обхода защитных механизмов операционной системы, обнаружения процессов удаленного управления;

      3) уведомление клиента о наличии обновлений мобильного приложения;

      4) возможность принудительной установки обновлений мобильного приложения или блокировки функционала мобильного приложения до их установки в случаях необходимости устранения критичных уязвимостей;

      5) хранение конфиденциальных данных в защищенном контейнере мобильного приложения или хранилище системных учетных данных;

      6) исключение кэширования конфиденциальных данных;

      7) исключение из резервных копий мобильного приложения конфиденциальных данных;

      8) информирование клиента о действенных методах обеспечения кибергигиены, которым рекомендуется следовать при использовании мобильного приложения;

      9) информирование клиента о событиях авторизации под его учетной записью, изменения и (или) восстановления пароля, изменения, зарегистрированного организацией, осуществляющей микрофинансовую деятельность, номера мобильного телефона;

      10) в ходе осуществления операций с денежными средствами - передачу в серверное ППО организации, осуществляющей микрофинансовую деятельность, геолокационных данных мобильного устройства при наличии разрешения от клиента, либо передачу информации об отсутствии такого разрешения.

      26. Организация, осуществляющая микрофинансовую деятельность, обеспечивает на своей стороне:

      1) обработку ошибок и исключений безопасным способом, не допуская в ответе раскрытия конфиденциальных данных, предоставляя минимально достаточную информацию для диагностики проблемы;

      2) идентификацию и аутентификацию мобильных приложений и связанных с ними устройств;

      3) проверку данных на валидность для предотвращения атак с подделкой запросов и инъекций.

      27. Доступ к информации в автоматизированной информационной системе предоставляется работникам организации, осуществляющей микрофинансовую деятельность, в объеме, необходимом для исполнения их функциональных обязанностей.

      28. Доступ к автоматизированной информационной системе осуществляется путем идентификации и аутентификации работников организации, осуществляющей микрофинансовую деятельность.

      29. В автоматизированной информационной системе применяются функции по управлению учетными записями и паролями, а также блокировке учетных записей пользователей, определяемые внутренним документом организации, осуществляющей микрофинансовую деятельность.

      30. Автоматизированная информационная система обеспечивается технической поддержкой, в состав которой входят услуги по предоставлению обновлений автоматизированной информационной системы, в том числе обновлений безопасности.

      31. Автоматизированная информационная система обеспечивает резервное хранение данных, файлов и настроек, которое обеспечивает восстановление ее работоспособной копии.

      32. В организации, осуществляющей микрофинансовую деятельность, обеспечивается ведение и неизменность аудиторского следа автоматизированной информационной системы, как на организационном, так и на техническом уровне.

      33. Для защиты автоматизированной информационной системы используется лицензионное антивирусное программное обеспечение или системы, обеспечивающие целостность или контроль неизменности программной среды на рабочих станциях, ноутбуках и мобильных устройствах.

      34. Организация, осуществляющая микрофинансовую деятельность, обеспечивает безопасное хранение электронных сообщений и иных документов, предоставленных клиенту и полученных от него, а также полученных в ходе биометрической идентификации клиента данных с соблюдением их целостности и конфиденциальности в течение не менее пяти лет после прекращения обязательств сторон по договору о предоставлении микрокредита.

      Хранение электронных сообщений, данных и иных документов осуществляется в том формате, в котором они были сформированы, отправлены клиенту или получены от него.

      Сноска. Пункт 34 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 58 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      35. При биометрической идентификации обеспечивается защита от использования статичного изображения или видеозаписи для подделки биометрических данных клиента путем проверки выполнения клиентом в ходе биометрической идентификации неповторяющихся последовательностей контрольных движений.

      Сноска. Пункт 35 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 58 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      36. В случае наличия у организации, осуществляющей микрофинансовую деятельность, информации о незаконном распространении персональных данных клиента микрофинансовая организация реализует дополнительные меры безопасности, включая, но не ограничиваясь:

      1) повторную биометрическую идентификацию клиента;

      2) проверку принадлежности клиенту его абонентского номера путем сверки индивидуального идентификационного номера клиента с индивидуальным идентификационным номером владельца абонентского номера в базе данных оператора мобильной связи или получения информации о принадлежности клиенту данного абонентского номера путем сверки индивидуального идентификационного номера клиента в базе номеров мобильных телефонов клиентов посредством веб-портала "электронного правительства";

      3) проверочный звонок на указанный клиентом абонентский номер устройства сотовой связи клиента с информированием клиента о похищении его персональных данных и рекомендацией по установлению клиентом добровольного отказа на оформление кредитов.

