ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ
ПОСТАНОВА
| 17.03.2020 № 32 |
Про затвердження Положення про Систему BankID Національного банку України
( Із змінами, внесеними згідно з Постановами Національного банку № 109 від 30.07.2020 № 35 від 27.04.2021 № 105 від 01.09.2023 № 63 від 28.05.2024 № 1 від 08.01.2026 )
Відповідно до статей 7, 15, 56 Закону України "Про Національний банк України", статей 5, 9 Закону України "Про електронні довірчі послуги", з метою врегулювання роботи єдиної Системи BankID Національного банку України Правління Національного банку України ПОСТАНОВЛЯЄ:
1. Затвердити Положення про Систему BankID Національного банку України, що додається.
2. Визнати такими, що втратили чинність:
1) постанову Правління Національного банку України від 30 серпня 2016 року № 378 "Про затвердження Положення про Систему BankID Національного банку України";
2) постанову Правління Національного банку України від 03 жовтня 2018 року № 105 "Про внесення змін до деяких нормативно-правових актів Національного банку України".
3. Контроль за виконанням цієї постанови покласти на заступника Голови Національного банку України Сергія Холода.
4. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.
| Голова | Я. Смолій |
ЗАТВЕРДЖЕНО
Постанова Правління
Національного банку України
17.03.2020 № 32
(у редакції постанови Правління
Національного банку України
від 08 січня 2026 року № 1
)
Положення про Систему BankID Національного банку України
I. Загальні положення
1. Це Положення розроблено відповідно до Законів України "Про Національний банк України", "Про банки і банківську діяльність", "Про електронну ідентифікацію та електронні довірчі послуги", "Про захист персональних даних" і визначає загальні засади функціонування Системи BankID Національного банку України (далі - Система BankID НБУ): правила функціонування та використання Системи BankID НБУ, порядок взаємодії та розрахунків її суб’єктів відносин.
Загальні засади забезпечення безперебійного функціонування Системи BankID НБУ в умовах особливого періоду визначаються окремим рішенням Ради Системи BankID НБУ (далі - Рада).
2. Терміни в цьому Положенні вживаються в такому значенні:
1) абонент-ідентифікатор - банк України, небанківський надавач платіжних послуг з обслуговування рахунку, який є абонентом Системи BankID НБУ та надає послугу електронної ідентифікації Системи BankID НБУ;
2) абонент - надавач послуг - абонент Системи BankID НБУ, який з її використанням отримує від абонента-ідентифікатора дані користувача з метою надання йому послуг;
3) абонент - надавач послуг зі спеціальним статусом - юридична особа з державною формою власності, яка є абонентом Системи BankID НБУ та для забезпечення виконання своїх функцій, передбачених законодавством України, отримує від абонента-ідентифікатора з використанням Системи BankID НБУ дані користувача та передає їх контрагенту абонента - надавача послуг зі спеціальним статусом для безпосереднього надання ним послуги цьому користувачу;
4) абонент Системи BankID НБУ (далі - абонент) - юридична особа-резидент приватного або публічного права, яка має укладений з Національним банком України (далі - Національний банк) договір приєднання до Системи BankID НБУ, та Національний банк;
5) абонентський вузол Системи BankID НБУ (далі - абонентський вузол) - комплекс програмно-технічних засобів, установлений в абонента та призначений для забезпечення обміну інформацією між абонентами через Систему BankID НБУ;
6) автентифікація - електронна процедура, яка дозволяє абоненту-ідентифікатору підтвердити особу користувача під час надання послуги електронної ідентифікації Системи BankID НБУ;
7) адміністратор абонентського вузла - уповноважена особа абонента, яка відповідає за забезпечення функціонування абонентського вузла;
8) адміністратор Системи BankID НБУ - працівник Національного банку, на якого покладено обов’язки виконання функцій адміністратора центрального вузла Системи BankID НБУ;
9) актуалізація даних - процес отримання, оновлення, уточнення або підтвердження раніше отриманих даних користувача, що здійснюється абонентом-ідентифікатором з метою забезпечення повноти, достовірності та актуальності таких даних відповідно до вимог законодавства України у сфері фінансового моніторингу та документами, затвердженими рішеннями Ради (далі - Документи);
10) анкета клієнта - структурований набір (перелік) інформації (відомостей) про клієнта, що формується, ведеться та зберігається абонентом-ідентифікатором в електронному вигляді з дотриманням вимог, визначених законодавством України у сфері фінансового моніторингу та Документами, та є джерелом для наповнення електронного підтвердження електронної ідентифікації даними користувача, які передаються до абонента - надавача послуг / абонента - надавача послуг із спеціальним статусом відповідно до вимог специфікації взаємодії з метою надання послуг такому користувачу;
11) багатофакторна автентифікація - автентифікація, здійснена з використанням не менше двох факторів автентифікації, кожен із яких належить до різних категорій факторів автентифікації, а саме: знання, володіння, притаманність;
12) верифікація - заходи, що вживаються з метою перевірки (підтвердження) належності особі користувача даних користувача;
13) гарантійне забезпечення - сума коштів, перерахована абонентом - надавачем послуг / абонентом - надавачем послуг зі спеціальним статусом, який є комерційним абонентом, на рахунок, відкритий у розрахунковому банку Системи BankID НБУ, з метою забезпечення виконання своїх зобов’язань за звітний період перед абонентами-ідентифікаторами та проведення розрахунків за послуги, отримані абонентом - надавачем послуг / абонентом - надавачем послуг зі спеціальним статусом від Національного банку відповідно до договору приєднання до Системи BankID НБУ, оплата за які не надійшла від абонента - надавача послуг / абонента - надавача послуг зі спеціальним статусом у строки та порядку, установлені договором приєднання до Системи BankID НБУ;
