1. "Finanšu un kapitāla tirgus dalībnieku informācijas sistēmu drošības normatīvie noteikumi" (tālāk tekstā – noteikumi) ir saistoši Latvijā reģistrētiem finanšu un kapitāla tirgus dalībniekiem (tālāk tekstā – tirgus dalībnieks): kredītiestādēm, krājaizdevu sabiedrībām, maksājumu iestādēm, elektroniskās naudas iestādēm, apdrošināšanas sabiedrībām, apdrošināšanas starpniekiem, privātajiem pensiju fondiem, regulētā tirgus organizētājiem, Latvijas Centrālajam depozitārijam, ieguldījumu brokeru sabiedrībām, ieguldījumu pārvaldes sabiedrībām un alternatīvo ieguldījumu fondu pārvaldniekiem.
2. Noteikumu mērķis ir ierobežot tirgus dalībnieku darbībai un klientiem sniegto pakalpojumu nodrošināšanai izmantojamo informācijas sistēmu (tālāk tekstā arī – IS) riskus, kopumā tiecoties uz piesardzīgu informācijas sistēmu risku pārvaldības līmeni (risku apetīti), kā arī noteikt vienoti strukturētas prasības tirgus dalībnieku IS drošības risku pārvaldībai.
3. Noteikumi nosaka prasību minimumu. Tirgus dalībnieks var ieviest papildu aizsardzības pasākumus atkarībā no informācijas resursu klasifikācijas līmeņa un veiktās risku analīzes, ņemot vērā uzņēmuma sniegtos pakalpojumus, darbinieku skaitu un informācijas tehnoloģiju (tālāk tekstā – IT) izmantošanas līmeni.
4. Auditācijas pieraksti – analīzei pieejami pieraksti, kuros reģistrēti dati par noteiktiem notikumiem IS (piekļuve, datu ievade, maiņa, dzēšana, izvade u.c.).
5. Ārpakalpojuma sniedzējs – trešā persona, kas pēc tirgus dalībnieka pieprasījuma nodrošina tirgus dalībnieka IT un IS pārvaldību, attīstību, drošību, auditu vai sniedz citu tirgus dalībniekam nepieciešamu pakalpojumu, kas saistīts ar IS.
6. Drošības pasākumi – tehniski vai organizatoriski pasākumi, kas tiek noteikti risku pārvaldības ietvaros un samazina IS risku līdz pieļaujamajam līmenim.
7. Ievainojamība – IS nepilnība, kas ļauj kādam noteiktam apdraudējumam īstenoties un ietekmēt IS drošību.
8. Informācijas sistēma – datu ievades, uzglabāšanas un apstrādes sistēma, kas nodrošina noteikto funkciju izpildi un paredz lietotājpieeju tajā glabātajiem datiem vai informācijai.
9. Informācijas konfidencialitāte – piekļuves nodrošināšana informācijai tikai pilnvarotām personām.
10. Informācijas integritāte – informācijas un tās apstrādes metožu precizitāte, pareizība un pilnīgums.
11. Informācijas pieejamība – iespēja pilnvarotām personām lietot informāciju noteiktā laikā un vietā.
12. Informācijas resursi – informācijas vienības, kurās ietilpst datu faili, kas satur IS glabājamo, apstrādājamo un IS lietotājiem pieejamo informāciju, kā arī visi IS ievades un izvades dokumenti neatkarīgi no datu nesēja veida.
13. Informācijas resursu turētājs – persona, kas ir atbildīga par informācijas resursiem un rīkojas ar tiem tirgus dalībnieka uzdevumā.
14. Autentifikācijas faktori (elementi) – attālināto lietotāju autentifikācijai izmantotie autentifikācijas līdzekļi, kas ir zināmi tikai lietotājam (piemēram, parole, PIN), kas ir lietošanā jeb pieder tikai lietotājam (piemēram, kodu karte, kodu kalkulators, mobilais tālrunis) vai kas ir lietotāja unikāla īpašība (piemēram, pirkstu nospiedums).
16. IS drošības incidents – kaitīgs notikums vai nodarījums, kura rezultātā tiek apdraudēta vai var tikt apdraudēta IS drošība (t.sk. uzbrukumi IS vai datortīkla iekārtai, darbības, kas izraisa vai var izraisīt neautorizētu piekļuvi IS, pakalpojuma atteikumi).
18. Risks – ar IS funkcionēšanu saistīta organizācijas varbūtēja nespēja pilnvērtīgi un kvalitatīvi veikt kādu savu saistību vai funkciju izpildi, ko nosaka kā nevēlamā notikuma iespējamības un tā seku kombināciju.
19. Tehnoloģiskie resursi – IS sastāvdaļa, kurā ietilpst sistēmprogrammas, lietojumprogrammas, palīgprogrammas, sistēmfaili, datori, datortīkli, aparatūra un citas iekārtas, kas nodrošina IS darbību.
20. Tehnoloģisko resursu turētājs – persona, kas ir atbildīga par tehnoloģiskajiem resursiem un rīkojas ar tiem tirgus dalībnieka uzdevumā.
21. Definīcijas, kas attiecas uz interneta maksājumu pakalpojumiem, skatīt šo noteikumu pielikuma I sadaļas 8. punktā.
22. Vadības atbildība un atbalsts
22.1. Tirgus dalībnieka vadība ir atbildīga par IS drošības politikas un IT stratēģijas noteikšanu un īstenošanu, darbinieku pienākumu un atbildības noteikšanu, kontroles organizēšanu, kā arī adekvātu resursu piešķiršanu IS drošības un IS audita funkciju pilnvērtīgai nodrošināšanai.
22.2. IS drošības politikas mērķis ir definēt tirgus dalībnieka vadības nostāju un atbalstu IS drošības nodrošināšanai atbilstoši tirgus dalībnieka un tā klientu vajadzībām.
23. Normatīvi
23.1. Tirgus dalībnieks apstiprina hierarhiski strukturētu dokumentu kopumu, kas nosaka IS pārvaldību, t.sk. IS drošības pārvaldību. Definējot IS drošības pārvaldību, nosaka IS drošības mērķus, lomas, atbildību un IS drošības pasākumu piemērošanas kārtību.
23.2. Tirgus dalībnieks dokumentē vismaz tos IS pārvaldības procesus, kuru neizpilde var radīt IS drošības riskus.
23.3. Tirgus dalībnieks nodrošina normatīvu aktualizāciju un pieejamību darbiniekiem.
23.4. Tirgus dalībnieks nosaka darbinieku atbildību par normatīvu neievērošanu.
23.5. Tirgus dalībnieks izveido un uztur aktuālu informācijas un datu plūsmas shēmu.
24. IS drošības jeb IS risku pārvaldības funkcija (tālāk tekstā – IS drošības funkcija)
24.1. Tirgus dalībnieks nodrošina IS drošības funkciju, lai realizētu risku kontroli un IS drošības pasākumu īstenošanu.
24.2. IS drošības funkcijas ietvaros tirgus dalībnieks nodrošina vismaz:
24.2.1. IS drošības normatīvu izstrādi un aktualizēšanu;
24.2.2. IS klasifikācijas un risku vadības procesa koordināciju un apdraudējumu identifikāciju;
24.2.3. vadības informēšanu par drošības līmeņa atbilstību prasībām un būtiskiem IS drošības incidentiem;
24.2.4. noteikto drošības pasākumu uzraudzību;
24.2.5. darbinieku apmācību un informēšanu IS drošības jomā;
24.2.6. IS drošības incidentu pārvaldību;
24.2.7. dalību IS darbības atjaunošanas un nepārtrauktības plānošanā.
24.3. Tirgus dalībnieks nodrošina IS drošības funkcijas neatkarību no IS izstrādes un uzturēšanas funkcijām un pienākumu nepastarpināti informēt tirgus dalībnieka vadību par būtiskiem IS drošības notikumiem. Ja par IS drošību atbildīgais darbinieks savus pienākumus veic darbu apvienošanas kārtībā, tad ievēro pienākumu nodalīšanas principu – darbu izpildītājs nedrīkst pats sevi kontrolēt.
25. IS audita funkcija
25.1. Tirgus dalībnieks nodrošina IS audita funkciju, lai nodrošinātu IS drošības pasākumu īstenošanas neatkarīgu pārbaudi.
25.2. Audita funkciju var nodrošināt arī ārpakalpojuma sniedzējs.
25.3. Tirgus dalībnieks līdz katra gada 1. martam iesniedz Finanšu un kapitāla tirgus komisijai iepriekšējā gadā veikto ar IS drošību saistīto auditu sarakstu, norādot auditu tēmas, mērķus un auditu veicēju.
26. Ārpakalpojumu vadība
26.1. Tirgus dalībnieks var izmantot trešās personas – ārpakalpojuma sniedzēja – pakalpojumus. Tirgus dalībnieks veic visu izmantoto ārpakalpojumu uzskaiti.
26.2. Ārpakalpojuma saņemšana neatbrīvo tirgus dalībnieku no normatīvajos aktos vai līgumā ar tā klientiem noteiktās atbildības – tas ir atbildīgs par ārpakalpojuma sniedzēja veikumu tādā pašā mērā kā par savu. IS drošības līmenis, ja IS attīsta vai uztur ārpakalpojuma sniedzējs, nedrīkst būt zemāks par tirgus dalībnieka noteikto.
26.3. Pirms lēmuma pieņemšanas par ārpakalpojumu iegādi tirgus dalībnieks izvērtē piegādātājus un, ņemot vērā prasības pakalpojuma kvalitātei un drošībai, tostarp pieejamībai, izvērtē riskus, kā arī nosaka pakalpojuma izbeigšanas stratēģiju.
26.4. Tirgus dalībnieks līgumā ar ārpakalpojumu sniedzēju ietver prasības ārpakalpojuma kontrolei, piemēram, skaidru pakalpojuma aprakstu, drošības prasības, konfidencialitātes saistības, tiesības saņemt pakalpojuma uzraudzībai nepieciešamo informāciju, prasību ārpakalpojumu sniedzējam nekavējoties ziņot par incidentiem, tiesības pārtraukt līgumu.
26.5. Izmantojot ārpakalpojumus, t.sk. mākoņskaitļošanu, tirgus dalībniekam ir pienākums saglabāt nepieciešamo kontroli pār informācijas resursiem, kas satur informāciju par tirgus dalībnieka klientiem. Tirgus dalībnieka klasificētas IS drošā veidā ir fiziski vai loģiski jānošķir no ārpakalpojuma sniedzēja citu klientu IS. Jāsagatavo un regulāri jāaktualizē pakalpojuma pārtraukšanas plāns, paredzot datu, programmatūras un tehnisko resursu atpakaļnodošanu un klientu informācijas dzēšanu pie pakalpojuma sniedzēja.
26.6. Tirgus dalībnieks veic ārpakalpojumu kvalitātes uzraudzību un drošības kontroli, t.sk. saņem pārskatus par pakalpojuma kvalitāti un incidentiem.
