Нацбанк Казахстана обновил правила работы электронных денег – изменения затронули чеки, переводы и требования к кибербезопасности.

После оплаты электронными деньгами владельцу выдается торговый чек, подтверждающий проведение операции. Документ может предоставляться как в электронном виде, так и на бумаге.

При этом перечень обязательных данных в чеке стал шире. Теперь в нем должны указываться сумма платежа, дата и время операции, порядковый номер чека, ИИН или БИН ИП или юридического лица, код транзакции и идентификаторы электронных кошельков отправителя и получателя.

Также чек должен содержать контактные номера оператора, сведения об отправителе и получателе электронных денег, код назначения операции, информацию о платежном посреднике, включая иностранные сервисы, а также сведения о погашении электронных денег – банк и номер счета.

Отдельно прописаны требования к операциям с участием платежных посредников. Если электронные деньги переводятся в пользу поставщика платежных услуг за оплату сервисов третьих лиц, которые не представлены в системе электронных денег как поставщики услуг, платежная организация обязана отображать полную цепочку участников перевода в чеке, квитанции или детализации операции.

Изменения затронули и вопросы кибербезопасности. Теперь операторы систем электронных денег обязаны создавать и поддерживать систему управления кибербезопасностью как часть общей системы управления.

Кроме того, операторы должны утвердить внутренние документы, регулирующие вопросы кибербезопасности, включая отдельную политику защиты цифровой инфраструктуры.

Новые нормы предусматривают, что система управления кибербезопасностью должна обеспечивать защиту информационных активов и снижать возможный ущерб для бизнес-процессов.

Проверка состояния кибербезопасности цифровой инфраструктуры должна проводиться минимум один раз в год. Также оператор обязан обеспечивать развитие и совершенствование системы кибербезопасности.

Для платежных организаций, зарегистрированных в Нацбанке, вводится отдельное требование – создание подразделения кибербезопасности либо назначение ответственного сотрудника, который не должен входить в подразделения, занимающиеся разработкой и сопровождением цифровых систем.

Все сведения о киберинцидентах теперь подлежат систематизации и хранению. Минимальный срок хранения такой информации составит пять лет.

В Нацбанк потребуется сообщать о фактах эксплуатации уязвимостей программного обеспечения, несанкционированного доступа, DDoS-атак, заражения серверов вредоносным кодом, незаконных переводов электронных денег и других инцидентов, угрожающих стабильности работы системы.

Информацию о выявленном инциденте оператор обязан направить в максимально короткий срок, но не позднее 48 часов с момента обнаружения проблемы.

Для каждого случая оформляется отдельная карта киберинцидента, а передача информации будет осуществляться через платформу Нацбанка для обмена событиями и инцидентами кибербезопасности.

Также установлено, что платежные организации, зарегистрированные в Нацбанке, должны использовать статический IP-адрес для обмена такой информацией и сообщать данные о нем в течение десяти рабочих дней после регистрации.