Про затвердження Змін до Положення про нагляд (оверсайт) платіжних систем та систем розрахунків в Україні

Відповідно до статей 7, 15, 56 Закону України "Про Національний банк України", статті 41 Закону України "Про платіжні системи та переказ коштів в Україні" Правління Національного банку України ПОСТАНОВЛЯЄ:

1. Затвердити Зміни до Положення про нагляд (оверсайт) платіжних систем та систем розрахунків в Україні, затвердженого постановою Правління Національного банку України від 28 листопада 2014 року № 755 (зі змінами) (далі - Положення), що додаються.

2. Платіжні організації платіжних систем-резиденти та учасники/члени платіжних систем, діяльність і документи яких не відповідають вимогам розділу V та пункту 1 розділу XI Положення , зобов'язані привести їх у відповідність до цих вимог протягом 180 календарних днів з дати набрання чинності цією постановою.

3. Департаменту платіжних систем та інноваційного розвитку (Ольга Василєва) після офіційного опублікування довести до відома об'єктів нагляду (оверсайта) інформацію про прийняття цієї постанови.

4. Контроль за виконанням цієї постанови покласти на заступника Голови Національного банку України Сергія Холода.

5. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.

1. У розділі I:

1) пункт 2 після слів "нагляду (оверсайта)" доповнити словами "(далі - оверсайт)";

2) розділ після пункту 8 доповнити двома новими пунктами 9, 10 такого змісту:

"9. Об'єкт оверсайта-резидент зобов'язаний надсилати інформацію та документи до Національного банку засобами системи електронної пошти Національного банку (за умови підключення до системи електронної пошти Національного банку) або на офіційну електронну поштову скриньку Національного банку з використанням кваліфікованого електронного підпису.

Об'єкт оверсайта-резидент зобов'язаний надати на запит Національного банку документи (їх копії та/або витяги з них) на паперовому носії.

10. Документи, що надсилаються об'єктом оверсайта до Національного банку засобами системи електронної пошти/на офіційну електронну поштову скриньку Національного банку, повинні відповідати таким вимогам:

1) документи викладені українською мовою;

2) сторінки документів пронумеровані;

3) документи, що складені іноземною мовою, супроводжуються нотаріально засвідченим перекладом українською мовою;

4) копії документів в електронному вигляді створені у вигляді файлів у форматі pdf, які містять відскановані з паперових носіїв зображення документів;

5) сканована копія кожного окремого документа збережена як окремий файл;

6) файл має коротку назву латинськими літерами, що відображає зміст та реквізити документа;

7) документи, що містять більше однієї сторінки, скановані в один файл;

8) роздільна здатність сканування не нижча ніж 300 dpi.".

У зв'язку з цим пункти 9, 10 вважати відповідно пунктами 11, 12.

2. У пункті 1 розділу II:

1) підпункт 9 викласти в такій редакції:

"9) значущий оператор послуг платіжної інфраструктури - оператор послуг платіжної інфраструктури, який відповідає визначеним цим Положенням критеріям важливості;";

2) пункт після підпункту 11 доповнити п'ятьма новими підпунктами 12-16 такого змісту:

"12) інформаційна інфраструктура - сукупність обладнання, засобів, комплексів та систем для оброблення, передавання та приймання інформації, а також системи електронних комунікацій, що використовуються для ініціювання та здійснення переказу коштів;

13) кіберзагроза - наявні та потенційно можливі явища і чинники, що спричиняють або можуть спричинити ризик порушення конфіденційності, цілісності, доступності інформаційних ресурсів та/або спостережності і керованості інформаційної інфраструктури;

14) кіберінцидент - подія або сукупність несприятливих подій ненавмисного характеру, або таких, що мають ознаки можливої кібератаки, які становлять загрозу безпеці інформаційної інфраструктури, створюють імовірність порушення штатного режиму її функціонування, а також ставлять під загрозу захищеність інформаційних ресурсів;

15) кіберризик - ризик реалізації кіберзагроз щодо інформаційних ресурсів та/або інформаційної інфраструктури, а також наслідки таких подій. Кіберризик є складовою операційного ризику;

16) кіберстійкість платіжної системи - спроможність платіжної організації, учасників платіжної системи, операторів послуг платіжної інфраструктури та розрахункового(их) банку(ів) цієї платіжної системи запобігати, протистояти, стримувати та оперативно відновлюватися після кіберінцидентів та кібератак на неї;".

У зв'язку з цим підпункти 12-34 уважати відповідно підпунктами 17-39;

3) підпункт 21 після слів "в постачанні електроенергії" доповнити словами ", кіберінциденти у платіжній системі та кібератаки на неї";

4) підпункт 29 виключити.

