LIETUVOS BANKO VALDYBA

NUTARIMAS

DĖL MINIMALIŲ SAUGUMO REIKALAVIMŲ, KELIAMŲ INTERNETU ATLIEKAMIEMS MOKĖJIMAMS, PATVIRTINIMO

2014 m. rugsėjo 30 d. Nr. 03-172

Vilnius

Vadovaudamasi Lietuvos Respublikos Lietuvos banko įstatymo 42 straipsnio 3 dalies 1 punktu, Lietuvos banko valdyba n u t a r i a:

1. Patvirtinti Minimalius saugumo reikalavimus, keliamus internetu atliekamiems mokėjimams (pridedama).

2. Pripažinti netekusiu galios Lietuvos banko valdybos 2001 m. rugpjūčio 23 d. protokolinį nutarimą (protokolas Nr. 20) „Dėl Elektroninės bankininkystės rizikos stebėjimo ir valdymo bendrųjų nuostatų“.

3. Nustatyti, kad šis nutarimas įsigalioja 2015 m. lapkričio 1 d.

Valdybos pirmininkas Vitas Vasiliauskas

PATVIRTINTA

Lietuvos banko valdybos

2014 m. rugsėjo 30 d.

nutarimu Nr. 03-172

MINIMALŪS SAUGUMO REIKALAVIMAI, KELIAMI INTERNETU ATLIEKAMIEMS MOKĖJIMAMS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Minimalių saugumo reikalavimų, keliamų internetu atliekamiems mokėjimams, (toliau – Minimalūs saugumo reikalavimai) privalo laikytis mokėjimo paslaugų teikėjai (toliau – MPT), kurie veikia pagal Lietuvos Respublikos mokėjimų įstatymą ir vykdo bent vieną iš šio dokumento 8 punkte nustatytų operacijų.

2. Šio dokumento nuostatos Europos Sąjungos valstybėse narėse licencijuotų užsienio mokėjimo paslaugų teikėjų Lietuvos Respublikoje įsteigtiems filialams taikomos mutatis mutandis.

3. Minimalūs saugumo reikalavimai parengti atsižvelgiant į 2013 m. sausio 31 d. Europos Centrinio Banko išleistas Rekomendacijas dėl internetu atliekamų mokėjimų saugumo (angl. Recommendations for the Security of Internet Payments).

4. Pagrindinės sąvokos:

4.1. Autentiškumo patvirtinimas (angl. authentication) – MPT taikoma konkrečios mokėjimo priemonės vartotojo tapatybės tikrinimo procedūra, per kurią naudojami personalizuoti saugumo požymiai arba tikrinami personalizuoti tapatybės dokumentai.

4.2. Autorizavimas (angl. authorisation) – procedūra, kuria patikrinama vartotojo arba MPT teisė atlikti tam tikrą veiksmą (pavyzdžiui, pervesti lėšas arba prieiti prie neskelbtinų mokėjimo duomenų).

4.3. Didelis mokėjimo saugumo incidentas (angl. major payment security incident) –esminį poveikį MPT sistemų saugumui, integralumui arba tęstinumui ir (arba) lėšų ar neskelbtinų duomenų saugumui turintis arba galintis turėti incidentas. Esminis poveikis nustatomas pagal potencialiai paveiktų lėšų dydį, klientų skaičių, poveikį kitiems MPT arba kitai mokėjimo infrastruktūrai.

4.4. Elektroninė prekyba (angl. e-commerce) – veikla, apimanti pirkimo–pardavimo sutarčių sudarymą, prireikus, ir vykdymą informacinių technologijų priemonėmis keičiantis elektroniniais duomenų pranešimais.

4.5. Elektroninės prekybos vykdytojas (angl. e-merchant) – fizinis arba juridinis asmuo, Lietuvos Respublikos įstatymų nustatyta tvarka besiverčiantis elektronine prekyba.

4.6. Griežtas kliento autentiškumo patvirtinimas (angl. strong customer authentication) – fizinio arba juridinio asmens tapatybės patvirtinimo procedūra, grindžiama naudojimu dviejų arba daugiau elementų, kurie skirstomi į žinojimo (pavyzdžiui, nuolatinis slaptažodis, kodas, asmens identifikavimo numeris), turėjimo (pavyzdžiui, laikmena (angl. token), lustinė kortelė (angl. smart card), mobilusis telefonas) ir būdingumo (pavyzdžiui, biometriniai duomenys, tokie kaip pirštų atspaudai) kategorijas ir yra vienas su kitu nesusiję, nes vieną iš jų pažeidus nesumažėja kitų patikimumas. Bent vienas iš šių elementų turi atitikti visus šiuos požymius: 1) elemento generuojama informacija turi būti tinkama panaudoti tik vieną kartą; 2) elementas turi būti apsaugotas nuo neteisėto kopijavimo (išskyrus įstatymų nustatytus atvejus); 3) elementas turi būti apsaugotas nuo vagystės internetu.

