2) порядок та механізми контролю за відповідністю досягнутих результатів діяльності платіжної системи поставленим цілям та завданням, забезпечити його здійснення не менше одного разу на рік;
3) склад, обов’язки, повноваження, порядок діяльності керівних органів оператора платіжної системи, відповідальність керівних органів та їх членів;
4) обов’язки, повноваження, відповідальність, порядок звітування керівним органам особи та/або підрозділу, відповідальної/відповідального за функції, визначені в пункті 79 розділу VII цього Положення, та їх розподіл;
5) порядок внутрішнього контролю за управлінням ризиками;
6) порядок звітування особою та/або підрозділом, відповідальною/відповідальним за функції, визначені в пункті 79 розділу VII цього Положення, перед керівними органами оператора значущої платіжної системи;
7) порядок вирішення конфліктів інтересів між заінтересованими особами та оператором платіжної системи під час прийняття ним рішень;
8) механізми контролю, заходи щодо управління, моніторингу, мінімізації та усунення наслідків впливу ризиків, на які наражається у своїй діяльності, та/або спричиняє платіжна система:
правового ризику (уключаючи правила та порядок зменшення правового ризику, що виникає, якщо платіжна система або її учасники є суб’єктом права різних юрисдикцій);
кредитного ризику, ризику ліквідності, загального комерційного ризику, депозитарного ризику, інвестиційного ризику (далі - фінансові ризики);
розрахункового ризику;
операційного ризику, уключаючи кіберризик;
системного ризику;
інших ризиків, які оператор значущої платіжної системи має право визначати як такі, що притаманні діяльності платіжної системи;
9) вимоги до розрахункового банку платіжної системи (крім Національного банку);
10) відповідальність сторін та порядок дій, уключаючи здійснення розрахунків, використання ресурсів та покриття втрат, у разі невиконання зобов’язання учасником платіжної системи;
11) порядок відновлення ліквідності;
12) порядок забезпечення безперервності діяльності платіжної системи відповідно до організаційних та технічних заходів, зазначених у додатку до цього Положення;
13) заходи, спрямовані на реалізацію вимог щодо досягнення кіберстійкості платіжної системи, зазначених у пункті 95 розділу XI цього Положення, і забезпечити їх перегляд не менше одного разу на рік;
14) вимоги до забезпечення, що приймається від учасників платіжної системи, для управління кредитним ризиком (у разі прийняття такого забезпечення).
74. Оператор значущої платіжної системи, у якій передбачена багаторівнева структура участі, зобов’язаний установити в документах платіжної системи вимогу до прямих учасників платіжної системи щодо надання оператору платіжної системи не менше двох разів на рік інформації про:
1) непрямих учасників платіжної системи та/або прямих учасників, яким оператором платіжної системи надано право проводити розрахунки за операціями інших учасників у цій платіжній системі, обсяги платіжних операцій яких протягом 180 календарних днів більші, ніж обсяги платіжних операцій, здійснених за аналогічний період прямими учасниками платіжної системи, через яких здійснюються розрахунки в платіжній системі;
2) відповідальність прямого та непрямого учасника платіжної системи за остаточність розрахунків, що здійснюються прямим учасником платіжної системи за дорученням непрямого учасника платіжної системи, та порядок здійснення розрахунків у разі невиконання зобов’язань прямим та/або непрямим учасником платіжної системи.
75. Оператор значущої платіжної системи зобов’язаний розробити план заходів із забезпечення безперервності діяльності платіжної системи (далі - План заходів) та проводити його перегляд і тестування не менше одного разу на рік.
План заходів повинен передбачати:
1) порядок відновлення безперервності діяльності платіжної системи в разі виникнення надзвичайної ситуації;
2) технологію виконання операцій в разі виникнення надзвичайної ситуації;
3) строк відновлення безперервності діяльності платіжної системи та момент її відновлення;
4) порядок повідомлення заінтересованих осіб про виникнення надзвичайної ситуації;
5) порядок взаємодії та комунікацій в разі виникнення надзвичайної ситуації між працівниками оператора платіжної системи, а також між оператором платіжної системи та заінтересованими особами;
6) порядок дій щодо забезпечення виконання/надання критичних операцій/послуг у разі відмови телекомунікаційних мереж та/або окремих складових програмно-технічного забезпечення;
7) функції та відповідальність працівників, які забезпечують виконання/надання критичних операцій/послуг, у разі виникнення надзвичайної ситуації;
8) порядок формування, склад, завдання та функції тимчасової структурної одиниці оператора платіжної системи, яка формується на час надзвичайної ситуації та ліквідації її наслідків і відповідає за реалізацію Плану заходів, проведення консультацій із заінтересованими особами та повідомлення про виникнення надзвичайної ситуації;
9) потенційні внутрішні та зовнішні загрози для діяльності платіжної системи та можливий їх вплив;
10) критерії класифікації операцій/послуг, що виконуються/надаються платіжною системою за ступенем їх критичності;
11) критерії віднесення прямих, непрямих учасників платіжної системи та технологічних операторів (за їх наявності) до тих, від яких оператор платіжної системи критично залежить;
12) перелік критичних залежностей і критичних операцій/послуг платіжної системи, уключаючи ті, що передано технологічному оператору;
13) порядок реєстрації та аналізу операційних проблем та фактів порушення безперервності діяльності платіжної системи;
14) порядок дій щодо блокування/знищення критичних засобів захисту інформації в надзвичайній ситуації та розгортання системи захисту інформації платіжної системи в резервній робочій зоні.