14) гарантійний внесок - сума коштів, перерахована абонентом - надавачем послуг / абонентом - надавачем послуг зі спеціальним статусом, який є комерційним абонентом, до гарантійного фонду на рахунок, відкритий у розрахунковому банку Системи BankID НБУ, для покриття ризиків невиконання своїх зобов’язань перед абонентами-ідентифікаторами та Національним банком за надані послуги, отримані з використанням Системи BankID НБУ;
15) гарантійний фонд - фонд покриття ризиків неплатежів за послугами, отриманими абонентами - надавачами послуг / абонентами - надавачами послуг зі спеціальним статусом, які є комерційними абонентами, з використанням Системи BankID НБУ;
16) дані користувача - ідентифікаційні дані та інші відомості про користувача, отримані в процесі його ідентифікації або актуалізації його даних, перелік яких визначено в cпецифікації взаємодії абонентського вузла з центральним вузлом Системи BankID НБУ (далі - специфікація взаємодії);
17) динамічна автентифікація - автентифікація, здійснена із використанням алгоритмів криптографічного захисту інформації та/або інших методів, що виконується з використанням змінних даних, які змінюються для кожного сеансу автентифікації, з метою створення доказу (підтвердження) того, що дані користувача є під його контролем або в його володінні;
18) договір приєднання до Системи BankID НБУ (далі - Договір приєднання) - публічна пропозиція Національного банку з метою встановлення з юридичними особами - резидентами приватного або публічного права договірних відносин щодо роботи в Системі BankID НБУ;
19) Документи - документи, що визначають правила та умови приєднання до Системи BankID НБУ / припинення участі, роботи, розрахунків і взаємодії абонентів у Системі BankID НБУ, технологічні, технічні, методичні та організаційні засади функціонування Системи BankID НБУ, загальні засади забезпечення безперебійного функціонування Системи BankID НБУ в умовах особливого періоду, типові договори з абонентами, затверджені рішеннями Ради та розміщені на сторінці офіційного Інтернет-представництва Національного банку;
20) електронна дистанційна ідентифікація (далі - електронна ідентифікація) - процес використання даних користувача, отриманих в електронній формі засобами Системи BankID НБУ, з метою встановлення та/або верифікації особи користувача для надання йому послуг;
21) електронне підтвердження електронної ідентифікації (далі - ЕПІ) - складова частина електронної ідентифікації, яку формує абонент-ідентифікатор у вигляді електронного набору даних, що містить дані користувача та інші, визначені специфікацією взаємодії, параметри, та передає до абонента - надавача послуг / абонента - надавача послуг із спеціальним статусом;
22) електронний запит на електронну ідентифікацію (далі - ЕЗІ) - складова частина електронної ідентифікації, яку ініціює користувач;
23) ідентифікація - процес, який передбачає вжиття заходів для встановлення особи шляхом отримання її ідентифікаційних даних;
24) клієнт - фізична особа, фізична особа-підприємець, яка має відкритий поточний або платіжний рахунок в абонента-ідентифікатора;
25) ключ - позначення даних користувача, а також інших параметрів, що включаються до ЕЗІ та ЕПІ відповідно до cпецифікації взаємодії;
26) комерційна послуга - послуга, яка надається абонентом - суб’єктом господарювання в межах своєї комерційної діяльності, здійснюваної з метою отримання прибутку;
27) комерційний абонент - абонент - надавач послуг / абонент - надавач послуг зі спеціальним статусом, який отримав дозвіл Ради на використання Системи BankID НБУ для надання / забезпечення надання комерційних послуг користувачам та включений до переліку комерційних абонентів - надавачів послуг, та абонент-ідентифікатор;
28) комерційний абонентський вузол - абонентський вузол комерційного абонента, через який проходять ЕПІ, отримані абонентом - надавачем послуг / абонентом - надавачем послуг зі спеціальним статусом із метою надання / забезпечення надання користувачам комерційних послуг, які підлягають тарифікації за міжабонентськими тарифами;
29) контрагент абонента - надавача послуг зі спеціальним статусом (далі - контрагент) - орган державної влади, орган місцевого самоврядування, юридична особа-резидент (за винятком суб’єкта первинного фінансового моніторингу, державне регулювання та нагляд за яким здійснює Національний банк), які підключені до абонента - надавача послуг зі спеціальним статусом та отримує від нього дані користувача для надання послуги безпосередньо такому користувачу;
30) координатор проєкту для взаємодії (далі - координатор) - відповідальна особа претендента / абонента, уповноважена вирішувати питання, що виникають під час приєднання до Системи BankID НБУ та роботи в ній;
31) користувач - клієнт, який використовує Систему BankID НБУ з метою забезпечення або підтвердження своєї електронної ідентифікації для отримання послуги від абонента - надавача послуг або контрагента;
32) міжабонентські тарифи - схвалена рішенням Ради вартість успішного ЕПІ, яку сплачує комерційний абонент у статусі абонент - надавач послуг / абонент - надавач послуг зі спеціальним статусом абоненту-ідентифікатору;
33) некомерційна послуга - послуга:
що надається користувачу: суб’єктом або центром надання адміністративних послуг відповідно до Закону України "Про адміністративні послуги"; юридичною особою публічного права для реалізації прав фізичної особи на подання звернень та їх розгляд відповідно до Закону України "Про звернення громадян"; закладом освіти публічного права; громадським об’єднанням поза межами здійснення ним підприємницької діяльності; Національним банком на виконання функцій Національного банку відповідно до законодавства України; іншими органами державної влади на виконання їх функцій відповідно до законодавства України;
державного підприємства "ДІЯ" з надання безоплатного доступу і використання ресурсів інтегрованої системи електронної ідентифікації, Єдиного державного вебпорталу електронних послуг;
абонента - надавача послуг зі спеціальним статусом для забезпечення надання користувачам послуг, визначених в абзаці другому підпункту 33 пункту 2 розділу I цього Положення;
34) некомерційний абонент - надавач послуг - абонент - надавач послуг / абонент - надавач послуг зі спеціальним статусом, який отримав дозвіл Ради на використання Системи BankID НБУ виключно для надання / забезпечення надання некомерційних послуг користувачам та включений до переліку некомерційних абонентів - надавачів послуг;
35) некомерційний абонентський вузол - абонентський вузол, через який проходять ЕПІ, отримані абонентом - надавачем послуг / абонентом - надавачем послуг зі спеціальним статусом із метою надання / забезпечення надання користувачам некомерційних послуг, які не підлягають тарифікації за міжабонентськими тарифами;
36) облікові дані доступу користувача - унікальний набір даних, які використовуються для підтвердження особи користувача під час його автентифікації;
37) організаційна структура Системи BankID НБУ - сукупність визначених Національним банком суб’єктів відносин у Системі BankID НБУ, їхніх функцій, прав і обов’язків, а також сукупність відносин, що виникають між ними під час проведення електронної ідентифікації користувачів абонентами, передавання даних користувачів і забезпечення діяльності Системи BankID НБУ;
38) портал послуг - вебсайт (вебпортал), мобільний застосунок (додаток), платіжний застосунок абонента - надавача послуг / контрагента, на якому користувачем ініціюється ЕЗІ;
39) послуга електронної ідентифікації Системи BankID НБУ - послуга, що надається абонентом-ідентифікатором користувачу для забезпечення його електронної ідентифікації шляхом передавання даних користувача у вигляді ЕПІ засобами Системи BankID НБУ до абонента - надавача послуг / абонента - надавача послуг зі спеціальним статусом;
40) претендент - юридична особа - резидент приватного або публічного права, яка подала заяву про приєднання до Системи BankID НБУ для набуття певного статусу абонента на умовах Договору приєднання;
41) розрахунковий банк Системи BankID НБУ (далі - Розрахунковий банк) - Національний банк, який здійснює взаєморозрахунки між комерційними абонентами на умовах, визначених у Договорі приєднання;
42) Система BankID НБУ - національна система електронної ідентифікації Національного банку, яка забезпечує здійснення електронної ідентифікації користувачів шляхом передавання їх даних абонентом-ідентифікатором абоненту - надавачу послуг / абоненту - надавачу послуг зі спеціальним статусом, з метою надання ним послуг користувачу;
43) cпецифікація взаємодії - документ, який визначає: технічні вимоги щодо взаємодії Системи BankID НБУ з абонентськими вузлами; методи та протоколи інформаційної взаємодії, вимоги до захисту інформації в системі та інші технічні параметри; перелік, значення та правила передавання ключів, які входять до складу ЕЗІ та ЕПІ;
44) стандартизований набір даних - комбінація ключів, потрібних для здійснення електронної ідентифікації користувача, надання / забезпечення надання йому певного типу послуги абонентом - надавачем послуг / абонентом - надавачем послуг зі спеціальним статусом, визначена в специфікації взаємодії;
45) статус абонента - статус абонента в Системі BankID НБУ, зазначений абонентом у заяві про приєднання до Системи BankID НБУ та набутий відповідно до умов Договору приєднання: абонент-ідентифікатор, абонент - надавач послуг, абонент - надавач послуг зі спеціальним статусом;
46) центральний вузол Системи BankID НБУ - комплекс програмно-технічних засобів, що забезпечує взаємодію абонентських вузлів.
Інші терміни, що вживаються в цьому Положенні, використовуються в значеннях, визначених законодавством України.
3. Вимоги цього Положення поширюються на відносини, що виникають між Національним банком та абонентами, між абонентами та користувачами, а також між абонентами під час використання Системи BankID НБУ.
II. Організаційна структура та послуги Системи BankID НБУ
4. Національний банк є керівним органом в організаційній структурі Системи BankID НБУ.
Національний банк має право створити колегіальний орган з управління Системою BankID НБУ - Раду, до повноважень якої належить прийняття рішень з питань розвитку, супроводження та забезпечення діяльності Системи BankID НБУ для ефективного та надійного управління цією системою.
5. Рада є підконтрольною та підзвітною Правлінню Національного банку. Рада створюється та припиняє свою діяльність за рішенням Правління Національного банку.
6. Основними завданнями Ради є:
1) визначення правил та умов роботи, розрахунків і взаємодії абонентів у Системі BankID НБУ, організаційних, технічних, методичних і технологічних засад функціонування та розвитку Системи BankID НБУ;
2) забезпечення загальної координації діяльності Розрахункового банку та взаємодії абонентів у Системі BankID НБУ;
3) установлення правил, умов та забезпечення координації дій абонентів щодо реєстрації схеми електронної ідентифікації на базі Системи BankID НБУ.
