2016 жылғы 31 тамыз, Алматы қаласы
Төлем жүйелеріне қолжетімділікті қамтамасыз ететін ұйымдастыру шараларына және бағдарламалық-техникалық құралдарға қойылатын талаптарды бекіту туралы
«Қазақстан Республикасының Ұлттық Банкі туралы» 1995 жылғы 30 наурыздағы, «Төлемдер және төлем жүйелері туралы» 2016 жылғы 26 шілдедегі Қазақстан Республикасының заңдарына сәйкес, төлем жүйелеріне қолжетімділікті қамтамасыз ететін ұйымдастыру шараларына және бағдарламалық-техникалық құралдарға қойылатын талаптарды белгілеу мақсатында Қазақстан Республикасы Ұлттық Банкінің Басқармасы қаулы етеді:
1. Қоса беріліп отырған Төлем жүйелеріне қолжетімділікті қамтамасыз ететін ұйымдастыру шараларына және бағдарламалық-техникалық құралдарға қойылатын талаптар (бұдан әрі – Талаптар) бекітілсін.
2. Мыналардың күші жойылды деп танылсын:
1) «Төлем жүйелеріне қолжетімділікті қамтамасыз ететін ұйымдастыру шараларына және бағдарламалық-техникалық құралдарға қойылатын талаптарды бекіту туралы» Қазақстан Республикасы Ұлттық Банкі Басқармасының 2012 жылғы 24 тамыздағы № 269 қаулысы (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 7950 тіркелген, 2012 жылғы 8 желтоқсанда «Егемен Қазақстан» газетінде № 809-814 (27885) жарияланған);
2) «Банктердің және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың төлем жүйелеріне кіруін қамтамасыз ететін ұйымдастыру шараларына және бағдарламалық-техникалық құралдарға қойылатын талаптарын бекіту туралы» Қазақстан Республикасы Ұлттық Банкі Басқармасының 2012 жылғы 24 тамыздағы № 269 қаулысына өзгерістер мен толықтырулар енгізу туралы» Қазақстан Республикасы Ұлттық Банкі Басқармасының 2016 жылғы 28 қаңтардағы № 35 қаулысы (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 13187 тіркелген, 2016 жылғы 14 наурызда Қазақстан Республикасы нормативтік құқықтық актілерінің «Әділет» ақпараттық-құқықтық жүйесінде жарияланған).
3. Төлем жүйелері департаменті (Ашықбеков Е.Т.) Қазақстан Республикасының заңнамасында белгіленген тәртіппен:
1) Заң департаментімен (Сәрсенова Н.В.) бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;
2) осы қаулыны «Қазақстан Республикасы Әділет министрлігінің Республикалық құқықтық ақпарат орталығы» шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорнына;
Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелгенінен кейін күнтізбелік он күн ішінде «Әділет» ақпараттық-құқықтық жүйесінде ресми жариялауға;
Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелген күннен бастап күнтізбелік он күн ішінде Қазақстан Республикасы нормативтік құқықтық актілерінің мемлекеттік тізіліміне, Қазақстан Республикасы нормативтік құқықтық актілерінің эталондық бақылау банкіне енгізуге жіберуді;
3) осы қаулы ресми жарияланғаннан кейін оны Қазақстан Республикасы Ұлттық Банкінің ресми интернет-ресурсына орналастыруды қамтамасыз етсін.
4. Қаржылық қызметтерді тұтынушылардың құқықтарын қорғау және сыртқы коммуникациялар басқармасы (Терентьев А.Л.) осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелгеннен кейін күнтізбелік он күн ішінде мерзімді баспасөз басылымдарына ресми жариялауға жіберуді қамтамасыз етсін.
5. Осы қаулының орындалуын бақылау Қазақстан Республикасының Ұлттық Банкі Төрағасының орынбасары Ғ.О. Пірматовқа жүктелсін.
6. Осы қаулы Талаптардың 2017 жылғы 1 қаңтардан бастап қолданысқа енгізілетін 58, 59, 60, 61, 62, 63 және 64-тармақтарын қоспағанда, алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.
Ұлттық Банк Төрағасы Д. АҚЫШЕВ
Қазақстан Республикасы Ұлттық Банкі Басқармасының
2016 жылғы 31 тамыздағы № 200 қаулысымен бекітілген
Төлем жүйелеріне қолжетімділікті қамтамасыз ететін ұйымдастыру шараларына және
бағдарламалық-техникалық құралдарға қойылатын талаптар
1-тарау. Жалпы ережелер
1. Төлем жүйелеріне қолжетімділікті қамтамасыз ететін ұйымдастыру шараларына және бағдарламалық-техникалық құралдарға қойылатын талаптар (бұдан әрі – Талаптар) «Қазақстан Республикасының Ұлттық Банкі туралы» 1995 жылғы 30 наурыздағы (бұдан әрі – Ұлттық Банк туралы заң), «Төлемдер және төлем жүйелері туралы» 2016 жылғы 26 шілдедегі
(бұдан әрі – Төлемдер және төлем жүйелері туралы заң) Қазақстан Республикасының заңдарына сәйкес әзірленді және операторы Ұлттық Банк болып табылатын төлем жүйелеріне (бұдан әрі – төлем жүйесі) қолжетімділікті қамтамасыз ететін ұйымдастыру шараларына және бағдарламалық-техникалық құралдарға қойылатын талаптарды айқындайды.
