Nutarimas netenka galios 2019-09-21:

Lietuvos bankas, Nutarimas

Nr. 03-167, 2019-09-19, paskelbta TAR 2019-09-20, i. k. 2019-14917

Dėl Lietuvos banko valdybos 2014 m. rugsėjo 30 d. nutarimo Nr. 03-172 „Dėl Minimalių saugumo reikalavimų, keliamų internetu atliekamiems mokėjimams, patvirtinimo“ pripažinimo netekusiu galios

 

Suvestinė redakcija nuo 2019-01-01 iki 2019-09-20

 

Nutarimas paskelbtas: TAR 2014-10-01, i. k. 2014-13358

 

 

LIETUVOS BANKO VALDYBA

 

NUTARIMAS

DĖL MINIMALIŲ SAUGUMO REIKALAVIMŲ, KELIAMŲ INTERNETU ATLIEKAMIEMS MOKĖJIMAMS, PATVIRTINIMO

 

2014 m. rugsėjo 30 d. Nr. 03-172

Vilnius

 

 

Vadovaudamasi Lietuvos Respublikos Lietuvos banko įstatymo 42 straipsnio 3 dalies 1 punktu, Lietuvos banko valdyba n u t a r i a:

1. Patvirtinti Minimalius saugumo reikalavimus, keliamus internetu atliekamiems mokėjimams (pridedama).

2. Pripažinti netekusiu galios Lietuvos banko valdybos 2001 m. rugpjūčio 23 d. protokolinį nutarimą (protokolas Nr. 20) „Dėl Elektroninės bankininkystės rizikos stebėjimo ir valdymo bendrųjų nuostatų“.

3. Nustatyti, kad:

3.1. šis nutarimas, išskyrus šiuo nutarimu patvirtintų Minimalių saugumo reikalavimų, keliamų internetu atliekamiems mokėjimams, IX skyrių, 4.6, 49.3 papunkčius ir 50 punktą, įsigalioja 2015 m. lapkričio 1 d.;

3.2. šiuo nutarimu patvirtintų Minimalių saugumo reikalavimų, keliamų internetu atliekamiems mokėjimams, IX skyrius, 4.6, 49.3 papunkčiai ir 50 punktas įsigalioja 2016 m. sausio 1 d.

Punkto pakeitimai:

Nr. 03-146, 2015-09-29, paskelbta TAR 2015-09-30, i. k. 2015-14491

 

4. Nustatyti, kad mokėjimo paslaugų teikėjai šiuo nutarimu patvirtintų Minimalių saugumo reikalavimų, keliamų internetu atliekamiems mokėjimams, IX skyriaus, 4.6, 49.3 papunkčių ir 50 punkto nuostatas asmenims, esantiems 2016 m. sausio 1 d. mokėjimo paslaugų teikėjų klientais, taiko ne vėliau kaip nuo 2016 m. balandžio 1 d.

Papildyta punktu:

Nr. 03-167, 2015-10-30, paskelbta TAR 2015-10-30, i. k. 2015-17196

 

 

 

 

Valdybos pirmininkas                                                                                             Vitas Vasiliauskas

 

PATVIRTINTA

Lietuvos banko valdybos

2018 m. gruodžio 20 d. nutarimu Nr. 03-265

 

 

MINIMALŪS SAUGUMO REIKALAVIMAI, KELIAMI INTERNETU ATLIEKAMIEMS MOKĖJIMAMS

 

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Minimalių saugumo reikalavimų, keliamų internetu atliekamiems mokėjimams, (toliau – Minimalūs saugumo reikalavimai) privalo laikytis mokėjimo paslaugų teikėjai (MPT), kurie veikia pagal Lietuvos Respublikos mokėjimų įstatymą ir vykdo bent vieną iš šio dokumento 8 punkte nurodytų operacijų.

2. Šio dokumento nuostatos Europos Sąjungos valstybėse narėse licencijuotų užsienio mokėjimo paslaugų teikėjų Lietuvos Respublikoje įsteigtiems filialams taikomos mutatis mutandis.

