1.   Operacinės ir saugumo rizikos valdymo reikalavimų mokėjimo paslaugų teikėjams apraše (toliau – Aprašas) nustatyti saugumo priemonių, kurių privalo imtis mokėjimo paslaugų teikėjai (MPT), siekdami valdyti su jų teikiamomis mokėjimo paslaugomis susijusią operacinę ir saugumo riziką, kūrimo, įgyvendinimo ir stebėsenos reikalavimai.

2.   Aprašo nuostatos taikomos MPT, kurie teikia mokėjimo paslaugas pagal Lietuvos Respublikos mokėjimų įstatymą.

3.   Aprašas parengtas atsižvelgus į 2018 m. sausio 12 d. Europos bankininkystės institucijos gaires EBA/GL/2017/17 dėl saugumo priemonių, susijusių su mokėjimo paslaugų operacine ir saugumo rizika pagal Direktyvą (ES) 2015/2366 (MPD2).

4.   Pagrindinės sąvokos:

5.   Kitos vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos mokėjimų įstatyme.

6.   MPT Apraše nustatytus reikalavimus taiko proporcingai, atsižvelgdamas į savo dydį, organizacinę struktūrą ir veiklos (t. y. į MPT teikiamų ar planuojamų teikti paslaugų) pobūdį, mastą, sudėtingumą ir rizikingumą.

7.   Už Apraše nustatytų reikalavimų įgyvendinimą atsakingas MPT valdymo organas.

8.   MPT turi sukurti tinkamą organizacinę struktūrą ir procesus, kurie padėtų:

9.   MPT turi turėti veiksmingą, visiškai integruotą į bendruosius MPT rizikos valdymo procesus, operacinės ir saugumo rizikos valdymo sistemą (toliau – rizikos valdymo sistema), kurioje pagrindinis dėmesys turi būti skiriamas saugumo priemonėms, mažinančioms operacinę ir saugumo riziką.

10. MPT turi vadovautis rizikos valdymo sistema, kuri, be kita ko, turi:

11. MPT turi užtikrinti, kad rizikos valdymo sistema būtų tinkamai dokumentuota ir atnaujinama vadovaujantis šios sistemos įgyvendinimo ir stebėsenos metu sukaupta patirtimi.

12. MPT turi užtikrinti, kad prieš darant esminius infrastruktūros, procesų ar procedūrų pakeitimus ir (arba) po kiekvieno didelio operacinio arba saugumo incidento, darančio poveikį teikiamų mokėjimo paslaugų saugumui, būtų vertinamas poreikis nedelsiant keisti ar tobulinti rizikos valdymo sistemą.

13. Operacinei ir saugumo rizikai identifikuoti ir valdyti MPT turi pasitelkti trijų veiksmingų gynybos linijų (vidaus valdymo ir kontrolės, rizikos valdymo ir vidaus audito) arba lygiavertį vidaus rizikos valdymo ir kontrolės modelį. Vidaus kontrolės modelis turi būti nepriklausomas, turėti pakankamai galių, išteklių ir tiesioginės atskaitomybės linijų, siejančių jį su valdymo organu.

14. Saugumo kontrolės ir rizikos mažinimo priemonės turi būti periodiškai audituojamos. Audito dažnumas ir audituojama sritis turi būti nustatomi atsižvelgiant į saugumui kylančią riziką. Auditą turi atlikti vidaus ar išorės auditoriai, kurie turi patirties IT saugumo ir mokėjimų srityse ir kurių veikla nepriklauso nuo MPT.

15. Perduodant mokėjimo paslaugų operacines funkcijas, įskaitant IT sistemas, trečiosioms šalims, MPT turi užtikrinti, kad būtų įgyvendintos Apraše nustatytos saugumo priemonės.