      Сноска. Глава 3 дополнена пунктом 36 в соответствии с постановлением Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 58 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      37. В случае предоставления доступа третьим лицам к автоматизированной информационной системе или размещения серверных мощностей организации, осуществляющей микрофинансовую деятельность, в сторонних центрах обработки данных (использования внешних сервисов обработки и(или) хранения данных) организацией, осуществляющей микрофинансовую деятельность, предпринимаются следующие меры обеспечения информационной безопасности:

      1) отражение в соответствующем соглашении, договоре с третьим лицом требований по защите автоматизированных информационных систем организации, осуществляющей микрофинансовую деятельность, и права проверки организацией, осуществляющей микрофинансовую деятельность исполнения таких требований, а также условий о возмещении ущерба, возникшего вследствие нарушения информационной безопасности и работоспособности автоматизированных информационных систем;

      2) исключение возможности доступа третьих лиц к информации, передача которой третьим лицам не допускается в соответствии с гражданским, банковским законодательством Республики Казахстан, законодательством Республики Казахстан о микрофинансовой деятельности, законодательством Республики Казахстан о персональных данных и их защите. Для этих целей применяется метод хранения информации в зашифрованном виде с раскрытием информации на стороне организации, осуществляющей микрофинансовую деятельность. При этом ключ шифрования хранится в организации, осуществляющей микрофинансовую деятельность.

      Сноска. Глава 3 дополнена пунктом 37 в соответствии с постановлением Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 58 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

On approval of the Rules for provision of microcredits electronically

Resolution of the Board of the National Bank of the Republic of Kazakhstan dated November 28, 2019 № 217. Registered with the Ministry of Justice of the Republic of Kazakhstan on December 6, 2019 № 19714.

      Unofficial translation

      In accordance with the Law of the Republic of Kazakhstan “On Microfinance Activities”, the Board of the National Bank of the Republic of Kazakhstan HEREBY RESOLVES:

      Footnote. Preamble - as amended by the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market № 81 dated 3010.2023 (shall come into effect ten calendar days after the day of its first official publication).

      1. To approve the attached Rules for the provision of microcredits electronically.

      2. The Department of methodology and regulation of financial organizations, in accordance with the procedure, established by the legislation of the Republic of Kazakhstan shall ensure:

      1) jointly with the Legal Department, the state registration of this resolution with the Ministry of Justice of the Republic of Kazakhstan;

      2) placement of this resolution on the official Internet resource of the National Bank of the Republic of Kazakhstan after its official publication;

      3) within ten working days after the state registration of this resolution, submission to the Legal Department of information about implementation of measures, stipulated by subclause 2) of this clause and clause 3 of this resolution.

      3. The Department of External Communications – the Press Service of the National Bank shall ensure, within ten calendar days after the state registration of this resolution, sending of its copy for official publication to printed periodicals.

      4. Control over execution of this resolution shall be entrusted to the deputy Chairman of the National Bank of the Republic of Kazakhstan Smolyakov O.A.

      5. This resolution shall come into force from January 1, 2020 and shall be subject to official publication.

      Chairman
of the National Bank
Ye. Dossayev

  Approved
by the Resolution of
the National Bank
of the Republic of Kazakhstan
dated November 28, 2019
№ 217

The Rules for the provision of microcredits electronically

      Footnote. The rules are as amended by Resolution № 81 of the Board of the Agency for Regulation and Development of the Financial Market of the Republic of Kazakhstan dated 30.10.2023 (effective ten calendar days after the date of its first official publication).

Chapter 1. General Provisions

      1. These Rules for the provision of microcredits electronically (hereinafter referred to as the Rules) have been developed in accordance with paragraph 3-1 of Article 3 of the Law of the Republic of Kazakhstan “On Microfinance Activities” (hereinafter referred to as the Law) and shall determine the procedure for providing microcredits electronically.

