47. Національний банк має право визначати типи та розміри міжабонентських тарифів та комісійних винагород у Системі BankID НБУ та схвалювати їх рішенням Ради з метою забезпечення розвитку Системи BankID НБУ.
48. Розрахунковий банк здійснює взаєморозрахунки між комерційними абонентами за отримані / надані ними послуги в строки та на умовах, визначених у Договорі приєднання.
49. Національний банк має право формувати та надавати абонентам файли з інформацією про кількість ЕЗІ та ЕПІ для здійснення взаєморозрахунків між абонентами.
VI. Вимоги до інформаційної безпеки та захисту інформації в Системі BankID НБУ
50. Абонент зобов’язаний самостійно забезпечити захист інформації у власних інформаційно-телекомунікаційних системах, а також захист інформації під час її оброблення на власних абонентських вузлах відповідно до вимог законодавства України.
51. Абонент зобов’язаний забезпечити конфіденційність та контроль за цілісністю інформації в Системі BankID НБУ відповідно до специфікації взаємодії.
52. Абонент - надавач послуг / абонент - надавач послуг зі спеціальним статусом повинен припинити створення ЕЗІ та отримання ЕПІ в разі виявлення порушень:
1) працездатності власного абонентського вузла;
2) інформаційної безпеки власного абонентського вузла до моменту усунення таких порушень.
53. Абонент - надавач послуг / абонент - надавач послуг зі спеціальним статусом, який припиняє створення ЕЗІ та отримання ЕПІ відповідно до пункту 52 розділу VI цього Положення, зобов’язаний не пізніше ніж протягом трьох годин у робочий час або протягом 48 годин у неробочий час із моменту виявлення відповідного порушення повідомити Національний банк про причину(и) порушення, прогнозований час його усунення та поновлення роботи відповідного абонентського вузла.
54. Абонент зобов’язаний протягом трьох годин у робочий час та протягом 48 годин у неробочий час із моменту виявлення повідомити в порядку, визначеному Договором приєднання, Національний банк та адміністраторів абонентських вузлів, яких це може стосуватися, про:
1) виникнення позаштатних ситуацій у роботі абонентського вузла / порталу послуг;
2) будь-яке порушення або невідповідність роботи Системи BankID НБУ в цілому та/або окремих її частин, роботи абонентських вузлів / порталів послуг вимогам цього Положення та/або специфікації взаємодії, та/або Документів;
3) виявлені факти порушення цілісності даних, що передаються з використанням Системи BankID НБУ;
4) виявлені факти несанкціонованих дій щодо інформації, отриманої з використанням Системи BankID НБУ.
Інформація, яка повідомляється Національному банку, повинна містити відомості про найменування абонента та назву абонентського вузла, у якому виявлені порушення, час і суть порушення, факти, що визначають порушення.
55. Абонент-ідентифікатор зобов’язаний щорічно виконувати перевірку ефективності впроваджених заходів інформаційної безпеки щодо захисту інфраструктури, мережі та засобів дистанційної комунікації, пов’язаних із функціонуванням Системи BankID НБУ, шляхом проведення тесту на проникнення.
Абонент-ідентифікатор зобов’язаний забезпечити проведення тесту на проникнення сторонньою особою, кваліфікація якої підтверджується чинним на момент проведення такого тесту сертифікатом у відповідній галузі, щонайменше один раз на три роки.
Абонент-ідентифікатор має право проводити тест на проникнення самостійно, але не більше ніж два роки поспіль. Абонент-ідентифікатор зобов’язаний виділити достатньо ресурсів та забезпечити відсутність конфлікту інтересів щодо усіх фаз тестування, впровадити процедури й політики щодо пріоритизації, класифікації та виправлення знайдених у процесі тестування вразливостей, а також впровадити внутрішню методологію валідації щодо виправлення виявлених вразливостей якщо тестування проводиться ним самостійно.
56. Абоненти та Національний банк для встановлення безпечного з’єднання між собою та з користувачами зобов’язані використовувати криптографічний протокол захисту на транспортному рівні (TLS, англійською мовою Transport Layer Security), вимоги до якого визначаються специфікацією взаємодії, а також відповідні ключі та сертифікати відкритих ключів.