4.7. Mokėjimo kortelės operacija (angl. payment card operation) – mokėjimo operacija mokėjimo kortele arba naudojant mokėjimo kortelės operacijos infrastruktūrą, grindžiamą mokėjimo kortelės operacijų veiklos vykdymo taisyklėmis.

4.8. Mokėjimo priemonių priėmimo paslauga (angl. acquiring) – MPT gavėjui teikiama mokėjimo paslauga, siekiant sudaryti sąlygas gavėjui disponuoti lėšomis, gautomis panaudojus mokėtojo turimą mokėjimo priemonę.

4.9. Mokėjimo schema (angl. payment scheme) – bendras mokėjimo operacijoms taikomų taisyklių, procedūrų, standartų ir (arba) įgyvendinimo gairių rinkinys, dėl kurio susitarė du arba daugiau MPT.

4.10. Neskelbtini mokėjimo duomenys (angl. sensitive payment data) – mokėjimo kortelės operacijos inicijavimo duomenys, personalizuoti saugumo požymiai, užsakytų mokėjimo priemonių ir personalizuotų saugumo požymių siuntimo duomenys, taip pat duomenys, parametrai ir programinė įranga, kurie, jeigu būtų pakeisti, galėtų sutrukdyti teisėtai šaliai patikrinti arba autorizuoti mokėjimo operacijas, arba užtikrinti mokėjimo sąskaitos kontrolę.

4.11. Operacijos rizikos analizė (angl. transaction risk analysis) – rizikos, susijusios su konkrečia mokėjimo operacija, įvertinimas pagal pasirinktus kriterijus (pavyzdžiui, įprastinis vartotojo elgesys, operacijos suma, pardavėjo ir (arba) produkto pobūdis).

4.12. Personalizuoti saugumo požymiai (angl. Credentials) – konfidenciali informacija, skirta autentiškumui patvirtinti. Tai apima priemones informacijai parengti (pavyzdžiui, vienkartinio slaptažodžio generatorius, lustinė kortelė), taip pat elementus, kuriuos vartotojas turi įsiminti arba kurie sietini su vartotoju (pavyzdžiui, biometrinės charakteristikos).

4.13. Skaitmeninė piniginė (angl. wallet solution) – programinė priemonė, kurią naudodamas vartotojas gali užregistruoti vienos ar kelių mokėjimo priemonių duomenis ir atsiskaityti su elektroninės prekybos vykdytoju.

4.14. Trečiosios šalies prieiga prie mokėjimo sąskaitos (angl. third-party accesses the customer’s payment account) – šalies, kuri nėra sąskaitą tvarkantis mokėjimo paslaugų teikėjas, prieiga prie mokėjimo sąskaitos, siekiant gauti sąskaitos informaciją ir (arba) inicijuoti mokėjimo operaciją gavus mokėjimo paslaugų vartotojo, kuriam priklauso mokėjimo sąskaita, sutikimą.

4.15. Virtualioji mokėjimo kortelė (angl. virtual cards) – mokėjimo priemonė, kai MPT vartotojui suteikia trumpalaikius mokėjimo kortelės operacijos duomenis ir nustato operacijų limitą.

4.16. Kitos vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos mokėjimų įstatyme, Lietuvos Respublikos mokėjimo įstaigų įstatyme, Lietuvos Respublikos elektroninių pinigų ir elektroninių pinigų įstaigų įstatyme, Lietuvos Respublikos atsiskaitymų baigtinumo mokėjimo ir vertybinių popierių atsiskaitymo sistemose įstatyme.

5. MPT Minimalius saugumo reikalavimus taiko proporcingai, atsižvelgdamas į subjekto dydį, organizacinę struktūrą, veiklos pobūdį, mastą ir sudėtingumą.

6. MPT sutartiniais pagrindais turi užtikrinti, kad teikiantiems mokėjimo priemonių priėmimo paslaugą elektroninės prekybos vykdytojams tarpininkaujantys techniniai paslaugų teikėjai, kurie pagal Lietuvos Respublikos mokėjimų įstatymą nėra laikomi MPT, atitiktų Minimalius saugumo reikalavimus.

7. Šiame dokumente nustatyti minimalūs saugumo reikalavimai, keliami internetu atliekamiems mokėjimams. MPT ir elektroninės prekybos vykdytojai skatinami įdiegti papildomų saugumo priemonių, atsižvelgdami į veiklos pobūdį ir kylančias rizikas.

II SKYRIUS

TAIKYMO SRITIS

8. Minimalūs saugumo reikalavimai taikomi operacijoms, kurios inicijuotos naudojant telekomunikacijų galinius įrenginius, skaitmeninius arba informacinių technologijų įrenginius per interneto naršyklę, t. y.:

8.1. internetu atliekamoms mokėjimo kortelių, įskaitant virtualiąsias korteles, operacijoms;

8.2. mokėjimo kortelės, naudojamos kaip skaitmeninė piniginė, duomenų registracijai;

8.3. internetu inicijuotiems kredito pervedimams;

8.4. internetu inicijuotiems elektroninių pinigų pervedimams tarp sąskaitų, skirtų elektroninių pinigų apskaitai tvarkyti, ir internetu inicijuotoms mokėjimo operacijoms, skirtoms pervesti už elektroninių pinigų išpirkimą gautas lėšas.

