ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ
ПОСТАНОВА
17.03.2020 № 32 |
Про затвердження Положення про Систему BankID Національного банку України
( Із змінами, внесеними згідно з Постановами Національного банку № 109 від 30.07.2020 № 35 від 27.04.2021 № 105 від 01.09.2023 № 63 від 28.05.2024 )
Відповідно до статей 7, 15, 56 Закону України "Про Національний банк України", статей 5, 9 Закону України "Про електронні довірчі послуги", з метою врегулювання роботи єдиної Системи BankID Національного банку України Правління Національного банку України ПОСТАНОВЛЯЄ:
1. Затвердити Положення про Систему BankID Національного банку України, що додається.
2. Визнати такими, що втратили чинність:
1) постанову Правління Національного банку України від 30 серпня 2016 року № 378 "Про затвердження Положення про Систему BankID Національного банку України";
2) постанову Правління Національного банку України від 03 жовтня 2018 року № 105 "Про внесення змін до деяких нормативно-правових актів Національного банку України".
3. Контроль за виконанням цієї постанови покласти на заступника Голови Національного банку України Сергія Холода.
4. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.
Голова | Я. Смолій |
ЗАТВЕРДЖЕНО
Постанова Правління
Національного банку України
17.03.2020 № 32
(у редакції
постанови Правління
Національного банку України
01.09.2023 № 105
)
ПОЛОЖЕННЯ
про Систему BankID Національного банку України
I. Загальні положення
1. Це Положення розроблено відповідно до Законів України "Про Національний банк України", "Про банки і банківську діяльність" і визначає загальні засади функціонування Системи BankID Національного банку України (далі - Система BankID Національного банку), порядок використання Системи BankID Національного банку та здійснення розрахунків між її абонентами під час використання Системи BankID Національного банку, а також ведення статистики в Системі BankID Національного банку.
2. Терміни в цьому Положенні вживаються в такому значенні:
1) абонент-ідентифікатор - банк України, який є абонентом Системи BankID Національного банку та безпосередньо виконує функції ідентифікації, автентифікації та верифікації клієнтів (банку), які є користувачами Системи BankID Національного банку;
2) абонент - надавач послуг - абонент Системи BankID Національного банку, який з її використанням отримує від абонента-ідентифікатора дані користувача Системи BankID Національного банку з метою надання йому послуг;
3) абонент - надавач послуг зі спеціальним статусом - юридична особа з державною формою власності, яка є абонентом Системи BankID Національного банку та для забезпечення виконання своїх функцій, передбачених законодавством України, отримує від абонента-ідентифікатора з використанням Системи BankID Національного банку дані користувача Системи BankID Національного банку та передає їх контрагенту абонента - надавача послуг зі спеціальним статусом для безпосереднього надання ним послуги цьому користувачу;
4) абонент Системи BankID Національного банку (далі - абонент) - юридична особа-резидент приватного або публічного права, яка має укладений Національним банком України (далі - Національний банк) договір приєднання до Системи BankID Національного банку, та Національний банк;
5) абонентський вузол Системи BankID Національного банку (далі - абонентський вузол) - комплекс програмно-технічних засобів, установлений в абонента та призначений для забезпечення обміну інформацією між абонентами через Систему BankID Національного банку;
6) автентифікація - електронна процедура, яка дає змогу встановити та підтвердити особу користувача Системи BankID Національного банку;
7) адміністратор абонентського вузла - працівник абонента, який відповідає за забезпечення функціонування абонентського вузла;
8) адміністратор Системи BankID Національного банку - працівник Національного банку, на якого покладено обов’язки виконання функцій адміністратора центрального вузла Системи BankID Національного банку;
9) багатофакторна автентифікація - автентифікація, здійснена з використанням не менше двох факторів автентифікації, кожен із яких має належати до різних категорій факторів автентифікації, а саме - знання, володіння, притаманність;
10) гарантійне забезпечення - сума коштів, перерахована абонентом - надавачем послуг/абонентом - надавачем послуг зі спеціальним статусом, який є комерційним абонентом, на рахунок, відкритий у розрахунковому банку Системи BankID Національного банку, з метою забезпечення виконання своїх зобов’язань за звітний період перед абонентами-ідентифікаторами та проведення розрахунків за послуги, отримані абонентом - надавачем послуг/абонентом - надавачем послуг зі спеціальним статусом від Національного банку відповідно до договору приєднання до Системи BankID Національного банку, оплата за які не надійшла від абонента - надавача послуг/абонента - надавача послуг зі спеціальним статусом у строки та порядку, встановлені договором приєднання до Системи BankID Національного банку;
11) гарантійний внесок - сума коштів, перерахована абонентом - надавачем послуг/абонентом - надавачем послуг зі спеціальним статусом, який є комерційним абонентом, до гарантійного фонду на рахунок, відкритий у розрахунковому банку Системи BankID Національного банку, для покриття ризиків невиконання своїх зобов’язань перед абонентами-ідентифікаторами та Національним банком за надані послуги, отримані з використанням Системи BankID Національного банку;
12) гарантійний фонд - фонд покриття ризиків неплатежів за послугами, отриманими абонентами - надавачами послуг/абонентами - надавачами послуг зі спеціальним статусом, які є комерційними абонентами, з використанням Системи BankID Національного банку;
13) дані користувача Системи BankID Національного банку - ідентифікаційні дані та інша інформація про користувача Системи BankID Національного банку, перелік якої визначено в електронній анкеті cпецифікації взаємодії абонентського вузла з центральним вузлом Системи BankID Національного банку;
14) договір приєднання до Системи BankID Національного банку (далі - Договір приєднання) - публічна пропозиція Національного банку з метою встановлення з юридичними особами-резидентами приватного або публічного права договірних взаємовідносин щодо роботи в Системі BankID Національного банку;
15) електронна дистанційна ідентифікація - процес віддаленого розпізнавання фізичної особи абонентом - надавачем послуг/контрагентом абонента - надавача послуг зі спеціальним статусом із підтвердженням успішної автентифікації користувача Системи BankID Національного банку абонентомідентифікатором;
16) електронне підтвердження електронної дистанційної ідентифікації (далі - ЕПІ) - складова частина електронної дистанційної ідентифікації - інформація у вигляді електронної анкети, яка формується відповідно до вимог специфікації взаємодії абонентського вузла з центральним вузлом Системи BankID Національного банку та містить дані користувача Системи BankID Національного банку;
17) електронний запит на електронну дистанційну ідентифікацію (далі - ЕЗІ) - складова частина електронної дистанційної ідентифікації, яку ініціює користувач Системи BankID Національного банку;
