Про затвердження Положення про нагляд (оверсайт) платіжних систем та систем розрахунків в Україні

Відповідно до пункту 29 статті 7 Закону України "Про Національний банк України", статті 41 Закону України "Про платіжні системи та переказ коштів в Україні" Правління Національного банку України ПОСТАНОВЛЯЄ:

1. Затвердити Положення про нагляд (оверсайт) платіжних систем та систем розрахунків в Україні (далі - Положення), що додається.

2. Департаменту платіжних систем та розрахунків (Кравець В.М.):

забезпечити організацію та проведення нагляду (оверсайта) платіжних систем та систем розрахунків відповідно до вимог Положення;

після офіційного опублікування довести зміст цієї постанови до відома платіжних організацій платіжних систем та учасників/членів платіжних систем.

3. Платіжні організації платіжних систем та учасники/члени платіжних систем, діяльність яких не відповідає вимогам розділу XIII Положення, зобов'язані привести її у відповідність до цих вимог протягом 120 календарних днів із дати набрання чинності цією постановою.

4. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.

5. Контроль за виконанням цієї постанови покласти на заступника Голови Національного банку України Смолія Я.В.

1. Це Положення розроблено відповідно до статті 7 Закону України "Про Національний банк України", статті 41 Закону України "Про платіжні системи та переказ коштів в Україні" та ґрунтується на міжнародних стандартах оверсайта платіжних систем та систем розрахунків (далі - платіжні системи).

2. Це Положення визначає основні організаційні засади та порядок здійснення оверсайта (далі - оверсайт) платіжних систем, критерії та порядок визначення важливості платіжних систем, а також вимоги до платіжних систем, що здійснюють діяльність на території України.

3. Перевірки щодо дотримання об'єктами оверсайта платіжних систем [далі - об'єкти оверсайта] вимог законодавства України з питань діяльності платіжних систем та переказу коштів (далі -законодавство України) здійснюються відповідно до нормативно-правового акта, що визначає порядок організації та проведення Національним банком України (далі - Національний банк) перевірок дотримання вимог законодавства України об'єктами оверсайта.

4. Вимоги цього Положення поширюються на об'єкти оверсайта, а саме: платіжні організації платіжних систем, учасників/членів платіжних систем (далі - учасники платіжних систем) та операторів послуг платіжної інфраструктури.

Вимоги цього Положення застосовуються до міжнародних платіжних систем, платіжними організаціями яких є нерезиденти, у частині їх діяльності на території України.

5. Національний банк здійснює оверсайт платіжних систем з метою забезпечення безперервного, надійного та ефективного функціонування платіжних систем шляхом:

1) моніторингу платіжних систем;

2) оцінювання платіжних систем;

3) у разі необхідності надання вказівок щодо усунення порушень законодавства України та рекомендацій щодо вдосконалення діяльності відповідних платіжних систем, застосування заходів впливу до об'єктів оверсайта.

6. Національний банк застосовує до об'єктів оверсайта, крім платіжних систем, створених Національним банком, заходи впливу, передбачені законодавством України, у порядку, установленому нормативно-правовим актом, що визначає порядок пред'явлення Національним банком вимог до об'єктів оверсайта щодо усунення порушень законодавства України та застосування до них заходів впливу.

7. Національний банк вимагає від об'єктів оверсайта надання інформації та документів для здійснення оверсайта платіжних систем шляхом направлення відповідного запиту.

8. Об'єкти оверсайта зобов'язані надавати до Національного банку повну та достовірну інформацію і документи та їх копії належної якості (що дає змогу прочитати всі зазначені в них відомості) у встановлені строки у визначеному порядку та форматі.

9. Об'єкт оверсайта-резидент зобов'язаний надсилати інформацію та документи до Національного банку засобами системи електронної пошти Національного банку (за умови підключення до системи електронної пошти Національного банку) або на офіційну електронну поштову скриньку Національного банку з використанням кваліфікованого електронного підпису.

Об'єкт оверсайта-резидент зобов'язаний надати на запит Національного банку документи (їх копії та/або витяги з них) на паперовому носії.

10. Документи, що надсилаються об'єктом оверсайта до Національного банку засобами системи електронної пошти/на офіційну електронну поштову скриньку Національного банку, повинні відповідати таким вимогам:

1) документи викладені українською мовою;

2) сторінки документів пронумеровані;

3) документи, що складені іноземною мовою, супроводжуються нотаріально засвідченим перекладом українською мовою;

4) копії документів в електронному вигляді створені у вигляді файлів у форматі pdf, які містять відскановані з паперових носіїв зображення документів;

5) сканована копія кожного окремого документа збережена як окремий файл;

6) файл має коротку назву латинськими літерами, що відображає зміст та реквізити документа;

7) документи, що містять більше однієї сторінки, скановані в один файл;

8) роздільна здатність сканування не нижча ніж 300 dpi.

