Про затвердження Положення про Систему BankID Національного банку України

Відповідно до статей 7, 15, 56 Закону України "Про Національний банк України" , статей 5, 9 Закону України "Про електронні довірчі послуги" , з метою врегулювання роботи єдиної Системи BankID Національного банку України Правління Національного банку України

1. Затвердити Положення про Систему BankID Національного банку України, що додається.

2. Визнати такими, що втратили чинність:

1) постанову Правління Національного банку України від 30 серпня 2016 року № 378 "Про затвердження Положення про Систему BankID Національного банку України";

2) постанову Правління Національного банку України від 03 жовтня 2018 року № 105 "Про внесення змін до деяких нормативно-правових актів Національного банку України".

3. Контроль за виконанням цієї постанови покласти на заступника Голови Національного банку України Сергія Холода.

4. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.

1. Це Положення розроблено відповідно до Законів України "Про Національний банк України", "Про електронні довірчі послуги" і визначає загальні засади функціонування Системи BankID Національного банку України (далі - Система BankID Національного банку), порядок користування та здійснення розрахунків між її абонентами під час використання Системи BankID Національного банку, а також ведення статистики в Системі BankID Національного банку.

2. Вимоги цього Положення поширюються на відносини, що виникають між Національним банком України (далі - Національний банк) та абонентами Системи BankID Національного банку під час використання Системи BankID Національного банку.

Абонент - надавач послуг, який є суб'єктом первинного фінансового моніторингу, має право використовувати Систему BankID Національного банку для ідентифікації та верифікації клієнтів. У разі використання Системи BankID Національного банку для ідентифікації та верифікації клієнтів суб'єкт первинного фінансового моніторингу має дотримуватися порядку, що визначений нормативно-правовими актами суб'єкта державного фінансового моніторингу, який здійснює державне регулювання та нагляд за цією установою відповідно до Закону України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення" .

3. Терміни в цьому Положенні вживаються в такому значенні:

1) абонент-ідентифікатор - банк України, який є абонентом Системи BankID Національного банку та безпосередньо виконує функції ідентифікації, автентифікації та верифікації клієнтів (банку), які є користувачами Системи BankID Національного банку;

2) абонент-надавач послуг:

орган державної влади;

орган місцевого самоврядування або інший суб'єкт надання адміністративних послуг;

установа, що наділена владними повноваженнями; державне та комунальне унітарне підприємство;

громадське об'єднання;

банк та інша фінансова установа України;

юридична особа, що має право здійснювати електронну дистанційну ідентифікацію користувачів в Системі BankID Національного банку для надання користувачам послуг;

3) абонент Системи BankID Національного банку (далі - Абонент) - абонент - надавач послуг або абонент-ідентифікатор;

4) абонентський вузол Системи BankID Національного банку (далі - абонентський вузол) - комплекс програмно-технічних засобів, установлений в Абонента та призначений для забезпечення обміну інформацією між Абонентами через Систему BankID Національного банку;

5) автоматизована система банку - комплекс програмно-технічних засобів, спрямований на автоматизацію банківської діяльності;

6) автентифікація - електронна процедура, яка дає змогу підтвердити електронну дистанційну ідентифікацію фізичної особи;

7) адміністратор абонентського вузла - працівник Абонента, який відповідає за забезпечення функціонування абонентського вузла Системи BankID Національного банку;

8) адміністратор Системи BankID Національного банку - працівник Національного банку, на якого покладаються обов'язки виконання функцій адміністратора центрального вузла Системи BankID Національного банку;

9) дані - інформація, надана у формі, придатній для її оброблення електронними засобами;

10) договір приєднання до Системи BankID Національного банку (далі - Договір приєднання) - пропозиція Національного банку з метою встановлення з банками та небанківськими установами України, суб'єктами надання адміністративних послуг, органами державної влади та іншими юридичними особами договірних взаємовідносин щодо надання Системою BankID Національного банку послуг абонентам-ідентифікаторам або абонентам - надавачам послуг;

11) електронна дистанційна ідентифікація - процес розпізнавання фізичної особи абонентом - надавачем послуг із підтвердженням успішної автентифікації користувача Системи BankID Національного банку абонентом-ідентифікатором;

12) електронний запит на електронну дистанційну ідентифікацію - складова частина електронної дистанційної ідентифікації в електронному вигляді, яку ініціює користувач на порталі абонента - надавача послуг;

13) електронне підтвердження електронної дистанційної ідентифікації - складова частина електронної дистанційної ідентифікації - інформація у вигляді електронної анкети, яка формується відповідно до вимог специфікації взаємодії та містить персональні дані користувача;