76. Оператор системно важливої платіжної системи зобов’язаний додатково передбачити в Плані заходів порядок:
1) використання резервної робочої зони;
2) відновлення безперервності діяльності платіжної системи та роботи комп’ютерних систем у разі настання надзвичайної ситуації, з урахуванням вимоги, зазначеної в підпункті 1 пункту 101 розділу XI цього Положення;
3) забезпечення безперервного виконання/надання критичних операцій/послуг.
VII. Управління та організація діяльності значущої платіжної системи
77. До складу керівних органів оператора значущої платіжної системи мають право входити дієздатні фізичні особи, які мають бездоганну ділову репутацію, вищу освіту та досвід, потрібний для виконання своїх обов’язків щодо функціонування платіжної системи та управління ризиками.
78. Керівні органи оператора значущої платіжної системи зобов’язані забезпечити:
1) відповідність діяльності платіжної системи встановленим цілям та завданням;
2) ефективне управління ризиками в платіжній системі та потрібні для цього ресурси;
3) повноту, достовірність та своєчасність надання інформації Національному банку, органам державної влади, власникам оператора платіжної системи, учасникам платіжної системи та іншим заінтересованим особам;
4) внутрішній контроль за управлінням ризиками;
5) захист від зловживань інформацією з обмеженим доступом;
6) оцінку ефективності процесів управління;
7) відповідність системи захисту інформації платіжної системи законодавству України;
8) чіткий розподіл між виконанням операційної функції, функцій, пов’язаних з управлінням ризиками та внутрішнім аудитом у платіжній системі.
Особа та/або підрозділ, відповідальна/відповідальний за управління ризиками, не може/не можуть виконувати функції, пов’язані з внутрішнім аудитом та виконанням операційної функції у платіжній системі.
79. Керівні органи оператора значущої платіжної системи зобов’язані призначити особу та/або підрозділ, відповідальну/відповідальний за:
1) управління ризиками та забезпечення інформаційної безпеки в платіжній системі;
2) забезпечення безперервності діяльності в частині розроблення, перегляду, оновлення та тестування Плану заходів, звітування про інциденти порушення безперервності діяльності в порядку, зазначеному в пунктах 56, 57 розділу IV цього Положення.
80. Керівні органи оператора значущої платіжної системи зобов’язані в разі виникнення надзвичайної ситуації забезпечити створення тимчасової структурної одиниці, що формується на час надзвичайної ситуації та ліквідації її наслідків і відповідає за реалізацію Плану заходів, проведення консультацій із заінтересованими особами та направлення їм повідомлення про виникнення надзвичайної ситуації.
81. Оператор значущої платіжної системи з метою ефективного управління ризиками зобов’язаний забезпечити взаємодію особи/підрозділу, відповідальної/відповідального за управління ризиками та забезпечення інформаційної безпеки в платіжній системі, з керівними органами оператора платіжної системи та її/його незалежність.
82. Оператор значущої платіжної системи зобов’язаний інформувати заінтересованих осіб та за потреби громадськість про основні рішення керівних органів оператора платіжної системи.
VIII. Система управління ризиками в значущій платіжній системі
83. Оператор значущої платіжної системи зобов’язаний не менше одного разу на рік:
1) аналізувати ризики, що виникають у діяльності платіжної системи та можуть призвести до виникнення ризиків у діяльності осіб, з якими взаємодіє оператор платіжної системи, та встановлювати допустимі межі ризиків;
2) виявляти внутрішні та зовнішні загрози, що можуть спричинити виникнення ризиків у платіжній системі, та їх джерела;
3) забезпечувати звітування особи та/або підрозділу, відповідальної/відповідального за управління ризиками та забезпечення інформаційної безпеки в платіжній системі, про результати аналізу роботи перед керівними органами оператора платіжної системи.
84. Оператор значущої платіжної системи зобов’язаний уживати заходів щодо мінімізації та усунення наслідків впливу ризиків, що виникають у платіжній системі.
85. Оператор значущої платіжної системи зобов’язаний:
1) здійснювати кількісну оцінку, моніторинг, управління та контроль за фінансовими ризиками;
2) підтримувати на достатньому рівні ліквідні ресурси у валюті здійснення розрахунків у платіжній системі;
3) диверсифікувати ліквідні активи за джерелами їх надходження та регулярно перевіряти доступність ліквідних активів;
4) контролювати грошові потоки та операційні витрати платіжної системи;
5) аналізувати не менше одного разу на рік потенційні зміни доходів та операційних витрат, а також можливість виникнення значних разових збитків за умови підвищення загального комерційного ризику;
6) контролювати концентрацію поточного та потенційного майбутнього кредитних ризиків та ризику ліквідності, на які він наражається в результаті взаємодії з розрахунковим банком.