11. Національний банк забезпечує нерозголошення інформації, отриманої ним під час оверсайта платіжних систем, третім особам, за винятком випадків, передбачених законодавством України.

12. Слова "платіжна система", "система розрахунків", "система переказу коштів" та похідні від них дозволяється використовувати в назві лише тим юридичним особам, які зареєстровані Національним банком шляхом унесення відомостей про них до Реєстру платіжних систем, систем розрахунків, учасників цих систем та операторів послуг платіжної інфраструктури (далі - Реєстр).

1. У цьому Положенні терміни вживаються в таких значеннях:

1) багаторівнева структура участі - структура участі, що передбачає можливість надання доступу до послуг платіжної системи прямим та непрямим учасникам платіжної системи;

2) безперервність діяльності платіжної системи - спроможність платіжної системи своєчасно та ефективно виконувати/надавати критичні операції/послуги в штатному режимі діяльності платіжної системи та надзвичайних ситуаціях;

3) валові розрахунки в режимі реального часу - режим розрахунків, що передбачає безперервне виконання зобов'язань учасників платіжної системи окремо за кожним переказом у платіжній системі без відстрочення в часі;

4) відкладені нетто-розрахунки - режим розрахунків, що передбачає виконання зобов'язань учасників платіжної системи за результатами клірингу з визначеною періодичністю;

5) внутрішньодержавний переказ коштів - рух певної суми коштів у межах України з метою її зарахування на рахунок отримувача або видачі йому в готівковій формі;

6) депозитарний ризик - ризик втрати фінансових активів платіжної організації платіжної системи та/або фінансових активів, що передані платіжній організації платіжної системи учасником платіжної системи, з вини юридичної особи, що прийняла на зберігання ці фінансові активи;

7) загальний комерційний ризик - ризик погіршення фінансового стану платіжної організації платіжної системи в результаті зниження її доходів або збільшення видатків, унаслідок якого витрати перевищують доходи та призводять до втрат, покриття яких здійснюється за рахунок капіталу. До загального комерційного ризику не належать ризики, пов'язані з невиконанням зобов'язань учасником платіжної системи або іншою організацією, що має фінансові зобов'язання перед платіжною організацією платіжної системи;

8) заінтересовані особи - власники платіжної організації платіжної системи, прямі та непрямі учасники платіжної системи, органи державної влади, розрахункові банки, оператори послуг платіжної інфраструктури;

9) значущий оператор послуг платіжної інфраструктури - оператор послуг платіжної інфраструктури, який відповідає визначеним цим Положенням критеріям важливості;

10) значущі платіжні системи - платіжні системи, які віднесені Національним банком до категорії системно важливих, соціально важливих або важливих відповідно до визначених цим Положенням критеріїв важливості платіжних систем;

11) інвестиційний ризик - ризик втрати або недоступності фінансових активів платіжної організації платіжної системи та/або фінансових активів, що передані платіжній організації платіжної системи учасником платіжної системи, що виникає внаслідок їх інвестування;

12) інформаційна інфраструктура - сукупність обладнання, засобів, комплексів та систем для оброблення, передавання та приймання інформації, а також системи електронних комунікацій, що використовуються для ініціювання та здійснення переказу коштів;

13) кіберзагроза - наявні та потенційно можливі явища і чинники, що спричиняють або можуть спричинити ризик порушення конфіденційності, цілісності, доступності інформаційних ресурсів та/або спостережності і керованості інформаційної інфраструктури;

14) кіберінцидент - подія або сукупність несприятливих подій ненавмисного характеру, або таких, що мають ознаки можливої кібератаки, які становлять загрозу безпеці інформаційної інфраструктури, створюють імовірність порушення штатного режиму її функціонування, а також ставлять під загрозу захищеність інформаційних ресурсів;

15) кіберризик - ризик реалізації кіберзагроз щодо інформаційних ресурсів та/або інформаційної інфраструктури, а також наслідки таких подій. Кіберризик є складовою операційного ризику;

16) кіберстійкість платіжної системи - спроможність платіжної організації, учасників платіжної системи, операторів послуг платіжної інфраструктури та розрахункового(их) банку(ів) цієї платіжної системи запобігати, протистояти, стримувати та оперативно відновлюватися після кіберінцидентів та кібератак на неї;

17) кредитний ризик - ризик того, що учасник платіжної системи або інша організація, з якою платіжна організація платіжної системи має договірні відносини, не зможе виконати свої фінансові зобов'язання у платіжній системі в повному обсязі в установлений момент часу або в будь-який момент у майбутньому. У платіжній системі може виникати поточний кредитний ризик та/або потенційний майбутній кредитний ризик;