9. Šio dokumento reikalavimai netaikomi:

9.1. kitoms MPT internetu teikiamoms paslaugoms, kurios prieinamos per internetinės bankininkystės sistemą (pavyzdžiui, sutarčių sudarymas, vertybinių popierių operacijos);

9.2. mokėjimo operacijoms, kai mokėjimo nurodymas pateikiamas paštu, telefonu arba SMS žinute;

9.3. mokėjimo operacijoms, kurios inicijuojamos, kai telekomunikacijų galiniai įrenginiai, skaitmeniniai arba informacinių technologijų įrenginiai naudojami neapsiribojant interneto naršyklės palaikymu (pavyzdžiui, kai tokie įrenginiai naudojami atliekant bekontaktes mokėjimo kortelių operacijas arba kai mokėjimai inicijuojami pasitelkiant iš anksto į įrenginį įdiegtą mokėjimo programėlę (angl. App);

9.4. kredito pervedimams, kai tokios operacijos inicijuojamos pasinaudojant trečiosios šalies prieiga prie mokėjimo sąskaitos;

9.5. juridinių asmenų inicijuotoms mokėjimo operacijoms per specializuotąjį ryšio tinklą (angl. Dedicated network), kurio prieiga galima tik registruotiems vartotojams;

9.6. mokėjimo kortelės operacijoms, jeigu mokėjimo priemonė naudojama anonimiškai ir negali būti papildoma lėšomis arba mokėjimo priemonė yra virtualioji iš anksto apmokėta kortelė, o sutartiniai santykiai tarp kortelę išdavusio MPT ir mokėtojo yra vienkartinio pobūdžio;

9.7. mokėjimo operacijoms, vykdomoms mokėjimo ir vertybinių popierių atsiskaitymo sistemose.

III SKYRIUS

SAUGUMO POLITIKA

10. MPT turi vadovautis internetu atliekamų mokėjimų saugumo politika (toliau – Saugumo politika), kuri:

10.1. turi būti tinkamai dokumentuota ir reguliariai atnaujinama šio dokumento 16 punkte numatytais atvejais;

10.2. turi būti patvirtinta valdybos arba vienasmenio valdymo organo, jei MPT neturi valdybos;

10.3. turi apimti internetu atliekamų mokėjimų saugumo tikslus ir toleruotiną rizikos lygį.

11. Saugumo politikoje turi būti nustatyta:

11.1. atsakomybė ir funkcijos, tarp kurių ir rizikos valdymo funkcija su tiesiogine atskaitomybe valdybai arba vienasmeniam valdymo organui, jei MPT neturi valdybos;

11.2. atskaitomybė už internetu atliekamų mokėjimų veiklą, įskaitant neskelbtinų mokėjimo duomenų ir rizikos valdymą.

12. Saugumo politika gali būti išdėstyta bendrame MPT saugumo dokumente arba atskirame dokumente.

IV SKYRIUS

RIZIKOS VERTINIMAS

13. Prieš ir jau teikdamas internetu atliekamų mokėjimų paslaugas MPT turi atlikti internetu atliekamų mokėjimų ir susijusių paslaugų (pavyzdžiui, personalizuotų saugumo požymių suteikimo, komunikacijos su mokėjimo paslaugų vartotojais kanalo palaikymo) išsamų rizikos vertinimą ir jį dokumentuoti.

14. MPT turi nuolat stebėti, ar nekyla grėsmė internetu atliekamų mokėjimų saugumui, o tokią nustačius, iš naujo įvertinti riziką, atsižvelgdamas į:

14.1. MPT ir mokėjimo paslaugų vartotojams prieinamą technologiją ir galimą kilti riziką (pavyzdžiui, perimta sesija (angl. Hijacking), SQL intarpai (angl. SQL injections), įterptas programinis kodas (angl. Cross-site scripting), perpildyta atmintis (angl. Buffer overflows), multimedijos taikomosios programos (angl. Multimedia applications), papildomos programos naršyklėje (angl. Plug-ins), išorinės nuorodos);

14.2. veiklą papildančių paslaugų pirkimą iš išorinių paslaugų teikėjų;

14.3. mokėjimo saugumo incidentų stebėseną šio dokumento 17 punkte nustatyta tvarka;

14.4. būtinumą apsaugoti neskelbtinus mokėjimo duomenis.

15. MPT priima sprendimą dėl atitinkamų saugumo priemonių, technologijų arba procedūrų pakeitimų, vadovaudamasis rizikos vertinimu ir atsižvelgdamas į pakeitimams atlikti ir vartotojams informuoti reikalingą laiką. MPT taip pat turi imtis būtinų priemonių, kad sumažintų mokėjimo saugumo incidentų ir sukčiavimo žalą.