3. Minimalūs saugumo reikalavimai parengti atsižvelgus į 2013 m. sausio 31 d. Europos Centrinio Banko išleistas Rekomendacijas dėl internetu atliekamų mokėjimų saugumo (angl. Recommendations for the Security of Internet Payments).

4. Pagrindinės sąvokos:

4.1autentiškumo patvirtinimas (angl. authentication) – MPT taikoma konkrečios mokėjimo priemonės vartotojo tapatybės tikrinimo procedūra, per kurią naudojami personalizuoti saugumo požymiai arba tikrinami personalizuoti tapatybės dokumentai;

4.2autorizavimas (angl. authorisation) – procedūra, kuria patikrinama vartotojo arba MPT teisė atlikti tam tikrą veiksmą (pvz., pervesti lėšas arba prieiti prie neskelbtinų mokėjimo duomenų);

4.3didelis mokėjimo saugumo incidentas (angl. major payment security incident) –esminį poveikį MPT sistemų saugumui, integralumui arba tęstinumui ir (arba) lėšų ar neskelbtinų duomenų saugumui turintis arba galintis turėti incidentas. Esminis poveikis nustatomas pagal potencialiai paveiktų lėšų dydį, klientų skaičių, poveikį kitiems MPT arba kitai mokėjimo infrastruktūrai;

4.4elektroninė prekyba (angl. e-commerce) – veikla, apimanti pirkimo–pardavimo sutarčių sudarymą, prireikus ir vykdymą informacinių technologijų priemonėmis keičiantis elektroniniais duomenų pranešimais;

4.5elektroninės prekybos vykdytojas (angl. e-merchant) – fizinis arba juridinis asmuo, Lietuvos Respublikos įstatymų nustatyta tvarka besiverčiantis elektronine prekyba;

4.6griežtas kliento autentiškumo patvirtinimas (angl. strong customer authentication) – fizinio arba juridinio asmens tapatybės patvirtinimo procedūra, grindžiama naudojimu dviejų arba daugiau elementų, kurie skirstomi į žinojimo (pvz., nuolatinis slaptažodis, kodas, asmens identifikavimo numeris), turėjimo (pvz., laikmena (angl. token), lustinė kortelė (angl. smart card), mobilusis telefonas) ir būdingumo (pvz., tokie biometriniai duomenys kaip pirštų atspaudai) kategorijas ir yra vienas su kitu nesusiję, nes vieną iš jų pažeidus nesumažėja kitų patikimumas. Bent vienas iš šių elementų turi atitikti visus šiuos požymius: 1) elemento generuojama informacija turi būti tinkama panaudoti tik vieną kartą; 2) elementas turi būti apsaugotas nuo neteisėto kopijavimo (išskyrus įstatymuose nustatytus atvejus); 3) elementas turi būti apsaugotas nuo vagystės internetu;

4.7mokėjimo kortelės operacija (angl. payment card operation) – mokėjimo operacija mokėjimo kortele arba naudojant mokėjimo kortelės operacijos infrastruktūrą, grindžiamą mokėjimo kortelės operacijų veiklos vykdymo taisyklėmis;

4.8mokėjimo priemonių priėmimo paslauga (angl. acquiring) – MPT gavėjui teikiama mokėjimo paslauga, siekiant sudaryti sąlygas gavėjui disponuoti lėšomis, gautomis panaudojus mokėtojo turimą mokėjimo priemonę;

4.9mokėjimo schema (angl. payment scheme) – bendras mokėjimo operacijoms taikomų taisyklių, procedūrų, standartų ir (arba) įgyvendinimo gairių rinkinys, dėl kurio susitarė du arba daugiau MPT;

4.10neskelbtini mokėjimo duomenys (angl. sensitive payment data) – mokėjimo kortelės operacijos inicijavimo duomenys, personalizuoti saugumo požymiai, užsakytų mokėjimo priemonių ir personalizuotų saugumo požymių siuntimo duomenys, taip pat duomenys, parametrai ir programinė įranga, kurie, jeigu būtų pakeisti, galėtų sutrukdyti teisėtai šaliai patikrinti arba autorizuoti mokėjimo operacijas, arba užtikrinti mokėjimo sąskaitos kontrolę;

