Про затвердження Положення про порядок здійснення оверсайту платіжної інфраструктури в Україні

Відповідно до статей 7, 15, 56 Закону України "Про Національний банк України", статті 82 Закону України "Про платіжні послуги" (далі - Закон) та з метою визначення порядку здійснення оверсайту платіжної інфраструктури в Україні Правління Національного банку України ПОСТАНОВЛЯЄ:

1. Затвердити Положення про порядок здійснення оверсайту платіжної інфраструктури в Україні (далі - Положення), що додається.

2. Об’єктам оверсайту-резидентам привести свою діяльність та документи у відповідність до вимог Положення, а саме:

1) платіжним організаціям платіжних систем, учасникам платіжних систем, зареєстрованим у Національному банку України станом на день введення в дію Закону, які мають намір продовжувати роботу платіжної системи/діяльність у платіжній системі, - протягом одного року з дня введення в дію Закону;

2) оператору послуг платіжної інфраструктури, зареєстрованому в Національному банку України станом на день введення в дію Закону, який має намір продовжувати діяльність, - протягом шести місяців із дня введення в дію Закону;

3) розрахунковому банку платіжної системи, зареєстрованої в Національному банку України станом на день введення в дію Закону, який має намір продовжувати надавати послуги розрахункового банку в цій платіжній системі, - протягом одного року з дня введення в дію Закону;

4) емітенту електронних грошей, який на день введення в дію Закону має узгоджені правила використання електронних грошей в Україні та який має намір продовжувати діяльність з випуску та використання електронних грошей, - протягом одного року з дня введення в дію Закону.

3. Визнати такими, що втратили чинність:

1) постанову Правління Національного банку України від 28 листопада 2014 року № 755 "Про затвердження Положення про нагляд (оверсайт) платіжних систем та систем розрахунків в Україні";

2) пункт 5 постанови Правління Національного банку України від 24 липня 2015 року № 480 "Про внесення змін до деяких нормативно-правових актів Національного банку України";

3) постанову Правління Національного банку України від 28 жовтня 2015 року № 747 "Про затвердження Змін до Положення про нагляд (оверсайт) платіжних систем та систем розрахунків в Україні";

4) підпункт 3 пункту 1 постанови Правління Національного банку України від 13 лютого 2017 року № 11 "Про затвердження Змін до деяких нормативно-правових актів Національного банку України";

5) пункт 3 постанови Правління Національного банку України від 07 червня 2018 року № 61 "Про затвердження Змін до деяких нормативно-правових актів Національного банку України";

6) пункт 2 постанови Правління Національного банку України від 22 листопада 2019 року № 139 "Про внесення змін до деяких нормативно-правових актів Національного банку України";

7) постанову Правління Національного банку України від 21 січня 2020 року № 11 "Про затвердження Змін до Положення про нагляд (оверсайт) платіжних систем та систем розрахунків в Україні".

4. Контроль за виконанням цієї постанови покласти на заступника Голови Національного банку України Олексія Шабана.

5. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.

1. Це Положення розроблено відповідно до статей 7, 15 Закону України "Про Національний банк України", статей 71, 82 Закону України "Про платіжні послуги" і визначає основні організаційні засади та порядок здійснення оверсайту платіжної інфраструктури (далі - оверсайт), критерії та порядок визначення важливих об’єктів оверсайту, а також вимоги до об’єктів оверсайту, що здійснюють діяльність на території України.

2. Терміни в цьому Положенні вживаються в такому значенні:

1) багаторівнева структура участі - структура участі, що передбачає можливість участі в платіжній системі прямим та непрямим учасникам платіжної системи;

2) безперервність діяльності - спроможність об’єкта оверсайту своєчасно та ефективно здійснювати/надавати критичні операції/послуги в штатному режимі діяльності та в разі виникнення надзвичайної ситуації;

3) важливий об’єкт оверсайту - учасник платіжної системи, надавач платіжних послуг, емітент електронних грошей та технологічний оператор платіжних послуг (далі - технологічний оператор), яких віднесено Національним банком України (далі - Національний банк) до категорії важливих відповідно до визначених цим Положенням критеріїв важливості;

4) валові розрахунки в режимі реального часу - режим розрахунків, що передбачає безперервне виконання зобов’язань учасників платіжної системи окремо за кожним переказом у платіжній системі без відстрочення в часі;

5) відкладені нетто-розрахунки - режим розрахунків, що передбачає виконання зобов’язань учасників платіжної системи за результатами клірингу з визначеною періодичністю;

6) взаємозалежність - взаємозв’язок, що виникає в процесі діяльності між об’єктами оверсайту;

7) гарантування - функція схеми виконання платіжних операцій (далі - платіжна схема), що полягає у забезпеченні збереження коштів користувачів платіжних послуг та/або надавачів платіжних послуг, які використовують платіжну схему в порядку, установленому в платіжній схемі, відповідно до вимог законодавства України;

8) депозитарний ризик - ризик втрати фінансових активів об’єкта оверсайту;

9) загальний комерційний ризик - ризик погіршення фінансового стану об’єкта оверсайту в результаті зниження його доходів або збільшення видатків, унаслідок якого витрати перевищують доходи та призводять до втрат, покриття яких здійснюється за рахунок капіталу. До загального комерційного ризику не належать ризики, пов’язані з невиконанням зобов’язань учасником платіжної системи, надавачем платіжних послуг, емітентом електронних грошей або іншою особою, яка має фінансові зобов’язання перед об’єктом оверсайту;