16. MPT turi iš naujo įvertinti riziką bent kartą per metus arba įvykus dideliems mokėjimo saugumo incidentams, arba prieš didelį infrastruktūros, procedūrų pakeitimą, arba kai nustatoma nauja grėsmė saugumui.

V SKYRIUS

SAUGUMO INCIDENTAI

17. MPT turi įdiegti mokėjimo saugumo incidentų, įskaitant mokėjimo paslaugų vartotojų skundus dėl saugumo, nustatymo, ištyrimo ir pašalinimo procesą, kurio rezultatai teikiami atsakingiems vadovams.

18. MPT turi nustatyti procedūrą skubiai informuoti kompetentingas institucijas (Lietuvos banką, Valstybinę duomenų apsaugos inspekciją ir kt.) apie didelius mokėjimo saugumo incidentus.

19. MPT turi parengti pranešimų atitinkamoms teisėsaugos institucijoms apie didelių mokėjimo saugumo incidentų, įskaitant duomenų nutekinimą, procedūrą.

20. Mokėjimo priemonių priėmimo paslaugą elektroninės prekybos vykdytojams teikiantys MPT paslaugų teikimo sutartyje turi nustatyti elektroninės prekybos vykdytojo, kuris saugo, apdoroja arba perduoda neskelbtinus mokėjimo duomenis, pareigą bendradarbiauti su MPT ir su atitinkamomis teisėsaugos institucijomis dėl didelių mokėjimo saugumo incidentų, įskaitant duomenų nutekinimą. MPT paslaugų teikimo sutartyje taip pat turi numatyti, kad elektroninės prekybos vykdytojui nesilaikant įsipareigojimo MPT turi teisę nutraukti paslaugų teikimo sutartį arba imtis alternatyvių priemonių užtikrinti, kad sutartinio įsipareigojimo būtų laikomasi.

VI SKYRIUS

RIZIKOS VALDYMAS

21. Atsižvelgdamas į Saugumo politikos nuostatas, rizikoms suvaldyti MPT turi įdiegti saugumo priemones. Saugumo priemonės turi būti daugiapakopės, kad, pažeidus vieną saugumo pakopą, kita pakopa išliktų funkcionali.

22. Projektuodami, diegdami ir palaikydami internetu atliekamų mokėjimų paslaugas MPT turi tinkamai atskirti teises skirtingose informacinių technologijų aplinkose (kūrimo, testavimo ir darbinėje) ir užtikrinti principo „mažiausia privilegija“, t. y. suteikti prieigos teises, susijusias tik su tiesioginėmis pareigomis ir funkcijomis, įgyvendinimą.

23. MPT turi įdiegti adekvačias saugumo priemones, kad apsaugotų tinklus, tinklalapius, serverius ir komunikacines jungtis nuo piktnaudžiavimo arba kenkimo programų atakų. MPT turi pašalinti visas perteklines funkcijas serveriuose, ištaisyti arba sumažinti taikomųjų programų pažeidžiamumą. Taikomųjų programų prieiga prie duomenų ir išteklių turi būti minimali, t. y. tenkinamas „mažiausios privilegijos“ principas. MPT interneto svetainės turi būti identifikuojamos pagal MPT vardu išduotus sertifikatus (angl. Extended validation certificates) arba pagal kitus panašius autentiškumo patvirtinimo būdus.

24. MPT turi įdiegti priemones, leidžiančias MPT stebėti, atsekti ir apriboti prieigą prie:

24.1. neskelbtinų mokėjimo duomenų;

24.2. kritinių loginių ir fizinių išteklių (pavyzdžiui, tinklai, sistemos, duomenų bazės, saugumo moduliai).

25. MPT turi sukurti, saugoti ir analizuoti atitinkamus prisijungimo (angl. Logs) ir veiksmų įrašus (angl. Audit trails).

26. Projektuodami, diegdami ir palaikydami internetu atliekamų mokėjimų paslaugas MPT turi laikytis duomenų minimizavimo principo, t. y. neskelbtinų mokėjimo duomenų rinkimas, apsikeitimas, apdorojimas, saugojimas ir (arba) archyvavimas turi būti minimalus.

27. Internetu atliekamų mokėjimų saugumo priemonės turi būti testuojamos prižiūrint rizikos valdymo funkciją atliekantiems asmenims. Visiems pakeitimams turi būti taikomas tinkamas pakeitimų valdymo procesas, t. y. pakeitimai turi būti tinkamai planuojami, testuojami, dokumentuojami ir autorizuojami. Pastebėjus grėsmę, saugumo priemonių testai turi būti reguliariai kartojami ir turi apimti žinomų atakų galimus scenarijus.