18) ключ - позначення даних користувача Системи BankID Національного банку відповідно до cпецифікації взаємодії абонентського вузла з центральним вузлом Системи BankID Національного банку для формування ЕЗІ та ЕПІ користувача. Перелік, значення та правила передавання ключів, які входять до складу стандартизованих наборів даних, містяться в специфікації взаємодії абонентського вузла з центральним вузлом Системи BankID Національного банку;
19) комерційна послуга - послуга, яка надається абонентом - суб’єктом господарювання в межах своєї комерційної діяльності, здійснюваної з метою отримання прибутку;
20) комерційний абонент - абонент - надавач послуг/абонент - надавач послуг зі спеціальним статусом, який отримав дозвіл Ради Системи BankID Національного банку (далі - Рада) на використання Системи BankID Національного банку для надання/забезпечення надання комерційних послуг користувачам Системи BankID Національного банку та включений до переліку комерційних абонентів - надавачів послуг, та абонент-ідентифікатор. Комерційний абонент може підключати некомерційний абонентський вузол із метою надання некомерційних послуг у разі отримання відповідного дозволу Ради;
21) комерційний абонентський вузол - абонентський вузол комерційного абонента, через який проходять ЕПІ, отримані абонентом - надавачем послуг/абонентом - надавачем послуг зі спеціальним статусом із метою надання/забезпечення надання користувачам Системи BankID Національного банку комерційних послуг, які підлягають тарифікації за міжабонентськими тарифами;
22) контрагент абонента - надавача послуг зі спеціальним статусом - орган державної влади, орган місцевого самоврядування, юридична особа-резидент (за винятком суб’єкта первинного фінансового моніторингу, державне регулювання та нагляд за яким здійснює Національний банк), який підключений до абонента - надавача послуг зі спеціальним статусом та отримує від нього дані користувача Системи BankID Національного банку для надання послуги безпосередньо такому користувачу;
23) координатор проєкту для взаємодії (далі - координатор) - відповідальна особа претендента/абонента, уповноважена вирішувати питання, що виникають під час приєднання до Системи BankID Національного банку та роботи в Системі BankID Національного банку;
24) користувач Системи BankID Національного банку (далі - користувач) - фізична особа, яка ініціювала ЕЗІ з використанням Системи BankID Національного банку з метою отримання послуги від абонента - надавача послуг або контрагента абонента - надавача послуг зі спеціальним статусом;
25) міжабонентські тарифи - схвалена рішенням Ради вартість успішного ЕПІ, яку сплачує абонент - надавач послуг/абонент - надавач послуг зі спеціальним статусом абоненту-ідентифікатору;
26) некомерційна послуга - послуга:
що надається фізичній особі: суб’єктом або центром надання адміністративних послуг відповідно до Закону України "Про адміністративні послуги"; юридичною особою публічного права для реалізації прав фізичної особи на подання звернень та їх розгляд відповідно до Закону України "Про звернення громадян"; громадським об’єднанням поза межами здійснення ним підприємницької діяльності; Національним банком на виконання функцій Національного банку відповідно до законодавства України; іншими органами державної влади на виконання їх функцій відповідно до законодавства України;
( Абзац другий підпункту 26 пункту 2 розділу I із змінами, внесеними згідно з Постановою Національного банку № 63 від 28.05.2024 )
державного підприємства "ДІЯ" з надання безоплатного доступу і використання ресурсів інтегрованої системи електронної ідентифікації, Єдиного державного вебпорталу електронних послуг, електронного кабінету призовника, військовозобов’язаного, резервіста;
( Абзац третій підпункту 26 пункту 2 розділу I із змінами, внесеними згідно з Постановою Національного банку № 63 від 28.05.2024 )
абонента - надавача послуг зі спеціальним статусом для забезпечення надання фізичним особам послуг, визначених в абзаці другому підпункту 26 пункту 2 розділу I цього Положення;
27) некомерційний абонент - надавач послуг - абонент - надавач послуг/абонент - надавач послуг зі спеціальним статусом, який отримав дозвіл Ради на використання Системи BankID Національного банку виключно для надання/забезпечення надання некомерційних послуг користувачам та включений до переліку некомерційних абонентів - надавачів послуг;
28) некомерційний абонентський вузол - абонентський вузол, через який проходять ЕПІ, отримані абонентом - надавачем послуг/абонентом - надавачем послуг зі спеціальним статусом із метою надання/забезпечення надання користувачам некомерційних послуг, які не підлягають тарифікації за міжабонентськими тарифами;
29) організаційна структура Системи BankID Національного банку - сукупність визначених Національним банком суб’єктів взаємовідносин у Системі BankID Національного банку, їхніх функцій, прав і обов’язків, а також сукупність відносин, що виникають між ними під час проведення електронної дистанційної ідентифікації та/або верифікації користувачів абонентами, передавання даних користувачів і забезпечення діяльності Системи BankID Національного банку;
30) портал послуг - вебсайт (вебпортал), мобільний застосунок (додаток), платіжний застосунок, на якому користувачем ініціюється ЕЗІ;
31) претендент - юридична особа-резидент приватного або публічного права, яка подала заяву про приєднання до Системи BankID Національного банку України для набуття певного статусу абонента на умовах Договору приєднання;
32) розрахунковий банк Системи BankID Національного банку (далі - Розрахунковий банк) - Національний банк, який здійснює взаєморозрахунки між комерційними абонентами на умовах, визначених в укладених з абонентами договорах;
33) Система BankID Національного банку - національна система електронної дистанційної ідентифікації Національного банку, яка забезпечує здійснення електронної дистанційної ідентифікації та верифікації фізичних осіб шляхом передавання даних користувачів абонентом-ідентифікатором абоненту - надавачу послуг/абоненту - надавачу послуг зі спеціальним статусом;
34) cпецифікація взаємодії абонентського вузла з центральним вузлом Системи BankID Національного банку (далі - специфікація взаємодії) - документ, який визначає технічні вимоги щодо взаємодії Системи BankID Національного банку з абонентськими вузлами. У специфікації взаємодії визначаються методи та протоколи інформаційної взаємодії, вимоги до захисту інформації в системі та інші технічні параметри;
35) стандартизований набір даних - комбінація ключів, потрібних для здійснення електронної дистанційної ідентифікації та/або верифікації користувача, для надання/забезпечення надання йому певного типу послуги абонентом - надавачем послуг/абонентом - надавачем послуг зі спеціальним статусом, визначена в специфікації взаємодії;
36) статус абонента - статус абонента в Системі BankID Національного банку, зазначений абонентом у заяві про приєднання до Системи BankID Національного банку та набутий відповідно до умов Договору приєднання: абонент-ідентифікатор, абонент - надавач послуг, абонент - надавач послуг зі спеціальним статусом;
37) центральний вузол Системи BankID Національного банку - комплекс програмно-технічних засобів, що забезпечує взаємодію абонентських вузлів.
