підтримувати в резервній робочій зоні інформаційну інфраструктуру готовою для відновлення штатного режиму діяльності системно важливої платіжної системи, важливої платіжної системи, а також забезпечувати матеріальними і трудовими ресурсами, достатніми для підтримання інформаційної інфраструктури в робочому стані;
забезпечити фізичну відокремленість каналів зв’язку основної та резервної робочих зон з різними маршрутами;
забезпечувати початок роботи резервної робочої зони одразу після виникнення надзвичайної події, що несе загрозу для безперервності діяльності основної робочої зони системно важливої платіжної системи, важливої платіжної системи.
Оператор системно важливої/важливої платіжної системи-нерезидент забезпечує наявність резервної робочої зони та виконання заходів для оперативного використання резервної зони у разі виникнення надзвичайної події, визначених в абзаці першому підпункту 6 пункту 100 розділу XI цього Положення, у разі розміщення основної робочої зони або її частини в межах території України.
( Пункт 100 розділу XI в редакції Постанови Національного банку № 16 від 11.02.2025 )
101. Оператор системно важливої платіжної системи зобов’язаний відновити безперервність діяльності платіжної системи та роботу інформаційної інфраструктури, що забезпечує виконання/надання критичних операцій/послуг, не пізніше ніж через дві години після виникнення надзвичайної події.
( Пункт 101 розділу XI в редакції Постанови Національного банку № 16 від 11.02.2025 )
XII. Доступ та участь у системно важливій платіжній системі, важливій платіжній системі
( Заголовок розділу XII в редакції Постанови Національного банку № 16 від 11.02.2025 )
102. Оператор системно важливої/важливої платіжної системи зобов’язаний:
1) установлювати умови участі в платіжній системі та висувати вимоги до учасників цієї платіжної системи щодо наявності потрібних операційних потужностей, фінансових ресурсів, юридичних повноважень, відповідності системи захисту інформації законодавству України, а також щодо вжиття заходів з метою запобігання виникненню ризику, що виходить за межі, установлені оператором платіжної системи;
2) виявляти тих учасників платіжної системи, діяльність яких не відповідає встановленим вимогам щодо участі в платіжній системі.
103. Оператор системно важливої/важливої платіжної системи (крім Національного банку) зобов’язаний письмово попереджати Національний банк та органи державної влади в межах їх компетенції про виявлення фактів недотримання учасниками платіжної системи встановлених вимог щодо участі в платіжній системі, що призводять або можуть призвести до виникнення ризику, що виходить за межі ризиків, установлених оператором платіжної системи.
104. Оператор системно важливої/важливої платіжної системи, організаційною структурою якої передбачена багаторівнева структура участі, зобов’язаний:
1) ідентифікувати додатковий кредитний ризик та ризик ліквідності, що можуть виникати внаслідок багаторівневої структури участі, та здійснювати їх аналіз не менше одного разу на рік та після змін у документах платіжної системи щодо організаційної структури;
2) забезпечити, щоб невиконання зобов’язань прямим та/або непрямим учасником платіжної системи не впливало на остаточність розрахунків непрямих учасників платіжної системи.
105. Оператор системно важливої/важливої платіжної системи, у якій передбачена багаторівнева структура участі, з метою управління ризиками має право встановлювати умови, після виконання яких непрямий учасник платіжної системи зобов’язаний стати прямим учасником платіжної системи та привести свою діяльність у відповідність до вимог щодо умов участі, визначених оператором платіжної системи.
XIII. Оприлюднення та надання інформації, стандарти передавання інформації у системно важливій платіжній системі, важливій платіжній системі
( Заголовок розділу XIII в редакції Постанови Національного банку № 16 від 11.02.2025 )
106. Оператор системно важливої/важливої платіжної системи зобов’язаний оприлюднювати на власному офіційному вебсайті додатково до інформації, визначеної в пункті 45 розділу III цього Положення, такі відомості:
1) правила і процедури діяльності платіжної системи, крім інформації, що належить до конфіденційної інформації;
2) категорію важливості платіжної системи;
3) відповідність міжнародним стандартам оверсайту (за умови здійснення Національним банком комплексного та/або тематичного оцінювання платіжної системи);
4) дані щодо кількості та сум платіжних операцій, що здійснюються платіжною системою протягом року.