7. Рада уповноважена розглядати питання та приймати рішення для виконання основних завдань щодо:
1) загального управління та адміністративного керування Системою BankID НБУ;
2) визначення стратегічних напрямів діяльності та розвитку Системи BankID НБУ;
3) надання дозволу або відмови претенденту / абоненту за його зверненням на:
приєднання до Системи BankID НБУ;
підключення / тимчасове зупинення роботи / відключення комерційних та некомерційних абонентських вузлів та порталів послуг;
заміну параметрів абонентського вузла / порталу послуг, які були затверджені рішенням Ради;
використання Системи BankID НБУ для надання / забезпечення надання певного типу комерційних / некомерційних послуг користувачам;
використання стандартизованих наборів даних;
4) анулювання / скасування наданого Радою дозволу претенденту / абоненту в разі невиконання претендентом / абонентом установлених Радою вимог;
5) відмови в розірванні Договору приєднання за ініціативою абонента за наявності заборгованості перед Національним банком та/або абонентами;
6) тимчасового зупинення (блокування в Системі BankID НБУ) роботи абонента та/або абонентського вузла, та/або передавання даних користувачів до контрагентів;
7) відновлення (розблокування в Системі BankID НБУ) роботи абонента та/або абонентського вузла, та/або відновлення передавання даних користувачів до контрагентів у разі виконання претендентом / абонентом / контрагентом установлених Радою вимог;
8) урегулювання позаштатних, конфліктних ситуацій та вирішення спірних питань, які можуть виникати під час функціонування Системи BankID НБУ;
9) затвердження Документів, розміру штрафів за порушення абонентами умов договорів, які затверджуються рішеннями Ради та укладаються з абонентами;
10) визначення, узгодження та схвалення міжабонентських тарифів та змін до них;
11) визначення порядку проведення взаєморозрахунків, дня розрахунків, забезпечення здійснення розрахунків між комерційними абонентами з метою попередження ризику нездійснення таких розрахунків між абонентами за наданими / отриманими послугами;
12) створення та припинення діяльності арбітражної комісії Системи BankID НБУ й затвердження її складу для вирішення спорів, які можуть виникати між абонентами під час здійснення розрахунків між ними, призначення секретаря арбітражної комісії Системи BankID НБУ та особи, яка його заміщує;
13) застосування штрафів до абонентів за порушення ними умов договорів, які затверджені рішеннями Ради та укладені з абонентами, та прийняття рішення щодо виставлення вимог та початку претензійно-позовної діяльності в разі несплати абонентом пені / штрафу;
14) списання суми заборгованості з гарантійного забезпечення та/або гарантійного внеску абонента - надавача послуг / абонента - надавача послуг зі спеціальним статусом, який є комерційним абонентом, або кореспондентського рахунку абонента-ідентифікатора в разі невиконання абонентом своїх зобов’язань за отримані від Національного банку послуги за Договором приєднання у строк та порядку, установлені Договором приєднання;
15) затвердження / скасування / внесення змін до стандартизованих наборів даних;
16) затвердження переліку послуг, які надає Національний банк із використанням Системи BankID НБУ як некомерційний абонент - надавач послуг;
17) включення / виключення абонентів - надавачів послуг / абонентів - надавачів послуг із спеціальним статусом до/із переліку комерційних абонентів - надавачів послуг;
18) визнання діяльності абонента - надавача послуг / абонента - надавача послуг зі спеціальним статусом / контрагента ризиковою за результатами моніторингу послуг / перевірки абонента / контрагента та прийняття рішення щодо його подальшої діяльності в Системі BankID НБУ;
19) припинення участі абонента в Системі BankID НБУ;
20) реєстрації схеми електронної ідентифікації на базі Системи BankID НБУ.
8. Засади організації роботи Ради, її основні завдання, повноваження Ради, склад, а також права, обов’язки та відповідальність її членів визначаються окремим розпорядчим актом Національного банку.
Особливості повноважень Ради в умовах особливого періоду визначаються окремим рішенням Ради.
З метою реалізації своїх завдань, повноважень та прийняття рішень, Рада має право, під час прийняття рішень, ґрунтуватись на оцінці членів Ради щодо фактів, подій, обставин, осіб, що базується на знаннях і досвіді членів Ради, комплексному та всебічному аналізі інформації та документів, поданих до Національного банку в межах, передбачених Документами та законодавством України, процедур, включаючи отримані Національним банком за результатом здійснення ним банківського регулювання та нагляду, та інформації з офіційних джерел.
9. Національний банк виконує функції Розрахункового банку. Національний банк для виконання функцій Розрахункового банку здійснює облік коштів, що надходять від абонентів - надавачів послуг / абонентів - надавачів послуг зі спеціальним статусом, які є комерційними абонентами, як гарантійне забезпечення та гарантійні внески, на відповідних рахунках у балансі Національного банку та забезпечує розрахунки між абонентами відповідно до Документів та Договору приєднання.
10. Національний банк є некомерційним абонентом - надавачем послуг у Системі BankID НБУ. Національний банк для виконання функцій абонента - надавача послуг діє на підставі цього Положення без укладення Договору приєднання та здійснює надання послуг користувачам на виконання функцій Національного банку відповідно до законодавства України. Перелік послуг, які надає Національний банк із використанням Системи BankID НБУ, затверджується рішенням Ради.
11. Суб’єктами відносин у Системі BankID НБУ є:
1) Національний банк;
2) абоненти та їх контрагенти;
3) користувачі.
12. Відносини між Національним банком та абонентами, а також між абонентами щодо використання Системи BankID НБУ регулюються умовами Договору приєднання, Документами та цим Положенням.
13. Відносини між абонентами-ідентифікаторами та користувачами щодо надання послуг електронної ідентифікації Системи BankID НБУ регулюються умовами укладених між ними договорів, які містять вимоги, визначені Документами та цим Положенням.
14. Порядок приєднання абонентів до Системи BankID НБУ, їхньої роботи, проведення розрахунків і припинення їхньої участі в Системі BankID НБУ визначається Документами.
15. Комплекс програмно-технічних засобів Системи BankID НБУ складається з:
1) центрального вузла Системи BankID НБУ;
2) комерційних абонентських вузлів абонентів-ідентифікаторів;
3) комерційних / некомерційних абонентських вузлів абонентів - надавачів послуг / абонентів - надавачів послуг зі спеціальним статусом.
16. Порядок функціонування комплексу програмно-технічних засобів Системи BankID НБУ визначається Документами.
