Darbības ar dokumentu

Tiesību akts: zaudējis spēku

Tiesību akts ir zaudējis spēku.

Skatīt Finanšu un kapitāla tirgus komisijas 2020. gada 14. jūlija noteikumus Nr. 93 "Normatīvie noteikumi par ziņošanu par būtiskiem maksājumu pakalpojumu incidentiem".

Finanšu un kapitāla tirgus komisijas normatīvie noteikumi Nr. 157

Rīgā 2018. gada 26. septembrī

(Finanšu un kapitāla tirgus komisijas padomes
sēdes protokols Nr. 44. 4. p.)

Normatīvie noteikumi par ziņošanu par būtiskiem maksājumu pakalpojumu incidentiem

Izdoti saskaņā ar Maksājumu pakalpojumu
un elektroniskās naudas likuma
104.¹ panta pirmās daļas 4. punktu

I. Vispārīgie jautājumi

1. "Normatīvie noteikumi par ziņošanu par būtiskiem maksājumu pakalpojumu incidentiem" (tālāk tekstā – noteikumi) ir saistoši Latvijā reģistrētām kredītiestādēm, licencētām maksājumu iestādēm un licencētām elektroniskās naudas iestādēm (tālāk tekstā – maksājumu pakalpojumu sniedzējs). Noteikumi nosaka kritērijus, pēc kuriem maksājumu pakalpojumu sniedzējs klasificē būtiskus operacionālos vai drošības incidentus, kā arī prasības un kārtību, ko tas ievēro, ziņojot par šādiem incidentiem Finanšu un kapitāla tirgus komisijai (tālāk tekstā – Komisija).

2. Noteikumi attiecas uz visiem būtiskiem operacionāliem un drošības incidentiem.

3. Komisija pārsūta no maksājumu pakalpojumu sniedzēja saņemtos ziņojumus Eiropas Banku iestādei.

4. Komisijai ir tiesības informēt tiesībsargājošās iestādes par maksājumu pakalpojumu sniedzēja iesniegtajiem ziņojumiem normatīvajos aktos noteiktajos gadījumos.

5. Maksājumu pakalpojumu sniedzējs nodrošina, ka tā iekšējās kontroles sistēmā ir noteikti visi maksājumu pakalpojumu sniedzēja pienākumi saistībā ar ziņošanu par operacionāliem vai drošības incidentiem saskaņā ar Maksājumu pakalpojumu un elektroniskās naudas likumu un procesu ieviešanu, lai izpildītu šajos noteikumos definētās prasības.

II. Termini

6. Operacionālais vai drošības incidents (tālāk tekstā – incidents) – vienreizējs notikums vai vairāki saistīti notikumi, kurus maksājumu pakalpojumu sniedzējs nav plānojis un kuri negatīvi ietekmē vai, iespējams, ietekmēs ar maksājumiem saistīto pakalpojumu integritāti, pieejamību vai konfidencialitāti.

7. Integritāte – informācijas un tās apstrādes metožu precizitāte, pareizība un pilnīgums.

8. Pieejamība – iespēja pilnvarotām personām izmantot pakalpojumus noteiktā laikā un vietā.

9. Konfidencialitāte – piekļuves informācijai nodrošināšana tikai pilnvarotām personām.

III. Būtiska incidenta klasifikācija

10. Maksājumu pakalpojumu sniedzējs kā būtisku klasificē incidentu, kas atbilst vienam vai vairākiem kritērijiem "augstākas ietekmes līmenī" vai trim vai vairākiem kritērijiem "zemākas ietekmes līmenī", kā noteikts šo noteikumu 11. punktā un atbilstoši šajos noteikumos noteiktajam novērtējumam.

11. Maksājumu pakalpojumu sniedzējs novērtē incidentu attiecībā uz katru atsevišķo kritēriju, nosakot, vai līdz incidenta novēršanai ir sasniegtas vai, visticamāk, tiks sasniegtas 1. tabulā norādītās attiecīgās robežvērtības.

