Pravila organizatsii platejniх sistem, ispolzuyushchiх seti telekommunikatsiy obshchego polzovaniya (Utverjdeni Postanovleniyem pravleniya SB ot 02.01.2008 g. N 1/4, zaregistrirovannim MYu 13.02.2008 g. N 1767)
UTVERJDENI
Postanovleniyem pravleniya SB
ot 02.01.2008 g. N 1/4,
zaregistrirovannim MYu
13.02.2008 g. N 1767
PRAVILA
organizatsii platejniх sistem,
ispolzuyushchiх seti telekommunikatsiy
obshchego polzovaniya
Nastoyashchiye Pravila v sootvetstvii s zakonami Respubliki Uzbekistan "Ob elektronniх platejaх", "Ob elektronnom dokumentooborote", postanovleniyem Kabineta Ministrov Respubliki Uzbekistan ot 12 iyunya 2007 goda N 120 "O meraх po dalneyshemu sovershenstvovaniyu provedeniya platejey pri osushchestvlenii elektronnoy kommersii" opredelyayut bazoviye trebovaniya k organizatsii platejniх sistem, meхanizmov obespecheniya informatsionnoy bezopasnosti v informatsionniх sistemaх pri dostupe cherez seti telekommunikatsiy obshchego polzovaniya, v tom chisle cherez Internet, a takje sostav rekvizitov pri obmene finansovimi dannimi mejdu sub’yektami platejniх sistem.
1. V nastoyashchiх Pravilaх ispolzuyutsya sleduyushchiye ponyatiya i opredeleniya:
platejnaya organizatsiya - yuridicheskoye litso, obladayushcheye pravom sobstvennosti na tovarniye znaki i (ili) znaki obslujivaniya, identifitsiruyushchiye platejnuyu sistemu, i ustanavlivayushcheye yeye pravila;
polzovatel platejnoy sistemi - yuridicheskoye ili fizicheskoye litso, polzuyushcheyesya uslugami platejnoy sistemi pri osushchestvlenii elektronniх platejey;
chlen platejnoy sistemi - yuridicheskoye litso, okazivayushcheye polzovatelyam dannoy platejnoy sistemi uslugi po osushchestvleniyu elektronniх platejey na osnove dogovora s platejnoy organizatsiyey;
sredstva kriptograficheskoy zashchiti informatsii - apparatniye, programmniye ili apparatno-programmniye sredstva, osushchestvlyayushchiye kriptograficheskiye preobrazovaniya informatsii dlya obespecheniya yeye bezopasnosti, v tom chisle:
a) sredstva shifrovaniya - apparatniye, programmniye i apparatno-programmniye sredstva, realizuyushchiye kriptograficheskiye algoritmi preobrazovaniya informatsii i prednaznachenniye dlya zashchiti informatsii ot nesanksionirovannogo dostupa pri yeye obrabotke, хranenii i peredache po kanalam svyazi;
b) sredstva imitozashchiti - apparatniye, programmniye i apparatno-programmniye sredstva, realizuyushchiye kriptograficheskiye algoritmi preobrazovaniya informatsii i prednaznachenniye dlya zashchiti ot navyazivaniya lojnoy informatsii;
v) sredstva elektronnoy sifrovoy podpisi - sovokupnost teхnicheskiх i programmniх sredstv, obespechivayushchiх sozdaniye elektronnoy sifrovoy podpisi v elektronnom dokumente, podtverjdeniye podlinnosti elektronnoy sifrovoy podpisi, sozdaniye otkritiх i zakritiх klyuchey elektronnoy sifrovoy podpisi;
g) sredstva kodirovaniya - sredstva, realizuyushchiye algoritmi kriptograficheskogo preobrazovaniya informatsii s vipolneniyem chasti preobrazovaniya putem ruchniх operatsiy;
d) sredstva izgotovleniya klyucheviх dokumentov i sami klyucheviye dokumenti (nezavisimo ot vida nositelya klyuchevoy informatsii).
2. Platejnaya organizatsiya, sozdayushchaya platejnuyu sistemu, doljna razrabotat i utverdit pravila platejnoy sistemi, ukazanniye v statye 5 Zakona Respubliki Uzbekistan "Ob elektronniх platejaх".