57. Абонент-ідентифікатор зобов’язаний розробити та затвердити внутрішній документ, що описує процес управління криптографічними ключами, які використовуються для обміну інформацією у Системі BankID НБУ, з урахуванням визначених Положенням про організацію заходів із забезпечення інформаційної безпеки в банківській системі України, затвердженим постановою Правління Національного банку України від 28 вересня 2017 року № 95 (далі - Положення № 95), вимог до процесу управління ключами.
58. Абонент-ідентифікатор зобов’язаний включити до сфери застосування системи управління інформаційною безпекою (далі - СУІБ) бізнес-процеси, засоби, мережі та системи, що забезпечують функціонування / використання Системи BankID НБУ, з урахуванням вимог щодо впровадження СУІБ, визначених у розділі II Положення № 95 .
59. Абонент-ідентифікатор зобов’язаний упровадити СУІБ по процесах, що забезпечують функціонування / використання Системи BankID НБУ, згідно стандарту Міжнародної організації зі стандартизації (ISO, англійською мовою International Organization for Standardization) / Міжнародної електротехнічної комісії (IEC, англійською мовою International Electrotechnical Commission) ISO/IEC 27001:2022 "Information security, cybersecurity and privacy protection - Information security management systems - Requirements" або Національного стандарту України ДСТУ ISO/IEC 27001:2023 "Інформаційна безпека, кібербезпека та захист конфіденційності. Системи керування інформаційною безпекою. Вимоги" (ISO/IEC 27001:2022, IDT), прийнятого наказом Державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 17 серпня 2023 року № 210 (зі змінами) (далі - стандарт).
Абонент-ідентифікатор зобов’язаний щорічно в термін до 01 червня письмово повідомляти Національний банк про наявність чинного сертифіката відповідності СУІБ за процесами, що забезпечують функціонування / використання Системи BankID НБУ, стандарту або надавати Національному банку підписаний уповноваженою особою абонента-ідентифікатора [відповідальна особа за інформаційну безпеку банку (CISO, англійською мовою Chief Information Security Officer)] звіт, що містить висновки проведеного абонентом-ідентифікатором щорічного оцінювання ефективності впровадженої СУІБ, назву та реквізити документа щодо розгляду результатів оцінювання та опис включених до нього процесів та фактів, що свідчать про виконання вимоги, визначеної абзацем першим пункту 59 розділу VI цього Положення.
Національний банк має право звернутися до абонента-ідентифікатора щодо надання додаткової уточнюючої інформації про результати оцінювання ефективності СУІБ за процесами, що забезпечують функціонування / використання Системи BankID НБУ, шляхом направлення запиту. Абонент-ідентифікатор зобов’язаний надати запитувану інформацію в повному обсязі в термін, визначений у запиті.
60. Політика безпеки паролів, що використовуються як елемент облікових даних доступу користувача, має відповідати вимогам Національного стандарту України ДСТУ /ISO/IEC 27002:2023 "Інформаційна безпека, кібербезпека та захист конфіденційності. Засоби контролювання інформаційної безпеки" (ISO/IEC 27002:2022, IDT), прийнятого наказом Державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 17 серпня 2023 року № 210 (зі змінами).
VII. Гарантії та порядок вирішення спорів
61. Національний банк гарантує надання абонентам послуг у Системі BankID НБУ для забезпечення передавання ЕЗІ та ЕПІ за умови виконання ними вимог законодавства України, Договору приєднання та Документів.
62. Абонент зобов’язаний вирішувати всі спірні питання стосовно використання Системи BankID НБУ шляхом переговорів із Національним банком. Спір вирішується в порядку, визначеному законодавством України, у разі недосягнення згоди між абонентом та Національним банком щодо спірного питання.
63. Спори з питань використання Системи BankID НБУ, які виникають протягом дії Договору приєднання, вирішуються згідно із законодавством України та умовами Договору приєднання.
64. Розгляд спорів, які можуть виникати між абонентами з питань невідповідності ЕПІ специфікації взаємодії, здійснюється Національним банком у порядку, визначеному Документами.
VIII. Вимоги до автентифікації
65. Абонент-ідентифікатор зобов’язаний забезпечити надання користувачем згоди на передавання даних користувача під час проходження ним автентифікації в будь-який спосіб, який дає змогу зробити висновок про надання такої згоди користувачем.