86. Оператор значущої платіжної системи, у якій здійснюються відкладені нетто-розрахунки без забезпечення та учасники якої наражаються на кредитний ризик, зобов’язаний у разі виникнення надзвичайної ситуації забезпечити покриття найбільшого сукупного кредитного ризику двох прямих учасників платіжної системи з урахуванням кредитного ризику непрямих учасників платіжної системи, за дорученням яких діють зазначені прямі учасники платіжної системи.
87. Оператор платіжної системи, що залучає для здійснення розрахунків у платіжній системі розрахунковий банк, зобов’язаний вимагати від нього виконання вимог пункту 86 розділу VIII цього Положення.
88. Оператор значущої платіжної системи, у якій передбачено розподіл непокритого дефіциту ліквідності між учасниками платіжної системи, зобов’язаний узгодити з учасниками платіжної системи порядок розподілу непокритого дефіциту ліквідності між учасниками платіжної системи та довести його до відома учасників платіжної системи.
IX. Забезпечення в значущій платіжній системі
89. Оператор значущої платіжної системи, документами якої передбачено прийняття забезпечення для управління кредитним ризиком, зобов’язаний:
1) приймати в забезпечення тільки активи з низьким рівнем кредитного ризику, ризику ліквідності та ринкового ризику;
2) здійснювати аналіз потенційних змін вартості забезпечення та ринкової ситуації;
3) диверсифікувати активи, які він приймає як забезпечення;
4) мінімізувати ризики, пов’язані з використанням активів, прийнятих у забезпечення, що виражені в іноземній валюті та/або розміщені за межами України, та/або емітовані нерезидентом України.
90. Оператор значущої платіжної системи не має права:
1) укладати активи учасників платіжної системи в цінні папери учасників платіжної системи як прямих, так і непрямих та цінні папери їх афілійованих осіб;
2) використовувати активи учасників платіжної системи для власної комерційної діяльності, уключаючи надання кредитів.
X. Організація грошових розрахунків та остаточність розрахунків у значущій платіжній системі
91. Оператор значущої платіжної системи зобов’язаний:
1) використовувати для розрахунків активи з мінімальним або нульовим кредитним ризиком та ризиком ліквідності;
2) узгодити строк здійснення остаточного розрахунку з розрахунковим банком.
92. Оператор значущої платіжної системи зобов’язаний забезпечувати своєчасний остаточний розрахунок.
93. Оператор значущої платіжної системи, що здійснює розрахунки за двома взаємозалежними зобов’язаннями, повинен мінімізувати ризик втрати основної суми операції шляхом забезпечення здійснення остаточного розрахунку за одним із зобов’язань тільки після остаточного розрахунку за іншим незалежно від того, який режим розрахунків застосовується в платіжній системі.
94. Оператор системно важливої платіжної системи зобов’язаний:
1) мати ефективні операційні та аналітичні інструменти для постійного та своєчасного виявлення, вимірювання та відстеження грошових потоків, пов’язаних із розрахунками та фінансуванням, уключаючи використання ліквідності в межах дня;
2) підтримувати ліквідні ресурси в усіх валютах, у яких у платіжній системі здійснюються розрахунки, достатні для забезпечення завершення розрахунків упродовж операційного дня, та в разі різних потенційних стрес-сценаріїв;
3) розробити різні стрес-сценарії, що можуть унеможливити виконання/надання критичних операцій/послуг, з урахуванням різних ризиків (дефіцит ліквідності, спричинений дефолтом учасника, загальні збитки, відмова розрахункового банку, технологічного оператора від виконання покладених на них обов’язків, значний вплив на капітал та ліквідність, серйозні втрати через зловмисників, значні зміни курсів валют, шахрайство, репутаційні кризи);
4) здійснювати розрахунки в режимі реального часу або забезпечувати завершення розрахунків упродовж операційного дня та в разі виникнення надзвичайної ситуації.
XI. Управління операційним ризиком та забезпечення безперервності діяльності значущої платіжної системи
95. Оператор значущої платіжної системи для забезпечення кіберстійкості платіжної системи зобов’язаний:
1) установити чіткий розподіл функцій, обов’язків, повноважень і відповідальності за забезпечення кіберстійкості платіжної системи та забезпечити належний рівень управління цим процесом;
2) аналізувати специфіку діяльності платіжної системи (операції/послуги, процеси, інформацію, персонал) і зовнішні взаємозв’язки та залежності, що можуть становити загрозу для кіберстійкості платіжної системи, за ступенем їх критичності для діяльності платіжної системи в разі кіберінциденту та/або кібератаки на неї;
3) уживати заходів для забезпечення захисту, виявлення, реагування на кіберзагрози, кібератаки та кіберінциденти, що можуть мати вплив на здійснення/надання критичних операцій/послуг платіжної системи, та оперативного відновлення після них;
4) уживати заходів для підвищення рівня обізнаності працівників, які забезпечують діяльність платіжної системи, щодо наявних та потенційних кіберзагроз, що можуть мати вплив на безперервність діяльності платіжної системи, процедур повідомлення про виникнення кіберінцидентів і кібератак та реагування на них;
5) забезпечувати навчання та підвищення кваліфікації працівників, на яких покладено обов’язки, пов’язані з управлінням операційним ризиком та забезпеченням кіберстійкості платіжної системи;
6) здійснювати тестування ефективності заходів для забезпечення кіберстійкості платіжної системи не менше одного разу на рік.
