Oʻzbekiston Respublikasining “Oʻzbekiston Respublikasining Markaziy banki toʻgʻrisida”gi hamda “Toʻlovlar va toʻlov tizimlari toʻgʻrisida”gi qonunlariga muvofiq Oʻzbekiston Respublikasi Markaziy banki boshqaruvi qaror qiladi:

1. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilarining toʻlov tizimlarida axborot xavfsizligini taʼminlash toʻgʻrisidagi nizom ilovaga muvofiq tasdiqlansin.

2. Mazkur qaror rasmiy eʼlon qilingan kundan eʼtiboran kuchga kiradi.

Mazkur Nizom Oʻzbekiston Respublikasining “Oʻzbekiston Respublikasining Markaziy banki toʻgʻrisida”gi, “Toʻlovlar va toʻlov tizimlari toʻgʻrisida”gi, “Arxiv ishi toʻgʻrisida”gi va “Shaxsga doir maʼlumotlar toʻgʻrisida”gi qonunlariga muvofiq toʻlov tizimlari operatorlari va toʻlov xizmatlari yetkazib beruvchilarining toʻlov tizimlarida axborot xavfsizligini taʼminlashga doir talablarni belgilaydi.

1. Mazkur Nizomda quyidagi asosiy tushunchalardan foydalaniladi:

avtorizatsiya — maʼlum shaxsga yoki shaxslar guruhiga muayyan harakatlarni amalga oshirish huquqini berish;

autentifikatsiya — foydalanuvchi, dastur, qurilma yoki maʼlumotlarning haqiqiyligini tasdiqlash tartib-taomili;

identifikatsiya — toʻlov tizimlari subyektlariga identifikator tayinlash va/yoki belgilangan identifikatorlar roʻyxati bilan identifikatorlarni taqqoslash;

kriptografik kalit — shifrlash, deshifrlash hamda elektron imzolarni kriptografik algoritmlar orqali tekshirishni amalga oshiruvchi maxfiy simvollar ketma-ketligi;

masofaviy xizmat koʻrsatish tizimi — elektron xizmatlardan foydalanish uchun toʻlov xizmatlaridan foydalanuvchi va ushbu xizmatlarni yetkazib beruvchi oʻrtasidagi aloqani taʼminlaydigan telekommunikatsiya vositalari, raqamli va axborot texnologiyalari, dasturiy taʼminot va uskunalar majmui;

muhim toʻlov tizimlari operatorlari — toʻlov tizimining ishidagi toʻxtalishlar (uzilishlar) Oʻzbekiston Respublikasi toʻlov xizmatlari bozorida tavakkalchiliklarning paydo boʻlishiga olib kelishi mumkin boʻlgan hamda Oʻzbekiston Respublikasi Markaziy banki (bundan buyon matnda Markaziy bank deb yuritiladi) tomonidan muhim toʻlov tizimi jumlasiga kiritilgan toʻlov tizimining operatori hisoblangan yuridik shaxs;

toʻlov — pul majburiyatini naqd pul mablagʻlari bilan bajarish yoxud pul mablagʻlarini toʻlov vositalaridan foydalangan holda oʻtkazish;

toʻlov agenti — bank yoki toʻlov tashkiloti bilan toʻlov xizmatlari koʻrsatish uchun agentlik shartnomasini tuzgan, bank hisoblanmaydigan yuridik shaxs;

toʻlov subagenti — toʻlov agenti bilan toʻlov xizmatlarini koʻrsatish boʻyicha subagentlik shartnomasini tuzgan, bank hisoblanmaydigan yuridik shaxs yoki yakka tartibdagi tadbirkor;

toʻlov tashkiloti — bank hisoblanmaydigan, toʻlov xizmatlarini koʻrsatish boʻyicha faoliyatni amalga oshirishga vakolatli boʻlgan yuridik shaxs;

toʻlov tizimlari operatorlari — Oʻzbekiston Respublikasi hududida toʻlov tizimining ishlashini taʼminlash boʻyicha faoliyatni amalga oshiruvchi yuridik shaxs;

toʻlov xizmatlarini yetkazib beruvchilar — Oʻzbekiston Respublikasi Markaziy banki, banklar, toʻlov tashkilotlari, toʻlov agentlari, toʻlov subagentlari;

xavfsizlik rejimi — normativ-huquqiy hujjatlar bilan belgilangan, maʼmuriy-huquqiy, tashkiliy, injener-texnik va boshqa chora-tadbirlarni oʻz ichiga oladigan, tashkilotning konfidensial maʼlumotlaridan noqonuniy foydalanishning oldini olishni taʼminlovchi tartib.

2. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar oʻzlarining axborot tizimlari xususiyatlaridan kelib chiqib, axborot xavfsizligi siyosatini ishlab chiqishadi.

3. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar toʻlovlar toʻgʻrisidagi axborotni shakllantirish, uzatish, saqlash va unga ishlov berishning barcha bosqichlarida toʻlovlar toʻgʻrisidagi axborotni uzluksiz himoya qilish uchun quyidagi choralarni koʻrishlari lozim:

identifikatsiya, autentifikatsiya va avtorizatsiya qilish tizimini joriy etish;

tizimga ruxsatsiz kirishning oldini olish usullarini (login, parol va boshqa) qoʻllash;

toʻlov hujjati va identifikatsiya maʼlumotlarini qalbakilashtirish, ularni ruxsatsiz oʻzgartirish hamda uchinchi shaxslarga taqdim etishdan himoyalash;

toʻlov axborotlari shakllantirilishini, toʻlov hujjatining haqqoniyligi tekshirilishini va ularga ishlov berilishini hamda asosli oʻzgartirishlar kiritilishini taʼminlash va nazorat qilish;

toʻlov hujjatlarini uzatishda ushbu hujjatning asl egasiga yetkazilishini hamda boshqa shaxslarga joʻnatilishining oldi olinishini taʼminlash;

amalga oshirilgan toʻlovga oid maʼlumotlarni saqlashda ularni ruxsatsiz koʻchirish, oʻzgartirish, oʻchirish hamda uchinchi shaxslarga joʻnatilishining oldini olish choralarini koʻrish;