Талап төлем жүйесін пайдаланушының жұмыс орнын орналастырудан, төлем жүйесін пайдаланушының және «Қазақстан Республикасы Ұлттық Банкінің Қазақстан банкаралық есеп айырысу орталығы» шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорынның (бұдан әрі – Орталық) өзара іс қимылынан, төлем жүйесінің терминалынан, негізгі ақпараттан, төлем жүйесін пайдаланушының жұмыс орнына қойылатын талаптардан, қызмет көрсететін қызметкердің жұмысын ұйымдастырудан, операциялық тәуекелді басқаруға және төлем жүйесін пайдаланушы қызметінің үздіксіздігін қамтамасыз етуге қойылатын талаптардан тұрады.
2. Талаптар төлем жүйесінің барлық пайдаланушыларына қолданылады.
3. Талаптарда Төлемдер және төлем жүйелері туралы заңда көзделген ұғымдар және мынадай ұғымдар пайдаланылады:
1) аутентификация - төлем және ақпараттық хабарлармен алмасу кезінде жүйені пайдаланушылардың қатысу түпнұсқалылығын растауға, сондай-ақ төлем және ақпараттық хабарлардың түпнұсқалылығын растауға арналған шаралар кешені;
2) куәландыратын орталық – электрондық цифрлық қолтаңбаның ашық кілтінің электрондық цифрлық қолтаңбаның жабық кілтіне сәйкестігін куәландыратын, сондай-ақ тіркеу куәлігінің дұрыстығын растайтын заңды тұлға;
3) кіруді бақылау құралдары - техникалық, бағдарламалық немесе объектілерге кіру туралы ақпаратты тіркеуге мүмкіндік беретін басқа құралдар;
4) негізгі ақпарат – криптографиялық кілттер (ашық және жабық) немесе ақпаратты криптографиялық қайта өзгертуді жүзеге асыруға мүмкіндік беретін басқа ақпарат;
5) операциялық тәуекел – ақпараттық жүйелердің жұмысындағы немесе ішкі процестердегі бұзушылықтармен, қателермен, төлем жүйесін басқарудағы іркілістермен немесе бұзушылықтармен байланысты, оның ішінде сыртқы оқиғалардың салдарынан болған тәуекел;
6) рұқсатсыз кіру – Қазақстан Республикасының заңнамасын, сондай-ақ оған кірудің төлем жүйесін пайдаланушы белгілеген тәртібін бұза отырып ақпараттық және бағдарламалық ресурстарға кіру;
7) рұқсатсыз кіруден қорғайтын бағдарламалық-аппараттық кешен – дербес компьютерді бөтен адамдардың пайдалануынан, сондай-ақ тіркелген пайдаланушылардың ақпараттық және бағдарламалық ресурстарға кіру бойынша өкілеттіктерін шектеуге арналған қорғау жүйесі;
8) стандартты емес жағдай – операциялық тәуекелді іске асыру салдарынан төлем жүйесін пайдаланушының бағдарламалық-техникалық кешенінің жұмысындағы іркілістер (бұзушылықтар);
9) төлем жүйесін пайдаланушы – Орталықпен төлем жүйесінде қызмет көрсету туралы шарт жасаған заңды тұлғалар және басқа төлем жүйелерінің операторы (операциялық орталығы);
10) төлем жүйесін пайдаланушының ақпараттық жүйесі – төлем жүйесін пайдаланушы төлем жүйесінің терминалы арқылы одан әрі төлем жүйесіне жіберуге арналған электрондық құжаттарды қалыптастыру немесе түрлендіру үшін пайдаланатын бағдарламалық қамтамасыз ету;
11) төлем жүйесін пайдаланушының бағдарламалық-техникалық кешені – төлем жүйесін пайдаланушының төлем жүйесінде жұмыс істеуін қамтамасыз ететін, төлем жүйесін пайдаланушының ақпараттық жүйесін, жұмыс орнын, төлем жүйесімен коммуникация (деректер беру) құралдарын қамтитын техникалық, бағдарламалық немесе басқа құралдар;
12) төлем жүйесін пайдаланушының бағдарламалық-техникалық кешенінің негізгі орталығы (бұдан әрі – негізгі орталық) – төлем жүйесін пайдаланушының төлем жүйесінде әдеттегі (күнделікті) режімде жұмыс істеуін қамтамасыз ететін төлем жүйесін пайдаланушының бағдарламалық-техникалық кешені;
13) төлем жүйесін пайдаланушының бағдарламалық-техникалық кешенінің резервтік орталығы (бұдан әрі – резервтік орталық) – төлем жүйесін пайдаланушының стандартты емес жағдайлар туындаған немесе негізгі орталықта жоспарлы тест жұмыстары жүргізілген кезде төлем жүйесін пайдаланушының төлем жүйесінде жұмыс істеуін қамтамасыз ететін резервтік бағдарламалық-техникалық кешені;
14) төлем жүйесін пайдаланушының жұмыс орны – төлем жүйесіне қолжетілімділікті қамтамасыз ететін төлем жүйесінің терминалы орнатылған дербес компьютер (сервер);
15) төлем жүйесін пайдаланушының жұмыс орнын басқарушы – төлем жүйесінің терминалын басқаруды тікелей жүзеге асыратын адам;
16) төлем жүйесін пайдаланушының жұмыс орнының қауіпсіздік офицері – төлем жүйесін пайдаланушының жұмыс орнында ақпаратты рұқсатсыз кіруден қорғайтын бағдарламалық-аппараттық кешенді, ақпаратты электромагнитті арналар бойынша жария болудан қорғайтын құралдарды орнатуды және оның жұмыс істеуін қамтамасыз ететін, сондай-ақ олардың жұмыс қабілеттілігін және қауіпсіздік талаптарының орындалуының мониторингін жүзеге асыратын адам;
17) төлем жүйесін пайдаланушының жұмыс орнының операторы – төлем жүйесін пайдаланушының негізгі ақпаратын пайдалана отырып, төлем жүйесінің хабарларын дайындауды, беруді және қабылдауды, сондай-ақ Орталықтың куәландыратын орталығында төлем жүйесін пайдаланушының жұмыс орнының қауіпсіздік офицерінің қатысуымен негізгі ақпаратты әзірлеуді және тіркеуді тікелей жүзеге асыратын адам;
18) төлем жүйесін пайдаланушының қауіпсіздік бөлімшесі – төлем жүйесін пайдаланушының ақпараттық және бағдарламалық ресурстарының қауіпсіздігі мен олардың қорғалуын қамтамасыз ететін төлем жүйесін пайдаланушының құрылымдық бөлімшесі;
19) төлем жүйесінің терминалы – төлем жүйесін пайдаланушыда орнатылған, төлем жүйесіне қолжетімділікті қамтамасыз ететін арнайы бағдарламалық қамтамасыз ету;
20) төлем жүйесі терминалының қосымшасы – төлем жүйесінің терминалымен қашықтықтан жұмыс істеуге арналған арнайы бағдарламалық қамтамасыз ету.