10) заінтересовані особи - власники оператора платіжної системи, учасники платіжної системи, органи державної влади, розрахункові банки, технологічні оператори;

11) значущі платіжні системи - платіжні системи, віднесені Національним банком до категорії системно важливих або важливих відповідно до визначених цим Положенням критеріїв важливості;

12) інвестиційний ризик - ризик втрати або недоступності фінансових активів об’єкта оверсайту, що виникає внаслідок їх інвестування;

13) інформаційна інфраструктура - сукупність обладнання, засобів, комплексів та систем для оброблення, передавання та приймання інформації, а також системи електронних комунікацій, що використовуються для здійснення платіжних операцій;

14) істотний інцидент порушення безперервності діяльності - неспроможність об’єкта оверсайту своєчасно та ефективно виконувати/надавати критичні операції/послуги в штатному режимі діяльності та в разі виникнення надзвичайної ситуації протягом двох годин або більш тривалого часу;

15) кіберзагроза - наявні та потенційно можливі явища і чинники, що спричиняють або можуть спричинити ризик порушення конфіденційності, цілісності, доступності інформаційних ресурсів та/або спостережності і керованості інформаційної інфраструктури;

16) кіберінцидент - подія або сукупність несприятливих подій ненавмисного характеру або таких, що мають ознаки можливої кібератаки, які становлять загрозу безпеці інформаційної інфраструктури, створюють імовірність порушення штатного режиму її функціонування, а також ставлять під загрозу захищеність інформаційних ресурсів;

17) кіберризик - ризик реалізації кіберзагроз щодо інформаційних ресурсів та/або інформаційної інфраструктури, а також наслідки таких подій. Кіберризик є складовою операційного ризику;

18) кіберстійкість об’єкта оверсайту - спроможність об’єкта оверсайту запобігати, протистояти, стримувати та оперативно відновлюватися після кіберінцидентів та кібератак;

19) кредитний ризик - ризик того, що об’єкт оверсайту не зможе виконати свої фінансові зобов’язання в повному обсязі в установлений момент часу або в будь-який момент у подальшому. В об’єкта оверсайту може виникати поточний кредитний ризик та/або потенційний майбутній кредитний ризик;

20) критерії важливості - установлені Національним банком обсяги операцій та види послуг, у разі надання яких платіжна система, учасник платіжної системи, надавач платіжних послуг, емітент електронних грошей та технологічний оператор можуть бути віднесені Національним банком до відповідної категорії важливості, визначеної цим Положенням;

21) критична залежність - залежність діяльності платіжної системи/схеми від учасника платіжної системи/суб’єкта платіжної схеми, невиконання зобов’язань якими може призвести до неможливості забезпечення безперервності діяльності платіжної системи/схеми;

22) критичні операції/послуги - платіжні операції та/або послуги, невиконання/ненадання яких призведе до порушення надання послуг об’єктами оверсайту та/або роботи об’єкта оверсайту в цілому;

23) міжнародні стандарти оверсайту - документи, прийняті Комітетом з платіжних систем та ринкової інфраструктури Банку міжнародних розрахунків та Технічним комітетом Міжнародної організації комісій з цінних паперів, що визначають стандарти оверсайту об’єктів інфраструктури фінансового ринку;

24) надзвичайна ситуація - чинники та обставини, що становлять загрозу для безперервності діяльності об’єкта оверсайту: економічна криза, терористичний акт, природні катастрофи (землетрус, зсув, обвал, сель, цунамі, лавина, повінь, смерч, посуха, заморозки, гроза, природна пожежа), техногенні катастрофи та аварії (вибух, пожежа), масові заворушення, збої в постачанні електроенергії, кіберінциденти в платіжній інфраструктурі та кібератаки на неї;

25) об’єкт оверсайту, який здійснює управління платіжною схемою - оператор платіжної системи, надавач платіжних послуг, емітент електронних грошей, які встановлюють правила, стандарти та/або процедури роботи платіжної схеми та відповідають за її управління (далі - оператор платіжної схеми);

26) операційний ризик - ризик того, що недоліки інформаційних систем або внутрішніх процесів, людські помилки, операційні збої (помилки чи затримки під час оброблення, перебої в роботі систем, кіберінциденти, недостатня пропускна спроможність), втрата або витік інформації, шахрайство або порушення в управлінні внаслідок зовнішніх подій призведуть до скорочення, погіршення або зупинення надання послуг об’єктом оверсайту;

27) основна робоча зона - приміщення та розташоване в ньому обладнання, за допомогою якого забезпечується штатний режим діяльності об’єкта оверсайту;

28) остаточність розрахунків - обумовлений документами об’єкта оверсайту момент часу, в який розрахунок у платіжній системі/схемі стає безвідкличним та безумовним;

29) оцінювання - комплекс заходів, що здійснюються Національним банком з метою вдосконалення діяльності платіжних систем/схем в Україні відповідно до міжнародних стандартів оверсайту, а також попередження, виявлення та усунення порушень у діяльності окремої платіжної системи/схеми шляхом систематичного контролю за відповідністю їх діяльності вимогам, установленим законодавством України;

30) правовий ризик - ризик відсутності правового регулювання, зміни або непередбачуваного застосування положень законодавства України, що можуть призвести до виникнення збитків об’єкта оверсайту;

31) резервна робоча зона - географічно віддалене від основної робочої зони допоміжне приміщення, призначене для здійснення/надання критичних операцій/послуг об’єкта оверсайту в разі виникнення надзвичайної ситуації до відновлення штатного режиму діяльності;