16. MPT turi užtikrinti, kad į sutartis dėl trečiosioms šalims perduodamų mokėjimo paslaugų veiklos funkcijų būtų įtraukti tinkami ir proporcingi saugumo tikslai, priemonės ir veiklos rezultatų rodikliai. MPT turi vykdyti stebėseną ir užtikrinti, kad trečiosioms šalims perduodamų veiklos funkcijų teikėjai laikytųsi nustatytų saugumo tikslų, priemonių ir veiklos rezultatų rodiklių.

17. MPT, siekdami apibūdinti kiekvienos veiklos funkcijos, atsakingos pareigybės ir palaikomųjų procesų svarbą bei ryšį su operacine arba saugumo rizika, turi identifikuoti ir reguliariai atnaujinti veiklos funkcijų, atsakingų pareigybių bei palaikomųjų procesų sąrašą.

18. Identifikuotas veiklos funkcijas, jas palaikančius procesus ir informacinius išteklius MPT turi klasifikuoti pagal svarbą.

19. MPT, siekdami valdyti kritinėms veiklos funkcijoms ir procesams palaikyti skirtus išteklius, turi identifikuoti, nustatyti ir reguliariai atnaujinti tokių informacinių išteklių, kaip IRT sistemų, jų konfigūracijos, kitų infrastruktūrų bei sąsajų su kitomis vidaus ir išorės sistemomis, sąrašą.

20. MPT turi užtikrinti, kad bus atliekama nuolatinė grėsmių ir pažeidžiamumo stebėsena ir periodinė rizikos scenarijų, galinčių paveikti jų veiklos funkcijas, kritinius procesus ir informacinius išteklius, peržiūra.

21. MPT, siekdami identifikuoti ir įvertinti pagrindines operacinės ir saugumo rizikos rūšis, turi bent kartą per kalendorinius metus atlikti ir dokumentuoti identifikuotų ir klasifikuotų funkcijų, procesų ir informacinių išteklių rizikos vertinimą ir, jį atlikus, ne vėliau kaip per 2 savaites Lietuvos bankui pateikti atnaujintą ir išsamų su jų teikiamomis mokėjimo paslaugomis susijusios operacinės ir saugumo rizikos vertinimo ir rizikos mažinimo priemonių ir kontrolės mechanizmų, įgyvendintų reaguojant į tą riziką, pakankamumo aprašymą. Rizika turi būti vertinama kiekvienais metais ir prieš darant svarbius infrastruktūros, proceso ar procedūrų pakeitimus, turinčius įtakos teikiamų mokėjimo paslaugų saugumui.

22. Vadovaudamiesi rizikos vertinimu, MPT turi nustatyti, ar reikia ir, jeigu reikia, kokiu mastu, keisti galiojančias saugumo priemones, naudojamas technologijas ir procedūras ar siūlomas mokėjimo paslaugas. MPT turi atsižvelgti į tai, kiek laiko reikia tiems pakeitimams ir tinkamoms laikinosioms saugumo priemonėms įgyvendinti, siekiant kuo labiau sumažinti galimus operacinius arba saugumo incidentus, sukčiavimą ir galimą neigiamą poveikį teikiant mokėjimo paslaugas.

23. Siekdami apsisaugoti nuo identifikuotos operacinės arba saugumo rizikos įvykių, MPT turi nustatyti ir įdiegti prevencines saugumo priemones. Šios priemonės turi užtikrinti pakankamą saugumo lygį, atitinkantį identifikuotą riziką.

24. MPT turi įdiegti daugiapakopes kontrolės priemones, apimančias žmones, procesus ir technologijas, kurias taikant kiekviena pakopa yra ankstesnių pakopų apsaugos priemonė. Tai pačiai rizikai padengti turi būti taikoma daugiau nei viena kontrolės priemonė, pvz., taikomas keturių akių principas, dviejų faktorių autentiškumo patvirtinimas, tinklo segmentavimas ir ugniasienės (angl. firewall).