96. Оператор значущої платіжної системи має право визнати учасника платіжної системи або технологічного оператора таким, від якого він критично залежить, та за потреби встановити до такого учасника платіжної системи/технологічного оператора додаткові вимоги щодо управління ризиками в платіжній системі, про що повідомляє цього учасника/технологічного оператора протягом п’яти робочих днів із дня такого визнання.
97. Оператор значущої платіжної системи зобов’язаний забезпечувати наявність зв’язку для взаємодії між працівниками оператора платіжної системи, а також між оператором платіжної системи та заінтересованими особами під час виникнення надзвичайної ситуації.
98. Оператор значущої платіжної системи зобов’язаний вести, постійно оновлювати та мати в наявності контактну інформацію про працівників, які забезпечують виконання/надання критичних операцій/послуг платіжної системи, а також контактних осіб заінтересованих осіб та їх резервних робочих зон (за наявності).
99. Оператор значущої платіжної системи зобов’язаний у разі виникнення надзвичайної ситуації:
1) передбачити можливість передавання інформації через альтернативні канали зв’язку в разі неможливості передавання інформації фіксованим і мобільним зв’язком;
2) забезпечувати в разі виникнення надзвичайної ситуації надання послуг у платіжній системі на рівні, не нижчому, ніж планові показники операційної діяльності, визначені в документах платіжної системи.
100. Оператор значущої платіжної системи для забезпечення безперервності діяльності повинен здійснювати організаційні та технічні заходи, зазначені в додатку до цього Положення, та забезпечити належний контроль за їх виконанням.
101. Оператор системно важливої платіжної системи зобов’язаний:
1) відновити виконання/надання критичних операцій/послуг не пізніше ніж через дві години після виникнення події, що спричинила настання надзвичайної ситуації;
2) забезпечувати наявність резервної робочої зони;
3) забезпечувати початок роботи резервної робочої зони одразу після виникнення надзвичайної ситуації, що несе загрозу для безперервності діяльності платіжної системи;
4) підтримувати в резервній робочій зоні достатні матеріальні та трудові ресурси до відновлення штатного режиму діяльності платіжної системи;
5) забезпечувати фізичну відокремленість каналів зв’язку основної та резервної робочих зон.
XII. Доступ та участь у значущій платіжній системі
102. Оператор значущої платіжної системи зобов’язаний:
1) установлювати умови участі в платіжній системі та висувати вимоги до учасників цієї платіжної системи щодо наявності потрібних операційних потужностей, фінансових ресурсів, юридичних повноважень, відповідності системи захисту інформації законодавству України, а також щодо вжиття заходів з метою запобігання виникненню ризику, що виходить за межі, установлені оператором платіжної системи;
2) виявляти тих учасників платіжної системи, діяльність яких не відповідає встановленим вимогам щодо участі в платіжній системі.
103. Оператор значущої платіжної системи (крім Національного банку) зобов’язаний письмово попереджати Національний банк та органи державної влади в межах їх компетенції про виявлення фактів недотримання учасниками платіжної системи встановлених вимог щодо участі в платіжній системі, що призводять або можуть призвести до виникнення ризику, що виходить за межі ризиків, установлених оператором платіжної системи.
104. Оператор значущої платіжної системи, організаційною структурою якої передбачена багаторівнева структура участі, зобов’язаний:
1) ідентифікувати додатковий кредитний ризик та ризик ліквідності, що можуть виникати внаслідок багаторівневої структури участі, та здійснювати їх аналіз не менше одного разу на рік та після змін у документах платіжної системи щодо організаційної структури;
2) забезпечити, щоб невиконання зобов’язань прямим та/або непрямим учасником платіжної системи не впливало на остаточність розрахунків непрямих учасників платіжної системи.
105. Оператор значущої платіжної системи, у якій передбачена багаторівнева структура участі, з метою управління ризиками має право встановлювати умови, після виконання яких непрямий учасник платіжної системи зобов’язаний стати прямим учасником платіжної системи та привести свою діяльність у відповідність до вимог щодо умов участі, визначених оператором платіжної системи.
XIII. Оприлюднення та надання інформації, стандарти передавання інформації у значущій платіжній системі
106. Оператор значущої платіжної системи зобов’язаний оприлюднювати на власному офіційному вебсайті додатково до інформації, визначеної в пункті 45 розділу III цього Положення, такі відомості:
1) правила і процедури діяльності платіжної системи, крім інформації, що належить до конфіденційної інформації;
2) категорію важливості платіжної системи;
3) відповідність міжнародним стандартам оверсайту (за умови здійснення Національним банком комплексного та/або тематичного оцінювання платіжної системи);
4) дані щодо кількості та сум платіжних операцій, що здійснюються платіжною системою протягом року.
107. Оператор значущої платіжної системи, що здійснює платіжні операції за межі України, зобов’язаний забезпечувати своєчасний та ефективний обмін інформацією в платіжній системі з урахуванням міжнародних стандартів щодо правил та форматів передавання повідомлень і контрольних даних для ідентифікації фінансових інструментів, контрагентів.