66. Абонент-ідентифікатор зобов’язаний застосовувати багатофакторну автентифікацію користувача, мінімум один із факторів автентифікації якої реалізовується з використанням динамічної автентифікації, під час отримання кожного ЕЗІ та здійснювати передавання даних такого користувача з використанням Системи BankID НБУ лише після успішного її проходження.
67. Процедура застосування багатофакторної автентифікації користувача передбачає використання двох або більше факторів автентифікації, кожен із яких має належати до різних категорій факторів автентифікації та мінімум один із яких реалізовується з використанням динамічної автентифікації, а успішна перевірка яких забезпечує однозначне встановлення та підтвердження особи користувача. Кожний із факторів автентифікації повинен бути незалежним один від одного для уникнення можливості їх одночасної компрометації.
68. Виділяють три категорії факторів автентифікації:
1) знання - інформація, яка відома тільки користувачу, є конфіденційною та належить до типу інформації, яку заборонено розголошувати;
2) володіння - матеріальний предмет, яким володіє тільки користувач. Перевірка цього фактора може здійснюватися через підтвердження користувачем отриманого на фінансовий номер телефону коду в смс-повідомленні або під час телефонного дзвінка;
3) притаманність (властивість) - унікальні індивідуальні фізичні характеристики користувача, які притаманні тільки цьому користувачу та відрізняють його від інших користувачів, а саме біометричні дані або інші властивості (риси, характеристики) користувача, які перевіряються з використанням програмних комплексів абонента-ідентифікатора. Перевірка цього фактора здійснюється шляхом звіряння інформації про користувача, отриманої через інформаційні системи абонента-ідентифікатора, з інформацією, що міститься у власній базі даних абонента-ідентифікатора.
69. Абонент-ідентифікатор зобов’язаний забезпечити захист конфіденційності даних користувача, що використовуються для його автентифікації.
70. Успішне проходження процедури багатофакторної автентифікації користувачем є обов’язковою умовою для передавання його даних абоненту - надавачу послуг / абоненту - надавачу послуг зі спеціальним статусом.
71. Процедура заміни раніше збереженого фінансового номера телефону користувача, який використовується під час багатофакторної автентифікації користувача, повинна здійснюватися абонентом-ідентифікатором за фізичної присутності користувача або з використанням одного з не обмежених лімітами способів верифікації, визначених Положенням про здійснення банками фінансового моніторингу, затвердженим постановою Правління Національного банку України від 19 травня 2020 року № 65 (зі змінами), для банків або Положенням про здійснення установами фінансового моніторингу, затвердженим постановою Правління Національного банку України від 28 липня 2020 року № 107 (зі змінами), для небанківських надавачів платіжних послуг з обслуговування рахунку.
72. Процедура заміни раніше збереженого фінансового номера телефону користувача, який використовується під час багатофакторної автентифікації користувача, може здійснюватися абонентом-ідентифікатором в інший спосіб, ніж визначено в пункті 71 розділу VIII цього Положення, за умови:
1) призупинення абонентом-ідентифікатором надання такому користувачу послуги електронної ідентифікації Системи BankID НБУ (нездійснення формування ЕПІ такого користувача) протягом 24 годин із часу зміни фінансового номера телефону користувача;
2) направлення повідомлення одночасно на обидва фінансові номери телефону (той, що замінюється, та новий) та електронну адресу (за її наявності в абонента-ідентифікатора) такого користувача з інформацією, що фінансовий номер телефону користувача змінено, а використання Системи BankID НБУ як способу електронної ідентифікації та/або верифікації буде доступним через 24 години з моменту направлення повідомлення.
73. Інші вимоги до використання факторів автентифікації визначаються Документами.
IX. Вимоги до оброблення ЕЗІ та ЕПІ
74. Абонент-ідентифікатор зобов’язаний забезпечити безперебійне оброблення ЕЗІ та формування ЕПІ у Системі BankID НБУ з дотриманням вимог, визначених специфікацією взаємодії.