4. Төлем жүйесінде қолданылатын хабарлармен алмасу рәсімдерін және форматтарын Орталық Қазақстан Республикасының Ұлттық Банкімен (бұдан әрі – Ұлттық Банк) келісе отырып белгілейді.
2-тарау. Төлем жүйесін пайдаланушының жұмыс орнын орналастыру
5. Төлем жүйесін пайдаланушының жұмыс орны төлем жүйесін пайдаланушының орналасқан жері бойынша кіруі шектеулі үй-жайда (бұдан әрі – Үй-жай) орналастырылады. Төлем жүйесін пайдаланушының жұмыс орны операторларының функцияларын орындайтын қызметкерлердің жұмыс орындарын қоспағанда, Үй-жайда төлем жүйесімен жұмыс істеуге арналмаған жұмыс орындарын орналастыруға жол берілмейді.
6. Үй-жай механикалық және (немесе) электромеханикалық құлыптар орнатылатын металл және (немесе) кіруден қорғайтын күшейтілген кіретін есіктерімен жабдықталады.
7. Үй-жайдың есіктері нақты уақыт және Үй-жайға кіру оқиғаларын электрондық журналға жазу режімінде Үй-жайға кіру оқиғалары туралы есеп алуға мүмкіндік беретін Үй-жайға кіру оқиғаларының мониторингін жүргізуге арналған кіруді бақылау құралдарымен жабдықталады. Төлем жүйесін пайдаланушы электрондық журналдағы оқиғалар мұрағатын кемінде алты ай сақтайды.
8. Төлем жүйесін пайдаланушының жұмыс орны ақпаратты электромагнитті арналармен жария болудан қорғайтын құралдармен немесе сандық интерфейспен қосылған сұйық кристалды монитормен қамтамасыз етіледі.
9. Үй-жай үйдің бірінші және соңғы қабаттарында орналасқан, сондай-ақ терезелердің жанында балкондар, өрт кезінде пайдаланылатын сатылар, өзге де құрылыстардың шатырлары жақын тұрған жағдайда, Үй-жайдың терезелері терезенің әйнектерін сындырып, Үй-жайға нақты кіріп кетуді болдырмауға арналған металл торлармен немесе соған ұқсас қорғау құралдарымен жабдықталады.
10. Үй-жайдың есіктері мен терезелері күзет сигнализациясымен жабдықталады.
11. Үй-жайға кіретін жерде, сондай-ақ төлем жүйесін пайдаланушының жұмыс орнында бейнебелгілерді жазып алу мүмкіндігі бар бейнебақылау орнатылады. Объектілердің қозғалысына бейнебелгілердің жазылуының іске қосылуына жол беріледі. Жазылған бейнебелгілер мұрағаты төлем жүйесін пайдаланушының ішкі құжаттарында белгіленген төлем жүйесін пайдаланушының жұмыс орнының жүйелік блогындағы мөрлердің немесе пломбалардың бүтіндігін бақылау кезеңінен аз болмайтын уақытқа сақталады.
12. Үй-жайға кіру рұқсаты төлем жүйесінде жұмыс істеуге рұқсат берілген адамдарда болады. Төлем жүйесінде жұмыс істеуге рұқсаты жоқ адамдардың Үй-жайға кіруіне, стандартты емес жағдайлар туындаған жағдайларды қоспағанда, төлем жүйесінде жұмыс істеуге рұқсат берілген адамның қатысуымен ғана жол беріледі.
13. Төлем жүйесіне кіруге рұқсат алған пайдаланушының төлем жүйесін пайдаланушының жұмыс орнын жасаған немесе төлем жүйесін пайдаланушының жұмыс орнын жаңа жерге ауыстырған кезде, төлем жүйесін пайдаланушының жұмыс орны іске қосылған күннен бастап он жұмыс күні ішінде төлем жүйесін пайдаланушы бұл жөнінде Ұлттық Банкті ерікті жазбаша нысанда хабардар етеді.
3-тарау. Төлем жүйесін пайдаланушының және Орталықтың өзара іс-қимылдары
14. Төлем жүйесін пайдаланушының және Орталықтың аутентификациясы Орталықтың куәландыратын орталығында тіркелген ақпаратты және негізгі ақпаратты криптографиялық қорғау құралдары пайдаланыла отырып екіжақты ақпарат алмасу арқылы жүзеге асырылады.
15. Аутентификация барысында қате пайда болғанда, төлем жүйесінде қате туралы хабар шығады және байланыс үзіледі.
16. Төлем жүйесін пайдаланушының жұмыс орнында TCP (IP) хаттамасы бойынша Орталықтың төлем жүйесін пайдаланушының жұмыс істеуін қамтамасыз ететін қолданбалы серверлерімен қосуды қамтамасыз етуге қажетті құралдар болады.