1. tabula. Kritēriji un to robežvērtības

Kritērijs	Zemāks ietekmes līmenis	Augstāks ietekmes līmenis
Ietekmētie darījumi	> 10% no maksājumu pakalpojumu sniedzēja ierastā darījumu līmeņa (darījumu skaita ziņā) un > 100 000 EUR	> 25% no maksājumu pakalpojumu sniedzēja ierastā darījumu līmeņa (darījumu skaita ziņā) vai > 5 miljoni EUR
Ietekmētie maksājumu pakalpojumu izmantotāji	> 5000 un > 10% no maksājumu pakalpojumu sniedzēja maksājumu pakalpojumu izmantotājiem	> 50 000 vai > 25% no maksājumu pakalpojumu sniedzēja maksājumu pakalpojumu izmantotājiem
Pakalpojuma dīkstāve	> 2 stundas	Nav piemērojams
Ekonomiskā ietekme	Nav piemērojams	> maks. (0,1% no 1. līmeņa pamatkapitāla*, 200 000 EUR) vai > 5 miljoni EUR
Augsts iekšējās eskalācijas līmenis	Jā	Jā, un, iespējams, tiks noteikts krīzes (vai tai pielīdzināms) režīms
Citi iespējami ietekmētie maksājumu pakalpojumu sniedzēji vai attiecīgās infrastruktūras	Jā	Nav piemērojams
Ietekme uz reputāciju	Jā	Nav piemērojams

* 1. līmeņa pamatkapitāls, kā noteikts Eiropas Parlamenta un Padomes 2013. gada 26. jūnija Regulas (ES) Nr. 575/2013 par prudenciālajām prasībām attiecībā uz kredītiestādēm un ieguldījumu brokeru sabiedrībām, un ar ko groza Regulu (ES) Nr. 648/2012, 25. pantā.

12. Maksājumu pakalpojumu sniedzējs novērtē incidentu atbilstoši kritērijiem un indikatoriem, uz kuriem tie ir balstīti:

12.1. ietekmētie darījumi – visu iekšzemes un pārrobežu darījumu, kurus incidents ir tieši vai netieši ietekmējis vai, visticamāk, ietekmēs, kopējā vērtība un apdraudēto maksājumu skaits procentos no izmantoto ietekmēto maksājumu pakalpojumu veikto maksājumu ierastā līmeņa – to ikdienas iekšzemes un pārrobežu maksājumu vidējā skaita gadā, kurus veic, izmantojot tos pašus maksājumu pakalpojumus, kurus ietekmēja incidents. Aprēķiniem par atsauces periodu izmanto iepriekšējo gadu. Ja maksājumu pakalpojumu sniedzējs neuzskata, ka šis rādītājs ir reprezentatīvs (piemēram, sezonalitātes dēļ), tā vietā izmanto atbilstošāku rādītāju un šo noteikumu pielikuma attiecīgajā laukā sniedz šādas pieejas pamatojumu;

12.2. ietekmētie maksājumu pakalpojumu izmantotāji – to skaits absolūtā izteiksmē un procentos no maksājumu pakalpojumu izmantotāju kopējā skaita, iekļaujot visus klientus, kuriem ir piekļuve ietekmētajam maksājumu pakalpojumam un kuri ir cietuši vai, visticamāk, cietīs no incidenta sekām. Maksājumu pakalpojumu sniedzējs aprēķinu balsta uz iepriekšējām norisēm, lai noteiktu to maksājumu pakalpojumu izmantotāju skaitu, kuri, iespējams, incidenta pastāvēšanas laikā ir izmantojuši minēto maksājumu pakalpojumu. Ja maksājumu pakalpojumu sniedzējs piedāvā darbības pakalpojumus citiem maksājumu pakalpojumu sniedzējiem, tas ņem vērā tikai savus maksājumu pakalpojumu izmantotājus (ja tādi ir), un tas maksājumu pakalpojumu sniedzējs, kurš saņem minētos darbības pakalpojumus, novērtē incidentu saistībā ar saviem maksājumu pakalpojumu izmantotājiem. Kopējais maksājumu pakalpojumu izmantotāju skaits ir to maksājumu pakalpojumu izmantotāju kopskaits, ar kuriem incidenta laikā ir bijušas noslēgtas līgumattiecības (vai arī visnesenākais pieejamais rādītājs) un kuriem ir pieeja ietekmētajam maksājumu pakalpojumam neatkarīgi no to lieluma un no tā, vai tie ir uzskatāmi par aktīviem vai pasīviem maksājumu pakalpojumu izmantotājiem;