tashqi saqlovchiga koʻchirilgan toʻlovga oid maʼlumotlarning seyfda (temir shkafda) saqlanishini taʼminlash hamda maʼlumotlarni saqlash uchun masʼul xodim (xodimlar) tayinlanishi;

axborot tizimlaridagi dasturiy taʼminotlarning nazoratini va hisobini yuritish hamda axborot tizimlaridagi dasturiy taʼminot talqinlarining, apparat-dasturiy qurilmalarining va dasturiy vositalarining uzluksiz ishlashini taʼminlash;

axborot tizimlarining aktual holatda (oxirgi versiya) boʻlishini taʼminlash, bunda dasturiy taʼminotning yangi talqinini tekshiruvdan oʻtkazgandan soʻng axborot tizimiga joriy etish;

toʻlov axborotlariga ishlov berish, ularni uzatish hamda saqlash jarayonlarini elektron bayonnomalarda avtomatik tarzda shakllantirib borish xamda ularning saqlanishini taʼminlash;

axborot xavfsizligi xizmatini tashkil etish (axborot xavfsizligiga masʼul xodim tayinlash) va axborot xavfsizligi boʻyicha amalga oshiriladigan ishlarni nazorat qilish;

tarmoq muhofazasi va kriptografik muhofazasini taʼminlash, kompyuter viruslaridan himoyalash, axborot tizimlariga kirishni boshqarish, texnik vositalarini sozlash va boshqa choralarni qoʻllash;

axborot muhofazasi uskuna va qurilmalari bilan taʼminlash, ulardan foydalanishning tartiblarini belgilash hamda ularga texnik xizmat koʻrsatish, taʼmirlash va boshqa holatlarda texnik qurilmalardan koʻzda tutilmagan tarzda foydalanishning oldini olish;

qoʻllanilayotgan texnik vositalarga barcha telekommunikatsiya tarmoqlaridan ruxsatsiz kirish, ulardagi maʼlumotlarni oʻzgartirish, oʻchirish, koʻchirib olishdan ximoyalash;

maʼlumotlarning ruxsatsiz chetga chiqishining oldini olish.

4. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar dasturlarga va operatsion tizimga zarar keltiruvchi zararli kodlar (kompyuter viruslari) va ularning salbiy taʼsirining oldini olish uchun quyidagi choralarni koʻrishi kerak:

hisoblash texnikasi qurilmalari (serverlar, kompyuterlar va boshqalar), bankomat, embosser va toʻlov terminallarining (texnik imkoniyatidan kelib chiqib) ish faoliyatiga zarar yetkazuvchi kodlarni (kompyuter viruslarini) aniqlash va ularning salbiy taʼsirining oldini olish choralarini koʻrish;

axborot tizimlarida faqat litsenziyalangan antivirus dasturidan foydalanish, ularning rusumlari aktualligi va bazalari har kuni yangilanib borilishini taʼminlash;

antivirus dasturlarining avtomatik tarzda ishlashini taʼminlash;

barcha elektron maʼlumotlarni internet tarmogʻi va elektron pochta orqali kelgan antivirus dasturi orqali tekshirish.

5. Toʻlov tizimlarida axborotni muhofaza qilishning kriptografik usullari qoʻllanilishi va toʻlov tizimi qoidalarida quyidagilar belgilab berilishi lozim:

kriptografik muhofaza vositalarini avtomatlashtirilgan tizimlarga bogʻlash, ishga tushirish, ishlatish va foydalanishdan chiqarish tartibi;

kriptografik muxofaza vositalarining toʻxtab qolishi, ishdan chiqishi va boshqa favqulodda holatlarida ularni qayta tiklash tartibi;

kriptografik muhofaza dasturlariga va texnik hujjatlariga oʻzgartirishlar kiritish tartibi;

kriptografik kalitlarni boshqarish tartibi;

kriptografik kalitlarni tashuvchi qurilmalarni qoʻllash, saqlash, oʻzgartirish va boshqalar boʻyicha tashkiliy, texnikaviy usullarni qoʻllash tartibi.

Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar Oʻzbekiston Respublikasi Markaziy banki bilan axborot almashinuvida axborot muhofazasini taʼminlash, axborot almashinuvini ikki tomonlama kelishuv asosida amalga oshiriladi.

6. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilarning axborotlashtirish obyektlariga ruxsatsiz kirish hamda foydalanishni chegaralash maqsadida quyidagi choralar koʻrilishi kerak:

axborot obyektlariga, shu jumladan, bankomat, toʻlov terminallari va toʻlov oʻtkazish elektron qurilmalariga jismonan taʼsir etishni hamda texnik jihozlar mavjud boʻlgan bino va xonalarga kirishni nazorat qilish;

toʻlovlarni amalga oshirishda qoʻllaniladigan avtomatlashtirilgan tizimlar, dasturlar, hisoblash texnikalari, telekommunikatsiya qurilmalari parametrlari va tuzilmalari hamda toʻlov tizimida ishlash huquqini beruvchi maʼlumotlarni (parol, biometrik va boshqa maʼlumotlar) oʻz ichiga olgan texnik vositalarning jismoniy muhofazasini (xavfsizlik rejimini) taʼminlash va ruxsatsiz taʼsir etishning oldini olish;

toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilarning xodimlari axborotlashtirish obyektlariga kirishini nazorat qilish va maʼlumotlarni ruxsatsiz tarqalishidan himoyalash tizimlarini joriy qilish;

serverlar va telekommunikatsiya qurilmalari joylashgan xonalarda ishlash jarayonlarini videokuzatuv tizimlari yordamida nazorat qilish.

7. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar quyidagi maʼlumotlarni oʻz ichiga olgan axborot tizimlarining axborot muhofazasini taʼminlashlari kerak:

bank (karta) hisobvaragʻida pul mablagʻlari qoldiqlari toʻgʻrisidagi maʼlumotlar;

elektron pullar qoldiqlari toʻgʻrisidagi maʼlumotlar;

amalga oshirilgan toʻlovlar toʻgʻrisidagi maʼlumotlar;

naqd pulsiz hisob-kitoblarni oʻz ichiga olgan maʼlumotlar;

banklararo toʻlov va kliring tizimlari toʻlov maʼlumotlari;

kriptografik muhofazani taʼminlash uchun qoʻllaniladigan kriptografik kalitlar;

toʻlovlarni amalga oshirishda qayta ishlanadigan bank siri, shaxsga doir maʼlumotlar va boshqa qonun bilan muhofaza qilinadigan maʼlumotlar.