107. Оператор системно важливої/важливої платіжної системи, що здійснює платіжні операції за межі України, зобов’язаний забезпечувати своєчасний та ефективний обмін інформацією в платіжній системі з урахуванням міжнародних стандартів щодо правил та форматів передавання повідомлень і контрольних даних для ідентифікації фінансових інструментів, контрагентів.
XIV. Вимоги до важливих об’єктів оверсайту
108. Важливий об’єкт оверсайту зобов’язаний:
1) здійснювати організаційні та технічні заходи, визначені в додатку до цього Положення, та забезпечити належний контроль за їх виконанням;
2) визначити у своїх документах, які повинні складатись українською мовою та затверджуватися керівником/керівним органом чи уповноваженою особою важливого об’єкта оверсайту:
порядок забезпечення безперервності діяльності відповідно до організаційних та технічних заходів, зазначених у додатку до цього Положення;
порядок відновлення безперервності діяльності важливого об’єкта оверсайту в разі виникнення надзвичайної події;
порядок внутрішнього контролю за діяльністю важливого об’єкта оверсайту (процедури та види контролю), включаючи заходи контролю за інформаційною інфраструктурою (контроль за належним функціонуванням інформаційної інфраструктури, контроль за управлінням доступами, контроль за інформаційною інфраструктурою під час придбання, розроблення та/або супроводження);
обов’язки, повноваження, відповідальність, порядок звітування перед керівником/керівним органом особи та/або підрозділу, відповідальної/відповідального за функції, визначені в пункті 109 розділу XIV цього Положення, та їх розподіл.
( Підпункт 2 пункту 108 розділу XIV в редакції Постанови Національного банку № 16 від 11.02.2025 )
109. Важливий об’єкт оверсайту зобов’язаний призначити особу та/або підрозділ відповідальну/відповідальний за:
1) управління ризиками під час надання платіжних послуг та/або послуг, що є допоміжними до платіжних послуг;
2) забезпечення безперервності діяльності важливого об’єкта оверсайту та звітування про інциденти порушення безперервності діяльності згідно з вимогами, зазначеними в пункті 109-1 розділу XIV цього Положення;
3) систему внутрішнього контролю під час надання платіжних послуг та/або послуг, що є допоміжними до платіжних послуг.
Особа/підрозділ, призначені відповідальними за управління ризиками, систему внутрішнього контролю та забезпечення безперервної діяльності, зобов’язані звітувати керівнику/керівному органу важливого об’єкта оверсайту про виконання покладених на них функцій відповідно до вимог цього Положення та результати роботи не рідше одного разу на шість місяців.
( Пункт 109 розділу XIV в редакції Постанови Національного банку № 16 від 11.02.2025 )
109-1. Важливий об’єкт оверсайту зобов’язаний не пізніше ніж через 36 годин після виникнення істотного інциденту порушення безперервності діяльності надавати Національному банку інформацію, зазначену в пункті 56 розділу IV цього Положення, згідно з вимогами, визначеними в пункті 98- 3 розділу XI цього Положення.
( Розділ XIV доповнено новим пунктом 109-1 згідно з Постановою Національного банку № 16 від 11.02.2025 )
110. Важливий об’єкт оверсайту, що здійснює платіжні операції за межі України, зобов’язаний забезпечувати своєчасний та ефективний обмін інформацією з урахуванням міжнародних стандартів щодо правил та форматів передавання повідомлень і контрольних даних для ідентифікації фінансових інструментів, контрагентів.
