herbas-L_spalvotas

LIETUVOS BANKO VALDYBA

 

NUTARIMAS

DĖL OPERACINĖS IR SAUGUMO RIZIKOS VALDYMO REIKALAVIMŲ MOKĖJIMO PASLAUGŲ TEIKĖJAMS APRAŠO PATVIRTINIMO

 

2018 m. gruodžio 20 d. Nr. 03-264

Vilnius

 

 

Vadovaudamasi Lietuvos Respublikos Lietuvos banko įstatymo 42 straipsnio 4 dalies 1 punktu ir Lietuvos Respublikos mokėjimų įstatymo 56 straipsnio 2 ir 3 dalimis, Lietuvos banko valdyba nutaria:

1.  Patvirtinti Operacinės ir saugumo rizikos valdymo reikalavimų mokėjimo paslaugų teikėjams aprašą (pridedama).

2.  Nustatyti, kad šis nutarimas įsigalioja 2019 m. vasario 1 d.

 

 

 

Valdybos pirmininkas                                                                      Vitas Vasiliauskas

 

PATVIRTINTA

Lietuvos banko valdybos

2018 m. gruodžio 20 d. nutarimu Nr. 03-264

 

 

OPERACINĖS IR SAUGUMO RIZIKOS VALDYMO REIKALAVIMŲ MOKĖJIMO PASLAUGŲ TEIKĖJAMS APRAŠAS

 

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1.   Operacinės ir saugumo rizikos valdymo reikalavimų mokėjimo paslaugų teikėjams apraše (toliau – Aprašas) nustatyti saugumo priemonių, kurių privalo imtis mokėjimo paslaugų teikėjai (MPT), siekdami valdyti su jų teikiamomis mokėjimo paslaugomis susijusią operacinę ir saugumo riziką, kūrimo, įgyvendinimo ir stebėsenos reikalavimai.

2.   Aprašo nuostatos taikomos MPT, kurie teikia mokėjimo paslaugas pagal Lietuvos Respublikos mokėjimų įstatymą.

3.   Aprašas parengtas atsižvelgus į 2018 m. sausio 12 d. Europos bankininkystės institucijos gaires EBA/GL/2017/17 dėl saugumo priemonių, susijusių su mokėjimo paslaugų operacine ir saugumo rizika pagal Direktyvą (ES) 2015/2366 (MPD2).

4.   Pagrindinės sąvokos:

4.1. operacinė arba saugumo rizika – rizika, kylanti dėl netinkamų ar nepakankamų vidaus procesų ar išorės įvykių, kurie turi arba gali turėti neigiamą poveikį informacijos ir ryšių technologijų (IRT) sistemų ir (arba) teikiant mokėjimo paslaugas naudojamos informacijos prieinamumui, vientisumui ir konfidencialumui. Tai apima su kibernetinėmis atakomis ar nepakankamu fiziniu saugumu susijusią riziką;

4.2.  operacinis arba saugumo incidentas – pavienis įvykis arba keletas tarpusavyje susijusių įvykių, kurių MPT neplanavo ir kurie turi arba, tikėtina, turės neigiamą poveikį mokėjimo paslaugų vientisumui, prieinamumui, konfidencialumui, autentiškumui ir (arba) tęstinumui;

4.3.  priimtina rizika – bendrasis rizikos, kurią siekdamas savo strateginių tikslų MPT nori ir gali prisiimti, lygis ir tipai, atsižvelgiant į MPT verslo modelį;

4.4. valdymo organas – MPT valdyba arba vienasmenis valdymo organas, jei valdyba nesudaroma.

5.   Kitos vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos mokėjimų įstatyme.

6.   MPT Apraše nustatytus reikalavimus taiko proporcingai, atsižvelgdamas į savo dydį, organizacinę struktūrą ir veiklos (t. y. į MPT teikiamų ar planuojamų teikti paslaugų) pobūdį, mastą, sudėtingumą ir rizikingumą.