28. Internetu atliekamų mokėjimų saugumo priemonės turi būti periodiškai audituojamos. Nustatant audito dažnumą ir apimtį reikia atsižvelgti į saugumui kylančią riziką. Auditą turi atlikti vidaus arba išorės ekspertai, neprisidėję prie audituojamų paslaugų projektavimo, diegimo arba palaikymo.

29. Kai MPT naudojasi trečiųjų šalių paslaugomis internetu atliekamų mokėjimų saugumui užtikrinti, į sutartį su paslaugų teikėju MPT turi įtraukti šiame dokumente nustatytus principus ir reikalavimus.

30. Mokėjimo priemonių priėmimo paslaugą elektroninės prekybos vykdytojams teikiantys MPT turi paslaugų teikimo sutartyje nustatyti elektroninės prekybos vykdytojo, kuris saugo, apdoroja arba perduoda neskelbtinus mokėjimo duomenis, pareigą įdiegti saugumo priemones elektroninės prekybos vykdytojo informacinėse sistemose pagal šio dokumento 22–29 punktų reikalavimus. MPT paslaugų teikimo sutartyje taip pat turi numatyti, kad elektroninės prekybos vykdytojui nesilaikant įsipareigojimo MPT turi teisę nutraukti paslaugų teikimo sutartį arba imtis alternatyvių priemonių užtikrinti, kad sutartinio įsipareigojimo būtų laikomasi.

VII SKYRIUS

OPERACIJŲ ATSEKAMUMAS

31. MPT turi užtikrinti, kad visos operacijos būtų atsekamos (angl. Traceable).

32. MPT turi įdiegti saugumo sprendimus, kurie leistų išsamiai užregistruoti internetu atliekamas mokėjimų operacijas, įskaitant operacijos eilės numerį, laiko įrašą, parametrų pakeitimus ir prieigą prie operacijos duomenų.

33. MPT turi sudaryti įrašų bylas (angl. Log files), leidžiančias atsekti bet kokius operacijų duomenų papildymus, keitimus arba ištrynimus.

34. MPT turi įdiegti priemones, leidžiančias analizuoti įrašų bylas. Tokios priemonės turi būti prieinamos tik įgaliotiems asmenims.

VIII SKYRIUS

TAPATYBĖS NUSTATYMAS IR INFORMACIJA MOKĖJIMO PASLAUGŲ VARTOTOJAMS

35. Prieš suteikdamas galimybę inicijuoti internetu atliekamus mokėjimus MPT turi:

35.1. nustatyti mokėjimo paslaugų vartotojo tapatybę pagal tinkamus tapatybę patvirtinančius dokumentus arba duomenis (pavyzdžiui, pasas, asmens tapatybės kortelė, saugus elektroninis parašas). Atskiras tapatybės nustatymo procesas nėra būtinas, jei mokėjimo paslaugų vartotojo tapatybė buvo nustatyta teikiant kitas mokėjimo paslaugas arba atidarant sąskaitą;

35.2. atlikti mokėjimo paslaugų vartotojo tikrinimo procedūrą pagal galiojančius pinigų plovimo ir terorizmo finansavimo prevenciją reglamentuojančius teisės aktus;

35.3. gauti mokėjimo paslaugų vartotojo prašymą (pavyzdžiui, sutarties sudarymo metu, techninio mokėjimo priemonės aktyvavimo metu) inicijuoti internetu atliekamus mokėjimus;

35.4 pateikti mokėjimo paslaugų vartotojams informaciją apie būdingą riziką ir apie reikalavimus, skirtus operacijų saugumui užtikrinti, t. y.:

35.4.1. aiškią informaciją apie reikalavimus mokėjimo paslaugų vartotojų įrangai, programinei įrangai, papildomoms priemonėms (pvz., antivirusinei programinei įrangai, užkardoms (angl. firewall);

35.4.2. personalizuotų saugumo požymių naudojimo gaires;

35.4.3. išsamią instrukciją, kaip mokėjimo paslaugų vartotojas turėtų pateikti, autorizuoti ir gauti informaciją apie mokėjimo operaciją, įskaitant kiekvieno veiksmo padarinius;

35.4.4. mokėjimo paslaugų vartotojui suteiktos techninės ir programinės įrangos tinkamo naudojimo gaires;

35.4.5. mokėjimo paslaugų vartotojo veiksmus praradus personalizuotus saugumo požymius arba kitą jam suteiktą techninę ir programinę įrangą arba įtarus sukčiavimą;

35.4.6. MPT ir mokėjimo paslaugų vartotojo atsakomybės bei įsipareigojimų, susijusių su internetu atliekamų mokėjimų paslauga, aprašymą.

36. Bendrojoje mokėjimo paslaugų sutartyje su mokėjimo paslaugų vartotoju MPT turi nurodyti mokėjimo priemonės arba atskiros operacijos blokavimo, blokavimo panaikinimo arba mokėjimo priemonės pakeitimo nauja mokėjimo priemone sąlygas ir tarpusavio informavimo būdus.