111. Важливий учасник платіжної системи зобов’язаний визначити у своїх документах механізми контролю, заходи щодо управління, моніторингу, мінімізації та усунення наслідків впливу ризиків, на які він наражається в результаті участі в платіжній системі:
1) правового ризику;
2) фінансових ризиків (кредитного, ліквідності, загального комерційного, депозитарного та інвестиційного ризиків);
3) розрахункового ризику;
4) операційного ризику, уключаючи кіберризик;
5) системного ризику;
6) інших ризиків, які важливий учасник платіжної системи має право визначати як такі, що притаманні його діяльності в результаті його участі в платіжній системі.
Важливий учасник міжнародної платіжної системи, створеної нерезидентом, зобов’язаний додатково встановити правила та порядок зменшення правового ризику, що виникає внаслідок того, що платіжна система та важливий учасник є суб’єктами права різних юрисдикцій.
111-1. Важливий технологічний оператор зобов’язаний:
1) забезпечити підключення оператора системно важливої/важливої платіжної системи-резидента/нерезидента, важливого об’єкта оверсайту, якому надаються послуги технологічного оператора, каналами зв’язку, які відокремлені один від одного та мають різні маршрути, до основного центру обробки даних мінімум через двох постачальників електронних комунікаційних послуг та до резервного центру обробки даних мінімум через одного постачальника електронних комунікаційних послуг;
2) у разі виникнення надзвичайної події передбачити можливість передавання інформації через альтернативні та/або резервні канали зв’язку в разі неможливості передавання інформації фіксованим і мобільним зв’язком;
3) забезпечити можливість тестування всіх наявних каналів зв’язку з центрами обробки даних та підтримувати їх у щоденному "гарячому" резерві з можливістю переключення між ними;
4) забезпечувати наявність резервної робочої зони та виконання заходів для оперативного використання резервної робочої зони в разі виникнення надзвичайної події:
підтримувати в резервній робочій зоні інформаційну інфраструктуру готовою до відновлення штатного режиму діяльності, а також забезпечувати матеріальними і трудовими ресурсами, достатніми для підтримання інформаційної інфраструктури в робочому стані;
забезпечувати фізичну відокремленість каналів зв’язку основної та резервної робочих зон з різними маршрутами каналів зв’язку;
забезпечувати початок роботи резервної робочої зони одразу після виникнення надзвичайної події, що несе загрозу для безперервності діяльності робочої зони.
( Розділ XIV доповнено новим пунктом 111-1 згідно з Постановою Національного банку № 16 від 11.02.2025 )
111-2. Обов’язки та відповідальність важливого об’єкта оверсайту щодо виконання вимог цього Положення залишаються незмінними в разі залучення таким важливим об’єктом оверсайту технологічного оператора та/або третіх осіб для виконання окремих операційних функцій, пов’язаних із наданням платіжних послуг.
( Розділ XIV доповнено новим пунктом 111-2 згідно з Постановою Національного банку № 16 від 11.02.2025 )
XV. Вимоги до важливих об’єктів оверсайту, які є операторами платіжної схеми
112. Вимоги розділу XV цього Положення поширюються на надавача платіжних послуг та емітента електронних грошей, визнаних Національним банком важливими.
113. Вимоги розділу XV цього Положення не поширюються на оператора платіжної системи, який здійснює управління платіжною схемою, передбаченою правилами відповідної платіжної системи.
114. Оператор платіжної схеми зобов’язаний забезпечувати постійний контроль за відповідністю платіжної схеми, договорів та інших правочинів законодавству України.
115. Оператор платіжної схеми, надавачі платіжних послуг, які на підставі договору з оператором платіжної схеми надають користувачам послуги з виконання платіжних операцій з використанням цієї платіжної схеми, технологічні оператори, які надають послуги в цій платіжній схемі (далі - суб’єкти платіжної схеми), зобов’язані дотримуватися правил, стандартів та/або процедур цієї платіжної схеми та вимог законодавства України.
116. Оператор платіжної схеми повинен визначати чіткі та вичерпні правила, стандарти та/або процедури діяльності платіжної схеми, а також надавати достатню інформацію суб’єктам платіжної схеми, що дасть можливість усвідомлювати ризики та витрати, які вони несуть, під час надання послуг/використання цієї платіжної схеми.