У зв'язку з цим підпункти 30-39 уважати відповідно підпунктами 29-38;

5) пункт після підпункту 32 доповнити новим підпунктом 33 такого змісту:

"33) система переказу коштів - платіжна система, призначена для здійснення переказів коштів, які ініціюються платниками для зарахування коштів на рахунки отримувачів або видачі отримувачам - фізичним особам у готівковій формі;".

У зв'язку з цим підпункти 33-38 уважати підпунктами 34-39.

3. Пункт 5 розділу III доповнити новим абзацом такого змісту:

"Національний банк здійснює моніторинг системно важливої платіжної системи відповідно до системи показників, установлених ним у своїх внутрішніх документах."

4. У розділі IV:

1) заголовок розділу викласти в такій редакції:

2) пункт 1 викласти в такій редакції:

"1. Національний банк за результатами моніторингу платіжних систем та відповідно до критеріїв важливості, установлених у пунктах 2-5 розділу IV цього Положення, визначає важливість платіжних систем та операторів послуг платіжної інфраструктури у лютому за підсумками їх діяльності протягом попереднього року.";

3) пункти 5-13 викласти в такій редакції:

"5. Національний банк визнає оператора послуг платіжної інфраструктури значущим, якщо він обробляє більше 10% операцій (за кількістю та/або сумою), оброблених операторами послуг платіжної інфраструктури-резидентами у платіжних системах, внесених Національним банком до Реєстру.

6. Рішення про визнання платіжної системи системно важливою, соціально важливою або важливою, а також оператора послуг платіжної інфраструктури значущим та/або про визнання платіжної системи/оператора послуг платіжної інфраструктури такими, що більше не відповідають встановленим критеріям важливості, приймає Комітет з питань нагляду та регулювання діяльності банків, нагляду (оверсайту) платіжних систем.

7. Національний банк протягом 15 календарних днів після визнання платіжної системи системно важливою, соціально важливою або важливою платіжною системою, а також оператора послуг платіжної інфраструктури значущим або такими, що більше не відповідають встановленим критеріям важливості:

1) уносить відповідну інформацію до Реєстру та оприлюднює на сторінках офіційного Інтернет-представництва Національного банку;

2) надсилає платіжній організації платіжної системи (крім платіжної системи, створеної Національним банком) або її представництву в Україні письмове повідомлення про відповідність платіжної системи критеріям важливості платіжних систем або про визнання платіжної системи такою, що більше не відповідає встановленим критеріям важливості платіжних систем.

У повідомленні про відповідність платіжної системи критеріям важливості платіжних систем зазначаються:

дата визнання платіжної системи системно важливою, соціально важливою або важливою платіжною системою;

категорія важливості платіжної системи;

необхідність виконання вимог цього Положення;

3) надсилає оператору послуг платіжної інфраструктури письмове повідомлення про відповідність його діяльності критеріям важливості або про визнання його таким, що більше не відповідає встановленим критеріям важливості.

У повідомленні про відповідність оператора послуг платіжної інфраструктури критеріям важливості зазначаються:

дата визнання оператора послуг платіжної інфраструктури значущим;

інформація про відповідність встановленим критеріям важливості;

необхідність виконання вимог цього Положення.

8. Національний банк має право після визнання міжнародної платіжної системи, створеної нерезидентом, значущою платіжною системою надіслати центральному банку країни, резидентом якої є платіжна організація цієї платіжної системи, письмовий запит для отримання інформації про оцінювання цієї платіжної системи на відповідність міжнародним стандартам оверсайта платіжних систем.

9. Платіжна організація платіжної системи, яку визнано системно важливою, зобов'язана виконати вимоги, установлені в пунктах 7-11 розділу V, розділах VI-XI та пункті 1 розділу XII цього Положення.

Платіжна організація платіжної системи, яку визнано соціально важливою, зобов'язана виконати вимоги, установлені в пунктах 7-10 розділу V, розділах VI-XI та пункті 2 розділу XII цього Положення.

Платіжна організація платіжної системи, яку визнано важливою, зобов'язана виконати вимоги, установлені в пунктах 7-10 розділу V, розділах VI-XI цього Положення.

Вимоги, визначені у розділах VI-X цього Положення, поширюються на платіжні системи, які на момент прийняття Національним банком рішення про визнання їх значущими платіжними системами мають не менше трьох прямих учасників (включаючи платіжну організацію платіжної системи, що виконує функції учасника у цій платіжній системі).

10. Платіжна організація значущої платіжної системи зобов'язана виконати вимоги, передбачені в пункті 9 розділу IV цього Положення, протягом 90 календарних днів із дня надсилання Національним банком письмового повідомлення про відповідність платіжної системи критеріям важливості платіжних систем.