XIV. Вимоги до важливих об’єктів оверсайту
108. Важливий об’єкт оверсайту зобов’язаний:
1) здійснювати організаційні та технічні заходи, визначені в додатку до цього Положення, та забезпечити належний контроль за їх виконанням;
2) визначити у своїх документах порядок забезпечення безперервності діяльності відповідно до організаційних та технічних заходів, зазначених у додатку до цього Положення.
109. Керівні органи важливого об’єкта оверсайту зобов’язані призначити особу та/або підрозділ відповідальну/відповідальний за:
1) управління ризиками та забезпечення інформаційної безпеки під час надання платіжних послуг;
2) забезпечення безперервності діяльності важливого об’єкта оверсайту та звітування про інциденти порушення безперервності діяльності в порядку, зазначеному в пунктах 56, 57 розділу IV цього Положення, а також здійснювати контроль за її/його діяльністю.
110. Важливий об’єкт оверсайту, що здійснює платіжні операції за межі України, зобов’язаний забезпечувати своєчасний та ефективний обмін інформацією з урахуванням міжнародних стандартів щодо правил та форматів передавання повідомлень і контрольних даних для ідентифікації фінансових інструментів, контрагентів.
111. Важливий учасник платіжної системи зобов’язаний визначити у своїх документах механізми контролю, заходи щодо управління, моніторингу, мінімізації та усунення наслідків впливу ризиків, на які він наражається в результаті участі в платіжній системі:
1) правового ризику;
2) фінансових ризиків (кредитного, ліквідності, загального комерційного, депозитарного та інвестиційного ризиків);
3) розрахункового ризику;
4) операційного ризику, уключаючи кіберризик;
5) системного ризику;
6) інших ризиків, які важливий учасник платіжної системи має право визначати як такі, що притаманні його діяльності в результаті його участі в платіжній системі.
Важливий учасник міжнародної платіжної системи, створеної нерезидентом, зобов’язаний додатково встановити правила та порядок зменшення правового ризику, що виникає внаслідок того, що платіжна система та важливий учасник є суб’єктами права різних юрисдикцій.
XV. Вимоги до важливих об’єктів оверсайту, які є операторами платіжної схеми
112. Вимоги розділу XV цього Положення поширюються на надавача платіжних послуг та емітента електронних грошей, визнаних Національним банком важливими.
113. Вимоги розділу XV цього Положення не поширюються на оператора платіжної системи, який здійснює управління платіжною схемою, передбаченою правилами відповідної платіжної системи.
114. Оператор платіжної схеми зобов’язаний забезпечувати постійний контроль за відповідністю платіжної схеми, договорів та інших правочинів законодавству України.
115. Оператор платіжної схеми, надавачі платіжних послуг, які на підставі договору з оператором платіжної схеми надають користувачам послуги з виконання платіжних операцій з використанням цієї платіжної схеми, технологічні оператори, які надають послуги в цій платіжній схемі (далі - суб’єкти платіжної схеми), зобов’язані дотримуватися правил, стандартів та/або процедур цієї платіжної схеми та вимог законодавства України.
116. Оператор платіжної схеми повинен визначати чіткі та вичерпні правила, стандарти та/або процедури діяльності платіжної схеми, а також надавати достатню інформацію суб’єктам платіжної схеми, що дасть можливість усвідомлювати ризики та витрати, які вони несуть, під час надання послуг/використання цієї платіжної схеми.
117. Оператор платіжної схеми зобов’язаний визначити у своїх документах:
1) правила та порядок зменшення правового ризику, що виникає, якщо суб’єкти платіжної схеми та/або її користувачі є суб’єктами права різних юрисдикцій;
2) цілі та завдання діяльності платіжної схеми, уключаючи забезпечення ефективності та результативності її діяльності;
3) опис платіжної схеми з розподілом обов’язків, повноважень та відповідальності за виконання таких функцій:
управління платіжною схемою;
надання платіжних послуг;
гарантування в платіжній схемі;
процесинг;
проведення розрахунків у платіжній схемі;
4) порядок виявлення та вирішення конфліктів інтересів у платіжній схемі;
5) механізми контролю, заходи щодо управління, моніторингу, мінімізації та усунення наслідків впливу ризиків, на які наражається у своїй діяльності та/або які спричиняє платіжна схема:
правового ризику;
фінансових ризиків (кредитного, ліквідності, загального комерційного, депозитарного та інвестиційного ризиків);
операційного ризику, уключаючи кіберризик;
розрахункового ризику;
інших ризиків, які оператор платіжної схеми має право визначати як такі, що притаманні платіжній схемі;
6) момент остаточності розрахунків у платіжній схемі;
7) вимоги до обслуговуючого банку, що бере участь у проведенні розрахунків у платіжній схемі (крім Національного банку);
8) відповідальність сторін та порядок дій, уключаючи здійснення розрахунків, використання ресурсів та покриття втрат, у разі невиконання зобов’язань надавачем платіжних послуг;
9) розподіл обов’язків, повноважень та відповідальності щодо управління операційним ризиком у платіжній схемі;
10) умови використання платіжної схеми надавачами платіжних послуг, що ґрунтуються на оцінці ризиків;
11) механізми для оцінки ефективності та результативності діяльності платіжної схеми.