32) ризик ліквідності - ризик того, що об’єкт оверсайту не матиме достатньо коштів для виконання своїх фінансових зобов’язань належним чином у повному обсязі в установлений момент часу, але він зможе їх виконати в інший момент часу в подальшому;

33) ринковий ризик - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів як за балансовими, так і позабалансовими позиціями внаслідок зміни ринкових цін;

34) розрахунковий ризик - ризик того, що розрахунки в платіжній системі/схемі не здійснюватимуться належним чином;

35) системний ризик - ризик того, що неспроможність одного з учасників платіжної системи та/або технологічного оператора виконати свої зобов’язання або порушення безперервності діяльності самої платіжної системи призведе до порушення діяльності учасників платіжної системи, інших установ або функціонування фінансової системи в цілому;

36) спільний оверсайт - діяльність, що здійснює Національний банк разом із центральними банками інших держав щодо оверсайту об’єктів, створених нерезидентами;

37) стрес-сценарій - модель можливого розвитку подій (обставин) унаслідок впливу різних факторів ризиків, виникнення яких може завдати шкоди безперервності діяльності об’єкта оверсайту та/або фінансовому стану, та/або ліквідності суб’єктів платіжних систем;

38) управління операційним ризиком - постійна діяльність об’єкта оверсайту щодо оцінки операційного ризику, визначення його допустимого рівня та застосування заходів контролю з метою забезпечення безперервності діяльності;

39) управління платіжною схемою - функція оператора платіжної схеми, що полягає в забезпеченні її функціонування шляхом установлення відповідних правил, стандартів та/або процедур, а також шляхом забезпечення їх реалізації;

40) штатний режим діяльності об’єкта оверсайту - функціонування за стандартними для цього об’єкта оверсайту регламентом і технологією виконання операцій.

Інші терміни в цьому Положенні вживаються в значеннях, визначених законодавством України.

3. Вимоги цього Положення поширюються на об’єкти оверсайту-резидентів (якщо інше не встановлено цим Положенням), а саме:

1) операторів платіжних систем, розрахункові банки, технологічних операторів, учасників платіжних систем (далі - суб’єкти платіжних систем) у частині дотримання ними вимог законодавства України, що регулює діяльність платіжних систем, надання послуг технологічними операторами;

2) надавачів платіжних послуг у частині використання ними платіжних інструментів, платіжних схем, електронних грошей, взаємодії з іншими учасниками платіжного ринку;

3) емітентів електронних грошей у частині випуску та використання електронних грошей.

4. Вимоги цього Положення поширюються на Національний банк як оператора платіжних систем, надавача платіжних послуг та емітента електронних грошей (якщо інше не встановлено цим Положенням).

5. Вимоги пунктів 14, 15, 16 розділу I, пункту 84 розділу VIII та пункту 92 розділу X цього Положення поширюються на об’єкти оверсайту-нерезидентів.

6. Це Положення ґрунтується на міжнародних стандартах оверсайту.

7. Національний банк здійснює оверсайт з метою забезпечення безперервного, надійного та ефективного функціонування платіжної інфраструктури, що включає:

1) моніторинг платіжної інфраструктури;

2) оцінювання платіжної інфраструктури на відповідність вимогам законодавства України та міжнародним стандартам оверсайту;

3) встановлення вимог та обмежень щодо діяльності платіжної інфраструктури;

4) надання рекомендацій щодо вдосконалення діяльності платіжної інфраструктури та/або застосування заходів впливу.

8. Національний банк за потреби обмінюється інформацією щодо діяльності об’єктів оверсайту-нерезидентів у межах спільного оверсайту з центральними банками інших держав, резидентами яких вони є, а також з іншими міжнародними організаціями та органами влади.

9. Національний банк здійснює виїзний та безвиїзний моніторинг об’єктів оверсайту відповідно до нормативно-правових актів, які визначають порядок здійснення такого моніторингу.

10. Національний банк має право застосовувати до об’єкта оверсайту заходи впливу за невиконання вимог цього Положення, визначені законодавством України, відповідно до порядку та критеріїв, установлених нормативно-правовими актами Національного банку.

11. Національний банк має право вимагати від об’єктів оверсайту надання інформації та документів, що підтверджують виконання вимог цього Положення, шляхом направлення відповідного запиту.

12. Об’єкт оверсайту зобов’язаний надавати на запит Національного банку:

1) інформацію та документи в строк до 30 календарних днів, якщо інший строк не встановлено в запиті;

2) повну, актуальну та достовірну інформацію, документи належної якості, що дає змогу прочитати всі зазначені в них відомості.

13. Об’єкт оверсайту зобов’язаний протягом трьох місяців із дати прийняття Національним банком рішення про включення його до Реєстру платіжної інфраструктури (далі - Реєстр) або з дати початку надання ним платіжних послуг (для об’єктів оверсайту, щодо яких не передбачено внесення Національним банком відомостей до Реєстру) визначити в своїх документах положення, зазначені в підпункті 4 пункту 25, пункті 41 розділу II та пункті 55 розділу IV цього Положення.

14. Об’єкт оверсайту зобов’язаний надсилати інформацію та документи до Національного банку засобами системи електронної пошти Національного банку (за умови підключення), на офіційну електронну поштову скриньку Національного банку або іншими засобами електронного зв’язку, що використовуються Національним банком для електронного документообігу, із використанням кваліфікованого електронного підпису (далі - КЕП).

15. Об’єкт оверсайту зобов’язаний подавати документи на виконання вимог цього Положення, які засвідчені підписом керівника об’єкта оверсайту (якщо законодавством України не встановлено інше) та оформлені з урахуванням вимог, зазначених у пункті 16 розділу I цього Положення.