18) критерії важливості платіжних систем - установлені Національним банком обсяги операцій та види послуг, у разі надання яких платіжна система може бути визначена Національним банком значущою платіжною системою;

19) критична залежність - залежність діяльності платіжної системи від учасника платіжної системи та/або оператора послуг платіжної інфраструктури, невиконання зобов'язань якими може призвести до неможливості забезпечення безперервності діяльності платіжної системи;

20) критичні операції/послуги - операції та/або послуги платіжної системи, невиконання/ненадання яких призведе до порушення надання послуг учасниками платіжної системи та/або роботи платіжної системи в цілому;

21) надзвичайна ситуація - чинники та обставини, що становлять загрозу для безперервності діяльності платіжної системи: економічна криза, терористичний акт, природні катастрофи (землетруси, зсув, обвал, сель, цунамі, лавина, повінь, смерч, посуха, заморозки, гроза, природна пожежа), техногенні катастрофи та аварії (вибух, пожежі), масові заворушення, збої в постачанні електроенергії, кіберінциденти у платіжній системі та кібератаки на неї тощо;

22) непрямий учасник платіжної системи - юридична особа, що відповідно до законодавства України має право надавати послуги щодо проведення переказу коштів та яка на підставі договору, укладеного з прямим учасником платіжної системи, якому надано право на укладання таких договорів платіжною організацією цієї платіжної системи, надає такі послуги;

23) операційний ризик - ризик того, що недоліки інформаційних систем або внутрішніх процесів, людські помилки, операційні збої (помилки чи затримки під час оброблення, перебої в роботі систем, недостатня пропускна спроможність), втрата або витік інформації, шахрайство або порушення в управлінні внаслідок зовнішніх подій призведуть до скорочення, погіршення або зупинення надання послуг платіжною системою;

24) основна робоча зона - приміщення та розташоване в ньому обладнання, за допомогою якого забезпечується штатний режим діяльності платіжної системи;

25) остаточність розрахунків - обумовлений правилами платіжної системи момент часу, в який розрахунок у платіжній системі стає безвідкличним та безумовним;

26) оцінювання платіжних систем - комплекс заходів, що здійснюються Національним банком з метою вдосконалення діяльності платіжних систем в Україні відповідно до міжнародних стандартів оверсайта платіжних систем, а також попередження, виявлення та усунення порушень у діяльності окремої платіжної системи шляхом систематичного контролю за відповідністю діяльності платіжних систем вимогам, установленим законодавством України;

27) правовий ризик - ризик відсутності правового регулювання, зміни або непередбачуваного застосування положень законодавства, що можуть призвести до виникнення збитків платіжної організації платіжної системи та/або її учасників;

28) прямий учасник платіжної системи - юридична особа, яка відповідно до законодавства України має право надавати послуги щодо проведення переказу коштів та на підставі договору, укладеного з платіжною організацією платіжної системи, надає такі послуги;

29) резервна робоча зона - географічно віддалене від основної робочої зони допоміжне приміщення, призначене для виконання/надання критичних операцій/послуг платіжної системи в надзвичайній ситуації до відновлення штатного режиму діяльності платіжної системи;

30) ризик ліквідності - ризик того, що учасник платіжної системи або інша організація, з якою платіжна організація платіжної системи має договірні відносини, не матиме достатньо коштів для виконання своїх фінансових зобов'язань у платіжній системі належним чином у повному обсязі в установлений момент часу, але він зможе їх виконати в інший момент часу в майбутньому;

31) розрахунковий ризик - ризик того, що розрахунки в платіжній системі не здійснюватимуться належним чином;

32) система міжбанківських розрахунків - платіжна система, у якій забезпечується проведення міжбанківських переказів;

33) система переказу коштів - платіжна система, призначена для здійснення переказів коштів, які ініціюються платниками для зарахування коштів на рахунки отримувачів або видачі отримувачам - фізичним особам у готівковій формі;

34) система роздрібних платежів - платіжна система, яка призначена для здійснення переказів коштів за операціями, які ініціюються юридичними та фізичними особами із застосуванням електронних платіжних засобів та обробляються на кліринговій основі;

35) системний ризик - ризик того, що неспроможність одного з учасників платіжної системи та/або оператора послуг платіжної інфраструктури виконати свої зобов'язання або порушення безперервності діяльності самої платіжної системи призведе до порушення діяльності учасників платіжної системи, інших установ або функціонування фінансової системи в цілому;

36) спільний оверсайт платіжних систем - діяльність, що здійснює Національний банк разом із центральними банками інших держав щодо оверсайта за міжнародними платіжними системами;

37) транскордонний переказ коштів - рух певної суми коштів в Україну або за її межі з метою її зарахування на рахунок отримувача або видачі йому в готівковій формі;

38) управління операційним ризиком - постійна діяльність платіжної організації платіжної системи щодо оцінки операційного ризику, визначення його допустимого рівня та застосування заходів контролю з метою забезпечення безперервності діяльності платіжної системи;

39) штатний режим діяльності платіжної системи - функціонування платіжної системи в повному обсязі за стандартними для цієї платіжної системи регламентом та технологією виконання операцій.