25. MPT turi užtikrinti svarbiausių loginių ir fizinių turto objektų, išteklių ir mokėjimo paslaugų vartotojų neskelbtinų mokėjimo duomenų konfidencialumą, vientisumą ir prieinamumą jų saugojimo, perdavimo bei naudojimo metu. Jeigu duomenys apima asmens duomenis, tokios priemonės turėtų būti įgyvendinamos laikantis asmens duomenų apsaugos reikalavimų.

26. MPT turi nuolat vertinti, ar veiklos aplinkos pokyčiai daro įtaką esančioms saugumo priemonėms ir ar reikia įdiegti papildomų rizikos mažinimo priemonių. Šie pokyčiai turi būti įtraukti į oficialų MPT pokyčių valdymo procesą, užtikrinantį, kad jie bus tinkamai planuojami, testuojami, dokumentuojami ir tvirtinami. Jeigu kiltų saugumo grėsmė, atsižvelgdami į padarytus pakeitimus grėsmėms mažinti, MPT turi atlikti testavimus, įtraukdami svarbių ir žinomų potencialių atakų scenarijus.

27. Projektuodami ir kurdami mokėjimo paslaugų infrastruktūrą bei teikdami mokėjimo paslaugas, MPT turi užtikrinti:

28. MPT turi periodiškai tikrinti, kad mokėjimo paslaugoms teikti naudojama programinė įranga, įskaitant su vartotojų mokėjimais susijusią programinę įrangą, būtų laiku atnaujinta ir būtų įdiegti visi kritiniai saugumo atnaujinimai. Siekdami įsitikinti programinės įrangos, mikroprograminės įrangos ir informacijos apie mokėjimo paslaugas vientisumu, MPT turi įdiegti vientisumo tikrinimo mechanizmą.

29. MPT turi įsidiegti tinkamas fizinio saugumo priemones, ypač siekdami apsaugoti neskelbtinus mokėjimo paslaugų vartotojų mokėjimų duomenis ir mokėjimo paslaugoms teikti naudojamas IRT sistemas.

30. Fizinė ir loginė prieiga prie IRT sistemų gali būti suteikta tik autorizuotiems asmenims. Atsižvelgiant į darbuotojų užduotis ir atsakomybę, autorizavimą galima suteikti tik asmenims, kurie yra tinkamai išmokyti ir kurių prieiga prie IRT gerai kontroliuojama. MPT turi įsidiegti kontrolės priemones, kurios patikimai riboja prieigas prie IRT sistemų ir suteikia jas tik su veikla susijusių poreikių turintiems autorizuotiems asmenims. Elektroninė taikomųjų programų prieiga prie duomenų ir sistemų turi būti griežtai apribota ir suteikiama tik tada, kai tai būtina tam tikrai paslaugai teikti.

31. Privilegijuotajai prieigai prie sistemų MPT turi taikyti griežtos kontrolės priemones ir griežtai riboti bei atidžiai prižiūrėti darbuotojus, turinčius didesnes prieigos prie sistemos teises. Turi būti įdiegtos tokios kontrolės priemonės, kaip prieigų suteikimas atsižvelgiant į pareigas, privilegijuotųjų vartotojų veiksmų sistemoje registravimas ir peržiūra, griežtas autentiškumo patvirtinimas ir anomalijų stebėsena. MPT turi valdyti prieigos prie informacinių išteklių ir palaikomųjų sistemų teises remdamiesi principu „būtina žinoti“. Prieigos teises būtina periodiškai peržiūrėti.

32. Prieigos registracijos žurnalų saugojimo laikotarpis turi būti nustatomas atsižvelgiant į klasifikuotų veiklos funkcijų, palaikomųjų procesų ir informacinių išteklių svarbą. MPT turi naudoti šią informaciją siekdami palengvinti anomalios veiklos, pastebėtos teikiant mokėjimo paslaugas, nustatymą ir tyrimą.

33. Siekiant užtikrinti saugų ryšį ir sumažinti riziką, nuotolinė administratorių prieiga prie kritinių IRT komponentų gali būti suteikta tik vadovaujantis principu „būtina žinoti“ ir naudojant patikimus autentiškumo patvirtinimo sprendimus.

