Oʻzbekiston Respublikasining “Oʻzbekiston Respublikasining Markaziy banki toʻgʻrisida”gi va “Kiberxavfsizlik toʻgʻrisida”gi qonunlari, Oʻzbekiston Respublikasi Prezidentining 2023-yil 30-noyabrdagi PQ-381-son “Raqamli mahsulotlar (xizmatlar) isteʼmolchilari huquqlarini himoya qilish va raqamli texnologiyalar vositasida sodir etiladigan huquqbuzarliklarga qarshi kurashishni kuchaytirish choralari toʻgʻrisida”gi qaroriga muvofiq Oʻzbekiston Respublikasi Markaziy banki boshqaruvi qaror qiladi:

1. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilarning toʻlov tizimlarida axborot xavfsizligi va kiberxavfsizlikni taʼminlash hamda raqamli texnologiyalar vositasida sodir etiladigan huquqbuzarliklarni oldini olish choralarini koʻrish toʻgʻrisidagi nizom ilovaga muvofiq tasdiqlansin.

2. Oʻzbekiston Respublikasi Markaziy banki boshqaruvining 2020-yil 11-iyundagi 13/10-son “Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilarining toʻlov tizimlarida axborot xavfsizligini taʼminlash toʻgʻrisidagi nizomni tasdiqlash haqida”gi qarori (roʻyxat raqami 3268, 2020-yil 30-iyun) (Qonun hujjatlari maʼlumotlari milliy bazasi, 30.06.2020-y., 10/20/3268/1112-son) oʻz kuchini yoʻqotgan deb topilsin.

3. Mazkur qaror Oʻzbekiston Respublikasi Davlat xavfsizlik xizmati, Raqamli texnologiyalar vazirligi, Ichki ishlar vazirligi, Istiqbolli loyihalar milliy agentligi hamda Elektron texnologiyalarini rivojlantirish markazi bilan kelishilgan.

4. Mazkur qaror rasmiy eʼlon qilingan kundan eʼtiboran uch oydan keyin kuchga kiradi.

Mazkur Nizom toʻlov tizimi operatorlari va toʻlov xizmatlarini yetkazib beruvchilarning toʻlov tizimlarida axborot xavfsizligi va kiberxavfsizlikni taʼminlash hamda raqamli texnologiyalar vositasida sodir etiladigan huquqbuzarliklarni oldini olishga doir talablarni belgilaydi.

1. Mazkur Nizomda quyidagi asosiy tushunchalardan foydalaniladi:

avtorizatsiya — maʼlum shaxsga yoki shaxslar guruhiga muayyan harakatlarni amalga oshirish huquqini berish;

autentifikatsiya — foydalanuvchi, dastur, qurilma yoki maʼlumotlarning haqiqiyligini tasdiqlash tartib-taomili;

identifikatsiya — toʻlov tizimlari subyektlariga identifikator tayinlash va/yoki belgilangan identifikatorlar roʻyxati bilan identifikatorlarni taqqoslash;

kriptografik kalit — elektron raqamli imzoni hisoblash yoki tekshirish, shuningdek shifrlash va dastlabki matnga oʻgirish uchun qoʻllaniladigan simvollar ketma-ketligi;

masofaviy xizmat koʻrsatish tizimi — elektron xizmatlardan foydalanish uchun toʻlov xizmatlaridan foydalanuvchi va ushbu xizmatlarni yetkazib beruvchi oʻrtasidagi aloqani taʼminlaydigan telekommunikatsiya vositalari, raqamli va axborot texnologiyalari, dasturiy taʼminot va uskunalar majmui;

muhim toʻlov tizimlari operatorlari — toʻlov tizimining ishidagi toʻxtalishlar (uzilishlar) Oʻzbekiston Respublikasi toʻlov xizmatlari bozorida tavakkalchiliklarning paydo boʻlishiga olib kelishi mumkin boʻlgan hamda Oʻzbekiston Respublikasi Markaziy banki (bundan buyon matnda Markaziy bank deb yuritiladi) tomonidan muhim toʻlov tizimi jumlasiga kiritilgan toʻlov tizimining operatori hisoblangan yuridik shaxs;

toʻlov — pul majburiyatini naqd pul mablagʻlari bilan bajarish yoxud pul mablagʻlarini toʻlov vositalaridan foydalangan holda oʻtkazish;

toʻlov agenti — bank yoki toʻlov tashkiloti bilan toʻlov xizmatlari koʻrsatish uchun agentlik shartnomasini tuzgan, bank hisoblanmaydigan yuridik shaxs;

toʻlov subagenti — toʻlov agenti bilan toʻlov xizmatlarini koʻrsatish boʻyicha subagentlik shartnomasini tuzgan, bank hisoblanmaydigan yuridik shaxs yoki yakka tartibdagi tadbirkor;

toʻlov tashkiloti — bank hisoblanmaydigan, toʻlov xizmatlarini koʻrsatish boʻyicha faoliyatni amalga oshirishga vakolatli boʻlgan yuridik shaxs;

toʻlov tizimlari operatorlari — Oʻzbekiston Respublikasi hududida toʻlov tizimining ishlashini taʼminlash boʻyicha faoliyatni amalga oshiruvchi yuridik shaxs;

toʻlov tizimining ishtirokchilari — toʻlov tizimi operatori bilan hisob-kitoblarni amalga oshiruvchi va toʻlov tizimlarida ishtirok etish toʻgʻrisida shartnoma tuzgan banklar;

toʻlov xizmatlarini yetkazib beruvchilar — Oʻzbekiston Respublikasi Markaziy banki, banklar, toʻlov tashkilotlari, toʻlov agentlari, toʻlov subagentlari;

kliring — toʻlov tizimi ishtirokchilarining pulga doir oʻzaro talablari va majburiyatlarini yigʻish, taqqoslash hamda hisobga oʻtkazish jarayoni;

elektron pullar — elektron pullar emitentining elektron shaklda saqlanadigan hamda elektron pullar tizimida toʻlov vositasi sifatida qabul qilinadigan shartsiz va chaqirib olinmaydigan pul majburiyatlari;

axborotlashtirish obyekti — turli darajadagi va maqsadlardagi axborot tizimlari, telekommunikatsiya tarmoqlari, axborotga ishlov berishning texnik vositalari, ushbu vositalar oʻrnatilgan va ishlatiladigan xonalar, shuningdek muzokaralar, shu jumladan maxfiy muzokaralar olib borish uchun moʻljallangan alohida xonalar;

antifrod tizimi — bank kartalari va hisobvaraqlari, mobil ilovalar akkauntlari hamda elektron hamyonlar yordamida toʻlovlarni amalga oshirishda sodir etiladigan firibgarlikni oldini olishga qaratilgan jarayonlar yigʻindisi;

frod — axborot texnologiyalarini qoʻllagan holda sodir etiladigan firibgarlik harakatlari;

axborot xavfsizligi — axborot munosabatlarining subyektlariga nomaqbul ziyonlarni keltirishi mumkin boʻlgan tabiiy yoki sunʼiy xususiyatli tasodifiy yoki qasddan qilingan taʼsirlardan axborot va taʼminlab turadigan infratuzilmaning muhofaza qilinganligi;

kiberxavfsizlik — kibermakonda shaxs, jamiyat va davlat manfaatlarining tashqi va ichki tahdidlardan himoyalanganlik holati;

xavfsizlik rejimi — normativ-huquqiy hujjatlar va texnik jihatdan tartibga solish sohasidagi normativ hujjatlar bilan belgilangan, maʼmuriy-huquqiy, tashkiliy, injener-texnik va boshqa chora-tadbirlarni oʻz ichiga oladigan, tashkilotning konfidensial maʼlumotlaridan noqonuniy foydalanishning oldini olishni taʼminlovchi tartib.

2. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar oʻzlarining axborot tizimlari xususiyatlaridan kelib chiqib, axborot xavfsizligi siyosatini ishlab chiqadi.

3. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar toʻlovlar toʻgʻrisidagi axborotni shakllantirish, uzatish, saqlash va unga ishlov berishning barcha bosqichlarida toʻlovlar toʻgʻrisidagi axborotni uzluksiz himoya qilish uchun quyidagi choralarni koʻrishlari lozim:

identifikatsiya, autentifikatsiya va avtorizatsiya qilish tizimini joriy etish;

tizimga ruxsatsiz kirishning oldini olish usullarini (login, parol, biometrik identifikatsiya, ikki faktorli autentifikatsiya (2FA) va boshqa) qoʻllash;

toʻlov hujjati va identifikatsiya maʼlumotlarini qalbakilashtirish, ularni ruxsatsiz oʻzgartirish hamda uchinchi shaxslarga taqdim etishdan himoyalash;

toʻlov axborotlari shakllantirilishini, toʻlov hujjatining haqqoniyligi tekshirilishini va ularga ishlov berilishini hamda asosli oʻzgartirishlar kiritilishini taʼminlash va nazorat qilish;

toʻlov hujjatlarini uzatishda ushbu hujjatning asl egasiga yetkazilishini hamda boshqa shaxslarga joʻnatilishining oldi olinishini taʼminlash;

amalga oshirilgan toʻlovga oid maʼlumotlarni saqlashda ularni ruxsatsiz koʻchirish, oʻzgartirish, oʻchirish hamda uchinchi shaxslarga joʻnatilishining oldini olish choralarini koʻrish;

tashqi saqlovchiga koʻchirilgan toʻlovga oid maʼlumotlarning seyfda (temir shkafda) saqlanishini taʼminlash hamda maʼlumotlarni saqlash uchun masʼul xodim (xodimlar) tayinlash;

axborot tizimlaridagi dasturiy taʼminotlarning nazoratini va hisobini yuritish hamda axborot tizimlaridagi dasturiy taʼminot talqinlarining, apparat-dasturiy qurilmalarining va dasturiy vositalarining uzluksiz ishlashini taʼminlash;

axborot tizimlarining aktual holatda (oxirgi versiya) boʻlishini taʼminlash, bunda dasturiy taʼminotning yangi talqinini tekshiruvdan oʻtkazgandan soʻng axborot tizimiga joriy etish;

toʻlov axborotlariga ishlov berish, ularni uzatish hamda saqlash jarayonlarini elektron bayonnomalarda avtomatik tarzda shakllantirib borish hamda ularning saqlanishini taʼminlash;

axborot xavfsizligi va kiberxavfsizlikni taʼminlash xizmati hamda bank va toʻlov tizimlarida shubhali frod operatsiyalarga qarshi choralar koʻrish xizmatlarini tashkil etish, shuningdek axborot xavfsizligi va kiberxavfsizlikni taʼminlash hamda bank kartalari bilan bogʻliq shubhali (frod) operatsiyalarga qarshi choralar koʻrish boʻyicha amalga oshiriladigan ishlarni nazorat qilish;

hisoblash tarmogʻining xavfsizligi va kriptografik muhofazasini taʼminlash, kompyuter viruslaridan himoyalash, axborot tizimlariga kirishni boshqarish, texnik vositalarini sozlash va boshqa choralarni qoʻllash;

axborot xavfsizligi va kiberxavfsizlikni taʼminlash hamda bank kartalari bilan bogʻliq shubhali (frod) operatsiyalarga qarshi choralar koʻrish uskunalari, qurilmalar, apparat-dasturiy va dasturiy texnik vositalari qoʻllanishini taʼminlash hamda ularni muntazam takomillashtirib borish, foydalanish tartiblarini belgilash, ularga texnik xizmat koʻrsatish, taʼmirlash va boshqa holatlarda ulardan koʻzda tutilmagan tarzda ruxsatsiz foydalanishning oldini olish;

qoʻllanilayotgan texnik vositalarga barcha telekommunikatsiya tarmoqlaridan ruxsatsiz kirish, ulardagi maʼlumotlarni oʻzgartirish, oʻchirish, koʻchirib olishdan himoyalash;

axborotlarni chiqib ketishi (yoʻqolishini) oldini olish;

axborot tizimiga ruxsatsiz kirish yoki kiberxavfsizlik hodisalari sodir etilganda, ularni tahlil qilish asosida himoya tizimlarini mustahkamlab borish choralarini koʻrish.

4. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar dasturlarga va operatsion tizimga zarar keltiruvchi zararli kodlar (kompyuter viruslari) va ularning salbiy taʼsirining oldini olish uchun quyidagi choralarni koʻrishi kerak:

hisoblash texnikasi qurilmalari (serverlar, kompyuterlar va boshqalar), bankomat, embosser va toʻlov terminallarining (texnik imkoniyatidan kelib chiqib) ish faoliyatiga zarar yetkazuvchi kodlarni (kompyuter viruslarini) aniqlash va ularning salbiy taʼsirining oldini olish choralarini koʻrish;

axborot tizimlarida faqat litsenziyalangan antivirus dasturidan foydalanish, ularning rusumlari va bazalari aktualligi hamda yangilanib borilishini taʼminlash;

antivirus dasturlarining avtomatik tarzda ishlashini taʼminlash;

internet va korporativ tarmoqlar orqali kelgan barcha axborotlarni antivirus dasturi orqali tekshirish.

5. Toʻlov tizimlarida axborotni muhofaza qilishning kriptografik usullari qoʻllanilishi va toʻlov tizimi qoidalarida quyidagilar belgilab berilishi lozim:

kriptografik muhofaza vositalarini avtomatlashtirilgan tizimlarga bogʻlash, ishga tushirish, ishlatish va foydalanishdan chiqarish tartibi;

kriptografik muhofaza vositalarining toʻxtab qolishi, ishdan chiqishi va boshqa favqulodda holatlarda ularni qayta tiklash tartibi;

kriptografik muhofaza dasturlariga va texnik hujjatlariga oʻzgartirishlar kiritish tartibi;

kriptografik kalitlarni boshqarish tartibi;

kriptografik kalitlarni tashuvchi qurilmalarni qoʻllash, saqlash, oʻzgartirish va boshqalar boʻyicha tashkiliy, texnikaviy usullarni qoʻllash tartibi.

Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar Oʻzbekiston Respublikasi Markaziy banki bilan axborot almashinuvida axborot xavfsizligi hamda kiberxavfsizlikni taʼminlashlari shart.

6. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilarning axborotlashtirish obyektlariga ruxsatsiz kirish hamda foydalanishni chegaralash maqsadida quyidagi choralar koʻrilishi kerak:

axborotlashtirish obyektlariga, shu jumladan, bankomat, toʻlov terminallari va toʻlov oʻtkazish elektron qurilmalariga jismonan taʼsir etishni hamda texnik jihozlar mavjud boʻlgan bino va xonalarga kirishni nazorat qilish;

toʻlovlarni amalga oshirishda qoʻllaniladigan avtomatlashtirilgan tizimlar, dasturlar, hisoblash texnikalari, telekommunikatsiya qurilmalari parametrlari va tuzilmalari hamda toʻlov tizimida ishlash huquqini beruvchi maʼlumotlarni (parol, biometrik va boshqa maʼlumotlar) oʻz ichiga olgan texnik vositalarning jismoniy muhofazasini (xavfsizlik rejimini) taʼminlash va ruxsatsiz taʼsir etishning oldini olish;

toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilarning xodimlari axborotlashtirish obyektlariga kirishini nazorat qilish va maʼlumotlarni ruxsatsiz tarqalishidan himoyalash tizimlarini joriy qilish;

serverlar va telekommunikatsiya qurilmalari joylashgan xonalarda ishlash jarayonlarini videokuzatuv tizimlari yordamida nazorat qilish.

7. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar quyidagi maʼlumotlarni oʻz ichiga olgan axborot tizimlarining axborot xavfsizligi va kiberxavfsizligini taʼminlashlari kerak:

bank (karta) hisobvaragʻida pul mablagʻlari qoldiqlari toʻgʻrisidagi maʼlumotlar;

elektron pullar qoldiqlari toʻgʻrisidagi maʼlumotlar;

amalga oshirilgan toʻlovlar toʻgʻrisidagi maʼlumotlar;

naqd pulsiz hisob-kitoblarni oʻz ichiga olgan maʼlumotlar;

banklararo toʻlov va kliring tizimlari toʻlov maʼlumotlari;

kriptografik muhofazani taʼminlash uchun qoʻllaniladigan kriptografik kalitlar;

toʻlovlarni amalga oshirishda qayta ishlanadigan konfidensial axborotlarni (bank siri, shaxsga doir maʼlumotlar va boshqa qonun bilan muhofaza qilinadigan maʼlumotlar);

mijozlarning bank kartalari, akkauntlari va identifikatsiyadan oʻtganligi toʻgʻrisidagi maʼlumotlar.