2. Інші терміни в цьому Положенні вживаються відповідно до визначень, наведених у законодавстві України.

1. Національний банк здійснює моніторинг платіжних систем шляхом збору, систематизації та аналізу інформації щодо дільності об'єктів оверсайта, у тому числі щодо статистичних показників діяльності та їх динаміки.

2. Національний банк здійснює моніторинг платіжних систем на підставі, зокрема:

1) статистичних звітів та іншої інформації, яка подається об'єктами оверсайта до Національного банку відповідно до законодавства України;

2) інформації, отриманої на запит Національного банку;

3) інформації щодо діяльності об'єктів оверсайта, отриманої під час здійснення перевірок;

4) інформації, отриманої від третіх осіб, у тому числі від органів державної влади та користувачів платіжної системи.

3. Національний банк для здійснення моніторингу платіжних систем вимагає від осіб, які є об'єктами оверсайта, надання інформації та документів за показниками, визначеними в пунктах 5 та 7 цього розділу, шляхом направлення відповідного запиту.

4. Платіжна організація платіжної системи зобов'язана надавати на запит Національного банку інформацію, визначену в пунктах 5 та 7 цього розділу:

1) платіжна організація платіжної системи, створеної резидентом України, - засобами системи електронної пошти Національного банку;

2) платіжна організація платіжної системи, створеної нерезидентом України, - засобами поштового зв'язку.

5. Національний банк здійснює моніторинг платіжних систем за такими показниками їх діяльності:

1) обсяги та види операцій, виконані в платіжній системі, та їх частка в загальному обсязі операцій, здійснених у країні системами відповідного виду за визначений період;

2) кількість учасників платіжної системи в розрізі їх видів (резидент/нерезидент, банк/небанківська фінансова установа, прямий/непрямий учасник платіжної системи тощо);

3) частка операцій окремих учасників платіжної системи у загальному обсязі операцій, що виконуються в платіжній системі;

4) обсяги та види операцій, виконані в платіжній системі за участю операторів послуг платіжної інфраструктури, у розрізі видів послуг;

5) вартість послуг, що надаються користувачам платіжної системи.

Національний банк здійснює моніторинг системно важливої платіжної системи відповідно до системи показників, установлених ним у своїх внутрішніх документах.

6. Національний банк здійснює моніторинг платіжних систем щодо інших показників діяльності платіжної системи залежно від специфіки її діяльності, попередньо повідомивши платіжну організацію платіжної системи про перелік цих показників і про необхідність отримувати і зберігати зазначені показники під час роботи платіжної системи.

7. Національний банк має право вимагати від операторів послуг платіжної інфраструктури надання інформації щодо видів послуг та обсягів операцій, здійснених ними за період та в термін, що зазначені в запиті.

8. Національний банк розміщує на сторінках офіційного Інтернет-представництва Національного банку не рідше двох разів на рік інформацію про результати моніторингу платіжних систем, зокрема щодо:

кількості платіжних систем та їх учасників;

обсягів операцій (кількість та сума), здійснених з використанням платіжних систем.

9. Національний банк за результатами моніторингу з метою забезпечення безперервного, надійного та ефективного функціонування платіжних систем має право надавати рекомендації об'єктам оверсайта щодо вдосконалення їх діяльності.

1. Національний банк за результатами моніторингу платіжних систем та відповідно до критеріїв важливості, установлених у пунктах 2-5 розділу IV цього Положення, визначає важливість платіжних систем та операторів послуг платіжної інфраструктури у лютому за підсумками їх діяльності протягом попереднього року.

2. Національний банк визнає платіжну систему системно важливою платіжною системою в разі її відповідності хоча б одному з таких критеріїв важливості платіжної системи:

1) платіжна система забезпечує проведення міжбанківських переказів, частка яких становить більше ніж 10% від загальної суми переказів, виконаних у країні системами міжбанківських розрахунків та через кореспондентські рахунки банків, відкриті в інших банках України;

2) платіжна система здійснює перекази коштів за правочинами з державними цінними паперами на відкритому ринку;

3) платіжна система забезпечує врегулювання зобов'язань учасників, які виникають в інших платіжних системах.