7.   Už Apraše nustatytų reikalavimų įgyvendinimą atsakingas MPT valdymo organas.

 

II SKYRIUS

OPERACINĖS IR SAUGUMO RIZIKOS VALDYMAS

 

8.   MPT turi sukurti tinkamą organizacinę struktūrą ir procesus, kurie padėtų:

8.1. valdyti operacinę ir saugumo riziką;

8.2. atlikti nuolatinę veiklos funkcijų, palaikomųjų procesų ir informacinių išteklių stebėseną;

8.3. užtikrinti nuoseklią ir integruotą operacinių ir saugumo incidentų stebėseną, tvarkymą ir su tuo susijusį paskesnį tyrimą;

8.4. identifikuoti ir nuolat stebėti operacines ir saugumo grėsmes, kurios gali padaryti reikšmingą poveikį jų gebėjimui teikti mokėjimo paslaugas;

8.5.  užtikrinti mokėjimo paslaugų vartotojams teikiamą pagalbą ir konsultacijas, didinti jų informuotumą apie su mokėjimo paslaugomis susijusią saugumo riziką.

9.   MPT turi turėti veiksmingą, visiškai integruotą į bendruosius MPT rizikos valdymo procesus, operacinės ir saugumo rizikos valdymo sistemą (toliau – rizikos valdymo sistema), kurioje pagrindinis dėmesys turi būti skiriamas saugumo priemonėms, mažinančioms operacinę ir saugumo riziką.

10. MPT turi vadovautis rizikos valdymo sistema, kuri, be kita ko, turi:

10.1.  būti bent kartą per metus peržiūrima;

10.2.  apimti saugumo politikos dokumentą, įskaitant išsamų su teikiamomis mokėjimo paslaugomis susijusios rizikos vertinimą, ir saugumo kontrolės bei rizikos mažinimo priemonių, kurių imtasi siekiant tinkamai apsaugoti mokėjimo paslaugų vartotojus nuo nustatytos rizikos, įskaitant sukčiavimą ir neteisėtą neskelbtinų ir asmens duomenų naudojimą, aprašymą, kasmet patvirtinamą MPT valdymo organo;

10.3.  atitikti MPT nustatytą priimtiną rizikos lygį;

10.4.  apibrėžti ir priskirti pagrindines funkcijas ir atsakomybes bei nustatyti atitinkamas atskaitomybės linijas, būtinas saugumo priemonėms stiprinti ir saugumo bei operacinei rizikai valdyti;

10.5.  nustatyti procedūras ir sistemas, reikalingas su mokėjimais susijusiai MPT veiklai ir kylančiai rizikai, įskaitant veiklos tęstinumą, identifikuoti, išmatuoti, stebėti ir valdyti.

11. MPT turi užtikrinti, kad rizikos valdymo sistema būtų tinkamai dokumentuota ir atnaujinama vadovaujantis šios sistemos įgyvendinimo ir stebėsenos metu sukaupta patirtimi.

12. MPT turi užtikrinti, kad prieš darant esminius infrastruktūros, procesų ar procedūrų pakeitimus ir (arba) po kiekvieno didelio operacinio arba saugumo incidento, darančio poveikį teikiamų mokėjimo paslaugų saugumui, būtų vertinamas poreikis nedelsiant keisti ar tobulinti rizikos valdymo sistemą.

13. Operacinei ir saugumo rizikai identifikuoti ir valdyti MPT turi pasitelkti trijų veiksmingų gynybos linijų (vidaus valdymo ir kontrolės, rizikos valdymo ir vidaus audito) arba lygiavertį vidaus rizikos valdymo ir kontrolės modelį. Vidaus kontrolės modelis turi būti nepriklausomas, turėti pakankamai galių, išteklių ir tiesioginės atskaitomybės linijų, siejančių jį su valdymo organu.

14. Saugumo kontrolės ir rizikos mažinimo priemonės turi būti periodiškai audituojamos. Audito dažnumas ir audituojama sritis turi būti nustatomi atsižvelgiant į saugumui kylančią riziką. Auditą turi atlikti vidaus ar išorės auditoriai, kurie turi patirties IT saugumo ir mokėjimų srityse ir kurių veikla nepriklauso nuo MPT.

