УТВЕРЖДЕНЫ
Постановлением правления ЦБ
от 02.01.2008 г. N 1/4,
зарегистрированным МЮ
13.02.2008 г. N 1767
ПРАВИЛА
организации платежных систем, использующих сети
телекоммуникаций общего пользования
Преамбула
I. Общие положения
II. Правила обеспечения информационной безопасности
в информационных системах платежных систем
III. Требования к составу реквизитов при обмене
финансовыми данными между субъектами платежных систем
IV. Заключительные положения
Настоящие Правила в соответствии с законами Республики Узбекистан "Об электронных платежах", "Об электронном документообороте", постановлением Кабинета Министров Республики Узбекистан от 12 июня 2007 года N 120 "О мерах по дальнейшему совершенствованию проведения платежей при осуществлении электронной коммерции" определяют базовые требования к организации платежных систем, механизмов обеспечения информационной безопасности в информационных системах при доступе через сети телекоммуникаций общего пользования, в том числе через Интернет, а также состав реквизитов при обмене финансовыми данными между субъектами платежных систем.
I. ОБЩИЕ ПОЛОЖЕНИЯ
1. В настоящих Правилах используются следующие понятия и определения:
платежная организация - юридическое лицо, обладающее правом собственности на товарные знаки и (или) знаки обслуживания, идентифицирующие платежную систему, и устанавливающее ее правила;
пользователь платежной системы - юридическое или физическое лицо, пользующееся услугами платежной системы при осуществлении электронных платежей;
член платежной системы - юридическое лицо, оказывающее пользователям данной платежной системы услуги по осуществлению электронных платежей на основе договора с платежной организацией;
средства криптографической защиты информации - аппаратные, программные или аппаратно-программные средства, осуществляющие криптографические преобразования информации для обеспечения ее безопасности, в том числе:
а) средства шифрования - аппаратные, программные и аппаратно-программные средства, реализующие криптографические алгоритмы преобразования информации и предназначенные для защиты информации от несанкционированного доступа при ее обработке, хранении и передаче по каналам связи;
б) средства имитозащиты - аппаратные, программные и аппаратно-программные средства, реализующие криптографические алгоритмы преобразования информации и предназначенные для защиты от навязывания ложной информации;
в) средства электронной цифровой подписи - совокупность технических и программных средств, обеспечивающих создание электронной цифровой подписи в электронном документе, подтверждение подлинности электронной цифровой подписи, создание открытых и закрытых ключей электронной цифровой подписи;
г) средства кодирования - средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций;
д) средства изготовления ключевых документов и сами ключевые документы (независимо от вида носителя ключевой информации).
2. Платежная организация, создающая платежную систему, должна разработать и утвердить правила платежной системы, указанные в статье 5 Закона Республики Узбекистан "Об электронных платежах".
3. Организация внутрибанковских платежных систем осуществляется на основе лицензии, представляемой Центральным банком в соответствии с Положением о порядке регистрации и лицензирования банков (рег. N 630 от 11 февраля 1999 г.).
Иные платежные организации-резиденты, создающие системы розничных платежей, должны быть зарегистрированы в соответствии с законодательством.
4. Платежная организация обязана вести перечень членов системы розничных платежей, с которыми у нее заключены договоры, с присвоением каждому из них порядкового номера с указанием всех точек обслуживания (с адресами), номера заключенного договора и даты договора.
II. ПРАВИЛА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
ПЛАТЕЖНЫХ СИСТЕМ
5. Правила обеспечения информационной безопасности в автоматизированных банковских системах, в том числе по организации серверных помещений в банках определяются в соответствии с Инструкцией "Об организации защиты электронной информации в банках Республики Узбекистан" (рег. N 1047 от 9 июля 2001 г.) и другими нормативно-правовыми актами Центрального банка.
6. Для предотвращения несанкционированного доступа и утечки коммерческой информации устанавливаются следующие требования к серверным помещениям платежных организаций, не являющихся банками:
1) капитальные стены, надежные перекрытия и решетки;
2) прочные двери, оборудованные специальными кодовыми или другими надежными замками;
3) средства защиты против внешнего наблюдения;
4) наличие охранно-пожарной сигнализации, при необходимости охранная сигнализация подключается к пульту отдела охраны органов внутренних дел.