12.3. pakalpojuma dīkstāve – laiks, kurā pakalpojums, visticamāk, nebūs pieejams maksājumu pakalpojumu izmantotājam vai kurā maksājumu pakalpojumu sniedzējs nevarēs izpildīt maksājuma rīkojumu Maksājumu pakalpojumu un elektroniskās naudas likuma 1. panta 11. punkta izpratnē. Maksājumu pakalpojumu sniedzējs ņem vērā laiku, kurā jebkurš uzdevums, process vai kanāls, kas ir saistīts ar maksājumu pakalpojumu sniegšanu, nav vai, visticamāk, nebūs pieejams. Pakalpojuma dīkstāvi aprēķina no brīža, kad dīkstāve sākas, ņemot vērā gan laiku, kurā tas ir atvērts pakalpojumu darbībai, kas nepieciešama maksājumu pakalpojumu izpildei, gan arī laiku ārpus darba laika un uzturēšanas laiku, ja tas ir atbilstoši un piemērojami. Pakalpojuma dīkstāvi aprēķina no konstatēšanas brīža gadījumā, kad nav iespējams noteikt tās sākuma laiku;

12.4. ekonomiskā ietekme – ar incidentu saistītās monetārās izmaksas, ņemot vērā gan absolūto skaitli, gan attiecīgā gadījumā šo izmaksu relatīvo nozīmi attiecībā uz maksājumu pakalpojumu sniedzēja lielumu (t. i., maksājumu pakalpojumu sniedzēja 1. līmeņa pamatkapitālu). Maksājumu pakalpojumu sniedzējs ņem vērā ar incidentu gan tieši saistītās (jau zināmās), gan netieši saistītās (paredzamās) izmaksas, arī ekspropriētos līdzekļus vai aktīvus, aparatūras vai programmatūras aizstāšanas izmaksas, citas tiesu vai atlīdzināšanas izmaksas, līgumsaistību neizpildes dēļ piemērotās izmaksas, sankcijas, ārējās saistības un zaudētos ieņēmumus;

12.5. augsts iekšējās eskalācijas līmenis – vai par šo incidentu ir ziņots vai tiks ziņots maksājumu pakalpojuma sniedzēja vadībai. Maksājumu pakalpojumu sniedzējs izvērtē, vai par incidentu tā ietekmes uz pakalpojumiem, kas saistīti ar maksājumiem, dēļ (visticamāk) tiks informēta vadība ārpus periodiskās ziņošanas procedūras un nepārtraukti incidenta pastāvēšanas laikā, un apsver, vai šīs ietekmes dēļ ir vai tiks noteikts krīzes režīms;

12.6. citi iespējami ietekmētie maksājumu pakalpojumu sniedzēji vai attiecīgās infrastruktūras – sistēmiskās sekas, kādas, visticamāk, radīs šis incidents, t. i., tā iespēja ietekmēt arī citus maksājumu pakalpojumu sniedzējus, finanšu tirgus infrastruktūras un/vai maksājumu karšu shēmas. Maksājumu pakalpojumu sniedzējs novērtē incidenta ietekmi uz finanšu tirgu, izvērtējot, vai incidents (visticamāk) skars citus maksājumu pakalpojumu sniedzējus neatkarīgi no tā, vai tas ir ietekmējis vai, visticamāk, ietekmēs finanšu tirgus infrastruktūru nevainojamu darbību un vai tas ir negatīvi ietekmējis vai, visticamāk, negatīvi ietekmēs finanšu sistēmas stabilu darbību kopumā. Maksājumu pakalpojumu sniedzējs ņem vērā dažādas dimensijas, piemēram, vai ietekmētais komponents/programmatūra ir patentēti vai vispārpieejami, vai negatīvi ietekmētais tīkls ir iekšējs vai ārējs un vai maksājumu pakalpojumu sniedzējs ir pārtraucis vai, visticamāk, pārtrauks pildīt savus pienākumus tajās finanšu tirgus infrastruktūrās, kurās tas ir dalībnieks;

12.7. ietekme uz reputāciju – kā šis incidents var samazināt lietotāju uzticēšanos maksājumu pakalpojumu sniedzējam un maksājuma pakalpojumam vai tirgum kopumā.