17. Төлем жүйесін пайдаланушы мен деректерді беру арнасын қамтамасыз ететін заңды тұлға арасында жасалатын шарт төлем жүйесімен өзара іс-қимыл жасау үшін пайдаланылады және осындай деректер беру арнасының жұмысында іркілістер болған кезде жауапкершілікті көздейді.
4-тарау. Төлем жүйесінің терминалы
18. Төлем жүйесінің терминалы төлем жүйесінің хабарларын қабылдап, өткізуді жүзеге асырады және (немесе) төлем жүйесін пайдаланушы оны пайдалануға міндетті.
19. Төлем жүйесінің терминалы төлем жүйесінің хабарларын төлем жүйесінде қолданылатын хабарламалар алмасу рәсімдеріне және форматтарына сәйкес өңдейді.
20. Төлем жүйесінің терминалы мынадай функцияларды орындайды:
1) төлем жүйесін пайдаланушы мен Орталықты аутентификациялау;
2) Орталықтың куәландыратын орталығымен өзара іс-қимылды;
3) берілетін және алынатын ақпараттың конфиденциалдылығын және аутентификациялануын қамтамасыз етуді;
4) хабарларды төлем жүйесін пайдаланушыдан Орталыққа және Орталықтан төлем жүйесін пайдаланушыға беруді және (немесе) қабылдауды;
5) алынған төлем жүйесі хабарларының тұтастығын тексеруді;
6) төлем жүйесі терминалының тұтастығын тексеруді;
7) негізгі ақпаратты қолдануды;
8) хабарлардың электрондық цифрлық қолтаңбаларын қалыптастыру және тексеруді;
9) хабардың электрондық цифрлық қолтаңбасының төлем жүйесін пайдаланушыға немесе оны қоюға уәкілетті Орталыққа тиесілі екенін тексеруді.
21. Төлем жүйесінің терминалы төлем жүйесін пайдаланушының жұмыс орны операторлары мен басқарушыларының мынадай негізгі оқиғалары мен іс-әрекеттерін:
1) төлем жүйесінің терминалын ашудың және жабудың уақыты мен күнін;
2) Орталықпен қосудың және Орталықтан ажыратудың уақыты мен күнін;
3) төлем жүйесі операторлары мен басқарушыларының төлем жүйесінің хабарлары бойынша жүргізетін іс-әрекеттерінің басталу уақыты мен аяқталу уақытын, жасалған іс-әрекеттердің сипатын тіркейтін электрондық журналдарды жүргізуді қамтамасыз етеді.
22. Төлем жүйесін пайдаланушының жұмыс орны операторлары мен басқарушыларының төлем жүйесінің терминалына не оның қосымшасына кіруді сәйкестендіру және аутентификациялау табысты орындалғаннан кейін қамтамасыз етеді.
23. Төлем жүйесінің терминалын іске қосу төлем жүйесі терминалының үздіксіз жұмысын қамтамасыз ететін техникалық құралдарды пайдалану арқылы жүзеге асырылады және төлем жүйесінің терминалына арналған құжаттамада көрсетілген талаптарға сәйкес келеді.
24. Төлем жүйесінің терминалы не оның қосымшасы осы мақсаттар үшін арнайы бөлінген, есепке алынатын түгендеу нөмірі (серверде) және оған орнатылған конфигурация, аппараттық және бағдарламалық құралдар бойынша жан-жақты деректер беретін паспорты бар дербес компьютерде орнатылады.
25. Төлем жүйесінің терминалын немесе оның қосымшасын басқару төлем жүйесін пайдаланушының жұмыс орнынан тікелей және төлем жүйесін пайдаланушының жұмыс орны қауіпсіздік офицерінің қатысуымен жүзеге асырылады.
26. Төлем жүйесінің терминалымен жұмыс істеу төлем жүйесін пайдаланушының жұмыс орнынан жүзеге асырылады. Төлем жүйесін пайдаланушының жұмыс орнында қашықтықтан кіру жүйелерін орнатуға және пайдалануға жол берілмейді. Төлем жүйесін пайдаланушының жұмыс орнына орнатылған қашықтан кіру қызметтері алынады немесе ажыратылады.
27. Төлем жүйесі терминалының дұрыс жұмыс істемей, төлем жүйесін пайдаланушы немесе Орталық зиян шегуі мүмкін болатын жағдай анықталғанда, соңғысы бір мезгілде төлем жүйесін пайдаланушыны хабардар ете отырып, тиісті себептерді көрсетіп, төлем жүйесінің осы терминалына кіруді жабады.
28. Ақпаратты криптографиялық қорғау құралын пайдалану төлем жүйесін пайдаланушыны төлем жүйесіне қосудың талабы болып табылады, ол мыналарды:
1) электрондық цифрлық қолтаңбаны қалыптастыру және тексеру тетігін;
2) ақпараттың конфиденциалдылығын (деректерді шифрлеуді);
3) берілетін ақпараттың тұтастығын (деректерді имитациялық қорғауды);
4) сақталатын ақпараттың және бағдарламалық қамтамасыз етудің тұтастығын (хэштелген деректерді) қамтамасыз етеді.
5-тарау. Негізгі ақпарат
29. Пайдаланушы негізгі ақпаратты Орталықтың куәландыратын орталығында тіркейді.
30. Негізгі ақпарат сыртқы тасымалдағышта болады. Негізгі ақпарат бар тасымалдағышқа кіру тек төлем жүйесін пайдаланушының жұмыс орнының операторларына ғана беріледі.
31. Негізгі ақпарат төлем жүйесінің терминалына тек қана сыртқы тасымалдағыштан жүктеледі. Негізгі ақпараттың рұқсат етілмеген көшірмелерінің, оның ішінде төлем жүйесін пайдаланушының жұмыс орнындағы қатты дискіде болуына жол берілмейді.