4.11operacijos rizikos analizė (angl. transaction risk analysis) – rizikos, susijusios su konkrečia mokėjimo operacija, įvertinimas pagal pasirinktus kriterijus (pvz., įprastinis vartotojo elgesys, operacijos suma, pardavėjo ir (arba) produkto pobūdis);

4.12personalizuoti saugumo požymiai (angl. Credentials) – konfidenciali informacija, skirta autentiškumui patvirtinti. Tai apima priemones informacijai parengti (pvz., vienkartinio slaptažodžio generatorius, lustinė kortelė), taip pat elementus, kuriuos vartotojas turi įsiminti arba kurie sietini su vartotoju (pvz., biometrinės charakteristikos);

4.13skaitmeninė piniginė (angl. wallet solution) – programinė priemonė, kurią naudodamas vartotojas gali užregistruoti vienos ar kelių mokėjimo priemonių duomenis ir atsiskaityti su elektroninės prekybos vykdytoju;

4.14trečiosios šalies prieiga prie mokėjimo sąskaitos (angl. third-party accesses the customer’s payment account) – šalies, kuri nėra sąskaitą tvarkantis mokėjimo paslaugų teikėjas, prieiga prie mokėjimo sąskaitos, siekiant gauti sąskaitos informaciją ir (arba) inicijuoti mokėjimo operaciją gavus mokėjimo paslaugų vartotojo, kuriam priklauso mokėjimo sąskaita, sutikimą;

4.15virtualioji mokėjimo kortelė (angl. virtual cards) – mokėjimo priemonė, kai MPT vartotojui suteikia trumpalaikius mokėjimo kortelės operacijos duomenis ir nustato operacijų limitą.

4.16. Kitos vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos mokėjimų įstatyme, Lietuvos Respublikos mokėjimo įstaigų įstatyme, Lietuvos Respublikos elektroninių pinigų ir elektroninių pinigų įstaigų įstatyme, Lietuvos Respublikos atsiskaitymų baigtinumo mokėjimo ir vertybinių popierių atsiskaitymo sistemose įstatyme.

5. MPT Minimalius saugumo reikalavimus taiko proporcingai, atsižvelgdamas į subjekto dydį, organizacinę struktūrą, veiklos pobūdį, mastą ir sudėtingumą.

6. MPT sutartiniais pagrindais turi užtikrinti, kad teikiantiems mokėjimo priemonių priėmimo paslaugą elektroninės prekybos vykdytojams tarpininkaujantys techniniai paslaugų teikėjai, kurie pagal Lietuvos Respublikos mokėjimų įstatymą nėra laikomi MPT, atitiktų Minimalius saugumo reikalavimus.

7. Šiame dokumente nustatyti minimalūs saugumo reikalavimai, keliami internetu atliekamiems mokėjimams. MPT ir elektroninės prekybos vykdytojai skatinami įdiegti papildomų saugumo priemonių, atsižvelgdami į veiklos pobūdį ir kylančias rizikas.

 

II SKYRIUS

TAIKYMO SRITIS

 

8. Minimalūs saugumo reikalavimai taikomi operacijoms, kurios inicijuotos naudojant telekomunikacijų galinius įrenginius, skaitmeninius arba informacinių technologijų įrenginius per interneto naršyklę, t. y.:

8.1. internetu atliekamoms mokėjimo kortelių, įskaitant virtualiąsias korteles, operacijoms;

8.2. mokėjimo kortelės, naudojamos kaip skaitmeninė piniginė, duomenų registracijai;

8.3. internetu inicijuotiems kredito pervedimams;

8.4. internetu inicijuotiems elektroninių pinigų pervedimams tarp sąskaitų, skirtų elektroninių pinigų apskaitai tvarkyti, ir internetu inicijuotoms mokėjimo operacijoms, skirtoms pervesti už elektroninių pinigų išpirkimą gautas lėšas.