118. Оператор платіжної схеми з метою ефективного управління ризиками зобов’язаний:
1) уживати заходів щодо мінімізації та усунення наслідків впливу ризиків, що виникають у платіжній схемі;
2) регулярно здійснювати кількісне вимірювання, моніторинг та управління ризиками, що виникають у платіжній схемі та можуть призвести до виникнення ризиків у діяльності суб’єктів платіжної схеми;
3) здійснювати виявлення та управління взаємозалежністю з іншими учасниками платіжного ринку;
4) розробити план дій на випадок виникнення надзвичайних ситуацій та забезпечити його тестування не менше одного разу на рік.
119. Оператор платіжної схеми має право визнати суб’єкта платіжної схеми, як такого, від якого він критично залежить та встановити до нього додаткові вимоги щодо управління ризиками в платіжній схемі, про що повідомляє суб’єкта платіжної схеми протягом п’яти робочих днів із моменту такого визнання.
XVI. Оцінювання об’єктів оверсайту на відповідність вимогам законодавства України та міжнародним стандартам оверсайту
120. Національний банк здійснює такі типи оцінювання:
1) оцінювання платіжної системи, що планує здійснювати діяльність в Україні (крім платіжної системи, створеної Національним банком);
2) комплексне оцінювання:
значущої платіжної системи та платіжної системи, створеної Національним банком (далі - комплексне оцінювання платіжної системи);
платіжної схеми, оператором якої є важливий надавач платіжних послуг або важливий емітент електронних грошей (далі - комплексне оцінювання платіжної схеми);
3) оцінювання окремих аспектів діяльності:
значущої платіжної системи (далі - тематичне оцінювання платіжної системи);
платіжної схеми, оператором якої є важливий надавач платіжних послуг або важливий емітент електронних грошей (далі - тематичне оцінювання платіжної схеми).
121. Національний банк розробляє інструкції для оцінювання платіжних систем/схем та їх самооцінювання з урахуванням міжнародних стандартів оверсайту.
122. Національний банк проводить оцінювання платіжної системи, що планує здійснювати діяльність в Україні, шляхом аналізу документів, що подаються до Національного банку відповідно до нормативно-правового акта Національного банку з питань реєстрації платіжних систем, учасників платіжних систем та технологічних операторів.
123. Національний банк здійснює комплексне оцінювання платіжної системи/схеми на підставі затвердженого Національним банком плану комплексного оцінювання об’єктів оверсайту (крім платіжних систем/схем, створених Національним банком). Комплексне оцінювання платіжної системи/схеми, створеної Національним банком, здійснюється на підставі окремого розпорядчого акта Національного банку.
План оцінювання комплексного оцінювання об’єктів оверсайту складається на один рік і затверджується до 01 березня наступного року. Національний банк розміщує план комплексного оцінювання об’єктів оверсайту на сторінках офіційного Інтернет-представництва Національного банку.
124. Національний банк здійснює комплексне оцінювання:
1) системно важливої платіжної системи не менше одного разу на два роки;
2) важливої платіжної системи та платіжної схеми не раніше ніж через 36 місяців із дня закінчення останнього оцінювання.
Строк проведення комплексного оцінювання платіжної системи/схеми не може перевищувати шести місяців і збігатися з терміном проведення виїзного моніторингу оператора платіжної системи/схеми. Національний банк має право за наявності обґрунтованих причин збільшити строк проведення оцінювання платіжної системи/схеми до одного року.
125. Національний банк здійснює комплексне оцінювання значущої платіжної системи не раніше ніж через дев’ять місяців із дня віднесення платіжної системи до відповідної категорії важливості (крім комплексного оцінювання платіжних систем, створених Національним банком).
126. Національний банк здійснює комплексне оцінювання платіжної схеми не раніше ніж через шість місяців із дня визнання Національним банком надавача платіжних послуг або емітента електронних грошей важливими.
127. Національний банк повідомляє оператора платіжної системи/схеми про комплексне оцінювання не менше ніж за 30 календарних днів до його початку.
Повідомлення про комплексне оцінювання платіжної системи/схеми має містити таку інформацію:
1) дату початку та закінчення комплексного оцінювання;
2) період, що підлягає оцінюванню.
128. Оператор платіжної системи/схеми зобов’язаний здійснювати самооцінювання платіжної системи/схеми відповідно до інструкції, розробленої Національним банком (далі - Інструкція з оцінювання), та не пізніше ніж за п’ять робочих днів до початку комплексного оцінювання надіслати висновки до Національного банку за встановленою ним формою та документи, що підтверджують наведену в них інформацію.
129. Національний банк здійснює оцінювання (самооцінювання) створених ним платіжних систем/схем відповідно до порядку, визначеного в Інструкції з оцінювання.