17. Національний банк здійснює такі організаційно-технологічні функції в Системі BankID НБУ:
1) укладання, ведення та припинення Договору приєднання та інших договорів, затверджених рішеннями Ради;
2) підключення, тимчасове зупинення та відновлення роботи абонентів у Системі BankID НБУ, відключення абонентів від Системи BankID НБУ;
3) підключення, тимчасове зупинення та відновлення роботи абонентських вузлів / порталів послуг у Системі BankID НБУ, відключення абонентських вузлів / порталів послуг від Системи BankID НБУ;
4) розроблення, упровадження та супровід комплексу програмно-технічних засобів Системи BankID НБУ;
5) забезпечення роботи Системи BankID НБУ: супроводження, експлуатація та технічне обслуговування Системи BankID НБУ;
6) реєстрація абонентів, реєстрація і підтримка роботи зі взаємодії абонентських вузлів, реєстрація порталів послуг;
7) ведення обліку ЕЗІ та ЕПІ у розрізі абонентів;
8) ведення файлів журналів, їх захист від руйнування;
9) організаційно-методологічне управління, пов’язане з функціонуванням і розвитком Системи BankID НБУ;
10) супроводження інформаційного забезпечення роботи Системи BankID НБУ, інформування абонентів про контактні дані координаторів та адміністраторів абонентських вузлів інших абонентів;
11) взаємодія з адміністраторами абонентських вузлів усіх рівнів щодо виконання вимог специфікації взаємодії;
12) інформування координаторів та адміністраторів абонентських вузлів про підключення, тимчасове зупинення, відновлення роботи та відключення абонентських вузлів;
13) надання консультативної допомоги в разі надходження запитів від претендента / абонента;
14) збір, узагальнення та аналіз інформації про невиконання абонентами вимог цього Положення та/або вимог специфікації взаємодії, та/або вимог Документів;
15) розміщення інформації про діючих абонентів та їхні абонентські вузли, тимчасове зупинення їхньої роботи на вебсайті Системи BankID НБУ;
16) моніторинг послуг та перевірка абонентів - надавачів послуг / абонентів - надавачів послуг зі спеціальним статусом / контрагентів щодо дотримання ними вимог, установлених цим Положенням, специфікацією взаємодії, умовами Договору приєднання, а також Документами.
18. Адміністратор абонентського вузла виконує такі функції:
1) здійснює організацію роботи власного абонентського вузла / порталу послуг;
2) взаємодіє з адміністратором Системи BankID НБУ;
3) забезпечує інформаційне наповнення та супроводження порталу послуг;
4) контролює зберігання технологічної інформації, що документує роботу власного абонентського вузла відповідно до вимог Положення про порядок формування, зберігання та знищення відокремлених електронних даних, отриманих за результатами роботи інформаційних систем у Національному банку України і банках України, затвердженого постановою Правління Національного банку України від 14 вересня 2018 року № 99, законодавства України у сфері захисту прав споживачів, захисту й обробки персональних даних із використанням автоматизованих засобів захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах та специфікації взаємодії;
5) надає технологічну інформацію Національному банку в разі надходження відповідних запитів.
19. Національний банк надає послуги в Системі BankID НБУ абонентам.
20. Абоненти-ідентифікатори надають послугу електронної ідентифікації Системи BankID НБУ користувачам.
21. Абоненти - надавачі послуг та абоненти - надавачі послуг зі спеціальним статусом надають / забезпечують надання послуг користувачам, дані яких отримано в електронній формі засобами Системи BankID НБУ, відповідно до переліку послуг, надання яких із використанням Системи BankID НБУ погоджено Радою.
22. Користувач має право отримувати послуги в контрагентів із використанням Системи BankID НБУ шляхом передавання своїх даних від абонента-ідентифікатора до абонента - надавача послуг зі спеціальним статусом із подальшим передаванням абонентом - надавачем послуг зі спеціальним статусом таких даних безпосередньо до контрагента як до кінцевого отримувача таких даних.
III. Порядок використання Системи BankID НБУ, права та обов’язки суб’єктів відносин у Системі BankID НБУ
23. Клієнт звертається до абонента-ідентифікатора за послугою електронної ідентифікації Системи BankID НБУ для отримання можливості доступу до послуг, що надаються абонентами - надавачами послуг або їх контрагентами з використанням Системи BankID НБУ.
24. Абонент-ідентифікатор у разі звернення клієнта щодо отримання послуги електронної ідентифікації Системи BankID НБУ до її надання:
1) інформує клієнта, який звернувся за отриманням послуги електронної ідентифікації Системи BankID НБУ, про умови використання такої послуги, її вартість (у разі її встановлення) та про будь-які обмеження в її використанні. Інформування клієнта здійснюється абонентом-ідентифікатором у формі, що дає змогу зробити висновок про ознайомлення клієнта з інформацією;
2) аналізує необхідність здійснення актуалізації даних про клієнта та в разі наявності підстав для їх актуалізації відповідно до вимог законодавства України у сфері фінансового моніторингу та/або Документів забезпечує здійснення актуалізації даних про клієнта та їх відображення в анкеті клієнта;
3) присвоює клієнтові облікові дані доступу користувача.
25. Абонент-ідентифікатор надає послуги електронної ідентифікації Системи BankID НБУ користувачу на підставі укладеного з ним договору, що містить умови надання послуги електронної ідентифікації Системи BankID НБУ, її вартість (у разі встановлення), інформацію про будь-які обмеження в її використанні.
26. Користувач для отримання послуги на порталі послуг із використанням Системи BankID НБУ обирає Систему BankID НБУ як спосіб електронної ідентифікації і проходить багатофакторну автентифікацію в обраного ним абонента-ідентифікатора.
27. Абонент-ідентифікатор після успішного проходження користувачем багатофакторної автентифікації формує ЕПІ з даними користувача, запит на які надійшли в ЕЗІ, та передає його до абонента - надавача послуг / абонента - надавача послуг зі спеціальним статусом засобами Система BankID НБУ.
28. Система BankID НБУ відповідно до специфікації взаємодії забезпечує передавання ЕЗІ та ЕПІ між абонентами.
29. Абонент - надавач послуг / абонент - надавач послуг зі спеціальним статусом зобов’язаний створювати ЕЗІ та отримувати ЕПІ виключно відповідно до вимог цього Положення, специфікації взаємодії та умов Договору приєднання.