11. Платіжна організація платіжної системи, яка на момент прийняття Національним банком рішення про визнання її значущою має менше трьох прямих учасників, зобов'язана виконати вимоги, установлені у розділах VI-X цього Положення, протягом 90 календарних днів із дня внесення Національним банком до Реєстру відомостей про прямого учасника платіжної системи, включення якого збільшує кількість прямих учасників платіжної системи щонайменше до трьох.

12. Оператор послуг платіжної інфраструктури, якого визнано значущим, зобов'язаний протягом 90 календарних днів із дня надсилання Національним банком письмового повідомлення про відповідність його діяльності критеріям важливості виконати вимогу, установлену в пункті 12 розділу V, та здійснити заходи, визначені в пункті 6 розділу XIII цього Положення, а також забезпечити належний контроль за їх виконанням.

13. Національний банк має право на підставі обґрунтованого клопотання платіжної організації платіжної системи/оператора послуг платіжної інфраструктури прийняти рішення про збільшення строку виконання вимог, передбачених у пунктах 10-12 розділу IV цього Положення, на строк, що не може перевищувати 90 календарних днів.".

5. Положення після розділу IV доповнити новим розділом V такого змісту:

1. Об'єкт оверсайта зобов'язаний надавати на вимогу Національного банку документи, що підтверджують виконання вимог, установлених у розділі V цього Положення, у строк до 30 календарних днів від дати запиту Національного банку.

2. Платіжна організація платіжної системи-резидент зобов'язана виконати вимоги розділу V цього Положення шляхом доопрацювання правил платіжної системи/внутрішніх/статутних документів платіжної організації платіжної системи (далі - документи платіжної системи).

3. Документи, що подаються до Національного банку відповідно до вимог розділу V цього Положення, повинні бути затверджені керівником об'єкта оверсайта, його заступником або керівним органом об'єкта оверсайта, якщо законодавством України не встановлено інше, та оформлені з урахуванням вимог, визначених у пункті 10 розділу I цього Положення.

4. Платіжна організація платіжної системи зобов'язана здійснювати постійний контроль за відповідністю документів платіжної системи, договорів та інших правочинів законодавству України.

5. Платіжна організація платіжної системи-резидент зобов'язана визначити у документах платіжної системи:

1) момент остаточності розрахунків;

2) порядок здійснення контролю за дотриманням учасниками платіжної системи вимог правил платіжної системи та вимог до учасників платіжної системи, установлених іншими документами платіжної системи, що розроблені/доопрацьовані платіжною організацією на виконання вимог цього Положення.

6. Платіжна організація платіжної системи-резидент та учасник платіжної системи зобов'язані встановити у своїх документах порядок:

1) зберігання паперових та електронних документів на переказ коштів, а також створення архівів електронних документів відповідно до законодавства України;

2) забезпечення безперервності діяльності платіжної системи відповідно до організаційних та технічних заходів, передбачених у підпунктах 1-6 пункту 6 розділу XIII цього Положення.

7. Платіжна організація значущої платіжної системи-резидент, що має більше трьох прямих учасників (включаючи платіжну організацію платіжної системи, що виконує функції учасника у цій платіжній системі), зобов'язана визначити в документах платіжної системи:

1) цілі та завдання діяльності платіжної системи, включаючи забезпечення безперервності діяльності платіжної системи та планові операційні показники діяльності платіжної системи (кількість та сума операцій; час, необхідний для оброблення трансакцій);

2) механізми регулярного контролю за відповідністю результатів діяльності платіжної системи поставленим цілям та завданням;

3) склад, обов'язки, повноваження, порядок діяльності керівних органів платіжної системи, відповідальність керівних органів та їх членів;

4) обов'язки, повноваження, відповідальність, порядок звітування керівним органам особи(іб) та/або підрозділу(ів), відповідальної(их) за управління ризиками, що виникають у платіжній системі, включаючи функції і обов'язки працівників, відповідальних за управління операційним ризиком, та їх розподіл;

5) порядок внутрішнього контролю за управлінням ризиками;

6) порядок звітування особою(ами) та/або підрозділом(ами), відповідальним(ими) за управління ризиками та забезпечення інформаційної безпеки в платіжній системі, перед керівними органами платіжної організації значущої платіжної системи;

7) порядок вирішення конфліктів інтересів (за наявності) між заінтересованими особами та платіжною організацією платіжної системи під час прийняття нею рішень;

8) порядок контролю за відповідністю досягнутих результатів діяльності платіжної системи поставленим цілям та завданням діяльності платіжної системи;

9) механізми контролю, заходи щодо управління, моніторингу, мінімізації та усунення наслідків впливу ризиків, на які наражається у своїй діяльності, та/або які спричиняє платіжна система:

правового ризику;

кредитного ризику, ризику ліквідності, загального комерційного ризику, депозитарного ризику, інвестиційного ризику (далі - фінансові ризики);

розрахункового ризику;

операційного ризику, включаючи кіберризик;

системного ризику;

інших ризиків, які платіжна організація значущої платіжної системи має право визначати як такі, що притаманні діяльності платіжної системи;

10) вимоги до розрахункового(их) банку(ів), з яким (якими) вона взаємодіє (крім Національного банку);

11) правила та порядок зменшення правового ризику, що виникає, якщо платіжна система або її учасники є суб'єктом права різних юрисдикцій;

12) відповідальність сторін та порядок дій, включаючи здійснення розрахунків, використання ресурсів та покриття втрат, у разі невиконання зобов'язання учасником платіжної системи;

13) порядок відновлення ліквідності;

14) порядок забезпечення безперервності діяльності платіжної системи відповідно до організаційних та технічних заходів, передбачених у підпунктах 7-14 пункту 6 розділу XIII цього Положення;

15) заходи, спрямовані на реалізацію вимог щодо досягнення кіберстійкості платіжної системи, передбачених у пункті 1 розділу XI цього Положення, і забезпечити їх перегляд не рідше одного разу на рік.

8. Платіжна організація значущої платіжної системи-резидент, у якій передбачена багаторівнева структура участі, зобов'язана встановити в документах платіжної системи вимогу до прямих учасників платіжної системи щодо надання платіжній організації платіжної системи не рідше двох разів на рік інформації про:

1) надання повноважень на здійснення діяльності в платіжній системі непрямим учасникам платіжної системи та іншим прямим учасникам, яким платіжною організацією платіжної системи надано право проводити розрахунки за операціями інших учасників у цій платіжній системі (для карткових платіжних систем);

2) непрямих учасників платіжної системи та/або прямих учасників, яким платіжною організацією платіжної системи надано право проводити розрахунки за операціями інших учасників у цій платіжній системі, обсяги трансакцій яких протягом 180 календарних днів більші, ніж обсяги трансакцій, здійснених за аналогічний період прямими учасниками платіжної системи, через яких здійснюються розрахунки в платіжній системі;

3) відповідальність прямого та непрямого учасника платіжної системи за остаточність розрахунку за трансакціями, що здійснюються прямим учасником платіжної системи за дорученням непрямого учасника платіжної системи, та порядок оброблення цих трансакцій у разі невиконання зобов'язань прямим та/або непрямим учасником платіжної системи.

Обсяг інформації, передбаченої у підпункті 2 пункту 8 розділу V цього Положення, визначається платіжною організацією платіжної системи.

9. Платіжна організація значущої платіжної системи-резидент зобов'язана розробити план заходів із забезпечення безперервності діяльності платіжної системи (далі - План заходів), що затверджується керівним органом платіжної організації платіжної системи.

План заходів має передбачати:

1) порядок відновлення безперервності діяльності платіжної системи в разі виникнення надзвичайної ситуації;

2) технологію виконання операцій в надзвичайній ситуації;

3) строк відновлення безперервності діяльності платіжної системи та момент її відновлення;

4) порядок повідомлення заінтересованих осіб про виникнення надзвичайної ситуації;

5) порядок взаємодії та комунікацій в надзвичайній ситуації між працівниками платіжної організації платіжної системи, а також платіжною організацією платіжної системи та заінтересованими особами;

6) порядок дій щодо забезпечення виконання/надання критичних операцій/послуг у разі відмови телекомунікаційних мереж та/або окремих складових програмно-технічного забезпечення;

7) функції та відповідальність працівників, які забезпечують виконання/надання критичних операцій/послуг, у разі виникнення надзвичайної ситуації;

8) порядок формування, склад, завдання та функції тимчасової структурної одиниці платіжної організації платіжної системи, що формується на час надзвичайної ситуації та ліквідації її наслідків і відповідає за реалізацію Плану заходів;

9) потенційні внутрішні та зовнішні загрози для діяльності платіжної системи та можливий їх вплив;

10) критерії класифікації операцій/послуг, що виконуються/надаються платіжною системою за ступенем їх критичності;

11) критерії віднесення прямих, непрямих учасників платіжної системи та операторів послуг платіжної інфраструктури (за їх наявності) до тих, від яких платіжна організація платіжної системи критично залежить;

12) перелік критичних залежностей і критичних операцій/послуг платіжної системи, включаючи ті, що передано оператору послуг платіжної інфраструктури;

13) порядок реєстрації та аналізу операційних проблем та фактів порушення безперервності діяльності платіжної системи;

14) порядок дій щодо блокування/знищення критичних засобів захисту інформації в надзвичайній ситуації та розгортання системи захисту інформації платіжної системи в резервній робочій зоні.