16. Об’єкт оверсайту, який надсилає до Національного банку документи, зобов’язаний дотримуватися таких вимог:

1) документи викладені українською мовою;

2) сторінки документів пронумеровані;

3) документи, що складені іноземною мовою, супроводжуються нотаріально засвідченим перекладом українською мовою;

4) електронний документ (підписаний КЕП) та/або електронна копія документа в паперовій формі у форматі pdf (без накладання КЕП);

5) файл має коротку назву латинськими літерами, що відображає зміст та реквізити документа;

6) електронна копія документа створюється шляхом сканування документа в паперовій формі з урахуванням таких вимог:

документи, що містять більше однієї сторінки, скановані в один файл;

сканована копія кожного окремого документа зберігається як окремий файл;

роздільна здатність сканування не нижча ніж 300 dpi.

17. Національний банк забезпечує нерозголошення інформації, отриманої ним під час оверсайту, третім особам, крім випадків, визначених законодавством України.

18. Національний банк з метою забезпечення безперервного, надійного та ефективного функціонування платіжної інфраструктури має право надавати рекомендації об’єктам оверсайту щодо вдосконалення їх діяльності.

19. Національний банк надає рекомендації щодо вдосконалення діяльності об’єктів оверсайту шляхом:

1) надсилання відповідного листа;

2) оприлюднення їх на сторінках офіційного Інтернет-представництва Національного банку;

3) видання методичних рекомендацій щодо окремих питань діяльності об’єктів оверсайту.

20. Національний банк має право організовувати робочі зустрічі з представниками об’єкта оверсайту з метою обговорення питань щодо вдосконалення діяльності цього об’єкта оверсайту.

21. Національний банк готує звіт з оверсайту один раз на рік. Звіт з оверсайту повинен містити:

1) загальну інформацію щодо діяльності Національного банку з оверсайту в звітному періоді;

2) результати діяльності об’єктів оверсайту;

3) інформацію про важливість об’єктів оверсайту;

4) інформацію про результати проведеного оцінювання об’єктів оверсайту та їх самооцінювання;

5) загальну інформацію щодо моніторингу об’єктів оверсайту та застосованих до них заходів впливу;

6) іншу інформацію щодо діяльності Національного банку з оверсайту.

22. Національний банк має право оприлюднювати інформацію зі звіту з оверсайту на сторінках офіційного Інтернет-представництва Національного банку.

23. Суб’єкти платіжної системи діють відповідно до правил цієї платіжної системи, інших документів платіжної системи та вимог законодавства України про платіжні послуги.

24. Надавач платіжних послуг, емітент електронних грошей та технологічний оператор діють відповідно до документів, на підставі яких інформацію про них було внесено до Реєстру, платіжної схеми, інших документів цих об’єктів оверсайту та вимог законодавства України про платіжні послуги.

25. Оператор платіжної системи зобов’язаний:

1) доводити інформацію, отриману від Національного банку, що стосується надання послуг учасниками платіжної системи, технологічними операторами, розрахунковими банками, до їх відома для використання в роботі;

2) забезпечувати збереження та нерозголошення інформації, що може загрожувати безпеці та безперервності діяльності платіжної системи, та інформації, що містить комерційну таємницю та/або конфіденційну інформацію про учасників платіжної системи та її користувачів;

3) здійснювати постійний контроль за відповідністю правил платіжної системи, інших документів платіжної системи та договорів законодавству України;

4) визначити в правилах або внутрішніх/установчих документах оператора платіжної системи (далі - документи платіжної системи):

порядок здійснення контролю за дотриманням учасниками платіжної системи, розрахунковими банками, технологічними операторами вимог правил платіжної системи та вимог до них, установлених іншими документами платіжної системи, що розроблені оператором платіжної системи на виконання вимог цього Положення;

момент остаточності розрахунків.

26. Оператор платіжної системи зобов’язаний надавати роз’яснення учасникам платіжної системи стосовно їх участі в платіжній системі, пов’язаних із цим ризиків та проводити консультації:

1) з новими учасниками платіжної системи - перед початком надання ними послуг у платіжній системі;

2) з діючими учасниками платіжної системи - не менше одного разу на рік.

27. Оператор платіжної системи зобов’язаний реєструвати звернення учасників платіжної системи з питань надання роз’яснень щодо правил і процедур діяльності платіжної системи, умов участі, надання пропозицій, запитань і зауважень від учасників платіжної системи, іншої інформації щодо роботи платіжної системи.

Оператор платіжної системи реєструє звернення учасників платіжної системи шляхом унесення відомостей до журналу реєстрації звернень учасників платіжної системи, який ведеться в електронній довільній формі із забезпеченням цілісності, конфіденційності та доступності інформації, що міститься в ньому.

28. Оператор платіжної системи зобов’язаний здійснювати контроль та несе відповідальність за дотримання правил платіжної системи учасниками платіжної системи, розрахунковими банками та технологічними операторами, з якими він уклав договори про надання відповідних послуг у цій платіжній системі.

29. Оператор платіжної системи зобов’язаний не менше одного разу на рік фіксувати результати здійсненого контролю за учасниками платіжної системи, розрахунковими банками та технологічними операторами шляхом унесення відомостей до електронного журналу реєстрації результатів контролю, який ведеться в електронній довільній формі із забезпеченням цілісності, конфіденційності та доступності інформації, що міститься в ньому.