30. Абонент зобов’язаний:
1) виконувати організаційно-технологічні функції щодо забезпечення безперебійної роботи власних абонентських вузлів / порталів послуг;
2) отримувати згоду користувача на розкриття Національному банку його даних, що містяться в ЕПІ, з метою вирішення спорів між абонентами;
3) здійснювати обробку персональних даних користувача відкрито і прозоро із застосуванням засобів та в спосіб, що відповідають визначеним цілям такої обробки і лише для визначеної, чіткої і законної мети, яка повинна бути визначена абонентом до початку обробки таких даних, і надалі не обробляти персональні дані у спосіб, що є несумісним із такою метою.
31. Абонент - надавач послуг / абонент - надавач послуг зі спеціальним статусом зобов’язаний:
1) до надання послуги ознайомити / забезпечити ознайомлення користувача з розміром плати за здійснення електронної ідентифікації та отримати згоду від користувача, якщо таку плату встановлено ним для оплати користувачем;
2) забезпечити повноту, достовірність і своєчасність розміщення на порталі послуг інформації про умови та порядок надання послуги, з метою надання якої здійснюється електронна ідентифікація, з дотриманням вимог законодавства України та Документів. Інформація повинна містити перелік послуг, які надаються користувачу, порядок та умови їх надання, вартість, ціни / тарифи, розмір плати (проценти) за послуги, інформацію про механізми захисту прав споживачів та іншу інформацію, визначену законодавством України у сфері захисту прав споживачів;
3) використовувати для ініціювання ЕЗІ стандартизований набір даних, призначений для надання / забезпечення надання певного типу послуги користувачу, на надання / забезпечення надання якої з використанням Системи BankID НБУ абоненту - надавачу послуг / абоненту - надавачу послуг зі спеціальним статусом рішенням Ради надано дозвіл;
4) використовувати Систему BankID НБУ виключно для надання / забезпечення надання користувачу тих послуг, для яких рішенням Ради абоненту - надавачу послуг / абоненту - надавачу послуг зі спеціальним статусом дозволено використання Системи BankID НБУ;
5) повідомляти Національний банк шляхом надсилання листа, підписаного уповноваженою особою абонента, про намір змінити перелік послуг, для яких рішенням Ради йому дозволено використання Системи BankID НБУ, для отримання відповідного дозволу Ради на зміну переліку послуг. Новий перелік послуг може надаватися лише після та за умови отримання дозволу Ради на таку зміну;
6) налаштувати функціонування абонентського вузла для можливості надсилати ЕЗІ через Систему BankID НБУ з порталу послуг до абонента-ідентифікатора в електронному вигляді;
7) надавати інформацію Національному банку в разі виникнення позаштатних ситуацій під час роботи в Системі BankID НБУ для виявлення помилок та вирішення спорів;
8) забезпечити захист, обробку та використання даних користувача, отриманих із використанням Системи BankID НБУ, відповідно до вимог законодавства України з питань захисту персональних даних, захисту інформації в інформаційно-комунікаційних системах та договорів, укладених із Національним банком. Такий обов’язок виникає з моменту передавання зашифрованого ЕПІ з центрального вузла Системи BankID НБУ до абонентського вузла абонента - надавача послуг / абонента - надавача послуг зі спеціальним статусом;
9) надавати інформацію на письмовий запит абонента-ідентифікатора щодо ЕПІ та/або ЕЗІ, здійсненого(их) між ними, у строк до 20 календарних днів із дати отримання письмового запиту.
32. Абонент - надавач послуг перед виконанням ЕЗІ зобов’язаний:
1) поінформувати користувача належним чином про перелік даних такого користувача, які запитуватимуться в абонента-ідентифікатора засобами Системи BankID НБУ, мету обробки його даних та отримати згоду користувача на їх обробку відповідно до законодавства України з питань захисту персональних даних;
2) надавати користувачу інформацію про умови та порядок надання послуги, з метою надання якої здійснюється його електронна ідентифікація, з дотриманням вимог законодавства України та Документів.
33. Абонент - надавач послуг зі спеціальним статусом зобов’язаний:
1) забезпечити безпечне передавання даних користувача, отриманих із використанням Системи BankID НБУ, до контрагентів, унеможлививши їх несанкціоноване розкриття або використання третіми особами під час здійснення такого передавання;
2) зобов’язати контрагентів:
перед виконанням ЕЗІ інформувати його належним чином про перелік даних такого користувача, які запитуватимуться в абонента-ідентифікатора засобами Системи BankID НБУ, мету обробки його даних та отримати згоду користувача на їх обробку відповідно до законодавства України з питань захисту персональних даних;
як володільців персональних даних, які визначають мету обробки персональних даних, установлюють склад таких даних та процедури їх обробки відповідно до Закону України "Про захист персональних даних", здійснювати обробку персональних даних відкрито і прозоро, із застосуванням засобів та в спосіб, що відповідають визначеним цілям такої обробки;
здійснювати обробку персональних даних користувачів лише для визначеної, чіткої і законної мети, яка повинна бути визначена контрагентом до початку обробки таких даних, і надалі не обробляти персональні дані в спосіб, що є несумісним із такою метою;
забезпечити повноту, достовірність і своєчасність розміщення на порталі послуг інформації про умови та порядок надання послуги, з метою надання якої здійснюється електронна ідентифікація, з дотриманням вимог законодавства України та Документів.
34. Абонент-ідентифікатор має право:
1) надавати ЕПІ на ЕЗІ виключно щодо користувачів, які на дату отримання абонентом-ідентифікатором ЕЗІ мають діючі з ним договірні відносини, що містять умови щодо обслуговування поточного / платіжного рахунку та надання послуги електронної ідентифікації Системи BankID НБУ;
2) отримувати документи та/або електронні дані, що містять дані користувача, які необхідні для надання послуги електронної ідентифікації Системи BankID НБУ.
35. Абоненту-ідентифікатору забороняється надавати послугу електронної ідентифікації Системи BankID НБУ користувачу:
1) який припинив із ним договірні відносини, що містять умови щодо обслуговування поточного / платіжного рахунку та надання послуги електронної ідентифікації Системи BankID НБУ, але має технологічний доступ до раніше створеного йому облікового запису в засобах дистанційної комунікації;
2) стосовно якого в абонента-ідентифікатора є підстави для здійснення заходів щодо актуалізації його ідентифікаційних даних.