14) користувач Системи BankID Національного банку (далі - користувач) - фізична особа, яка ініціювала електронний запит на електронну дистанційну ідентифікацію через Систему BankID Національного банку. Користувач є суб'єктом персональних даних та користується послугами Абонентів Системи BankID Національного банку;

15) організаційна структура Системи BankID Національного банку - сукупність визначених Національним банком суб'єктів, їх функцій, прав і обов'язків, а також сукупність відносин, що виникають між ними під час проведення електронної дистанційної ідентифікації користувачів Абонентами, передавання персональних даних і забезпечення діяльності Системи BankID Національного банку;

16) портал послуг - вебсайт (вебпортал), мобільний застосунок абонента - надавача послуг, на якому ініціюється електронний запит на електронну дистанційну ідентифікацію;

17) розрахунковий банк Системи BankID Національного банку (далі - Розрахунковий банк) - Національний банк, який здійснює взаєморозрахунки між Абонентами Системи BankID Національного банку на умовах, визначених в укладених з Абонентами договорах;

18) Система BankID Національного банку - національна система електронної дистанційної ідентифікації, яка виконує функції облікової і забезпечує здійснення електронної дистанційної ідентифікації фізичних осіб шляхом передавання персональних даних користувачів абонентом-ідентифікатором абоненту - надавачу послуг, а також здійснює облік кількості та обсягу наданих Абонентам послуг з електронної дистанційної ідентифікації;

19) специфікації взаємодії із Системою BankID Національного банку (далі - специфікації взаємодії) - документи, які визначають технічні вимоги взаємодії Системи BankID Національного банку з абонентськими вузлами Абонентів. У специфікаціях взаємодії визначаються методи та протоколи інформаційної взаємодії, вимоги до захисту в системі та інші технічні параметри;

20) центральний вузол Системи BankID Національного банку - комплекс програмно-технічних засобів, що забезпечує взаємодію абонентських вузлів Абонентів Системи BankID Національного банку.

Інші терміни, що вживаються в цьому Положенні, використовуються в значеннях, визначених законодавством України та Договором приєднання.

4. Національний банк є керівним органом в організаційній структурі Системи BankID Національного банку.

Національний банк має право створити колегіальний орган управління Системою BankID Національного банку - Раду Системи BankID Національного банку та делегувати їй повноваження щодо прийняття рішень з питань розвитку, супроводження та забезпечення діяльності Системи BankID Національного банку для ефективного управління цією системою.

5. Рада Системи BankID Національного банку (далі - Рада) є підконтрольною та підзвітною Правлінню Національного банку. Рада створюється та ліквідовується за рішенням Правління Національного банку.

6. Основними завданнями Ради є:

1) визначення та забезпечення нормативних, організаційних і технологічних умов побудови, функціонування та розвитку Системи BankID Національного банку;

2) забезпечення загальної координації діяльності Розрахункового банку та взаємодії Абонентів у Системі BankID Національного банку.

7. Рада розглядає питання та приймає рішення для виконання основних завдань щодо:

1) загального управління та адміністративного керування Системою BankID Національного банку;

2) визначення стратегічних напрямів діяльності та розвитку Системи BankID Національного банку;

3) надання дозволу або відмови на приєднання нових Абонентів до Системи BankID Національного банку;

4) тимчасового зупинення без розірвання Договору приєднання та відновлення роботи абонентів Системи BankID Національного банку, а також припинення роботи абонентів цієї системи;

5) здійснення врегулювання позаштатних, конфліктних ситуацій та вирішення спірних питань, які можуть виникати під час функціонування Системи BankID Національного банку;

6) затвердження нормативних, технологічних, технічних, методичних, типових договорів з Абонентами та організаційних документів Системи BankID Національного банку;

7) визначення, узгодження та схвалення тарифів між Абонентами Системи BankID Національного банку;

8) визначення порядку проведення взаєморозрахунків, забезпечення здійснення розрахунків між абонентами з метою попередження ризику нездійснення таких розрахунків між Абонентами за наданими послугами.

8. Національний банк виконує функції Розрахункового банку. Для виконання функцій Розрахункового банку Національний банк здійснює відкриття та ведення рахунків для здійснення розрахунків між Абонентами з використанням цих рахунків на умовах укладених договорів.

9. Суб'єктами взаємовідносин в Системі BankID Національного банку є:

1) Національний банк;

2) Абоненти.

10. Відносини між Національним банком та Абонентами щодо користування Системою BankID Національного банку регулюються умовами Договору приєднання та умовами договорів, затверджених рішенням Ради.