8. Toʻlov tizimlari operatorlari yoki toʻlov xizmatlarini yetkazib beruvchilar mijozlarga qoʻllaydigan toʻlovlarni amalga oshiruvchi dasturlarni taqdim etishda hamda ularga oʻzgartirish kiritishda quyidagilarni taʼminlashlari lozim:

dasturlarni ishlatish boʻyicha yoʻriqnomalarni ishlab chiqish va ularning aktualligini taʼminlagan holda mijozlarga taqdim etish;

aniqlangan zaifliklarni bartaraf etish uchun oʻzgarishlar kiritilishini taʼminlash;

mijozlar qoʻllayotgan dasturlarning aktualligini nazorat qilish.

9. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar oʻzaro toʻlov axborotlari va toʻlov axborotlariga tegishli boʻlgan maʼlumotlar almashinuvini telekommunikatsiya tarmoqlari orqali amalga oshirish uchun tomonlarning axborot obyektlari hususiyatlaridan kelib chiqib, shuningdek, ularning vazifalari, javobgarliklari va mazkur Nizom talablarini oʻz ichiga olgan axborot xavfsizligini taʼminlash qoidalarini ishlab chiqishi kerak.

10. Toʻlov agenti tomonidan bank yoki toʻlov tashkiloti bilan toʻlov xizmatlarini koʻrsatish uchun tuzilgan agentlik shartnomasida axborot xavfsizligi boʻyicha tomonlarning masʼuliyatlari belgilangan boʻlishi kerak.

11. Toʻlov subagenti tomonidan toʻlov agenti bilan toʻlov xizmatlarini koʻrsatish boʻyicha tuzilgan subagentlik shartnomasida axborot xavfsizligi boʻyicha tomonlarning masʼuliyatlari belgilangan boʻlishi kerak.

12. Toʻlov xizmatlarini yetkazib beruvchilar pul mablagʻlarini oʻtkazish bilan bogʻliq shubhali (frod) operatsiyalar roʻyxatini yuritib borishlari zarur.

13. Toʻlov xizmatlarini yetkazib beruvchilar toʻlov xizmati foydalanuvchisining pul mablagʻlarini oʻtkazish vaqtida, ushbu toʻlov shubhali (frod) operatsiyalar roʻyxatida boʻlsa, bunday holat haqida foydalanuvchiga xabar (SMS, messenjer yoki boshqa axborot tizimlar orqali) berishi, takroriy tasdiq (pin kodi yoki boshqa tarzda maʼlumot) olishi, agar maʼlum vaqt oraligʻida ushbu tasdiq olinmasa, ushbu toʻlov operatsiyasi bekor qilinishi lozim.

14. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar foydalanuvchi tomonidan oʻzining hisobvaraqlariga tegishli toʻlov operatsiyalarini toʻxtatish (blokirovka qilish) imkoniyatini yaratishi lozim.

15. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar axborotning maxfiyligi va yaxlitligini, shu jumladan, toʻlov xizmatlaridan foydalanuvchining shaxsiga doir maʼlumotlarni muhofaza qilishda hamda yetarli xavfsizlikni taʼminlash maqsadida quyidagi choralarni koʻrishlari lozim:

toʻlov tizimida ishlov beriladigan konfidensial va shaxsga doir maʼlumotlarning yaxlitligi va daxlsizligini muhofaza qilish hamda ulardan foydalanish tartibini ishlab chiqish;

ichki hujjatlar bilan tartibga solinadigan himoyalanadigan maʼlumotlar bilan ishlashda xavfsizlik va maxfiyligini taʼminlash qoidalari va talablarini ishlab chiqish;

konfidensial va shaxsga doir maʼlumotlar bilan ishlovchi xodimlar sonini imkon darajasida kamaytirish, xodimlar bilan konfidensial va shaxsga doir maʼlumotlar oshkor etilishining oldini olish boʻyicha majburiyatnomalar (shartnoma) tuzish va ushbu maʼlumotlardan foydalanish huquqlarini xodimlarning lavozim majburiyatlaridan kelib chiqib belgilash;

maʼlumotlar yaxlitligi va xavfsizligini taʼminlash maqsadida elektron raqamli imzo kalitlaridan foydalanish hamda shifrlangan maʼlumotlarni saqlash tartibini belgilash;

konfidensial va shaxsga doir maʼlumotlar mavjud boʻlgan resurslarga kirishda identifikatsiya, autentifikatsiya va avtorizatsiya qilinishini taʼminlash;

konfidensial va shaxsga doir maʼlumotlar bilan ishlash huquqlarining ruxsatsiz berilishini oldini olish;

axborot tizimlari foydalanuvchilarining muhofazalangan maʼlumotlariga kirish, ishlov berish, ularni saqlash hamda taqdim etish jarayonidagi amalga oshirilgan harakatlarni elektron bayonnomalarda qayd etib borish;

tashqi saqlovchi qurilmalar va texnik vositalarning binodan tashqariga olib chiqilishi hamda ularning oʻgʻirlanishining oldini olish;

maʼlumotlarni uzatish, saqlash, oʻchirib tashlash, ularga ishlov berish hamda ularning ruxsatsiz chetga chiqib ketishining oldini olish choralari taʼminlanganligini nazoratga olish.

16. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar axborot tizimlarida axborot muhofazasini taʼminlash uchun axborot xavfsizligi xizmati (axborot xavfsizligiga masʼul xodim) vazifalariga quyidagilarni kiritishlari lozim:

axborot tizimlarining axborot xavfsizligi mazkur Nizom talablariga muvofiqligini tekshirish;

axborot xavfsizligiga oid choralar taʼminlanganligini baholash, axborot xavfsizligi darajasini oshirish, shuningdek, avariyalar va xodimlarning yoʻl qoʻygan xatolari natijasida kelib chiqadigan yoʻqotishlarni kamaytirish va ularning sodir etilishining oldini olish;

axborot infratuzilmasining yaxlitligi va xavfsizligini nazorat qilish;

serverlardagi dasturiy taʼminotlarni muhofaza qilish;

barcha texnologik jarayonlarda xodimlar harakatlari, shuningdek, axborot tizimlaridagi amalga oshirilgan toʻlov xizmatlari foydalanuvchilarining harakatlari boʻyicha elektron bayonnomalar roʻyxatini yuritish;

avtomatlashtirilgan tizimlarda kiberxavfsizlikni va noqonuniy harakatlar bilan mablagʻlarni oʻzlashtirishning oldini olish choralarini koʻrish;

maʼlumotlar uchinchi shaxslarga oshkor etilishining oldini olish choralarini koʻrish;

Mazkur Nizom, shuningdek, axborot muhofazasi talablariga hamda toʻlov tizimining axborot xavfsizligi boʻyicha ichki qoida va tartiblariga muvofiqligini har chorakda oʻrganish va oʻrganish natijalarini dalolatnoma bilan rasmiylashtirish.

17. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar axborot tizimlarida ishlash jarayonida, shu jumladan, ishlab chiqish, sinovdan oʻtkazish jarayonida xodimlarning vakolatlarini chegaralash uchun quyidagi choralarni koʻrishlari lozim:

axborot tizimlarida ishlash huquqlarini belgilovchi tartib va qoidalarni ishlab chiqish va ularni lavozim yoʻriqnomalarida aks ettirish hamda tegishli hujjatga (ariza, talabnoma yoki boshqa shaklga) asosan tizimdan foydalanish tartibini taʼminlash;

axborot tizimlarida ishlash huquqi berilgan masʼul xodimlar roʻyxatini shakllantirish;

axborot tizimlarida ishlash huquqlarini belgilash va taqsimlash bilan bogʻliq harakatlarni roʻyxatga olish;

axborot tizimlarida ishlash huquqlari mantiqan, ish vazifasidan kelib chiqib toʻgʻri belgilanganligini davriy (yiliga kamida ikki marotaba) tekshirib turish;

axborot tizimlarining ishlashi va sinovdan oʻtkazilishi davrida axborot xavfsizligini taʼminlash hamda berilgan axborot tizimlarida ishlash huquqlari toʻgʻriligini nazorat qilish;

axborot tizimi foydalanuvchilari ularga axborot tizimi tomonidan berilgan huquqlarni oʻzgartirish imkoniyatiga ega boʻlmasligi hamda begona shaxslar tomonidan ishlash huquqlari berilmasligining oldini olish.

18. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar oʻzlarining axborot tizimlariga oʻzgartirishlar kiritish uchun boshqa tashkilotlarni jalb qilganda quyidagilarni amalga oshirishlari zarur:

konfidensial va shaxsga doir maʼlumotlarni oshkor etmaslik boʻyicha shartnoma tuzish;

axborot tizimlaridagi toʻlovlarga oid va boshqa muhofaza qilinadigan maʼlumotlar bilan ishlashni belgilangan tartibda ruxsat berish asosida amalga oshirish;

tegishli litsenziya va (yoki) boshqa ruxsatnomaga ega boʻlgan (agar ushbu faoliyat litsenziya yoki tegishli ruxsatnoma asosida amalga oshirilsa) tashkilotlarni jalb qilish;

axborot tizimlarini loyihalashtirish bosqichida maʼlumotlarning maxfiyligini taʼminlash choralarini ishlab chiqish;

koʻriladigan axborot muhofazasi boʻyicha choralar (amalga oshiriladigan ishlar, oʻrnatiladigan dasturlar, qurilmalar va boshqalar), aniq koʻrsatilgan texnik topshiriq, qabul qilish (test sinovlarini amalga oshirish rejasi) va boshqa tegishli hujjatlarni rasmiylashtirish;

dasturiy taʼminot hamda uni ishlab chiqqan va unga oʻzgartirish kiritgan (kiritadigan) tashkilotlar roʻyxatini tuzish;

axborot tizimlarini ishlab chiqish va joriy etishning taxminiy muddatlarini va shartlarini belgilab olish;

jalb qilingan tashkilot xodimlari tomonidan axborot tizimlariga kiritiladigan oʻzgartirishlarning asosliligini, mavjud texnik topshiriqlarga mosligini, axborot tizimiga yod boʻlgan dasturlar (tizim funksiyalari) boʻlmasligini, test sinovlari natijalarining ijobiyligini axborot xavfsizligi xizmati (axborot xavfsizligiga masʼul xodim) hamda axborotlashtirish boʻyicha masʼul xodim tomonidan nazoratga olish.

Avtomatlashtirilgan tizimlarga oʻzgartirish kiritgan tashkilot oʻz vazifasini amalga oshirganidan soʻng, unga maʼlum boʻlgan barcha konfidensial maʼlumotlar (identifikator, parollar va boshqalar) axborot xavfsizligi xizmati (axborot xavfsizligiga masʼul xodim) tomonidan oʻzgartirilishi lozim.

19. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar axborot va Internet jahon axborot tarmogʻini, shuningdek, serverlar va aloqa kanallarini ehtimoli mavjud boʻlgan hujumlardan himoya qilish uchun yetarli choralarni koʻrishi lozim. Ushbu choralar quyidagilarni oʻz ichiga olishi kerak:

kompyuter tarmoqlarini segmentlash va tarmoqlararo ekrandan foydalanish;

axborot tarmoqlari, shu jumladan, Internet jahon axborot tarmogʻi orqali qabul qilinayotgan va uzatilayotgan maʼlumotlarga ruxsatsiz kirishning oldini olish boʻyicha texnik (kriptografik va boshqa) va/yoki tashkiliy choralar koʻrish hamda tarmoq maʼlumotlarini filtrlashni taʼminlash (tarmoqlararo ekranlarni qoʻllash);

axborot tarmoqlari va veb-saytlar orqali toʻlovlarni amalga oshirishda identifikatsiya, koʻp omilli autentifikatsiya va avtorizatsiya qilish (koʻp omilli autentifikatsiya qilish mobil va aloqasiz toʻlovlarni amalga oshirish chogʻida qoʻllanilmaydi);

axborot tarmoqlari va Internet jahon axborot tarmogʻi, shuningdek, serverlar va aloqa kanallaridan foydalanuvchilarni identifikatsiya qilish;

