Про затвердження Положення про застосування електронного підпису в банківській системі України

Відповідно до статей 7, 15, 56 Закону України "Про Національний банк України", з метою визначення порядку застосування електронного підпису, у тому числі електронного цифрового підпису, у банківській системі України Правління Національного банку України ПОСТАНОВЛЯЄ:

1. Затвердити Положення про застосування електронного підпису та електронної печатки, що додається.

2. Департаменту безпеки (Скомаровський О.А.) після офіційного опублікування довести зміст цієї постанови до відома банків України для використання в роботі.

3. Контроль за виконанням цієї постанови покласти на першого заступника Голови Національного банку України Смолія Я.В.

4. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.

1. Це Положення розроблено відповідно до Законів України "Про Національний банк України", "Про електронні довірчі послуги", "Про електронні документи та електронний документообіг" і визначає організаційно-методологічні умови застосування електронного підпису (далі - ЕП) та електронної печатки під час створення, оброблення та зберігання електронних документів банками України, філіями іноземних банків, платіжними організаціями платіжних систем, учасниками платіжних систем, операторами послуг платіжної інфраструктури (далі - установа), клієнтами установ, контрагентами та комерційними агентами банків.

2. Керівник установи несе відповідальність за організацію застосування ЕП та електронних печаток в установі, якщо інше не встановлено законодавством України.

3. У цьому Положенні терміни вживаються в такому значенні:

1) електронний підпис Національного банку України (далі - ЕП Національного банку) - удосконалений електронний підпис або удосконалена електронна печатка, що використовується в платіжних системах Національного банку України та інформаційних задачах Національного банку України згідно з нормативно-правовими актами Національного банку України;

1-1) клієнт установи - клієнт банку або користувач платіжної системи;

2) контрагент банку - будь-яка юридична чи фізична особа, яка має з банком відносини фінансового характеру. Контрагент може одночасно мати з банком відносини іншого характеру, зокрема трудові;

3) перевірка цілісності - процедура, яка дає змогу виявлення будь-яких змін в електронному документі та змін ЕП після підписання електронного документа;

4) простий електронний підпис (далі - простий ЕП) - будь-який вид ЕП, крім кваліфікованого ЕП, удосконаленого ЕП, ЕП Національного банку;

5) суб'єкти електронної взаємодії - Національний банк України, установи, клієнти установ, контрагенти та комерційні агенти банків.

Інші терміни в цьому Положенні використовуються в значеннях, наведених у Законах України "Про банки і банківську діяльність", "Про електронні довірчі послуги", "Про електронні документи та електронний документообіг", "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення", "Про платіжні системи та переказ коштів в Україні".

4. Дія цього Положення поширюється на суб’єктів електронної взаємодії.

5. ЕП є обов’язковим реквізитом електронного документа.

6. Норми цього Положення щодо використання ЕП ніяким чином не можуть тлумачитись як такі, що будь-яким чином обмежують права суб’єктів електронної взаємодії вчиняти правочини в усній формі чи у вигляді паперових документів (змінювати, доповнювати або припиняти дію електронних документів паперовими документами чи в іншій не забороненій законодавством України формі і навпаки).

7. Створення та зберігання електронних документів здійснюється із забезпеченням можливості перевірки їх цілісності та справжності.

8. Підписувач, який створює електронний документ з ЕП, цим самим засвідчує, що ознайомився з усім текстом документа, повністю зрозумів його зміст, не має заперечень до тексту документа (або його заперечення внесені як окремий реквізит документа) і свідомо застосовував свій ЕП у контексті, передбаченому документом (підписав, затвердив, погодив, завізував, засвідчив, ознайомився).

9. ЕП створюються у послідовності, визначеній застосованою технологією оброблення інформації, якщо електронний документ підписується двома або більше посадовими особами суб’єкта електронної взаємодії чи представниками двох або більше суб’єктів електронної взаємодії. Технологія оброблення інформації розробляється з урахуванням законодавства України.

Створення електронного документа завершується створенням останнього ЕП відповідно до технології створення такого електронного документа.

10. Установи зобов’язані розробити з урахуванням вимог законодавства України внутрішні документи, у яких має передбачатися порядок:

1) створення і засвідчення електронної копії з паперового документа;

2) створення і засвідчення копії на папері з електронного документа;

3) виявлення будь-яких змін в електронному документі;

4) виявлення будь-яких змін ЕП після підписання електронного документа;

5) роботи з удосконаленою електронною печаткою та кваліфікованою електронною печаткою установи.