11. Національний банк має право запитувати та отримувати від Абонентів персональні дані користувача з метою вирішення спорів між Абонентами та користувачами для завершення розрахунків за надані послуги користувачу за умови, якщо таке право передбачено в договорах між Абонентами та користувачами.

12. Порядок, умови приєднання і припинення участі в Системі BankID Національного банку визначаються рішенням Ради.

13. Комплекс програмно-технічних засобів Системи BankID Національного банку складається з:

1) центрального вузла Системи BankID Національного банку;

2) абонентських вузлів абонентів - надавачів послуг Системи BankID Національного банку;

3) абонентських вузлів абонентів-ідентифікаторів Системи BankID Національного банку.

14. Порядок функціонування комплексу програмно-технічних засобів Системи BankID Національного банку визначається нормативними/технологічними документами Системи BankID Національного банку.

15. Національний банк здійснює такі організаційно-технологічні функції Системи BankID Національного банку:

1) укладання, ведення та припинення Договору приєднання та договорів, затверджених рішенням Ради;

2) підключення, тимчасового зупинення та відновлення роботи Абонентів у Системі BankID Національного банку;

3) розроблення, впровадження та супровід комплексу програмно-технічних засобів Системи BankID Національного банку;

4) забезпечення роботи Системи BankID Національного банку: супроводження, експлуатацію та технічне обслуговування Системи BankID Національного банку;

5) реєстрацію і підтримку взаємодії абонентських вузлів;

6) ведення обліку електронних запитів на електронну дистанційну ідентифікацію та електронних дистанційних підтверджень ідентифікації користувачів у розрізі Абонентів;

7) ведення файлів журналів, їх захист від руйнування;

8) організаційно-методологічне управління, пов'язане з функціонуванням і розвитком Системи BankID Національного банку;

9) супроводження інформаційного забезпечення роботи Системи BankID Національного банку, інформування Абонентів про контактні дані координаторів та адміністраторів абонентських вузлів інших Абонентів;

10) взаємодію з адміністраторами вузлів усіх рівнів щодо виконання умов специфікацій взаємодії абонентських вузлів;

11) інформування адміністраторів абонентських вузлів про підключення, тимчасове зупинення, відновлення роботи та відключення абонентських вузлів;

12) надавання консультативної допомоги в разі надходження запитів від адміністраторів абонентських вузлів;

13) збирання, узагальнення та аналіз інформації про невиконання Абонентами вимог цього Положення та/або вимог специфікацій взаємодії;

14) розміщення інформації про діючих Абонентів, підключення, відключення, тимчасове зупинення та відновлення роботи абонентських вузлів Абонента Системи BankID Національного банку на вебсайті Системи BankID Національного банку.

16. Адміністратор абонентського вузла зобов'язаний протягом трьох годин в робочий час або протягом 48 (сорока восьми) годин у неробочий час із моменту виявлення відповідного порушення інформувати Національний банк про виникнення позаштатних ситуацій у роботі абонентського вузла, невідповідність роботи Системи BankID Національного банку в цілому та (або) окремих її частин вимогам цього Положення і вимогам специфікацій взаємодії.

17. Адміністратор абонентського вузла має виконувати такі функції:

1) здійснювати організацію роботи власного абонентського вузла;

2) взаємодіяти з адміністратором Системи BankID Національного банку;

3) супроводжувати інформаційне забезпечення власного абонентського вузла;

4) контролювати зберігання технологічної інформації, що документує роботу власного абонентського вузла відповідно до вимог законодавства України з питань реалізації державної політики у сфері захисту прав споживачів, захисту і обробки персональних даних із використанням автоматизованих засобів, захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, а також нормативно-правових актів Національного банку з питань інформатизації та інформаційних технологій;

5) надавати технологічну інформацію Національному банку в разі надходження відповідних запитів.

18. Надання послуг Системою BankID Національного банку здійснюється для абонентів-ідентифікаторів та для абонентів - надавачів послуг.

19. Користувач має можливість отримати послуги з використанням Системи BankID Національного банку від абонентів - надавачів послуг:

1) суб'єктів надання адміністративних послуг, органів державної влади та місцевого самоврядування;

2) банків, фінансових установ України та інших юридичних осіб, що не є фінансовими установами, а також громадських об'єднань, які мають право надавати такі послуги відповідно до законодавства України.

20. Учасниками процесу взаємодії в Системі BankID Національного банку є користувачі та Абоненти. Користувач для отримання послуги на порталі послуг Абонента має обрати електронну дистанційну ідентифікацію через Систему BankID Національного банку.