32. Негізгі ақпараты бар сыртқы тасымалдағыштарды сақтау және пайдалану тәртібі бойынша оларға рұқсатсыз кіру мүмкіндігі болмайды.
33. Негізгі ақпаратқа кіруге рұқсаты бар тұлғалар төлем жүйесімен жұмыс нәтижесінде алынған ақпараттың сақталуына және жария болмауын қамтамасыз етеді.
34. Негізгі ақпаратты жоспарлы түрде ауыстыру кем дегенде жылына бір рет жүзеге асырылады.
35. Негізгі ақпараты бар сыртқы тасымалдағыштар негізгі ақпараты бар сыртқы тасымалдағыштарды сақтауға жауапты қызметкерлердің үй-жайында орналасқан бекітілетін құрылғымен жабдықталған сейфте сақталады. Негізгі ақпарат пайдаланылмаған жағдайда негізгі ақпараты бар сыртқы тасымалдағыштар сейфтерде болады.
36. Негізгі ақпаратқа кіруге рұқсаты бар қызметкерлер жұмыстан босатылған немесе негізгі ақпаратқа рұқсатсыз кіруге әрекеттенгендігі анықталған жағдайларда негізгі ақпаратты жоспардан тыс ауыстыру жүзеге асырылады. Жаңа негізгі ақпарат негізгі ақпаратқа кіруге рұқсаты бар қызметкер жұмыстан босатылған күннен кешіктірілмей не негізгі ақпаратқа рұқсатсыз кіруге әрекеттенгендігі анықталған күннен кешіктірілмей қолданысқа енгізіледі.
Пайдаланушы жаңа негізгі ақпаратты Орталықтың куәландыратын орталығында тіркейді.
37. Негізгі ақпараты бар сыртқы тасымалдағыштарды сақтау және күту жөніндегі рәсімдер өндірушінің ұсынымдарына сәйкес жүзеге асырылады.
38. Төлем жүйесін пайдаланушы ескірген негізгі ақпаратты осы негізгі ақпарат пайдаланыла отырып қол қойылған немесе шифрленген электрондық құжаттардың сақталу мерзімі ішінде сақтайды.
39. Төлем жүйесін пайдаланушыға:
1) негізгі ақпараттың рұқсат етілмеген көшірмелерін алуға;
2) негізгі ақпаратқа рұқсаты жоқ адамдарды онымен таныстыруға немесе оны беруге;
3) негізгі ақпаратты дисплейге немесе принтерге шығаруға;
4) негізгі ақпараты бар сыртқы тасымалдағышты оның өндірушісі белгілеген жұмыс істеу талаптарында көзделмеген режимдерде пайдалануға;
5) негізгі ақпараты бар сыртқы тасымалдағышқа бөтен ақпарат жазуға;
6) бөтен негізгі ақпаратты пайдалануға жол берілмейді.
6-тарау. Төлем жүйесін пайдаланушының жұмыс орнына қойылатын талаптар
40. Төлем жүйесін пайдаланушының жұмыс орнында рұқсатсыз кіруден қорғайтын бағдарламалық-аппараттық кешен орнатылады, оған пайдаланушыны аутентификациялау құралдары, төлем жүйесін пайдаланушының жұмыс орнына кіруіне және пайдаланушылардың іс-әрекеттеріне байланысты оқиғаларды бақылау мақсатында төлем жүйесінің электрондық құжаттарын сақтау мерзімі ішінде электрондық журналдар жүргізу мүмкіндігі кіреді.
41. Төлем жүйесін пайдаланушының жұмыс орнына зиян келтіретін бағдарламалық кодты және (немесе) бағдарламаны табатын құралдары орнатылады. Жұқтыру фактісі анықталған жағдайда бұл ақпарат төлем жүйесін пайдаланушының қауіпсіздік бөлімшесіне дереу хабарланады.
42. Төлем жүйесін пайдаланушының жұмыс орнына Талаптарда көзделмеген және төлем жүйесі шеңберіндегі электрондық құжаттарды дайындау, өңдеу, өткізу немесе жүргізу жөніндегі міндеттерді шешуге арналмаған аппараттық және бағдарламалық құралдарды орнатуға жол берілмейді.
43. Төлем жүйесімен жұмыс істеуге рұқсат берілген адамның, осы адам төлем жүйесін пайдаланушының ақпараттық жүйелеріне кіретін кезде сәйкестендірілетін бір жүйелік атына бір жеке тұлға сәйкес келеді.
44. Төлем жүйесін пайдаланушының жұмыс орнының жүйелік блогы стикерде немесе пломбада соңғы мөр басылған немесе пломбаланған күнін және дербес компьютер есепке алынатын түгендеу нөмірі көрсетіліп, мөр басылады немесе пломбаланады.
45. Төлем жүйесін пайдаланудың жұмыс орнына кіруді қамтамасыз ететін техникалық құралдарды, парольдерді немесе басқа ақпаратты сақтау және пайдалану тәртібі оларды рұқсатсыз пайдалану мүмкіндігіне жол бермейді.
46. Төлем жүйесін пайдаланушының жұмыс орнын рұқсатсыз кіруден қорғау құралдарын орнату және теңшелуін өзгерту құқығы тек төлем жүйесін пайдаланушының жұмыс орны қауіпсіздігі офицерінің функцияларын орындайтын қызметкерлерге ғана беріледі.