15. Perduodant mokėjimo paslaugų operacines funkcijas, įskaitant IT sistemas, trečiosioms šalims, MPT turi užtikrinti, kad būtų įgyvendintos Apraše nustatytos saugumo priemonės.

16. MPT turi užtikrinti, kad į sutartis dėl trečiosioms šalims perduodamų mokėjimo paslaugų veiklos funkcijų būtų įtraukti tinkami ir proporcingi saugumo tikslai, priemonės ir veiklos rezultatų rodikliai. MPT turi vykdyti stebėseną ir užtikrinti, kad trečiosioms šalims perduodamų veiklos funkcijų teikėjai laikytųsi nustatytų saugumo tikslų, priemonių ir veiklos rezultatų rodiklių.

 

III SKYRIUS

RIZIKOS VERTINIMAS

 

17. MPT, siekdami apibūdinti kiekvienos veiklos funkcijos, atsakingos pareigybės ir palaikomųjų procesų svarbą bei ryšį su operacine arba saugumo rizika, turi identifikuoti ir reguliariai atnaujinti veiklos funkcijų, atsakingų pareigybių bei palaikomųjų procesų sąrašą.

18. Identifikuotas veiklos funkcijas, jas palaikančius procesus ir informacinius išteklius MPT turi klasifikuoti pagal svarbą.

19. MPT, siekdami valdyti kritinėms veiklos funkcijoms ir procesams palaikyti skirtus išteklius, turi identifikuoti, nustatyti ir reguliariai atnaujinti tokių informacinių išteklių, kaip IRT sistemų, jų konfigūracijos, kitų infrastruktūrų bei sąsajų su kitomis vidaus ir išorės sistemomis, sąrašą.

20. MPT turi užtikrinti, kad bus atliekama nuolatinė grėsmių ir pažeidžiamumo stebėsena ir periodinė rizikos scenarijų, galinčių paveikti jų veiklos funkcijas, kritinius procesus ir informacinius išteklius, peržiūra.

21. MPT, siekdami identifikuoti ir įvertinti pagrindines operacinės ir saugumo rizikos rūšis, turi bent kartą per kalendorinius metus atlikti ir dokumentuoti identifikuotų ir klasifikuotų funkcijų, procesų ir informacinių išteklių rizikos vertinimą ir, jį atlikus, ne vėliau kaip per 2 savaites Lietuvos bankui pateikti atnaujintą ir išsamų su jų teikiamomis mokėjimo paslaugomis susijusios operacinės ir saugumo rizikos vertinimo ir rizikos mažinimo priemonių ir kontrolės mechanizmų, įgyvendintų reaguojant į tą riziką, pakankamumo aprašymą. Rizika turi būti vertinama kiekvienais metais ir prieš darant svarbius infrastruktūros, proceso ar procedūrų pakeitimus, turinčius įtakos teikiamų mokėjimo paslaugų saugumui.

22. Vadovaudamiesi rizikos vertinimu, MPT turi nustatyti, ar reikia ir, jeigu reikia, kokiu mastu, keisti galiojančias saugumo priemones, naudojamas technologijas ir procedūras ar siūlomas mokėjimo paslaugas. MPT turi atsižvelgti į tai, kiek laiko reikia tiems pakeitimams ir tinkamoms laikinosioms saugumo priemonėms įgyvendinti, siekiant kuo labiau sumažinti galimus operacinius arba saugumo incidentus, sukčiavimą ir galimą neigiamą poveikį teikiant mokėjimo paslaugas.

 

IV SKYRIUS

APSAUGOS PRIEMONĖS

 

23. Siekdami apsisaugoti nuo identifikuotos operacinės arba saugumo rizikos įvykių, MPT turi nustatyti ir įdiegti prevencines saugumo priemones. Šios priemonės turi užtikrinti pakankamą saugumo lygį, atitinkantį identifikuotą riziką.