Ці внутрішні документи можуть оформлятися у вигляді окремих документів, одного документа або бути частиною/частинами іншого/інших документа/документів.

Уповноважена відповідно до статутних документів установи особа затверджує зазначені документи і установа зобов'язана забезпечити до них безперешкодний доступ клієнтів установ та потенційних клієнтів установ.

11. ЕП має юридичну силу незалежно від технологій, що застосовуються для створення ЕП, якщо відповідає таким умовам:

1) електронні дані, що використовуються для створення ЕП, є унікальними та однозначно пов’язані із підписувачем і не пов’язані з жодною іншою особою;

2) ЕП дає змогу однозначно ідентифікувати підписувача;

3) технологія застосування ЕП забезпечує підписувачу під час підписування контроль електронних даних, які підписуються, та електронних даних, які використовуються для створення ЕП;

4) під час перевірки відповідно до затвердженого в установі порядку не виявлено будь-яких змін в електронному документі;

5) під час перевірки відповідно до затвердженого в установі порядку не виявлено будь-яких змін ЕП після підписання електронного документа.

12. Національний банк України має право перевіряти дотримання вимог цього Положення, а також здійснювати перевірки інформаційно-телекомунікаційних систем, що використовуються установами для доведення цілісності та справжності електронних документів.

13. Під час створення, оброблення та зберігання електронних документів застосовуються:

1) кваліфікований ЕП;

2) удосконалений ЕП;

3) ЕП Національного банку;

4) простий ЕП;

5) кваліфікована електронна печатка;

6) удосконалена електронна печатка.

14. Використання удосконаленого ЕП, удосконаленої електронної печатки та простого ЕП здійснюється на підставі договору між установою і клієнтом установи, який укладається в письмовій формі (у формі паперового документа з власноручними підписами сторін або як електронний документ із кваліфікованими ЕП сторін) після проведення ідентифікації та верифікації клієнта установи відповідно до вимог законодавства України у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму.

Договір має містити умови та порядок (процедуру) визнання суб’єктами електронної взаємодії правочинів у вигляді електронних документів із використанням удосконаленого ЕП, удосконаленої електронної печатки або простого ЕП відповідно.

Договір має також містити умови щодо розподілу ризиків збитків, що можуть бути заподіяні підписувачам і третім особам у разі використання удосконаленого ЕП або удосконаленої електронної печатки відповідно.

Установа та клієнт установи мають право укласти договір про використання удосконаленого ЕП, удосконаленої електронної печатки та простого ЕП у формі електронного документа з використанням електронних підписів, щодо яких між клієнтом установи та установою вже укладено договір.

Укладення окремого договору щодо використання кваліфікованого ЕП не вимагається.

15. Установа зобов'язана надати клієнтові установи на його вимогу засвідчену копію на папері з електронного документа в разі здійснення правочину у вигляді електронного документа.

16. Установа самостійно приймає рішення про застосування того чи іншого виду ЕП та електронної печатки з дотриманням вимог законодавства України з питань електронних довірчих послуг, електронного документообігу, цього Положення, нормативно-правових актів Національного банку України.

16-1. Створення електронних документів, що згідно із законодавством України підлягають передаванню на архівне зберігання, здійснюється із застосуванням кваліфікованих ЕП та/або кваліфікованих електронних печаток, що забезпечують можливість перевірки відповідних кваліфікованих ЕП та/або кваліфікованих електронних печаток у довгостроковому періоді згідно з вимогами національних стандартів, визначеними в пунктах 11-18 Переліку стандартів, що застосовуються кваліфікованими надавачами електронних довірчих послуг під час надання кваліфікованих електронних довірчих послуг, що є додатком до вимог у сфері електронних довірчих послуг, затверджених постановою Кабінету Міністрів України від 07 листопада 2018 року № 992 (зі змінами).

17. Установи зобов’язані забезпечити:

1) приймання, реєстрацію, підтвердження про отримання електронних документів із створеними кваліфікованими ЕП з дотриманням вимог законодавства України у сфері електронного документообігу;

2) функціонування електронної поштової скриньки для приймання, реєстрації, підтвердження про отримання електронних документів із створеними кваліфікованими ЕП.