21. Система BankID Національного банку спрямовує користувача після його вибору способу ідентифікації на центральний вузол Системи BankID Національного банку, на якому обирається абонент-ідентифікатор.

22. Система BankID Національного банку після вибору користувачем абонента-ідентифікатора перенаправляє користувача на сторінку сервісу автентифікації обраного абонента-ідентифікатора.

23. Система BankID Національного банку відповідно до специфікації взаємодії забезпечує передавання електронних запитів на електронну дистанційну ідентифікацію і підписаних, зашифрованих електронних підтверджень електронної дистанційної ідентифікації між Абонентами.

24. Абонент зобов'язаний виконувати організаційно-технологічні функції щодо забезпечення безперебійної роботи власних абонентських вузлів.

25. Абонент зобов'язаний повідомляти та отримувати згоду від користувача про мету оброблення та оброблення його персональних даних відповідно до Закону України "Про захист персональних даних" .

26. Абонент зобов'язаний з метою електронної дистанційної ідентифікації користувача через Систему BankID Національного банку отримати від користувача дозвіл на надання відомостей про наявність банківського рахунку абонентові - надавачу послуг. Згода та дозвіл користувача можуть бути включені до договору між абонентом-ідентифікатором та користувачем.

27. Абонент зобов'язаний до надання послуги ознайомити користувача з розміром плати за передавання та/або отримання його ідентифікаційних даних та отримати згоду від користувача, якщо таку плату сплачуватиме користувач.

28. Абонент зобов'язаний забезпечити зберігання в електронному вигляді електронних запитів на електронну дистанційну ідентифікацію користувача в Системі BankID Національного банку та їх підтверджень не менше ніж 45 (сорок п'ять) робочих днів від дати отримання такого запиту для можливості вирішення спорів між Абонентами та користувачем щодо якості, достовірності та повноти персональних даних.

29. Абонент - надавач послуг має право створювати електронні запити на ідентифікацію та отримувати електронні підтвердження ідентифікації у вигляді електронної анкети користувача в Системі BankID Національного банку виключно відповідно до законодавства України, вимог цього Положення та специфікації взаємодії та умов укладених з Національним банком договорів.

30. Абонент - надавач послуг зобов'язаний визначати перелік полів електронної анкети в межах вимог специфікації взаємодії.

31. Абонент - надавач послуг зобов'язаний:

1) налаштувати функціонування абонентського вузла для можливості надсилати електронні запити на електронну дистанційну ідентифікацію користувача в Системі BankID Національного банку з порталу послуг до абонента-ідентифікатора в електронному вигляді;

2) забезпечити повноту, достовірність і своєчасність розміщення інформації на власному порталі послуг, а також цілодобову та безперебійну роботу власного порталу послуг;

3) надавати інформацію Національному банку в разі виникнення позаштатних ситуацій під час роботи в Системі BankID Національного банку для виявлення помилок та вирішення спорів.

32. Абоненту - надавачу послуг заборонено передавати третім особам інформацію щодо користувача, отриману під час здійснення електронної дистанційної ідентифікації засобами Системи BankID Національного банку, без згоди такого користувача, отриманої в порядку, передбаченому пунктом 25 розділу III цього Положення.

33. Абонент - надавач послуг зобов'язаний перед виконанням запиту на ідентифікацію:

1) поінформувати користувача належним чином про перелік і обсяг персональних даних, які запитуватимуться в абонента-ідентифікатора засобами Системи BankID Національного банку;

2) надати вичерпну інформацію про послугу, яку отримає користувач від абонента - надавача послуг у результаті передавання його персональних даних від абонента-ідентифікатора через Систему BankID Національного банку.

34. Абонент-ідентифікатор зобов'язаний забезпечити повноту, достовірність і актуальність надання електронних підтверджень електронної дистанційної ідентифікації користувачів.

35. Абонент-ідентифікатор має забезпечити надання користувачем згоди на передавання персональних даних під час проходження автентифікації або в будь-який інший спосіб, який дає змогу зробити висновок про надання такої згоди користувачем.

36. Абонент-ідентифікатор зобов'язаний після успішного проходження користувачем процедури автентифікації та перед передаванням електронного підтвердження електронної дистанційної ідентифікації з інформацією про персональні дані користувача через Систему BankID Національного банку підписати таке електронне підтвердження електронної дистанційної ідентифікації кваліфікованим електронним підписом уповноваженого працівника абонента-ідентифікатора або засвідчити кваліфікованою електронною печаткою абонента-ідентифікатора, та після підписання зашифрувати електронне підтвердження електронної дистанційної ідентифікації згідно з вимогами, зазначеними в специфікації взаємодії.