37. MPT turi užtikrinti, kad šio dokumento 35.4 papunktyje nurodyta informacija būtų nuolat atnaujinama ir mokėjimo paslaugų vartotojams prieinama patogia ir aiškia forma (pavyzdžiui, MPT interneto svetainėje, lankstinukuose).

IX SKYRIUS

GRIEŽTAS KLIENTO AUTENTIŠKUMO PATVIRTINIMAS

38. Autorizuodami šio dokumento 8.1 papunktyje nurodytas mokėjimo operacijas, mokėjimo korteles išduodantys MPT turi taikyti griežtą kliento autentiškumo patvirtinimą. Visos išduotos mokėjimo kortelės turi būti techniškai parengtos griežtam kliento autentiškumo patvirtinimui.

39. Mokėjimo priemonių priėmimo paslaugą elektroninės prekybos vykdytojams teikiantys MPT turi užtikrinti, kad jo techninės priemonės leistų mokėjimo korteles išduodančiam MPT taikyti griežtą kliento autentiškumo patvirtinimą tose mokėjimo kortelių schemose, kuriose elektroninės prekybos vykdytojo MPT dalyvauja, ir reikalauti, kad elektroninės prekybos vykdytojas užtikrintų naudosiąs atitinkamas technines priemones, išskyrus 40 punkte nustatytus atvejus.

40. Mokėjimo priemonių priėmimo paslaugą elektroninės prekybos vykdytojams teikiantys MPT gali leisti elektroninės prekybos vykdytojui nustatyti alternatyvų autentiškumo patvirtinimą mažos rizikos operacijoms.

41. Vykdydami šio dokumento 8.2 papunktyje nurodytas operacijas skaitmeninės piniginės paslaugų teikėjai turi taikyti griežtą kliento autentiškumo patvirtinimą iš mokėjimo kortelę išduodančio MPT.

42. Skaitmeninės piniginės paslaugų teikėjai turi techniškai palaikyti griežtą kliento autentiškumo patvirtinimą, kai mokėjimo paslaugų vartotojas jungiasi prie skaitmeninės piniginės paslaugų arba vykdo šio dokumento 8.1 papunktyje nurodytas operacijas. Skaitmeninės piniginės paslaugų teikėjai gali nustatyti alternatyvų autentiškumo patvirtinimą mažos rizikos operacijoms.

43. Virtualiąsias mokėjimo korteles išduodantys MPT turi užtikrinti, kad (pirminė) tokių kortelių registracija būtų atliekama saugioje ir patikimoje aplinkoje. Tai apima MPT patalpas, internetinės bankininkystės arba kitą saugią interneto svetainę, bankomatus. Naudojantis bankomatais turi būti taikomas griežtas kliento autentiškumo patvirtinimas. Tam gali būti naudojamas kortelės lustas ir PIN kodas arba lustas ir biometrikos elementas. Jei virtualioji mokėjimo kortelė išduodama tik internetu, kortelės duomenų generavimo procese MPT turi taikyti griežtą kliento autentiškumo patvirtinimą.

44. Autorizuojant šio dokumento 8.3 ir 8.4 papunkčiuose nurodytas mokėjimo operacijas, įskaitant sugrupuotus kredito pervedimus, MPT turi taikyti griežtą kliento autentiškumo patvirtinimą, išskyrus šio dokumento 45 punkte nurodytus atvejus.

45. MPT gali netaikyti griežto kliento autentiškumo patvirtinimo šioms mokėjimo operacijoms:

45.1. antram ir paskesniems mokėjimo nurodymams, skirtiems mokėjimo paslaugų vartotojo nustatytiems gavėjams;

45.2. mokėjimo nurodymams tarp dviejų to paties mokėjimo paslaugų vartotojo sąskaitų, esančių viename MPT;

45.3. mokėjimo nurodymams tarp dviejų mokėjimo sąskaitų, esančių viename MPT, jei operacijos rizika yra pagrįsta;

45.4. mažos vertės mokėjimo operacijoms, kaip nustatyta Lietuvos Respublikos mokėjimų įstatyme.

46. Suteikdamas prieigą prie neskelbtinų mokėjimo duomenų ir keisdamas nustatytą gavėjų sąrašą MPT turi taikyti griežtą kliento autentiškumo patvirtinimą, išskyrus, kai MPT teikia konsultacines paslaugas ir neatskleidžia neskelbtinų mokėjimo duomenų.

47. MPT ir elektroninės prekybos vykdytojui keičiantis elektroniniais pranešimais, kuriais inicijuojami internetu atliekami mokėjimai arba suteikiama prieiga prie neskelbtinų mokėjimo duomenų, MPT turi užtikrinti tinkamą abipusį autentiškumo patvirtinimą.

48. Griežtas kliento autentiškumo patvirtinimas gali apimti elementus, susiejančius autentiškumo patvirtinimą su konkrečia suma ir gavėju. Toks technologinis sprendimas, susijęs su griežtu kliento autentiškumo patvirtinimu ir mokėjimo operacijų duomenimis, turi būti apsaugotas nuo bet kokių neteisėtų pakeitimų.