24. MPT turi įdiegti daugiapakopes kontrolės priemones, apimančias žmones, procesus ir technologijas, kurias taikant kiekviena pakopa yra ankstesnių pakopų apsaugos priemonė. Tai pačiai rizikai padengti turi būti taikoma daugiau nei viena kontrolės priemonė, pvz., taikomas keturių akių principas, dviejų faktorių autentiškumo patvirtinimas, tinklo segmentavimas ir ugniasienės (angl. firewall).

25. MPT turi užtikrinti svarbiausių loginių ir fizinių turto objektų, išteklių ir mokėjimo paslaugų vartotojų neskelbtinų mokėjimo duomenų konfidencialumą, vientisumą ir prieinamumą jų saugojimo, perdavimo bei naudojimo metu. Jeigu duomenys apima asmens duomenis, tokios priemonės turėtų būti įgyvendinamos laikantis asmens duomenų apsaugos reikalavimų.

26. MPT turi nuolat vertinti, ar veiklos aplinkos pokyčiai daro įtaką esančioms saugumo priemonėms ir ar reikia įdiegti papildomų rizikos mažinimo priemonių. Šie pokyčiai turi būti įtraukti į oficialų MPT pokyčių valdymo procesą, užtikrinantį, kad jie bus tinkamai planuojami, testuojami, dokumentuojami ir tvirtinami. Jeigu kiltų saugumo grėsmė, atsižvelgdami į padarytus pakeitimus grėsmėms mažinti, MPT turi atlikti testavimus, įtraukdami svarbių ir žinomų potencialių atakų scenarijus.

27. Projektuodami ir kurdami mokėjimo paslaugų infrastruktūrą bei teikdami mokėjimo paslaugas, MPT turi užtikrinti:

27.1.  pareigų atskyrimo ir „mažiausios privilegijos“ (t. y. prieigos teisių, susijusių tik su tiesioginėmis pareigomis ir funkcijomis, suteikimo) principų taikymą. MPT turi užtikrinti IT aplinkų (kūrimo, testavimo ir darbinės) atskyrimą;

27.2.  kad neskelbtinų mokėjimo paslaugų vartotojų mokėjimo duomenų rinkimas, perdavimas, apdorojimas, saugojimas ir (arba) archyvavimas ir vizualizacija būtų pakankami, tinkami ir apriboti tik tuo, kas yra būtina mokėjimo paslaugoms teikti.

28. MPT turi periodiškai tikrinti, kad mokėjimo paslaugoms teikti naudojama programinė įranga, įskaitant su vartotojų mokėjimais susijusią programinę įrangą, būtų laiku atnaujinta ir būtų įdiegti visi kritiniai saugumo atnaujinimai. Siekdami įsitikinti programinės įrangos, mikroprograminės įrangos ir informacijos apie mokėjimo paslaugas vientisumu, MPT turi įdiegti vientisumo tikrinimo mechanizmą.

29. MPT turi įsidiegti tinkamas fizinio saugumo priemones, ypač siekdami apsaugoti neskelbtinus mokėjimo paslaugų vartotojų mokėjimų duomenis ir mokėjimo paslaugoms teikti naudojamas IRT sistemas.

30. Fizinė ir loginė prieiga prie IRT sistemų gali būti suteikta tik autorizuotiems asmenims. Atsižvelgiant į darbuotojų užduotis ir atsakomybę, autorizavimą galima suteikti tik asmenims, kurie yra tinkamai išmokyti ir kurių prieiga prie IRT gerai kontroliuojama. MPT turi įsidiegti kontrolės priemones, kurios patikimai riboja prieigas prie IRT sistemų ir suteikia jas tik su veikla susijusių poreikių turintiems autorizuotiems asmenims. Elektroninė taikomųjų programų prieiga prie duomenų ir sistemų turi būti griežtai apribota ir suteikiama tik tada, kai tai būtina tam tikrai paslaugai teikti.

