Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Глава 3. Требования к обеспечению банковскими платежными агентами (субагентами) (при их привлечении для участия в осуществлении переводов денежных средств) защиты информации при осуществлении переводов денежных средств
3.1. Банковские платежные агенты (субагенты), за исключением банковских платежных агентов, осуществляющих операции платежного агрегатора, должны обеспечивать защиту информации при участии в осуществлении переводов денежных средств в отношении следующих операций:
принятие от физического лица наличных денежных средств, в том числе с применением банкоматов;
выдача физическому лицу наличных денежных средств, в том числе с применением банкоматов;
принятие от юридического лица, индивидуального предпринимателя и иных лиц, указанных в части 12 статьи 14 Федерального закона от 27 июня 2011 года N 161-ФЗ, наличных денежных средств с применением банкоматов в целях зачисления принятых наличных денежных средств на открытые им банковские счета.
3.2. Банковские платежные агенты, осуществляющие операции платежного агрегатора, должны обеспечивать защиту информации в процессе формирования (подготовки) электронных сообщений при приеме электронных средств платежа юридическими лицами, индивидуальными предпринимателями и иными лицами, указанными в части 13 статьи 14 1 Федерального закона от 27 июня 2011 года N 161-ФЗ, при участии в переводе денежных средств в пользу юридических лиц, индивидуальных предпринимателей и иных лиц, указанных в части 13 статьи 14 1 Федерального закона от 27 июня 2011 года N 161-ФЗ, по операциям с использованием электронных средств платежа.
3.3. Банковские платежные агенты (субагенты), за исключением банковских платежных агентов, осуществляющих операции платежного агрегатора, при совершении операций, указанных в пункте 3.1 настоящего Положения, в целях реализации требований к обеспечению защиты информации должны обеспечить защиту защищаемой информации, указанной в графе 3 строк 1 и 2 приложения 2 к настоящему Положению.
3.4. Банковские платежные агенты, осуществляющие операции платежного агрегатора, при совершении операций, указанных в пункте 3.2 настоящего Положения, в целях реализации требований к обеспечению защиты информации должны обеспечить защиту защищаемой информации, указанной в графе 3 строки 3 приложения 2 к настоящему Положению.
3.5. Банковские платежные агенты (субагенты) должны обеспечить реализацию минимального уровня защиты информации для объектов информационной инфраструктуры, предусмотренного пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017.
По решению банковских платежных агентов (субагентов) уровень защиты информации для объектов информационной инфраструктуры, предусмотренный пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017, может быть повышен на основе анализа рисков.
3.6. Банковские платежные агенты, осуществляющие операции платежного агрегатора, должны проводить оценку соответствия защиты информации не реже одного раза в два года.
3.7. Банковские платежные агенты, осуществляющие операции платежного агрегатора, должны реализовывать уровень соответствия защиты информации не ниже четвертого, предусмотренного подпунктом "д" пункта 6.9 раздела 6 ГОСТ Р 57580.2-2018.
3.8. Банковские платежные агенты (субагенты), за исключением банковских платежных агентов, осуществляющих операции платежного агрегатора, должны на основе критериев, установленных операторами по переводу денежных средств, проводить тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры, оценку соответствия защиты информации, сертификацию или оценку соответствия прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения.
3.9. Банковские платежные агенты, осуществляющие операции платежного агрегатора, должны на основе критериев, установленных операторами по переводу денежных средств, проводить тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры, сертификацию или оценку соответствия прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения.
3.10. В случае принятия решения о необходимости проведения сертификации прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения банковские платежные агенты (субагенты) должны обеспечить сертификацию прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения не ниже 6 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 76.
3.11. Банковские платежные агенты (субагенты) должны обеспечить при осуществлении операций, указанных в пунктах 3.1 и 3.2 настоящего Положения, реализацию технологических мер по обеспечению защиты информации в соответствии с приложениями 1 и 2 к настоящему Положению.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.