30. Учасник платіжної системи зобов’язаний здійснювати контроль та несе відповідальність за дотримання правил платіжної системи технологічними операторами, з якими він уклав договори про надання відповідних послуг у цій платіжній системі, відповідно до умов таких договорів.

31. Надавач платіжних послуг та емітент електронних грошей зобов’язані здійснювати контроль та несуть відповідальність за дотримання технологічним оператором умов та порядку надання відповідних послуг цим об’єктам оверсайту згідно з укладеними між ними договорами та відповідно до вимог законодавства України.

32. Учасник платіжної системи, надавач платіжних послуг, емітент електронних грошей зобов’язані не менше одного разу на рік фіксувати результати здійсненого контролю за технологічними операторами шляхом унесення відомостей до електронного журналу реєстрації результатів контролю, який ведеться в електронній довільній формі із забезпеченням цілісності, конфіденційності та доступності інформації, що міститься в ньому.

33. Прямий учасник платіжної системи зобов’язаний здійснювати контроль за діяльністю непрямого учасника платіжної системи в частині дотримання ним умов договору про непряму участь та правил платіжної системи.

34. Оператор платіжної системи, учасник платіжної системи, надавач платіжних послуг зобов’язані за наявності вести реєстр місць (пунктів) надання фінансових послуг, банківських автоматів, програмно-технічних комплексів самообслуговування, що використовуються для надання платіжних послуг, та забезпечувати актуальність даних у цьому реєстрі.

35. Об’єкт оверсайту зобов’язаний:

1) забезпечувати належний рівень захисту інформації відповідно до вимог законодавства України;

2) реєструвати звернення користувачів із питань надання платіжних послуг, помилкових платіжних операцій шляхом унесення відомостей до електронного журналу реєстрації звернень користувачів, який ведеться в електронній довільній формі із забезпеченням цілісності, конфіденційності та доступності інформації, що міститься в ньому.

36. Технологічний оператор зобов’язаний:

1) виявляти та управляти операційними ризиками, що притаманні послугам, які ним надаються об’єктам оверсайту;

2) забезпечувати доступність та надійність критичних послуг, які він надає іншим об’єктам оверсайту;

3) забезпечувати своєчасне відновлення надання критичних послуг у разі виникнення надзвичайної ситуації;

4) повідомляти об’єкт оверсайту, якому він надає послуги, про порушення своєї діяльності, що можуть вплинути на безперервність діяльності цього об’єкта оверсайту;

5) забезпечувати ефективний обмін інформацією з об’єктом оверсайту, якому він надає послуги;

6) погоджувати з об’єктом оверсайту, якому він надає послуги, передавання виконання функцій іншому технологічному оператору, відомості щодо якого внесені до Реєстру, та забезпечити отримання потрібної інформації об’єктом оверсайту щодо наданих послуг;

7) повідомляти об’єкт оверсайту, якому він надає послуги, про внесення змін до програмно-технічних засобів, які технологічний оператор використовує для надання послуг;

8) забезпечувати зберігання інформації про кожну платіжну операцію в розрізі об’єктів оверсайту, яким він надає послуги, у встановленому ним порядку з можливістю відновлення даних про дату здійснення операції (із зазначенням годин, хвилин та секунд), ініціатора та отримувача переказу, місця ініціювання та виплати переказу, суму та валюту платіжної операції;

9) зберігати інформацію про кожну платіжну операцію в міжнародній платіжній системі, створеній нерезидентом, відповідно до документів такої платіжної системи;

10) надавати свої послуги згідно з узгодженими з Національним банком умовами та порядком його діяльності.

37. Розрахунковий банк зобов’язаний:

1) виявляти та управляти розрахунковим і кредитним ризиками, які виникають унаслідок здійснення розрахунків у платіжній системі;

2) узгоджувати строк здійснення остаточного розрахунку в платіжній системі з оператором платіжної системи та забезпечувати своєчасний остаточний розрахунок відповідно до укладених договорів з оператором платіжної системи та документів платіжної системи (крім випадків, коли оператор платіжної системи виконує функції розрахункового банку відповідно до вимог законодавства України);

3) забезпечувати зберігання інформації про здійснені розрахунки в платіжній системі відповідно до вимог законодавства України та документів платіжної системи.

38. Об’єкт оверсайту зобов’язаний забезпечити зберігання всіх документів (у паперовій та електронній формах), що підтверджують надання платіжних послуг (виконання платіжних операцій), не менше п’яти років із дня припинення ділових відносин із клієнтом або з дня завершення разової фінансової операції без установлення ділових відносин із клієнтом.

Об’єкт оверсайту повинен зберігати електронні документи на носіях інформації у формі, що дає змогу перевірити цілісність, достовірність та авторство електронних документів на цих носіях.

39. Об’єкт оверсайту під час створення архівів електронних документів зобов’язаний вжити заходів для забезпечення:

1) можливості перевірки цілісності та достовірності електронного документа в архіві;

2) виключення можливості внесення змін до архівної копії документа після її створення та знищення електронного документа після його створення;

3) можливості відновлення з архіву та використання електронного документа в будь-який час.

40. Об’єкт оверсайту в разі неможливості зберігання електронних документів протягом установленого часу повинен ужити заходів щодо дублювання цих електронних документів на кількох носіях інформації та здійснювати їх періодичне копіювання. Під час копіювання електронного документа з носія інформації обов’язково перевіряється цілісність даних на цьому носії.

41. Об’єкт оверсайту зобов’язаний встановити у своїх документах порядок зберігання документів у паперовій та електронній формах, що підтверджують надання платіжних послуг (виконання платіжних операцій), а також порядок створення архівів електронних документів відповідно до вимог законодавства України.