117. Оператор платіжної схеми зобов’язаний визначити у своїх документах:
1) правила та порядок зменшення правового ризику, що виникає, якщо суб’єкти платіжної схеми та/або її користувачі є суб’єктами права різних юрисдикцій;
2) цілі та завдання діяльності платіжної схеми, уключаючи забезпечення ефективності та результативності її діяльності;
3) опис платіжної схеми з розподілом обов’язків, повноважень та відповідальності за виконання таких функцій:
управління платіжною схемою;
надання платіжних послуг;
гарантування в платіжній схемі;
процесинг;
проведення розрахунків у платіжній схемі;
4) порядок виявлення та вирішення конфліктів інтересів у платіжній схемі;
5) механізми контролю, заходи щодо управління, моніторингу, мінімізації та усунення наслідків впливу ризиків, на які наражається у своїй діяльності та/або які спричиняє платіжна схема:
правового ризику;
фінансових ризиків (кредитного, ліквідності, загального комерційного, депозитарного та інвестиційного ризиків);
операційного ризику, уключаючи кіберризик;
розрахункового ризику;
інших ризиків, які оператор платіжної схеми має право визначати як такі, що притаманні платіжній схемі;
6) момент остаточності розрахунків у платіжній схемі;
7) вимоги до банку, що бере участь у проведенні розрахунків у платіжній схемі (крім Національного банку);
( Підпункт 7 пункту 117 розділу XV із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
8) відповідальність сторін та порядок дій, уключаючи здійснення розрахунків, використання ресурсів та покриття втрат, у разі невиконання зобов’язань надавачем платіжних послуг;
9) розподіл обов’язків, повноважень та відповідальності щодо управління операційним ризиком у платіжній схемі;
10) умови використання платіжної схеми надавачами платіжних послуг, що ґрунтуються на оцінці ризиків;
11) механізми для оцінки ефективності та результативності діяльності платіжної схеми.
118. Оператор платіжної схеми з метою ефективного управління ризиками зобов’язаний:
1) уживати заходів щодо мінімізації та усунення наслідків впливу ризиків, що виникають у платіжній схемі;
2) регулярно здійснювати кількісне вимірювання, моніторинг та управління ризиками, що виникають у платіжній схемі та можуть призвести до виникнення ризиків у діяльності суб’єктів платіжної схеми;
3) здійснювати виявлення та управління взаємозалежністю з іншими учасниками платіжного ринку;
4) розробити план дій на випадок виникнення надзвичайних подій та забезпечити його тестування не менше одного разу на рік.
119. Оператор платіжної схеми має право визнати суб’єкта платіжної схеми, як такого, від якого він критично залежить та встановити до нього додаткові вимоги щодо управління ризиками в платіжній схемі, про що повідомляє суб’єкта платіжної схеми протягом п’яти робочих днів із моменту такого визнання.
XVI. Оцінювання об’єктів оверсайту на відповідність вимогам законодавства України та міжнародним стандартам оверсайту
120. Національний банк має право здійснювати такі типи оцінювання:
( Абзац перший пункту 120 розділу XVI із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
1) оцінювання платіжної системи, що планує здійснювати діяльність в Україні (крім платіжної системи, створеної Національним банком);
2) комплексне оцінювання:
системно важливої платіжної системи та платіжної системи, створеної Національним банком (далі - комплексне оцінювання платіжної системи);
( Абзац другий підпункту 2 пункту 120 розділу XVI із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
платіжної схеми, оператором якої є важливий надавач платіжних послуг або важливий емітент електронних грошей (далі - комплексне оцінювання платіжної схеми);
3) оцінювання окремих аспектів діяльності:
системно важливої платіжної системи, важливої платіжної системи (далі - тематичне оцінювання платіжної системи);
( Абзац другий підпункту 3 пункту 120 розділу XVI із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
платіжної схеми, оператором якої є важливий надавач платіжних послуг або важливий емітент електронних грошей (далі - тематичне оцінювання платіжної схеми).