75. Абонент - надавач послуг / абонент - надавач послуг зі спеціальним статусом зобов’язаний інформувати Національний банк про події, які можуть призвести до суттєвого збільшення ЕЗІ, ініційованих на його порталі(ах) послуг, та прогнозовану їх кількість, якщо очікувані показники збільшення кількості ЕЗІ, ініційованих на його порталі(ах) послуг, становитимуть або перевищуватимуть значення, визначені окремим рішенням Ради. Інформування здійснюється в робочий день, що передує такій події, але не пізніше, ніж за 48 годин до очікуваної події.
X. Правила надання послуги електронної ідентифікації Системи BankID НБУ та її призупинення
76. Абонент-ідентифікатор надає користувачу базову або універсальну послугу електронної ідентифікації Системи BankID НБУ, залежно від застосованого способу ідентифікації та верифікації користувача, а також відповідності абонента-ідентифікатора вимогам цього Положення та Документів. Відповідність способу ідентифікації та верифікації користувача та послуги електронної ідентифікації Системи BankID НБУ (базова або універсальна) визначається Документами.
77. Універсальна послуга електронної ідентифікації Системи BankID НБУ надає користувачу право використовувати Систему BankID НБУ для отримання послуг у будь-якого абонента - надавача послуг / абонента - надавача послуг зі спеціальним статусом.
78. Базова послуга електронної ідентифікації Системи BankID НБУ надає користувачу право використовувати Систему BankID НБУ для отримання послуг в обмеженого переліку абонентів - надавачів послуг / абонентів - надавачів послуг зі спеціальним статусом, визначеного з урахуванням обмежень, установлених законодавством України, щодо можливості використання абонентом - надавачем послуг/абонентом - надавачем послуг зі спеціальним статусом засобів для автентифікації особи користувача в інформаційно-комунікаційних системах та або її ідентифікації / верифікації.
79. Абонент-ідентифікатор зобов’язаний призупинити надання послуг електронної ідентифікації Системи BankID НБУ користувачу в разі:
1) втрати актуальності ідентифікаційних даних користувача внаслідок їх зміни або визнання недійсним / нечинним документу, що посвідчує особу, та відповідно до законодавства України може бути використаний на території України для укладення правочинів, якщо інше не встановлено Документами;
2) не проходження користувачем процедури актуалізації даних у встановлені договором із користувачем строки, якщо інше не встановлено законодавством України та/або Документами;
3) звернення користувача;
4) заміни, відповідно до умов пункту 72 розділу VIII цього Положення, раніше збереженого фінансового номера телефону користувача, який використовується під час багатофакторної автентифікації користувача;
5) настання інших обставин, визначених цим Положенням, Документами, законодавством України та/або договором із користувачем.
80. Абонент-ідентифікатор відновлює надання користувачу послуг електронної ідентифікації Системи BankID НБУ, призупинених відповідно до пункту 79 розділу X цього Положення, за зверненням користувача та/або в разі усунення обставин призупинення надання користувачу послуг електронної ідентифікації Системи BankID НБУ.
Відновлення надання послуг електронної ідентифікації Системи BankID НБУ здійснюється за умови актуальності даних користувача.
81. Абонент-ідентифікатор зобов’язаний негайно заблокувати (відкликати) облікові дані доступу користувача (заблокувати можливість використання Системи BankID НБУ) у разі:
1) встановлення факту або виникнення обґрунтованих підозр щодо незаконного використання Системи BankID НБУ або наявності обґрунтованих ризиків, підтверджених результатами внутрішнього моніторингу, аналізу активності або звернення користувача;
2) звернення користувача щодо блокування облікових даних доступу або припинення використання послуг електронної ідентифікації Системи BankID НБУ користувачем;
3) компрометації облікових даних доступу користувача;
4) закінчення строку дії облікових даних доступу користувача (за умови встановлення строку їх дії);
5) отримання інформації про смерть користувача;
6) припинення абонентом-ідентифікатором надання послуг електронної ідентифікації Системи BankID НБУ;
7) припинення з користувачем договірних відносин, що містять умови щодо обслуговування поточного / платіжного рахунку, що призвело до того, що немає жодного відкритого поточного / платіжного рахунку;
8) настання інших обставин, визначених Документами, законодавством України та/або договором із користувачем.
82. Скомпрометовані облікові дані доступу користувача не підлягають відновленню (повторному використанню після їх блокування). Для використання послуги електронної ідентифікації Системи BankID НБУ в разі встановлення факту компрометації облікових даних доступу користувача, користувачу присвоюються нові облікові дані доступу користувача.