47. Төлем жүйесіне ақпарат өткізуге, төлем жүйесінен ақпарат алуға, ақпаратты сақтауға, мұрағаттауға не басқадай өңдеуге ақпарат жинақтау үшін бөлінген ресурстарға (дискілік кеңістік, директорийлер, желілік ресурстар, деректер базалары) кіру тәртібі бойынша осы ресурстармен жұмыс істеуге рұқсат етілмеген адамдардың оларға кіру мүмкіндігіне жол берілмейді.
48. Төлем жүйесін пайдаланушының жұмыс орнына желі және деректер өткізудің өзге де техникалық арналарының көмегімен кіру тәртібі рұқсатсыз кіру мүмкіндігіне жол бермейді.
49. Төлем жүйесін пайдаланушының жұмыс орны электр желісінде ток болмаған кезде жүйедегі жұмысты дұрыс аяқтауға қажетті уақыт, бірақ кемінде отыз минут ішінде дербес компьютердің жұмыс істеуіне мүмкіндік жасайтын үздіксіз электр қуатын беретін техникалық құралдармен жабдықталады.
50. Төлем жүйесін пайдаланушы мен Орталықтың арасындағы байланысты жүзеге асыратын бағдарламалық қамтамасыз етуге, төлем жүйесін пайдаланушының жұмыс орнына рұқсатсыз кіруден қорғайтын бағдарламалық-аппараттық кешенге, сондай-ақ төлем жүйесін пайдаланушының ақпараттық жүйесінде дайындалған электрондық құжаттарды төлем жүйесін пайдаланушының жұмыс орнының өткізу технологиясына өзгерістер енгізілген жағдайда, төлем жүйесін пайдаланушы өзгеріс енгізілген күннен бастап он жұмыс күні ішінде бұл жөнінде Ұлттық Банкке ерікті жазбаша нысанда хабардар етеді.
7-тарау. Қызмет көрсететін қызметкерлердің жұмысын ұйымдастыру
51. Төлем жүйесімен жұмыс істеуге рұқсат етілген адамдар мынадай санаттарға бөлінеді:
1) төлем жүйесін пайдаланушының жұмыс орнын басқарушы;
2) төлем жүйесін пайдаланушының жұмыс орнының операторы;
3) төлем жүйесін пайдаланушының жұмыс орнының қауіпсіздік офицері.
52. Қызмет көрсететін қызметкерлердің жұмысын ұйымдастыру кезінде төлем жүйесінің терминалы не оның қосымшасы арқылы МТ 100 және (немесе) МТ 102 форматында төлем хабарларын жасау функциясы болған кезде бір адамның Талаптардың 51-тармағында көрсетілген әртүрлі адамдар санаттарының функцияларын (толық немесе ішінара) атқаруына жол берілмейді.
53. Төлем жүйесін пайдаланушы мынадай ішкі тіркеу журналдарын жүргізуді жүзеге асырады:
1) төлем жүйесімен жұмыс істеуге рұқсат берілмеген адамдардың Үй-жайға келу журналын, онда мыналар көрсетіледі:
келуші кірген және шыққан күні, уақыты мен келу мақсаты;
келушінің тегі және қолы;
төлем жүйесімен жұмыс істеуге рұқсат берілген адамдардың қатарынан бірге ілесіп жүретін адамның тегі мен қолы;
2) негізгі ақпаратты пайдалану журналы, онда мыналар көрсетіледі:
негізгі ақпаратты пайдалануды бастау және аяқтау күні, уақыты;
негізгі ақпаратты пайдаланатын адамның тегі және қолы;
ауыстыру себебі көрсетілген негізгі ақпаратты ауыстыру күні;
3) төлем жүйесін пайдаланушының жұмыс орнының жүйелік блогын пломбалау және пломбалар мен мөрлердің бүтіндігін тексеру журналы, онда мыналар көрсетіледі:
пломбалаудың немесе пломбалардың немесе мөрлердің бүтіндігін тексеру күні мен уақыты;
пломбалауды немесе пломбалардың немесе мөрлердің бүтіндігін тексеруді жүзеге асырған адамның тегі және қолы;
пломбалаудың немесе пломбалардың немесе мөрлердің бүтіндігін тексерудің себептері;
сүргі салу нысандары және сүргі салуға арналған пломбаның немесе стикердің материалы.
54. Талаптардың 53-тармағында көрсетілген ішкі тіркеу журналдары нөмірленеді, тігіледі және төлем жүйесін пайдаланушының мөрімен (ол бар болса) бекітіледі. Ішкі тіркеу журналдарындағы қате жазбалар түзетілуге тиіс және төлем жүйесімен жұмыс істеуге рұқсат берілген жауапты адамның қолымен расталады.
55. Төлем жүйесін пайдаланушы Талаптардың 53-тармағында көрсетілген ішкі тіркеу журналдарын соңғы жазба жасалған күннен бастап кемінде бір жыл сақтайды.