7. Для защиты серверов платежной системы от внешних воздействий устанавливаются межсетевые экраны (Firewall). В банках устанавливаются отдельные сервера приложений для работы в системах активного дистанционного управления банковскими счетами и подключения иных платежных систем.
8. Аутентификация пользователей платежной системы при допуске к платежной системе осуществляется с помощью:
1) логина и пароля (числовая и символьная комбинация из не менее 8 знаков);
2) номера и пин-кода (обычно символьная комбинация из 14 знаков) банковской карты;
3) логина и пароля в сочетании с одноразовыми переменными кодами.
Система при трех неудачных попытках аутентификации должна блокироваться. Допускается усовершенствование способов аутентификации пользователей платежных систем с использованием аппаратно-программных средств.
Аутентификация членов платежной системы при подключении к платежной системе, а также иных платежных систем к автоматизированной банковской системе внутрибанковской платежной системы осуществляется обязательно с помощью аппаратно-программных средств и определением IP-адреса.
9. Подтверждение подлинности операций должно осуществляться с помощью подписания электронных платежных документов электронной цифровой подписью и/или с использованием одноразовых переменных кодов. При использовании отдельно одноразовых переменных кодов рекомендуется установить лимиты на суммы операций.
10. При обмене электронной информацией между пользователями и участниками платежных систем, а также в системах активного дистанционного управления банковскими счетами доступ осуществляется по SSL-протоколу, между участниками платежных систем используются защищенные шифрованные каналы связи (VPN). Для обеспечения конфиденциальности информации могут применяться дополнительные сертифицированные средства криптографической защиты информации.
11. Информация, передаваемая и принимаемая серверами платежной системы должна проверяться на наличие вирусов лицензионной антивирусной программой с последними обновлениями антивирусной базы.
12. Рекомендуется оповещать пользователей платежной системы о входе в систему и совершенных операциях путем отправки сообщений на сотовый телефон, электронную почту или другие средства оповещения пользователя.
III. ТРЕБОВАНИЯ К СОСТАВУ РЕКВИЗИТОВ
ПРИ ОБМЕНЕ ФИНАНСОВЫМИ ДАННЫМИ МЕЖДУ
СУБЪЕКТАМИ ПЛАТЕЖНЫХ СИСТЕМ
13. Требования к составу реквизитов банковских электронных платежных документов, используемых в межбанковской и внутрибанковских платежных системах и формируемых в системах активного дистанционного обслуживания банковскими счетами, определяются в соответствии с Положением "О порядке осуществления электронных платежей через межбанковскую платежную систему Центрального банка" (рег. N 1545 от 14 февраля 2006 г.).
14. Для клиринговых операций в системах розничных платежей, при которых через банковские платежные системы осуществляется один электронный платеж единой суммой по нескольким операциям, а также по типовым операциям в системах активного дистанционного обслуживания банковскими счетами в пользу провайдеров и операторов телекоммуникаций или предприятий коммунального обслуживания (услуги электричества и телекоммуникаций, эксплуатационные и коммунальные услуги) допускается использовать иные формы электронных платежных документов. При этом плательщик и получатель денежных средств - пользователи платежной системы, а в случае переводов средств с/на банковские счета, и их банковские реквизиты должны быть однозначно идентифицированы. Данные требования к структуре и составу реквизитов электронного платежного документа согласуется с получателями денежных средств и устанавливаются в правилах платежной системы.
15. Электронные платежи предусматривают обязательное составление документов, достоверно и полноценно описывающих детали электронного платежа:
на бумажном носителе (слип, квитанция электронного терминала) при приеме наличных денежных средств членами платежной системы;
в электронной форме (документ из электронного журнала терминала или банкомата, электронная квитанция или выписка из лицевого счета) при проведении электронных платежных документов;
иных документов, предусмотренных правилами платежной системы.
Указанные документы должны содержать всю необходимую информацию для ручного восстановления проведенных операций, в том числе наименование товара/услуги, за которое осуществляется электронный платеж, и предоставляться субъектам платежных систем.
IV. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
16. Настоящие Правила согласованы с Узбекским агентством связи и информатизации и Службой национальной безопасности Республики Узбекистан.
"Собрание законодательства Республики Узбекистан",
2008 г., N 6-7, ст. 33
Правила организации платежных систем, использующих сети телекоммуникаций общего пользования