X SKYRIUS

PERSONALIZUOTI SAUGUMO POŽYMIAI

49. MPT turi užtikrinti, kad personalizuoti saugumo požymiai arba programinė įranga, naudojama internetu atliekamuose mokėjimuose, mokėjimo paslaugų vartotojams būtų perduodami saugiai pagal šiuos reikalavimus:

49.1. susijusios procedūros turi būti saugios ir veiksmingos ir atliekamos saugioje ir patikimoje aplinkoje, atsižvelgiant į galimas rizikas, kylančias dėl įrangos, kurios MPT nekontroliuoja;

49.2. programinės įrangos, pateikiamos internetu, autentiškumas turi būti patvirtintas MPT elektroniniu parašu;

49.3. mokėjimo paslaugų vartotojas turi turėti galimybę aktyvuoti (užregistruoti) mokėjimo kortelę griežtam kliento autentiškumo patvirtinimui neatsižvelgiant į konkretų pirkinį internetu.

50. Mokėjimo korteles išduodantys MPT turi aktyviai skatinti mokėjimo paslaugų vartotojus aktyvuoti (užregistruoti) mokėjimo kortelę griežtam kliento autentiškumo patvirtinimui, išskyrus atvejus, jei tai pateisinama maža operacijos rizika.

XI SKYRIUS

PAPILDOMOS SAUGUMO PRIEMONĖS

51. Kai autentiškumo patvirtinimo procedūroje naudojami vienkartiniai slaptažodžiai, MPT turi užtikrinti, kad tokių slaptažodžių galiojimo trukmė būtų apribota iki minimaliai būtinos.

52. MPT turi nustatyti didžiausią leistiną nepavykusių autentiškumo patvirtinimo mėginimų skaičių, kurį viršijus mokėjimo paslaugų vartotojo prieiga prie internetu atliekamų mokėjimo paslaugų būtų užblokuota. MPT taip pat turi turėti saugią blokavimo panaikinimo procedūrą.

53. MPT turi nustatyti ilgiausią neaktyvios prisijungimo sesijos trukmę, po kurios internetu atliekamų mokėjimo paslaugų sesija turi būti nutraukta.

XII SKYRIUS

SUKČIAVIMO NUSTATYMAS IR PREVENCIJA

54. MPT turi įdiegti sukčiavimo nustatymo ir prevencijos sistemas, siekdamas nustatyti įtartiną operaciją dar iki mokėjimo nurodymo gavimo momento, nurodyto Lietuvos Respublikos mokėjimų įstatyme. Sukčiavimo nustatymo ir prevencijos sistemos turi gebėti nustatyti neįprastą mokėjimo paslaugų vartotojo elgesį, identifikuoti užkrato prisijungimo sesijose požymius ir atpažinti žinomus apgaulės scenarijus. Stebėjimo sistemų mastas ir sudėtingumas turi būti proporcingas atitinkamų operacijų rizikai.

55. Mokėjimo priemonių priėmimo paslaugą elektroninės prekybos vykdytojams teikiantys MPT turi įtraukti į operacijos autorizavimo pranešimą, pateikiamą mokėjimo korteles išduodančiam MPT, elektroninės prekybos vykdytojo kategorijos kodą, jei tokius kodus nustatė už mokėjimo schemų veikimą pagal schemos taisykles, plėtrą ir priežiūrinių reikalavimų atitikimą atsakinga įstaiga (angl. Governance authority).

56. Mokėjimo priemonių priėmimo paslaugą elektroninės prekybos vykdytojams teikiantys MPT turi įdiegti sukčiavimo nustatymo ir prevencijos sistemas, skirtas stebėti elektroninės prekybos vykdytojų prekybos vietose inicijuotas mokėjimo operacijas.

57. MPT turi patikrinti, ar operacija nėra apgaulinga, per kuo trumpesnį laiką.

58. MPT turi išnagrinėti blokuotas įtartinas mokėjimo operacijas ir priimti sprendimą dėl tolesnių veiksmų per kuo trumpesnį laiką.

XIII SKYRIUS

NESKELBTINŲ MOKĖJIMO DUOMENŲ APSAUGA

59. Personalizuoti saugumo požymiai ir mokėjimo paslaugų vartotojo sąsaja (MPT arba elektroninės prekybos vykdytojo interneto svetainė) turi būti tinkamai apsaugoti nuo vagystės, neteisėtos prieigos arba modifikavimo.

60. MPT turi užtikrinti, kad perduodamos neskelbtinus mokėjimo duomenis internetu šalys ryšio sesijos metu taikytų saugų šifravimą (nuo pradžios iki pabaigos, angl. End-to-end) naudodamos patikimus ir plačiai pripažintus šifravimo būdus.