83. Абонент-ідентифікатор зобов’язаний поінформувати користувача про дату та причину призупинення надання послуг електронної ідентифікації Системи BankID НБУ / блокування (відкликання) облікових даних доступу користувача (крім випадку, визначеного підпунктом 5 пункту 81 розділу X цього Положення), у спосіб, передбачений у договорі з користувачем:
1) не менше ніж за 72 години до настання дати призупинення надання послуг електронної ідентифікації Системи BankID НБУ / блокування (відкликання) облікових даних доступу користувача, якщо планова дата призупинення надання послуг / блокування (відкликання) облікових даних доступу користувача завчасно відома абоненту-ідентифікатору;
2) у день припинення / призупинення надання послуг Системи BankID НБУ.
XI. Припинення надання послуг електронної ідентифікації Системи BankID НБУ
84. Абонент-ідентифікатор зобов’язаний розробити, затвердити та виконувати план припинення надання послуг електронної ідентифікації Системи BankID НБУ за формою, визначеною Документами (далі - план припинення).
85. Абонент-ідентифікатор надає розроблений план припинення до Національного банку до початку роботи в промисловому середовищі Системи BankID НБУ.
86. Абонент-ідентифікатор зобов’язаний актуалізувати план припинення протягом 30 календарних днів із дати виникнення такої необхідності (зміни в процедурах, документах) та повідомити Національний банк про такі зміни шляхом направлення змін та актуалізованого плану припинення протягом семи робочих днів із дати затвердження відповідних змін.
87. Абонент-ідентифікатор повідомляє Національний банк про намір припинення надання послуг електронної ідентифікації Системи BankID НБУ не пізніше ніж за 30 календарних днів до запланованої дати припинення надання таких послуг відповідно до порядку, визначеного Документом.
88. Національний банк у день припинення надання абонентом-ідентифікатором послуг електронної ідентифікації Системи BankID НБУ:
1) здійснює технологічні налаштування щодо відключення абонента-ідентифікатора від Системи BankID НБУ;
2) видаляє інформацію про абонента-ідентифікатора з переліку діючих абонентів-ідентифікаторів на сторінці офіційного Інтернет-представництва Національного банку та забезпечує інформування всіх абонентів Системи BankID НБУ.
89. Права та обов’язки щодо надання послуг електронної ідентифікації Системи BankID НБУ можуть бути передані установі-правонаступнику, якщо вона є абонентом-ідентифікатором, у разі реорганізації абонента-ідентифікатора.
90. Абонент-ідентифікатор, що припиняє свою роботу шляхом реорганізації, у разі передавання правонаступнику договорів, що включають надання користувачам послуг електронної ідентифікації Системи BankID НБУ, зобов’язаний включити в план припинення опис дій щодо передавання таких договорів правонаступнику і надання ним зазначених послуг користувачам.
91. План припинення повинен включати:
1) порядок та строк інформування Національного банку та користувачів про припинення надання послуг електронної ідентифікації Системи BankID НБУ;
2) підстави припинення: рішення абонента-ідентифікатора про припинення надання послуг електронної ідентифікації Системи BankID НБУ або припинення діяльності;
3) порядок зберігання документів та електронних даних, отриманих під час реєстрації користувачів та інформації, визначеної в пункті 37 розділу III цього Положення.
92. Дата припинення абонентом-ідентифікатором надання послуг електронної ідентифікації Системи BankID НБУ є датою припинення його участі в Системі BankID НБУ.
XII. Відповідальність
93. Шкода, завдана користувачу з вини абонента внаслідок невиконання чи неналежного виконання ним обов’язків, установлених цим Положенням та Документами, відшкодовується користувачу таким абонентом у повному обсязі в установленому законодавством України порядку.
94. Абоненти та контрагенти, винні в порушеннях конфіденційності та/або цілісності інформації, що стосуються персональних даних користувачів, несуть відповідальність згідно із Законом України "Про захист персональних даних".
( Положення в редакції Постанов Національного банку № 105 від 01.09.2023, № 1 від 08.01.2026 )
| Директор Департаменту платіжних систем та інноваційного розвитку | О. Шабан |
| ПОГОДЖЕНО Заступник Голови Національного банку України | С. Холод |