3. Національний банк визнає платіжну систему соціально важливою платіжною системою в разі її відповідності хоча б одному з таких критеріїв важливості платіжної системи:

1) платіжна система здійснює внутрішньодержавні перекази коштів та транскордонні перекази коштів, частка яких перевищує 10% від загальної суми переказів, виконаних системами переказу коштів, створених резидентами та нерезидентами;

2) платіжна система здійснює операції з використанням електронних платіжних засобів, частка яких перевищує 10% від загальної суми операцій, виконаних системами роздрібних платежів на території України.

4. Національний банк визнає платіжну систему важливою платіжною системою в разі її відповідності хоча б одному з таких критеріїв важливості платіжної системи:

1) платіжна система забезпечує проведення міжбанківських переказів, частка яких становить від 5 до 10% від загальної суми переказів, виконаних у країні системами міжбанківських розрахунків та через кореспондентські рахунки банків, відкриті в інших банках України;

2) платіжна система здійснює внутрішньодержавні перекази коштів та транскордонні перекази коштів, частка яких становить від 5 до 10% від загальної суми переказів, виконаних системами переказу коштів, створеними резидентами та нерезидентами;

3) платіжна система здійснює операції з використанням електронних платіжних засобів, частка яких становить від 5 до 10% від загальної суми операцій, виконаних системами роздрібних платежів на території України;

4) платіжна система здійснює внутрішньодержавні перекази коштів, частка яких становить більше ніж 5% від загальної суми внутрішньодержавних переказів коштів, виконаних системами переказу коштів, створеними резидентами та нерезидентами;

5) платіжна система здійснює транскордонні перекази коштів, частка яких становить більше ніж 5% від загальної суми транскордонних переказів, виконаних системами переказу коштів, створеними резидентами та нерезидентами.

Національний банк має право визнати платіжну систему, що є єдиною на ринку за видом послуг, які надаються з її використанням, важливою платіжною системою.

5. Національний банк визнає оператора послуг платіжної інфраструктури значущим, якщо він обробляє більше 10% операцій (за кількістю та/або сумою), оброблених операторами послуг платіжної інфраструктури-резидентами у платіжних системах, внесених Національним банком до Реєстру.

6. Рішення про визнання платіжної системи системно важливою, соціально важливою або важливою, а також оператора послуг платіжної інфраструктури значущим та/або про визнання платіжної системи/оператора послуг платіжної інфраструктури такими, що більше не відповідають встановленим критеріям важливості, приймає Комітет з питань нагляду та регулювання діяльності банків, оверсайту платіжних систем.

7. Національний банк протягом 15 календарних днів після визнання платіжної системи системно важливою, соціально важливою або важливою платіжною системою, а також оператора послуг платіжної інфраструктури значущим або такими, що більше не відповідають встановленим критеріям важливості:

1) уносить відповідну інформацію до Реєстру та оприлюднює на сторінках офіційного Інтернет-представництва Національного банку;

2) надсилає платіжній організації платіжної системи (крім платіжної системи, створеної Національним банком) або її представництву в Україні письмове повідомлення про відповідність платіжної системи критеріям важливості платіжних систем або про визнання платіжної системи такою, що більше не відповідає встановленим критеріям важливості платіжних систем.

У повідомленні про відповідність платіжної системи критеріям важливості платіжних систем зазначаються:

дата визнання платіжної системи системно важливою, соціально важливою або важливою платіжною системою;

категорія важливості платіжної системи;

необхідність виконання вимог цього Положення;

3) надсилає оператору послуг платіжної інфраструктури письмове повідомлення про відповідність його діяльності критеріям важливості або про визнання його таким, що більше не відповідає встановленим критеріям важливості.

У повідомленні про відповідність оператора послуг платіжної інфраструктури критеріям важливості зазначаються:

дата визнання оператора послуг платіжної інфраструктури значущим;

інформація про відповідність встановленим критеріям важливості;

необхідність виконання вимог цього Положення.

8. Національний банк має право після визнання міжнародної платіжної системи, створеної нерезидентом, значущою платіжною системою надіслати центральному банку країни, резидентом якої є платіжна організація цієї платіжної системи, письмовий запит для отримання інформації про оцінювання цієї платіжної системи на відповідність міжнародним стандартам оверсайта платіжних систем.

9. Платіжна організація платіжної системи, яку визнано системно важливою, зобов'язана виконати вимоги, установлені в пунктах 7-11 розділу V, розділах VI-XI та пункті 1 розділу XII цього Положення.

Платіжна організація платіжної системи, яку визнано соціально важливою, зобов'язана виконати вимоги, установлені в пунктах 7-10 розділу V, розділах VI-XI та пункті 2 розділу XII цього Положення.

Платіжна організація платіжної системи, яку визнано важливою, зобов'язана виконати вимоги, установлені в пунктах 7-10 розділу V, розділах VI-XI цього Положення.