Internet jahon axborot tarmogʻi resurslaridan xodimlarning foydalanishini proksi-server orqali amalga oshirish, ish faoliyati uchun zarur boʻlmagan veb-saytlarga kirishni chegaralash va kirilgan veb-saytlarni qayd etib borish;

axborot tizimlarini asosiy va zaxira aloqa kanallari bilan taʼminlash;

serverlar tarmogʻini muhofazalash (demilitarizatsiya qilingan zonalarini (DMZ) tashkil etish);

serverlarda ish faoliyati uchun zarur boʻlmagan portlarni berkitish va xizmatlarni toʻxtatish;

axborot tizimiga kirish obyektlari va resurslarining hisobini yuritish;

mobil toʻlovlarni amalga oshirish chogʻida foydalanuvchilarni koʻp faktorli autentifikatsiya qilish (SMS, QR-kod, NFC, barmoq izlari, koʻzning rangdor pardasi asosida aniqlash yoki shu kabi tasdiqlovchi usullarni qoʻllash mumkin);

mobil qurilmalar yordamida masofadan kirishda toʻlov maʼlumotlari hamda axborot tizimlarining (maʼlumotlar bazasining) axborot xavfsizligini taʼminlash;

masofaviy xizmat koʻrsatish va boshqa axborot tizimlarida mijozni autentifikatsiya qilish maqsadida qoʻllaniladigan (bir martalik yoki koʻp martalik) parollarni ishlatish tartibini belgilash, tasdiqlash kodlarini qoʻllash, kodning faol boʻlish vaqti va boshqalarni yoritish;

firibgarlik harakatlarining oldini olish;

avtomatlashtirilgan tizimga kirishda qoʻllanilgan qurilma toʻgʻrisida identifikatsiya maʼlumotlarini (IP-adres, MAC-adres va boshqa identifikatorlar) qayd etish;

tajovuzlarni aniqlash va ularning oldini olish tizimlarini qoʻllash.

20. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar chet el tashkilotlarining axborot muhofazasi uskunalarini qoʻllashlari mumkin.

21. Toʻlov tizimlari operatorlari toʻlovlar bilan bogʻliq axborot almashinuvi uchun qoʻllaniladigan texnik va tashkiliy choralarni, ish tartiblarini belgilashi hamda ushbu tartiblar ijrosi toʻlov xizmatlarini yetkazib beruvchilar tomonidan taʼminlanishi lozim.

22. Axborot muhofazasini kuchaytirish maqsadida tarmoq protokolida (TCP/IP) tarmoq tranzit paketlarining IP manzillarini oʻzgartirish imkonini beruvchi tarmoq adreslarini oʻzgartirish protokoli (NAT) qoʻllanilishi mumkin. Bunda tarmoq orqali barcha ulanishlarning elektron jurnallari asl IP manzillar koʻrsatilgan holda yuritilishi va belgilangan tartibda elektron arxivga olinishi lozim.

23. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar ichki hujjatlarida quyidagilarni belgilashlari lozim:

axborot tarmoqlarini xavfsiz va ishonchli aloqa kanallari bilan taʼminlash tartibi;

toʻlov tizimiga kirish va undan chiqish jarayoni tartibi;

foydalanuvchini toʻlov tizimiga ulashda axborot xavfsizligini taʼminlash tartibi;

protsessing va kliring jarayonlarida axborot xavfsizligi tartibi va talablari (agar ushbu xizmat amalga oshirilsa);

xatarlarni boshqarish choralari va usullari;

avtomatlashtirilgan tizimda, axborot dasturlarida foydalanuvchilarning yagona identifikatorini hosil qilish tartibi;

qayd etiladigan harakatlar roʻyxati;

maʼlumotlarni roʻyxatga olish va saqlash tartibi.

24. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar toʻlovlar boʻyicha maxfiy maʼlumotlardan va oʻta muhim mantiqiy hamda jismoniy resurslardan (axborot tarmoqlari, axborot tizimlari, maʼlumotlar bazalaridan, axborotni himoya qilish modullaridan) foydalanish monitoringini amalga oshiradi. Bunda monitoring qilishda quyidagilar belgilanadi:

axborot infratuzilmasining axborotga ishlov berish, ularni saqlash va tarmoqda uzatish uchun qoʻllaniladigan dastur va qurilmalar hisobini yuritish;

axborot xavfsizligi noxush hodisalarini tahlil qilish, axborot xavfsizligi holatini monitoring qilish hamda ogohlantirish imkonini beruvchi (Security information and event management (SIEM) yoki boshqalar) tizimlarni joriy qilish;

axborot xavfsizligi holatini monitoring qilishni amalga oshiruvchi tizim maʼlumotlarini tahlil qilib borish va aniqlangan holatlarni (axborot tarmogʻiga ruxsatsiz kirish va kirishga urinish, tizimdagi toʻxtalishlar, axborot resurslarining yetishmovchiligi, tarmoqdagi uzilishlar, axborot xavfsizligini taʼminlashdagi cheklanishlar va boshqa noxush hodisalar) bartaraf etish va (yoki) ularning oldini olish boʻyicha choralar koʻrish;

maxfiy maʼlumotlardan va oʻta muhim mantiqiy hamda jismoniy resurslardan (axborot tarmoqlari, axborot tizimlari, maʼlumotlar bazalaridan, axborotni himoya qilish modullaridan) ruxsatsiz foydalanishning oldini olish boʻyicha choralar koʻrish;

foydalanuvchi operatsiyani amalga oshirgan sana (kun, oy, yil) va vaqt (soat, daqiqa, soniya), uning amalga oshirgan operatsiyasi foydalanuvchiga avtomatlashtirilgan tizimlarda hamda axborot dasturlarida berilgan identifikatsiya raqami, tizimlarga kirishda mavjud boʻlgan identifikatsiya maʼlumotlari (texnik imkoniyatlardan kelib chiqib, IP-adres, MAC-adres, SIM-karta raqami, IMEI-kod, telefon raqami va/yoki qurilmaning boshqa identifikatori), avtomatlashtirilgan tizimlar tomonidan foydalanuvchiga huquq berilishi bilan bogʻliq harakatlarni qayd etish;

axborot dasturlari, avtomatlashtirilgan tizimlar ishlatilishi bilan bogʻliq foydalanuvchilarning harakatini (operatsiya) qayd etish zarur.

25. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar toʻlovlarni va pul mablagʻlarini oʻtkazishni amalga oshirish chogʻida axborotning himoya qilinishini taʼminlashga doir talablarning buzilishi bilan bogʻliq boʻlgan noxush hodisalarni aniqlash maqsadida axborotni himoya qilishning tashkiliy choralarini koʻrishda hamda texnik vositalarini qoʻllashda quyidagi ishlarni tashkil etishi lozim:

qoʻllanilishi zarur boʻlgan axborot muhofazasi boʻyicha tashkiliy choralarni aniqlash;

mavjud texnik qurilmalarni ishlatish, sozlash hamda ulardagi maʼlumotlarni qayd etish boʻyicha masʼul xodimlarni tayinlash;

axborot xavfsizligi talablarining buzilishi bilan bogʻliq noxush hodisalarni aniqlash choralarini koʻrish hamda ushbu holatlar xodimlar tomonidan aniqlanganda ularning axborot xavfsizligi xizmatini (axborot xavfsizligiga masʼul xodim) xabardor qilishi;

axborot xavfsizligi talablarining buzilishi bilan bogʻliq noxush hodisalar yuzaga kelganda ularni bartaraf etish, yuzaga kelish sabablarini aniqlash, tahlil qilish hamda aniqlangan noxush hodisalar yuzaga kelmasligi boʻyicha tegishli choralar koʻrish;

aniqlangan noxush hodisalarni roʻyxatga olib borish (reyestrini yuritishi) hamda ushbu holatlar boʻyicha maʼlumotlarni rasmiy veb-saytga joylashtirish (yoki boshqa yoʻllar bilan eʼlon qilish) orqali mijozlarni ogohlantirish;

aniqlangan noxush hodisalar toʻgʻrisidagi maʼlumotlarni saqlash tartibini belgilash;

axborot muhofazasini taʼminlashning boshqa choralarini koʻrish.

Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar axborot xavfsizligi talablarining buzilishi bilan bogʻliq noxush hodisalar toʻgʻrisida Markaziy bankka zudlik bilan yozma yoki elektron shaklda xabar berishi lozim.

26. Toʻlov tizimlari operatorlari axborot xavfsizligi talablarining buzilishi bilan bogʻliq noxush hodisalarning oldini olish maqsadida quyidagi talablarni belgilashi kerak:

toʻlov tizimining boshqa ishtirokchilariga toʻlovlarni amalga oshirish uchun zarur texnik va dasturiy vositalarga axborot xavfsizligi boʻyicha qoʻyiladigan talablarni;

toʻlov tizimi va toʻlovlar bilan bogʻliq noxush hodisalar toʻgʻrisida maʼlumot berish shakli va tartibiga boʻlgan talablarni;

toʻlov tizimida axborot xavfsizligiga oid tavakkalchiliklarni boshqarish tartibi va ularni baholash mezonlarini;

toʻlovga oid maʼlumotlarga ishlov berish vositalarining xavfsiz ishlashini taʼminlash tartibini;

toʻlov tizimida noxush hodisalar yuzaga kelganda oʻzaro harakatlanish tartibini.

27. Toʻlov xizmatlarini yetkazib beruvchilar axborot xavfsizligi talablarining buzilishi bilan bogʻliq noxush hodisalarning oldini olish maqsadida quyidagi talablarni belgilashi kerak:

toʻlovni amalga oshirish qurilmalarini mijozga yetkazib berish bilan bogʻliq tavakkalchiliklarning oldini olish choralarini koʻrish;

toʻlov uskunalarining yoʻqolishi, oʻgʻirlanishi, begona shaxslar tomonidan egalik qilinishi kabi holatlar aniqlanganda toʻlov tizimlari operatorlariga xabar berishi lozim.

28. Toʻlov tizimi operatorlari tomonidan toʻlov xizmatlarini yetkazib beruvchilarga toʻlov tizimida axborot xavfsizligi talablarining buzilishi bilan bogʻliq aniqlangan noxush hodisalar toʻgʻrisida maʼlumot berilishi hamda ushbu holatni tahlil qilish va bartaraf etish boʻyicha uslubiy qoʻllanma taqdim qilinishi lozim.

29. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar axborotning himoyasini taʼminlash talablarining buzilishi bilan bogʻliq boʻlgan aniqlangan noxush hodisalarga nisbatan quyidagi taʼsir choralarini koʻrishlari lozim:

yuzaga kelishi mumkin boʻlgan noxush hodisalarga nisbatan taʼsir choralarini koʻrsatish yuzasidan zarur harakatlarni oldindan koʻra bilish hamda amalga oshiriladigan harakatlar roʻyxatini belgilash;

sodir boʻlgan noxush hodisalarga nisbatan qisqa muddatlarda taʼsir choralarini koʻrish;

noxush hodisalar yuz berganida ishning uzluksizligini taʼminlash, shuningdek, noqonuniy toʻlovlarni va hisobvaraqlardagi qoldiq mablagʻlarining ruxsatsiz oʻzgartirilishining oldini olish, axborotni qayta tiklash hamda boshqa salbiy holatlarni bartaraf etish;

xodimlar tomonidan mavjud axborot tizimlarida ishlashda belgilangan axborot xavfsizligi talablariga rioya qilinishini taʼminlash;

yuzaga kelgan noxush hodisalarning kelib chiqish omillarini aniqlash maqsadida tarmoq qurilmalari hamda axborot tizimlari elektron bayonnomalarini rasmiylashtirish, yigʻish, tahlil qilish va ularga asosan tegishli koʻrsatmalarni ishlab chiqish lozim.

30. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar axborotning himoya qilinishini taʼminlashga doir talablarning buzilishi bilan bogʻliq boʻlgan aniqlangan noxush hodisalar sabablarini tahlil qilish hamda ularga taʼsir koʻrsatish natijalarini baholashi lozim. Bunda aniqlangan noxush hodisalar sabablarini tahlil qilish hamda ularga taʼsir koʻrsatish natijalarini baholash tizimi quyidagilarni oʻz ichiga olishi lozim:

aniqlangan noxush hodisalarga nisbatan taʼsir choralari koʻrilgandan keyin ushbu noxush hodisalarning kelib chiqish sabablarini axborot xavfsizligi xizmati (axborot xavfsizligiga masʼul xodim) tomonidan tegishli boʻlinmalar bilan birgalikda tahlil qilish tartibi;

axborot tizimlarining tegishli elektron bayonnomalarini oʻrganish hamda aniqlangan noxush hodisaning yuzaga kelishiga sababchi boʻlgan xodimlardan tushuntirishlar olish;

noxush hodisalarning kelib chiqish sabablariga oydinlik kiritib, bunday holatlar yuzaga kelmasligi yoki yuzaga kelganda uning zarar keltirish imkoniyatlarini kamaytirish choralarini ishlab chiqish (shu jumladan, tegishli mutaxassislarni jalb qilgan holda);

noxush hodisalarning salbiy taʼsir koʻrsatish darajasiga qarab tasniflash va baholash mezoniga asosan ularni baholash.

Aniqlangan axborot xavfsizligi talablarining buzilishi bilan bogʻliq noxush hodisalar, ularga nisbatan koʻrilgan taʼsir choralari, ularni baholash natijalari va boshqa qoʻshimcha maʼlumotlar chop etilishi hamda alohida yigʻmajildda saqlanishi zarur.

31. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar bankomat, infokiosk va toʻlov terminallarining axborot muhofazasini taʼminlashi lozim. Bunda axborot muhofazasini taʼminlashda quyidagi choralar qoʻllaniladi:

bankomat, infokiosk va toʻlov terminallarining hisobini yuritish hamda ularning axborot dasturiga ruxsatsiz kirishining oldini olish;

bankomat, infokiosk va toʻlov terminallariga texnik xizmat koʻrsatuvchi shaxslar faoliyatini nazorat qilish hamda ular tomonidan amalga oshirilgan oʻzgartirishlar boʻyicha elektron bayonnoma yuritish;

videokuzatuv tizimlari yordamida bankomatlar bilan ishlash jarayonlarini nazoratga olish (bankomatga kiritiladigan toʻlov kartalari pin kod raqamlari videokuzatuv tizimlari orqali qayd etilishi imkoniyati boʻlmagan holda);

bosh bank hamda uning infratuzilmalari (filial, mini-bank va boshqalar) va boshqa qoʻriqlanadigan obyektlaridan tashqarida joylashtirilgan bankomatlarning videokuzatuv maʼlumotlari bosh bank yoki uning filialidagi texnik qurilmalarga toʻgʻridan-toʻgʻri (onlayn) yozib borilishini taʼminlash;

bankomat tarmoq kabellarini muhofazalash;

bankomatning boshqa bankomatlar bilan bir xil boʻlgan qulflarini almashtirish;

bankomatlarni aloqa kanallaridan yoki jismonan bogʻlangan holda ehtimoliy hujumlardan (shu jumladan, skimmingdan) himoya qilish;

autentifikatsiya qilish tartibini belgilash;

toʻlovlarni amalga oshiruvchi qurilmalarning hisobini yuritish;

bankomatlardagi naqd pul mablagʻlarining jismoniy muhofazasini taʼminlash;

tarmoq orqali axborot almashinuvida axborot muhofazasini tashkil etish;

xalqaro toʻlov tizimlari bilan ishlaydigan axborot tizimlarida xalqaro standartlar (PCI DSS, PTS, PA DSS) talablariga muvofiq axborot muhofazasi vositalari va tizimlarini joriy qilish.

32. Toʻlov tizimlari operatorlari oʻzlarining tizimlaridagi bankomatlar va infokiosklardagi axborot xavfsizligini banklar bilan birgalikda taʼminlaydi hamda ularning uzluksiz va toʻgʻri ishlashini nazorat qiladi. Agar axborot xavfsizligi boʻyicha maʼlum bir (yoki barcha) masʼuliyat toʻlov xizmatlarini yetkazib beruvchiga yuklatilgan boʻlsa, mazkur holat tegishli shartnomalarda qayd etilishi va masʼuliyat yuklatilgan tashkilotga zaruriy sharoitlar yaratib (bankomatlarning axborot tizimidagi ishlash huquqlari) berilishi zarur.

33. Muhim toʻlov tizimlari operatorlari mazkur Nizomda belgilangan xavfsizlik choralariga qoʻshimcha ravishda quyidagi axborot xavfsizligi choralarini taʼminlashi zarur:

toʻlov tizimining uzluksiz ishlashi ishonchliligini taʼminlash;

axborot xavfsizligi xizmatini tashkil etish va uning majburiyatlarini belgilash;

Oʻz DSt 2875:2014 “Datamarkazlarga qoʻyiladigan talablar. Infratuzilma va axborot xavfsizligini taʼminlash” standartining datamarkaz telekommunikatsiya vositalari infratuzilmasi tayyorligi va xavfsizligining uchinchi darajadan past boʻlmasligini taʼminlash;

xalqaro bank kartalaridan foydalanilganda PCI DSS xavfsizligi standarti, Payment Services Directive (PSD2) toʻlov xizmatlarini koʻrsatish direktivasi talablariga muvofiqlashtirish;

axborot tizimlari toʻgʻri tashkil etilganligi yuzasidan nufuzli xalqaro auditor tashkilotlarni jalb qilish orqali AKT-infratuzilmasini (axborot xavfsizligi holatini) auditdan oʻtkazishni taʼminlash;

Oʻzbekiston Respublikasining “Toʻlovlar va toʻlov tizimlari toʻgʻrisida”gi Qonunida va boshqa qonunchilik hujjatlarida muhim toʻlov tizimlari operatorlariga belgilangan talablarni bajarish.