121. Національний банк розробляє інструкції для оцінювання платіжних систем/схем та їх самооцінювання з урахуванням міжнародних стандартів оверсайту.
122. Національний банк проводить оцінювання платіжної системи, що планує здійснювати діяльність в Україні, шляхом аналізу документів, що подаються до Національного банку відповідно до нормативно-правового акта Національного банку з питань реєстрації платіжних систем, учасників платіжних систем та технологічних операторів.
123. Національний банк здійснює комплексне оцінювання платіжної системи/схеми на підставі затвердженого Національним банком плану комплексного оцінювання (крім платіжних систем/схем, створених Національним банком). Комплексне оцінювання платіжної системи/схеми, створеної Національним банком, здійснюється на підставі окремого розпорядчого акта Національного банку.
( Абзац перший пункту 123 розділу XVI із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
План комплексного оцінювання складається на один рік і затверджується до 01 березня наступного року. Національний банк розміщує план комплексного оцінювання на сторінці офіційного Інтернет-представництва Національного банку.
( Абзац другий пункту 123 розділу XVI в редакції Постанови Національного банку № 16 від 11.02.2025 )
124. Національний банк здійснює комплексне оцінювання:
1) системно важливої платіжної системи не менше одного разу на два роки;
2) платіжної схеми не раніше ніж через 36 місяців із дня закінчення останнього оцінювання.
( Підпункт 2 пункту 124 розділу XVI із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
Строк проведення комплексного оцінювання платіжної системи/схеми не може перевищувати шести місяців і збігатися з терміном проведення виїзного моніторингу оператора платіжної системи/схеми. Національний банк має право за наявності обґрунтованих причин збільшити строк проведення оцінювання платіжної системи/схеми до одного року.
125. Національний банк здійснює комплексне оцінювання системно важливої платіжної системи не раніше ніж через дев’ять місяців із дня визначення платіжної системи системно важливою платіжною системою (крім комплексного оцінювання платіжних систем, створених Національним банком).
( Пункт 125 розділу XVI в редакції Постанови Національного банку № 16 від 11.02.2025 )
126. Національний банк здійснює комплексне оцінювання платіжної схеми не раніше ніж через шість місяців із дня визнання Національним банком надавача платіжних послуг або емітента електронних грошей важливими.
127. Національний банк повідомляє оператора платіжної системи/схеми про комплексне оцінювання не менше ніж за 30 календарних днів до його початку.
Повідомлення про комплексне оцінювання платіжної системи/схеми має містити таку інформацію:
1) дату початку та закінчення комплексного оцінювання;
2) період, що підлягає оцінюванню.
128. Оператор платіжної системи/схеми зобов’язаний здійснювати самооцінювання платіжної системи/схеми відповідно до інструкції, розробленої Національним банком (далі - Інструкція з оцінювання), та не пізніше ніж за п’ять робочих днів до початку комплексного оцінювання надіслати висновки до Національного банку за встановленою ним формою та документи, що підтверджують наведену в них інформацію.
129. Національний банк здійснює оцінювання (самооцінювання) створених ним платіжних систем/схем відповідно до порядку, визначеного в Інструкції з оцінювання.
130. Джерелом інформації під час здійснення Національним банком комплексного оцінювання платіжної системи/схеми є:
1) документи платіжної системи/оператора платіжної схеми;
2) план заходів із забезпечення безперервності діяльності платіжної системи;
3) результати моніторингу платіжної інфраструктури;
4) інформація за результатами виїзного моніторингу оператора платіжної системи/схеми;
( Підпункт 4 пункту 130 розділу XVI із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
5) інформація та документи, отримані від оператора платіжної системи/схеми на запит Національного банку;
6) інформація, що надходить від органів державної влади;
7) інформація, що надходить від користувачів платіжних послуг;
( Підпункт 7 пункту 130 розділу XVI із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
8) висновки зовнішніх аудиторів;
9) внутрішні звіти керівних органів об’єкта оверсайту, а також звіти за результатами внутрішнього аудиту;
10) протоколи за результатами двосторонніх та багатосторонніх переговорів Національного банку із суб’єктами платіжної системи/схеми;
11) висновки за результатами самооцінювання;
12) публічно доступна інформація про платіжну систему/оператора платіжної схеми.