56. Төлем жүйесін пайдаланушының ішкі құжаттарында мыналар айқындалады:
1) жұмыс пен үзілістердің уақытын, демалыс және мереке күндеріндегі жұмыс тәртібін, сондай-ақ төлем жүйесінің операциялық күні ұзартылған жағдайларды көрсете отырып, төлем жүйесімен жұмыс істеу режимі;
2) әрбір қызметкер бойынша:
төлем жүйесін пайдаланушы жұмыс орнының басқарушысы, операторы немесе қауіпсіздік офицері;
төлем жүйесіне берілген және төлем жүйесінен алынған электрондық құжаттарды мұрағаттау және сақтау;
төлем жүйесін пайдаланушының жүйелік блогында мөрлердің немесе пломбалардың бүтіндігінің мониторингі бойынша орындайтын функцияларын көрсете отырып, төлем жүйесімен жұмыс істеуге рұқсат берілген қызметкерлердің (лауазымы, тегі және инициалдары көрсетілген) тізімі;
3) қол жеткізу деңгейі мен орындайтын функцияларын көрсете отырып, Талаптардың 47-тармағында көрсетілген ресурстарға кіруге рұқсаты бар қызметкерлердің (лауазымы, тегі және инициалдары көрсетілген) тізімі;
4) кіруге рұқсат беру мақсаттары көрсетіле отырып, желі және деректерді берудің өзге де техникалық арналары арқылы төлем жүйесін пайдаланушының жұмыс орнына кіруге рұқсаты бар қызметкерлердің (лауазымы, тегі және инициалдары көрсетілген) және ресурстардың тізімі;
5) төлем жүйесіне берілген және төлем жүйесінен алынған электрондық құжаттарды сақтаудың талаптары, мерзімдері және орындары сондай-ақ осы мұрағаттарға кірудің тәртібі көрсетіле отырып, оларды мұрағаттаудың және одан әрі сақтаудың тәртібі;
6) техникалық құралдарды, парольдерді немесе төлем жүйесін пайдаланушының жұмыс орнына кіруді қамтамасыз ететін басқа да ақпаратты сақтау талаптары мен орындарын, оларға кіру рәсімдерін және ауыстыру мерзімдерін көрсете отырып, оларды сақтау және пайдалану тәртібі;
7) төлем жүйесін пайдаланушының ақпараттық жүйесінде дайындалған электрондық құжаттарды төлем жүйесін пайдаланушының жұмыс орнына беру тәртібі;
8) төлем жүйесін пайдаланушының жұмыс орнында орнатылған, рұқсатсыз кіруден қорғайтын бағдарламалық-аппараттық кешенмен және бағдарламалық қамтамасыз етудің тұтастығын қамтамасыз ету құралдарымен жұмыс істеу тәртібі;
9) төлем жүйесі терминалымен жұмыс істеу тәртібі мен рәсімдері;
10) бір арнадан басқасына өту жағдайлары мен рәсімдерін көрсете отырып, деректер өткізудің негізгі және резервтік арналарымен жұмыс істеу тәртібі.
57. Төлем жүйелерін пайдаланушы төлем жүйесінде жұмыс істеуге жіберілген қызметкерлерден төлем жүйесін пайдаланушының жұмыс орнына кіруді қамтамасыз ететін парольдерді немесе басқа ақпаратты, сондай-ақ конфиденциалды және негізгі ақпаратты жария етпеу және таратпау туралы арнайы міндеттеме алады.
58. Қауіпсіздікке қатысты ағымдағы және жедел мәселелерді шешу қажет болғанда, төлем жүйесін пайдаланушының жұмыс орнының операторы мен қауіпсіздік офицері төлем жүйесінің қауіпсіздігі бөлімшесімен өзара іс-әрекет жасайды.
8-тарау. Операциялық тәуекелді басқаруға және төлем жүйесін пайдаланушы
қызметінің үздіксіздігін қамтамасыз етуге қойылатын талаптар
59. Операциялық тәуекелді басқару мақсатында төлем жүйесін пайдаланушы мыналарды:
1) операциялық тәуекелді басқару әдістерін;
2) төлем жүйесін пайдаланушының бағдарламалық-техникалық кешенінің жұмыс істеу сапасы мен сенімділігін бағалау тәртібін;
3) төлем жүйесін пайдаланушы қызметінің үздіксіздігін қамтамасыз ету жоспарын айқындайтын ішкі құжаттарды жүргізуді қамтамасыз етеді.
60. Төлем жүйесін пайдаланушы стандартты емес жағдайларда төлем жүйесін пайдаланушының бағдарламалық-техникалық кешенінің жұмысын қалпына келтіру үшін, төлем жүйесін пайдаланушының жұмыс орнына және оның орналастыруға, төлем жүйесінің терминалына, Орталықпен өзара іс-қимыл жасауға, негізгі ақпаратты пайдалану және сақтау тәртібіне, қызмет көрсететін қызметкерлердің жұмыстарының ұйымдастырылуына қойылатын талаптарды қоса алғанда, Талаптардың 2, 3, 4, 5, 6, 7 және осы тарауларында белгіленген талаптарға сәйкес келетін резервтік орталықтың жұмыс істеуін қамтамасыз етеді.
61. Төлем жүйесін пайдаланушы Орталықтың төлем жүйесімен коммуникациялаудың (деректер берудің) резервтік арнасының жұмыс істеуін қамтамасыз етеді. Коммуникацияның резервтік арнасын төлем жүйесінің резервтік және (немесе) негізгі орталығының желілік (коммуникациялық) жабдығына қосу мүмкіндігі қарастырылады.
62. Төлем жүйесін пайдаланушы қызметінің үздіксіздігін қамтамасыз ету жоспарында мынадай негізгі талаптар қамтылады:
1) резервтік орталықтың орналасқан жері;
2) стандартты емес жағдайдың туындағаны туралы, оның реттеу нәтижелері туралы төлем жүйесін пайдаланушының басшылығын және Ұлттық Банкті хабардар ету тәртібі;
3) резервтік орталықта қалпына келтіру талап етілетін, пайдаланушының Орталықтың төлем жүйесімен жұмыс істеуін қамтамасыз ететін техникалық, бағдарламалық немесе басқа да құралдардың тізбесі;
4) резервтік орталықта пайдаланылатын, төлем жүйесін пайдаланушының бағдарламалық-техникалық кешенінің жұмыс істеуін қызметкерлердің жұмысын қолдауға арналған тыныс-тіршілікті қамтамасыз ету жүйелерінің (электрмен жабдықтау, жылу, желдеткіш, сумен жабдықтау, кәріз, өрт сөндіру және өрт дабылы, ғимараттарды күзету) тізбесі;
5) төлем жүйесін пайдаланушының бағдарламалық-техникалық кешенін резервтік орталыққа қайталау және резервтеу тәртібі;
6) резервтік орталықта қалпына келтіруге жататын төлем жүйесін пайдаланушының бизнес-процестері;
7) әрбір бизнес-процесс бойынша төлем жүйесін пайдаланушының қалпына келтіру командаларының, олардың резервтік орталықтың жұмысына ауысқан кездегі іс-қимылдарының тәртібі сипатталған тізімі;
8) төлем жүйесін пайдаланушының қалпына келтіру командасына жұмысты резервтік орталыққа ауыстыру және оны резервтік орталық орналасқан жерге тасымалдау қажеттігі туралы хабарлау тәртібі;
9) сыртқы өзара іс-қимыл жасауға арналған байланыс;
10) резервтік орталықтың жұмысын тестілеуден өткізу тәртібі.