34. Su prieigos kontrolės procesais susijusių produktų, priemonių ir procedūrų naudojimas turi apsaugoti prieigos kontrolės procesus, kad jie nebūtų pažeisti arba apeiti. Tai apima atitinkamų produktų, priemonių ir procedūrų registravimą, teikimą, atšaukimą ir panaikinimą.

35. MPT turi atlikti nuolatinę veiklos funkcijų, palaikomųjų procesų ir informacinių išteklių stebėseną. Vykdydami nuolatinę stebėseną, MPT turi būti pajėgūs tinkamai ir veiksmingai aptikti fizinį ir loginį įsibrovimą bei mokėjimo paslaugoms teikti naudojamų informacinių išteklių konfidencialumo, vientisumo ir prieinamumo pažeidimus.

36. Nuolatinės stebėsenos ir aptikimo procesai, be kita ko, turi apimti:

37. MPT turi įdiegti priemones, kurios leidžia nustatyti galimo informacijos nutekėjimo, kenkėjiško kodo ir kitas saugumo grėsmes, plačiai žinomus programinės ir techninės įrangos pažeidžiamumus, ir atlikti patikrinimus dėl atitinkamų naujų saugumo atnaujinimų.

38. MPT turi nustatyti tinkamus kriterijus ir limitus, kuriais remiantis įvykis pripažįstamas operaciniu arba saugumo incidentu, ir ankstyvojo perspėjimo rodiklius, įspėjančius, kad aptikti operaciniai arba saugumo incidentai.

39. MPT turi sukurti pranešimų apie operacinius arba saugumo incidentus ir su saugumu susijusių klientų skundų pateikimo už operacinės ir saugumo rizikos valdymą atsakingiems vadovams procedūrą.

40. MPT turi įdiegti tinkamą veiklos tęstinumo valdymo procesą, skirtą nenutrūkstamam mokėjimo paslaugų tiekimui užtikrinti ir nuostoliams apriboti, jeigu veikla sutriktų.

41. Vadovaudamiesi vidaus ir (arba) išorės duomenimis ir scenarijų analize, MPT turi nuodugniai išnagrinėti kylančią reikšmingą verslo sutrikdymo riziką ir kiekybiškai bei kokybiškai įvertinti galimą jos poveikį. Atsižvelgę į nustatytas ir klasifikuotas kritines funkcijas, procesus, sistemas, operacijas ir tarpusavio ryšius, MPT turi numatyti veiklos tęstinumą užtikrinančius veiksmus, pirmenybę teikdami veiksmams, nukreiptiems į didžiausias MPT identifikuotas rizikas.

42. Vadovaudamiesi atlikta verslo sutrikdymo rizikos ir jos poveikio analize, MPT turi:

43. MPT turi apsvarstyti įvairius scenarijus, įskaitant kraštutinius, bet tikėtinus, su kuriais gali tekti susidurti, ir įvertinti galimą tokių scenarijų poveikį. Vadovaudamiesi atlikta verslo sutrikdymo rizikos ir jos poveikio analize ir nustatytais tikėtinais scenarijais, MPT turi parengti reagavimo ir atkūrimo planus ir:

44. MPT turi testuoti savo veiklos tęstinumo planus ir užtikrinti, kad bent kartą per metus būtų testuojama, kaip veikia kritinių funkcijų, procesų, sistemų, operacijų ir tarpusavio ryšiai. Plano tikslas yra apsaugoti ir, jei būtina, naujai nustatyti operacijų vientisumą ir prieinamumą, taip pat informacinių išteklių konfidencialumą.