31. Privilegijuotajai prieigai prie sistemų MPT turi taikyti griežtos kontrolės priemones ir griežtai riboti bei atidžiai prižiūrėti darbuotojus, turinčius didesnes prieigos prie sistemos teises. Turi būti įdiegtos tokios kontrolės priemonės, kaip prieigų suteikimas atsižvelgiant į pareigas, privilegijuotųjų vartotojų veiksmų sistemoje registravimas ir peržiūra, griežtas autentiškumo patvirtinimas ir anomalijų stebėsena. MPT turi valdyti prieigos prie informacinių išteklių ir palaikomųjų sistemų teises remdamiesi principu „būtina žinoti“. Prieigos teises būtina periodiškai peržiūrėti.

32. Prieigos registracijos žurnalų saugojimo laikotarpis turi būti nustatomas atsižvelgiant į klasifikuotų veiklos funkcijų, palaikomųjų procesų ir informacinių išteklių svarbą. MPT turi naudoti šią informaciją siekdami palengvinti anomalios veiklos, pastebėtos teikiant mokėjimo paslaugas, nustatymą ir tyrimą.

33. Siekiant užtikrinti saugų ryšį ir sumažinti riziką, nuotolinė administratorių prieiga prie kritinių IRT komponentų gali būti suteikta tik vadovaujantis principu „būtina žinoti“ ir naudojant patikimus autentiškumo patvirtinimo sprendimus.

34. Su prieigos kontrolės procesais susijusių produktų, priemonių ir procedūrų naudojimas turi apsaugoti prieigos kontrolės procesus, kad jie nebūtų pažeisti arba apeiti. Tai apima atitinkamų produktų, priemonių ir procedūrų registravimą, teikimą, atšaukimą ir panaikinimą.

 

V SKYRIUS.

PAŽEIDIMŲ APTIKIMAS

 

35. MPT turi atlikti nuolatinę veiklos funkcijų, palaikomųjų procesų ir informacinių išteklių stebėseną. Vykdydami nuolatinę stebėseną, MPT turi būti pajėgūs tinkamai ir veiksmingai aptikti fizinį ir loginį įsibrovimą bei mokėjimo paslaugoms teikti naudojamų informacinių išteklių konfidencialumo, vientisumo ir prieinamumo pažeidimus.

36. Nuolatinės stebėsenos ir aptikimo procesai, be kita ko, turi apimti:

36.1.  svarbius vidaus ir išorės veiksnius, įskaitant veiklos ir IRT administracines funkcijas;

36.2.  operacijas, siekiant nustatyti netinkamą paslaugų teikėjų ar kitų subjektų prieigų panaudojimą;

36.3.  galimas vidaus ir išorės grėsmes.

37. MPT turi įdiegti priemones, kurios leidžia nustatyti galimo informacijos nutekėjimo, kenkėjiško kodo ir kitas saugumo grėsmes, plačiai žinomus programinės ir techninės įrangos pažeidžiamumus, ir atlikti patikrinimus dėl atitinkamų naujų saugumo atnaujinimų.

38. MPT turi nustatyti tinkamus kriterijus ir limitus, kuriais remiantis įvykis pripažįstamas operaciniu arba saugumo incidentu, ir ankstyvojo perspėjimo rodiklius, įspėjančius, kad aptikti operaciniai arba saugumo incidentai.

39. MPT turi sukurti pranešimų apie operacinius arba saugumo incidentus ir su saugumu susijusių klientų skundų pateikimo už operacinės ir saugumo rizikos valdymą atsakingiems vadovams procedūrą.

 

VI SKYRIUS

VEIKLOS TĘSTINUMAS

 

40. MPT turi įdiegti tinkamą veiklos tęstinumo valdymo procesą, skirtą nenutrūkstamam mokėjimo paslaugų tiekimui užtikrinti ir nuostoliams apriboti, jeigu veikla sutriktų.

41. Vadovaudamiesi vidaus ir (arba) išorės duomenimis ir scenarijų analize, MPT turi nuodugniai išnagrinėti kylančią reikšmingą verslo sutrikdymo riziką ir kiekybiškai bei kokybiškai įvertinti galimą jos poveikį. Atsižvelgę į nustatytas ir klasifikuotas kritines funkcijas, procesus, sistemas, operacijas ir tarpusavio ryšius, MPT turi numatyti veiklos tęstinumą užtikrinančius veiksmus, pirmenybę teikdami veiksmams, nukreiptiems į didžiausias MPT identifikuotas rizikas.