Інформація, що міститься в Плані заходів, крім тієї, що зазначена в пункті другому розділу XI цього Положення, є конфіденційною.

10. Платіжна організація значущої платіжної системи-резидент зобов'язана проводити перегляд і тестування Плану заходів не рідше одного разу на рік.

11. Платіжна організація системно важливої платіжної системи-резидент зобов'язана додатково передбачити в Плані заходів:

1) порядок використання резервної робочої зони;

2) порядок відновлення безперервності діяльності платіжної системи та роботи комп'ютерних систем у разі настання надзвичайної ситуації, з урахуванням вимоги, визначеної в підпункті 2 пункту 1 розділу XII цього Положення;

3) порядок забезпечення безперервного виконання/надання критичних операцій/послуг.

12. Значущий оператор послуг платіжної інфраструктури зобов'язаний визначати у своїх документах порядок забезпечення безперервності діяльності відповідно до організаційних та технічних заходів, передбачених у пункті 6 розділу XIII цього Положення.

13. Національний банк у разі невідповідності документів об'єктів оверсайта вимогам цього Положення має право надіслати листа з вимогою щодо усунення порушення вимог законодавства України (далі - письмова вимога) у порядку, установленому нормативно-правовими актами, що визначають порядок пред'явлення Національним банком вимог до об'єктів оверсайта щодо усунення порушень законодавства України та застосування до них заходів впливу.

14. Національний банк у разі ненадання, несвоєчасного надання документів та/або надання завідомо недостовірної інформації об'єктами оверсайта застосовує до них заходи впливу в порядку, установленому нормативно-правовими актами, що визначають порядок пред'явлення Національним банком вимог до об'єктів оверсайта щодо усунення порушень законодавства України та застосування до них заходів впливу.

15. Національний банк визначає інформацію, зазначену в розділі V цього Положення, щодо платіжних систем, платіжною організацією яких він є, у документах цих платіжних систем."

У зв'язку з цим розділи V-XVI уважати відповідно розділами VI-XVII.

6. Пункт 1 розділу VI виключити.

У зв'язку з цим пункти 2-6 уважати відповідно пунктами 1-5.

7. У розділі VII:

1) пункт 2 виключити.

У зв'язку з цим пункти 3-6 уважати відповідно пунктами 2-5;

2) пункт 3 виключити.

У зв'язку з цим пункти 4, 5 уважати відповідно пунктами 3, 4;

3) у пункті 3:

у підпункті 1 слова "реєстраційних документах" замінити словами "правилах";

підпункт 2 виключити.

У зв'язку з цим підпункт 3 уважати підпунктом 2.

8. Пункт 1 розділу VIII виключити.

У зв'язку з цим пункти 2-3 уважати відповідно пунктами 1-2.

9. Розділ IX виключити.

У зв'язку з цим розділи X-ХVII уважати відповідно розділами IX-XVI.

10. У розділі IX:

1) пункт 2 виключити.

У зв'язку з цим пункти 3-11 уважати відповідно пунктами 2-10;

2) в абзаці другому пункту 2 слова "шляхом установлення відповідної вимоги до нього(них) у своїх реєстраційних документах" виключити.

11. Пункт 1 розділу X виключити.

У зв'язку з цим пункти 2-5 уважати відповідно пунктами 1-4.

12. У розділі XI:

1) пункт 1 викласти в такій редакції:

"1. Платіжна організація значущої платіжної системи-резидент для забезпечення кіберстійкості платіжної системи зобов'язана:

1) установити чіткий розподіл функцій, обов'язків, повноважень та відповідальності за забезпечення кіберстійкості платіжної системи та забезпечити належний рівень управління цим процесом;

2) аналізувати специфіку діяльності платіжної системи (операції/послуги, процеси, інформацію, персонал) і зовнішні взаємозв'язки та залежності, що можуть становити загрозу для кіберстійкості платіжної системи, за ступенем їх критичності для діяльності платіжної системи у разі кіберінциденту та/або кібератаки на неї;

3) вживати заходів для забезпечення захисту, виявлення, реагування на кіберзагрози, кібератаки та кіберінциденти, що можуть мати вплив на здійснення/надання критичних операцій/послуг платіжної системи, та оперативного відновлення після них;

4) вживати заходів для підвищення рівня обізнаності персоналу, що забезпечує діяльність платіжної системи, щодо наявних та потенційних кіберзагроз, що можуть мати вплив на безперервність діяльності платіжної системи, процедур повідомлення про виникнення кіберінцидентів і кібератак та реагування на них;

5) забезпечувати навчання та підвищення кваліфікації працівників, на яких покладено обов'язки, пов'язані з управлінням операційним ризиком та забезпеченням кіберстійкості платіжної системи;

6) здійснювати тестування ефективності заходів, передбачених платіжною організацією платіжної системи для забезпечення кіберстійкості платіжної системи не рідше одного разу на рік.".