61. Mokėjimo priemonių priėmimo paslaugą elektroninės prekybos vykdytojams teikiantys MPT turi skatinti elektroninės prekybos vykdytojus nekaupti jokių neskelbtinų mokėjimo duomenų. Tuo atveju, kai elektroninės prekybos vykdytojai tvarko neskelbtinus mokėjimo duomenis, t. y. saugo, apdoroja arba perduoda, MPT paslaugų teikimo sutartyje turi nustatyti elektroninės prekybos vykdytojo pareigą įdiegti duomenų apsaugos priemones. MPT paslaugų teikimo sutartyje taip pat turi numatyti, kad elektroninės prekybos vykdytojui nesilaikant įsipareigojimo MPT turi teisę nutraukti paslaugų teikimo sutartį arba imtis alternatyvių priemonių užtikrinti, kad sutartinių įsipareigojimų būtų laikomasi.

XIV SKYRIUS

VARTOTOJŲ INFORMAVIMAS IR ŠVIETIMAS

62. MPT turi užtikrinti, kad veiktų bent vienas saugus komunikacijos kanalas, kuriuo mokėjimo paslaugų vartotojai būtų informuojami apie tinkamai ir saugiai internetu atliekamus mokėjimus, ir pranešti mokėjimo paslaugų vartotojams, kuris tai kanalas. MPT turi nurodyti, kad kitais kanalais pateikti pranešimai apie saugius internetu atliekamus mokėjimus nėra patikimi.

63. MPT turi mokėjimo paslaugų vartotojus informuoti apie:

63.1. tvarką, pagal kurią mokėjimo paslaugų vartotojai informuoja MPT apie (galimai) neautorizuotas operacijas, įtartinus incidentus, tikėtinas apgaules ir tolesnius MPT veiksmus;

63.2. tvarką, pagal kurią MPT praneša mokėjimo paslaugų vartotojams apie (galimai) neautorizuotas operacijas, blokuotas operacijas arba kitus mėginimus sukčiauti.

64. MPT turi informuoti mokėjimo paslaugų vartotojus apie saugumo procedūrų pokyčius, susijusius su internetu atliekamais mokėjimais, ir pranešti apie reikšmingą saugumo riziką saugiuoju komunikacijos kanalu.

65. MPT turi teikti mokėjimo paslaugų vartotojams konsultacijas apie internetu atliekamus mokėjimus.

66. MPT turi inicijuoti mokėjimo paslaugų vartotojų švietimo programą (-as), kur vartotojai, be kita ko, būtų informuojami:

66.1. saugoti įrangą, skirtą saugumui užtikrinti, personalizuotas saugumo priemones ir kitus konfidencialius duomenis;

66.2. tinkamai apsaugoti telekomunikacijų galinius įrenginius, skaitmeninius arba informacinių technologijų įrenginius (pvz., kompiuterį) įdiegiant ir atnaujinant saugumo elementus (pvz., antivirusines programas, užkardas);

66.3. atsižvelgti į grėsmę ir riziką, susijusias su internetu atsisiunčiama programine įranga;

66.4. nustatyti MPT interneto svetainės autentiškumą.

67. Mokėjimo priemonių priėmimo paslaugą elektroninės prekybos vykdytojams teikiantys MPT paslaugų teikimo sutartyje turi nustatyti elektroninės prekybos vykdytojo pareigą aiškiai atskirti su mokėjimu susijusius procesus nuo kitų elektroninės parduotuvės procesų ir mokėjimo paslaugų vartotojams turi užtikrinti, kad jie atpažintų, kada jungiasi su MPT, o kada su elektroninės prekybos vykdytoju.

XV SKYRIUS

OPERACIJŲ LIMITAI

68. Prieš suteikdamas prieigą prie internetu atliekamų mokėjimo paslaugų MPT turi nustatyti operacijų limitus (pavyzdžiui, didžiausią operacijos sumą arba bendrą tam tikro laikotarpio operacijų sumą) ir apie tai informuoti mokėjimo paslaugų vartotojus. Limitai gali būti taikomi kiekvienai mokėjimo priemonei atskirai arba visoms mokėjimo priemonėms kartu.

69. MPT turi sudaryti mokėjimo paslaugų vartotojams galimybę blokuoti internetu atliekamus mokėjimus.

XVI SKYRIUS

OPERACIJŲ BŪSENOS PATIKRINIMAS

70. Autorizavus šio dokumento 8.3 ir 8.4 papunkčiuose nurodytas mokėjimo operacijas, MPT turi sudaryti mokėjimo paslaugų vartotojams galimybę saugioje ir patikimoje aplinkoje nedelsiant patikrinti operacijos vykdymo būseną ir sąskaitos likutį, išskyrus techninės priežiūros laikotarpį arba įvykus dideliam incidentui.

71. Išsamias elektronines ataskaitas MPT turi pateikti saugioje ir patikimoje aplinkoje, o informuodamas apie sudarytas elektronines ataskaitas (pavyzdžiui, SMS žinute, el. laišku) MPT turi užtikrinti, kad neskelbtini mokėjimo duomenys nebus atskleisti.

______________________