Інші терміни, що вживаються в цьому Положенні, використовуються в значеннях, визначених законодавством України або нормативно-правовими актами Національного банку.
3. Вимоги цього Положення поширюються на відносини, що виникають між Національним банком та абонентами, а також між абонентами під час використання Системи BankID Національного банку.
II. Організаційна структура та послуги Системи BankID Національного банку
4. Національний банк є керівним органом в організаційній структурі Системи BankID Національного банку.
Національний банк має право створити колегіальний орган з управління Системою BankID Національного банку - Раду, до повноважень якої належить прийняття рішень з питань розвитку, супроводження та забезпечення діяльності Системи BankID Національного банку для ефективного та надійного управління цією системою.
5. Рада є підконтрольною та підзвітною Правлінню Національного банку. Рада створюється та припиняє свою діяльність за рішенням Правління Національного банку.
6. Основними завданнями Ради є:
1) визначення правил та умов роботи, розрахунків і взаємодії абонентів у Системі BankID Національного банку, організаційних, технічних, методичних і технологічних засад функціонування та розвитку Системи BankID Національного банку;
2) забезпечення загальної координації діяльності Розрахункового банку та взаємодії абонентів у Системі BankID Національного банку.
7. Рада уповноважена розглядати питання та приймати рішення для виконання основних завдань щодо:
1) загального управління та адміністративного керування Системою BankID Національного банку;
2) визначення стратегічних напрямів діяльності та розвитку Системи BankID Національного банку;
3) надання дозволу або відмови претенденту/абоненту за його зверненням на:
приєднання до Системи BankID Національного банку;
підключення/тимчасове зупинення роботи/відключення комерційних та некомерційних абонентських вузлів та порталів послуг;
заміну параметрів абонентського вузла/порталу послуг, які були затверджені рішенням Ради;
використання Системи BankID Національного банку для надання/забезпеченння надання певного типу комерційних/некомерційних послуг користувачам;
використання переліку ключів/стандартизованих наборів даних;
4) анулювання/скасування наданого Радою дозволу претенденту/абоненту в разі невиконання претендентом/абонентом встановлених Радою вимог;
5) відмови в розірванні Договору приєднання за ініціативою абонента за наявності заборгованості перед Національним банком та/або абонентами;
6) тимчасового зупинення (блокування в Системі BankID Національного банку) роботи абонента та/або абонентського вузла, та/або передавання даних користувачів до контрагентів абонента - надавача послуг зі спеціальним статусом;
7) відновлення (розблокування в Системі BankID Національного банку) роботи абонента та/або абонентського вузла, та/або відновлення передавання даних користувачів до контрагентів абонента - надавача послуг зі спеціальним статусом у разі виконання претендентом/абонентом/контрагентом абонента - надавача послуг зі спеціальним статусом встановлених Радою вимог;
8) врегулювання позаштатних, конфліктних ситуацій та вирішення спірних питань, які можуть виникати під час функціонування Системи BankID Національного банку;
9) затвердження документів, що визначають правила та умови роботи, розрахунків і взаємодії абонентів у Системі BankID Національного банку, технологічні, технічні, методичні та організаційні засади функціонування Системи BankID Національного банку, типових договорів з абонентами, Договору приєднання, розміру штрафів за порушення абонентами умов договорів, які затверджуються рішеннями Ради та укладаються з абонентами;
10) визначення, узгодження та схвалення міжабонентських тарифів;
11) визначення порядку проведення взаєморозрахунків, дня розрахунків, забезпечення здійснення розрахунків між комерційними абонентами з метою попередження ризику нездійснення таких розрахунків між абонентами за наданими/отриманими послугами;
12) створення та припинення діяльності арбітражної комісії Системи BankID Національного банку й затвердження її складу для вирішення спорів, які можуть виникати між абонентами під час здійснення розрахунків між ними;
13) застосування штрафів до абонентів за порушення ними умов договорів, які затверджені рішеннями Ради та укладені з абонентами, та прийняття рішення щодо виставлення вимог та початку претензійно-позовної діяльності в разі несплати абонентом пені/штрафу;
14) списання суми заборгованості з гарантійного забезпечення та/або гарантійного внеску абонента - надавача послуг/абонента - надавача послуг зі спеціальним статусом, який є комерційним абонентом, або кореспондентського рахунку абонента-ідентифікатора в разі невиконання абонентом своїх зобов’язань за отримані від Національного банку послуги за Договором приєднання у строк та порядку, що встановлені Договором приєднання;
15) затвердження/скасування/внесення змін до стандартизованих наборів даних;
16) затвердження переліку послуг, які надає Національний банк із використанням Системи BankID Національного банку;
17) включення/виключення абонентів - надавачів послуг/абонентів - надавачів послуг із спеціальним статусом до/із переліку комерційних абонентів - надавачів послуг;
18) визнання діяльності абонента - надавача послуг/абонента - надавача послуг зі спеціальним статусом/контрагента абонента - надавача послуг зі спеціальним статусом ризиковою за результатами моніторингу послуг/перевірки абонента/контрагента абонента-надавача послуг зі спеціальним статусом та прийняття рішення щодо його подальшої діяльності в Системі BankID Національного банку;
19) припинення участі абонента в Системі BankID Національного банку.