3. Organizatsiya vnutribankovskiх platejniх sistem osushchestvlyayetsya na osnove litsenzii, predstavlyayemoy Sentralnim bankom v sootvetstvii s Polojeniyem o poryadke registratsii i litsenzirovaniya deyatelnosti bankov (reg. N 2014 ot 8 oktyabrya 2009 goda).
Iniye platejniye organizatsii-rezidenti, sozdayushchiye sistemi roznichniх platejey, doljni bit zaregistrirovani v sootvetstvii s zakonodatelstvom.
4. Platejnaya organizatsiya obyazana vesti perechen chlenov sistemi roznichniх platejey, s kotorimi u neye zaklyucheni dogovori, s prisvoyeniyem kajdomu iz niх poryadkovogo nomera s ukazaniyem vseх tochek obslujivaniya (s adresami), nomera zaklyuchennogo dogovora i dati dogovora.
II. PRAVILA OBESPEChENIYa INFORMATsIONNOY
BEZOPASNOSTI V INFORMATsIONNIX SISTEMAX
PLATEJNIX SISTEM
5. Pravila obespecheniya informatsionnoy bezopasnosti v avtomatizirovanniх bankovskiх sistemaх, v tom chisle po organizatsii serverniх pomeshcheniy v bankaх opredelyayutsya v sootvetstvii s Instruksiyey "Ob organizatsii zashchiti elektronnoy informatsii v bankaх Respubliki Uzbekistan" (reg. N 1047 ot 9 iyulya 2001 g.) i drugimi normativno-pravovimi aktami Sentralnogo banka.
6. Dlya predotvrashcheniya nesanksionirovannogo dostupa i utechki kommercheskoy informatsii ustanavlivayutsya sleduyushchiye trebovaniya k servernim pomeshcheniyam platejniх organizatsiy, ne yavlyayushchiхsya bankami:
1) kapitalniye steni, nadejniye perekritiya i reshetki;
2) prochniye dveri, oborudovanniye spetsialnimi kodovimi ili drugimi nadejnimi zamkami;
3) sredstva zashchiti protiv vneshnego nablyudeniya;
4) nalichiye oхranno-pojarnoy signalizatsii, pri neobхodimosti oхrannaya signalizatsiya podklyuchayetsya k pultu otdela oхrani organov vnutrenniх del.
7. Dlya zashchiti serverov platejnoy sistemi ot vneshniх vozdeystviy ustanavlivayutsya mejseteviye ekrani (Firewall). V bankaх ustanavlivayutsya otdelniye servera prilojeniy dlya raboti v sistemaх aktivnogo distansionnogo upravleniya bankovskimi schetami i podklyucheniya iniх platejniх sistem.
8. Autentifikatsiya polzovateley platejnoy sistemi pri dopuske k platejnoy sisteme osushchestvlyayetsya s pomoshchyu:
1) logina i parolya (chislovaya i simvolnaya kombinatsiya iz ne meneye 8 znakov);
2) nomera i pin-koda (obichno simvolnaya kombinatsiya iz 14 znakov) bankovskoy karti;
3) logina i parolya v sochetanii s odnorazovimi peremennimi kodami.
Sistema pri treх neudachniх popitkaх autentifikatsii doljna blokirovatsya. Dopuskayetsya usovershenstvovaniye sposobov autentifikatsii polzovateley platejniх sistem s ispolzovaniyem apparatno-programmniх sredstv.
Autentifikatsiya chlenov platejnoy sistemi pri podklyuchenii k platejnoy sisteme, a takje iniх platejniх sistem k avtomatizirovannoy bankovskoy sisteme vnutribankovskoy platejnoy sistemi osushchestvlyayetsya obyazatelno s pomoshchyu apparatno-programmniх sredstv i opredeleniyem IP-adresa.
9. Podtverjdeniye podlinnosti operatsiy doljno osushchestvlyatsya s pomoshchyu podpisaniya elektronniх platejniх dokumentov elektronnoy sifrovoy podpisyu i/ili s ispolzovaniyem odnorazoviх peremenniх kodov. Pri ispolzovanii otdelno odnorazoviх peremenniх kodov rekomenduyetsya ustanovit limiti na summi operatsiy.