130. Джерелом інформації під час здійснення Національним банком комплексного оцінювання платіжної системи/схеми є:
1) документи платіжної системи/оператора платіжної схеми;
2) план заходів із забезпечення безперервності діяльності платіжної системи;
3) результати моніторингу платіжної інфраструктури;
4) інформація за результатами перевірок оператора платіжної системи/схеми;
5) інформація та документи, отримані від оператора платіжної системи/схеми на запит Національного банку;
6) інформація, що надходить від органів державної влади;
7) інформація, що надходить від користувачів;
8) висновки зовнішніх аудиторів;
9) внутрішні звіти керівних органів об’єкта оверсайту, а також звіти за результатами внутрішнього аудиту;
10) протоколи за результатами двосторонніх та багатосторонніх переговорів Національного банку із суб’єктами платіжної системи/схеми;
11) висновки за результатами самооцінювання;
12) публічно доступна інформація про платіжну систему/оператора платіжної схеми.
131. Національний банк під час проведення комплексного/тематичного оцінювання має право проводити співбесіду (інтерв’ю) з працівниками оператора платіжної системи/оператора платіжної схеми з відповідним оформленням таких співбесід.
132. Комплексне оцінювання платіжної системи/схеми, оператором якої є Національний банк, здійснюється групою фахівців, кількісний та особовий склад якої затверджується окремим розпорядчим актом Національного банку.
133. За результатами комплексного оцінювання платіжної системи/схеми складається звіт з комплексного оцінювання, у якому зазначається:
1) найменування платіжної системи/схеми (за наявності);
2) повне найменування оператора платіжної системи/схеми;
3) дата визнання платіжної системи значущою/оператора платіжної схеми важливим;
4) категорія важливості платіжної системи;
5) період діяльності, за який здійснено комплексне оцінювання і термін здійснення оцінювання (дати початку і закінчення);
6) перелік та повне найменування суб’єктів платіжної системи/схеми;
7) результати моніторингу діяльності платіжної системи/оператора платіжної схеми в динаміці за період діяльності, за який здійснюється комплексне оцінювання;
8) перелік матеріалів, що використовувалися під час оцінювання;
9) результати комплексного оцінювання відповідності платіжної системи/схеми законодавству України та міжнародним стандартам оверсайту;
10) факти неподання оператором платіжної системи/схеми інформації та/або документів, потрібних для здійснення комплексного оцінювання в установлені строки (якщо такі були);
11) висновки: перелік виявлених під час оцінювання порушень у діяльності оператора платіжної системи/схеми та недоліків (за наявності), вимоги щодо усунення таких порушень/недоліків, а також загальні рекомендації щодо вдосконалення діяльності платіжної системи/схеми.
134. Національний банк у звіті з комплексного оцінювання розкриває інформацію окремо за кожним положенням ключового принципу, визначеного в Інструкції з оцінювання.
Національний банк відображає у звіті інформацію з обґрунтуванням щодо:
1) незастосування окремого принципу та/або його положень до платіжної системи/схеми;
2) неможливості визначити відповідність окремому принципу у зв’язку з ненаданням потрібної інформації оператором платіжної системи/схеми.
135. Національний банк здійснює тематичне оцінювання платіжної системи/схеми за наявності обґрунтованих підстав, якими є:
1) потреба здійснення контролю за усуненням оператором платіжної системи/схеми порушень, виявлених під час комплексного оцінювання;
2) унесення змін до документів платіжної системи/схеми;
3) порушення безперервності діяльності платіжної системи/схеми;
4) прийняття рішення про визнання платіжної системи значущою платіжною системою/оператора платіжної схеми важливим.
136. Національний банк готує звіт за результатами тематичного оцінювання платіжної системи/схеми, у якому зазначається така інформація:
1) найменування платіжної системи/схеми (за наявності);
2) повне найменування оператора платіжної системи/схеми;
3) період діяльності, за який здійснено тематичне оцінювання і термін здійснення тематичного оцінювання (дати початку і закінчення);
4) підстави для здійснення тематичного оцінювання;
5) результати тематичного оцінювання відповідності платіжної системи/платіжної схеми законодавству України та міжнародним стандартам оверсайту (за окремими напрямами);
6) факти неподання об’єктом оверсайту інформації та/або документів, потрібних для здійснення тематичного оцінювання в установлені строки (якщо такі були);
7) висновки: перелік виявлених під час тематичного оцінювання платіжної системи/схеми порушень та недоліків (за наявності), а також загальні рекомендації щодо усунення порушень і вдосконалення діяльності платіжної системи/схеми.
137. Національний банк не пізніше ніж через 15 календарних днів із дати завершення комплексного або тематичного оцінювання платіжної системи/схеми надсилає звіт за результатами тематичного/комплексного оцінювання оператору платіжної системи/схеми.
138. Оператор платіжної системи/схеми (крім Національного банку) має право впродовж семи календарних днів із дня отримання звіту за результатами тематичного/комплексного оцінювання надати Національному банку обґрунтовані заперечення фактів порушень, зазначених у звіті, що оформляються письмово, підписуються керівником об’єкта оверсайту або керівним органом об’єкта оверсайту та доповнюються документами, що підтверджують ці заперечення.