8. Національний банк виконує функції Розрахункового банку. Національний банк для виконання функцій Розрахункового банку здійснює облік коштів, що надходять від абонентів - надавачів послуг/абонентів - надавачів послуг зі спеціальним статусом, які є комерційними абонентами, як гарантійне забезпечення та гарантійні внески, на відповідних рахунках у балансі Національного банку та забезпечує розрахунки між абонентами відповідно до документів та договорів, затверджених рішеннями Ради на підставі цього Положення.
9. Національний банк є некомерційним абонентом - надавачем послуг у Системі BankID Національного банку. Національний банк для виконання функцій абонента - надавача послуг діє на підставі цього Положення без укладення Договору приєднання та здійснює надання послуг користувачам на виконання функцій Національного банку відповідно до законодавства України. Перелік послуг, які надає Національний банк із використанням Системи BankID Національного банку, затверджується рішенням Ради.
10. Суб’єктами взаємовідносин у Системі BankID Національного банку є:
1) Національний банк;
2) абоненти.
11. Відносини між Національним банком та абонентами, а також між абонентами щодо використання Системи BankID Національного банку регулюються умовами укладених договорів, затверджених рішеннями Ради, та/або цим Положенням.
12. Порядок приєднання абонентів до Системи BankID Національного банку, їхньої роботи, проведення розрахунків і припинення їхньої участі в Системі BankID Національного банку визначається документами, затвердженими рішеннями Ради.
13. Комплекс програмно-технічних засобів Системи BankID Національного банку складається з:
1) центрального вузла Системи BankID Національного банку;
2) комерційних абонентських вузлів абонентів-ідентифікаторів;
3) комерційних/некомерційних абонентських вузлів абонентів - надавачів послуг/абонентів - надавачів послуг зі спеціальним статусом.
14. Порядок функціонування комплексу програмно-технічних засобів Системи BankID Національного банку визначається документами, затвердженими рішеннями Ради.
15. Національний банк здійснює такі організаційно-технологічні функції в Системі BankID Національного банку:
1) укладання, ведення та припинення Договору приєднання та інших договорів, затверджених рішеннями Ради;
2) підключення, тимчасове зупинення та відновлення роботи абонентів у Системі BankID Національного банку, відключення абонентів від Системи BankID Національного банку;
3) підключення, тимчасове зупинення та відновлення роботи абонентських вузлів/порталів послуг у Системі BankID Національного банку, відключення абонентських вузлів/порталів послуг від Системи BankID Національного банку;
4) розроблення, впровадження та супровід комплексу програмно-технічних засобів Системи BankID Національного банку;
5) забезпечення роботи Системи BankID Національного банку: супроводження, експлуатація та технічне обслуговування Системи BankID Національного банку;
6) реєстрація абонентів, реєстрація і підтримка роботи зі взаємодії абонентських вузлів, реєстрація порталів послуг;
7) ведення обліку ЕЗІ та ЕПІ користувачів у розрізі абонентів;
8) ведення файлів журналів, їх захист від руйнування;
9) організаційно-методологічне управління, пов’язане з функціонуванням і розвитком Системи BankID Національного банку;
10) супроводження інформаційного забезпечення роботи Системи BankID Національного банку, інформування абонентів про контактні дані координаторів та адміністраторів абонентських вузлів інших абонентів;
11) взаємодія з адміністраторами абонентських вузлів усіх рівнів щодо виконання вимог специфікації взаємодії;
12) інформування координаторів та адміністраторів абонентських вузлів про підключення, тимчасове зупинення, відновлення роботи та відключення абонентських вузлів;
13) надання консультативної допомоги в разі надходження запитів від претендента/абонента;
14) збір, узагальнення та аналіз інформації про невиконання абонентами вимог цього Положення та/або вимог специфікації взаємодії, та/або вимог інших документів, затверджених рішеннями Ради;
15) розміщення інформації про діючих абонентів та їхні абонентські вузли, тимчасове зупинення їхньої роботи на вебсайті Системи BankID Національного банку;
16) моніторинг послуг та перевірка абонентів - надавачів послуг/абонентів - надавачів послуг зі спеціальним статусом/контрагентів абонента - надавача послуг зі спеціальним статусом щодо дотримання ними вимог, установлених цим Положенням, специфікацією взаємодії, умовами укладених з Національним банком договорів, а також іншими документами, затвердженими рішеннями Ради.
16. Адміністратор абонентського вузла виконує такі функції:
1) здійснює організацію роботи власного абонентського вузла/порталу послуг;
2) взаємодіє з адміністратором Системи BankID Національного банку;
3) супроводжує інформаційне забезпечення власного абонентського вузла/порталу послуг;
4) контролює зберігання технологічної інформації, що документує роботу власного абонентського вузла відповідно до вимог законодавства України у сфері захисту прав споживачів, захисту й обробки персональних даних із використанням автоматизованих засобів захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, а також нормативно-правових актів Національного банку з питань інформатизації та інформаційних технологій;
5) надає технологічну інформацію Національному банку в разі надходження відповідних запитів.