      2. The Rules shall use the concepts provided for by the Law, as well as the following concepts:

      1) automated information system - microloan information system that shall automate the provision of microloan electronically in an organization engaged in microfinance activities;

      2) authentication - a procedure for verifying the authenticity of the client, electronic messages and other documents, including electronic copies of documents necessary to provide microcredit, as well as identifying the client and the content of his/her expression of will;

      3) debt - the amount of debt on microcredit, including the amount of the principal balance, accrued but unpaid remuneration, penalties (fines, penalties) provided for in the microcredit agreement concluded with the borrower;

      4) biometric identification – a set of measures that identify a person based on physiological and biological immutable characteristics;

      5) one-time password – a password valid only for one authentication session of subjects receiving services in electronic form;

      6) as excluded by the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated 16.08.2024 № 58 (shall enter into force upon expiry of ten calendar days after the day of its first official publication);

      7) personal account – a multifunctional secure service of an automated information system that ensures interaction between an organization carrying out microfinance activities and a client;

      8) client - an individual or legal entity who has agreed with an organization engaged in microfinance activities to provide microcredit or has submitted (intends to submit) an application for microcredit;

      9) client identification – the procedure for the client to provide his/her identification data for further authentication;

      10) mobile application - a software product used on a subscriber’s cellular device and providing access to a personal account via cellular services or the Internet;

      11) identifier - a unique digital, alphabetic or containing other symbols code assigned to the client to enter his/her personal account;

      12) identification data exchange center (IDEC) - an operational center of the interbank money transfer system, ensuring interaction with financial organizations for the exchange of customer data from available sources for carrying out customer identification procedures;

      13) smart card – a plastic card with a built-in microcircuit;

      14) terminal – an electronic-mechanical device designed to carry out operations related to the provision of microcredits;

      15) token – a device designed to ensure the information security of the user, as well as to identify its owner, and secure remote access to information resources;

      16) authorized body - a state body that carries out state regulation, control and supervision of the financial market and financial organizations;

      17) “electronic government” web portal - an information system that is a single window of access to all consolidated government information, including the regulatory legal framework, and to government services, services for issuing technical specifications for connecting to the networks of natural monopoly entities and services of quasi-state entities sector, provided in electronic form.

      Footnote. Paragraph 2 as amended by Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated 16.08.2024 № 58 (shall enter into force upon expiry of ten calendar days after the day of its first official publication).

Chapter 2. Providing microcredits electronically

      3. Operations related to the provision of microcredits electronically shall be carried out using an automated information system that meets the requirements of Chapter 3 of these Rules in the client’s personal account on the Internet resource, in a mobile application and (or) terminals of an organization carrying out microfinance activities.

      4. 10 (ten) working days before the opening of an Internet resource, mobile application and (or) terminal through which microcredits shall be provided electronically, the organization carrying out microfinance activities shall notify the authorized body about this.

      The notification sent to the authorized body shall contain:

      1) name of the Internet resource, mobile application and (or) location of the terminal of the organization carrying out microfinance activities;

      2) a list of services (operations) that can be provided through an Internet resource, mobile application and (or) terminal of an organization engaged in microfinance activities;

      3) information about the availability of approved procedures for the security and protection of information from unauthorized access by an organization engaged in microfinance activities when providing services through an Internet resource, mobile application and (or) terminal, with supporting documents attached.

      5. If the information contained in the notification specified in paragraph 4 of the Rules changes, the organization carrying out microfinance activities notifies the authorized body 10 (ten) working days before such changes are made.

      6. To register in the personal account, the individual shall enter (attaches) the following data:

      surname, first name, patronymic (if any) specified in the identity document, with the exception of the birth certificate;

      individual identification number;

      number and validity period of the identity document, except for the birth certificate;

      the subscriber number of the cellular communication device;

      photo of a person in full face on a light background, with a neutral facial expression and a closed mouth.

      To register in your personal account, a legal entity enters (attaches) the following data (documents in scanned form):

      an order on the appointment of the head of the executive body of the legal entity or a power of attorney confirming the powers of the person authorized to sign the microloan agreement;

      surname, first name, patronymic (if any) specified in the identity document, with the exception of the birth certificate, of the person authorized to sign the microloan agreement;

      business identification number of the client - legal entity;

      individual identification number of the person authorized to sign the microloan agreement;

      the number and validity period of the identity document, with the exception of the birth certificate, of the person authorized to sign the microloan agreement;

      subscriber number of the cellular communication device of the legal entity client;

      photo of the client in full face on a light background, with a neutral facial expression on his face and a closed mouth, authorized to sign a microloan agreement.