34. Muhim toʻlov tizimlari operatorlari maʼlumotlarga ishlov beruvchi asosiy axborot tizimlarini tashkil etishi va ular joylashgan joydan 50 kilometrdan yaqin boʻlmagan joyda zaxira axborot tizimlarini tashkil etishi lozim. Bunda asosiy va zaxira axborot tizimlari Oʻzbekiston Respublikasi hududida tashkil etiladi.

Muhim toʻlov tizimlari operatorlarining axborot tizimlaridagi maʼlumotlar (elektron bayonnomalar va boshqa toʻlovlar bilan bogʻliq maʼlumotlar) elektron arxivlarda kamida ikki nusxada (xususan, asosiy va zaxira axborot tizimlarining har birida bitta nusxadan saqlanishi mumkin).

35. Toʻlov tizimlarining uzluksiz ishlashi va barqarorligini taʼminlash maqsadida quyidagi choralar koʻrilishi lozim:

toʻlov tizimi bilan bogʻliq tarmoq va boshqa qurilmalar nosoz holatga kelganda uni ish jarayoniga keltirish va uzluksiz ishlashini taʼminlash;

operatsion tizim, dasturiy taʼminotlar, axborot tizimlarining dasturlari, maʼlumotlari (maʼlumotlar bazasi, sozlamalari, elektron bayonnomalar) nusxalari zaxiraga (backup) olinishini va elektron arxivda saqlash hamda ularni qayta tiklash tartibini (mexanizmini) ishlab chiqish, ularning hisobini yuritish va nazoratini olib borish;

zaxira texnik qurilma va uskunalarga ega boʻlish;

maʼlumotlarning zaxiraga olingan (backup) nusxalarini texnik nosozliklarda va favqulodda vaziyatlarda qayta tiklash rejasini ishlab chiqish va davriy (bir yilda bir marotaba) axborot tizimini qayta tiklab tekshirish;

dasturlarga oʻzgarish kiritishni sinov (test) uchun moʻljallangan serverlarda tekshirish;

tizimdagi qurilma va uskunalarning ishlashini nazorat qilish;

toʻlov tizimining uzluksizligiga salbiy taʼsir etishi mumkin boʻlgan holatlarning oldini olish va axborot muhofazasini taʼminlash;

dizel elektr stansiyasi va/yoki boshqa elektr taʼminoti uzluksizligini taʼminlash vositalaridan (UPS va boshqalar) foydalanish;

ishlov berilgan maʼlumotlarni saqlash va ularning elektron arxivda yuritilishini taʼminlash;

mijozlarning harakatiga tegishli boʻlgan maʼlumotlarni kamida besh yil saqlanishini taʼminlash;

axborot uzatish zaxira tarmoqlariga ega boʻlish.

36. Muhim toʻlov tizimlari operatorlari boʻlmagan toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar maʼlumotlarga ishlov beruvchi asosiy axborot tizimlarini tashkil etishi va ular joylashgan joydan 5 kilometrdan yaqin boʻlmagan joyda zaxira axborot tizimlarini tashkil etishi lozim. Bunda asosiy va zaxira axborot tizimlari Oʻzbekiston Respublikasi hududida tashkil etiladi.

Axborot tizimlaridagi maʼlumotlar (elektron bayonnomalar va boshqa toʻlovlar bilan bogʻliq maʼlumotlar) elektron arxivlarda kamida ikki nusxada (xususan, asosiy va zaxira axborot tizimlarining har birida bitta nusxadan saqlanishi mumkin).

37. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar faoliyati tugatilganda, ulardagi mavjud elektron arxivning axborot resurslari davlat arxivlariga topshiriladi.

Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar faoliyati tugatilib, boshqa tashkilotga qoʻshib yuborilganida, elektron arxiv maʼlumotlari qoʻshib yuborilayotgan tashkilotning elektron arxiviga topshiriladi.

38. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilarning toʻlovlar bilan bogʻliq maʼlumotlarni saqlash va ularga ishlov berish xonalari bilan taʼminlangan boʻlishi kerak. Ushbu xonalar quyidagi talablarga javob berishi lozim:

ruxsatsiz jismoniy kirishdan muhofazalangan boʻlishi;

xona birinchi qavatda joylashgan hollarda uning derazalari temir panjara bilan jihozlangan boʻlishi;

qoʻriqlash va yongʻindan ogoh etuvchi ikkita himoya toʻsigʻi xabargohlari bilan jihozlanishi;

tungi vaqtda qoʻriqlash va ogohlantirish qurilmalari bilan jihozlanishi;

videokuzatuv orqali nazoratga olinishi.

Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar toʻlovlar bilan bogʻliq maʼlumotlarni saqlash va ularga ishlov berish xonalarini mazkur bandda belgilangan talablardan tashqari boshqa xavfsizlik choralarini koʻrishi mumkin.

39. Mazkur Nizomda belgilangan barcha videokuzatuv maʼlumotlarining saqlanish muddati bir oydan kam boʻlmasligi zarur.

40. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilarning binolari himoya qilinishida ular zaruriy uskunalar, tashkiliy-texnik vositalar bilan jihozlanishi va tegishli dasturiy taʼminotlardan foydalanilishi lozim.

41. Toʻlov tizimlari operatorlari oʻzlarining toʻlov tizimlarida axborot xavfsizligi choralarini koʻrishda nazorat va monitoring ishlarini amalga oshirishlari lozim.

42. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar avtomatlashtirilgan tizimlarni, ilovalarni hamda axborot infratuzilmasi obyektlarini axborot xavfsizligi zaifliklariga tahlil qilishi, har yili kamida bir marta ruxsatsiz kirishga tekshirishi va hujjatlarda qayd etilmagan imkoniyatlar mavjud emasligini nazorat qilishi lozim.

43. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar har yili, kelgusi yilning birinchi aprelidan kechiktirmay, Markaziy bankka xavfsizlikning taʼminlanish holati toʻgʻrisida hisobot taqdim etishi shart.

44. Mazkur Nizom talablarining buzilishida aybdor boʻlgan shaxslar qonunchilik hujjatlarida belgilangan tartibda javobgar boʻladi.