9. Šio dokumento reikalavimai netaikomi:

9.1. kitoms MPT internetu teikiamoms paslaugoms, kurios prieinamos per internetinės bankininkystės sistemą (pvz., sutarčių sudarymas, vertybinių popierių operacijos);

9.2. mokėjimo operacijoms, kai mokėjimo nurodymas pateikiamas paštu, telefonu arba SMS žinute;

9.3. mokėjimo operacijoms, kurios inicijuojamos, kai telekomunikacijų galiniai įrenginiai, skaitmeniniai arba informacinių technologijų įrenginiai naudojami neapsiribojant interneto naršyklės palaikymu (pvz., kai tokie įrenginiai naudojami atliekant bekontaktes mokėjimo kortelių operacijas arba kai mokėjimai inicijuojami pasitelkiant iš anksto į įrenginį įdiegtą mokėjimo programėlę (angl. App);

9.4. kredito pervedimams, kai tokios operacijos inicijuojamos pasinaudojant trečiosios šalies prieiga prie mokėjimo sąskaitos;

9.5. juridinių asmenų inicijuotoms mokėjimo operacijoms per specializuotąjį ryšio tinklą (angl. Dedicated network), prie kurio prieiga galima tik registruotiems vartotojams;

9.6. mokėjimo kortelės operacijoms, jeigu mokėjimo priemonė naudojama anonimiškai ir negali būti papildoma lėšomis arba mokėjimo priemonė yra virtualioji iš anksto apmokėta kortelė, o sutartiniai santykiai tarp kortelę išdavusio MPT ir mokėtojo yra vienkartinio pobūdžio;

9.7. mokėjimo operacijoms, vykdomoms mokėjimo ir vertybinių popierių atsiskaitymo sistemose.

 

III SKYRIUS

SAUGUMO INCIDENTAI IR RIZIKOS VALDYMAS

 

10. Mokėjimo priemonių priėmimo paslaugą elektroninės prekybos vykdytojams teikiantys MPT paslaugų teikimo sutartyje turi nustatyti elektroninės prekybos vykdytojo, kuris saugo, apdoroja arba perduoda neskelbtinus mokėjimo duomenis, pareigą bendradarbiauti su MPT ir su atitinkamomis teisėsaugos institucijomis dėl didelių mokėjimo saugumo incidentų, įskaitant duomenų nutekinimą. MPT paslaugų teikimo sutartyje taip pat turi numatyti, kad elektroninės prekybos vykdytojui nesilaikant įsipareigojimo MPT turi teisę nutraukti paslaugų teikimo sutartį arba imtis alternatyvių priemonių siekiant užtikrinti, kad sutartinio įsipareigojimo būtų laikomasi.

11. Mokėjimo priemonių priėmimo paslaugą elektroninės prekybos vykdytojams teikiantys MPT turi paslaugų teikimo sutartyje nustatyti elektroninės prekybos vykdytojo, kuris saugo, apdoroja arba perduoda neskelbtinus mokėjimo duomenis, pareigą įdiegti tinkamas ir veiksmingas saugumo priemones elektroninės prekybos vykdytojo informacinėse sistemose. MPT paslaugų teikimo sutartyje taip pat turi numatyti, kad elektroninės prekybos vykdytojui nesilaikant įsipareigojimo MPT turi teisę nutraukti paslaugų teikimo sutartį arba imtis alternatyvių priemonių siekiant užtikrinti, kad sutartinio įsipareigojimo būtų laikomasi.

