Комментарий LexUz
Настоящее постановление утратило силу в соответствии с постановлением Правления Центрального банка Республики Узбекистан от 15 февраля 2020 года № 3/10 «О признании утратившим силу постановление «Об утверждении Правил организации платежных систем, использующих сети телекоммуникаций общего пользования», а также изменение к ней» (рег. № 1767-2 от 09.03.2020 г.).
В соответствии с законами Республики Узбекистан «О Центральном банке Республики Узбекистан», «Об электронных платежах», «Об электронном документообороте» и постановлением Кабинета Министров Республики Узбекистан № 120 от 12 июня 2007 года «О мерах по дальнейшему совершенствованию проведения платежей при осуществлении электронной коммерции» Правление Центрального банка Республики Узбекистан постановляет:
1. Утвердить Правила организации платежных систем, использующих сети телекоммуникаций общего пользования согласно приложению.
2. Настоящее постановление вступает в силу по истечении 10 дней с момента его государственной регистрации в Министерстве юстиции Республики Узбекистан.
УТВЕРЖДЕНЫ
постановлением Правления Центрального банка Республики Узбекистан
от 2 января 2008 г. № 1/4
постановлением Правления Центрального банка Республики Узбекистан
от 2 января 2008 г. № 1/4
Настоящие Правила в соответствии с законами Республики Узбекистан «Об электронных платежах», «Об электронном документообороте», постановлением Кабинета Министров Республики Узбекистан № 120 от 12 июня 2007 года «О мерах по дальнейшему совершенствованию проведения платежей при осуществлении электронной коммерции» определяют базовые требования к организации платежных систем, механизмов обеспечения информационной безопасности в информационных системах при доступе через сети телекоммуникаций общего пользования, в том числе через Интернет, а также состав реквизитов при обмене финансовыми данными между субъектами платежных систем.
платежная организация — юридическое лицо, обладающее правом собственности на товарные знаки и (или) знаки обслуживания, идентифицирующие платежную систему, и устанавливающее её правила;
пользователь платежной системы — юридическое или физическое лицо, пользующее услугами платежной системы при осуществлении электронных платежей;
член платежной системы — юридическое лицо, оказывающее пользователям данной платежной системы услуги по осуществлению электронных платежей на основе договора с платежной организацией;
средства криптографической защиты информации — аппаратные, программные или аппаратно-программные средства, осуществляющие криптографические преобразования информации для обеспечения ее безопасности, в том числе:
а) средства шифрования — аппаратные, программные и аппаратно-программные средства, реализующие криптографические алгоритмы преобразования информации и предназначенные для защиты информации от несанкционированного доступа при ее обработке, хранении и передаче по каналам связи;
б) средства имитозащиты — аппаратные, программные и аппаратно-программные средства, реализующие криптографические алгоритмы преобразования информации и предназначенные для защиты от навязывания ложной информации;
в) средства электронной цифровой подписи — совокупность технических и программных средств, обеспечивающих создание электронной цифровой подписи в электронном документе, подтверждение подлинности электронной цифровой подписи, создание открытых и закрытых ключей электронной цифровой подписи;
г) средства кодирования — средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций;
д) средства изготовления ключевых документов и сами ключевые документы (независимо от вида носителя ключевой информации).
2. Платежная организация, создающая платежную систему, должна разработать и утвердить правила платежной системы, указанные в статье 5 Закона Республики Узбекистан «Об электронных платежах».
См. предыдущую редакцию.
3. Организация внутрибанковских платежных систем осуществляется на основе лицензии, представляемой Центральным банком в соответствии с Положением о порядке регистрации и лицензирования деятельности банков (рег. № 2014 от 8 октября 2009 года).
(абзац первый пункта 3 в редакции постановления Правления Центрального банка Республики Узбекистан от 22 ноября 2014 года № 41/1 (рег. № 1767-1 от 02.12.2014 г.) — СЗ РУ, 2014 г., № 49, ст. 584)
Иные платежные организации-резиденты, создающие системы розничных платежей, должны быть зарегистрированы в соответствии с законодательством.
4. Платежная организация обязана вести перечень членов системы розничных платежей, с которыми у нее заключены договора, с присвоением каждому из них порядкового номера с указанием всех точек обслуживания (с адресами), номера заключенного договора и даты договора.