45. MPT veiklos tęstinumo plano testavimai turi:

46. Veiklos tęstinumo planas turi būti atnaujinamas bent kartą per metus atsižvelgiant į testavimų rezultatus, žinomas grėsmes, informacijos pasidalijimą ir dėl ankstesnių įvykių įgytą patirtį, kintančius veiklos atkūrimo tikslus, operaciniu ir techniniu požiūriu tikėtinų scenarijų, kurie dar neįvyko, analizę ir tam tikrais atvejais padarytų sistemų ir procesų pakeitimų analizę. Rengdami veiklos tęstinumo planą, MPT turi konsultuotis ir koordinuoti savo veiksmus su atitinkamomis suinteresuotosiomis šalimis.

47. MPT turi periodiškai atlikti savo veiklos tęstinumo plano veiksmingumo stebėseną ir dokumentuoti bei analizuoti visas testavimo metu kylančias problemas.

48. Sutrikus veiklai arba susidarius kritinei situacijai, įgyvendindami veiklos tęstinumo planą, MPT turi būti įsidiegę veiksmingas komunikacijos priemones, naudojamas kilus krizei, kad visos svarbios vidaus ir išorės suinteresuotosios šalys, įskaitant išorės paslaugų teikėjus, būtų laiku ir tinkamai informuotos.

49. MPT turi nustatyti ir įgyvendinti testavimo sistemą, apimančią saugumo priemonių patikimumo ir veiksmingumo patikrinimus, ir užtikrinti, kad būtų atsižvelgiama į naujausias grėsmes ir pažeidžiamumus, nustatytus rizikos stebėsenos metu.

50. MPT turi nuolat ir reguliariai testuoti mokėjimo paslaugų saugumo priemones. Kritinės mokėjimo paslaugų sistemos testuojamos bent kartą per metus. Nekritinės sistemos turi būti testuojamos reguliariai, taikant rizika pagrįstą metodą, bet ne rečiau kaip kartą per trejus metus.

51. MPT turi užtikrinti, kad testavimai bus atlikti keičiant infrastruktūrą, procesus ar procedūras ir darant pakeitimus po didelių operacinių arba saugumo incidentų.

52. Testavimo sistema taip pat turi apimti saugumo priemones, susijusias su mokėjimo terminalais ir prietaisais, naudojamais mokėjimo paslaugoms teikti, su mokėjimo terminalais ir prietaisais, naudojamais mokėjimo paslaugų vartotojų autentiškumui patvirtinti, ir su prietaisais ir programine įranga, kurią MPT teikia mokėjimų paslaugų vartotojų autentiškumo patvirtinimo kodams generuoti (gauti).

53. Testavimo sistema turi užtikrinti, kad testai:

54. MPT turi atlikti vykdomų testavimų rezultatų stebėseną ir vertinimus ir atitinkamai atnaujinti savo saugumo priemones. Kritinių sistemų saugumo priemonės turi būti atnaujinamos nedelsiant.

55. MPT turi analizuoti operacinius ir saugumo incidentus, kurie buvo nustatyti arba įvyko MPT viduje ir (arba) už jų ribų. MPT turi nagrinėti įgytą patirtį, sukauptą atliekant tokią analizę, ir atitinkamai atnaujinti saugumo priemones.

56. MPT turi aktyviai stebėti technologijų raidą siekdami stiprinti žinias apie saugumo riziką.

57. MPT turi parengti darbuotojams skirtą mokymo programą siekdami užtikrinti jų pasirengimą vykdyti savo pareigas laikantis atitinkamos saugumo politikos ir procedūrų, kad būtų sumažintas žmogiškųjų klaidų, vagystės, sukčiavimo ar piktnaudžiavimo atvejų skaičius ir nuostoliai. MPT turi užtikrinti, kad pagal mokymo programą būtų numatytas darbuotojų mokymas ne rečiau kaip kartą per metus.

58. MPT turi užtikrinti, kad vadovaujantis Aprašo 17 punkto nuostata sudaromame atsakingų pareigybių sąraše nurodytas pareigas einantiems asmenims kasmet arba, jei reikia, dažniau būtų rengiami tiksliniai informacijos saugumo mokymai.