42. Vadovaudamiesi atlikta verslo sutrikdymo rizikos ir jos poveikio analize, MPT turi:

42.1.  turėti veiklos tęstinumo planą, užtikrinantį, kad MPT galės tinkamai reaguoti į nenumatytas kritines situacijas ir toliau vykdyti kritinę veiklą;

42.2.  įdiegti rizikos mažinimo priemones, kurių MPT turės imtis, jeigu mokėjimo paslaugų teikimas nutrūks ir (arba) galiojančios sutartys, sudarytos su trečiaisiais asmenimis, bus nutrauktos, siekdami išvengti neigiamo poveikio mokėjimo sistemoms bei mokėjimo paslaugų vartotojams ir užtikrinti laukiančių mokėjimo operacijų įvykdymą.

43. MPT turi apsvarstyti įvairius scenarijus, įskaitant kraštutinius, bet tikėtinus, su kuriais gali tekti susidurti, ir įvertinti galimą tokių scenarijų poveikį. Vadovaudamiesi atlikta verslo sutrikdymo rizikos ir jos poveikio analize ir nustatytais tikėtinais scenarijais, MPT turi parengti reagavimo ir atkūrimo planus ir:

43.1.  juose įvertinti poveikį kritinių funkcijų, procesų, sistemų, operacijų ir tarpusavio ryšių veikimui;

43.2.  juos įforminti dokumentais, kurie prieinami verslo ir verslą palaikantiems padaliniams bei lengvai prieinami susidarius kritinei situacijai;

43.3.  juos atnaujinti atsižvelgiant į testavimo metu įgytą patirtį, naujai identifikuotas rizikas bei grėsmes ir pasikeitusius atkūrimo tikslus ir prioritetus.

44. MPT turi testuoti savo veiklos tęstinumo planus ir užtikrinti, kad bent kartą per metus būtų testuojama, kaip veikia kritinių funkcijų, procesų, sistemų, operacijų ir tarpusavio ryšiai. Plano tikslas yra apsaugoti ir, jei būtina, naujai nustatyti operacijų vientisumą ir prieinamumą, taip pat informacinių išteklių konfidencialumą.

45. MPT veiklos tęstinumo plano testavimai turi:

45.1.  apimti įvairių, bet įmanomų, įskaitant ir kraštutinių, scenarijų rinkinį;

45.2.  peržiūrėti ir tikrinti prielaidas, kuriomis pagrįstas veiklos tęstinumo planas, įskaitant valdymo priemones ir informavimo planus, naudojamus kilus krizei;

45.3.  apimti procedūras, kurias taikant tikrinami darbuotojų ir procesų gebėjimai tinkamai reaguoti į testuojamus scenarijus.

46. Veiklos tęstinumo planas turi būti atnaujinamas bent kartą per metus atsižvelgiant į testavimų rezultatus, žinomas grėsmes, informacijos pasidalijimą ir dėl ankstesnių įvykių įgytą patirtį, kintančius veiklos atkūrimo tikslus, operaciniu ir techniniu požiūriu tikėtinų scenarijų, kurie dar neįvyko, analizę ir tam tikrais atvejais padarytų sistemų ir procesų pakeitimų analizę. Rengdami veiklos tęstinumo planą, MPT turi konsultuotis ir koordinuoti savo veiksmus su atitinkamomis suinteresuotosiomis šalimis.

47. MPT turi periodiškai atlikti savo veiklos tęstinumo plano veiksmingumo stebėseną ir dokumentuoti bei analizuoti visas testavimo metu kylančias problemas.

48. Sutrikus veiklai arba susidarius kritinei situacijai, įgyvendindami veiklos tęstinumo planą, MPT turi būti įsidiegę veiksmingas komunikacijos priemones, naudojamas kilus krizei, kad visos svarbios vidaus ir išorės suinteresuotosios šalys, įskaitant išorės paslaugų teikėjus, būtų laiku ir tinkamai informuotos.