2) пункти 4, 5 виключити.

У зв'язку з цим пункти 6-12 уважати відповідно пунктами 4-10;

13. У розділі XII:

1) підпункт 7 пункту 1 виключити.

У зв'язку з цим підпункт 8 уважати підпунктом 7;

2) підпункт 1 пункту 2 виключити.

У зв'язку з цим, підпункти 2-3 вважати відповідно підпунктами 1-2.

3) у підпункті 1 пункту 2 слова "у внутрішніх документах" замінити словами "у документах платіжної системи".

14. У розділі XIII:

1) заголовок розділу викласти в такій редакції:

2) пункти 1 та 2 викласти в такій редакції:

"1. Платіжна організація платіжної системи (крім внутрішньобанківської платіжної системи), її учасники та оператори послуг платіжної інфраструктури, які надають послуги в цій платіжній системі, діють відповідно до правил цієї платіжної системи, інших документів платіжної системи та вимог законодавства з питань діяльності платіжних систем та переказу коштів.

2. Платіжна організація платіжної систем-резидент, учасник платіжної системи зобов'язані вести реєстр пунктів приймання та виплати готівки, платіжних пристроїв та забезпечувати актуальність даних у ньому (у разі їх наявності).";

3) абзац перший пункту 3 викласти в такій редакції:

"3. Платіжна організація платіжної систем-резидент зобов'язана забезпечити зберігання інформації про кожну операцію з переказу коштів, здійснену в платіжній системі, у системі обліку платіжної організації, а учасник платіжної системи - у системі обліку платіжної організації та учасника платіжної системи, у встановленому ними порядку, з можливістю відновлення даних про дату здійснення операції (із зазначенням годин, хвилин та секунд), ініціатора та отримувача переказу, місця ініціювання та виплати переказу, суму та валюту переказу коштів, форму розрахунків (готівкова чи безготівкова).";

4) у пункті 7:

в абзаці першому та восьмому слова "учасники платіжних систем" замінити словами "учасник платіжної системи";

абзац дев'ятий викласти в такій редакції:

"Інформація про порушення безперервності діяльності платіжної системи за наведеними в підпунктах 1-6 пункту 7 розділу XIII цього Положення показниками надсилається Національному банку засобами системи електронної пошти Національного банку (у разі підключення)/на офіційну електронну поштову скриньку Національного банку або на паперовому носії засобами поштового зв'язку (у разі неможливості у наслідок порушення безперервності діяльності платіжної системи направлення повідомлення засобами системи електронної пошти Національного банку).";

пункт доповнити новим абзацом такого змісту:

"Національний банк визначає порядок обміну інформацією щодо порушення безперервності діяльності створених ним платіжних систем, для здійснення їх оверсайта у документах цих платіжних систем.";

5) пункт 9 викласти в такій редакції:

"9. Платіжна організація платіжної системи-резидент, учасник платіжної системи та оператор послуг платіжної інфраструктури зобов'язані мати власний офіційний вебсайт та корпоративну електронну поштову скриньку.";

6) у пункті 10:

підпункт 8 доповнити словами ", крім систем міжбанківських розрахунків;";

підпункт 12 доповнити словами "(за наявності)";

у підпункті 13 слова "електронної пошти" замінити словами "корпоративної електронної поштової скриньки";

абзац сімнадцятий після слова " підпунктів" доповнити цифрою "2,";

7) у пункті 11:

абзац перший викласти в такій редакції:

"11. Учасник платіжної системи зобов'язаний оприлюднювати на власному офіційному вебсайті та моніторі платіжних пристроїв актуальну інформацію щодо:";

підпункт 6 доповнити словами "(за наявності таких договорів)";

підпункт 8 доповнити словами "(за наявності)";

у підпункті 10 слова "електронної пошти" замінити словами "корпоративної електронної поштової скриньки";

підпункт 12 виключити;

пункт доповнити новим абзацом такого змісту:

"Учасник платіжної системи, який крім власного офіційного вебсайта використовує для надання послуг з переказу коштів у платіжній(их) системі(ах) інший(і) вебсайт(и), зобов'язаний розміщувати на таких вебсайтах посилання на власний офіційний вебсайт.";

8) абзац перший пункту 12 викласти в такій редакції:

"12. Платіжна організація платіжної системи-резидент, учасник платіжної системи зобов'язані оприлюднювати в пунктах приймання та виплати готівки, які використовуються ними для здійснення переказу коштів (у разі їх наявності), інформацію щодо:";

9) пункт 17 викласти в такій редакції:

"17. Платіжна організація платіжної системи зобов'язана не рідше одного разу на рік здійснювати контроль за діяльністю своїх учасників та операторів послуг платіжної інфраструктури в межах послуг, що надаються ними в платіжній системі, та за дотриманням ними вимог правил платіжної системи і вимог, встановлених іншими документами платіжної системи (у разі їх наявності).