Вимоги, визначені у розділах VI-X цього Положення, поширюються на платіжні системи, які на момент прийняття Національним банком рішення про визнання їх значущими платіжними системами мають не менше трьох прямих учасників (включаючи платіжну організацію платіжної системи, що виконує функції учасника у цій платіжній системі).

10. Платіжна організація значущої платіжної системи зобов'язана виконати вимоги, передбачені впункті 9 розділу IV цього Положення, протягом 90 календарних днів із дня надсилання Національним банком письмового повідомлення про відповідність платіжної системи критеріям важливості платіжних систем.

11. Платіжна організація платіжної системи, яка на момент прийняття Національним банком рішення про визнання її значущою має менше трьох прямих учасників, зобов'язана виконати вимоги, установлені у розділах VI-X цього Положення, протягом 90 календарних днів із дня внесення Національним банком до Реєстру відомостей про прямого учасника платіжної системи, включення якого збільшує кількість прямих учасників платіжної системи щонайменше до трьох.

12. Оператор послуг платіжної інфраструктури, якого визнано значущим, зобов'язаний протягом 90 календарних днів із дня надсилання Національним банком письмового повідомлення про відповідність його діяльності критеріям важливості виконати вимогу, установлену в пункті 12 розділу V, та здійснити заходи, визначені в пункті 6 розділу XIII цього Положення, а також забезпечити належний контроль за їх виконанням.

13. Національний банк має право на підставі обґрунтованого клопотання платіжної організації платіжної системи/оператора послуг платіжної інфраструктури прийняти рішення про збільшення строку виконання вимог, передбачених у пунктах 10-12 розділу IV цього Положення, на строк, що не може перевищувати 90 календарних днів.

1. Об'єкт оверсайта зобов'язаний надавати на вимогу Національного банку документи, що підтверджують виконання вимог, установлених у розділі V цього Положення, у строк до 30 календарних днів від дати запиту Національного банку.

2. Платіжна організація платіжної системи-резидент зобов'язана виконати вимоги розділу V цього Положення шляхом доопрацювання правил платіжної системи/внутрішніх/статутних документів платіжної організації платіжної системи (далі - документи платіжної системи).

3. Документи, що подаються до Національного банку відповідно до вимог розділу V цього Положення, повинні бути затверджені керівником об'єкта оверсайта, його заступником або керівним органом об'єкта оверсайта, якщо законодавством України не встановлено інше, та оформлені з урахуванням вимог, визначених у пункті 10 розділу I цього Положення.

4. Платіжна організація платіжної системи зобов'язана здійснювати постійний контроль за відповідністю документів платіжної системи, договорів та інших правочинів законодавству України.

5. Платіжна організація платіжної системи-резидент зобов'язана визначити у документах платіжної системи:

1) момент остаточності розрахунків;

2) порядок здійснення контролю за дотриманням учасниками платіжної системи вимог правил платіжної системи та вимог до учасників платіжної системи, установлених іншими документами платіжної системи, що розроблені/доопрацьовані платіжною організацією на виконання вимог цього Положення.

6. Платіжна організація платіжної системи-резидент та учасник платіжної системи зобов'язані встановити у своїх документах порядок:

1) зберігання паперових та електронних документів на переказ коштів, а також створення архівів електронних документів відповідно до законодавства України;

2) забезпечення безперервності діяльності платіжної системи відповідно до організаційних та технічних заходів, передбачених у підпунктах 1-6 пункту 6 розділу XIII цього Положення.

7. Платіжна організація значущої платіжної системи-резидент, що має більше трьох прямих учасників (включаючи платіжну організацію платіжної системи, що виконує функції учасника у цій платіжній системі), зобов'язана визначити в документах платіжної системи:

1) цілі та завдання діяльності платіжної системи, включаючи забезпечення безперервності діяльності платіжної системи та планові операційні показники діяльності платіжної системи (кількість та сума операцій; час, необхідний для оброблення трансакцій);

2) механізми регулярного контролю за відповідністю результатів діяльності платіжної системи поставленим цілям та завданням;

3) склад, обов'язки, повноваження, порядок діяльності керівних органів платіжної системи, відповідальність керівних органів та їх членів;

4) обов'язки, повноваження, відповідальність, порядок звітування керівним органам особи(іб) та/або підрозділу(ів), відповідальної(их) за управління ризиками, що виникають у платіжній системі, включаючи функції і обов'язки працівників, відповідальних за управління операційним ризиком, та їх розподіл;

5) порядок внутрішнього контролю за управлінням ризиками;

6) порядок звітування особою(ами) та/або підрозділом(ами), відповідальним(ими) за управління ризиками та забезпечення інформаційної безпеки в платіжній системі, перед керівними органами платіжної організації значущої платіжної системи;