 

VII SKYRIUS.

SAUGUMO PRIEMONIŲ TESTAVIMAS

 

49. MPT turi nustatyti ir įgyvendinti testavimo sistemą, apimančią saugumo priemonių patikimumo ir veiksmingumo patikrinimus, ir užtikrinti, kad būtų atsižvelgiama į naujausias grėsmes ir pažeidžiamumus, nustatytus rizikos stebėsenos metu.

50. MPT turi nuolat ir reguliariai testuoti mokėjimo paslaugų saugumo priemones. Kritinės mokėjimo paslaugų sistemos testuojamos bent kartą per metus. Nekritinės sistemos turi būti testuojamos reguliariai, taikant rizika pagrįstą metodą, bet ne rečiau kaip kartą per trejus metus.

51. MPT turi užtikrinti, kad testavimai bus atlikti keičiant infrastruktūrą, procesus ar procedūras ir darant pakeitimus po didelių operacinių arba saugumo incidentų.

52. Testavimo sistema taip pat turi apimti saugumo priemones, susijusias su mokėjimo terminalais ir prietaisais, naudojamais mokėjimo paslaugoms teikti, su mokėjimo terminalais ir prietaisais, naudojamais mokėjimo paslaugų vartotojų autentiškumui patvirtinti, ir su prietaisais ir programine įranga, kurią MPT teikia mokėjimų paslaugų vartotojų autentiškumo patvirtinimo kodams generuoti (gauti).

53. Testavimo sistema turi užtikrinti, kad testai:

53.1.  būtų atliekami kaip MPT nustatyto pokyčių valdymo proceso dalis, siekiant užtikrinti jų patikimumą ir veiksmingumą;

53.2.  būtų atliekami nepriklausomų testuotojų, turinčių pakankamai žinių, įgūdžių ir patirties testuojant mokėjimo paslaugų saugumo priemones, kurie nedalyvauja kuriant atitinkamų mokėjimo paslaugų ar sistemų, kurių testavimus planuojama atlikti, saugumo priemones, bent jau tada, kai atliekami galutiniai testai prieš pradedant naudoti tas saugumo priemones;

53.3.  apimtų pažeidžiamumo skenavimus ir įsiskverbimo testavimus, atitinkančius identifikuotos su mokėjimo paslaugomis susijusios rizikos lygį.

54. MPT turi atlikti vykdomų testavimų rezultatų stebėseną ir vertinimus ir atitinkamai atnaujinti savo saugumo priemones. Kritinių sistemų saugumo priemonės turi būti atnaujinamos nedelsiant.

 

VIII SKYRIUS

ŽINIŲ STIPRINIMAS

 

55. MPT turi analizuoti operacinius ir saugumo incidentus, kurie buvo nustatyti arba įvyko MPT viduje ir (arba) už jų ribų. MPT turi nagrinėti įgytą patirtį, sukauptą atliekant tokią analizę, ir atitinkamai atnaujinti saugumo priemones.

56. MPT turi aktyviai stebėti technologijų raidą siekdami stiprinti žinias apie saugumo riziką.

57. MPT turi parengti darbuotojams skirtą mokymo programą siekdami užtikrinti jų pasirengimą vykdyti savo pareigas laikantis atitinkamos saugumo politikos ir procedūrų, kad būtų sumažintas žmogiškųjų klaidų, vagystės, sukčiavimo ar piktnaudžiavimo atvejų skaičius ir nuostoliai. MPT turi užtikrinti, kad pagal mokymo programą būtų numatytas darbuotojų mokymas ne rečiau kaip kartą per metus.

58. MPT turi užtikrinti, kad vadovaujantis Aprašo 17 punkto nuostata sudaromame atsakingų pareigybių sąraše nurodytas pareigas einantiems asmenims kasmet arba, jei reikia, dažniau būtų rengiami tiksliniai informacijos saugumo mokymai.