Установи мають право визначити додаткові канали електронної взаємодії, через які вони забезпечують приймання, реєстрацію, підтвердження про отримання електронних документів із створеними кваліфікованими ЕП, та забезпечити вільний доступ до інформації про зазначені канали електронної взаємодії.

18. Підписувач не має права подавати один і той самий відкритий ключ кільком кваліфікованим надавачам електронних довірчих послуг для засвідчення його чинності.

19. Працівник установи здійснює оформлення електронних копій з паперових документів під час первинної ідентифікації та верифікації установою клієнта установи з використанням кваліфікованого ЕП/кваліфікованої електронної печатки та застосуванням кваліфікованої електронної позначки часу.

20. Перевірка та підтвердження кваліфікованого ЕП здійснюється відповідно до вимог Закону України "Про електронні довірчі послуги".

21. Кваліфікований сертифікат відкритого ключа повинен відповідати вимогам Закону України "Про електронні довірчі послуги".

21-1. Фізична особа - суб'єкт електронної взаємодії, яка є представником юридичної особи, для створення кваліфікованого ЕП повинна використовувати кваліфікований сертифікат відкритого ключа, який обов'язково має містити код за Єдиним державним реєстром підприємств та організацій України юридичної особи, представником якої вона є. Кваліфікований сертифікат відкритого ключа представника юридичної особи додатково може містити інші відомості, які підтверджують, що фізична особа є представником відповідної юридичної особи.

22. Підписувач зобов'язаний застосовувати кваліфіковану електронну позначку часу в разі підписування електронного документа кваліфікованим ЕП.

Підписувач зобов'язаний під час створення кваліфікованого ЕП перевірити чинність свого кваліфікованого сертифіката відкритого ключа підписувача.

Перевірка чинності кваліфікованих сертифікатів відкритих ключів здійснюється виключно засобом кваліфікованого ЕП чи печатки відповідно до вимог Закону України "Про електронні довірчі послуги".

Підписувачу забороняється створювати кваліфікований ЕП, якщо кваліфікований сертифікат відкритого ключа підписувача є нечинним або одержати інформацію про його статус неможливо.

23. Установи та їх клієнти під час вчинення правочинів у вигляді електронних документів мають право використовувати удосконалений ЕП на підставі договору з урахуванням вимог пункту14 розділу ІІ цього Положення.

24. Установа визначає технологію використання удосконаленого ЕП та засоби удосконаленого електронного підпису чи печатки, що використовуються під час взаємодії установи з клієнтом установи.

25. Суб’єкти електронної взаємодії використовують удосконалений ЕП без сертифіката відкритого ключа або чинність відкритого ключа підписувача засвідчується сертифікатом відкритого ключа на договірних засадах, або чинність відкритого ключа підписувача засвідчується надавачем електронних довірчих послуг згідно з вимогами законодавства України у сфері електронних довірчих послуг, нормативно-правових актів Національного банку України.

26. Удосконалений ЕП є таким, що пройшов перевірку, якщо перевірку удосконаленого ЕП здійснено згідно з процедурою, зазначеною в договорі, укладеному між учасниками електронної взаємодії.

27. Використання ЕП Національного банку суб’єктами електронної взаємодії дозволяється тільки у випадках, прямо передбачених нормативно-правовими актами Національного банку України, і з обов’язковим використанням засобів захисту інформації Національного банку України.

28. ЕП Національного банку є таким, що пройшов перевірку та отримав підтвердження, якщо:

1) перевірку ЕП Національного банку проведено засобом захисту інформації Національного банку України;

2) засіб захисту інформації Національного банку України надав повідомлення про позитивний результат перевірки ЕП Національного банку.

29. Клієнт установи має право використовувати простий ЕП у разі дотримання таких вимог:

1) електронна взаємодія здійснюється виключно з установою та з використанням технології, визначеної установою;

2) використання простого ЕП здійснюється на підставі договору відповідно до вимог пункту 14 розділу II цього Положення.

30. Простий ЕП має забезпечувати однозначну ідентифікацію особи підписувача.

31. Доведення цілісності електронних документів із створеним простим ЕП може забезпечуватися засобами інформаційної системи, у якій здійснюється створення, оброблення, зберігання електронних документів.

32. Установа забезпечує доведення цілісності, достовірності та авторства електронного документа зі створеним простим ЕП.