26.7. Tirgus dalībniekam, ja tas sniedz ārpakalpojumu trešajai pusei, izmantojot savas IS, tostarp autentifikācijas ārpakalpojumu, ir pienākums kontrolēt risinājuma ieviešanu trešās puses uzņēmumā. Tirgus dalībnieks informē sadarbības partnerus par riskiem, kas saistīti ar šādu pakalpojumu izmantošanu. Drošības prasību neizpildes gadījumā tirgus dalībniekam ir pienākums pārtraukt sadarbību.
27. Resursu piederība
27.1. Tirgus dalībnieks rakstveidā norīko IS resursu (informācijas un tehnoloģisko resursu) turētājus visiem informācijas un tehnoloģiskajiem resursiem.
27.2. Informācijas resursu turētāja pienākumi ir šādi:
27.2.1. klasificēt viņa turējumā esošos informācijas resursus;
27.2.2. piedalīties viņa turējumā esošo informācijas resursu un saistīto IS risku analīzē un to apstiprināt;
27.2.3. apstiprināt pieejas tiesības IS;
27.2.4. apstiprināt IS izmaiņu veikšanu un ieviešanu;
27.2.5. noteikt prasības auditācijas pierakstu veidošanai;
27.2.6. sadarboties ar IS tehnoloģisko resursu turētāju IS funkcionalitātes un drošības jautājumos.
27.3. Tirgus dalībnieks nodrošina informācijas resursu turētāju apmācību to pienākumu izpildē.
27.4. Tehnoloģisko resursu turētāja pienākumi ir šādi:
27.4.1. nodrošināt tehnoloģisko resursu fizisko un loģisko aizsardzību;
27.4.2. sadarboties ar informācijas resursu turētāju, lai īstenotu viņa prasības par informācijas resursu aizsardzību un piekļuvi tiem;
27.4.3. piedalīties risku analīzē, noteikt ar tehnoloģiskajiem resursiem saistītos IS apdraudējumus un novērtēt šo apdraudējumu īstenošanās varbūtību;
27.4.4. nodrošināt IS atjaunošanas procedūras, ja tehnoloģiskie resursi ir bojāti un IS funkcionēšana traucēta vai neiespējama;
27.4.5. sadarboties ar IS informācijas resursu turētāju IS funkcionalitātes un drošības jautājumos.
27.5. Resursu turētājs minētos pienākumus var uzdot pildīt resursu aizbildņiem – personām, kuras norīkojis resursu turētājs un kuras ikdienā ir atbildīgas par attiecīgajiem IS resursiem vai to daļu.
28. IS klasifikācija
28.1. Klasifikācijas mērķis ir novērtēt IS nozīmību un nodrošināt tās aizsardzību atbilstoši klasifikācijas līmenim. Tirgus dalībnieks veic visu IS klasificēšanu, nosakot IS konfidencialitātes, vērtības un pieejamības līmeni, un to dokumentē.
28.2. Konfidencialitātes līmeni IS tirgus dalībnieks piešķir atkarībā no kaitējuma, kas varētu tikt nodarīts informācijas devējam vai tirgus dalībniekam, ja tiktu pieļauts, ka šai IS piekļūst nepilnvarotas personas.
28.3. Vērtības līmeni IS tirgus dalībnieks piešķir atkarībā no kaitējuma, kas varētu tikt nodarīts informācijas devējam vai tirgus dalībniekam, ja netiktu nodrošināta IS integritāte.
28.4. Resursu pieejamības līmeni IS tirgus dalībnieks nosaka atkarībā no tirgus dalībnieka pamatdarbības vajadzībām (business requirements), ņemot vērā kaitējumu, kas varētu tikt nodarīts informācijas devējam vai tirgus dalībniekam, ja netiktu nodrošināta IS resursu pieejamība, un nosaka pieļaujamo laiku, kādu IS var nebūt pieejama (Recovery Time Objective), un pieļaujamo laika periodu, par kuru datus var zaudēt (Recovery Point Objective).
28.5. Tirgus dalībnieks pielieto IS klasifikācijas shēmu, kura atbilst šiem noteikumiem un kurā ir vismaz divi katras klasifikācijas kategorijas līmeņi.
28.6. Tirgus dalībnieks atbilstoši informācijas klasifikācijas līmenim nosaka klasificētas informācijas lietošanas un aizsardzības prasības.
29. Risku analīzes un pārvaldības mērķi ir:
29.1. noteikt pieļaujamo jeb akceptējamo risku lielumu (risku limitu jeb apetīti);
29.2. novērtēt IS apdraudējuma īstenošanās varbūtību, kurā IS apdraudējums ir ar nodomu (tīši) vai aiz neuzmanības izdarīta darbība vai bezdarbība, vai iespējams notikums, kas var izraisīt IS drošības incidentu;
29.3. novērtēt iespējamo kaitējumu informācijas devējam, tirgus dalībniekam vai citai personai, ja nav nodrošināta IS drošība;
29.4. noteikt atbilstošos un nepieciešamos drošības pasākumus, ja risks ir nepieņemams;
29.5. akceptēt pēc drošības pasākumu īstenošanas atlikušo risku (atbilstību noteiktajam risku limitam).
30. Risku analīze ir regulārs process. Tirgus dalībnieks to veic visā IS dzīves ciklā, t.sk., sākot IS projektu, veicot nozīmīgas IS izmaiņas, parādoties jauniem būtiskiem apdraudējumiem, īstenojoties nozīmīgiem incidentiem vai pieaugot to kopējam skaitam.
31. Tirgus dalībnieks risku analīzi veic, lietojot tā apstiprināto metodiku. Tirgus dalībnieks lieto tādu risku analīzes metodiku, kas ļauj efektīvi realizēt šo noteikumu 29. punktā noteiktos mērķus.
32. Tirgus dalībnieks plāno un īsteno drošības pasākumus, ja risku analīzē novērtētais risks ir nepieņemams, un plānotajiem drošības pasākumiem nosaka realizācijas prioritātes, termiņus un atbildīgos.
33. Drošības pasākumu mērķis ir samazināt atlikušo risku līdz pieņemamam līmenim. Tirgus dalībnieks drošības pasākumus nosaka, pamatojoties uz to izmaksu un iespējamo zaudējumu samērojamību.
34. Tirgus dalībnieks risku pārvaldīšanas ietvaros veic pasākumus, kas ierobežo no darbinieku darbības vai bezdarbības izrietošos IS drošības riskus, kā arī nosaka darbinieku lomu IS drošības pasākumos un veicina personāla izpratni par IS lietošanas kārtību un aizsardzības nepieciešamību.
35. Tirgus dalībnieks nodrošina, ka IS lietotāju zināšanu līmenis ir atbilstošs IS lietošanas vajadzībām.
36. Tirgus dalībnieks pirms darba pienākumu izpildes iepazīstina darbiniekus ar IS darbību reglamentējošajiem dokumentiem.
37. Tirgus dalībnieks nosaka IS lietotāja:
37.1. atbildību par IS darbību reglamentējošo dokumentu neievērošanu;
37.2. atbildību par visām darbībām, kuras IS ir veiktas ar viņa lietotāja vārdu;
37.3. pienākumu ievērot konfidencialitātes saistības attiecībā uz datiem, kuri nonāk šīs personas rīcībā, veicot darba pienākumus;
37.4. pienākumu informēt atbilstošo personu (piemēram, IS drošības vadītāju) par IT drošības incidentiem un apdraudējumiem.
38. Drošības apzināšanās veicināšana
38.1. Tirgus dalībnieks regulāri veic plānveida pasākumus, kas sekmē katra darbinieka izpratni par IS aizsardzību un veicina darbinieku kopējo IS drošības apzināšanos (security awareness).
38.2. Tirgus dalībnieks nosaka, kā un cik bieži darbinieki tiek informēti un apmācīti par IS drošības jautājumiem.
38.3. Tirgus dalībnieks veic darbinieku apmācību klasificētas informācijas aizsardzībā.
39. Tirgus dalībnieks risku pārvaldīšanas ietvaros veic IS fiziskās aizsardzības pasākumus, kas aizsargā no nevēlamiem apkārtējās vides (ugunsgrēks, plūdi, temperatūras svārstības u.c.), tehniskajiem (neatbilstoša elektroenerģijas padeve, elektromagnētiskā lauka iedarbība u.c.) un cilvēkfaktoriem (tīši vai netīši bojājumi, zādzība u.c.).
40. IS infrastruktūras (tehnoloģisko resursu, t.sk. serveru, disku masīvu, datortīkla iekārtu un kabeļu u.c., izņemot gala lietotāju tehnoloģiskos resursus) fiziskā aizsardzība
40.1. Tirgus dalībnieks IS infrastruktūru ekspluatē ierobežotas pieejas telpās, kuru fiziskā aizsardzība nodrošina tikai pilnvarotu personu piekļuvi. Ja to nosaka tehnoloģiska nepieciešamība, tad, ekspluatējot ārpus ierobežotas pieejas telpām, IS tehnoloģiskos resursus fiziski norobežo. IS infrastruktūras telpas izvieto ēkas vietās, kurās ir mazāka apdraudējumu īstenošanās iespējamība.
40.2. Tirgus dalībnieks nosaka, kuras personas drīkst iekļūt šo noteikumu 40.1. punktā minētajās telpās, un to piekļuvi reģistrē. Šo personu sarakstā iekļauj tikai tās personas, kurām darba pienākumu izpildei nepieciešama fiziska piekļuve IS infrastruktūrai.
40.3. Trešās personas IS infrastruktūras telpās drīkst uzturēties tikai to personu klātbūtnē, kurām ir tiesības piekļūt IS infrastruktūras telpām.
40.4. Tirgus dalībnieks nodrošina IS infrastruktūras telpu mikroklimatu (mitrumu, temperatūru u.tml.) atbilstoši IS infrastruktūras darbināšanai izmantotās aparatūras ražotāju noteiktajām prasībām.
40.5. Tirgus dalībnieks aprīko IS infrastruktūras telpas ar apsardzes signalizāciju un vides detektoriem.
40.6. Tirgus dalībnieks tehnoloģiskos resursus administrējošā personāla darba vietas nodala ierobežotas pieejas telpās.
41. Datu nesēju fiziskā aizsardzība
41.1. Tirgus dalībnieks veic nepieciešamos drošības pasākumus datu nesēju fiziskai aizsardzībai atkarībā no IS klasifikācijas, bet neatkarīgi no to veida (t.sk. demontētas disku iekārtas, papīra izdrukas, zibatmiņas kartes u.tml.).
41.2. Tirgus dalībnieks nosaka kārtību, kādā lieto, glabā un drošā veidā iznīcina datu nesējus.
41.3. Tirgus dalībnieks datu nesēju aizsardzības ietvaros veic datu izvada iekārtu fizisko aizsardzību, novēršot nesankcionētu informācijas resursu iegūšanu (piemēram, printeru iekārtu aizsardzība, saskarņu lietošanas ierobežošana).
41.4. Ja datu nesēju, kas satur nepubliskojamus IS resursus, ir paredzēts iznīcināt, tad tirgus dalībnieks to dara tādā veidā, lai nebūtu iespējams veikt datu atjaunošanu.