17. Національний банк надає послуги в Системі BankID Національного банку абонентам.
18. Надання/забезпечення надання послуг користувачам із використанням Системи BankID Національного банку здійснюється абонентами - надавачами послуг та абонентами - надавачами послуг зі спеціальним статусом.
19. Користувач має можливість отримати послуги з використанням Системи BankID Національного банку від абонентів - надавачів послуг:
1) суб’єктів надання адміністративних послуг, органів державної влади та місцевого самоврядування;
2) банків, фінансових установ України та інших юридичних осіб, що не є фінансовими установами, а також громадських об’єднань, які мають право надавати такі послуги відповідно до законодавства України.
20. Користувач має можливість отримувати послуги в контрагентів абонента - надавача послуг зі спеціальним статусом із використанням Системи BankID Національного банку шляхом передавання своїх даних від абонентаідентифікатора до абонента - надавача послуг зі спеціальним статусом із подальшим передаванням абонентом - надавачем послуг зі спеціальним статусом таких даних безпосередньо до контрагента абонента - надавача послуг зі спеціальним статусом як до кінцевого отримувача таких даних.
III. Порядок використання Системи BankID Національного банку, права та обов’язки суб’єктів взаємовідносин у Системі BankID Національного банку
21. Учасниками процесу взаємодії в Системі BankID Національного банку є:
1) користувачі;
2) абоненти.
22. Користувач для отримання послуги на порталі послуг із використанням Системи BankID Національного банку має обрати Систему BankID Національного банку як спосіб електронної дистанційної ідентифікації та/або верифікації.
23. Система BankID Національного банку після вибору користувачем Системи BankID Національного банку як способу електронної дистанційної ідентифікації та/або верифікації спрямовує його на центральний вузол Системи BankID Національного банку, на якому користувач має обрати абонентаідентифікатора.
24. Система BankID Національного банку після вибору користувачем абонента-ідентифікатора перенаправляє його на сторінку сервісу автентифікації обраного абонента-ідентифікатора для проходження користувачем багатофакторної автентифікації.
25. Абонент-ідентифікатор після успішного проходження користувачем багатофакторної автентифікації формує ЕПІ з даними користувача, запит на які надійшли в ЕЗІ.
26. Система BankID Національного банку відповідно до специфікації взаємодії забезпечує передавання ЕЗІ та ЕПІ між абонентами.
27. Абонент - надавач послуг/абонент - надавач послуг зі спеціальним статусом має право створювати ЕЗІ та отримувати ЕПІ у вигляді електронної анкети користувача в Системі BankID Національного банку виключно відповідно до законодавства України, вимог цього Положення, специфікації взаємодії та умов укладених із Національним банком договорів.
28. Абонент зобов’язаний:
1) виконувати організаційно-технологічні функції щодо забезпечення безперебійної роботи власних абонентських вузлів/порталів послуг;
2) повідомляти користувача про мету обробки його даних та отримувати згоду користувача на обробку його даних відповідно до Закону України "Про захист персональних даних";
3) отримувати згоду користувача на розкриття Національному банку його даних, що містяться в ЕПІ, з метою вирішення спорів між абонентами.
29. Абонент - надавач послуг, який є суб’єктом первинного фінансового моніторингу, під час використання Системи BankID Національного банку для ідентифікації та верифікації клієнтів повинен дотримуватися порядку, що визначений нормативно-правовими актами суб’єкта державного фінансового моніторингу, який здійснює державне регулювання та нагляд за цією установою відповідно до Закону України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення".
30. Абонент - надавач послуг/абонент - надавач послуг зі спеціальним статусом зобов’язаний:
1) до надання послуги ознайомити/забезпечити ознайомлення користувача з розміром плати за передавання та/або отримання його даних та отримати згоду від користувача, якщо таку плату встановлено для оплати користувачем;
2) забезпечити повноту, достовірність і своєчасність розміщення на порталі послуг інформації про умови та порядок надання послуги, з метою надання якої здійснюється електронна дистанційна ідентифікація та/або верифікація користувача засобами Системи BankID Національного банку, з дотриманням вимог законодавства України та документів, затверджених рішеннями Ради. Інформація повинна містити перелік послуг, які надаються користувачу, порядок та умови їх надання, вартість, ціни/тарифи, розмір плати (проценти) за послуги, інформацію про механізми захисту прав споживачів та іншу інформацію, визначену законодавством України у сфері захисту прав споживачів;
3) використовувати для ініціювання ЕЗІ користувача стандартизований набір даних, призначений для надання/забезпечення надання певного типу послуги, на надання/забезпечення надання якої з використанням Системи BankID Національного банку йому рішенням Ради надано дозвіл;
4) використовувати Систему BankID Національного банку виключно для надання/забезпечення надання користувачу тих послуг, для яких рішенням Ради йому дозволено використання Системи BankID Національного банку;
5) повідомляти Національний банк шляхом надсилання офіційного листа про намір змінити перелік послуг, для яких рішенням Ради йому дозволено використання Системи BankID Національного банку, для отримання відповідного дозволу Ради на зміну переліку. Новий перелік послуг може надаватися лише після та за умови отримання дозволу Ради на таку зміну;
6) налаштувати функціонування абонентського вузла для можливості надсилати ЕЗІ користувача через Систему BankID Національного банку з порталу послуг до абонента-ідентифікатора в електронному вигляді;
7) надавати інформацію Національному банку в разі виникнення позаштатних ситуацій під час роботи в Системі BankID Національного банку для виявлення помилок та вирішення спорів;
8) забезпечити захист, обробку та використання даних користувача, отриманих із використанням Системи BankID Національного банку, відповідно до вимог законодавства України з питань захисту персональних даних, захисту інформації в інформаційно-комунікаційних системах та договорів, укладених із Національним банком. Такий обов’язок виникає з моменту передавання зашифрованого ЕПІ з центрального вузла Системи BankID Національного банку до абонентського вузла абонента - надавача послуг/абонента - надавача послуг зі спеціальним статусом;
9) надавати інформацію на письмовий запит абонента-ідентифікатора щодо ЕПІ та/або ЕЗІ, здійсненого(их) між ними, протягом 20 календарних днів із дати отримання відповідного письмового запиту.