131. Національний банк під час проведення комплексного/тематичного оцінювання має право проводити співбесіду (інтерв’ю) з працівниками оператора платіжної системи/оператора платіжної схеми з відповідним оформленням таких співбесід.
132. Комплексне оцінювання платіжної системи/схеми, оператором якої є Національний банк, здійснюється групою фахівців Національного банку, кількісний та особовий склад якої затверджується окремим розпорядчим актом Національного банку.
( Пункт 132 розділу XVI із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
133. За результатами комплексного оцінювання платіжної системи/схеми складається звіт з комплексного оцінювання, у якому зазначається:
1) найменування платіжної системи/схеми (за наявності);
2) повне найменування оператора платіжної системи/схеми;
3) дата визначення платіжної системи системно важливою платіжною системою, оператора платіжної схеми важливим;
( Підпункт 3 пункту 132 розділу XVI в редакції Постанови Національного банку № 16 від 11.02.2025 )
4) категорія важливості платіжної системи;
5) період діяльності, за який здійснено комплексне оцінювання і термін здійснення оцінювання (дати початку і закінчення);
6) перелік та повне найменування суб’єктів платіжної системи/схеми;
7) результати моніторингу діяльності платіжної системи/оператора платіжної схеми в динаміці за період діяльності, за який здійснюється комплексне оцінювання;
8) перелік матеріалів, що використовувалися під час оцінювання;
9) результати комплексного оцінювання відповідності платіжної системи/схеми законодавству України та міжнародним стандартам оверсайту;
10) факти неподання оператором платіжної системи/схеми інформації та/або документів, потрібних для здійснення комплексного оцінювання в установлені строки (якщо такі були);
11) висновки: перелік виявлених під час оцінювання порушень у діяльності оператора платіжної системи/схеми та недоліків (за наявності), вимоги щодо усунення таких порушень/недоліків, а також загальні рекомендації щодо вдосконалення діяльності платіжної системи/схеми.
134. Національний банк у звіті з комплексного оцінювання розкриває інформацію окремо за кожним положенням ключового принципу, визначеного в Інструкції з оцінювання.
Національний банк відображає у звіті інформацію з обґрунтуванням щодо:
1) незастосування окремого принципу та/або його положень до платіжної системи/схеми;
2) неможливості визначити відповідність окремому принципу у зв’язку з ненаданням потрібної інформації оператором платіжної системи/схеми.
135. Національний банк має право здійснювати тематичне оцінювання платіжної системи/схеми за наявності обґрунтованих підстав, якими є:
( Абзац перший пункту 135 розділу XVI із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
1) потреба здійснення контролю за усуненням оператором платіжної системи/схеми порушень, виявлених під час комплексного оцінювання;
2) унесення змін до документів платіжної системи/схеми;
3) порушення безперервності діяльності платіжної системи/схеми;
4) прийняття рішення про визнання платіжної системи системно важливою платіжною системою або важливою платіжною системою/оператора платіжної схеми важливим.
( Підпункт 4 пункту 135 розділу XVI із змінами, внесеними згідно з Постановою Національного банку № 16 від 11.02.2025 )
136. Національний банк готує звіт за результатами тематичного оцінювання платіжної системи/схеми, у якому зазначається така інформація:
1) найменування платіжної системи/схеми (за наявності);
2) повне найменування оператора платіжної системи/схеми;
3) період діяльності, за який здійснено тематичне оцінювання і термін здійснення тематичного оцінювання (дати початку і закінчення);
4) підстави для здійснення тематичного оцінювання;
5) результати тематичного оцінювання відповідності платіжної системи/платіжної схеми законодавству України та міжнародним стандартам оверсайту (за окремими напрямами);
6) факти неподання об’єктом оверсайту інформації та/або документів, потрібних для здійснення тематичного оцінювання в установлені строки (якщо такі були);
7) висновки: перелік виявлених під час тематичного оцінювання платіжної системи/схеми порушень та недоліків (за наявності), а також загальні рекомендації щодо усунення порушень і вдосконалення діяльності платіжної системи/схеми.