36. Абонент-ідентифікатор зобов’язаний:
1) здійснювати ідентифікацію, верифікацію та актуалізацію даних користувача з метою надання йому послуги електронної ідентифікації Системи BankID НБУ з дотриманням вимог, визначених законодавством України у сфері фінансового моніторингу та Документами;
2) забезпечувати присвоєння користувачу облікових даних доступу користувача та управління ними з дотриманням вимог, визначених Документами;
3) забезпечувати доповнення анкети клієнта даними користувача, отриманими в процесі його ідентифікації та верифікації, а також актуалізації даних користувача;
4) повідомляти користувача про необхідність актуалізації даних користувача для можливості отримання послуги електронної ідентифікації Системи BankID НБУ;
5) передбачити в договорах із користувачем зобов’язання користувача щодо дотримання ним таких вимог:
забезпечувати конфіденційність облікових даних доступу користувача (не розголошувати іншим особам) та неможливість доступу до них інших осіб;
невідкладно повідомляти абонента-ідентифікатора про підозру або факт компрометації облікових даних доступу користувача;
надавати достовірну інформацію, необхідну для отримання послуги електронної ідентифікації Системи BankID НБУ;
своєчасно, до використання послуги електронної ідентифікації, надавати абоненту-ідентифікатору інформацію про зміну даних користувача, які використовуються для передавання засобами Системи BankID НБУ;
не використовувати послугу електронної ідентифікації Системи BankID НБУ в разі не актуальності даних користувача, наданих ним абоненту-ідентифікатору;
проходити процедуру актуалізації даних користувача в спосіб та строки, установлені в договорі між абонентом-ідентифікатором та користувачем;
6) забезпечувати чітке та вичерпне інформування клієнта, який звернувся для отримання послуги електронної ідентифікації Системи BankID НБУ, про умови використання такої послуги, її вартість, включаючи про будь-які обмеження її використання, до надання послуги електронної ідентифікації Системи BankID НБУ;
7) забезпечувати захист персональних даних користувача відповідно до вимог Закону України "Про захист персональних даних";
8) забезпечувати захист інформації в інформаційно-комунікаційній системі, що використовується для надання послуг електронної ідентифікації Системи BankID НБУ, відповідно до вимог законодавства України у сфері захисту інформації;
9) розробити та дотримуватися внутрішніх процедур щодо здійснення моніторингу спроб несанкціонованих або шахрайських дій з використанням облікових даних користувача під час надання послуг електронної ідентифікації Системи BankID НБУ та реагування на них;
10) забезпечувати постійне зберігання документів та електронних даних, отриманих під час ідентифікації та верифікації користувачів, що використовуються / використовувалися для надання послуги електронної ідентифікації Системи BankID НБУ;
11) здійснювати актуалізацію даних користувача у визначені абонентом-ідентифікатором з урахуванням особливостей внутрішніх процедур терміни, але не рідше ніж кожні п’ять років;
12) забезпечувати функціонування вебсайту, на якому розміщено інформацію про послугу електронної ідентифікації Системи BankID НБУ;
13) забезпечити розміщення на вебсайті інформації про послугу електронної ідентифікації Системи BankID НБУ, її вартість (у разі встановлення), умови отримання та будь-які обмеження в її використанні, контакти для звернення користувача з питань щодо отримання послуги;
14) забезпечувати інформування користувача про порушення конфіденційності та/або цілісності інформації, що впливають на надання йому послуги електронної ідентифікації Системи BankID НБУ або стосуються даних користувача, без необґрунтованої затримки, протягом двох годин із моменту, коли абоненту-ідентифікатору стало відомо про таке порушення;
15) здійснювати інформування Національного банку про порушення конфіденційності та/або цілісності інформації, що впливають на надання послуг електронної ідентифікації Системи BankID НБУ або стосуються персональних даних користувачів, без необґрунтованої затримки, протягом 24 годин із моменту, коли абоненту-ідентифікатору стало відомо про таке порушення;
16) забезпечувати вжиття відповідних організаційних і технічних заходів з оцінки та управління ризиками, пов’язаними з безпекою послуг електронної ідентифікації Системи BankID НБУ;
17) забезпечити повноту, достовірність й актуальність даних користувача, що містяться в ЕПІ;
18) отримувати від користувача дозвіл на передавання його даних абоненту - надавачу послуг / абоненту - надавачу послуг зі спеціальним статусом із метою здійснення електронної ідентифікації користувача;
19) після успішного проходження користувачем процедури автентифікації та перед передаванням ЕПІ через Систему BankID НБУ підписувати таке ЕПІ кваліфікованим електронним підписом уповноваженого працівника абонента-ідентифікатора або засвідчувати кваліфікованою електронною печаткою абонента-ідентифікатора, та після підписання / засвідчення зашифровувати ЕПІ згідно з вимогами, зазначеними в специфікації взаємодії;
20) надавати інформацію на письмовий запит абонента - надавача послуг / абонента - надавача послуг зі спеціальним статусом щодо ЕПІ (параметри та їх наповнення), отриманого(их) від такого абонента-ідентифікатора, з метою вирішення спірних питань, що виникають між користувачем та абонентом, та питань відповідності ЕПІ специфікації взаємодії у строк до 20 календарних днів із дати отримання письмового запиту.
37. Абонент-ідентифікатор та абонент - надавач послуг, який є комерційним абонентом, зобов’язані забезпечити зберігання в електронному вигляді не менше п’яти років після припинення ділових відносин із користувачем або завершення разової операції / надання послуги без встановлення ділових відносин із користувачем, щодо якого абонентом було отримане або надане ЕПІ, для можливості вирішення спорів між абонентами та/або абонентом та користувачем щодо успішних ЕПІ:
1) ЕЗІ та ЕПІ користувача, здійснених із використанням Системи BankID НБУ;
2) інформації (технічних параметрів, які дають змогу ідентифікувати ЕЗІ / ЕПІ та факт їх проходження між суб’єктами) про передавання до та отримання від центрального вузла Системи BankID НБУ ЕЗІ та ЕПІ.