31. Абонент - надавач послуг перед виконанням ЕЗІ зобов’язаний:
1) поінформувати користувача належним чином про перелік даних такого користувача, які запитуватимуться в абонента-ідентифікатора засобами Системи BankID Національного банку, та мету їх збору відповідно до законодавства України з питань захисту персональних даних;
2) надавати користувачу інформацію про умови та порядок надання послуги, з метою надання якої здійснюється електронна дистанційна ідентифікація та/або верифікація користувача засобами Системи BankID Національного банку, з дотриманням вимог законодавства України та документів, затверджених рішеннями Ради.
32. Абонент - надавач послуг зі спеціальним статусом зобов’язаний:
1) забезпечити безпечне передавання даних користувача, отриманих із використанням Системи BankID Національного банку, до контрагентів абонента - надавача послуг зі спеціальним статусом, унеможлививши несанкціоноване їх розкриття або використання третіми особами під час здійснення такого передавання;
2) зобов’язати контрагентів абонента - надавача послуг зі спеціальним статусом:
перед виконанням запиту на ідентифікацію користувача інформувати його належним чином про перелік даних такого користувача, які запитуватимуться в абонента-ідентифікатора засобами Системи BankID Національного банку, та мету їх збору відповідно до законодавства України з питань захисту персональних даних;
як володільців персональних даних, які визначають мету обробки персональних даних, встановлюють склад таких даних та процедури їх обробки відповідно до Закону України "Про захист персональних даних", здійснювати обробку персональних даних відкрито і прозоро, із застосуванням засобів та в спосіб, що відповідають визначеним цілям такої обробки;
здійснювати обробку персональних даних користувачів лише для визначеної, чіткої і законної мети, яка повинна бути визначена до початку обробки таких персональних даних, і надалі не обробляти персональних даних у спосіб, що є несумісним із такою метою;
забезпечити повноту, достовірність і своєчасність розміщення на вебсайті (вебпорталі), у мобільному застосунку (додатку), платіжному застосунку інформації про умови та порядок надання послуги, з метою надання якої здійснюється електронна дистанційна ідентифікація та/або верифікація користувача засобами Системи BankID Національного банку, з дотриманням вимог законодавства України та документів, затверджених рішеннями Ради.
33. Абонент-ідентифікатор має право надавати ЕПІ на ЕЗІ виключно щодо користувачів, які на дату отримання абонентом-ідентифікатором ЕЗІ є клієнтами абонента-ідентифікатора та мають діючі договірні відносини з ним.
Абоненту-ідентифікатору забороняється надавати ЕПІ щодо користувачів, які припинили договірні відносини з банком, але мають технологічний доступ до свого облікового запису в каналах дистанційного банківського обслуговування.
34. Абонент-ідентифікатор зобов’язаний:
1) забезпечити повноту, достовірність й актуальність надання ЕПІ користувачів;
2) отримати від користувача дозвіл на передавання його даних абоненту - надавачу послуг/абоненту - надавачу послуг зі спеціальним статусом із метою здійснення електронної дистанційної ідентифікації та/або верифікації користувача з використанням Системи BankID Національного банку;
3) після успішного проходження користувачем процедури автентифікації та перед передаванням ЕПІ через Систему BankID Національного банку підписати таке ЕПІ кваліфікованим електронним підписом уповноваженого працівника абонента-ідентифікатора або засвідчити кваліфікованою електронною печаткою абонента-ідентифікатора, та після підписання/засвідчення зашифрувати ЕПІ згідно з вимогами, зазначеними в специфікації взаємодії;
4) надавати інформацію на письмовий запит абонента - надавача послуг/абонента - надавача послуг зі спеціальним статусом щодо ЕПІ (параметри та їх наповнення), отриманих від такого абонента-ідентифікатора, з метою вирішення спірних питань, що виникають між користувачем та абонентом, та питань відповідності ЕПІ специфікації взаємодії у строк до 20 календарних днів із дати отримання письмового запиту.
35. Абонент-ідентифікатор та абонент - надавач послуг, який є комерційним абонентом, зобов’язані забезпечити зберігання в електронному вигляді не менше п’яти років після припинення ділових відносин із користувачем або завершення разової операції/надання послуги без встановлення ділових відносин із користувачем, щодо якого абонентом було отримане або надане ЕПІ, для можливості вирішення спорів між абонентами та/або абонентом та користувачем щодо успішних ЕПІ:
1) ЕЗІ та ЕПІ користувача, здійснених із використанням Системи BankID Національного банку;
2) інформації (технічних параметрів, які дають змогу ідентифікувати ЕЗІ/ЕПІ та факт їх проходження між суб’єктами) про передавання до та отримання від центрального вузла Системи BankID Національного банку ЕЗІ та ЕПІ.
36. Абонент - надавач послуг зі спеціальним статусом та некомерційний абонент - надавач послуг зобов’язані забезпечити зберігання в електронному вигляді значень таких ключів електронної анкети специфікації взаємодії, як ідентифікатор сесії та унікальний ідентифікатор абонентського вузла в Системі BankID Національного банку, та іншої інформації (технічних параметрів, які дають змогу ідентифікувати ЕЗІ/ЕПІ та факт їх проходження між суб’єктами) не менше п’яти років із дати ініціювання ЕЗІ/надходження ЕПІ, про:
1) передавання ЕЗІ до та отримання ЕПІ від центрального вузла Системи BankID Національного банку;
2) отримання ЕЗІ від та передавання ЕПІ до контрагентів абонента - надавача послуг зі спеціальним статусом (для абонентів - надавачів послуг зі спеціальним статусом).