7) порядок вирішення конфліктів інтересів (за наявності) між заінтересованими особами та платіжною організацією платіжної системи під час прийняття нею рішень;

8) порядок контролю за відповідністю досягнутих результатів діяльності платіжної системи поставленим цілям та завданням діяльності платіжної системи;

9) механізми контролю, заходи щодо управління, моніторингу, мінімізації та усунення наслідків впливу ризиків, на які наражається у своїй діяльності, та/або які спричиняє платіжна система:

правового ризику;

кредитного ризику, ризику ліквідності, загального комерційного ризику, депозитарного ризику, інвестиційного ризику (далі - фінансові ризики);

розрахункового ризику;

операційного ризику, включаючи кіберризик;

системного ризику;

інших ризиків, які платіжна організація значущої платіжної системи має право визначати як такі, що притаманні діяльності платіжної системи;

10) вимоги до розрахункового(их) банку(ів), з яким (якими) вона взаємодіє (крім Національного банку);

11) правила та порядок зменшення правового ризику, що виникає, якщо платіжна система або її учасники є суб'єктом права різних юрисдикцій;

12) відповідальність сторін та порядок дій, включаючи здійснення розрахунків, використання ресурсів та покриття втрат, у разі невиконання зобов'язання учасником платіжної системи;

13) порядок відновлення ліквідності;

14) порядок забезпечення безперервності діяльності платіжної системи відповідно до організаційних та технічних заходів, передбачених у підпунктах 7-14 пункту 6 розділу XIII цього Положення;

15) заходи, спрямовані на реалізацію вимог щодо досягнення кіберстійкості платіжної системи, передбачених у пункті 1 розділу XI цього Положення, і забезпечити їх перегляд не рідше одного разу на рік.

8. Платіжна організація значущої платіжної системи-резидент, у якій передбачена багаторівнева структура участі, зобов'язана встановити в документах платіжної системи вимогу до прямих учасників платіжної системи щодо надання платіжній організації платіжної системи не рідше двох разів на рік інформації про:

1) надання повноважень на здійснення діяльності в платіжній системі непрямим учасникам платіжної системи та іншим прямим учасникам, яким платіжною організацією платіжної системи надано право проводити розрахунки за операціями інших учасників у цій платіжній системі (для карткових платіжних систем);

2) непрямих учасників платіжної системи та/або прямих учасників, яким платіжною організацією платіжної системи надано право проводити розрахунки за операціями інших учасників у цій платіжній системі, обсяги трансакцій яких протягом 180 календарних днів більші, ніж обсяги трансакцій, здійснених за аналогічний період прямими учасниками платіжної системи, через яких здійснюються розрахунки в платіжній системі;

3) відповідальність прямого та непрямого учасника платіжної системи за остаточність розрахунку за трансакціями, що здійснюються прямим учасником платіжної системи за дорученням непрямого учасника платіжної системи, та порядок оброблення цих трансакцій у разі невиконання зобов'язань прямим та/або непрямим учасником платіжної системи.

Обсяг інформації, передбаченої у підпункті 2 пункту 8 розділу V цього Положення, визначається платіжною організацією платіжної системи.

9. Платіжна організація значущої платіжної системи-резидент зобов'язана розробити план заходів із забезпечення безперервності діяльності платіжної системи (далі - План заходів), що затверджується керівним органом платіжної організації платіжної системи.

План заходів має передбачати:

1) порядок відновлення безперервності діяльності платіжної системи в разі виникнення надзвичайної ситуації;

2) технологію виконання операцій в надзвичайній ситуації;

3) строк відновлення безперервності діяльності платіжної системи та момент її відновлення;

4) порядок повідомлення заінтересованих осіб про виникнення надзвичайної ситуації;

5) порядок взаємодії та комунікацій в надзвичайній ситуації між працівниками платіжної організації платіжної системи, а також платіжною організацією платіжної системи та заінтересованими особами;

6) порядок дій щодо забезпечення виконання/надання критичних операцій/послуг у разі відмови телекомунікаційних мереж та/або окремих складових програмно-технічного забезпечення;

7) функції та відповідальність працівників, які забезпечують виконання/надання критичних операцій/послуг, у разі виникнення надзвичайної ситуації;

8) порядок формування, склад, завдання та функції тимчасової структурної одиниці платіжної організації платіжної системи, що формується на час надзвичайної ситуації та ліквідації її наслідків і відповідає за реалізацію Плану заходів;

9) потенційні внутрішні та зовнішні загрози для діяльності платіжної системи та можливий їх вплив;

10) критерії класифікації операцій/послуг, що виконуються/надаються платіжною системою за ступенем їх критичності;

11) критерії віднесення прямих, непрямих учасників платіжної системи та операторів послуг платіжної інфраструктури (за їх наявності) до тих, від яких платіжна організація платіжної системи критично залежить;

12) перелік критичних залежностей і критичних операцій/послуг платіжної системи, включаючи ті, що передано оператору послуг платіжної інфраструктури;

13) порядок реєстрації та аналізу операційних проблем та фактів порушення безперервності діяльності платіжної системи;

14) порядок дій щодо блокування/знищення критичних засобів захисту інформації в надзвичайній ситуації та розгортання системи захисту інформації платіжної системи в резервній робочій зоні.