8. Toʻlov tizimlari operatorlari yoki toʻlov xizmatlarini yetkazib beruvchilar masofadan toʻlov xizmatlarini koʻrsatuvchi axborot tizimlarini (mobil ilova, internet banking va boshqalar) (bundan buyon matnda masofaviy axborot tizimlari deb yuritiladi) amaliyotga joriy etish hamda ularga oʻzgartirish kiritishdan avval quyidagilarni taʼminlashlari lozim:

masofaviy axborot tizimlarining toʻlovlarni oʻtkazish bilan bogʻliq barcha funksiyalarini sinov (test) tarzida toʻliq tekshiruvdan oʻtkazishni taʼminlash;

masofaviy axborot tizimlarini texnik topshiriqlar, ularni texnik topshiriqqa va kiberxavfsizlik talablariga muvofiqligi yuzasidan ekspertizadan oʻtkazish hamda ularning natijalari boʻyicha ekspertiza xulosalarini Markaziy bankka taqdim etish;

masofaviy axborot tizimlarini uyali aloqa darajasida axborot xavfsizligini taʼminlash tizimi, Markaziy bankning markazlashgan antifrod hamda zamonaviy biometrik identifikatsiya tizimlariga ulanishini taʼminlash;

dasturlarni ishlatish boʻyicha yoʻriqnomalarni ishlab chiqish va ularning aktualligini taʼminlagan holda mijozlarga taqdim etish;

aniqlangan zaifliklarni bartaraf etish uchun oʻzgarishlar kiritilishini taʼminlash;

mijozlar qoʻllayotgan dasturlarning aktualligini nazorat qilish.

Toʻlov tizimlari operatorlari yoki toʻlov xizmatlarini yetkazib beruvchilar masofaviy axborot tizimlarining yangi talqinini (versiyasini) joriy etganidan soʻng eski talqindan (versiyadan) foydalanishni cheklashi va yangi talqinga (versiyaga) oʻtishi (yangilashi) lozim.

9. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar oʻzaro toʻlov axborotlari va toʻlov axborotlariga tegishli boʻlgan maʼlumotlar almashinuvini telekommunikatsiya tarmoqlari orqali amalga oshirish uchun tomonlarning axborotlashtirish obyektlari xususiyatlaridan kelib chiqib, ularning vazifalari, javobgarliklari va mazkur Nizom talablarini oʻz ichiga olgan axborot xavfsizligi va kiberxavfsizligini taʼminlash, shuningdek bank kartalari bilan bogʻliq shubhali (frod) operatsiyalarga qarshi choralar koʻrish qoidalarini ishlab chiqishi kerak.

10. Toʻlov agenti tomonidan bank yoki toʻlov tashkiloti bilan toʻlov xizmatlarini koʻrsatish uchun tuzilgan agentlik shartnomasida axborot xavfsizligi boʻyicha tomonlarning masʼuliyatlari belgilangan boʻlishi kerak.

11. Toʻlov subagenti tomonidan toʻlov agenti bilan toʻlov xizmatlarini koʻrsatish boʻyicha tuzilgan subagentlik shartnomasida axborot xavfsizligi boʻyicha tomonlarning masʼuliyatlari belgilangan boʻlishi kerak.

12. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar axborotning konfidensialligi va yaxlitligini, shu jumladan, toʻlov xizmatlaridan foydalanuvchining shaxsiga doir maʼlumotlarni muhofaza qilishda hamda yetarli xavfsizlikni taʼminlash maqsadida quyidagi choralarni koʻrishlari lozim:

toʻlov tizimida ishlov beriladigan konfidensial va shaxsga doir maʼlumotlarning yaxlitligi va daxlsizligini muhofaza qilish hamda ulardan foydalanish tartibini ishlab chiqish;

ichki hujjatlar bilan tartibga solinadigan himoyalanadigan maʼlumotlar bilan ishlashda xavfsizlik va konfidensiallikni taʼminlash qoidalari va talablarini ishlab chiqish;

konfidensial va shaxsga doir maʼlumotlar bilan ishlovchi xodimlar sonini imkon darajasida kamaytirish, xodimlar bilan konfidensial va shaxsga doir maʼlumotlar oshkor etilishining oldini olish boʻyicha majburiyatnomalar (shartnoma) tuzish va ushbu maʼlumotlardan foydalanish huquqlarini xodimlarning lavozim majburiyatlaridan kelib chiqib belgilash;

konfidensial maʼlumotlar roʻyxatini yuritish boʻyicha komissiya tarkibini shakllantirish va tasdiqlash;

konfidensial maʼlumotlar roʻyxati va hajmini aniqlash hamda tasdiqlash;

konfidensial maʼlumotlar bilan ishlashga ruxsat berilgan xodimlar roʻyxatini shakllantirish va tasdiqlash;

axborotlashtirish obyektining texnik pasportini ishlab chiqish va tasdiqlash;

konfidensial maʼlumotlar bilan ishlash tartibini ishlab chiqish va tasdiqlash;

konfidensial maʼlumotlarni tashuvchi vositalarni roʻyxatga olish, yoʻq qilish, konfidensial axborot tashuvchilarni tashqariga olib chiqish/kirish jurnallari yuritish;

maʼlumotlar yaxlitligi va xavfsizligini taʼminlash maqsadida elektron raqamli imzo kalitlaridan foydalanish hamda shifrlangan maʼlumotlarni saqlash tartibini belgilash;

konfidensial va shaxsga doir maʼlumotlar mavjud boʻlgan resurslarga kirishda identifikatsiya, autentifikatsiya va avtorizatsiya qilinishini taʼminlash;

konfidensial va shaxsga doir maʼlumotlar bilan ishlash huquqlarining ruxsatsiz berilishini oldini olish;

axborot tizimlari foydalanuvchilarining muhofazalangan maʼlumotlariga kirish, ishlov berish, ularni saqlash hamda taqdim etish jarayonidagi amalga oshirilgan harakatlarni elektron bayonnomalarda qayd etib borish;

tashqi saqlovchi qurilmalar va texnik vositalarning binodan tashqariga olib chiqilishi hamda ularning oʻgʻirlanishining oldini olish;

maʼlumotlarni uzatish, saqlash, oʻchirib tashlash, ularga ishlov berish hamda ularning ruxsatsiz chetga chiqib ketishining oldini olish choralari taʼminlanganligini nazoratga olish.

13. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar axborot tizimlarida axborot muhofazasi uchun axborot xavfsizligi va kiberxavfsizlikni taʼminlash xizmati vazifalariga quyidagilarni kiritishlari lozim:

axborot tizimlarida axborot xavfsizligi va kiberxavfsizlikni taʼminlash boʻyicha mazkur Nizom talablarining bajarilishini nazorat qilish;

axborot xavfsizligiga oid choralar taʼminlanganligini baholash, axborot xavfsizligi va kiberxavfsizlik darajasini oshirish, shuningdek avariyalar va xodimlarning yoʻl qoʻygan xatolari natijasida kelib chiqadigan yoʻqotishlarni kamaytirish va ularning sodir etilishining oldini olish;

axborot infratuzilmasining yaxlitligi va xavfsizligini nazorat qilish;

serverlardagi dasturiy taʼminotlarni muhofaza qilish;

barcha texnologik jarayonlarda xodimlar harakatlari, shuningdek, axborot tizimlaridagi amalga oshirilgan toʻlov xizmatlaridan foydalanuvchilarining harakatlari boʻyicha elektron bayonnomalar roʻyxatini yuritish;

avtomatlashtirilgan tizimlarda kiberxavfsizlikni va noqonuniy harakatlar bilan mablagʻlarni oʻzlashtirishning oldini olish choralarini koʻrish;

maʼlumotlar uchinchi shaxslarga oshkor etilishining oldini olish choralarini koʻrish;

axborot kommunikatsiya texnologiyalari infratuzilmasida yuzaga kelgan axborot xavfsizligi va kiberxavfsizlik hodisalari, kibertahdidlar, kiberhujumlar aniqlangan vaqtda bu haqidagi maʼlumotlarni Markaziy bankka taqdim etish;

axborot kommunikatsiya texnologiyalari infratuzilmasi, axborot tizimlari va resurslarida axborot xavfsizligi va kiberxavfsizlikning taʼminlanganlik holatining mazkur Nizom talablari, ichki qoida va tartiblarga muvofiqligini bir yilda kamida ikki marotaba axborot xavfsizligi va kiberxavfsizlik tavakkalchiliklarini hisobga olgan holda oʻrganish va oʻrganish natijalarini dalolatnoma bilan rasmiylashtirish.

14. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar axborot tizimlarida ishlash jarayonida, shu jumladan, ishlab chiqish, sinovdan oʻtkazish jarayonida xodimlarning vakolatlarini chegaralash uchun quyidagi choralarni koʻrishlari lozim:

axborot tizimlarida ishlash huquqlarini belgilovchi tartib va qoidalarni ishlab chiqish va ularni lavozim yoʻriqnomalarida aks ettirish hamda tegishli hujjatga (ariza, talabnoma yoki boshqa shaklga) asosan tizimdan foydalanish tartibini taʼminlash;

axborot tizimlarida ishlash huquqi berilgan masʼul xodimlar roʻyxatini shakllantirish;

axborot tizimlarida ishlash huquqlarini belgilash va taqsimlash bilan bogʻliq harakatlarni roʻyxatga olish;

axborot tizimlarida ishlash huquqlari mantiqan, ish vazifasidan kelib chiqib toʻgʻri belgilanganligini davriy (yiliga kamida ikki marotaba) tekshirib turish;

axborot tizimlarining ishlashi va sinovdan oʻtkazilishi davrida axborot xavfsizligi va kiberxavfsizlikni taʼminlash hamda berilgan axborot tizimlarida ishlash huquqlari toʻgʻriligini nazorat qilish;

axborot tizimi foydalanuvchilari axborot tizimi tomonidan berilgan huquqlarni oʻzgartirish imkoniyatiga ega boʻlmasligi hamda bu huquqlarni begona shaxslarga berishni cheklash choralarini koʻrish.

15. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar oʻzlarining axborot tizimlariga oʻzgartirishlar kiritish uchun boshqa tashkilotlarni jalb qilganda quyidagilarni amalga oshirishlari zarur:

konfidensial va shaxsga doir maʼlumotlarni oshkor etmaslik boʻyicha bitim tuzish;

axborot tizimlaridagi toʻlovlarga oid va boshqa muhofaza qilinadigan maʼlumotlar bilan ishlashni belgilangan tartibda ruxsat berish asosida amalga oshirish;

tegishli litsenziya va (yoki) boshqa ruxsatnomaga ega boʻlgan (agar ushbu faoliyat litsenziya yoki tegishli ruxsatnoma asosida amalga oshirilsa) tashkilotlarni jalb qilish;

axborot tizimlarini loyihalashtirish bosqichida maʼlumotlarning konfidensialligini taʼminlash choralarini ishlab chiqish;

koʻriladigan axborot xavfsizligi va kiberxavfsizlikni taʼminlash boʻyicha choralar (amalga oshiriladigan ishlar, oʻrnatiladigan dasturlar, qurilmalar va boshqalar), aniq koʻrsatilgan texnik topshiriq, qabul qilish (test sinovlarini amalga oshirish rejasi) va boshqa tegishli hujjatlarni rasmiylashtirish;

dasturiy taʼminot hamda uni ishlab chiqqan va unga oʻzgartirish kiritgan (kiritadigan) tashkilotlar roʻyxatini tuzish;

axborot tizimlarini ishlab chiqish va joriy etishning taxminiy muddatlarini va shartlarini belgilab olish;

jalb qilingan tashkilot xodimlari tomonidan axborot tizimlariga kiritiladigan oʻzgartirishlarning asosliligini, mavjud texnik topshiriqlarga mosligini, axborot tizimiga yot boʻlgan dasturlar (tizim funksiyalari) boʻlmasligini, test sinovlari natijalarining ijobiyligini axborot xavfsizligi va kiberxavfsizlikni taʼminlash xizmati hamda axborotlashtirish boʻyicha masʼul xodim tomonidan nazoratga olish.

Avtomatlashtirilgan tizimlarga oʻzgartirish kiritgan tashkilot oʻz vazifasini amalga oshirganidan soʻng yoki u bilan tuzilgan shartnoma muddati tugaganida, unga maʼlum boʻlgan barcha konfidensial maʼlumotlar (identifikator, parollar va boshqalar) hamda tizimga kirish imkoniyatlari axborot xavfsizligi va kiberxavfsizlikni taʼminlash xizmati tomonidan oʻzgartirilishi lozim.

16. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar axborot va internet jahon axborot tarmogʻini, shuningdek, serverlar va aloqa kanallarini ehtimoli mavjud boʻlgan kibertahdid va kiberhujumlardan himoya qilish uchun yetarli choralarni koʻrishi lozim. Ushbu choralar quyidagilarni oʻz ichiga olishi kerak:

kompyuter tarmoqlarini segmentlash va tarmoqlararo ekrandan foydalanish;

axborot tarmoqlari, shu jumladan, internet jahon axborot tarmogʻi orqali qabul qilinayotgan va uzatilayotgan maʼlumotlarga ruxsatsiz kirishning oldini olish boʻyicha texnik (kriptografik va boshqa) va/yoki tashkiliy choralar koʻrish hamda tarmoq maʼlumotlarini filtrlashni taʼminlash (tarmoqlararo ekranlarni qoʻllash);

axborot tarmoqlari va veb-saytlar orqali toʻlovlarni amalga oshirishda identifikatsiya, koʻp omilli autentifikatsiya va avtorizatsiya qilish (koʻp omilli autentifikatsiya qilish mobil va aloqasiz toʻlovlarni amalga oshirish chogʻida qoʻllanilmaydi);

axborot tarmoqlari va Internet jahon axborot tarmogʻi, shuningdek, serverlar va aloqa kanallaridan foydalanuvchilarni identifikatsiya qilish;

internet jahon axborot tarmogʻi resurslaridan xodimlarning foydalanishini proksi-server orqali amalga oshirish, ish faoliyati uchun zarur boʻlmagan veb-saytlarga kirishni chegaralash va kirilgan veb-saytlarni qayd etib borish;

axborot tizimlarini asosiy va zaxira aloqa kanallari bilan taʼminlash;

serverlar tarmogʻini muhofazalash (demilitarizatsiya qilingan zonalarini (DMZ) tashkil etish);

serverlarda ish faoliyati uchun zarur boʻlmagan portlarni yopish va xizmatlarni toʻxtatish;

axborot tizimiga kirish obyektlari va resurslarining hisobini yuritish;

mobil toʻlovlarni amalga oshirish chogʻida foydalanuvchilarni koʻp faktorli autentifikatsiya qilish (SMS, QR-kod, NFC, barmoq izlari, koʻzning rangdor pardasi asosida aniqlash yoki shu kabi tasdiqlovchi usullarni qoʻllash mumkin);

mobil qurilmalar yordamida masofadan kirishda toʻlov maʼlumotlari hamda axborot tizimlarining (maʼlumotlar bazasining) axborot xavfsizligi va kiberxavfsizligini taʼminlash;

masofaviy xizmat koʻrsatish va boshqa axborot tizimlarida mijozni identifikatsiya va autentifikatsiya qilish maqsadida qoʻllaniladigan (bir martalik yoki koʻp martalik) parollarni ishlatish tartibini belgilash, tasdiqlash kodlarini qoʻllash, bir martalik tasdiqlash kodlarini tizimga shifrlangan holda yuborish, antifrod va biometrik identifikatsiya tizimlarini qoʻllash, kodning faol boʻlish vaqti va boshqalarni yoritish;

avtomatlashtirilgan tizimga kirishda qoʻllanilgan qurilma toʻgʻrisida identifikatsiya maʼlumotlarini (IP-adres, MAC-adres va boshqa identifikatorlar) qayd etish;

tajovuzlarni aniqlash va ularning oldini olish tizimlarini qoʻllash.

17. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar chet el tashkilotlarining axborot muhofazasi uskunalarini qoʻllashlari mumkin.

18. Toʻlov tizimlari operatorlari toʻlovlar bilan bogʻliq axborot almashinuvi uchun qoʻllaniladigan texnik va tashkiliy choralarni, ish tartiblarini belgilashi hamda ushbu tartiblar ijrosi toʻlov xizmatlarini yetkazib beruvchilar tomonidan taʼminlanishi lozim.

19. Axborot xavfsizligi va kiberxavfsizligini kuchaytirish maqsadida tarmoq protokolida (TCP/IP) tarmoq tranzit paketlarining IP manzillarini oʻzgartirish imkonini beruvchi tarmoq adreslarini oʻzgartirish protokoli (NAT) qoʻllanilishi mumkin. Bunda tarmoq orqali barcha ulanishlarning elektron jurnallari asl IP manzillar koʻrsatilgan holda yuritilishi va belgilangan tartibda elektron arxivga olinishi lozim.

20. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar ichki hujjatlarida quyidagilarni belgilashlari lozim:

axborot tarmoqlarini xavfsiz va ishonchli aloqa kanallari bilan taʼminlash tartibi;

toʻlov tizimiga kirish va undan chiqish jarayoni tartibi;

foydalanuvchini toʻlov tizimiga ulashda axborot xavfsizligi va kiberxavfsizlikni taʼminlash tartibi;

axborot xavfsizligi va kiberxavfsizlik hodisasi, kibertahdid hamda kiberhujumlar bilan bogʻliq tavakkalchiliklarni baholash va boshqarish tartibi;

protsessing va kliring jarayonlarida axborot xavfsizligi tartibi va talablari (agar ushbu xizmat amalga oshirilsa);

xatarlarni boshqarish choralari va usullari;

avtomatlashtirilgan tizimda, axborot dasturlarida foydalanuvchilarning yagona identifikatorini hosil qilish tartibi;

qayd etiladigan harakatlar roʻyxati;

maʼlumotlarni roʻyxatga olish va saqlash tartibi.

21. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar toʻlovlar boʻyicha konfidensial maʼlumotlardan va oʻta muhim mantiqiy hamda jismoniy resurslardan (axborot tarmoqlari, axborot tizimlari, maʼlumotlar bazalaridan, axborotni himoya qilish modullaridan) foydalanish monitoringini amalga oshiradi. Bunda monitoring qilishda quyidagilar belgilanadi:

axborot infratuzilmasining axborotga ishlov berish, ularni saqlash va tarmoqda uzatish uchun qoʻllaniladigan dastur va qurilmalar hisobini yuritish;

axborot xavfsizligi va kiberxavfsizlik hodisalarini tahlil qilish, axborot xavfsizligi va kiberxavfsizlik holatini monitoring qilish hamda ogohlantirish imkonini beruvchi (Security Information and Event Management (SIEM) yoki boshqalar) tizimlarni joriy qilish;

axborot xavfsizligi va kiberxavfsizligi holatini monitoring qilishni amalga oshiruvchi tizim maʼlumotlarini tahlil qilib borish va aniqlangan holatlarni (axborot tarmogʻiga ruxsatsiz kirish va kirishga urinish, tizimdagi toʻxtalishlar, axborot resurslarining yetishmovchiligi, tarmoqdagi uzilishlar, axborot xavfsizligi va kiberxavfsizligini taʼminlashdagi cheklanishlar va boshqa hodisalar) bartaraf etish va (yoki) ularning oldini olish boʻyicha choralar koʻrish;

konfidensial maʼlumotlardan va oʻta muhim mantiqiy hamda jismoniy resurslardan (axborot tarmoqlari, axborot tizimlari, maʼlumotlar bazalaridan, axborotni himoya qilish modullaridan) ruxsatsiz foydalanishning oldini olish boʻyicha choralar koʻrish;

foydalanuvchi operatsiyani amalga oshirgan sana (kun, oy, yil) va vaqt (soat, daqiqa, soniya), uning amalga oshirgan operatsiyasi foydalanuvchiga avtomatlashtirilgan tizimlarda hamda axborot dasturlarida berilgan identifikatsiya raqami, tizimlarga kirishda mavjud boʻlgan identifikatsiya maʼlumotlari (IP-adres, MAC-adres, IMEI-kod, telefon raqami va/yoki qurilmaning boshqa identifikatori), avtomatlashtirilgan tizimlar tomonidan foydalanuvchiga huquq berilishi bilan bogʻliq harakatlarni qayd etish;

axborot xavfsizligi va kiberxavfsizlik holatini tun-u kun (24/7) rejimida monitoring qilish ishlarini tashkil etish;

axborot xavfsizligi va kiberxavfsizligi holatini monitoring qilish tizimini Markaziy bank “CERT-CBU” kiberxavfsizlik markazining monitoring tizimiga bogʻlanishini taʼminlash;

axborot dasturlari, avtomatlashtirilgan tizimlar ishlatilishi bilan bogʻliq foydalanuvchilarning harakatini (operatsiya) qayd etish.

22. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar toʻlovlarni va pul mablagʻlarini oʻtkazishni amalga oshirish chogʻida axborot xavfsizligi va kiberxavfsizlikni taʼminlashga doir talablarning buzilishi bilan bogʻliq boʻlgan hodisalarni aniqlash maqsadida axborot xavfsizligi va kiberxavfsizlikni taʼminlashga doir tashkiliy choralarni koʻrishda hamda texnik vositalarni qoʻllashda quyidagi ishlarni tashkil etishi lozim:

qoʻllanilishi zarur boʻlgan axborot xavfsizligi va kiberxavfsizlik boʻyicha tashkiliy choralarni aniqlash;

mavjud texnik qurilmalarni ishlatish, sozlash hamda ulardagi maʼlumotlarni qayd etish boʻyicha masʼul xodimlarni tayinlash;

axborot xavfsizligi va kiberxavfsizlik talablarining buzilishi bilan bogʻliq hodisalarni aniqlash choralarini koʻrish hamda ushbu holatlar xodimlar tomonidan aniqlanganda ularning axborot xavfsizligi va kiberxavfsizlikni taʼminlash xizmatini xabardor qilishi;

axborot xavfsizligi va kiberxavfsizlik talablarining buzilishi bilan bogʻliq hodisalar yuzaga kelganda ularni bartaraf etish, yuzaga kelish sabablarini aniqlash, tahlil qilish hamda aniqlangan hodisalar yuzaga kelmasligi boʻyicha tegishli choralar koʻrish;

aniqlangan hodisalarni roʻyxatga olib borish (reyestrini yuritishi);

aniqlangan hodisalar toʻgʻrisidagi maʼlumotlarni saqlash tartibini belgilash;

axborot xavfsizligi va kiberxavfsizligini taʼminlashning boshqa choralarini koʻrish.

Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar axborot xavfsizligi va kiberxavfsizlik talablarining buzilishi bilan bogʻliq hodisalar toʻgʻrisida Markaziy bankka zudlik bilan yozma yoki elektron shaklda xabar berishi lozim.

23. Toʻlov tizimlari operatorlari axborot xavfsizligi va kiberxavfsizlik talablarining buzilishi bilan bogʻliq hodisalarning oldini olish maqsadida, quyidagi talablarni belgilashi kerak:

toʻlov tizimining boshqa ishtirokchilariga toʻlovlarni amalga oshirish uchun zarur texnik va dasturiy vositalarga axborot xavfsizligi va kiberxavfsizlik boʻyicha qoʻyiladigan talablarni;

toʻlov tizimi va toʻlovlar bilan bogʻliq noxush hodisalar toʻgʻrisida maʼlumot berish shakli va tartibiga boʻlgan talablarni;

toʻlov tizimida axborot xavfsizligi va kiberxavfsizligiga oid tavakkalchiliklarni boshqarish tartibi va ularni baholash mezonlarini;

toʻlovga oid maʼlumotlarga ishlov berish vositalarining xavfsiz ishlashini taʼminlash tartibini;

toʻlov tizimida noxush hodisalar yuzaga kelganda oʻzaro harakatlanish tartibini.