Платіжна організація міжнародної карткової платіжної системи зобов'язана виконувати вимоги, установлені в цьому пункті, щодо учасників, яким платіжною організацією цієї платіжної системи надано право проводити розрахунки за операціями інших учасників у цій платіжній системі.";

10) розділ після пункту 17 доповнити новим пунктом такого змісту:

"18. Платіжна організація платіжної системи-резидент (крім Національного банку) зобов'язана фіксувати результати здійсненого контролю за учасниками та операторами послуг платіжної інфраструктури шляхом унесення відомостей до журналу реєстрації результатів контролю.

Журнал реєстрації результатів контролю ведеться в електронній формі та повинен містити:

1) порядковий номер;

2) повну назву учасника платіжної системи/оператора послуг платіжної інфраструктури, контроль за яким здійснено;

3) дату(и) здійснення контролю та період, за який здійснено контроль/дату виявлення порушення;

4) прізвище, ім'я, по батькові відповідального(их) працівника(ів), який(і) здійснював(ли) контроль/виявив (ли) порушення;

5) короткий опис заходів, вжитих платіжною організацією платіжної системи з метою здійснення контролю (у разі наявності);

6) короткий опис виявлених порушень (у разі наявності);

7) короткий опис заходів, вжитих за результатами здійсненого контролю у разі виявлення порушень.

Журнал реєстрації результатів контролю ведеться із дотриманням вимог щодо забезпечення захисту інформації, що міститься в ньому, відповідно до законодавства України."

У зв'язку з цим пункти 18, 19 уважати відповідно пунктами 19, 20;

11) підпункт 13 пункту 19 доповнити словами: "а також адресу своєї корпоративної електронної поштової скриньки.";

12) пункт 20 викласти в такій редакції:

"20. Учасник платіжної системи зобов'язаний здійснювати контроль за діяльністю оператора(ів) послуг платіжної інфраструктури в межах послуг, що надаються ним(и) цьому учаснику в платіжній системі.".

15. У розділі XIV:

1) підпункт 2 пункту 1 доповнити словами "/платіжної системи, створеної Національним банком;";

2) пункт 5 викласти в такій редакції:

"5. Національний банк здійснює комплексне оцінювання:

1) системно важливої платіжної системи не рідше одного разу на два роки;

2) соціально важливої та важливої платіжної системи не раніше ніж через 36 місяців із дня закінчення останнього комплексного оцінювання цієї платіжної системи.

Строк проведення комплексного оцінювання платіжної системи не може перевищувати шести місяців і збігатися з терміном проведення планової виїзної перевірки. Національний банк має право за наявності обґрунтованих причин збільшити строк проведення оцінювання платіжної системи до одного року.";

3) у пункті 9:

у підпункті 1 слово "реєстраційні" виключити;

підпункт 3 виключити.

У зв'язку з цим підпункти 4-14 відповідно вважати підпунктами 3-13;

4) пункт 15 виключити.

У зв'язку з цим пункти 16-24 вважати відповідно пунктами 15-23;

5) пункт 15 доповнити новим підпунктом такого змісту:

"4) прийняття рішення про визнання платіжної системи значущою платіжною системою.";

6) у підпункті 8 пункту 17 слова "загальні рекомендації щодо усунення порушень та вдосконалення діяльності платіжної системи" замінити словами "вимоги щодо усунення порушень та загальні рекомендації щодо вдосконалення діяльності платіжної системи";

7) у пункті 20:

слова "Національного банку" замінити словами "та усунення порушень, виявлених Національним банком під час оцінювання платіжної системи.";

пункт доповнити новим абзацом такого змісту:

"План заходів за результатами оцінювання повинен бути затверджений керівником об'єкта оверсайта, його заступником або керівним органом об'єкта оверсайта.";

8) пункт 21 викласти в такій редакції:

"21. Платіжна організація платіжної системи після закінчення строку, визначеного Національним банком для виконання рекомендацій та усунення порушень, зобов'язана подати до Національного банку Звіт про виконання Плану заходів за результатами оцінювання, затверджений керівником об'єкта оверсайта, його заступником або керівним органом об'єкта оверсайта, та відповідні документи, що підтверджують виконання платіжною організацією рекомендацій та усунення порушень, виявлених Національним банком під час оцінювання платіжної системи, наданих у Звіті або Довідці.";

9) розділ після пункту 21 доповнити новим пунктом такого змісту:

"22. Національний банк здійснює контроль за виконанням платіжною організацією платіжної системи Плану заходів за результатами оцінювання та має право надати до Звіту про виконання плану заходів зауваження, які є обов'язковими для врахування об'єктом оверсайта."