42. Tirgus dalībnieks veic papildu fiziskās aizsardzības pasākumus atkarībā no IS klasifikācijas līmeņa. Nepieciešamības gadījumā fiziskās aizsardzības pasākumus drīkst kompensēt ar loģiskās aizsardzības (programmatūras un procesu) līdzekļiem.
43. Jauna IS lietotāja reģistrāciju, tiesību piešķiršanu, anulēšanu un bloķēšanu tirgus dalībnieks veic saskaņā ar dokumentētu pieprasījumu, kuru apstiprina informācijas resursu turētājs. Dokumentēšanas metodei jānodrošina iespēja veikt efektīvu aktuālo pieejas tiesību kontroli.
44. Katram tirgus dalībnieka IS lietotājam un administratoram tiek piešķirts unikāls lietotāja kods.
45. Lietotāja autentiskuma noteikšana
45.1. Lietotāja autentiskuma noteikšanas mērķis ir pārliecināties, ka klasificētu IS lieto pilnvarotais lietotāja koda īpašnieks.
45.2. Tirgus dalībnieks nosaka autentifikācijas līdzekļu (piemēram, paroļu, kodu kalkulatoru, privāto atslēgu, biometrisko līdzekļu u.c.) lietošanas kārtību, t.sk. paroļu politiku (paroles garumu, sarežģītību, derīguma termiņu, atkārtojamības ierobežojumu).
45.3. IS paroles glabā šifrētā veidā. Ievadot paroli, tā nedrīkst būt salasāma uz ekrāna. Paroli nekavējoties nomaina, ja tā varētu būt vai ir nesankcionēti kļuvusi zināma citai personai.
45.4. Izveidojot, piegādājot un aktivizējot autentifikācijas līdzekli, tirgus dalībnieks nodrošina, ka tas lietošanai ir pieejams vienīgi attiecīgā lietotāja koda īpašniekam (t.sk. drošs personalizācijas un lietotāja paroles izveides process).
45.5. Ja tirgus dalībnieka lietotās tehnoloģijas to pieļauj, papildus iebūvētam administratora kontam tirgus dalībnieks izveido individuālu kontu katram administratoram, kurš tiek izmantots ikdienas IS uzturēšanas darbu veikšanai. IS administratoru kodu un paroļu kopijas glabā drošā ierobežotas pieejas vietā ārpus datortīklam pievienotajiem tehnoloģiskajiem resursiem.
46. Pieejas tiesības IS tirgus dalībnieks nosaka saskaņā ar dokumentēti apstiprinātām lomām vai lietotāju profiliem. IS lietotājam piešķir pieeju tikai tai informācijai un funkcijām, kas ir nepieciešamas viņa pienākumu izpildei. Minētā prasība ir jāievēro, nosakot arī IS tehnoloģisko lietotāju (kontu) pieejas tiesību līmeni.
47. IS lietotāja vai administratora darba pienākumu maiņas vai darba attiecību izbeigšanas gadījumā tirgus dalībnieks nekavējoties maina vai bloķē IS lietotāja un administratora tiesības.
48. Tirgus dalībnieks regulāri veic aktuālo pieejas tiesību pārbaudi, lai kontrolētu šo noteikumu 46. un 47. punkta prasību ievērošanu.
49. Darbiniekiem, kas veic IS uzturēšanu, tirgus dalībnieks nosaka pienākumus un atbildību un nodrošina aizvietojamību un kvalifikācijas uzturēšanu. Procesu kontroles nodrošināšanai veic pienākumu nodalīšanu.
50. Konfigurācijas pārvaldība un kontrole
50.1. Tirgus dalībnieks veic tehnoloģisko resursu un to aktuālo konfigurāciju uzskaiti.
50.2. Tirgus dalībnieks nosaka kārtību, kādā pieprasa, autorizē, testē un maina tehnoloģiskos resursus.
50.3. Tirgus dalībnieks risku kontroles ietvaros uztur un kontrolē IS konfigurāciju, ņemot vērā drošības prakses ieteikumus (hardening standards) un zināmās sistēmu ievainojamības.
50.4. Tirgus dalībnieks risku kontroles ietvaros veic nepieciešamās un tehnoloģiski iespējamās izmaiņas tehnoloģisko resursu standarta konfigurācijā un samazina funkcionalitāti līdz nepieciešamajam apjomam.
50.5. Tirgus dalībnieks savlaicīgi veic nepieciešamos IS standarta programmatūras atjaunināšanas darbus (t.sk. drošības labojumu uzstādīšanu).
51. Datortīklu aizsardzība
51.1. Tirgus dalībnieks iekšējo datortīklu nodala no ārējā datortīkla. Datu plūsmā starp iekšējo un ārējo datortīklu atļauj tikai tos pakalpojumus, kas ir nepieciešami tirgus dalībnieka funkciju izpildei.
51.2. Tirgus dalībnieks izveido un uztur aktuālu datortīkla un pieslēgumu shēmu.
51.3. Tirgus dalībnieks regulāri pārbauda visu ārējo savienojumu eksistenci un pārliecinās, ka pastāv tikai tie savienojumi, kuri atbilst tirgus dalībnieka darbības vajadzībām.
51.4. Tirgus dalībnieks risku kontroles ietvaros realizē nepieciešamos un iespējamos papildu datu plūsmas ierobežojumus (t.sk. aplikāciju, vietņu ierobežošanu) starp iekšējo un ārējo datortīklu.
51.5. Tirgus dalībnieks veic datortīkla monitoringu un ievainojamības (t.sk. kaitīgo programmu) kontroli.
51.6. Ja IS administrēšana tiek veikta no attālinātas vietas, tirgus dalībnieks lieto kriptogrāfijas līdzekļus (piemēram, virtuālo privāto tīklu (VPN)) un drošu (vismaz divu faktoru) lietotāja autentifikāciju.
51.7. Ja tiek lietotas bezvadu datu pārraides tehnoloģijas, tirgus dalībnieks risku pārvaldības ietvaros veic to papildu aizsardzību, lai nodrošinātu vienīgi autorizētu IS lietošanu.
52. Personālo datoru un ierīču aizsardzība
52.1. Tirgus dalībnieks nosaka, kādus informācijas resursus drīkst glabāt un kā tos aizsargāt individuālās lietošanas datu apstrādes iekārtās, t.sk. galda un portatīvajā datorā (tālāk tekstā – personālais dators), viedtālrunī, planšetdatorā u.tml.
52.2. Personālajā datorā tiek uzstādīta un lietota tikai tā programmatūra un tādā konfigurācijā, kādu noteicis tirgus dalībnieks, kurš arī nosaka kārtību un veic pasākumus aizsardzībai pret kaitīgām programmām, izmantojot, piemēram, antivīrusu programmatūru, software restriction policy.
52.3. Personālā datora funkcionalitāti tirgus dalībnieks ierobežo līdz darba vajadzībām nepieciešamajam funkciju līmenim, t.sk. kontrolē datora portu izmantošanu un iekārtu pieslēgšanu, kontrolē pieeju publiskā tīkla informācijai (blacklisting, whitelisting) un loģiski nodala pieeju publiskā tīkla (interneta) informācijai no organizācijas iekšējām IS, izmantojot, piemēram, virtualizāciju.
52.4. Personālais dators tiek pieslēgts tikai tirgus dalībnieka noteiktiem datortīkliem.
52.5. Tirgus dalībnieks nodrošina, ka, lietotājam atstājot personālo datoru bez uzraudzības, atsākt IS lietošanu vai pieslēgties tirgus dalībnieka datortīklam iespējams tikai tad, ja ir veikta lietotāja autentifikācija.
52.6. Izmantojot personālos datorus, kuriem ir pastiprināti fiziskās drošības apdraudējumi, t.sk. portatīvās ierīces, kuras lieto ārpus tirgus dalībnieka telpām, klasificētā informācija tiek pārraidīta un glabāta šifrētā veidā.
52.7. Tirgus dalībnieks veic visu tā rīcībā esošo personālo datoru, kurus paredzēts lietot ārpus tirgus dalībnieka telpām, uzskaiti, lai noteiktu, kura persona lieto attiecīgo iekārtu.
52.8. Ja tirgus dalībnieks ļauj darbiniekiem darba vajadzībām lietot viņiem piederošus personālos datorus, tas nosaka lietošanas kārtību. Šī kārtība nedrīkst samazināt noteikto IS aizsardzības līmeni.
52.9. Ja tiek sniegta attālināta pieeja tirgus dalībnieka IS, izmantojot viedtālruni vai planšetdatoru, šo ierīču drošība ir jāaizsargā, lai incidenta gadījumā tiktu novērsta klientu vai tirgus dalībnieka sensitīvu datu nokļūšana trešo pušu rīcībā (piemēram, aizsargāta pieeja ierīcei, dati ierīcē netiek glabāti vai pēc sesijas tiek automātiski dzēsti).
53. Datu rezerves kopēšana
53.1. Lai ierobežotu integritātes un pieejamības riskus, tirgus dalībnieks veic datu rezerves kopēšanu.
53.2. Tirgus dalībnieks izstrādā dokumentētu datu rezerves kopiju veidošanas kārtību, nosakot, kāda tehnoloģija un darbības ir noteiktas datu rezerves kopiju izgatavošanai un informācijas atjaunošanai, kā arī nosaka, cik bieži un kādā apjomā tiek veidotas datu rezerves kopijas, ņemot vērā pieļaujamo laiku, kādu IS var nebūt pieejama (Recovery Time Objective), un laika periodu, par kuru datus var zaudēt (Recovery Point Objective), kā arī cik bieži tiek veikta kopiju un atjaunošanas procedūru pārbaude.
53.3. Tirgus dalībnieks nodrošina, ka vismaz tām IS, kuras nodrošina tirgus dalībniekam vai tā klientiem būtiskus pakalpojumus, datu rezerves kopēšanu veic ar metodi, kas minimizē riskus (no IS fiziski vai loģiski nodalīti datu nesēji). Datu rezerves kopijas glabā no IS ģeogrāfiski nošķirtā vietā.
53.4. Tirgus dalībnieks aizsargā datu rezerves kopijas pret nesankcionētu lietošanu un bojāšanu.
54. IS pārraudzība
54.1. Tirgus dalībnieks IS pārraudzībai nosaka vismaz šādus mērķus – veikt preventīvās darbības IS drošības uzturēšanai un savlaicīgu incidentu identificēšanu. Pārraudzības pasākumi tiek piemēroti atbilstoši IS klasifikācijai.
54.2. Tirgus dalībnieks pastāvīgi veic IS pārraudzību:
54.2.1. savlaicīgi identificējot gan iekšējo, gan ārējo apdraudējumu;
54.2.2. identificējot sistēmu ievainojamību un veicot to novēršanu;
54.2.3. uzraugot neautorizētu iekārtu un programmatūras lietošanu un veicot tās novēršanu;
54.2.4. kontrolējot IS un iekārtu konfigurācijas izmaiņas;
54.2.5. pārraugot IS, iekārtu un procesu pieejamību.
55. Auditācijas pierakstu pārvaldība
55.1. Lai identificētu lietotāju veiktās darbības un IS kļūdas, tirgus dalībnieks veido, uzglabā un analizē auditācijas pierakstus.