137. Національний банк не пізніше ніж через 15 календарних днів із дати завершення комплексного або тематичного оцінювання платіжної системи/схеми надсилає звіт за результатами тематичного/комплексного оцінювання оператору платіжної системи/схеми.
138. Оператор платіжної системи/схеми (крім Національного банку) має право впродовж семи календарних днів із дня отримання звіту за результатами тематичного/комплексного оцінювання надати Національному банку обґрунтовані заперечення фактів порушень, зазначених у звіті, що оформляються письмово, підписуються керівником об’єкта оверсайту або керівним органом об’єкта оверсайту та доповнюються документами, що підтверджують ці заперечення.
139. Оператор платіжної системи/схеми зобов’язаний протягом 30 календарних днів із дня отримання звіту за результатами комплексного/тематичного оцінювання розробити та надіслати до Національного банку план заходів, які він зобов’язується вжити для виконання рекомендацій та усунення порушень, виявлених Національним банком під час оцінювання (далі - План заходів із виконання рекомендацій). План заходів із виконання рекомендацій повинен затверджуватися керівником об’єкта оверсайту або керівним органом об’єкта оверсайту.
140. Національний банк повідомляє оператора платіжної системи/схеми про результати розгляду Плану заходів із виконання рекомендацій протягом 15 календарних днів.
141. Оператор платіжної системи/схеми після закінчення строку, визначеного Національним банком для виконання рекомендацій та усунення порушень, зобов’язаний подати до Національного банку звіт про виконання Плану заходів, затверджений керівником об’єкта оверсайту або керівним органом об’єкта оверсайту, та відповідні документи, що підтверджують виконання рекомендацій та усунення порушень, виявлених Національним банком під час оцінювання.
142. Національний банк здійснює контроль за виконанням оператором платіжної системи/схеми Плану заходів із виконання рекомендацій та має право надати до звіту про виконання Плану заходів із виконання рекомендацій зауваження, обов’язкові для врахування.
Національний банк здійснює аналіз виконання рекомендацій за результатом оцінювання платіжних систем/схем, оператором яких він є.
143. Національний банк визначає за результатами комплексного та тематичного оцінювання рівень відповідності платіжної системи/схеми кожному встановленому в Інструкції з оцінювання принципу та/або законодавству України за такими рівнями:
1) повністю відповідає;
2) у цілому відповідає;
3) частково відповідає;
4) не відповідає;
5) не застосовується.
144. Національний банк, дійшовши за результатами оцінювання висновку, що платіжна система/схема "у цілому відповідає", "частково відповідає" або "не відповідає" окремому принципу, визначеному в Інструкції з оцінювання, та/або законодавству України, надає у звіті рекомендації щодо вдосконалення діяльності платіжної системи/схеми та зазначає про потребу усунення порушень/недоліків (у разі їх наявності).
145. Національний банк оприлюднює інформацію про результати комплексного та тематичного оцінювання платіжної системи/схеми на сторінках офіційного Інтернет-представництва Національного банку.
Національний банк за результатами оцінювання системно важливої платіжної системи оприлюднює на сторінках офіційного Інтернет-представництва Національного банку звіт про відповідність платіжної системи міжнародним стандартам оверсайту.
Додаток
до Положення про порядок
здійснення оверсайту платіжної
інфраструктури в Україні
(у редакції постанови Правління
Національного банку України
від 11 лютого 2025 року № 16
)
(пункт 54 розділу IV)
Організаційні та технічні заходи
для забезпечення безперервності діяльності
1. Створення детальної схеми комплексу програмно-апаратних засобів з описом українською мовою функціонального призначення і взаємозв’язку його компонентів та затвердження її керівником/керівним органом об’єкта оверсайту.