13. Maksājumu pakalpojumu sniedzējs izmanto aplēses, ja tam nav faktisku datu, ar ko pamatot savus slēdzienus, neatkarīgi no tā, vai līdz incidenta novēršanai ir sasniegta vai, visticamāk, tiks sasniegta konkrēta robežvērtība.

14. Maksājumu pakalpojumu sniedzējs pastāvīgi incidenta pastāvēšanas laikā veic novērtējumu, lai identificētu iespējamas statusa izmaiņas augšup (no nebūtiska uz būtisku) vai lejup (no būtiska uz nebūtisku).

IV. Paziņošanas process

15. Maksājumu pakalpojumu sniedzējs apkopo visu būtisko informāciju, sagatavo ziņojumu par incidentu, izmantojot šo noteikumu pielikumā pievienoto Ziņojuma veidlapu, un iesniedz Komisijai, nosūtot to uz elektroniskā pasta adresi mps.incidents@fktk.lv.

16. Maksājumu pakalpojumu sniedzējs izmanto šo noteikumu pielikumā sniegto veidlapu, lai informētu Komisiju incidenta pastāvēšanas laikā (t. i., lai sagatavotu sākotnējo, starpposma un noslēguma ziņojumu, kā noteikts šo noteikumu 21.–27. punktā). Maksājumu pakalpojumu sniedzējs aizpilda veidlapu pakāpeniski, pēc iespējas papildinot to ar jaunu informāciju, kas kļūst zināma iekšējās izmeklēšanas gaitā.

17. Maksājumu pakalpojumu sniedzējs sniedz Komisijai jebkādu pieejamu papildinformāciju, ko tas uzskata par būtisku Komisijai, pievienojot standarta Ziņojuma veidlapai papildu dokumentāciju kā vienu vai vairākus pielikumus.

18. Maksājumu pakalpojumu sniedzējs katrā ziņojumā norāda datumu, kad tiks sniegts nākamais atjauninājums, un tam ir jābūt pēc iespējas drīzāk, bet ne vēlāk kā pēc trim darba dienām.

19. Maksājumu pakalpojumu sniedzējs sazinās ar Komisiju, ja nav iespējams ievērot norādīto nākamā atjauninājuma datumu.

20. Ja maksājumu pakalpojumu sniedzējs var iesniegt visu informāciju, kas nepieciešama noslēguma ziņojumā (t. i., Ziņojuma veidlapas C sadaļā), četru stundu laikā kopš incidenta konstatēšanas, tas sākotnējā ziņojumā sniedz informāciju, kas saistīta ar sākotnējo, pēdējo starpposma un noslēguma ziņojumu.

V. Sākotnējais ziņojums

21. Maksājumu pakalpojumu sniedzējs sākotnējo ziņojumu (Ziņojuma veidlapas A sadaļa) nosūta Komisijai četru stundu laikā pēc būtiska incidenta konstatēšanas vai, ja tas nav iespējams, tiklīdz tas kļūst iespējams.

22. Maksājumu pakalpojumu sniedzējs iesniedz Komisijai sākotnējo ziņojumu, tiklīdz iepriekš par nebūtisku atzīts incidents kļūst par būtisku incidentu.

VI. Starpposma ziņojums

23. Maksājumu pakalpojumu sniedzējs iesniedz starpposma ziņojumus (Ziņojuma veidlapas B sadaļa) ik reizi, kad uzskata, ka ir noticis būtisks statusa atjauninājums, un vismaz līdz nākamā atjauninājuma datumam, kas norādīts iepriekšējā ziņojumā (vai nu sākotnējā ziņojumā, vai iepriekšējā starpposma ziņojumā).