Інформація, що міститься в Плані заходів, крім тієї, що зазначена в пункті другому розділу XI цього Положення, є конфіденційною.

10. Платіжна організація значущої платіжної системи-резидент зобов'язана проводити перегляд і тестування Плану заходів не рідше одного разу на рік.

11. Платіжна організація системно важливої платіжної системи-резидент зобов'язана додатково передбачити в Плані заходів:

1) порядок використання резервної робочої зони;

2) порядок відновлення безперервності діяльності платіжної системи та роботи комп'ютерних систем у разі настання надзвичайної ситуації, з урахуванням вимоги, визначеної в підпункті 2 пункту 1 розділу XII цього Положення;

3) порядок забезпечення безперервного виконання/надання критичних операцій/послуг.

12. Значущий оператор послуг платіжної інфраструктури зобов'язаний визначати у своїх документах порядок забезпечення безперервності діяльності відповідно до організаційних та технічних заходів, передбачених у пункті 6 розділу XIII цього Положення.

13. Національний банк у разі невідповідності документів об'єктів оверсайта вимогам цього Положення має право надіслати листа з вимогою щодо усунення порушення вимог законодавства України (далі - письмова вимога) у порядку, установленому нормативно-правовими актами, що визначають порядок пред'явлення Національним банком вимог до об'єктів оверсайта щодо усунення порушень законодавства України та застосування до них заходів впливу.

14. Національний банк у разі ненадання, несвоєчасного надання документів та/або надання завідомо недостовірної інформації об'єктами оверсайта застосовує до них заходи впливу в порядку, установленому нормативно-правовими актами, що визначають порядок пред'явлення Національним банком вимог до об'єктів оверсайта щодо усунення порушень законодавства України та застосування до них заходів впливу.

15. Національний банк визначає інформацію, зазначену в розділі V цього Положення, щодо платіжних систем, платіжною організацією яких він є, у документах цих платіжних систем.

1. Платіжна організація значущої платіжної системи зобов'язана здійснювати контроль за відповідністю досягнутих результатів діяльності платіжної системи поставленим цілям та завданням не рідше одного разу на рік.

2. До складу керівних органів платіжної організації значущої платіжної системи мають право входити дієздатні фізичні особи, які мають бездоганну ділову репутацію, вищу освіту та управлінський досвід не менше одного року.

3. Керівні органи платіжної організації значущої платіжної системи зобов'язані забезпечити, зокрема:

1) відповідність діяльності платіжної системи її завданням та цілям;

2) ефективне управління ризиками в платіжній системі та необхідні для цього ресурси;

3) повноту, достовірність та своєчасність надання інформації органам державної влади, власникам платіжної організації платіжної системи, учасникам платіжної системи та іншим заінтересованим особам;

4) внутрішній контроль за управлінням ризиками, у тому числі щодо захисту від зловживань інформацією з обмеженим доступом;

5) оцінку ефективності процесів управління;

6) відповідність системи захисту інформації платіжної системи законодавству України.

4. Керівні органи платіжної організації значущої платіжної системи зобов'язані призначити особу(іб) та/або підрозділ(и), відповідальну(их) за управління ризиками та забезпечення інформаційної безпеки в платіжній системі, та здійснювати нагляд за її діяльністю.

5. Платіжна організація значущої платіжної системи з метою ефективного управління ризиками зобов'язана забезпечити взаємодію особи(іб) або підрозділу(ів), відповідальної(их) за управління ризиками та забезпечення інформаційної безпеки в платіжній системі, з керівними органами та її(їх) незалежність.

1. Платіжна організація значущої платіжної системи зобов'язана встановлювати умови членства в платіжній системі та висувати вимоги до учасників цієї платіжної системи щодо наявності необхідних операційних потужностей, фінансових ресурсів, юридичних повноважень, відповідності системи захисту інформації законодавству України, а також щодо вжиття заходів з метою запобігання виникненню ризику, що виходить за межі, установлені платіжною організацією значущої платіжної системи.

2. Платіжна організація значущої платіжної системи зобов'язана виявляти тих учасників платіжної системи, діяльність яких не відповідає встановленим вимогам щодо участі в платіжній системі.