24. Toʻlov xizmatlarini yetkazib beruvchilar axborot xavfsizligi va kiberxavfsizlik talablarining buzilishi bilan bogʻliq hodisalarning oldini olish maqsadida quyidagi talablarni belgilashi kerak:

toʻlovni amalga oshirish qurilmalarini mijozga yetkazib berish bilan bogʻliq tavakkalchiliklarning oldini olish choralarini koʻrish;

toʻlov uskunalarining yoʻqolishi, oʻgʻirlanishi, begona shaxslar tomonidan egalik qilinishi kabi holatlar aniqlanganda toʻlov tizimlari operatorlariga xabar berishi lozim.

25. Toʻlov tizimi operatorlari tomonidan toʻlov xizmatlarini yetkazib beruvchilarga toʻlov tizimida axborot xavfsizligi va kiberxavfsizlik talablarining buzilishi bilan bogʻliq hodisalar toʻgʻrisida maʼlumot berilishi hamda ushbu holatni tahlil qilish va bartaraf etish boʻyicha uslubiy qoʻllanma taqdim qilinishi lozim.

26. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar axborot xavfsizligi va kiberxavfsizlikni taʼminlash boʻyicha talablarning buzilishi bilan bogʻliq boʻlgan hodisalarga nisbatan quyidagi taʼsir choralarini koʻrishlari lozim:

yuzaga kelishi mumkin boʻlgan hodisalarga nisbatan taʼsir choralarini koʻrish yuzasidan zarur harakatlarni oldindan koʻra bilish hamda amalga oshiriladigan harakatlar roʻyxatini belgilash;

sodir boʻlgan hodisalarga nisbatan qisqa muddatlarda taʼsir choralarini koʻrish;

ishning uzluksizligini taʼminlash, shuningdek, noqonuniy toʻlovlar va hisobvaraqlardagi qoldiq mablagʻlarini ruxsatsiz oʻzgartirilishini oldini olish, axborotni qayta tiklash hamda boshqa salbiy holatlarni bartaraf etish;

xodimlar tomonidan mavjud axborot tizimlarida ishlashda belgilangan axborot xavfsizligi va kiberxavfsizlik talablariga rioya qilinishini taʼminlash;

yuzaga kelgan hodisalarning kelib chiqish omillarini aniqlash maqsadida tarmoq qurilmalari va axborot tizimlarining elektron bayonnomalarini rasmiylashtirish, yigʻish, tahlil qilish hamda ularga asosan tegishli koʻrsatmalarni ishlab chiqish.

27. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar axborot xavfsizligi va kiberxavfsizlikni taʼminlashga doir talablarning buzilishi bilan bogʻliq aniqlangan hodisalar sabablarini tahlil qilishi hamda ularga taʼsir koʻrsatish natijalarini baholashi lozim. Bunda aniqlangan hodisalar sabablarini tahlil qilish hamda ularga taʼsir koʻrsatish natijalarini baholash tizimi quyidagilarni oʻz ichiga olishi lozim:

aniqlangan hodisalarga nisbatan taʼsir choralari koʻrilgandan keyin ushbu hodisalarning kelib chiqish sabablarini axborot xavfsizligi va kiberxavfsizlikni taʼminlash xizmati tomonidan tegishli boʻlinmalar bilan birgalikda tahlil qilish tartibi;

axborot tizimlarining tegishli elektron bayonnomalarini oʻrganish hamda aniqlangan hodisaning yuzaga kelishiga sababchi boʻlgan xodimlardan tushuntirishlar olish;

hodisalarning kelib chiqish sabablariga oydinlik kiritib, bunday holatlar yuzaga kelmasligi yoki yuzaga kelganda uning zarar keltirish imkoniyatlarini kamaytirish choralarini koʻrish (shu jumladan, tegishli mutaxassislarni jalb qilgan holda);

hodisalarning salbiy taʼsir koʻrsatish darajasiga qarab tasniflash va baholash mezoniga asosan ularni baholash.

Axborot xavfsizligi va kiberxavfsizlikni taʼminlashga doir talablarning buzilishi bilan bogʻliq aniqlangan hodisalarga nisbatan koʻrilgan taʼsir choralari, ularni baholash natijalari va boshqa qoʻshimcha maʼlumotlar chop etilishi hamda alohida yigʻmajildda saqlanishi zarur.

28. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar bankomat, infokiosk va toʻlov terminallarining axborot xavfsizligi va kiberxavfsizligini taʼminlashi lozim. Bunda axborot xavfsizligi va kiberxavfsizlikni taʼminlashda quyidagi choralar qoʻllaniladi:

bankomat, infokiosk va toʻlov terminallarining hisobini yuritish hamda ularning axborot dasturiga ruxsatsiz kirishining oldini olish;

bankomat, infokiosk va toʻlov terminallariga texnik xizmat koʻrsatuvchi shaxslar faoliyatini nazorat qilish hamda ular tomonidan amalga oshirilgan oʻzgartirishlar boʻyicha elektron bayonnoma yuritish;

videokuzatuv tizimlari yordamida bankomatlar bilan ishlash jarayonlarini nazoratga olish (bankomatga kiritiladigan bank kartalarining pin kod raqamlari videokuzatuv tizimlari orqali qayd etish imkoniyatiga ega boʻlmasligi lozim);

bosh bank hamda uning infratuzilmalari (filial, mini-bank va boshqalar) va boshqa qoʻriqlanadigan obyektlaridan tashqarida joylashtirilgan bankomatlarning videokuzatuv maʼlumotlari bosh bank yoki uning filialidagi texnik qurilmalarga toʻgʻridan toʻgʻri (onlayn) yozib borilishini taʼminlash;

bankomat tarmoq kabellarini muhofazalash;

bankomatning boshqa bankomatlar bilan bir xil boʻlgan qulflarini almashtirish;

bankomatlarni aloqa kanallaridan yoki jismonan bogʻlangan holda ehtimoliy hujumlardan (shu jumladan, skimmingdan) himoya qilish;

bankomatlarning operatsion tizimi hamda BIOS tizimiga kirish huquqlarini murakkab parollar bilan himoyalash;

autentifikatsiya qilish tartibini belgilash;

toʻlovlarni amalga oshiruvchi qurilmalarning hisobini yuritish;

bankomatlardagi naqd pul mablagʻlarining jismoniy muhofazasini taʼminlash;

tarmoq orqali axborot almashinuvida axborot xavfsizligi va kiberxavfsizlikni taʼminlash;

xalqaro toʻlov tizimlari bilan ishlaydigan axborot tizimlarida xalqaro standartlar (PCI DSS, PTS, PA DSS) talablariga muvofiq axborot muhofazasi vositalari va tizimlarini joriy qilish.

29. Toʻlov tizimlari operatorlari oʻz tizimlaridagi bankomat va infokiosklarda axborot xavfsizligi va kiberxavfsizlikni banklar bilan birgalikda taʼminlaydi hamda ularning uzluksiz va toʻgʻri ishlashini nazorat qiladi. Agar axborot xavfsizligi va kiberxavfsizlik boʻyicha maʼlum bir (yoki barcha) masʼuliyat toʻlov xizmatlarini yetkazib beruvchiga yuklatilgan boʻlsa, mazkur holat tegishli shartnomalarda qayd etilishi va masʼuliyat yuklatilgan tashkilotga zaruriy sharoitlar yaratib (bankomatlarning axborot tizimidagi ishlash huquqlari) berilishi zarur.

30. Muhim toʻlov tizimlari operatorlari mazkur Nizomda belgilangan xavfsizlik choralariga qoʻshimcha ravishda quyidagi axborot xavfsizligi va kiberxavfsizlik choralarini taʼminlashi zarur:

toʻlov tizimining uzluksiz ishlashi ishonchliligini taʼminlash;

axborot xavfsizligi va kiberxavfsizlikni taʼminlash xizmatini tashkil etish va uning majburiyatlarini belgilash;

Oʻz DSt 2875:2014 “Datamarkazlarga qoʻyiladigan talablar. Infratuzilma va axborot xavfsizligini taʼminlash” standartining datamarkaz telekommunikatsiya vositalari infratuzilmasi tayyorligi va xavfsizligining uchinchi darajadan past boʻlmasligini taʼminlash;

xalqaro bank kartalaridan foydalanilganda PCI DSS xavfsizligi standarti, Payment Services Directive (PSD2) toʻlov xizmatlarini koʻrsatish direktivasi talablariga muvofiqlashtirish;

axborot tizimlari toʻgʻri tashkil etilganligi yuzasidan nufuzli xalqaro auditor tashkilotlarni jalb qilish orqali AKT-infratuzilmasini (axborot xavfsizligi holatini) auditdan oʻtkazishni taʼminlash;

Oʻzbekiston Respublikasining “Toʻlovlar va toʻlov tizimlari toʻgʻrisida”gi Qonuni va boshqa qonunchilik hujjatlarida muhim toʻlov tizimlari operatorlariga belgilangan talablarni bajarish.