37. Національний банк має право:
1) запитувати та отримувати від абонентів дані користувачів з метою вирішення спорів між абонентами щодо дотримання абонентами вимог специфікації взаємодії та завершення розрахунків за міжабонентськими тарифами;
2) здійснювати моніторинг послуг, які абонент - надавач послуг/абонент - надавач послуг зі спеціальним статусом надає з використанням Системи BankID Національного банку, на рівні абонентських вузлів та порталів послуг абонента - надавача послуг/абонента - надавача послуг зі спеціальним статусом на відповідність переліку послуг, для яких рішенням Ради надано дозвіл використовувати Систему BankID Національного банку абоненту - надавачу послуг/абоненту - надавачу послуг зі спеціальним статусом;
3) із використанням власних технічних засобів здійснювати дистанційну перевірку (аналіз діяльності) абонента - надавача послуг/абонента - надавача послуг зі спеціальним статусом/контрагента абонента - надавача послуг зі спеціальним статусом із метою визначення дотримання ними вимог, встановлених законодавством України, цим Положенням, специфікацією взаємодії, укладеними з Національним банком договорами, а також іншими документами, затвердженими рішеннями Ради;
4) запитувати та отримувати інформацію від абонентів у разі виникнення сумнівів стосовно відповідності їхньої діяльності або діяльності їхніх контрагентів (для абонентів - надавачів послуг зі спеціальним статусом) вимогам законодавства України, цього Положення, специфікації взаємодії, укладених із Національним банком договорів, а також інших документів, затверджених рішеннями Ради, та/або безпечності передавання їм даних користувачів;
5) за рішенням Ради тимчасово зупиняти (блокувати в Системі BankID Національного банку) роботу абонента та/або абонентського вузла та/або передавання даних користувачів до контрагентів абонента - надавача послуг зі спеціальним статусом у разі порушенням вимог законодавства України, цього Положення, специфікації взаємодії, умов укладених із Національним банком договорів, а також інших документів, затверджених рішеннями Ради, до моменту усунення таких порушень;
6) вимагати від абонента усунення порушень вимог законодавства України, цього Положення, специфікації взаємодії, умов укладених із Національним банком договорів, а також інших документів, затверджених рішеннями Ради, у визначений Національним банком строк.
38. Суб’єкти взаємовідносин у Системі BankID Національного банку зобов’язані діяти згідно із законодавством України, цим Положенням, укладеними договорами та іншими документами, затвердженими рішеннями Ради.
39. Отримання даних користувача абонентом - надавачем послуг або контрагентом абонента - надавача послуг зі спеціальним статусом засобами Системи BankID для їх продажу або передавання третім особам, або використання з іншою метою, ніж надання послуги користувачу, для отримання якої він обрав Систему BankID Національного банку як спосіб електронної дистанційної ідентифікації та/або верифікації, - заборонено.
IV. Статистика Системи BankID Національного банку
40. Система BankID Національного банку виконує такі облікові функції:
1) забезпечує ведення статистики роботи абонентських вузлів у Системі BankID Національного банку щодо проходження ЕЗІ та ЕПІ;
2) зберігає інформацію про ЕЗІ та ЕПІ, що пройшли через центральний вузол Системи BankID Національного банку, за кількістю, без збирання, збереження, архівування, оброблення та доступу до їх змісту;
3) визначає ЕЗІ, під час оброблення якого зафіксована помилка, тип помилки;
4) фіксує факт проходження ЕЗІ та ЕПІ через центральний вузол Системи BankID Національного банку;
5) надає абонентам інформацію (за запитом або на умовах, визначених у договорах) із файлів журналу про проходження їхніх ЕЗІ та ЕПІ під час використання Системи BankID Національного банку.
41. Національний банк для обліку в статистиці ураховує ЕПІ як успішне, якщо підписане та зашифроване абонентом-ідентифікатором ЕПІ пройшло через центральний вузол Системи BankID Національного банку до абонента - надавача послуг/абонента - надавача послуг зі спеціальним статусом.
V. Порядок розрахунків під час використання Системи BankID Національного банку
42. Національний банк має право встановлювати тарифи на послуги, що надаються Національним банком абонентам, з підключення та користування Системою BankID Національного банку.
43. Абонент здійснює оплату послуг, наданих Національним банком, у порядку, встановленому Договором приєднання, та згідно з тарифами, затвердженими нормативно-правовим актом Національного банку.
44. Національний банк має право визначати типи та розміри міжабонентських тарифів та комісійних винагород у Системі BankID Національного банку та схвалювати їх рішенням Ради з метою забезпечення розвитку Системи BankID Національного банку.
45. Розрахунковий банк здійснює взаєморозрахунки між комерційними абонентами за отримані/надані ними послуги у строки та на умовах, визначених в укладених із абонентами договорах.
46. Національний банк має право формувати та надавати абонентам файли з інформацією про кількість ЕЗІ та ЕПІ для здійснення взаєморозрахунків між абонентами.
VI. Захист інформації в Системі BankID Національного банку
47. Абонент зобов’язаний самостійно забезпечити захист інформації у власних інформаційно-телекомунікаційних системах, а також захист інформації під час її оброблення на власних абонентських вузлах відповідно до вимог законодавства України.
48. Абонент зобов’язаний забезпечити конфіденційність та контроль за цілісністю інформації відповідно до специфікації взаємодії в Системі BankID.
49. Абонент - надавач послуг/абонент - надавач послуг зі спеціальним статусом повинен припинити створення ЕЗІ та отримання ЕПІ в разі виявлення порушень:
1) працездатності власного абонентського вузла;
2) інформаційної безпеки власного абонентського вузла до моменту усунення таких порушень.
50. Абонент - надавач послуг/абонент - надавач послуг зі спеціальним статусом, який припиняє роботу відповідно до пункту 49 розділу VI цього Положення, зобов’язаний не пізніше ніж протягом трьох годин у робочий час або протягом 48 годин у неробочий час із моменту виявлення відповідного порушення повідомити Національний банк про причини порушення, прогнозований час його усунення та поновлення роботи відповідного абонентського вузла.