37. Система BankID Національного банку виконує такі облікові функції:

1) забезпечує ведення статистики роботи абонентських вузлів у Системі BankID Національного банку щодо проходження електронних запитів на електронну дистанційну ідентифікацію та електронних підтверджень електронної дистанційної ідентифікації;

2) зберігає інформацію про електронні запити на електронну дистанційну ідентифікацію та їх підтвердження, що пройшли через центральний вузол Системи BankID Національного банку, за кількістю, без збирання, збереження, архівування, оброблення та доступу до їх змісту;

3) визначає електронний запит на електронну дистанційну ідентифікацію, під час оброблення якого зафіксована помилка, тип помилки;

4) фіксує факт проходження електронних запитів на електронну дистанційну ідентифікацію та електронних підтверджень електронної дистанційної ідентифікації підтверджень через центральний вузол Системи BankID Національного банку;

5) надає Абонентам інформацію (за запитом або на умовах, визначених у договорах) з файлів журналу про проходження їх електронних запитів на електронну дистанційну ідентифікацію та електронних підтверджень електронної дистанційної ідентифікації під час користування Системою BankID Національного банку.

38. Національний банк для обліку в статистиці ураховує електронний запит на електронну дистанційну ідентифікацію та електронне підтвердження електронної дистанційної ідентифікації як успішне, якщо підписане та зашифроване абонентом-ідентифікатором електронне підтвердження електронної дистанційної ідентифікації пройшло через центральний вузол Системи BankID Національного банку до абонента - надавача послуг.

39. Національний банк має право встановлювати тарифи на послуги, що надаються Національним банком, за підключення та користування Системою BankID Національного банку.

40. Національний банк має право визначати типи та розміри міжабонентських тарифів та комісійних винагород у Системі BankID Національного банку та схвалювати їх рішенням Ради з метою забезпечення розвитку Системи BankID Національного банку.

41. Національний банк має право формувати та надавати Абонентам файли з інформацією про кількість електронних запитів на електронну дистанційну ідентифікацію та про кількість електронних підтверджень електронної дистанційної ідентифікації для здійснення взаєморозрахунків між Абонентами.

42. Абонент зобов'язаний самостійно забезпечити захист інформації у власних інформаційно-телекомунікаційних системах, а також захист інформації під час її оброблення на власних абонентських вузлах Системи BankID Національного банку відповідно до вимог законодавства України.

43. Абонент зобов'язаний забезпечити конфіденційність та контроль за цілісністю інформації відповідно до специфікацій взаємодії.

44. Абонент - надавач послуг повинен припинити створення електронних запитів на ідентифікацію та отримання електронних підтверджень ідентифікації в разі виявлення порушень:

1) працездатності власного абонентського вузла;

2) інформаційної безпеки власного абонентського вузла до моменту усунення цих порушень.

Абонент - надавач послуг, який припиняє роботу відповідно до підпунктів 1, 2 пункту 44 розділу VI цього Положення, зобов'язаний не пізніше ніж протягом трьох годин у робочий час або протягом 48 (сорока восьми) годин у неробочий час із моменту виявлення відповідного порушення повідомити Національний банк про причини порушення, прогнозований час його усунення та поновлення роботи відповідного абонентського вузла.

45. Абонент зобов'язаний протягом трьох годин у робочий час та протягом 48 (сорока восьми) годин у неробочий час із моменту виявлення повідомити Національний банк та адміністраторів відповідних абонентських вузлів про будь-яке порушення роботи Системи BankID Національного банку, роботи абонентських вузлів, порушення цілісності даних, порушення специфікацій взаємодії. Інформація, яка надсилається Національному банку, повинна містити відомості про назву Абонента та абонентського вузла, на якому виявлені порушення, час і суть порушення, факти, що визначають порушення.

46. Національний банк гарантує отримання Абонентами послуги користування Системою BankID Національного банку для забезпечення передавання електронних запитів на ідентифікацію та електронних підтверджень ідентифікації за умови виконання всіма Абонентами умов цього Положення, Договору приєднання та специфікацій взаємодії.

47. Абонент зобов'язаний вирішувати всі спірні питання стосовно використання Системи BankID Національного банку шляхом переговорів з Національним банком. У разі недосягнення згоди між Абонентом та Національним банком щодо спірного питання такий спір вирішується в порядку, визначеному законодавством України.

48. Спори з питань користування Системою BankID Національного банку, які виникають протягом дії Договору приєднання, вирішуються згідно із законодавством України, Договором приєднання.