31. Muhim toʻlov tizimlari operatorlari maʼlumotlarga ishlov beruvchi asosiy axborot tizimlarini tashkil etishi va joylashgan joyidan 50 kilometrdan yaqin boʻlmagan hududda zaxira axborot tizimlarini tashkil etishi lozim. Bunda asosiy va zaxira axborot tizimlari Oʻzbekiston Respublikasi hududida tashkil etiladi.

Muhim toʻlov tizimlari operatorlarining axborot tizimlaridagi maʼlumotlarni (elektron bayonnomalar va boshqa toʻlovlar bilan bogʻliq maʼlumotlar) elektron arxivlarda kamida ikki nusxada (xususan, asosiy va zaxira axborot tizimlarining har birida bitta nusxadan) saqlashi lozim.

32. Toʻlov tizimlarining uzluksiz ishlashi va barqarorligini taʼminlash maqsadida quyidagi choralar koʻrilishi lozim:

toʻlov tizimi bilan bogʻliq tarmoq va boshqa qurilmalar nosoz holatga kelganda uni ish jarayoniga keltirish va uzluksiz ishlashini taʼminlash;

operatsion tizim, dasturiy taʼminotlar, axborot tizimlarining dasturlari, maʼlumotlar (maʼlumotlar bazasi, sozlamalari, elektron bayonnomalar) nusxalarini zaxiraga (bakup) olinishi va elektron arxivda saqlash hamda ularni qayta tiklash tartibini (mexanizmini) ishlab chiqish, ularning hisobini yuritish va nazoratini olib borish;

zaxira texnik qurilma va uskunalarga ega boʻlish;

maʼlumotlarning zaxiraga olingan (backup) nusxalarini texnik nosozliklarda va favqulodda vaziyatlarda qayta tiklash rejasini ishlab chiqish va davriy (bir yilda bir marotaba) axborot tizimini qayta tiklab tekshirish;

dasturlarga oʻzgarish kiritishni sinov (test) uchun moʻljallangan serverlarda tekshirish;

tizimdagi qurilma va uskunalarning ishlashini nazorat qilish;

toʻlov tizimining uzluksizligiga salbiy taʼsir etishi mumkin boʻlgan holatlarni oldini olish va axborot muhofazasini taʼminlash;

dizel elektr stansiyasi va/yoki boshqa elektr taʼminoti uzluksizligini taʼminlash vositalaridan (UPS va boshqalar) foydalanish;

ishlov berilgan maʼlumotlarni saqlash va ularning elektron arxivda yuritilishini taʼminlash;

mijozlarning harakatiga tegishli boʻlgan maʼlumotlarni kamida besh yil saqlanishini taʼminlash;

elektron arxiv yuritishda axborot xavfsizligi va kiberxavfsizlikni taʼminlashga doir talablarga rioya etilishi boʻyicha ishchi guruh tuzgan holda bir yilda kamida ikki marotaba tekshirish va natijalari toʻgʻrisida Markaziy bankka maʼlumot berish;

axborot uzatish zaxira tarmoqlariga ega boʻlish.

33. Muhim toʻlov tizimlari operatorlari boʻlmagan toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar maʼlumotlarga ishlov beruvchi asosiy axborot tizimlarini tashkil etishi va ular joylashgan joyidan 5 kilometrdan yaqin boʻlmagan hududda zaxira axborot tizimlarini tashkil etishi lozim. Bunda asosiy va zaxira axborot tizimlari Oʻzbekiston Respublikasi hududida tashkil etiladi.

Axborot tizimlaridagi maʼlumotlar (elektron bayonnomalar va boshqa toʻlovlar bilan bogʻliq maʼlumotlar) elektron arxivlarda kamida ikki nusxada (xususan, asosiy va zaxira axborot tizimlarining har birida bitta nusxadan saqlanishi mumkin).

34. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilarning faoliyati tugatilganda, ulardagi mavjud elektron arxivning axborot resurslari davlat arxivlariga topshiriladi.

Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar faoliyati tugatilib, boshqa tashkilotga qoʻshib yuborilganda, elektron arxiv maʼlumotlari qoʻshib yuborilayotgan tashkilotning elektron arxivga topshiriladi.

35. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilarning toʻlovlar bilan bogʻliq maʼlumotlarni saqlash va ularga ishlov berish xonalari bilan taʼminlangan boʻlishi kerak. Ushbu xonalar quyidagi talablarga javob berishi lozim:

ruxsatsiz jismoniy kirishdan muhofazalangan boʻlishi;

xona birinchi qavatda joylashgan hollarda uning derazalari temir panjara bilan jihozlangan boʻlishi;

qoʻriqlash va yongʻindan ogoh etuvchi ikkita himoya toʻsigʻi xabargohlari bilan jihozlanishi;

tungi vaqtda qoʻriqlash va ogohlantirish qurilmalari bilan jihozlanishi;

videokuzatuv orqali nazoratga olinishi.

Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar toʻlovlar bilan bogʻliq maʼlumotlarni saqlash va ularga ishlov berish xonalarini mazkur bandda belgilangan talablardan tashqari boshqa xavfsizlik choralarini koʻrishi mumkin.

36. Mazkur Nizomda belgilangan barcha videokuzatuv maʼlumotlarining saqlanish muddati bir oydan kam boʻlmasligi zarur.

37. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilarning binolari himoya qilinishida ular zaruriy uskunalar, tashkiliy-texnik vositalar bilan jihozlanishi va tegishli dasturiy taʼminotlardan foydalanilishi lozim.

38. Toʻlov tizimlari operatorlari oʻzlarining toʻlov tizimlarida axborot xavfsizligi va kiberxavfsizlik choralarini koʻrishda nazorat va monitoring ishlarini amalga oshirishlari lozim.

39. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar avtomatlashtirilgan tizimlar, ilovalar hamda axborot infratuzilma obyektlarini axborot xavfsizligi va kiberxavfsizlik zaifliklariga tahlil qilishi, har yili kamida ikki marta ruxsatsiz kirishga tekshirishi va hujjatlarda qayd etilmagan imkoniyatlar mavjud emasligini nazorat qilishi lozim.

40. Toʻlov tizimlari operatorlari va toʻlov xizmatlarini yetkazib beruvchilar har yili, kelgusi yilning birinchi aprelidan kechiktirmay, Markaziy bankka axborot xavfsizligi va kiberxavfsizlikning taʼminlanganlik holati toʻgʻrisida hisobot taqdim etishi shart.