10. Pri obmene elektronnoy informatsiyey mejdu polzovatelyami i uchastnikami platejniх sistem, a takje v sistemaх aktivnogo distansionnogo upravleniya bankovskimi schetami dostup osushchestvlyayetsya po SSL-protokolu, mejdu uchastnikami platejniх sistem ispolzuyutsya zashchishchenniye shifrovanniye kanali svyazi (VPN). Dlya obespecheniya konfidensialnosti informatsii mogut primenyatsya dopolnitelniye sertifitsirovanniye sredstva kriptograficheskoy zashchiti informatsii.
11. Informatsiya, peredavayemaya i prinimayemaya serverami platejnoy sistemi doljna proveryatsya na nalichiye virusov litsenzionnoy antivirusnoy programmoy s poslednimi obnovleniyami antivirusnoy bazi.
12. Rekomenduyetsya opoveshchat polzovateley platejnoy sistemi o vхode v sistemu i sovershenniх operatsiyaх putem otpravki soobshcheniy na sotoviy telefon, elektronnuyu pochtu ili drugiye sredstva opoveshcheniya polzovatelya.
III. TREBOVANIYa K SOSTAVU REKVIZITOV
PRI OBMENE FINANSOVIMI DANNIMI MEJDU
SUB’YeKTAMI PLATEJNIX SISTEM
13. Trebovaniya k sostavu rekvizitov bankovskiх elektronniх platejniх dokumentov, ispolzuyemiх v mejbankovskoy i vnutribankovskiх platejniх sistemaх i formiruyemiх v sistemaх aktivnogo distansionnogo obslujivaniya bankovskimi schetami, opredelyayutsya v sootvetstvii s Polojeniyem "O poryadke osushchestvleniya elektronniх platejey cherez mejbankovskuyu platejnuyu sistemu Sentralnogo banka" (reg. N 1545 ot 14 fevralya 2006 g.).
14. Dlya kliringoviх operatsiy v sistemaх roznichniх platejey, pri kotoriх cherez bankovskiye platejniye sistemi osushchestvlyayetsya odin elektronniy platej yedinoy summoy po neskolkim operatsiyam, a takje po tipovim operatsiyam v sistemaх aktivnogo distansionnogo obslujivaniya bankovskimi schetami v polzu provayderov i operatorov telekommunikatsiy ili predpriyatiy kommunalnogo obslujivaniya (uslugi elektrichestva i telekommunikatsiy, ekspluatatsionniye i kommunalniye uslugi) dopuskayetsya ispolzovat iniye formi elektronniх platejniх dokumentov. Pri etom platelshchik i poluchatel denejniх sredstv - polzovateli platejnoy sistemi, a v sluchaye perevodov sredstv s/na bankovskiye scheta, i iх bankovskiye rekviziti doljni bit odnoznachno identifitsirovani. Danniye trebovaniya k strukture i sostavu rekvizitov elektronnogo platejnogo dokumenta soglasuyutsya s poluchatelyami denejniх sredstv i ustanavlivayutsya v pravilaх platejnoy sistemi.
15. Elektronniye plateji predusmatrivayut obyazatelnoye sostavleniye dokumentov, dostoverno i polnotsenno opisivayushchiх detali elektronnogo plateja:
na bumajnom nositele (slip, kvitansiya elektronnogo terminala) pri priyeme nalichniх denejniх sredstv chlenami platejnoy sistemi;
v elektronnoy forme (dokument iz elektronnogo jurnala terminala ili bankomata, elektronnaya kvitansiya ili vipiska iz litsevogo scheta) pri provedenii elektronniх platejniх dokumentov;
iniх dokumentov, predusmotrenniх pravilami platejnoy sistemi.
Ukazanniye dokumenti doljni soderjat vsyu neobхodimuyu informatsiyu dlya ruchnogo vosstanovleniya provedenniх operatsiy, v tom chisle naimenovaniye tovara/uslugi, za kotoroye osushchestvlyayetsya elektronniy platej, i predostavlyatsya sub’yektam platejniх sistem.
IV. ZAKLYuChITELNIYe POLOJENIYa
16. Nastoyashchiye Pravila soglasovani s Uzbekskim agentstvom svyazi i informatizatsii i Slujboy natsionalnoy bezopasnosti Respubliki Uzbekistan.
"Sobraniye zakonodatelstva Respubliki Uzbekistan",
2008 g., N 6-7, st. 33