 

IV SKYRIUS

TAPATYBĖS NUSTATYMAS IR INFORMACIJA MOKĖJIMO PASLAUGŲ VARTOTOJAMS

 

12. Prieš suteikdamas galimybę inicijuoti internetu atliekamus mokėjimus, MPT turi:

12.1. nustatyti mokėjimo paslaugų vartotojo tapatybę pagal tinkamus tapatybę patvirtinančius dokumentus arba duomenis (pvz., pasas, asmens tapatybės kortelė, saugus elektroninis parašas). Atskiras tapatybės nustatymo procesas nėra būtinas, jei mokėjimo paslaugų vartotojo tapatybė buvo nustatyta teikiant kitas mokėjimo paslaugas arba atidarant sąskaitą;

12.2. atlikti mokėjimo paslaugų vartotojo tikrinimo procedūrą pagal galiojančius pinigų plovimo ir terorizmo finansavimo prevenciją reglamentuojančius teisės aktus;

12.3. gauti mokėjimo paslaugų vartotojo prašymą (pvz., sutarties sudarymo metu, techninio mokėjimo priemonės aktyvavimo metu) inicijuoti internetu atliekamus mokėjimus;

12.4 pateikti mokėjimo paslaugų vartotojams informaciją apie būdingą riziką ir apie reikalavimus, skirtus operacijų saugumui užtikrinti, t. y.:

12.4.1. aiškią informaciją apie mokėjimo paslaugų vartotojų įrangai, programinei įrangai, papildomoms priemonėms (pvz., antivirusinei programinei įrangai, užkardoms (angl. firewall) keliamus reikalavimus;

12.4.2. personalizuotų saugumo požymių naudojimo gaires;

12.4.3. išsamią instrukciją, kaip mokėjimo paslaugų vartotojas turėtų pateikti, autorizuoti ir gauti informaciją apie mokėjimo operaciją, įskaitant kiekvieno veiksmo padarinius;

12.4.4. mokėjimo paslaugų vartotojui suteiktos techninės ir programinės įrangos tinkamo naudojimo gaires;

12.4.5. mokėjimo paslaugų vartotojo veiksmus praradus personalizuotus saugumo požymius arba kitą jam suteiktą techninę ir programinę įrangą arba įtarus sukčiavimą;

12.4.6. MPT ir mokėjimo paslaugų vartotojo atsakomybės bei įsipareigojimų, susijusių su internetu atliekamų mokėjimų paslauga, aprašymą.

13. Bendrojoje mokėjimo paslaugų sutartyje su mokėjimo paslaugų vartotoju MPT turi nurodyti mokėjimo priemonės arba atskiros operacijos blokavimo, blokavimo panaikinimo arba mokėjimo priemonės pakeitimo nauja mokėjimo priemone sąlygas ir tarpusavio informavimo būdus.

14. MPT turi užtikrinti, kad šio dokumento 12.4 papunktyje nurodyta informacija būtų nuolat atnaujinama ir mokėjimo paslaugų vartotojams prieinama patogia ir aiškia forma (pvz., MPT interneto svetainėje, lankstinukuose).

 

V SKYRIUS

GRIEŽTAS KLIENTO AUTENTIŠKUMO PATVIRTINIMAS

 

15. Autorizuodami šio dokumento 8.1 papunktyje nurodytas mokėjimo operacijas, mokėjimo korteles išduodantys MPT turi taikyti griežtą kliento autentiškumo patvirtinimą. Visos išduotos mokėjimo kortelės turi būti techniškai parengtos griežtam kliento autentiškumo patvirtinimui.

16. Mokėjimo priemonių priėmimo paslaugą elektroninės prekybos vykdytojams teikiantys MPT turi užtikrinti, kad jo techninės priemonės leistų mokėjimo korteles išduodančiam MPT taikyti griežtą kliento autentiškumo patvirtinimą tose mokėjimo kortelių schemose, kuriose elektroninės prekybos vykdytojo MPT dalyvauja, ir reikalauti, kad elektroninės prekybos vykdytojas užtikrintų naudosiąs atitinkamas technines priemones, išskyrus 17 punkte nustatytus atvejus.

17. Mokėjimo priemonių priėmimo paslaugą elektroninės prekybos vykdytojams teikiantys MPT gali leisti elektroninės prekybos vykdytojui nustatyti alternatyvų autentiškumo patvirtinimą mažos rizikos operacijoms.