63. Негізгі орталықта стандартты емес жағдай туындаған кезде төлем жүйесін пайдаланушы:
1) төлем жүйесін пайдаланушының бағдарламалық-техникалық кешенін резервтік орталыққа ауыстыруды қамтамасыз етеді.
Төлем жүйесін пайдаланушының бағдарламалық-техникалық кешенін резервтік орталыққа ауыстыру бойынша стандартты уақыт нормативі стандартты емес жағдай туындаған сәттен бастап үш сағаттан аспайды.
Стандартты уақыт нормативін сақтауға мүмкіндік болмаған кезде төлем жүйесін пайдаланушы Орталықтың төлем жүйесінің операциялық күні аяқталғанға дейін төлемдер мен ақша аударымдары бойынша қабылданған міндеттемелерді орындау қажеттігін ескере отырып, төлем жүйесін пайдаланушының жұмысын резервтік орталыққа ауыстыру үшін қажетті шараларды қабылдайды;
2) факсимильді байланыс құралдары арқылы Ұлттық Банкке бағдарламалық-техникалық кешенді резервтік орталыққа ауыстыру шешімінің қабылданғандығы туралы хатты көрсетілген шешім қабылданғаннан кейін үш сағаттың ішінде жібереді, келісі жұмыс күні хаттың түпнұсқасын ұсынады;
3) факсимильді байланыс құралдары арқылы Ұлттық Банкке бағдарламалық-техникалық кешенді резервтік орталыққа ауыстыру нәтижелері туралы хатты ауыстыру жұмыстары аяқталғаннан кейін үш сағат ішінде жібереді, келісі жұмыс күні хаттың түпнұсқасын ұсынады;
4) факсимильді байланыс құралдары арқылы Ұлттық Банкке бағдарламалық-техникалық кешенді қайтадан негізгі орталыққа ауыстыру нәтижелері туралы хатты ауыстыру жұмыстары аяқталғаннан кейін үш сағат ішінде жібереді, келісі жұмыс күні хаттың түпнұсқасын ұсынады.
64. Төлем жүйесін пайдаланушы жылына кемінде бір рет төлем жүйесін пайдаланушының жұмысын резервтік орталықты пайдалануға жоспарлы ауыстыру жолымен резервтік орталықтың жұмыс істеуін тестілеуді жүргізеді. Төлем жүйесін пайдаланушы Ұлттық Банкке жоспарланып отырған тестілеу мерзімдері туралы бағдарламалық техникалық кешенді резервтік орталыққа жоспарлы ауыстыру басталғанға дейін он жұмыс күні бұрын жазбаша хабарлайды.
Төлем жүйесін пайдаланушы тестілеудің нәтижелері туралы мәліметтерді, анықталған проблемаларды (бар болса) және оларды жою бойынша қабылданған шаралар туралы мәліметтерді көрсете отырып, Ұлттық Банкке бағдарламалық-техникалық кешенді резервтіктен негізгі орталыққа қайтару бойынша іс-шаралар аяқталған күннен кейінгі бес жұмыс күні ішінде ұсынады.
65. Төлем жүйесін пайдаланушы операциялық тәуекелді басқару әдістерін реттейтін құжатты және төлем жүйесін пайдаланушы қызметінің үздіксіздігін қамтамасыз ету жоспарын өзектендіру қажеттілігі тұрғысынан жыл сайын талдауға тиіс.
9-тарау. Қорытынды ережелер
66. Төлем жүйесін пайдаланушы мен Орталықтың арасында төлем жүйесінде қызмет көрсету туралы жасалған шарт бұзылған (қолданылу мерзімі аяқталған) кезде Орталық бұл туралы Ұлттық Банкке шарт бұзылған күннен кейінгі келесі жұмыс күнінен кешіктірмей шартқа сәйкес хабарлайды.
67. Ұлттық Банк Талаптардың 13 және 50-тармақтарында көзделген хабарламаны алған күннен бастап он күндік мерзім ішінде төлем жүйесін пайдаланушының жұмыс орнын тексеру қажеттігінің бар не қажеттігінің жоқ екендігі туралы шешім қабылдайды.
Егер төлем жүйесін пайдаланушының қызметінде Талаптардың бұзылғандығы анықталса не соңғы тексеру екі жылдан астам уақыт ішінде жүргізілсе (жүзеге асырылса) тексеру жүргізуге рұқсат етіледі.
Ұлттық Банк тексеру жүргізу (жүзеге асыру) туралы шешім қабылданған күннен не өтініш алған күннен бастап екі ай ішінде төлем жүйесін пайдаланушының жұмыс орнына тексеру жүргізеді (жүзеге асырады).
Қаулы Қазақстан Республикасының Әділет министрлігінде 2016 жылғы 5 қазанда Нормативтік құқықтық кесімдерді мемлекеттік тіркеудің тізіліміне №14289 болып енгізілді.