55.2. Auditācijas pierakstos tirgus dalībnieks iekļauj vismaz visu veiksmīgas un neveiksmīgas pieslēgšanās gadījumu laiku un lietotāju kodus. Papildu auditācijas pierakstus veic par IS parametru maiņu, t.sk. par darbībām ar lietotāju kontiem, ciktāl to var nodrošināt ar lietoto tehnoloģisko risinājumu.
55.3. Tirgus dalībnieks lieto metodes un rīkus, kas ļauj efektīvi analizēt auditācijas pierakstus. Šie rīki ir pieejami tikai autorizētam personālam.
55.4. Tirgus dalībnieks nodrošina auditācijas pierakstu integritāti.
55.5. Tirgus dalībnieks sinhronizē visu to IS laika uzskaiti, kuras ir savstarpēji saistītas datu apmaiņā vai transakciju apstrādē.
56. Kriptogrāfijas līdzekļu lietošana
56.1. Tirgus dalībnieks atkarībā no informācijas resursu konfidencialitātes līmeņa lieto kriptogrāfijas līdzekļus.
56.2. Tirgus dalībnieks nosaka kriptogrāfijas līdzekļu lietošanas kārtību, kā arī veic to aizsardzību.
57. Tirgus dalībnieks, klientiem piedāvājot attālinātos pakalpojumus, nodrošina pakalpojumu drošības pārvaldību, lai minimizētu klientu riskus.
59. Tirgus dalībnieks veic klienta identifikāciju un citus nepieciešamos pasākumus, lai attālināto pakalpojumu autentifikācijas līdzekli saņemtu tikai tā īpašnieks. Klienta autentifikācijas līdzekļi (rīki, programmatūra) tiek pieprasīti, piegādāti un aktivizēti drošā veidā.
60. Pārsūtot klienta datus, tos aizsargā ar kriptogrāfijas līdzekļiem. Pārsūtot klienta datus, tos var nešifrēt, ja informācija nesatur cita klienta datus un klients akceptē iespējamos riskus.
61. Tirgus dalībnieks lieto vismaz viena faktora klienta autentifikāciju, ja:
61.1. pakalpojums ļauj skatīt tikai to informāciju par klienta kontu, kas neietver trešo personu datus, t.sk. konta atlikumu, darījumu vēsturi, konta numuru;
61.2. pakalpojums ietver finanšu instrumentu izmantošanu (pirkšana/pārdošana).
62. Klienta lietotāja piekļuve tiek bloķēta ne vairāk kā pēc pieciem neveiksmīgiem autentifikācijas mēģinājumiem.
63. Neaktīva sesija tiek bloķēta ne vairāk kā pēc piecpadsmit minūtēm. Klienta lietotāja piekļuve atkārtoti tiek aktivizēta drošā veidā.
64. Tirgus dalībnieks klientu drošības apzināšanās programmas ietvarā nodrošina klientiem pilnvērtīgu informāciju par attālināto pakalpojumu lietošanas riskiem un informāciju par to, kā droši un efektīvi lietot IS. Tirgus dalībnieks, pirms klientam sniedz pieeju attālinātiem pakalpojumiem un arī turpmāk, regulāri sadarbības laikā informē klientu par tirgus dalībnieka un klienta tiesībām un atbildību, pakalpojuma izmantošanu, nepieciešamajiem drošības pasākumiem klienta pusē (t.sk. klienta darbstacijā, mobilajā iekārtā), autentifikācijas līdzekļu drošu izmantošanu un darbībām to nozaudēšanas gadījumā, kā arī pasākumiem, lai identificētu iespējamas krāpnieciskās darbības, t.sk. money mule riskus.
65. Tirgus dalībnieks, komunicējot ar klientu, izvērtē informācijas saturu un nepieciešamības gadījumā izmanto drošu komunikācijas veidu.
66. Pirms attālināto pakalpojumu ieviešanas, parādoties jauniem apdraudējumiem vai veicot būtiskas izmaiņas IS, tirgus dalībnieks veic drošības pārbaudes vai testus.
67. Tirgus dalībnieks vismaz 18 mēnešus glabā auditācijas pierakstus par veiktajiem un atteiktajiem attālināto pakalpojumu izmantošanas pieslēgumiem (t.sk. avota IP adresi, laiku) un lietotāja veikto transakciju un citu darbību identificēšanai nepieciešamo informāciju.
68. Tirgus dalībnieks vada IS izstrādes un pārmaiņu pārvaldības procesus, lai minimizētu IS drošības riskus gan izstrādājamajai IS, gan citām saistītajām IS.
69. Tirgus dalībnieks nosaka IS izstrādes, iegādes, testēšanas, ieviešanas un izmaiņu pārvaldīšanas procesus.
70. IS izstrādes sākšana
70.1. Tirgus dalībnieks nosaka par IS projektu atbildīgās personas, t.sk. arī saskaņā ar šiem noteikumiem nosaka izstrādājamās IS resursu turētājus.
70.2. Atbildīgās personas veic IS projekta un to IS, kuru darbību var ietekmēt jaunā IS, risku analīzi, kā arī nosaka IS drošības prasības un risku ierobežošanas pasākumus.
70.3. Izstrādājamās IS resursu turētāji sadarbībā ar darbinieku, kas atbild par IS drošību, veic IS drošības prasību noteikšanu.
71. IS izstrāde
71.1. Tirgus dalībnieks IS izstrādes vidi nodala no lietošanas vides.
71.2. Tirgus dalībnieks dokumentē katru IS. Dokumentācijā iekļauj nepieciešamo informācijas apjomu, lai varētu kvalitatīvi veikt IS lietošanu, uzturēšanu un pārmaiņu pārvaldīšanu (piemēram, IS apraksts, IS administratora un lietotāju instrukcijas u.c.).
71.3. Tirgus dalībnieks dokumentāciju glabā un lieto atbilstoši šīs dokumentācijas klasifikācijas līmenim.
72. IS testēšana
72.1. Pirms IS ieviešanas tirgus dalībnieks saskaņā ar plānu veic IS testus. Testa plānā iekļauj arī IS nefunkcionālo prasību, t.sk. IS drošības testu.
72.2. Tirgus dalībnieks nodala IS testa vidi no lietošanas vides.
72.3. Testa un izstrādes vidē neizmanto lietošanas vides datus, tomēr, ja IS drošības risku mazināšanas nolūkā testa vai izstrādes vidē nepieciešams izmantot lietošanas vides datus, tad tos lieto un tiem piemēro tādus pašus drošības pasākumus kā lietošanas vidē (t.sk. tiesību piešķiršanas, autentifikācijas, auditācijas kārtību).
73. IS ieviešana
73.1. IS ievieš pēc IS resursu turētāju atļaujas saņemšanas, kas apliecina, ka testēšana ir pabeigta un IS ir gatava ieviešanai.
73.2. Pirms IS nodošanas lietošanai tirgus dalībnieks veic darbinieku apmācību.
73.3. Tirgus dalībnieks nodrošina, ka tiek veikta IS versiju kontrole.
74. Izmaiņu pārvaldība
74.1. IS izmaiņas veic tikai ar saistīto IS resursu turētāju atļauju.
74.2. Tirgus dalībnieks analizē, kā izmaiņas ietekmēs esošos IS drošības pasākumus un piešķirtajās pieejas tiesībās pieejamo informāciju un vai pārmaiņu rezultātā nesamazināsies IS drošības līmenis.
74.3. Tirgus dalībnieks veic IS dokumentācijas papildināšanu.
74.4. Tirgus dalībnieks izstrādā kārtību par darbībām ārkārtas (neplānotu) izmaiņu apstākļos un nosaka, kas ir tiesīgs pieņemt lēmumu par ārkārtas izmaiņām. Tirgus dalībnieks nosaka, kā tiek plānoti pasākumi, lai preventīvi samazinātu nepieciešamību veikt ārkārtas izmaiņas, un veic pasākumus, lai nepieļautu neautorizētu izmaiņu veikšanu.
75. Pārtraucot IS lietošanu, likvidējot vai nododot to citai personai, t.sk. gadījumos, ja tirgus dalībnieks pārtrauc kādu darbības veidu, kuru nodrošina šī IS, tirgus dalībnieks veic nepieciešamos drošības pasākumus, t.sk. risku analīzi.
76. Incidentu pārvaldības mērķis ir minimizēt IS drošības incidentu ietekmi uz tirgus dalībnieka klientiem un tirgus dalībnieka darbību un mazināt to atkārtošanās risku.
77. Tirgus dalībnieks nosaka un īsteno praksē IS drošības incidentu pārvaldības procesu, kas ietver vismaz:
77.1. IS drošības incidentu identificēšanu;
77.2. incidenta ietekmes mazināšanu un seku likvidēšanu;
77.3. incidentu reģistrēšanu incidentu reģistrā;
77.4. notikušā IS drošības incidenta analīzi (t.sk. cēloņu un risku mazināšanas pasākumu noteikšanu) un vadības informēšanu;
77.5. nepieciešamo pierādījumu saglabāšanu.
78. Tirgus dalībnieks līdz katra gada 1. martam iesniedz Finanšu un kapitāla tirgus komisijai iepriekšējā gadā reģistrēto IS drošības incidentu sarakstu, kurā iekļauj informāciju par incidentu grupām jeb kategorijām, papildus pievienojot incidentu ietekmes novērtējumu un kopējo incidentu skaitu ar šo ietekmes līmeni.
79. IS darbības atjaunošana
79.1. Tirgus dalībnieks nodrošina savlaicīgu IS darbības un datu atjaunošanu, ja noticis IS darbības pārtraukums.
79.2. Tirgus dalībnieks izstrādā IS darbības atjaunošanas plānu saskaņā ar tirgus dalībnieka darbības nepārtrauktības plānu.
79.3. IS darbības atjaunošanas plānā tirgus dalībnieks iekļauj atjaunojamos IS pakalpojumus prioritārā secībā, izmantojamos resursus, veicamo darbu sarakstu un atbildīgos darbiniekus.
79.4. Tirgus dalībnieks saskaņā ar iepriekš noteiktu kārtību veic regulāru IS darbības atjaunošanas procesos iesaistīto personu apmācību un dokumentētu plāna testēšanu un izmaiņu gadījumā to atjauno, lai nodrošinātu plāna aktualitāti.
81. Līdz 2017. gada 1. aprīlim šo noteikumu pielikumā noteiktajiem pakalpojumiem drošas klientu autentifikācijas vietā drīkst lietot vismaz divu faktoru autentifikāciju.
82. Atzīt par spēku zaudējušiem Finanšu un kapitāla tirgus komisijas 2014. gada 26. marta noteikumus Nr. 49 "Finanšu un kapitāla tirgus dalībnieku informācijas sistēmu drošības normatīvie noteikumi".
I. Darbības joma un definīcijas
Darbības joma
1. Šīs prasības interneta maksājumu drošības jomā balstās uz Maksājumu pakalpojumu un elektroniskās naudas likuma 11. panta pirmās daļas 5. punktu, kas liek maksājumu iestādēm ieviest stingrus pārvaldības pasākumus un atbilstīgus iekšējās kontroles mehānismus.