41. Toʻlov tizimlari operatorlari, toʻlov tizimining ishtirokchilari va toʻlov tashkilotlari bank va toʻlov tizimlarida shubhali (frod) operatsiyalarga qarshi choralar koʻrish xizmati vazifalariga quyidagilarni kiritishlari lozim:

masofadan turib bank kartalari va hisobvaraqlari, mobil ilovalardagi akkauntlar hamda elektron hamyonlar bilan bogʻliq operatsiyalarni amalga oshiruvchi axborot tizimlarini (mobil ilova, internet banking va boshqalar) Markaziy bankning markazlashgan antifrod hamda biometrik identifikatsiya tizimlariga ulash;

pul mablagʻlarini oʻtkazish bilan bogʻliq shubhali (frod) operatsiyalari roʻyxatini yuritib borish;

bank kartalari va hisobvaraqlari, mobil ilovalardagi akkauntlar hamda elektron hamyonlar bilan bogʻliq shubhali (frod) operatsiyalarida ishtirok etgan bank kartalari toʻgʻrisidagi maʼlumotlarni yigʻib borish;

bank kartalari va hisobvaraqlari, mobil ilovalardagi akkauntlar hamda elektron hamyonlar bilan bogʻliq shubhali (frod) operatsiyalarini amalga oshirilishini antifrod tizimlari yordamida oldini olish;

bank kartalari bilan bogʻliq shubhali (frod) operatsiyalar sodir etilgan taqdirda, Markaziy bankning majburiy koʻrsatmasiga asosan bank kartalari va hisobvaraqlari, mobil ilovalardagi akkauntlar hamda elektron hamyonlardan foydalanishni uch kungacha muddatga vaqtincha cheklashni (bloklashni) amalga oshirish;

bank kartalari va hisobvaraqlari, mobil ilovalardagi akkauntlar hamda elektron hamyonlar bilan bogʻliq shubhali (frod) operatsiyalarga qarshi choralarni koʻrish xizmati (shubhali (frod) operatsiyalarga qarshi choralar koʻrishga masʼul xodimlari) faoliyatini tun-u kun (24/7) rejimida ishlashini tashkil etish;

masofadan turib bank kartalari va hisobvaraqlari, mobil ilovalar akkauntlari hamda elektron hamyonlar bilan bogʻliq operatsiyalarni amalga oshiruvchi axborot tizimlarini (mobil ilova, internet banking va boshqalar) antifrod hamda biometrik identifikatsiya tizimlari bilan bogʻliq holda uzluksiz ishlashini nazorat qilish.

42. Toʻlov tizimi operatorlari, toʻlov tizimining ishtirokchilari va toʻlov tashkilotlari tavakkalchiliklarni boshqarish toʻgʻrisidagi hujjatlarida jismoniy va yuridik shaxslarning roziligisiz amalga oshirilgan pul oʻtkazmalarining tavsifi, miqdori va harakatlarini tahlil etish orqali bank kartalaridan jismoniy va yuridik shaxslarning roziligisiz amalga oshirilgan pul oʻtkazmalarining mezonlariga mos keladigan operatsiyalarni aniqlash jarayonlarini belgilaydi.

43. Toʻlov tizimi operatorlari bank kartalari orqali jismoniy va yuridik shaxslarning roziligisiz pul oʻtkazmalarini oldini olish maqsadida tranzaksion antifrod tizimlarini joriy etishi hamda Markaziy bankning markazlashgan antifrod tizimiga integratsiya qilinishini taʼminlashi lozim.

44. Toʻlov tizimining ishtirokchilari va toʻlov tashkilotlari oʻzlarida session antifrod tizimlarini joriy etishi hamda Markaziy bankning markazlashgan antifrod tizimiga integratsiya qilinishini taʼminlashi lozim.

45. Toʻlov tizimi ishtirokchilari va toʻlov tashkilotlarida bank kartalari orqali jismoniy va yuridik shaxslarning roziligisiz amalga oshirilgan pul oʻtkazmalarining mezonlariga mos keladigan operatsiyalar aniqlanganda, ushbu operatsiya boʻyicha taqdim etilgan farmoyishning bajarilishini antifrod tizimlari doirasida amalga oshiradi.

46. Toʻlov tizimi operatorlari, toʻlov tizimining ishtirokchilari va toʻlov tashkilotlari jismoniy va yuridik shaxslarning roziligisiz amalga oshiriladigan toʻlovlarni oldini olish maqsadida quyidagilarni bajarishi lozim:

jismoniy va yuridik shaxslarning roziligisiz amalga oshirilgan pul oʻtkazmalarining tavsifi, miqdori va harakatlarini tahlil etishi, tavakkalchiliklarni baholashi va boshqarishi hamda ularning mezonlariga mos keladigan operatsiyalarni aniqlash jarayonlarini belgilashi;

jismoniy va yuridik shaxslar oʻrtasida tuzilgan shartnomalarda (ommaviy ofertalarda) antifrod tizimi doirasida bank kartalari bilan bogʻliq shubhali (frod) operatsiyalarga qarshi choralar koʻrish masalalarini yoritishi;

bank kartalari bilan bogʻliq shubhali (frod) operatsiyalar boʻyicha kelib tushadigan murojaatlarni yigʻishi va tahlil qilishi;

toʻlov xizmati foydalanuvchisining pul mablagʻlarini oʻtkazish vaqtida, ushbu toʻlov shubhali (frod) operatsiyalar roʻyxatida boʻlsa, bunday holat haqida foydalanuvchiga xabar (SMS, messenjer yoki boshqa axborot tizimlar orqali) berishi, takroriy tasdiq (PIN kod, yashirin soʻzni kiritish yoki boshqa tarzda maʼlumot) olishi, agar maʼlum vaqt oraligʻida ushbu tasdiq olinmasa, ushbu toʻlov operatsiyasini bekor qilishi;

foydalanuvchi tomonidan oʻzining hisob-varaqlariga tegishli toʻlov operatsiyalarini toʻxtatish (blokirovka qilish) imkoniyatini yaratishi;

bank kartalari bilan bogʻliq shubhali (frod) operatsiyalarda ishtirok etgan bank kartalari va hisobvaraqlari, mobil ilovalari akkauntlari hamda elektron hamyonlar toʻgʻrisida oʻzlarining axborot tizimlarida mavjud boʻlgan maʼlumotlarni Markaziy bankning soʻroviga asosan oʻz vaqtida taqdim etishi;

axborot tizimlari va resurslarida aniqlangan, jismoniy va yuridik shaxslarning roziligisiz amalga oshirilgan pul oʻtkazmalarini oʻtkazish yoki oʻtkazishga urinish holatlari toʻgʻrisidagi maʼlumotlarni Markaziy bankka taqdim etib borishi.

47. Toʻlov tizimi operatorlari, toʻlov tizimining ishtirokchilari hamda toʻlov tashkilotlari tomonidan jismoniy va yuridik shaxslarning roziligisiz toʻlovlar sodir etilgan holatlarda ishtirok etgan bank kartalari va hisobvaraqlari, mobil ilovalari akkauntlari hamda elektron hamyonlardan foydalanishni vaqtincha cheklangan (bloklangan) muddat mobaynida qonun hujjatlarida ularni cheklash (bloklash) uchun boshqa asoslar boʻlmaganda, ulardan foydalanishga qoʻyilgan vaqtinchalik cheklov (bloklash) olib tashlanadi.

48. Jismoniy va yuridik shaxslarning roziligisiz amalga oshirilgan pul oʻtkazmalarining mezonlari Markaziy bank boshqaruvining qaroriga asosan belgilanadi.

49. Toʻlov tizimi operatorlari, toʻlov tizimining ishtirokchilari hamda toʻlov tashkilotlari EPOS-terminallaridan foydalanishda axborot xavfsizligi va kiberxavfsizlikni taʼminlash boʻyicha quyidagilarni amalga oshirishi lozim:

toʻlov agentlari va subagentlarining reyestrini yuritishi, shuningdek, toʻlov agentlari yoki subagentlarini roʻyxatdan oʻtkazish, oʻzgartirish va oʻchirishda 1 ish kuni ichida Markaziy bankka oʻzgartirilgan reyestrni taqdim etishi;

jismoniy shaxslar oʻrtasida pul mablagʻlarini oʻtkazishni (P2P) amalga oshirish uchun alohida EPOS-terminalidan foydalanishi, shuningdek ushbu EPOS-terminallaridan boshqa maqsadlarda foydalanishini taʼqiqlashi;

EPOS-terminallaridan shartnomada koʻrsatilgan maqsadlarda foydalanishni nazorat qilishi;

EPOS-terminallaridan, shuningdek foydalanuvchi parollari va kirish huquqlaridan foydalanishda axborot xavfsizligi va kiberxavfsizlikni taʼminlash tartibini ishlab chiqishi.

50. Toʻlov tizimi operatorlari va toʻlov tizimining ishtirokchilari Markaziy bankning majburiy koʻrsatmasiga koʻra, shubhali (frod) operatsiyalari amalga oshirilishini cheklash yoki toʻxtatish maqsadida EPOS-terminallardan foydalanishni toʻxtatish yoki ushbu terminallarni oʻchirish choralarini koʻrishi lozim.

51. Mazkur Nizom talablarining buzilishida aybdor boʻlgan shaxslar qonunchilik hujjatlarida belgilangan tartibda javobgar boʻladi.