42. Оператор платіжної системи зобов’язаний забезпечити зберігання інформації про кожну платіжну операцію, здійснену в платіжній системі, у своїй системі обліку, а учасник платіжної системи - у своїй системі обліку та системі обліку оператора платіжної системи в установленому ними порядку з можливістю відновлення даних про дату здійснення платіжної операції (із зазначенням годин, хвилин та секунд), ініціатора та отримувача платіжної операції, місця її ініціювання та виплати, суму та валюту, форму розрахунків (готівкова чи безготівкова).

Надавач платіжних послуг та емітент електронних грошей зобов’язані забезпечити зберігання інформації про кожну платіжну операцію у своїй системі обліку в установленому ними порядку з можливістю відновлення даних про дату здійснення платіжної операції (із зазначенням годин, хвилин та секунд), ініціатора та отримувача платіжної операції, місця її ініціювання та виплати, суму та валюту, форму розрахунків (готівкова чи безготівкова).

43. Вимоги абзацу другого пункту 27 та пунктів 29, 32 розділу II цього Положення не застосовуються до Національного банку.

44. Об’єкт оверсайту зобов’язаний мати власний офіційний вебсайт та корпоративну електронну поштову скриньку.

45. Оператор платіжної системи зобов’язаний оприлюднювати на власному офіційному вебсайті інформацію щодо:

1) свого повного найменування відповідно до відомостей з Єдиного державного реєстру юридичних осіб, фізичних осіб-підприємців та громадських формувань (далі - Єдиний державний реєстр) та комерційного (фірмового) найменування відповідно до установчих документів (за наявності);

2) юридичної адреси та фактичного місцезнаходження;

3) номера контактного телефону, адреси корпоративної електронної поштової скриньки або інший спосіб зв’язку для оперативного звернення;

4) офіційного найменування платіжної системи, а також комерційного (фірмового) найменування, торговельної марки/знаку для товарів та послуг платіжної системи, що відрізняється від офіційного найменування платіжної системи (за наявності);

5) опису організаційної структури платіжної системи;

6) складу керівних органів оператора платіжної системи;

7) умов та критеріїв участі в платіжній системі;

8) переліку учасників платіжної системи;

9) порядку припинення участі та виключення учасника платіжної системи, який порушує вимоги щодо участі в платіжній системі або більше не відповідає цим вимогам та встановленим критеріям;

10) види платіжних послуг, що надаються платіжною системою, уключаючи:

порядок та умови здійснення платіжних операцій;

види платіжних інструментів, які використовуються для ініціювання платіжних операцій;

строки виконання платіжних операцій;

11) перелік усіх тарифів, комісійних винагород та зборів за послуги платіжної системи (крім системи міжбанківських розрахунків, оператором якої є Національний банк);

12) переліку прав і обов’язків оператора платіжної системи та її учасників;

13) порядок вирішення спорів між учасниками платіжної системи;

14) відомостей, що підтверджують унесення платіжної системи до Реєстру (крім платіжних систем, створених Національним банком) із гіперпосиланням, що забезпечує перенаправлення (відсилання) на сторінку офіційного Інтернет-представництва Національного банку, на якій можливо перевірити такі відомості.

46. Учасник платіжної системи, надавач платіжних послуг та емітент електронних грошей зобов’язані оприлюднювати на власному офіційному вебсайті, на екранах банківського автомата, програмно-технічного комплексу самообслуговування (за наявності) інформацію щодо:

1) свого повного найменування відповідно до відомостей з Єдиного державного реєстру та комерційного (фірмового) найменування відповідно до установчих документів (за наявності);

2) інформацію про торговельні марки/знаки для товарів і послуг, що використовуються для надання платіжних послуг (за наявності);

3) юридичної адреси та фактичного місцезнаходження;

4) номера контактного телефону та адреси корпоративної електронної поштової скриньки або інший спосіб зв’язку для оперативного звернення;

5) переліку платіжних послуг, що надаються об’єктом оверсайту, уключаючи:

порядок та умови здійснення платіжних операцій;

строки виконання платіжних операцій;

види платіжних інструментів, які використовуються для ініціювання платіжних операцій;

6) найменування отримувачів коштів (юридичних осіб), на користь яких здійснюються платіжні операції та з якими укладені відповідні договори (за наявності таких договорів);

7) місця розташування банківських автоматів та програмно-технічних комплексів самообслуговування, місць (пунктів) надання фінансових послуг;

8) режиму роботи банківських автоматів та програмно-технічних комплексів самообслуговування (на екранах таких платіжних пристроїв);

9) відомості про участь у платіжних системах (для учасників платіжних систем) шляхом розміщення їх переліку із зазначенням назви, дати включення до Реєстру, найменування, місцезнаходження (платіжних систем-резидентів), гіперпосилання, що забезпечує перенаправлення (відсилання) на сторінку офіційного Інтернет-представництва Національного банку, на якій можливо перевірити такі відомості.

47. Технологічний оператор зобов’язаний оприлюднювати на власному офіційному вебсайті інформацію щодо:

1) свого повного найменування відповідно до відомостей з Єдиного державного реєстру та комерційного (фірмового) найменування відповідно до установчих документів (за наявності);

2) юридичної адреси та фактичного місцезнаходження;

3) номера контактного телефону, адреси корпоративної електронної поштової скриньки або інший спосіб зв’язку для оперативного звернення;

4) повного найменування юридичних осіб (оператора платіжної системи, учасника платіжної системи, надавача платіжних послуг, емітента електронних грошей), яким він надає послуги як технологічний оператор.