2. Prasības attiecas uz maksājumu pakalpojumu sniegšanu, ko piedāvā maksājumu pakalpojumu sniedzēji, kā definēts Maksājumu pakalpojumu un elektroniskās naudas likuma 2. panta otrajā daļā, ar interneta starpniecību.
3. Prasības neskar maksājumu pakalpojumu sniedzēju atbildību par maksājumu darījumu riska uzraudzību un novērtēšanu. Tie izstrādā savu drošības politiku un īsteno atbilstošus drošības, ārkārtas gadījumu, negadījumu pārvaldības un darbības nepārtrauktības pasākumus, kas ir samērojami ar maksājumu pakalpojumu sniegšanai piemītošo risku.
4. Prasību mērķis ir noteikt kopējas obligātās prasības šādiem interneta maksājumu pakalpojumiem neatkarīgi no izmantotās piekļuves ierīces:
4.1. maksājumiem ar karti internetā, tostarp maksājumiem ar virtuālo karti, kā arī maksājumu kartes datu reģistrācijai, lai izmantotu pakalpojumu "virtuālais maks" (maksājumu karte);
4.2. kredīta pārvedumiem internetā (kredīta pārvedumi);
4.3. tiešā debeta elektroniskā mandāta izsniegšanai un grozījumiem (e-mandāts);
4.4. elektroniskās naudas pārvedumiem starp diviem elektroniskās naudas kontiem, izmantojot internetu (e-nauda).
5. Maksājumu integratori1, kas piedāvā maksājumu sākšanas pakalpojumus, tiek uzskatīti vai nu par interneta maksājumu pakalpojumu saņēmējiem (un tādējādi par maksājumu pakalpojumu sniedzējiem), vai par attiecīgo atbalsta shēmu ārējo tehnisko pakalpojumu sniedzējiem, vai par maksājumu pakalpojumu sniedzējiem. Pēdējā gadījumā līgumā nosaka, ka maksājumu integratori atbilst šajā pielikumā noteiktajām prasībām.
6. Prasību darbības jomā nav iekļauti:
6.1. citi interneta pakalpojumi, ko piedāvā maksājumu pakalpojumu sniedzējs, izmantojot savu maksājumu tīmekļa vietni (piemēram, e-starpniecības maksa, tiešsaistes līgumi);
6.2. maksājumi, ja instruktāža tiek veikta pa pastu, tālruni, balss pastu vai izmantojot SMS tehnoloģijas;
6.3. mobilie maksājumi, izņemot pārlūkprogrammās bāzētos maksājumus;
6.4. kredīta pārvedumi, ja trešā persona piekļūst klienta maksājumu kontam;
6.5. maksājumu darījumi, ko veic uzņēmums, izmantojot speciālu tīklu;
6.6. karšu maksājumi, izmantojot anonīmas un neuzpildāmas fiziskas vai virtuālas priekšapmaksas kartes, ja nav pastāvīgu saistību starp emitentu un kartes turētāju;
6.7. maksājumu darījumu norēķini un tīrvērte (klīrings).
Definīcijas
7. Šajā pielikumā papildus tiek lietotas šādas definīcijas:
7.1. Autentifikācija ir procedūra, kas ļauj maksājumu pakalpojumu sniedzējam pārbaudīt klienta identitāti.
7.2. Droša klienta autentifikācija ir procedūra, kas balstās uz divu vai vairāku šādu elementu izmantošanu, kas kvalificēti kā zināšanas, īpašumtiesības un raksturlielumi: i) tikai lietotājam zināmi dati, piemēram, statiskā parole, kods, personas identifikācijas numurs; ii) tikai lietotāja īpašumā esoša autentifikācijai izmantojama ierīce, piemēram, kodu kalkulators, viedkarte, mobilais tālrunis; iii) lietotāja biometriskie dati, piemēram, pirkstu nospiedumi. Turklāt izvēlētajiem elementiem jābūt savstarpēji neatkarīgiem, t.i., viena elementa nozaudēšanas gadījumā cits(-i) elements(-i) netiek apdraudēts(-i). Vismaz vienam no elementiem jābūt unikālam un atkārtoti neizmantojamam (izņemot raksturīgi piemītošam), un tādam, ko nav iespējams slepeni iegūt, izmantojot internetu. Drošas autentifikācijas procedūra ir tāda, kas aizsargā autentifikācijas datu konfidencialitāti.
7.3. Autorizācija ir procedūra, kas pārbauda, vai klientam ir tiesības veikt konkrētu darbību, piemēram, tiesības pārskaitīt līdzekļus vai piekļūt aizsargājamiem datiem.
7.4. Autentifikācijas dati parasti ir konfidenciāla informācija, ko autentifikācijas mērķiem izmanto klients. Par autentifikācijas datiem ir uzskatāma arī autentifikācijai izmantojama ierīce (piemēram, kodu kalkulators, viedkarte) vai lietotāja biometriskie dati.
7.5. Par aizsargājamiem datiem šā pielikuma kontekstā atkarībā no izmantošanas metodēm un izraudzītajiem aizsardzības mehānismiem tiek uzskatīti autentifikācijas dati, kā arī cita veida dati, kas izmantojami maksājuma veikšanai vai piekļuvei autentifikācijas datiem vai autentifikācijas datu pārvaldībai.
7.6. Darījuma riska analīze ir riska novērtējums, kas saistīts ar konkrētu darījumu, ņemot vērā tādus kritērijus kā, piemēram, klientu maksājumu veidu (raksturu), saistīto darījumu vērtību, produkta veidu un saņēmēja profilu.
7.7. Virtuālās kartes ir risinājums maksājumiem ar karti, tām ir alternatīvs, pagaidu kartes numurs ar samazinātu derīguma termiņu, ierobežota lietošana, iepriekš noteikti maksājumu ierobežojumi, un tās var izmantot pirkumiem internetā.
7.8. Virtuālais maks ir risinājums, kas ļauj klientam reģistrēt datus, kas attiecas uz vienu vai vairākiem maksājumu instrumentiem, lai veiktu maksājumus vairākiem e-komersantiem.
7.9. E-mandāts ir fakultatīvs risinājums, ar kuru tiek papildināta SEPA tiešā debeta shēma, ļaujot debitoram izdot, grozīt un atsaukt tiešā debeta mandātu elektroniskajā vidē.
II. Prasības interneta maksājumu drošībai
Vispārējā kontrole un drošības vide
Vadība
1. Maksājumu pakalpojumu sniedzēji ievieš un regulāri pārskata drošības politiku interneta maksājumu pakalpojumiem.
1.1. Drošības politikai jābūt pienācīgi dokumentētai, un tā tiek regulāri pārskatīta (saskaņā ar šā pielikuma II sadaļas 2.4. punktu). Politiku apstiprina vadība. Tā nosaka drošības mērķus un pieļaujamo riska līmeni.
1.2. Drošības politika nosaka lomas un atbildību, tostarp informācijas drošības riska kontroles funkciju ar tiesībām sniegt tiešu ziņojumu augstākās vadības līmenī, un pienākumu gatavot regulārus drošības pārskatus par interneta maksājumu pakalpojumiem, tostarp par aizsargājamu datu pārvaldību, ņemot vērā riska novērtējumu, kontroli un mazināšanu.
Risku novērtējums
2. Maksājumu pakalpojumu sniedzēji veic un dokumentē risku novērtējumu attiecībā uz interneta maksājumu drošību un ar to saistītiem pakalpojumiem gan pirms pakalpojuma(-u) ieviešanas, gan regulāri pēc tam.
2.1. Maksājumu pakalpojumu sniedzēji, īstenojot riska kontroles funkciju, veic un dokumentē detalizētu risku izvērtēšanu interneta maksājumiem un ar tiem saistītajiem pakalpojumiem. Maksājumu pakalpojumu sniedzēji apsver pastāvīgas uzraudzības rezultātus attiecībā uz drošības riskiem saistībā ar interneta maksājumu pakalpojumiem, ko tie piedāvā vai plāno piedāvāt, ņemot vērā: i) izmantoto tehnoloģisko risinājumu; ii) no ārējiem pakalpojumu sniedzējiem saņemtos pakalpojumus; iii) klientu tehnisko vidi. Maksājumu pakalpojumu sniedzēji izvērtē risku, kas saistīts ar izvēlēto tehnoloģiju platformām, to uzbūvi un arhitektūru, programmēšanas metodēm un kārtību, gan savā pusē2, gan klientu pusē3, kā arī drošības incidentu uzraudzības procesu (skatīt šā pielikuma II sadaļas 3. punktu).
2.2. Pamatojoties uz risku novērtējumu, maksājumu pakalpojumu sniedzēji nosaka, vai un cik lielā mērā esošajiem drošības pasākumiem, izmantotajām tehnoloģijām un piedāvātajiem pakalpojumiem vai procedūrām ir nepieciešamas izmaiņas. Maksājumu pakalpojumu sniedzēji ņem vērā laiku, kas nepieciešams izmaiņu ieviešanai (tostarp ieviešanai klienta pusē) un nepieciešamo pagaidu pasākumu veikšanai, lai mazinātu drošības incidentus un krāpšanu.
2.3. Risku novērtēšanas ietvaros jāvērtē arī aizsargājamu datu drošība.
2.4. Maksājumu pakalpojumu sniedzēji pārskata risku scenārijus un esošos drošības pasākumus pēc nozīmīgiem incidentiem, kas ietekmē pakalpojumus, pirms nozīmīgām infrastruktūras vai procedūras izmaiņām un tad, ja tiek identificēti jauni riski. Turklāt risku novērtējuma vispārēju pārskatīšanu veic vismaz reizi gadā. Risku novērtējuma un pārskatīšanas rezultātus iesniedz apstiprināšanai vadībai.
Incidentu uzraudzība un ziņojumu sniegšana
3. Maksājumu pakalpojumu sniedzēji nodrošina konsekventu un integrētu uzraudzību, drošības incidentu apstrādi un kontroli, tostarp ar drošību saistītu klientu sūdzību apstrādi. Maksājumu pakalpojumu sniedzēji nosaka procedūras ziņojumu sniegšanai vadībai par šādiem incidentiem. Par nozīmīgiem maksājumu drošības incidentiem tiek ziņots Finanšu un kapitāla tirgus komisijai.
3.1. Maksājumu pakalpojumu sniedzējiem ir pieejamas procedūras drošības incidentu un ar drošību saistīto klientu sūdzību uzraudzībai, apstrādei un kontrolei, un tie ziņo par šādiem incidentiem uzņēmuma vadībai.
3.2. Maksājumu pakalpojumu sniedzējiem ir pieejama procedūra, lai nekavējoties sniegtu ziņojumu Finanšu un kapitāla tirgus komisijai par nozīmīgiem maksājumu drošības incidentiem saistībā ar sniegtajiem maksājumu pakalpojumiem.
3.3. Maksājumu pakalpojumu sniedzējiem ir pieejama procedūra, lai sadarbotos ar attiecīgajām tiesībsargājošajām iestādēm saistībā ar nozīmīgiem maksājumu drošības incidentiem, tostarp datu aizsardzības pārkāpumiem.