38. Абонент - надавач послуг зі спеціальним статусом і некомерційний абонент - надавач послуг зобов’язані забезпечити зберігання в електронному вигляді значень таких ключів як ідентифікатор сесії та унікальний ідентифікатор абонентського вузла в Системі BankID НБУ, а також іншої інформації (технічних параметрів, які дають змогу ідентифікувати ЕЗІ / ЕПІ та факт їх проходження між суб’єктами) не менше п’яти років із дати ініціювання ЕЗІ / надходження ЕПІ про:
1) передавання ЕЗІ до та отримання ЕПІ від центрального вузла Системи BankID НБУ;
2) отримання ЕЗІ від та передавання ЕПІ до контрагентів (для абонентів - надавачів послуг зі спеціальним статусом).
39. Національний банк зобов’язаний:
1) забезпечувати захист інформації в Системі BankID НБУ відповідно до вимог законодавства України у сфері захисту інформації, цього Положення та Документів;
2) забезпечити зберігання в електронному вигляді значень таких ключів як ідентифікатор сесії та унікальний ідентифікатор абонентського вузла в Системі BankID НБУ, та інших технічних параметрів, які дають змогу ідентифікувати ЕЗІ, ЕПІ та факт їх проходження між суб’єктами, не менше п’яти років із дати ініціювання ЕЗІ, надходження ЕПІ.
40. Національний банк має право:
1) запитувати та отримувати від абонентів дані користувачів із метою вирішення спорів між абонентами щодо дотримання ними вимог специфікації взаємодії та завершення розрахунків за міжабонентськими тарифами;
2) здійснювати моніторинг послуг, які абонент - надавач послуг / абонент - надавач послуг зі спеціальним статусом надає з використанням Системи BankID НБУ, на рівні абонентських вузлів та порталів послуг абонента - надавача послуг / абонента - надавача послуг зі спеціальним статусом на відповідність переліку послуг, для яких рішенням Ради надано дозвіл використовувати Систему BankID НБУ абоненту - надавачу послуг / абоненту - надавачу послуг зі спеціальним статусом;
3) здійснювати дистанційну перевірку (аналіз діяльності) абонента - надавача послуг / абонента - надавача послуг зі спеціальним статусом / контрагента з метою визначення дотримання ними вимог, установлених законодавством України, цим Положенням, специфікацією взаємодії, укладеними з Національним банком договорами, а також Документами, з використанням власних технічних засобів;
4) запитувати та отримувати інформацію від абонентів у разі виникнення сумнівів стосовно відповідності їхньої діяльності або діяльності їхніх контрагентів (для абонентів - надавачів послуг зі спеціальним статусом) вимогам законодавства України, цього Положення, специфікації взаємодії, укладених із Національним банком договорів, а також Документів та/або безпечності передавання їм даних користувачів;
5) тимчасово зупиняти (блокувати в Системі BankID НБУ) роботу абонента та/або його абонентського вузла та/або передавання даних користувачів до контрагентів у разі порушення ним вимог законодавства України, цього Положення, специфікації взаємодії, умов укладених із Національним банком договорів, а також Документів, до моменту усунення таких порушень;
6) вимагати від абонента усунення порушень вимог законодавства України, цього Положення, специфікації взаємодії, умов укладених із Національним банком договорів, а також Документів у визначений Національним банком строк.
41. Суб’єкти відносин у Системі BankID НБУ зобов’язані діяти згідно із законодавством України, цим Положенням, укладеними договорами та Документами.
42. Отримання даних користувача абонентом - надавачем послуг або контрагентом засобами Системи BankID НБУ для їх продажу або передавання третім особам, або використання з іншою метою, ніж надання послуги користувачу, для отримання якої він обрав Систему BankID НБУ як спосіб електронної ідентифікації, заборонено.
IV. Статистика Системи BankID НБУ
43. Система BankID НБУ виконує такі облікові функції:
1) забезпечує ведення статистики роботи абонентських вузлів у Системі BankID НБУ щодо проходження ЕЗІ та ЕПІ;
2) зберігає інформацію про ЕЗІ та ЕПІ, що пройшли через центральний вузол Системи BankID НБУ, за кількістю, без збирання, збереження, архівування, оброблення та доступу до їх змісту;
3) визначає ЕЗІ, під час оброблення якого зафіксована помилка, тип помилки;
4) фіксує факт проходження ЕЗІ та ЕПІ через центральний вузол Системи BankID НБУ;
5) надає абонентам інформацію (за запитом або на умовах, визначених у Договорі приєднання) із файлів журналу про проходження їхніх ЕЗІ та ЕПІ під час використання Системи BankID НБУ.
44. Національний банк для обліку в статистиці ураховує ЕПІ як успішне, якщо підписане та зашифроване абонентом-ідентифікатором ЕПІ пройшло через центральний вузол Системи BankID НБУ до абонента - надавача послуг / абонента - надавача послуг зі спеціальним статусом.
V. Порядок розрахунків під час використання Системи BankID НБУ
45. Національний банк має право встановлювати тарифи на послуги, що надаються Національним банком комерційним абонентам, з підключення та користування Системою BankID НБУ.
46. Абонент здійснює оплату послуг, наданих Національним банком, у порядку, установленому Договором приєднання, та згідно з Тарифами на організаційні послуги та інші види послуг (операцій), що надаються (здійснюються) Національним банком України, затвердженими постановою Правління Національного банку України від 12 серпня 2003 року № 333, зареєстрованими в Міністерстві юстиції України 10 вересня 2003 року за № 785/8106 (у редакції постанови Правління Національного банку України від 15 травня 2019 року № 68) (зі змінами).