Установа в разі недотримання зазначеної вимоги несе відповідальність за шкоду, заподіяну клієнту установи.

Банк у разі недотримання зазначеної вимоги несе відповідальність за шкоду, заподіяну фізичній особі, яка не є суб’єктом підприємницької діяльності.

33. Створювач електронної печатки - суб'єкт електронної взаємодії не має права подавати один і той самий відкритий ключ кільком кваліфікованим надавачам електронних довірчих послуг для засвідчення його чинності.

34. Створювач електронної печатки - суб'єкт електронної взаємодії зобов'язаний використовувати кваліфіковану електронну печатку у випадках, визначених законодавством України.

35. Кваліфікована електронна печатка створюється, якщо:

1) відповідно до законодавства України потрібно засвідчити дійсність підпису на електронних документах;

2) відповідно до законодавства України проставлення печатки вимагається для засвідчення відповідності копій документів оригіналам;

3) потрібно підтвердити повноваження представника юридичної особи на застосування ЕП у контексті, передбаченому документом (підписання, затвердження, погодження, візування, засвідчення, ознайомлення).

36. Створення кваліфікованих електронних печаток для електронних документів здійснює працівник суб’єкта електронної взаємодії, який має на це повноваження.

Установа зобов'язана затвердити розпорядчим документом перелік працівників установи, яким надається право створення кваліфікованих електронних печаток для електронних документів.

37. Створювач електронної печатки - суб'єкт електронної взаємодії має право застосовувати кваліфіковану електронну печатку в разі надання або отримання послуг в електронній формі або під час здійснення інформаційного обміну з іншими суб'єктами електронної взаємодії.

Створювач електронної печатки - суб'єкт електронної взаємодії, установчими документами якого не передбачена наявність печатки, має право використовувати кваліфіковану електронну печатку з метою підтвердження цілісності та походження інформації під час інформаційної взаємодії.

38. Кваліфікований сертифікат електронної печатки повинен відповідати вимогам Закону України "Про електронні довірчі послуги" та мати позначку, що цей сертифікат сформовано як кваліфікований для використання електронної печатки.

39. Перевірка та підтвердження кваліфікованої електронної печатки здійснюється відповідно до вимог Закону України "Про електронні довірчі послуги".

40. Створювач електронної печатки - суб'єкт електронної взаємодії має право використовувати більше ніж одну кваліфіковану електронну печатку.

41. Створювач електронної печатки - суб'єкт електронної взаємодії зобов'язаний забезпечити застосування кваліфікованої електронної позначки часу у випадках використання кваліфікованої електронної печатки, передбачених у пункті 35 розділу VII цього Положення.

Створювач електронної печатки зобов'язаний під час створення кваліфікованої електронної печатки здійснити перевірку чинності кваліфікованого сертифіката електронної печатки.

Перевірка чинності кваліфікованого сертифіката електронної печатки здійснюється виключно засобом кваліфікованого ЕП чи печатки відповідно до вимог Закону України "Про електронні довірчі послуги".

Створювачу електронної печатки забороняється створювати кваліфіковану електронну печатку, якщо кваліфікований сертифікат електронної печатки є нечинним або одержати інформацію про його статус неможливо.

42. Установа має право застосовувати удосконалену електронну печатку для внутрішнього документообігу на підставі розпорядчого акта установи.

43. Створювач електронної печатки - суб’єкт електронної взаємодії має право застосовувати удосконалену електронну печатку в разі надання або отримання послуг в електронній формі або під час здійснення інформаційного обміну з іншими суб’єктами електронної взаємодії на підставі договору з урахуванням вимог пункту 14 розділу II цього Положення.

44. Установа визначає технологію використання удосконаленої електронної печатки та засоби удосконаленого електронного підпису чи печатки, що використовуються під час взаємодії установи з клієнтом установи.

45. Удосконалена електронна печатка створюється, якщо відповідно до умов договору потрібно:

1) засвідчити дійсність підпису на електронних документах;

2) проставити печатку для засвідчення відповідності копій документів оригіналам;

3) підтвердити повноваження представника юридичної особи на застосування ЕП у контексті, передбаченому документом (підписання, затвердження, погодження, візування, засвідчення, ознайомлення).

46. Створювач електронної печатки - суб'єкт електронної взаємодії має право використовувати більше ніж одну удосконалену електронну печатку.