3.4. Maksājumu pakalpojumu sniedzēji ar līgumu pieprasa e-komersantiem, kas uzglabā, apstrādā vai pārsūta aizsargājamus datus, sadarboties nozīmīgu maksājumu drošības incidentu jomā, tostarp par datu aizsardzības pārkāpumiem, gan ar maksājumu pakalpojumu sniedzējiem, gan ar attiecīgajām uzraudzības iestādēm. Ja maksājumu pakalpojumu sniedzējs uzzina, ka e-komersants nesadarbojas, kā to nosaka līgums, tas rīkojas, lai izpildītu šajā līgumā paredzētās saistības, vai lauž līgumu.
Risku kontrole un mazināšana
4. Maksājumu pakalpojumu sniedzēji īsteno drošības pasākumus atbilstoši drošības politikai, lai mazinātu konstatētos riskus. Šie pasākumi ietver vairākus drošības līmeņus, kur vienas aizsardzības līnijas pārrāvuma gadījumā iesaistās nākamā aizsardzības līnija ("pastiprinātā aizsardzība").
4.1. Izstrādājot, attīstot un uzturot interneta maksājumu pakalpojumus, maksājumu pakalpojumu sniedzēji pievērš īpašu uzmanību atbilstošai pienākumu nodalīšanai IT vidē (piemēram, izstrādes, testēšanas un ražošanas vidēm) un pienācīgai "mazāko privilēģiju" principa īstenošanai kā pamatam pieejas tiesību pārvaldībai4.
4.2. Maksājumu pakalpojumu sniedzējiem ir pieejami atbilstoši drošības risinājumi, lai aizsargātu tīklus, tīmekļa vietnes, serverus un sakaru nodrošinājumu pret vardarbību vai uzbrukumiem. Maksājumu pakalpojumu sniedzēji atslēdz serveros visas liekās funkcijas, lai tos aizsargātu (stiprinātu) un novērstu vai mazinātu lietojumprogrammu ievainojamību riska situācijās. Dažādu lietojumprogrammu piekļuve datiem jāmazina līdz minimumam saskaņā ar "mazāko privilēģiju" principu. Lai ierobežotu viltotu tīmekļa vietņu, kas atdarina likumīgās maksājumu pakalpojumu sniedzēja vietnes, izmantošanu, transakciju tīmekļa vietnes, kas piedāvā interneta maksājumu pakalpojumus, aizsargā ar uzticamiem sertifikātiem, kas izsniegti ar maksājumu pakalpojumu sniedzēja nosaukumu vai citām līdzīgām autentifikācijas metodēm.
4.3. Maksājumu pakalpojumu sniedzēji ievieš procedūras, lai uzraudzītu, kontrolētu un ierobežotu piekļuvi: i) aizsargājamiem datiem; ii) loģiskajiem un fiziskajiem kritiskas nozīmes resursiem, piemēram, tīkliem, sistēmām, datu bāzēm, drošības moduļiem utt. Maksājumu pakalpojumu sniedzēji izveido, uzglabā un analizē attiecīgos auditācijas pierakstus.
4.4. Izstrādājot5, attīstot un uzturot interneta maksājumu pakalpojumus, maksājumu pakalpojumu sniedzēji nodrošina, ka datu vākšanas samazināšana6 ir būtiska galvenās funkcijas sastāvdaļa: aizsargājamu datu apstrāde, t.sk. arhivēšana un vizualizācija, ir jāsamazina līdz iespējamam minimumam.
4.5. Interneta maksājumu pakalpojumu drošību pārbauda risku kontroles funkcijas vadībā, lai nodrošinātu to drošumu un efektivitāti. Visas izmaiņas pakļaujamas noteiktajai izmaiņu pārvaldības procedūrai, nodrošinot, ka izmaiņas tiek pienācīgi plānotas, testētas, dokumentētas un ieviestas. Pamatojoties uz veiktajām izmaiņām un novērotajiem drošības riskiem, testus atkārto regulāri un izskata zināmos iespējamo uzbrukumu scenārijus.
4.6. Maksājumu pakalpojumu sniedzēju noteiktos drošības pasākumus periodiski auditē, lai nodrošinātu to stabilitāti un efektivitāti. Auditē arī interneta maksājumu pakalpojumu ieviešanu. Nosakot šādu auditu regularitāti un mērķi, ņem vērā saistītos drošības riskus. Revīziju veic kompetenti un neatkarīgi (iekšējie vai ārējie) eksperti, kas nav iesaistīti sniegto interneta maksājumu pakalpojumu izstrādē, ieviešanā un uzturēšanā.
4.7. Ja maksājumu pakalpojumu sniedzēji interneta maksājumu pakalpojumu drošības funkcijas ir nodevuši ārpakalpojumu sniedzējiem, līgumā ar ārpakalpojumu sniedzēju iekļauj noteikumus, kas prasa ievērot atbilstību šajā pielikumā noteiktajiem principiem un vadlīnijām.
4.8. Maksājumu pakalpojumu sniedzēji līgumā ar e-komersantiem, kas rīkojas (t.i., glabā, apstrādā un pārsūta) ar aizsargājamiem datiem, pieprasa, lai tie ieviestu atbilstošus drošības pasākumus to IT infrastruktūrā saskaņā ar šā pielikuma II sadaļas 4.1.–4.7. punktu, lai izvairītos no šo aizsargājamo datu zādzībām e-komersantu sistēmās. Ja maksājumu pakalpojumu sniedzējs uzzina, ka e-komersants nav ieviesis nepieciešamos drošības pasākumus, tas rīkojas, lai izpildītu līgumā paredzētās saistības, vai lauž līgumu.
Izsekojamība
5. Maksājumu pakalpojumu sniedzējiem ir pieejamas procedūras, lai nodrošinātu, ka visi darījumi, kā arī e-mandāta procedūras plūsma ir atbilstoši izsekojama.
5.1. Maksājumu pakalpojumu sniedzēji nodrošina, ka to pakalpojums ietver drošības mehānismus, kas nodrošina darījuma detalizētu reģistrēšanu, tostarp ietver darījuma kārtas numuru, darījuma laika zīmogu, izmaiņas parametrizācijā, kā arī jebkuru piekļuvi e-mandāta un darījuma datiem.
5.2. Maksājumu pakalpojumu sniedzēji nodrošina auditācijas pierakstus, kas ļauj izsekot darījuma vai e-mandāta datu apstrādei, t.sk. papildinājumiem, izmaiņām vai dzēšanai.
5.3. Maksājumu pakalpojumu sniedzēji regulāri pārskata un analizē darījumu auditācijas pierakstus un šim mērķim lieto metodes un rīkus, kas ļauj to veikt efektīvi. Šīs procedūras īsteno tikai pilnvarotais personāls.
ĪPAŠA kontrole un drošības PASĀKUMI INTERNETA MAKSĀJUMIEM
Sākotnējā klienta identifikācija un informācija
6. Klienti tiek atbilstoši identificēti saskaņā ar Latvijas Republikas normatīvajiem aktiem7 un attiecīgajiem Eiropas tiesību aktiem par noziedzīgi iegūtu līdzekļu legalizācijas novēršanu8, un tie apstiprina gatavību veikt interneta maksājumus, pirms tiem tiek piešķirta piekļuve šādiem pakalpojumiem. Maksājumu pakalpojumu sniedzēji sniedz klientam pietiekamu sākotnēju, regulāru vai attiecīgā gadījumā ārkārtas informāciju par šo pakalpojumu riskiem un nepieciešamajām prasībām (piemēram, aprīkojumu, procedūrām), lai veiktu drošus interneta maksājumus.
6.1. Maksājumu pakalpojumu sniedzēji nodrošina klienta izpēti un pārliecinās, ka klients ir iesniedzis nepieciešamos identitāti apliecinošos dokumentus9 un citu nepieciešamo informāciju, pirms viņam tiek piešķirta piekļuve interneta maksājumu pakalpojumiem.10
6.2. Maksājumu pakalpojumu sniedzēji nodrošina, ka sākotnējā informācija11, kas tiek nodota klientam, satur visu nepieciešamo informāciju attiecībā uz interneta maksājumu pakalpojumu drošību. Nepieciešamības gadījumā tajā iekļauj:
6.2.1. skaidru informāciju par prasībām attiecībā uz klienta datortehniku, programmatūru vai citiem nepieciešamajiem instrumentiem (piemēram, pretvīrusu programmatūru, ugunsmūri);
6.2.2. prasības par autentifikācijas datu pareizu un drošu lietošanu;
6.2.3. detalizētu aprakstu par darbībām, kas jāveic, lai klients spētu iesniegt un apstiprināt maksājumu darījumu un/vai iegūt informāciju, ietverot skaidrojumus par veikto darbību sekām;
6.2.4. prasības par klientam nodotās ierīces un programmatūras drošu un pareizu izmantošanu;
6.2.5. darbības, kas veicamas autentifikācijas datu vai klienta iekārtu vai programmatūras, kas paredzēta piekļuvei vai darījumu veikšanai, nozaudēšanas vai nozagšanas gadījumā;
6.2.6. darbības, kas veicamas, ja tiek konstatēta ļaunprātīga konta izmantošana vai ja rodas aizdomas par to;
6.2.7. maksājumu pakalpojumu sniedzēja un klienta pienākumu un saistību aprakstu, ņemot vērā konkrēto interneta maksājumu pakalpojumu.
6.3. Maksājumu pakalpojumu sniedzēji nodrošina, ka līgumā ar klientu ir norādīts, ka maksājumu pakalpojumu sniedzējs var bloķēt noteiktu darījumu vai maksājumu instrumentu12, pamatojoties uz drošības apsvērumiem. Līgumā paredz klienta informēšanas metodes un nosacījumus, kā arī veidus, kā klients var sazināties ar maksājumu pakalpojumu sniedzēju, lai atbloķētu interneta maksājumu darījumu vai pakalpojumu saskaņā ar Maksājumu pakalpojumu un elektroniskās naudas likumu.
Droša klienta autentifikācija
7. Interneta maksājumu sākšanu, kā arī piekļuvi aizsargājamiem datiem nodrošina ar drošu klienta autentifikāciju. Maksājumu pakalpojumu sniedzējs ievieš drošu klientu autentifikācijas procedūru atbilstoši šajā pielikumā minētajiem nosacījumiem.
7.1. Maksājumu pakalpojumu sniedzēji veic drošu klientu autentifikāciju klienta interneta maksājumu darījumu autorizēšanai (ieskaitot apvienotus kredīta pārvedumus un e-naudas darījumus) un elektronisko tiešo debeta mandātu izsniegšanai vai grozīšanai (e-mandāts). Tomēr maksājumu pakalpojumu sniedzēji var izmantot alternatīvus klienta autentifikācijas pasākumus:
7.1.1. maksājumiem uzticamam saņēmējam, kas iekļauts iepriekš izveidotā apstiprināto maksājumu sarakstā vai baltajā sarakstā (white list);
7.1.2. darījumiem starp viena klienta diviem kontiem, kurus uztur viens un tas pats maksājumu pakalpojumu sniedzējs;
7.1.3. pārvedumiem viena un tā paša maksājumu pakalpojumu sniedzēja ietvaros, ja šādu iespēju pieļauj maksājumu pakalpojumu sniedzēja veiktais risku novērtējums;
7.1.4. maza apmēra maksājumiem, kā minēts Maksājumu pakalpojumu un elektroniskās naudas likumā13.