2. Визначення переліку критично важливих компонентів комплексу програмно-апаратних засобів і даних, потрібних для надання критичних послуг, запровадження політики їх резервування та відновлення, визначення порядку проведення регламентних робіт.
3. Забезпечення роботи критично важливих компонентів комплексу програмно-апаратних засобів джерелами безперебійного електроживлення.
4. Здійснення резервного копіювання баз даних та інших даних, потрібних для надання критичних послуг.
5. Забезпечення моніторингу всіх компонентів комплексу програмно-апаратних засобів, реєстрації та аналізу інцидентів, пов’язаних із порушенням безперервності діяльності.
6. Забезпечення дотримання вимог законодавства України у сфері інтелектуальної власності під час використання програмного забезпечення на всіх компонентах комплексу програмно-апаратних засобів.
7. Підтримання в актуальному стані резервування інформаційної інфраструктури, каналів зв’язку та необхідних даних, що забезпечують функціонування критичних операцій/послуг, і здійснення їх оперативного переключення зі штатного режиму діяльності на резервний режим діяльності та забезпечення створення, зберігання й можливості оперативного відновлення з резервних копій даних відповідних інформаційних систем. У разі використання хмарних послуг таке резервування та відновлення може забезпечуватися надавачем хмарних послуг відповідно до умов договору, укладеного з об’єктом оверсайту, та відповідно до вимог законодавства України.
8. Забезпечення безперервної роботи інформаційної інфраструктури, інформаційних та електронних комунікаційних систем, що забезпечують функціонування критичних операцій/послуг, шляхом використання в центрах обробки даних та в приміщеннях, у яких працюють служби підтримки (контактні центри), резервних джерел електроживлення, дизельних електростанцій та наявності ресурсів/палива для їх роботи не менше ніж сім діб із постійним поповненням запасів з надійних джерел.
Здійснення належного технічного обслуговування резервних джерел електроживлення, а в разі несправності таких засобів невідкладного (упродовж однієї доби) вжиття заходів для відновлення їх роботи шляхом організації кваліфікованого ремонту або заміни.
9. Забезпечення роботи систем і каналів зв’язку з урахуванням вірогідного тимчасового обмеження надання електронних комунікаційних послуг та постачання електроенергії строком не менше ніж сім діб.
10. Аналіз можливих загроз безперервному функціонуванню комплексу програмно-апаратних засобів, забезпечення мінімізації їх впливу та планування дій в разі їх реалізації.
11. Розроблення інструкцій щодо дій обслуговуючого персоналу для попередження та/або усунення порушень роботи комплексу програмно-апаратних засобів у разі виникнення надзвичайної події та відновлення функціонування комплексу програмно-апаратних засобів, їх аналіз та перегляд не менше одного разу на рік.
12. Забезпечення наявності інструкцій із супроводження та експлуатації комплексу програмно-апаратних засобів.
13. Навчання обслуговуючого персоналу супроводженню та експлуатації комплексу програмно-апаратних засобів і діям для відновлення його функціонування.
14. Визначення порядку внесення змін до програмного забезпечення та конфігурації всіх компонентів комплексу програмно-апаратних засобів.
15. Забезпечення обслуговування і технічної підтримки [надання консультацій (включаючи проблеми, що виникли під час експлуатації), ремонт та заміна непрацюючого обладнання, установлення оновлень/нових версій і виправлення помилок програмного забезпечення] усіх компонентів комплексу програмно-апаратних засобів.
16. Забезпечення взаємодії та комунікації в разі виникнення надзвичайної події з користувачами платіжних послуг та заінтересованими особами.
17. Виконання завдань та обов’язків операторів критичної інфраструктури, передбачених Законом України "Про критичну інфраструктуру" (для об’єктів оверсайта, які є операторами критичної інфраструктури).
( Додаток в редакції Постанови Національного банку № 16 від 11.02.2025 )