      The organization carrying out microfinance activities, to confirm the registration of the client, reconciles the data provided by:

      client - individual: last name, first name, patronymic (if any), individual identification number and photograph of the client;

      client - legal entity: surname, name, patronymic (if any) and photo of the person specified in the identity document, with the exception of the birth certificate, an individual authorized to sign a microloan agreement.

      When registering a client in a personal account, biometric identification is used through the use of data center services or according to biometric data obtained through devices of an organization engaged in microfinance activities and an electronic digital signature of the client, presented by an accredited certification center of the Republic of Kazakhstan.

      After registration of the client in the personal account, the subsequent admission of the client to the personal account shall be carried out by generating and (or) entering passwords or using at least one of the authentication features (tokens, smart cards, one-time passwords).

      Introduction of amendments to the subscriber number of the client's cellular communication device or bank account details (except for the provision of microloans through terminals), shall be carried out in the client's personal account using biometric identification through the use of data center services or using the client's biometric data obtained during client registration through devices of an organization engaged in microfinance activities and the client's electronic digital signature presented by an accredited certification center of the Republic of Kazakhstan.

      In the personal account, data on the individual identification number or business identification number of the client shall not be subject to introduction of amendments.

      Footnote. Paragraph 6 – in the wording of the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated 16.08.2024 № 58 (shall enter into force upon expiry of ten calendar days after the day of its first official publication).

      7. The personal account should provide the client with the opportunity to perform the following, but not limited to them, actions:

      1) submission by the client of an application for a microloan;

      2) viewing information about the organization carrying out microfinance activities (legal and (or) actual address, contact numbers, fax, e-mail address and other information), information about the first manager (last name, first name, patronymic (if any) of the organization carrying out microfinance activities;

      3) viewing the agreement (agreements) of the client on the provision of microloan (before and after the conclusion of the agreement);

      4) viewing information on the progress and results of consideration of the client's application for a microloan;

      5) viewing information on the amount of the client's current microloan debt (microloan), upcoming and actual payments of the client, including the amount of the principal debt, remuneration, forfeit (fines, penalties);

      6) viewing information on how the client repays the microloan;

      7) exchange of letters (messages) between the client and the organization carrying out microfinance activities.

      Footnote. Paragraph 7 – in the wording of the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated 16.08.2024 № 58 (shall enter into force upon expiry of ten calendar days after the day of its first official publication).

      8. Prior to providing a microloan electronically, an organization engaged in microfinance activities:

      1) carry out proper verification of the client in accordance with the legislation of the Republic of Kazakhstan in the field of combating the legalization (laundering) of proceeds from crime and the financing of terrorism and internal documents;

      2) familiarizes the client with the Rules for providing microloans;

      3) provide the client with complete and reliable information about payments and transfer related to the receipt, maintenance and repayment (return) of a microloan;

      4) provide the client with draft repayment schedules calculated by various methods (differentiated payments method, annuity payments method or method calculated in accordance with the microloan rules) for familiarization and selection of the microloan repayment method;

      5) inform the client about his rights and obligations related to obtaining a microloan;

      6) request the client to provide a microloan (by issuing cash to the client through a terminal or cash desk, or transferring a microloan to the bank account (payment card) of the client or the bank account of a legal entity with which an agreement has been concluded with an organization engaged in microfinance activities, providing for payment for the purchased goods or work performed, services by the borrower);

      7) request bank account details (IBAN) and (or) details of the client's payment card, if a microloan is provided to the client's bank account (payment card);

      8) check for the presence in the credit report of information on the establishment by the client of a voluntary refusal to receive a microloan.

      Footnote. Paragraph 8 – in the wording of the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated 29.03.2024 № 17 (shall enter into force upon expiry of ten calendar days after the day of its first official publication).

      9. Conclusion of an agreement on the provision of microloan, introduction of amendments and additions to the agreement on the provision of microloan electronically between the organization, carrying out microfinance activities, and the client shall be carried out using biometric identification through the use of data center services or using the client's biometric data, obtained when registering a client through devices of an organization carrying out microfinance activities and an electronic digital signature of the client represented by an accredited certifying national certifying center of the Republic of Kazakhstan.