48. Об’єкт оверсайту зобов’язаний оприлюднювати інформацію, передбачену в пунктах 45-47 розділу III цього Положення, у такі строки:

не пізніше 20 робочих днів із дати прийняття Національним банком рішення про включення надавача платіжних послуг та емітента електронних грошей до Реєстру або з дати початку надання платіжних послуг (для надавачів платіжних послуг банків, щодо яких не передбачено внесення Національним банком відомостей до Реєстру);

не пізніше 10 робочих днів із дати прийняття Національним банком рішення про включення платіжної системи, учасника платіжної системи та технологічного оператора до Реєстру.

Об’єкт оверсайту зобов’язаний розміщувати оновлену інформацію, передбачену в пунктах 45-47 розділу III цього Положення, не пізніше п’яти робочих днів із дня настання відповідних обставин або з дня, коли об’єкт оверсайту дізнався, або повинен був дізнатися про настання відповідних обставин.

49. Учасник платіжної системи, надавач платіжних послуг та емітент електронних грошей, які, крім власного офіційного вебсайту, використовують для надання платіжних послуг інші вебсайти, зобов’язані розміщувати на таких вебсайтах інформацію про наявність власного офіційного вебсайту та посилання на нього.

50. Учасник платіжної системи, надавач платіжних послуг зобов’язані оприлюднювати в місцях (пунктах) надання фінансових послуг (за наявності) інформацію, передбачену в пункті 46 розділу III цього Положення.

51. Учасник платіжної системи, який використовує комерційне найменування/торговельну марку/знак для товарів та послуг, що відрізняється від найменування платіжної системи, послуги якої надаються, зобов’язаний під час надання послуг та/або їх рекламування зазначати найменування платіжної системи перед комерційним найменуванням/торговельною маркою/знаком для товарів та послуг. Найменування платіжної системи подається шрифтом та/або розміром не менше половини розміру шрифту та/або розміру, яким подано комерційне найменування/торговельну марку/знак для товарів та послуг.

52. Оператор платіжної системи зобов’язаний надавати учасникам платіжної системи, розрахунковому банку та технологічному оператору інформацію, потрібну для забезпечення безперервності діяльності платіжної системи та управління операційним ризиком (уключаючи кіберризик) у платіжній системі.

53. Оператор платіжної системи зобов’язаний надавати учаснику платіжної системи, розрахунковому банку платіжної системи, технологічному оператору інформацію про порядок:

1) повідомлення заінтересованих осіб про виникнення надзвичайної ситуації;

2) взаємодії та комунікацій у разі виникнення надзвичайної ситуації між працівниками оператора платіжної системи, а також оператором платіжної системи та заінтересованими особами;

3) дій щодо забезпечення виконання/надання критичних операцій/послуг у разі відмови телекомунікаційних мереж та/або окремих складових програмно-технічного забезпечення.

54. Об’єкт оверсайту для забезпечення безперервності діяльності повинен здійснювати організаційні та технічні заходи, визначені в пунктах 1-6 додатка до цього Положення, та забезпечити належний контроль за їх виконанням.

55. Об’єкт оверсайту зобов’язаний встановити у своїх документах порядок забезпечення безперервності діяльності відповідно до організаційних та технічних заходів, зазначених у пунктах 1-6 додатка до цього Положення.

56. Об’єкт оверсайту після виникнення кожного інциденту порушення безперервності діяльності зобов’язаний документально зафіксувати інформацію про:

1) дату та час виникнення порушення безперервності діяльності;

2) тривалість порушення безперервності діяльності;

3) причини виникнення порушення безперервності діяльності;

4) види послуг, на безперервність яких вплинуло порушення;

5) заходи, ужиті для відновлення діяльності та недопущення надалі порушень безперервності діяльності об’єкта оверсайту.

57. Об’єкт оверсайту зобов’язаний протягом трьох робочих днів після виникнення істотного інциденту порушення безперервності діяльності надавати Національному банку інформацію, зазначену в пункті 56 розділу IV цього Положення.

58. Інформація про порушення безперервності діяльності об’єкта оверсайту надсилається Національному банку:

1) засобами системи електронної пошти Національного банку (у разі підключення);

2) на офіційну електронну поштову скриньку Національного банку;

3) іншими засобами електронного зв’язку, які використовуються Національним банком для електронного документообігу;

4) засобами поштового зв’язку в паперовій формі (у разі неможливості внаслідок порушення безперервності діяльності об’єкта оверсайту надсилання повідомлення засобами системи електронної пошти Національного банку).

Національний банк визначає порядок надсилання повідомлення щодо порушення безперервності діяльності створених ним платіжних систем для цілей оверсайту в документах цих платіжних систем.

59. Вимоги розділу IV цього Положення застосовуються до розрахункових банків у частині надання ними послуг у платіжній системі.

60. Національний банк за результатами моніторингу платіжної інфраструктури та відповідно до критеріїв важливості, установлених у пунктах 61-66 розділу V цього Положення, визначає важливість платіжних систем, учасників платіжних систем, надавачів платіжних послуг, емітентів електронних грошей та технологічних операторів.

Національний банк визначає важливість об’єктів оверсайту в лютому за підсумками їх діяльності протягом попереднього року.