5. Правила обеспечения информационной безопасности в автоматизированных банковских системах, в том числе по организации серверных помещений в банках определяются в соответствии с Инструкцией «Об организации защиты электронной информации в банках Республики Узбекистан» (рег. № 1047 от 9 июля 2001 г.) и другими нормативно-правовыми актами Центрального банка.
6. Для предотвращения несанкционированного доступа и утечки коммерческой информации устанавливаются следующие требования к серверным помещениям платежных организаций, не являющихся банками:
4) наличие охранно-пожарной сигнализации, при необходимости охранная сигнализация подключается к пульту отдела охраны органов внутренних дел.
7. Для защиты серверов платежной системы от внешних воздействий устанавливаются межсетевые экраны (Firewall). В банках устанавливаются отдельные сервера приложений для работы в системах активного дистанционного управления банковскими счетами и подключения иных платежных систем.
8. Аутентификация пользователей платежной системы при допуске к платежной системе осуществляется с помощью:
Система при трех неудачных попытках аутентификации должна блокироваться. Допускается усовершенствование способов аутентификации пользователей платежных систем с использованием аппаратно-программных средств.
Аутентификация членов платежной системы при подключении к платежной системе, а также иных платежных систем к автоматизированной банковской системе внутрибанковской платежной системы осуществляется обязательно с помощью аппаратно-программных средств и определением IP-адреса.
9. Подтверждение подлинности операций должно осуществляться с помощью подписания электронных платежных документов электронной цифровой подписью и/или с использованием одноразовых переменных кодов. При использовании отдельно одноразовых переменных кодов рекомендуется установить лимиты на суммы операций.
10. При обмене электронной информацией между пользователями и участниками платежных систем, а также в системах активного дистанционного управления банковскими счетами доступ осуществляется по SSL-протоколу, между участниками платежных систем используются защищенные шифрованные каналы связи (VPN). Для обеспечения конфиденциальности информации могут применяться дополнительные сертифицированные средства криптографической защиты информации.
11. Информация, передаваемая и принимаемая серверами платежной системы должна проверяться на наличие вирусов лицензионной антивирусной программой с последними обновлениями антивирусной базы.
12. Рекомендуется оповещать пользователей платежной системы о входе в систему и совершенных операциях путем отправки сообщений на сотовый телефон, электронную почту или другие средства оповещения пользователя.
13. Требования к составу реквизитов банковских электронных платежных документов, используемых в межбанковской и внутрибанковских платежных системах и формируемых в системах активного дистанционного обслуживания банковскими счетами, определяются в соответствии с Положением «О порядке осуществления электронных платежей через межбанковскую платежную систему Центрального банка» (рег. № 1545 от 14 февраля 2006 г.).
14. Для клиринговых операций в системах розничных платежей, при которых через банковские платежные системы осуществляется один электронный платеж единой суммой по нескольким операциям, а также по типовым операциям в системах активного дистанционного обслуживания банковскими счетами в пользу провайдеров и операторов телекоммуникаций или предприятий коммунального обслуживания (услуги электричества и телекоммуникаций, эксплуатационные и коммунальные услуги) допускается использовать иные формы электронных платежных документов. При этом плательщик и получатель денежных средств — пользователи платежной системы, а в случае переводов средств с/на банковские счета, и их банковские реквизиты должны быть однозначно идентифицированы. Данные требования к структуре и составу реквизитов электронного платежного документа согласуется с получателями денежных средств и устанавливаются в правилах платежной системы.
15. Электронные платежи предусматривают обязательное составление документов, достоверно и полноценно описывающих детали электронного платежа:
на бумажном носителе (слип, квитанция электронного терминала) при приеме наличных денежных средств членами платежной системы;
в электронной форме (документ из электронного журнала терминала или банкомата, электронная квитанция или выписка из лицевого счета) при проведении электронных платежных документов;
Указанные документы должны содержать всю необходимую информацию для ручного восстановления проведенных операций, в том числе наименование товара/услуги, за которое осуществляется электронный платеж, и предоставляться субъектам платежных систем.
16. Настоящие Правила согласованы с Узбекским Агентством связи и информатизации и Службой национальной безопасности Республики Узбекистан.