      Microloan shall be provided electronically by transferring money from the bank account of a microfinance organization to a bank account (payment card) of the customer, and by dispensing cash to the customer through a terminal or cash desk; (or) transfer of a microloan at the request of the borrower to the bank account of a legal entity with which an organization engaged in microfinance activities has an agreement providing for payment for the purchased goods or work performed, services by the borrower.

      If it is impossible to identify the ownership of a bank account or payment card to the client, the transfer of money shall not be carried out.

      The transfer of a microloan at the request of the borrower to the bank account of a legal entity with which the organization engaged in microfinance activities has an agreement providing for payment for the purchased goods or work performed, services by the borrower, shall be carried out using biometric identification through the use of data center services or using client biometric data obtained during client registration through devices of the organization engaged in microfinance activities.

      The provision of a microloan to the borrower through the cashier shall be carried out by visual identification of the client receiving cash with an identity document (except for a birth certificate) or data confirming (identifying) the identity of the client obtained through the digital document service, as well as providing a power of attorney confirming the powers of the individual authorized to receive money, in case of providing a microloan to the client - legal entity.

      Footnote. Paragraph 9 – in the wording of the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated 16.08.2024 № 58 (shall enter into force upon expiry of ten calendar days after the day of its first official publication).

      10. The organization carrying out microfinance activities shall refuse to provide the client with a microloan on the grounds provided for by the legislation of the Republic of Kazakhstan in the field of combating the legalization (laundering) of proceeds from crime and the financing of terrorism, as well as when the client establishes a voluntary refusal to receive a microloan.

      Footnote. Paragraph 10 – in the wording of the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated 29.03.2024 № 17 (shall enter into force upon expiry of ten calendar days after the day of its first official publication).

      11. The provision of microcredits electronically shall be carried out in accordance with the internal documents of the organization carrying out microfinance activities, which provide for the identification of distortions and (or) changes in the content of electronic documents on the basis of which the client was granted microcredit electronically, as well as protection from unauthorized access to information constituting the secrecy of providing microcredit, and the integrity of this information, including the protection of identification and authentication data provided by the client from repeated unauthorized use when receiving microcredit.

      12. At the request of the client, the organization carrying out microfinance activities shall provide him/her with confirmation of the sending and (or) receipt of electronic documents confirming the provision (receipt) of microcredit electronically, in the manner and within the time frame provided for in the microcredit agreement.

      13. In case of detection of unauthorized access to information that constitutes the secret of providing microcredit, its unauthorized modification, unauthorized actions by third parties or other illegal (fraudulent) actions with microcredits, the organization carrying out microfinance activities shall take measures within two working days to eliminate the causes and consequences of such actions, and shall also inform the client and the authorized body about this within one working day.

      If a person conducting a pre-trial investigation in accordance with Article 200 of the Criminal Procedure Code of the Republic of Kazakhstan (hereinafter referred to as the Code of Criminal Procedure of the Republic of Kazakhstan) submits to an organization engaged in microfinance activities a proposal to take measures to eliminate the circumstances that contributed to the commission of a criminal offence against victims, or resolution on recognizing the borrower of an organization engaged in microfinance activities as a victim in accordance with Article 71 of the Code of Criminal Procedure of the Republic of Kazakhstan, an organization engaged in microfinance activities, no later than 3 (three) working days from the date of receipt of the submission or resolution shall:

      suspend the accrual of interest on such microcredit;

      suspend debt collection and claims work on microcredit;

      suspend sending information to credit bureaus about the client's debt on microcredit;

      send a written notification to the client about the suspension of the accrual of remuneration on the microcredit, debt collection and carrying out claim work on the client.

      In the event of cancellation by an authorized person or body of submission or resolution based on which the accrual of remuneration on microcredit, debt collection and the conduct of claims work shall be suspended, the organization engaged in microfinance activities shall have the right to additionally accrue remuneration for the use of microcredit for the period of suspension of the accrual of remuneration, and resume debt collection and claim work for the client.

      Based on a court verdict that has entered into legal force, which established the fact that the client did not receive microcredit, an organization engaged in microfinance activities, within 15 (fifteen) working days shall:

      make a decision to write off the client's debt under this microcredit;

      make adjustments to the client’s credit history in credit bureaus by sending information about the absence of debt on this microcredit and the number of overdue days on it;

      return to the client amounts of debt under this microcredit, previously collected by the organization carrying out microfinance activities, or repaid by the client independently.