51. Абонент зобов’язаний протягом трьох годин у робочий час та протягом 48 годин у неробочий час із моменту виявлення повідомити в порядку, визначеному Договором приєднання, Національний банк та адміністраторів абонентських вузлів, яких це може стосуватися, про:
1) виникнення позаштатних ситуацій у роботі абонентського вузла/порталу послуг;
2) будь-яке порушення або невідповідність роботи Системи BankID Національного банку в цілому та (або) окремих її частин, роботи абонентських вузлів/порталів послуг вимогам цього Положення та/або специфікації взаємодії, та/або інших документів, затверджених рішеннями Ради;
3) виявлені факти порушення цілісності даних, що передаються з використанням Системи BankID Національного банку;
4) виявлені факти несанкціонованих дій щодо інформації, отриманої з використанням Системи BankID Національного банку.
Інформація, яка повідомляється Національному банку, повинна містити відомості про назву абонента та абонентського вузла, у якому виявлені порушення, час і суть порушення, факти, що визначають порушення.
VII. Гарантії та порядок вирішення спорів
52. Національний банк гарантує отримання абонентами послуги користування Системою BankID Національного банку для забезпечення передавання ЕЗІ та ЕПІ за умови виконання всіма абонентами умов цього Положення, Договору приєднання та специфікації взаємодії.
53. Абонент зобов’язаний вирішувати всі спірні питання стосовно використання Системи BankID Національного банку шляхом переговорів із Національним банком. У разі недосягнення згоди між абонентом та Національним банком щодо спірного питання спір вирішується в порядку, визначеному законодавством України.
54. Спори з питань використання Системи BankID Національного банку, які виникають протягом дії Договору приєднання, вирішуються згідно із законодавством України та умовами Договору приєднання.
55. Розгляд спорів, які можуть виникати між абонентами з питань невідповідності ЕПІ специфікації взаємодії, здійснюється Національним банком у порядку, визначеному документами, затвердженими рішеннями Ради.
( Розділ VIII набирає чинності з 01 березня 2024 року - див. п. 5 Постанови )
VIII. Вимоги до автентифікації
56. Абонент-ідентифікатор має забезпечити надання користувачем згоди на передавання даних користувача під час проходження автентифікації або в будьякий інший спосіб, який дає змогу зробити висновок про надання такої згоди користувачем.
57. Абонент-ідентифікатор зобов’язаний застосовувати багатофакторну автентифікацію користувача під час отримання кожного ЕЗІ та здійснювати передавання даних такого користувача з використанням Системи BankID Національного банку лише після успішного її проходження.
58. Процедура багатофакторної автентифікації користувача передбачає використання двох або більше факторів автентифікації, кожен із яких має належати до різних категорій факторів автентифікації, успішна перевірка яких забезпечує однозначне встановлення та підтвердження особи користувача. Кожний із факторів автентифікації має бути незалежним один від одного для уникнення можливості їх одночасної компрометації.
59. Виділяють три категорії факторів автентифікації:
1) знання - інформація, яка відома тільки користувачу, є конфіденційною та належить до типу інформації, яку заборонено розголошувати;
2) володіння - матеріальний предмет, яким володіє тільки користувач. Перевірка цього фактору може здійснюватися через підтвердження користувачем отриманого на фінансовий номер телефону коду в смсповідомленні або під час телефонного дзвінка;
3) притаманність (властивість) - унікальні індивідуальні фізичні характеристики користувача, які притаманні тільки цьому користувачу та відрізняють його від інших користувачів, а саме біометричні дані або інші властивості (риси, характеристики) користувача, які перевіряються з використанням програмних комплексів абонента-ідентифікатора. Перевірка цього фактору здійснюється шляхом звіряння інформації про користувача, отриманої через інформаційні системи абонента-ідентифікатора, з інформацією, що міститься у власній базі даних абонента-ідентифікатора.
60. Абоненти-ідентифікатори зобов’язані забезпечити захист конфіденційності даних користувача, що використовуються для його автентифікації.
61. Успішне проходження процедури багатофакторної автентифікації користувачем є обов’язковою умовою для передавання його даних абоненту - надавачу послуг/абоненту - надавачу послуг зі спеціальним статусом.
62. Процедура заміни раніше збереженого фінансового номера телефону користувача, який використовується під час багатофакторної автентифікації користувача, має здійснюватися абонентом-ідентифікатором за фізичної присутності користувача або з використанням одного з не обмежених лімітами способів верифікації, визначених Положенням про здійснення банками фінансового моніторингу, затвердженим постановою Правління Національного банку України від 19 травня 2020 року № 65 (зі змінами).
63. Процедура заміни раніше збереженого фінансового номера телефону користувача, який використовується під час багатофакторної автентифікації користувача, може здійснюватися абонентом-ідентифікатором в інший спосіб, ніж визначено в пункті 62 розділу VIII цього Положення, за умови здійснення:
1) блокування абонентом-ідентифікатором можливості таким користувачам використовувати Систему BankID Національного банку для ідентифікації (не здійснювати формування ЕПІ такого користувача) протягом 24 годин із часу зміни фінансового номера телефону користувача та
2) направлення повідомлення одночасно на обидва фінансові номери телефону (той, що замінюється, та новий) та електронну адресу (за її наявності в абонента-ідентифікатора) такого користувача з інформацією, що фінансовий номер телефону користувача було змінено, а використання Системи BankID Національного банку як способу електронної ідентифікації та/або верифікації буде доступним через 24 години з моменту направлення повідомлення.
( Положення в редакції Постанови Національного банку № 105 від 01.09.2023 )
Директор Департаменту платіжних систем та інноваційного розвитку | О. Шабан |
ПОГОДЖЕНО Заступник Голови Національного банку України | С. Холод |