59. MPT turi parengti ir įgyvendinti periodines švietimo saugumo klausimais užtikrinimo programas, kurių tikslas – šviesti darbuotojus ir mažinti su informacijos saugumu susijusią riziką. Programų tikslas – siekti, kad MPT darbuotojai gebėtų identifikuoti bet kokius neįprastus veiksmus ir incidentus, ir žinotų, kam ir kaip apie juos pranešti.

 

IX SKYRIUS

SANTYKIAI SU MOKĖJIMO PASLAUGŲ VARTOTOJAIS

 

60. MPT turi mokėjimo paslaugų vartotojus informuoti apie su mokėjimo paslaugomis susijusią saugumo riziką, sudaryti sąlygas mokėjimo paslaugų vartotojams lengvai prieinamu būdu susipažinti su informacija apie mokėjimo paslaugų saugumo riziką ir galimas jos pasekmes, veiksnius, galinčius sukelti šią riziką, bei priemones, kurių turėtų imtis mokėjimo paslaugų vartotojai, siekdami sumažinti tokią riziką ir (arba) išvengti su ja susijusių galimų neigiamų pasekmių. Mokėjimo paslaugų vartotojams skirta informacija turi būti pateikta aiškia ir mokėjimo paslaugų vartotojams lengvai suprantama kalba.

61. Aprašo 60 punkte nurodyta informacija turi būti periodiškai peržiūrima, prireikus nedelsiant atnaujinama ir (arba) papildoma, atsižvelgiant į naujas kibernetines grėsmes ir pažeidžiamumą, taip pat į kitus mokėjimo paslaugų ir (arba) jomis besinaudojančių mokėjimo paslaugų vartotojų saugumui įtaką turinčius veiksnius (pvz., pasikeitė aktualūs teisės aktai, padaryti mokėjimo paslaugoms teikti būtini sistemų pakeitimai, galintys turėti įtakos mokėjimo paslaugų teikimui, ir pan.).

62. MPT, jeigu tai įmanoma pagal produkto ir (arba) priemonės funkcionalumą, turi sudaryti sąlygas mokėjimo paslaugų vartotojams išjungti ir vėl įjungti mokėjimų funkcijas, susijusias su MPT mokėjimo paslaugų vartotojams teikiamomis mokėjimo paslaugomis.

63. Jeigu MPT susitarė su mokėjimo paslaugų vartotoju dėl mokėjimo operacijų, vykdomų tam tikromis mokėjimo priemonėmis, išlaidų limitų, MPT turi pasiūlyti mokėjimo paslaugų vartotojui galimybę keisti tą limitą, neviršijant didžiausio sutarto limito.

64. MPT turi suteikti mokėjimo paslaugų vartotojams galimybę gauti pranešimus apie inicijuotus ir (arba) nepavykusius bandymus inicijuoti mokėjimo operacijas, kad jie galėtų nustatyti sukčiavimą ar piktnaudžiavimą jų sąskaita.

65. MPT turi mokėjimo paslaugų vartotojus nuolat informuoti apie saugumo procedūrų atnaujinimą, darantį poveikį teikiant mokėjimo paslaugas.

66.   MPT turi operatyviai ir laiku reaguoti į mokėjimo paslaugų vartotojų ar kitų asmenų žodinius ir rašytinius pranešimus apie mokėjimo paslaugų saugumo incidentus ir (arba) kitas aplinkybes, dėl kurių atsiranda (gali atsirasti) grėsmė mokėjimo paslaugų ar jomis besinaudojančių mokėjimo paslaugų vartotojų saugumui, bei nedelsdami suteikti mokėjimo paslaugų vartotojams konsultacijas ir kitą pagalbą, būtiną mokėjimo paslaugų bei mokėjimo paslaugų vartotojų saugumui užtikrinti. Mokėjimo paslaugų vartotojai turi būti tinkamai informuojami apie teisę gauti tokias konsultacijas ir pagalbą. Mokėjimo paslaugų vartotojo prašymu informacija šiame punkte nurodytais klausimais per protingą terminą turi būti pateikta su MPT sutartu būdu.

_________________