59. MPT turi parengti ir įgyvendinti periodines švietimo saugumo klausimais užtikrinimo programas, kurių tikslas – šviesti darbuotojus ir mažinti su informacijos saugumu susijusią riziką. Programų tikslas – siekti, kad MPT darbuotojai gebėtų identifikuoti bet kokius neįprastus veiksmus ir incidentus, ir žinotų, kam ir kaip apie juos pranešti.

60. MPT turi mokėjimo paslaugų vartotojus informuoti apie su mokėjimo paslaugomis susijusią saugumo riziką, sudaryti sąlygas mokėjimo paslaugų vartotojams lengvai prieinamu būdu susipažinti su informacija apie mokėjimo paslaugų saugumo riziką ir galimas jos pasekmes, veiksnius, galinčius sukelti šią riziką, bei priemones, kurių turėtų imtis mokėjimo paslaugų vartotojai, siekdami sumažinti tokią riziką ir (arba) išvengti su ja susijusių galimų neigiamų pasekmių. Mokėjimo paslaugų vartotojams skirta informacija turi būti pateikta aiškia ir mokėjimo paslaugų vartotojams lengvai suprantama kalba.

61. Aprašo 60 punkte nurodyta informacija turi būti periodiškai peržiūrima, prireikus nedelsiant atnaujinama ir (arba) papildoma, atsižvelgiant į naujas kibernetines grėsmes ir pažeidžiamumą, taip pat į kitus mokėjimo paslaugų ir (arba) jomis besinaudojančių mokėjimo paslaugų vartotojų saugumui įtaką turinčius veiksnius (pvz., pasikeitė aktualūs teisės aktai, padaryti mokėjimo paslaugoms teikti būtini sistemų pakeitimai, galintys turėti įtakos mokėjimo paslaugų teikimui, ir pan.).

62. MPT, jeigu tai įmanoma pagal produkto ir (arba) priemonės funkcionalumą, turi sudaryti sąlygas mokėjimo paslaugų vartotojams išjungti ir vėl įjungti mokėjimų funkcijas, susijusias su MPT mokėjimo paslaugų vartotojams teikiamomis mokėjimo paslaugomis.

63. Jeigu MPT susitarė su mokėjimo paslaugų vartotoju dėl mokėjimo operacijų, vykdomų tam tikromis mokėjimo priemonėmis, išlaidų limitų, MPT turi pasiūlyti mokėjimo paslaugų vartotojui galimybę keisti tą limitą, neviršijant didžiausio sutarto limito.

64. MPT turi suteikti mokėjimo paslaugų vartotojams galimybę gauti pranešimus apie inicijuotus ir (arba) nepavykusius bandymus inicijuoti mokėjimo operacijas, kad jie galėtų nustatyti sukčiavimą ar piktnaudžiavimą jų sąskaita.

65. MPT turi mokėjimo paslaugų vartotojus nuolat informuoti apie saugumo procedūrų atnaujinimą, darantį poveikį teikiant mokėjimo paslaugas.

66.   MPT turi operatyviai ir laiku reaguoti į mokėjimo paslaugų vartotojų ar kitų asmenų žodinius ir rašytinius pranešimus apie mokėjimo paslaugų saugumo incidentus ir (arba) kitas aplinkybes, dėl kurių atsiranda (gali atsirasti) grėsmė mokėjimo paslaugų ar jomis besinaudojančių mokėjimo paslaugų vartotojų saugumui, bei nedelsdami suteikti mokėjimo paslaugų vartotojams konsultacijas ir kitą pagalbą, būtiną mokėjimo paslaugų bei mokėjimo paslaugų vartotojų saugumui užtikrinti. Mokėjimo paslaugų vartotojai turi būti tinkamai informuojami apie teisę gauti tokias konsultacijas ir pagalbą. Mokėjimo paslaugų vartotojo prašymu informacija šiame punkte nurodytais klausimais per protingą terminą turi būti pateikta su MPT sutartu būdu.