18. Vykdydami šio dokumento 8.2 papunktyje nurodytas operacijas skaitmeninės piniginės paslaugų teikėjai turi taikyti griežtą kliento autentiškumo patvirtinimą iš mokėjimo kortelę išduodančio MPT.

19. Skaitmeninės piniginės paslaugų teikėjai turi techniškai palaikyti griežtą kliento autentiškumo patvirtinimą, kai mokėjimo paslaugų vartotojas jungiasi prie skaitmeninės piniginės paslaugų arba vykdo šio dokumento 8.1 papunktyje nurodytas operacijas. Skaitmeninės piniginės paslaugų teikėjai gali nustatyti alternatyvų autentiškumo patvirtinimą mažos rizikos operacijoms.

20. Virtualiąsias mokėjimo korteles išduodantys MPT turi užtikrinti, kad (pirminė) tokių kortelių registracija būtų atliekama saugioje ir patikimoje aplinkoje. Tai apima MPT patalpas, internetinės bankininkystės arba kitą saugią interneto svetainę, bankomatus. Naudojantis bankomatais turi būti taikomas griežtas kliento autentiškumo patvirtinimas. Tam gali būti naudojamas kortelės lustas ir PIN kodas arba lustas ir biometrikos elementas. Jei virtualioji mokėjimo kortelė išduodama tik internetu, kortelės duomenų generavimo procese MPT turi taikyti griežtą kliento autentiškumo patvirtinimą.

21. Autorizuojant šio dokumento 8.3 ir 8.4 papunkčiuose nurodytas mokėjimo operacijas, įskaitant sugrupuotus kredito pervedimus, MPT turi taikyti griežtą kliento autentiškumo patvirtinimą, išskyrus šio dokumento 22 punkte nurodytus atvejus.

22. MPT gali netaikyti griežto kliento autentiškumo patvirtinimo šioms mokėjimo operacijoms:

22.1. antram ir paskesniems mokėjimo nurodymams, skirtiems mokėjimo paslaugų vartotojo nustatytiems gavėjams;

22.2. mokėjimo nurodymams tarp dviejų to paties mokėjimo paslaugų vartotojo sąskaitų, esančių viename MPT;

22.3. mokėjimo nurodymams tarp dviejų mokėjimo sąskaitų, esančių viename MPT, jei operacijos rizika yra pagrįsta;

22.4. mažos vertės mokėjimo operacijoms, kaip nustatyta Lietuvos Respublikos mokėjimų įstatyme.

23. Suteikdamas prieigą prie neskelbtinų mokėjimo duomenų ir keisdamas nustatytą gavėjų sąrašą MPT turi taikyti griežtą kliento autentiškumo patvirtinimą, išskyrus atvejus, kai MPT teikia konsultacines paslaugas ir neatskleidžia neskelbtinų mokėjimo duomenų.

24. MPT ir elektroninės prekybos vykdytojui keičiantis elektroniniais pranešimais, kuriais inicijuojami internetu atliekami mokėjimai arba suteikiama prieiga prie neskelbtinų mokėjimo duomenų, MPT turi užtikrinti tinkamą abipusį autentiškumo patvirtinimą.

25. Griežtas kliento autentiškumo patvirtinimas gali apimti elementus, susiejančius autentiškumo patvirtinimą su konkrečia suma ir gavėju. Toks technologinis sprendimas, susijęs su griežtu kliento autentiškumo patvirtinimu ir mokėjimo operacijų duomenimis, turi būti apsaugotas nuo bet kokių neteisėtų pakeitimų.

 

VI SKYRIUS

PERSONALIZUOTI SAUGUMO POŽYMIAI

 

26. MPT turi užtikrinti, kad personalizuoti saugumo požymiai arba programinė įranga, naudojama internetu atliekamiems mokėjimams, mokėjimo paslaugų vartotojams būtų perduodami saugiai pagal šiuos reikalavimus:

26.1. susijusios procedūros turi būti saugios ir veiksmingos ir atliekamos saugioje ir patikimoje aplinkoje, atsižvelgiant į galimas rizikas, kylančias dėl įrangos, kurios MPT nekontroliuoja;

26.2. programinės įrangos, pateikiamos internetu, autentiškumas turi būti patvirtintas MPT elektroniniu parašu;

26.3. mokėjimo paslaugų vartotojas turi turėti galimybę aktyvuoti (užregistruoti) mokėjimo kortelę griežtam kliento autentiškumo patvirtinimui, neatsižvelgiant į konkretų pirkinį internetu.