139. Оператор платіжної системи/схеми зобов’язаний протягом 30 календарних днів із дня отримання звіту за результатами комплексного/тематичного оцінювання розробити та надіслати до Національного банку план заходів, які він зобов’язується вжити для виконання рекомендацій та усунення порушень, виявлених Національним банком під час оцінювання (далі - План заходів із виконання рекомендацій). План заходів із виконання рекомендацій повинен затверджуватися керівником об’єкта оверсайту або керівним органом об’єкта оверсайту.
140. Національний банк повідомляє оператора платіжної системи/схеми про результати розгляду Плану заходів із виконання рекомендацій протягом 15 календарних днів.
141. Оператор платіжної системи/схеми після закінчення строку, визначеного Національним банком для виконання рекомендацій та усунення порушень, зобов’язаний подати до Національного банку звіт про виконання Плану заходів, затверджений керівником об’єкта оверсайту або керівним органом об’єкта оверсайту, та відповідні документи, що підтверджують виконання рекомендацій та усунення порушень, виявлених Національним банком під час оцінювання.
142. Національний банк здійснює контроль за виконанням оператором платіжної системи/схеми Плану заходів із виконання рекомендацій та має право надати до звіту про виконання Плану заходів із виконання рекомендацій зауваження, обов’язкові для врахування.
Національний банк здійснює аналіз виконання рекомендацій за результатом оцінювання платіжних систем/схем, оператором яких він є.
143. Національний банк визначає за результатами комплексного та тематичного оцінювання рівень відповідності платіжної системи/схеми кожному встановленому в Інструкції з оцінювання принципу та/або законодавству України за такими рівнями:
1) повністю відповідає;
2) у цілому відповідає;
3) частково відповідає;
4) не відповідає;
5) не застосовується.
144. Національний банк, дійшовши за результатами оцінювання висновку, що платіжна система/схема "у цілому відповідає", "частково відповідає" або "не відповідає" окремому принципу, визначеному в Інструкції з оцінювання, та/або законодавству України, надає у звіті рекомендації щодо вдосконалення діяльності платіжної системи/схеми та зазначає про потребу усунення порушень/недоліків (у разі їх наявності).
145. Національний банк оприлюднює інформацію про результати комплексного та тематичного оцінювання платіжної системи/схеми на сторінках офіційного Інтернет-представництва Національного банку.
Національний банк за результатами оцінювання системно важливої платіжної системи оприлюднює на сторінках офіційного Інтернет-представництва Національного банку звіт про відповідність платіжної системи міжнародним стандартам оверсайту.
Додаток
до Положення про порядок
здійснення оверсайту платіжної
інфраструктури в Україні
(пункт 54 розділу IV)
ОРГАНІЗАЦІЙНІ ТА ТЕХНІЧНІ ЗАХОДИ
для забезпечення безперервності діяльності
1. Створення детальної схеми комплексу програмно-апаратних засобів з описом функціонального призначення та взаємозв’язку його компонентів.
2. Визначення переліку критично важливих компонентів комплексу програмно-апаратних засобів та даних, потрібних для надання критичних послуг, запровадження політики їх резервування та відновлення.
3. Забезпечення роботи критично важливих компонентів комплексу програмно-апаратних засобів джерелами безперебійного електроживлення.
4. Здійснення резервного копіювання баз даних та інших даних, потрібних для надання критичних послуг.
5. Забезпечення моніторингу всіх компонентів комплексу програмно-апаратних засобів, реєстрації та аналізу інцидентів, пов’язаних із порушенням безперервності діяльності.
6. Забезпечення дотримання вимог законодавства України у сфері інтелектуальної власності під час використання програмного забезпечення на всіх компонентах комплексу програмно-апаратних засобів.
7. Зберігання електронних архівів, архівів даних, потрібних для надання критичних послуг, а також програмних засобів, потрібних для відновлення змісту баз даних, на зовнішніх носіях щонайменше в одному примірнику в приміщенні за основним місцезнаходженням та в додатковому примірнику в приміщенні (кімнаті), територіально віддаленому (віддаленій) від основного місцезнаходження.
8. Аналіз можливих загроз безперервному функціонуванню комплексу програмно-апаратних засобів, забезпечення мінімізації їх впливу та планування дій в разі їх реалізації.
9. Розроблення інструкцій дій обслуговуючого персоналу щодо попередження порушень у разі виникнення надзвичайної ситуації та відновлення функціонування комплексу програмно-апаратних засобів, їх аналіз та перегляд не менше одного разу на рік.
10. Забезпечення наявності інструкцій із супроводження та експлуатації комплексу програмно-апаратних засобів.
11. Навчання обслуговуючого персоналу супроводженню та експлуатації комплексу програмно-апаратних засобів і діям для відновлення його функціонування.
12. Визначення порядку внесення змін до програмного забезпечення та конфігурації всіх компонентів комплексу програмно-апаратних засобів.
13. Забезпечення обслуговування та технічної підтримки [надання консультацій користувачам (уключаючи проблеми, що виникли під час експлуатації), ремонт та заміна непрацюючого обладнання, установлення оновлень/нових версій і виправлень помилок програмного забезпечення] усіх компонентів комплексу програмно-апаратних засобів.
14. Забезпечення взаємодії та комунікацій в разі виникнення надзвичайної ситуації з користувачами та заінтересованими особами.