7.2. Lai piekļūtu vai izmainītu aizsargājamos datus (tostarp baltā saraksta izveidošanas un izmainīšanas gadījumā), nepieciešama droša klienta autentifikācija. Ja maksājumu pakalpojumu sniedzējs piedāvā tikai informatīvus pakalpojumus, kas neatspoguļo aizsargājamu klienta vai maksājumu informāciju, piemēram, maksājumu kartes datus, kurus ir iespējams ļaunprātīgi izmantot krāpšanas nolūkos, maksājumu pakalpojumu sniedzējs var pielāgot savas autentifikācijas prasības, pamatojoties uz risku novērtējumu.
7.3. Attiecībā uz karšu darījumiem visām maksājumu pakalpojumu sniedzēja izsniegtajām kartēm jāatbalsta droša kartes turētāja autentifikācija. Visām izsniegtajām kartēm jābūt tehniski gatavām (reģistrētām) izmantošanai ar drošu autentifikāciju.
7.4. Maksājumu pakalpojumu sniedzēji, piedāvājot maksājumu karšu pieņemšanas pakalpojumu, atbalsta tehnoloģijas, kas ļauj izsniedzējam veikt drošu kartes turētāja autentifikāciju.
7.5. Maksājumu pakalpojumu sniedzēji, piedāvājot iegādāties pakalpojumu, pieprasa savam e-komersantam atbalstīt risinājumus, kas ļauj izsniedzējam veikt drošu kartes turētāja autentifikāciju darījumiem ar karti internetā. Alternatīvas autentifikācijas metodes var izmantot iepriekš noteiktām zema riska darījumu kategorijām, piemēram, pamatojoties uz darījumu riska analīzi, vai maza apmēra maksājumiem, kā minēts Maksājumu pakalpojumu un elektroniskās naudas likumā.
7.6. Virtuālā maka pakalpojumu sniedzēji pieprasa drošu autentifikāciju, ja likumīgais turētājs pirmo reizi reģistrē kartes datus.
7.7. Virtuālā maka pakalpojumu sniedzēji atbalsta klienta autentifikāciju, ja klients piesakās virtuālā maka maksājumu pakalpojumiem vai veic darījumus ar karti internetā.
Alternatīvas autentifikācijas metodes var izmantot iepriekš noteiktām zema riska darījumu kategorijām, piemēram, pamatojoties uz darījumu riska analīzi, vai maza apmēra maksājumiem, kā minēts Maksājumu pakalpojumu un elektroniskās naudas likumā.
7.8. Virtuālajām kartēm sākotnējā reģistrācija notiek drošā un uzticamā vidē14. Droša klienta autentifikācija nepieciešama virtuālās kartes datu ģenerēšanas procesam, ja karte izsniegta interneta vidē.
7.9. Maksājumu pakalpojumu sniedzēji nodrošina savstarpēju ("two-way") autentifikāciju saziņai ar e-komersantu, ja tiek veikts interneta maksājums vai notiek piekļuve aizsargājamiem datiem.
Pieteikšanās autentifikācijas instrumentiem un/vai programmatūrai un to piegāde klientam
8. Maksājumu pakalpojumu sniedzēji nodrošina, ka klienta pieteikšanās autentifikācijas līdzekļiem, kas nepieciešami, lai izmantotu interneta maksājumu pakalpojumus, un to piegāde tiek veikta drošā veidā.
8.1. Pieteikšanās autentifikācijas līdzekļiem un to piegāde atbilst šādām prasībām:
8.1.1. saistītās darbības veic drošā un uzticamā vidē, vienlaikus ņemot vērā iespējamos riskus, kas izriet no ierīcēm, kas neatrodas maksājumu pakalpojumu sniedzēja kontrolē;
8.1.2. ievieš efektīvas un drošas procedūras autentifikācijas datu, ar maksājumiem saistītās programmatūras un visu ar interneta maksājumiem saistīto personalizēto ierīču piegādei. Internetā piegādāto programmatūru paraksta maksājumu pakalpojumu sniedzējs, kas klientam dod iespēju pārbaudīt tās autentiskumu un pārliecināties, ka tā nav iepriekš lietota;
8.1.3. darījumiem ar karti klientam ir iespēja reģistrēties drošai autentifikācijai neatkarīgi no konkrētā interneta pirkuma. Ja aktivizācija tiek piedāvāta tiešsaistes iepirkšanās laikā, to dara, novirzot klientu uz drošu un uzticamu vidi.
8.2. Maksājumu karšu izsniedzēji aktīvi veicina kartes turētāja reģistrāciju drošai autentifikācijai un ļauj turētājiem apiet reģistrāciju tikai izņēmuma kārtā un tikai ierobežotam skaitam gadījumu, ja to attaisno risks, kas saistīts ar konkrēta darījuma ar karti specifiku.
Autentifikācijas mēģinājumi, sesijas noilgums, autentifikācijas derīgums
9. Maksājumu pakalpojumu sniedzēji nosaka maksimālo autentifikācijas mēģinājumu skaitu, prasības par interneta maksājumu pakalpojumu sesijas noilgumu un autentifikācijas derīguma ilgumu.
9.1. Izmantojot vienreizēju/unikālu paroli autentifikācijai, maksājumu pakalpojumu sniedzēji nodrošina, ka šādas paroles/koda derīguma termiņš ir ierobežots līdz nepieciešamajam minimumam.
9.2. Maksājumu pakalpojumu sniedzēji nosaka neveiksmīgo autentifikācijas mēģinājumu maksimālo skaitu pēc kārtas, kad piekļuve interneta maksājumu pakalpojumam tiek bloķēta (īslaicīgi vai pastāvīgi). Maksājumu pakalpojumu sniedzēji nodrošina drošu procesu bloķētu interneta maksājumu pakalpojumu aktivizēšanai.
9.3. Maksājumu pakalpojumu sniedzēji nosaka laika periodu, pēc kura neaktīva interneta maksājumu pakalpojumu sesija tiek automātiski pārtraukta.
Darījumu uzraudzība un pārraudzība
10. Darījumu uzraudzības un pārraudzības risinājumus, kas paredzēti, lai novērstu, atklātu un bloķētu krāpnieciskus maksājumu darījumus, izmanto pirms maksājumu pakalpojumu sniedzēja pēdējā pilnvarojuma. Aizdomīgiem vai augsta riska darījumiem piemēro īpašu uzraudzības un izvērtēšanas procesu. Līdzvērtīgus drošības uzraudzības un autorizācijas risinājumus ievieš arī e-mandātu izsniegšanai.
10.1. Maksājumu pakalpojumu sniedzēji izmanto krāpšanas atklāšanas un novēršanas sistēmas vai risinājumus, lai identificētu aizdomīgus darījumus, pirms maksājumu pakalpojumu sniedzējs tos autorizē. Šāda sistēma balstās uz parametrizētiem likumiem (piemēram, nozaudētu vai zagtu karšu datu melnais saraksts) un uzrauga klienta netipiskas uzvedības modeļus (piemēram, interneta protokola (IP) adreses maiņa15 vai IP diapazona maiņa interneta maksājumu pakalpojumu sesijas laikā, kas tiek identificēta IP ģeogrāfiskās atrašanās vietas pārbaudē16, netipiskas e-komersanta kategorijas izmantošana vai konkrētam klientam neparasti darījuma dati utt.), un spēj identificēt zināmus krāpšanas scenārijus (piemēram, spēj noteikt datorvīrusa infekcijas pazīmes sesijas laikā). Uzraudzības un pārraudzības risinājumu apjoms, sarežģītība un pielāgošana tiek noteikta, ievērojot aktuālos personas datu aizsardzības tiesību aktus, un tie ir samērīgi ar risku novērtējuma rezultātiem.
10.2. Maksājumu pakalpojumu sniedzēji lieto krāpšanas atklāšanas un novēršanas sistēmu vai risinājumu, lai uzraudzītu e-komersanta darbību.
10.3. Maksājumu pakalpojumu sniedzēji veic darījumu pārbaudi un izvērtēšanu pietiekami īsā laika periodā, lai nepamatoti neatliktu attiecīgā maksājuma izpildi.
10.4. Ja maksājumu pakalpojumu sniedzējs saskaņā ar tā riska politiku nolemj bloķēt maksājumu, kas identificēts kā iespējami krāpniecisks, maksājumu pakalpojumu sniedzējs nodrošina maksājumu bloķēšanu uz iespējami īsāku laiku, kas nepieciešams ar maksājuma izpildi saistīto drošības problēmu atrisināšanai.
Aizsargājamu datu drošība
11. Apstrādājot, t.sk. uzglabājot vai pārsūtot, aizsargājamus datus, jāpārliecinās par to drošību.
11.1. Visi dati, ko izmanto, lai identificētu un autentificētu klientus (piemēram, pieslēgšanās, sākot interneta maksājumu vai izsniedzot, grozot vai atceļot e-mandātus), jānodrošina pret zādzībām, nesankcionētu piekļuvi vai izmainīšanu.
11.2. Maksājumu pakalpojumu sniedzēji nodrošina, ka, veicot aizsargājamu datu apmaiņu internetā, tiek nodrošināta droša šifrēšana17 saziņā starp pusēm visā attiecīgās sakaru sesijas laikā, lai nodrošinātu datu konfidencialitāti un integritāti, izmantojot drošas un plaši atzītas šifrēšanas metodes.
11.3. Maksājumu pakalpojumu sniedzēji, piedāvājot pieņēmēja pakalpojumus, aicina e-komersantus neuzglabāt nekādus aizsargājamus datus. Ja e-komersants apstrādā, t.i., uzglabā vai pārsūta, aizsargājamus datus, tad maksājumu pakalpojumu sniedzējs uz līguma pamata pieprasa e-komersantam ieviest nepieciešamos pasākumus, lai aizsargātu šos datus. Maksājumu pakalpojumu sniedzēji veic regulāras pārbaudes un, ja tie konstatē, ka e-komersants, apstrādājot aizsargājamus datus, nav ieviesis nepieciešamos drošības pasākumus, maksājumu pakalpojumu sniedzēji rīkojas, lai izpildītu līgumā paredzētās saistības, vai pārtrauc līgumu.
Klientu informēšana, izglītošana un komunikācija ar klientu
12. Maksājumu pakalpojumu sniedzēji, ja nepieciešams, sniedz palīdzību un norādījumus klientiem attiecībā uz drošu interneta maksājumu pakalpojumu izmantošanu. Maksājumu pakalpojumu sniedzēji sazinās ar saviem klientiem tādā veidā, lai pārliecinātu viņus par saņemto ziņu īstumu.