27. Mokėjimo korteles išduodantys MPT turi aktyviai skatinti mokėjimo paslaugų vartotojus aktyvuoti (užregistruoti) mokėjimo kortelę griežtam kliento autentiškumo patvirtinimui, išskyrus atvejus, jei tai pateisinama maža operacijos rizika.

 

VII SKYRIUS

PAPILDOMOS SAUGUMO PRIEMONĖS

 

28. Kai autentiškumo patvirtinimo procedūroje naudojami vienkartiniai slaptažodžiai, MPT turi užtikrinti, kad tokių slaptažodžių galiojimo trukmė būtų apribota iki minimaliai būtinos.

29. MPT turi nustatyti didžiausią leistiną nepavykusių autentiškumo patvirtinimo mėginimų skaičių, kurį viršijus mokėjimo paslaugų vartotojo prieiga prie internetu atliekamų mokėjimo paslaugų būtų užblokuota. MPT taip pat turi turėti saugią blokavimo panaikinimo procedūrą.

30. MPT turi nustatyti ilgiausią neaktyvios prisijungimo sesijos trukmę, po kurios internetu atliekamų mokėjimo paslaugų sesija turi būti nutraukta.

 

VIII SKYRIUS

SUKČIAVIMO NUSTATYMAS IR PREVENCIJA

 

31. MPT turi įdiegti sukčiavimo nustatymo ir prevencijos sistemas, siekdamas nustatyti įtartiną operaciją dar iki mokėjimo nurodymo gavimo momento, nurodyto Lietuvos Respublikos mokėjimų įstatyme. Sukčiavimo nustatymo ir prevencijos sistemos turi gebėti nustatyti neįprastą mokėjimo paslaugų vartotojo elgesį, identifikuoti užkrato prisijungimo sesijose požymius ir atpažinti žinomus apgaulės scenarijus. Stebėjimo sistemų mastas ir sudėtingumas turi būti proporcingas atitinkamų operacijų rizikai.

32. Mokėjimo priemonių priėmimo paslaugą elektroninės prekybos vykdytojams teikiantys MPT turi įtraukti į operacijos autorizavimo pranešimą, pateikiamą mokėjimo korteles išduodančiam MPT, elektroninės prekybos vykdytojo kategorijos kodą, jei tokius kodus nustatė už mokėjimo schemų veikimą pagal schemos taisykles, plėtrą ir priežiūrinių reikalavimų atitikimą atsakinga įstaiga (angl. Governance authority).

33. Mokėjimo priemonių priėmimo paslaugą elektroninės prekybos vykdytojams teikiantys MPT turi įdiegti sukčiavimo nustatymo ir prevencijos sistemas, skirtas elektroninės prekybos vykdytojų prekybos vietose inicijuotoms mokėjimo operacijoms stebėti.

34. MPT turi patikrinti, ar operacija nėra apgaulinga, per kuo trumpesnį laiką.

35. MPT turi išnagrinėti blokuotas įtartinas mokėjimo operacijas ir priimti sprendimą dėl tolesnių veiksmų per kuo trumpesnį laiką.

 

IX SKYRIUS

NESKELBTINŲ MOKĖJIMO DUOMENŲ APSAUGA

 

36. Personalizuoti saugumo požymiai ir mokėjimo paslaugų vartotojo sąsaja (MPT arba elektroninės prekybos vykdytojo interneto svetainė) turi būti tinkamai apsaugoti nuo vagystės, neteisėtos prieigos arba modifikavimo.