У зв'язку з цим пункти 22-23 уважати відповідно пунктами 23-24;

10) пункт 24 доповнити новим абзацом такого змісту:

"Національний банк за результатами комплексного оцінювання системно важливої платіжної системи оприлюднює на сторінках офіційного Інтернет-представництва Національного банку Звіт про відповідність платіжної системи міжнародним стандартам оверсайта за зразком, наведеним у додатку 3 до цього Положення.".

16. Пункт 3 розділу XV викласти в такій редакції:

"3. Національний банк готує річний звіт з оверсайта не рідше одного разу на рік, що подається Голові Національного банку та/або його заступникові, який здійснює загальне керівництво та контролює діяльність підрозділу Національного банку, до компетенції якого належать питання регулювання діяльності платіжних систем та нагляду (оверсайта) за ними.

Річний звіт з оверсайта повинен містити:

1) загальну інформацію щодо діяльності Національного банку з оверсайта у звітному році;

2) аналіз показників діяльності об'єктів оверсайта та їх динаміки;

3) інформацію про важливість об'єктів оверсайта;

4) інформацію про результати проведеного оцінювання об'єктів оверсайта та їх самооцінювання;

5) загальну інформацію щодо проведених перевірок та застосованих заходів впливу до об'єктів оверсайта;

6) пропозиції щодо вдосконалення діяльності об'єктів оверсайта в Україні;

7) інформацію щодо порушення безперервності діяльності об'єктів оверсайта.

Національний банк має право визначати інформацію для оприлюднення з річного звіту з оверсайта та розміщувати її на сторінках офіційного Інтернет-представництва Національного банку."

17. Положення після додатка 2 доповнити новим додатком 3 такого змісту:

Скорочення та умовні позначення (за необхідності)

І. Резюме, що містить стислу інформацію про:

1. Відповідність діяльності платіжної системи міжнародним стандартам оверсайта;

2. Особливості діяльності платіжної системи;

3. Учасників платіжної системи;

4. Правову та нормативну базу, що регулює діяльність платіжної системи;

5. Ключові ризики, на які наражається та/або наражає інших платіжна система;

6. Інша важлива інформація щодо платіжної системи та її діяльності.

II. Ключові зміни: у діяльності платіжної системи, її правилах, організаційній структурі тощо, а також умовах діяльності та законодавстві, що регулює діяльність платіжної системи, які відбулися після проведення її останнього оприлюднення звіту про відповідність міжнародним стандартам оверсайта та/або оцінювання (за наявності).

III. Загальна інформація про платіжну систему, що містить детальний опис:

1. Ключових послуг та функцій платіжної системи;

2. Основних показників діяльності платіжної системи та її ролі на ринку платіжних послуг;

3. Організаційної структури та особливостей управління;

4. Структури власності платіжної системи;

5. Нормативно-правової бази, що регулює ключові аспекти діяльності платіжної системи;

6. Побудови та особливостей функціонування платіжної системи, що включає умови участі, етапи типової транзакції, графік роботи платіжної системи тощо;

7. Інша важлива інформація щодо платіжної системи та її діяльності.

IV. Детальна інформація щодо відповідності платіжної системи кожному принципу, встановленому міжнародними стандартами оверсайта (окремо за кожним ключовим положенням кожного принципу):

1. Принцип X

1) текст принципу X

2) X.Y. Текст ключового положення Y принципу X

3) детальна інформація щодо відповідності діяльності платіжної системи ключовому положенню Y принципу X

4) висновок щодо відповідності діяльності платіжної системи принципу X: повністю відповідає/частково не відповідає/частково відповідає/не відповідає/не застосовується до платіжної системи.

V. Перелік загальнодоступних матеріалів/ресурсів (у тому числі ті, посилання на які містяться в тексті Звіту про відповідність міжнародним стандартам оверсайта)."

18. У тексті Положення слова "нагляд (оверсайт)" "на сторінках Офіційного інтернет-представництва", "види валют", "веб-сайт" у всіх відмінках та числах замінити відповідно словами "оверсайт", "на сторінках офіційного Інтернет-представництва", "найменування валют", "вебсайт" у відповідних відмінках та числах.