      Write-off of a client's debt on microcredit, in accordance with this paragraph of the Rules, shall not deprive an organization engaged in microfinance activities of the right to demand from the client compensation of debt on microcredit issued to him, issued fraudulently if the client himself is at fault, established by the court.

Chapter 3. Requirements for an automated information system

      14. The automated information system shall include:

      1) web application server software (hereinafter referred to as the Web application);

      2) software for mobile devices (hereinafter referred to as the Mobile application);

      3) software for software interface servers (hereinafter referred to as Server software).

      15. Development and (or) modification of an automated information system shall be carried out by an organization carrying out microfinance activities in accordance with an internal document regulating the procedure for development and (or) modification, stages of development and their participants.

      16. If the development and (or) modification of an automated information system is transferred to a third-party organization and (or) a third party, the organization carrying out microfinance activities shall ensure that the third-party organization and (or) third party fulfils the requirements of this chapter and internal documents, and shall be responsible for security status of the automated information system.

      17. Storage of the source codes of the automated information system developed in an organization carrying out microfinance activities shall be carried out in specialized code repository management systems located within the security perimeter of the organization carrying out microfinance activities, with backup provided.

      18. Regardless of the approach adopted in an organization carrying out microfinance activities to the development and (or) modification of an automated information system, a mandatory stage is security testing, during which at least the following activities shall be carried out:

      1) static analysis of source code;

      2) analysis of components and (or) third-party libraries.

      19. Static analysis of the source code of an automated information system shall be carried out using a static source code analysis scanner, which supports the analysis of all programming languages used in the software being tested, the functions of which include identifying the following vulnerabilities, but not limited to:

      1) the presence of mechanisms that allow the injection of malicious code;

      2) use of vulnerable operators and functions of programming languages;

      3) use of weak and vulnerable cryptographic algorithms;

      4) use of code that, under certain conditions, causes a denial of service or a significant slowdown in the operation of the application;

      5) the presence of mechanisms to bypass application security systems;

      6) use of secrets in clear text in the code;

      7) violation of application security patterns and practices.

      20. Analysis of components and (or) third-party libraries of an automated information system shall be carried out to identify known vulnerabilities inherent in the version of the component and (or) third-party library used, as well as to track dependencies between components and (or) third-party libraries and their versions.

      21. An organization carrying out microfinance activities shall ensure the implementation of corrective measures to eliminate identified vulnerabilities in the manner specified by the internal document, while critical vulnerabilities are eliminated before the automated information system and (or) its new versions are put into operation.

      22. An organization carrying out microfinance activities shall provide storage and online access to all versions of the source codes of the automated information system and security testing results that have been put into operation over the past 3 (three) years.

      23. Data exchange between the client and server sides of the automated information system shall be encrypted using a version of the Transport encryption protocolLayerSecurity (Transport Layer Security) not lower than 1.2.

      24. The web application shall provide:

      1) unambiguous identification of the ownership of the web application of an organization engaged in microfinance activities (domain name, logos, corporate colours);

      2) prohibition on storing authorization data in the browser’s memory;

      3) masking of entered secrets;

      cyber hygiene measures that are recommended to be followed when using the web application;

      5) handling errors and exceptions securely, preventing sensitive data from being displayed in the client interface, and providing minimally sufficient information about the error.

      25. The mobile application shall provide:

      1) unambiguous identification of the ownership of a mobile application of an organization engaged in microfinance activities (data in the official application store, logos, corporate colours);

      2) blocking the functionality for providing microcredits electronically to an organization engaged in microfinance activities, in case of detection of signs of integrity violation and (or) bypassing the security mechanisms of the operating system, detection of remote control processes;

      3) notifying the client about the availability of updates to the mobile application;

      4) the ability to force installation of mobile application updates or block the functionality of a mobile application before installing them in cases where it is necessary to eliminate critical vulnerabilities;

      5) storing confidential data in a secure container of a mobile application or storage of system credentials;

      6) exclusion of caching of confidential data;

      7) exclusion of confidential data from backup copies of the mobile application;

      8) informing the client about effective methods of ensuring cyber hygiene, which are recommended to be followed when using the mobile application;

      9) informing the client about events of authorization under his account, changes and (or) recovery of the password, and changes in the mobile phone number registered by the organization carrying out microfinance activities;

      10) during transactions with funds - transfer to the server software of an organization carrying out microfinance activities, geolocation data of a mobile device if there is permission from the client or transfer of information about the absence of such permission.