12.1. Maksājumu pakalpojumu sniedzēji nodrošina vismaz vienu drošu kanālu18 pastāvīgai komunikācijai ar klientiem par pareizu un drošu interneta maksājumu pakalpojumu izmantošanu. Maksājumu pakalpojumu sniedzēji informē klientus par šo kanālu un skaidro, ka jebkura cita maksājumu pakalpojumu sniedzēja vārdā nosūtītā ziņa, izmantojot citus līdzekļus, piemēram, e-pastu, attiecībā uz pareizu un drošu interneta maksājumu pakalpojumu izmantošanu nav ticama. Maksājumu pakalpojumu sniedzējs klientiem izskaidro:
12.1.1. kārtību, kādā klientiem jāziņo maksājumu pakalpojumu sniedzējam (par aizdomām) par krāpniecisku maksājumu, incidentiem vai novirzēm interneta maksājumu pakalpojumu sesijas laikā un/vai par iespējamiem sociālās inženierijas19 mēģinājumiem;
12.1.2. turpmākos rīcības soļus, t.i., kā maksājumu pakalpojumu sniedzējs sniegs atbildi klientam;
12.1.3. kā maksājumu pakalpojumu sniedzējs informēs klientu par (potenciālajiem) krāpnieciskiem darījumiem vai brīdinās klientu par notikušu uzbrukumu (piemēram, pikšķerēšanas (phishing) e-pasta ziņojumiem).
12.2. Maksājumu pakalpojumu sniedzējs, izmantojot drošu kanālu, informē klientus par izmaiņām drošības procedūrās attiecībā uz interneta maksājumu pakalpojumiem. Visus brīdinājumus par būtiskiem potenciāliem riskiem (piemēram, brīdinājumi par sociālo inženieriju) maksājumu pakalpojumu sniedzējs sniedz, izmantojot drošu kanālu.
12.3. Maksājumu pakalpojumu sniedzēji klientiem nodrošina palīdzību saistībā ar visiem jautājumiem, sūdzībām, lūgumiem pēc atbalsta un paziņojumiem par incidentiem attiecībā uz interneta maksājumiem un saistītajiem pakalpojumiem un atbilstoši informē klientus par to, kā šādu palīdzību var saņemt.
12.4. Maksājumu pakalpojumu sniedzēji izstrādā klientu izglītības un izpratnes programmas, lai nodrošinātu klientu informētību par nepieciešamību:
12.4.1. aizsargāt savas paroles, kodu kalkulatorus un citus konfidenciālos datus;
12.4.2. pienācīgi pārvaldīt personiskās ierīces drošību (piemēram, datoru), izmantojot drošības komponentu instalēšanu un atjaunināšanu (antivīruss, ugunsmūris, drošības ielāpi);
12.4.3. izvērtēt būtiskus apdraudējumus un riskus, kas saistīti ar programmatūras lejupielādi internetā, ja klients nevar būt pārliecināts, ka programmatūra ir oriģināla un nav mainīta;
12.4.4. pārliecināties par to, ka maksājumu pakalpojumu sniedzēja interneta maksājumu tīmekļa vietne ir īsta.
12.5. Maksājumu pakalpojumu sniedzēji pieprasa e-komersantiem skaidri nodalīt ar maksājumu veikšanu saistītos procesus no tiešsaistes veikala, lai klienti varētu pārliecināties, kad tiek nodrošināta saziņa ar maksājumu pakalpojumu sniedzēju, nevis ar maksājuma saņēmēju (piemēram, novirzot klientu un atverot atsevišķu logu tā, lai maksājuma veikšana netiktu rādīta e-komersanta ietvarā).
Paziņojumi un maksājumu limitu noteikšana
13. Maksājumu pakalpojumu sniedzēji nosaka maksājumu limitus un sniedz saviem klientiem iespēju izvēlēties turpmākus riskus ierobežojošus pasākumus. Tie paredz arī brīdinājumu un klienta profila vadības pakalpojumus.
Pirms interneta maksājumu pakalpojumu sniegšanas klientiem maksājumu pakalpojumu sniedzēji nosaka maksājumu limitus20, kas attiecas uz minētajiem pakalpojumiem (piemēram, ierobežojot katra atsevišķa maksājuma maksimālo summu vai kopsummu konkrētā laika periodā), un par tiem attiecīgi informē savus klientus. Maksājumu pakalpojumu sniedzēji ļauj klientiem bloķēt interneta maksājumu funkcionalitāti.
Klientu piekļuve informācijai par maksājumu sākšanas un izpildes statusu
14. Maksājumu pakalpojumu sniedzēji nodrošina saviem klientiem informāciju par maksājumu sākšanu un savlaicīgi sniedz klientiem nepieciešamo informāciju, lai pārbaudītu, ka maksājums ir pareizi sākts un/vai izpildīts.
14.1. Maksājumu pakalpojumu sniedzēji jebkurā laikā21 nodrošina klientiem iespēju reālā laikā drošā un uzticamā vidē pārbaudīt darījumu (kredīta pārvedumu vai e-mandātu) izpildes statusu, kā arī konta atlikumu.
14.2. Visi detalizētie elektroniskie paziņojumi un pārskati ir pieejami drošā un uzticamā vidē. Ja maksājumu pakalpojumu sniedzēji informē klientus par elektronisko paziņojumu pieejamību (piemēram, veicot periodisku e-paziņojumu izsūtīšanu, vai paziņojuma izsūtīšanu pēc darījumu izpildes), izmantojot alternatīvu kanālu, piemēram, SMS, e-pastu vai vēstuli, tad šādos paziņojumos nedrīkst iekļaut aizsargājamus datus. Ja šādi dati tomēr tiek iekļauti attiecīgajos paziņojumus, tie ir jāmaskē.
1 Maksājumu integratori nodrošina maksājuma saņēmēju (t.i., e-komersantu) ar standartizētu interfeisu maksājumu pakalpojumiem, ko sniedz maksājumu pakalpojumu sniedzēji.
2 Piemēram, sistēmas jutību, lai novērstu maksājumu sesiju nolaupīšanu, SQL injekciju, starpvietņu skriptošanu, bufera pārpildi utt.
3 Piemēram, riskus, kas saistīti ar multivides aplikāciju, pārlūkprogrammu spraudņu, rāmju, ārējo saišu utt. izmantošanu.
4 "Visām programmām un ikvienam privileģētajam sistēmas lietotājam jādarbojas, izmantojot vismazāko privilēģiju skaitu, kas nepieciešams, lai pabeigtu darbu." Skatīt Saltzers, Dž. H. "Informācijas koplietošanas aizsardzība un kontrole Multics sistēmā", ACM asociācijas saziņa, (1974), 17. sējums, Nr. 7, 388. lpp.
5 Privātuma aizsardzība.
6 Datu vākšanas samazināšana attiecas uz personas informācijas datu, kas nepieciešami norādītās funkcijas veikšanai, vākšanu vismazākajos apmēros.
7 Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma finansēšanas novēršanas likums un no tā izrietošie normatīvie akti
8 Piemēram, Eiropas Parlamenta un Padomes Direktīva 2005/60/EK (2005. gada 26. oktobris) par to, lai nepieļautu finanšu sistēmas izmantošanu nelikumīgi iegūtu līdzekļu legalizēšanai un teroristu finansēšanai (OV L 309, 25.11.2005., 15.-36. lpp.). Skatīt arī Komisijas Direktīvu 2006/70/EK (2006. gada 1. augusts), ar ko nosaka īstenošanas pasākumus Eiropas Parlamenta un Padomes Direktīvai 2005/60/EK attiecībā uz "politiski ietekmējamas personas" definīciju un tehniskajiem kritērijiem vienkāršotām klienta uzticamības pārbaudes procedūrām un atbrīvojumam sakarā ar finanšu darbību, kuru veic reti vai ļoti ierobežotos apjomos (OV L 214, 04.08.2006., 29.-34. lpp.).
9 Piemēram, pase, identifikācijas karte vai drošs elektroniskais paraksts.
10 Klienta identifikācijas procedūra neskar nevienu no izņēmumiem, kas paredzēti spēkā esošajos tiesību aktos par nelikumīgi iegūtu līdzekļu legalizēšanu. Maksājumu pakalpojumu sniedzēji neveic atsevišķu klienta identifikācijas procedūru interneta maksājumu pakalpojumiem ar noteikumu, ka šāda klienta identifikācija jau ir veikta, piemēram, saistībā ar citiem esošajiem ar maksājumiem saistītajiem pakalpojumiem vai ar konta atvēršanu.
11 Šo informāciju papildina Maksājumu pakalpojumu un elektroniskās naudas likuma 64. pants, kas precizē informāciju, kuru maksājumu pakalpojumu sniedzēji sniedz maksājumu pakalpojuma lietotājam, pirms noslēgts līgums par maksājumu pakalpojumu sniegšanu.
12 Skatīt Maksājumu pakalpojumu un elektroniskās naudas likuma 81. pantu par maksājumu instrumentu izmantošanas ierobežojumiem.
13 Skatīt maza apmēra maksājumu instrumentu aprakstu Maksājumu pakalpojumu un elektroniskās naudas likuma 62. pantā un 78. panta pirmajā daļā.
14 Maksājumu pakalpojumu sniedzēju atbildības vide, kurā atbilstoša klienta un maksājumu pakalpojumu sniedzēju, kas piedāvā šo pakalpojumu, autentifikācija un konfidenciālas/aizsargājamas informācijas aizsardzība tiek nodrošināta arī: i) maksājumu pakalpojumu sniedzēju telpās; ii) interneta bankas vai citās drošās tīmekļa vietnēs; iii) bankomātu (ATM) pakalpojumiem. (Bankomātiem nepieciešama droša klientu autentifikācija. Šādu autentifikāciju parasti nodrošina ar mikroshēmu un PIN kodu vai mikroshēmu un biometrijas standartiem.)
15 IP adrese ir unikāls ciparu kods, kas identificē katru datoru, kas ir savienots ar internetu.
16 "Geo-IP" pārbaudē tiek pārbaudīts, vai izdevēja valsts atbilst IP adresei, no kuras lietotājs sāk darījumu.
17 Droša vai pilnīga šifrēšana attiecas uz šifrēšanu avota sistēmā un ar atbilstošu atšifrēšanu, kas notiek mērķa gala sistēmā (ETSI EN 302, 109 V1.1.1. (2003-06)).
18 Piemēram, speciāla pastkaste maksājumu pakalpojumu sniedzēja drošā tīmekļa vietnē.
19 Sociālā inženierija šajā kontekstā nozīmē paņēmienus manipulācijai ar cilvēkiem, lai iegūtu informāciju, piemēram, izmantojot e-pastu vai tālruņa zvanus, vai iegūtu informāciju no sociālajiem tīkliem krāpšanas nolūkā, vai iegūtu neatļautu piekļuvi datoram vai tīklam.
20 Maksājumu limitus var piemērot vispārīgi (t.i., visiem maksājumu instrumentiem, kas ļauj veikt interneta maksājumus) vai individuāli.
21 Izņemot ārkārtas situācijās tehnisku iemeslu dēļ vai būtisku incidentu gadījumā.