1. Поставщики платежных услуг обязаны утвердить и соблюдать внутренних правил эффективного снижения и контроля за операционными рисками, киберризикамы и рисками безопасности, связанными с предоставлением платежных услуг (выполнением платежных операций).
Во киберризиком для целей этой части понимается риск возникновения вследствие реализации киберугроз убытков и / или дополнительных потерь банков, других лиц, осуществляющих деятельность на рынках финансовых услуг, государственное регулирование и надзор за деятельностью которых осуществляет Национальный банк Украины, операторов платежных систем и / или участников платежных систем, технологических операторов платежных услуг.
Указанные правила должны также содержать процедуры обеспечения безопасности выполнения платежных операций, принятия мер по идентификации ошибочных и ненадлежащих платежных операций (субъектов таких платежных операций) и мероприятий по предотвращению или пресечению таких платежных операций, реагирование на инциденты безопасности, осуществления мониторинга и ведения базы данных операционных инцидентов, киберинцидентив и инцидентов безопасности, связанных с предоставлением платежных услуг (выполнением платежных операций).
2. Поставщики платежных услуг обязаны сообщать Национальный банк Украины в установленном им порядке о существенных операционные инциденты, киберинциденты и инциденты безопасности, связанные с предоставлением ими платежных услуг (выполнением платежных операций).
3. Национальный банк Украины своими нормативно-правовыми актами устанавливает требования по управлению поставщиками платежных услуг операционными рисками, киберризикамы и рисками безопасности при осуществлении деятельности по предоставлению платежных услуг, критерии существенности операционных инцидентов, киберинцидентив и инцидентов безопасности.
Для надлежащей идентификации субъектов ошибочных, ненадлежащих платежных операций, принятие мер по предотвращению или прекращению таких платежных операций предоставители платежных услуг должны сообщать других поставщиков платежных услуг о таких субъектов и такие платежные операции в объеме, установленном правилами соответствующей платежной системы или договором между поставщиками платежных услуг. Для предотвращения или прекращения указанных платежных операций предоставители платежных услуг обязаны подтверждать информацию на электронные запросы центральных органов исполнительной власти, реализующих государственную политику в сфере обеспечения охраны прав и свобод человека, интересов общества и государства, противодействия преступности.
На основании договоров и в соответствии с настоящим Законом деятельность по идентификации субъектов ошибочных, ненадлежащих платежных операций, принятия мер по предотвращению или прекращению указанных платежных операций и предотвращения отмывания средств вправе осуществлять юридическое лицо, учредителями которой являются предоставители финансовых и нефинансовых услуг и услуг, смежных с платежными. Предоставители финансовых, нефинансовых платежных услуг, услуг, смежных с платежными и основанная ими юридическое лицо должны обеспечить технологическую и программно-аппаратную защиту персональных данных субъектов ошибочных, ненадлежащих платежей согласно этому Закону.
Предоставители платежных услуг должны предусмотреть в договоре о предоставлении платежных услуг получения разрешения у пользователя на предоставление предоставляющим платежных услуг пользователя другим поставщикам платежных услуг информации, содержащей банковскую тайну, коммерческую тайну, тайну поставщика платежных услуг, тайну финансового мониторинга.
Статья 66 ЗУ О платежных услугах на русском языке с изменениями 2024 год №1591-IX от 30.06.2021
Структура акта