      26. An organization carrying out microfinance activities shall provide on its side:

      1) handling errors and exceptions securely, without disclosing confidential data in the response, providing minimally sufficient information to diagnose the problem;

      2) identification and authentication of mobile applications and associated devices;

      3) checking data for validity to prevent requests forgery and injection attacks.

      27. Access to information in the automated information system shall be provided to employees of an organization carrying out microfinance activities to the extent necessary to perform their functional duties.

      28. Access to the automated information system shall be carried out by identifying and authenticating employees of an organization carrying out microfinance activities.

      29. The automated information system shall use functions for managing accounts and passwords, as well as blocking user accounts, determined by the internal document of the organization carrying out microfinance activities.

      30. The automated information system shall be provided with technical support, which includes services for providing updates to the automated information system, including security updates.

      31. The automated information system shall provide backup storage of data, files and settings, which ensures the restoration of its working copy.

      32. In an organization carrying out microfinance activities, the maintenance and immutability of the audit trail of the automated information system shall be ensured, both at the organizational and technical levels.

      33. To protect an automated information system, licensed anti-virus software or systems shall be used to ensure the integrity or control of the immutability of the software environment on workstations, laptops and mobile devices.

      34. The organization carrying out microfinance activities shall ensure the safe storage of electronic messages and other documents provided to and received from the client, as well as data obtained during biometric identification of the client, observing their integrity and confidentiality for at least five years after the termination of the obligations of the parties under the microloan agreement.

      Electronic messages, data and other documents shall be stored in the format in which they have been generated, sent to the client or received from him.

      Footnote. Paragraph 34 – in the wording of the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated 16.08.2024 № 58 (shall enter into force upon expiry of ten calendar days after the day of its first official publication).

      35. Biometric identification shall provide protection against the use of a static image or video recording to counterfeit the biometric data of the client by checking that the client shall perform non-repeating sequences of control movements during biometric identification.

      Footnote. Paragraph 35 – in the wording of the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated 16.08.2024 № 58 (shall enter into force upon expiry of ten calendar days after the day of its first official publication).

      36. If an organization carrying out microfinance activities has information about the illegal distribution of personal data of a client, the microfinance organization shall implement additional security measures, including, but not limited to:

      1) repeated biometric identification of the client;

      2) verifying the ownership of the customer's subscriber number by checking the individual identification number of the customer with the individual identification number of the owner of the subscriber number in the database of the mobile operator or obtaining information about the ownership of this subscriber number by checking the individual identification number of the customer in the database of mobile phone numbers of customers through the web portal "electronic government";

      3) a verification call to the subscriber number of the client's cellular communication device specified by the client with informing the client about the theft of his personal data and a recommendation for the client to establish a voluntary refusal to issue loans.

      Footnote. Chapter 3 as added by the paragraph 36 in accordance with the Decree of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated 16.08.2024 № 58 (shall enter into force upon expiry of ten calendar days after the day of its first official publication).

      37. If third parties are granted access to an automated information system or server capacities of an organization performing microfinance activities are located in third-party data processing centers (using external data processing and (or) storage services), the organization performing microfinance activities shall take the following information security measures:

      1) reflecting in the relevant agreement, agreement with a third-party requirement for the protection of automated information systems of an organization engaged in microfinance activities and the right to verify by an organization engaged in microfinance activities the fulfillment of such requirements, as well as conditions for compensation for damage arising from violation of information security and operability of automated information systems;

      2) exclusion of the possibility of access of third parties to information, the transfer of which to third parties shall not be allowed in accordance with the civil, banking legislation of the Republic of Kazakhstan, the legislation of the Republic of Kazakhstan on microfinance activities, the legislation of the Republic of Kazakhstan on personal data and their protection. For these purposes, a method of storing information in encrypted form with disclosure of information on the side of an organization engaged in microfinance activities shall be used. In this case, the encryption key is stored in an organization engaged in microfinance activities.

      Footnote. Paragraph 3 as added by the paragraph 37 in accordance with the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated 16.08.2024 № 58 (shall enter into force upon expiry of ten calendar days after the day of its first official publication).