37. MPT turi užtikrinti, kad perduodamos neskelbtinus mokėjimo duomenis internetu šalys ryšio sesijos metu taikytų saugų šifravimą (nuo pradžios iki pabaigos, angl. End-to-end) naudodamos patikimus ir plačiai pripažintus šifravimo būdus.

38. Mokėjimo priemonių priėmimo paslaugą elektroninės prekybos vykdytojams teikiantys MPT turi skatinti elektroninės prekybos vykdytojus nekaupti jokių neskelbtinų mokėjimo duomenų. Kai elektroninės prekybos vykdytojai tvarko neskelbtinus mokėjimo duomenis, t. y. saugo, apdoroja arba perduoda, MPT paslaugų teikimo sutartyje turi nustatyti elektroninės prekybos vykdytojo pareigą įdiegti duomenų apsaugos priemones. MPT paslaugų teikimo sutartyje taip pat turi numatyti, kad elektroninės prekybos vykdytojui nesilaikant įsipareigojimo MPT turi teisę nutraukti paslaugų teikimo sutartį arba imtis alternatyvių priemonių siekiant užtikrinti, kad sutartinių įsipareigojimų būtų laikomasi.

 

X SKYRIUS

VARTOTOJŲ INFORMAVIMAS IR ŠVIETIMAS

 

39. Mokėjimo priemonių priėmimo paslaugą elektroninės prekybos vykdytojams teikiantys MPT paslaugų teikimo sutartyje turi nustatyti elektroninės prekybos vykdytojo pareigą aiškiai atskirti su mokėjimu susijusius procesus nuo kitų elektroninės parduotuvės procesų ir mokėjimo paslaugų vartotojams turi užtikrinti, kad jie atpažintų, kada jungiasi su MPT, o kada su elektroninės prekybos vykdytoju.

 

XI SKYRIUS

OPERACIJŲ BŪSENOS PATIKRINIMAS

 

40. Autorizavus šio dokumento 8.3 ir 8.4 papunkčiuose nurodytas mokėjimo operacijas, MPT turi sudaryti mokėjimo paslaugų vartotojams galimybę saugioje ir patikimoje aplinkoje nedelsiant patikrinti operacijos vykdymo būseną ir sąskaitos likutį, išskyrus techninės priežiūros laikotarpį arba įvykus dideliam incidentui.

41. Išsamias elektronines ataskaitas MPT turi pateikti saugioje ir patikimoje aplinkoje, o informuodamas apie sudarytas elektronines ataskaitas (pvz., SMS žinute, el. laišku) MPT turi užtikrinti, kad neskelbtini mokėjimo duomenys nebus atskleisti.

______________________

 

Priedo pakeitimai:

Nr. 03-265, 2018-12-20, paskelbta TAR 2018-12-22, i. k. 2018-21288

 

 

 

Pakeitimai:

 

1.

Lietuvos bankas, Nutarimas

Nr. 03-146, 2015-09-29, paskelbta TAR 2015-09-30, i. k. 2015-14491

Dėl Lietuvos banko valdybos 2014 m. rugsėjo 30 d. nutarimo Nr. 03-172 „Dėl Minimalių saugumo reikalavimų, keliamų internetu atliekamiems mokėjimams, patvirtinimo“ pakeitimo

 

2.

Lietuvos bankas, Nutarimas

Nr. 03-167, 2015-10-30, paskelbta TAR 2015-10-30, i. k. 2015-17196

Dėl Lietuvos banko valdybos 2014 m. rugsėjo 30 d. nutarimo Nr. 03-172 „Dėl Minimalių saugumo reikalavimų, keliamų internetu atliekamiems mokėjimams, patvirtinimo“ papildymo

 

3.

Lietuvos bankas, Nutarimas

Nr. 03-265, 2018-12-20, paskelbta TAR 2018-12-22, i. k. 2018-21288

Dėl Lietuvos banko valdybos 2014 m. rugsėjo 30 d. nutarimo Nr. 03-172 „Dėl Minimalių saugumo reikalavimų, keliamų internetu atliekamiems mokėjimams patvirtinimo“ pakeitimo