61. Національний банк визнає платіжну систему системно важливою платіжною системою в разі її відповідності хоча б одному з таких критеріїв важливості:

1) платіжна система забезпечує проведення міжбанківських платіжних операцій, частка яких становить більше ніж 10% від загальної суми платіжних операцій, виконаних у країні системами міжбанківських розрахунків та через кореспондентські рахунки банків, відкриті в інших банках України;

2) платіжна система здійснює платіжні операції за правочинами з державними цінними паперами на відкритому ринку;

3) платіжна система забезпечує врегулювання зобов’язань учасників платіжних систем, які виникають в інших платіжних системах.

62. Національний банк визнає платіжну систему важливою платіжною системою в разі її відповідності хоча б одному з таких критеріїв важливості:

1) платіжна система здійснює платіжні операції, частка яких перевищує 10% від загальної суми платіжних операцій, виконаних у межах України, в Україну та за її межі платіжними системами, створеними резидентами та нерезидентами (крім систем міжбанківських розрахунків та платіжних систем, які здійснюють емісію електронних платіжних засобів);

2) платіжна система здійснює операції з використанням електронних платіжних засобів, емітованих у цій платіжній системі, частка яких перевищує 10% від загальної суми платіжних операцій, виконаних на території України платіжними системами, що здійснюють емісію електронних платіжних засобів.

Національний банк має право визнати платіжну систему, що є єдиною на ринку за видом послуг, які надаються з її використанням, важливою платіжною системою.

63. Національний банк визнає учасника значущої платіжної системи важливим, якщо він забезпечує виконання платіжних операцій, частка яких перевищує 25% від загальної суми та/або кількості платіжних операцій, виконаних у межах цієї платіжної системи.

Вимога пункту 63 розділу V цього Положення не поширюється на оператора платіжної системи, який виконує функцію учасника у створеній ним платіжній системі.

64. Національний банк визнає надавача платіжних послуг важливим, якщо він здійснює платіжні операції, частка яких перевищує 10% від загальної суми платіжних операцій, виконаних надавачами платіжних послуг у межах України.

65. Національний банк визнає емітента електронних грошей важливим, якщо частка платіжних операцій із використанням електронних грошей цього емітента перевищує 10% від загальної суми платіжних операцій, виконаних з електронними грошима та електронними платіжними засобами.

66. Національний банк визнає технологічного оператора важливим, якщо він обробляє більше 10% операцій (від загальної кількості та/або суми), оброблених технологічними операторами в платіжних системах, а також у надавачів платіжних послуг та емітентів електронних грошей.

67. Рішення про віднесення об’єкта оверсайту до відповідної категорії важливості або про визнання його таким, що більше не відповідає встановленим критеріям важливості, приймає Комітет з питань нагляду та регулювання діяльності банків, нагляду (оверсайту) платіжних систем Національного банку.

68. Національний банк протягом 15 календарних днів після віднесення об’єкта оверсайту до відповідної категорії важливості або про визнання його таким, що більше не відповідає встановленим критеріям важливості:

1) уносить відповідну інформацію до Реєстру та оприлюднює на сторінках офіційного Інтернет-представництва Національного банку;

2) надсилає оператору платіжної системи (крім платіжної системи, створеної Національним банком) або її представництву в Україні письмове повідомлення про відповідність платіжної системи критеріям важливості або про визнання платіжної системи такою, що більше не відповідає встановленим критеріям важливості.

У повідомленні про відповідність зазначається:

дата визнання платіжної системи системно важливою або важливою платіжною системою;

категорія важливості платіжної системи;

потреба виконання вимог цього Положення;

3) надсилає учаснику платіжної системи, надавачу платіжних послуг, емітенту електронних грошей, технологічному оператору письмове повідомлення про відповідність їх діяльності критеріям важливості або про визнання їх такими, що більше не відповідають установленим критеріям важливості.

У повідомленні про відповідність зазначається:

дата визнання об’єкта оверсайту важливим;

інформація про відповідність установленим критеріям важливості;

потреба виконання вимог цього Положення.

69. Національний банк має право після віднесення платіжної системи, створеної нерезидентом, до категорії важливості надіслати центральному банку країни, резидентом якої є оператор цієї платіжної системи, письмовий запит для отримання інформації про оцінювання платіжної системи на відповідність міжнародним стандартам оверсайту.

70. Оператор значущої платіжної системи зобов’язаний привести діяльність платіжної системи у відповідність до вимог, зазначених у розділах VI-XIII цього Положення, протягом 180 календарних днів із дня надсилання Національним банком письмового повідомлення про відповідність платіжної системи критеріям важливості.

71. Важливий об’єкт оверсайту зобов’язаний виконати вимоги, зазначені в розділі XIV цього Положення, протягом 180 календарних днів із дня надсилання Національним банком письмового повідомлення про відповідність об’єкта оверсайту критеріям важливості.

Важливий об’єкт оверсайту (надавач платіжних послуг та емітент електронних грошей) як оператор платіжної схеми зобов’язаний виконати вимоги, зазначені в розділі XV цього Положення, протягом 180 календарних днів із дня надсилання Національним банком письмового повідомлення про відповідність об’єкта оверсайту критеріям важливості.

72. Національний банк має право на підставі обґрунтованого клопотання об’єкта оверсайту прийняти рішення про збільшення строку виконання вимог цього Положення на строк, що не може перевищувати 90 календарних днів.

73. Оператор значущої платіжної системи зобов’язаний визначити в документах платіжної системи:

1) цілі та завдання діяльності платіжної системи, уключаючи:

забезпечення безперервності діяльності та кіберстійкості платіжної системи;

планові показники операційної діяльності платіжної системи, час відновлення діяльності в разі виникнення надзвичайної ситуації, рівень операційної доступності (операційні цілі);