24. Maksājumu pakalpojumu sniedzējs, iesniedzot papildu starpposma ziņojumus, aktualizē informāciju, kas jau ir iesniegta Ziņojuma veidlapas A un B sadaļā, ja pēc iepriekšējā paziņojuma tam kļūst zināma jauna būtiska informācija vai notiek būtiskas izmaiņas.

25. Ja pakalpojumu darbība atgriežas ierastajā ritmā, pirms ir pagājušas četras stundas kopš incidenta konstatēšanas, maksājumu pakalpojumu sniedzējs vienlaikus var iesniegt sākotnējo un starpposma ziņojumu (t. i., aizpildot Ziņojuma veidlapas A un B sadaļu) pirms četru stundu termiņa beigām.

VII. Noslēguma ziņojums

26. Maksājumu pakalpojumu sniedzējs nosūta noslēguma ziņojumu (Ziņojuma veidlapas C sadaļa), kad ir veikta cēloņa analīze, neatkarīgi no tā, vai seku mazināšanas pasākumi jau ir veikti, ne vēlāk kā desmit darba dienu laikā pēc tam, kad pakalpojumu darbība ir atgriezusies ierastajā ritmā. Maksājumu pakalpojumu sniedzējs sazinās ar Komisiju pirms minētā termiņa iestāšanās, ja ir nepieciešams šā termiņa pagarinājums, un norāda kavējuma pamatojumu, kā arī jaunu paredzamo noslēguma ziņojuma datumu.

27. Maksājumu pakalpojumu sniedzējs nosūta noslēguma ziņojumu arī tad, ja incidenta novērtēšanas rezultātā konstatē, ka incidents, par kuru jau ir ziņots, vairs neatbilst kritērijiem, pēc kuriem tas atzīts par būtisku, un nav sagaidāms, ka tas atbildīs minētajiem kritērijiem pirms tā novēršanas. Maksājumu pakalpojumu sniedzējs nosūta noslēguma ziņojumu, tiklīdz šis apstāklis ir konstatēts, bet ne vēlāk kā līdz paredzētajam nākamā ziņojuma datumam. Aizpildot Ziņojuma veidlapas C sadaļu, maksājumu pakalpojumu sniedzējs atzīmē lodziņu "incidents pārklasificēts kā nebūtisks" un paskaidro iemeslus, kas pamato šādu pazemināšanu.

Finanšu un kapitāla tirgus komisijas
priekšsēdētāja vietniece G. Razāne

Pielikums
Finanšu un kapitāla tirgus komisijas 26.09.2018. normatīvajiem noteikumiem Nr. 157
"Normatīvie noteikumi par ziņošanu par būtiskiem maksājumu pakalpojumu incidentiem"

KLASIFIKĀCIJA: IEROBEŽOTA PIEEJAMĪBA

(CLASSIFICATION: RESTRICTED)

Ziņojums par būtisku incidentu (Major Incident Report)

KONSOLIDĒTAIS ZIŅOJUMS – MAKSĀJUMU PAKALPOJUMU SNIEDZĒJU SARAKSTS (CONSOLIDATED REPORT - LIST OF PSPs)
Nosaukums (Name)	Reģistrācijas numurs (Unique Identification Number)	Licences/atļaujas numurs (Authorisation number)

NORĀDES PAR FORMU AIZPILDĪŠANU

Maksājumu pakalpojumu sniedzējs aizpilda atbilstošās veidlapas sadaļas atkarībā no aktuālā ziņošanas posma: A sadaļa – sākotnējam ziņojumam, B sadaļa – starpposma ziņojumiem, bet C sadaļa – noslēguma ziņojumam. Visi lauki ir jāaizpilda obligāti, ja vien nav skaidri norādīts citādi.

Virsraksts

Ziņojuma datums un laiks: precīzs datums un laiks, kad ziņojums tiek iesniegts Komisijai.

Incidenta identifikācijas numurs, ja piemērojams (starpposma un noslēguma ziņojumam): atsauces numurs, ko Komisija piešķir sākotnējā ziņojuma laikā, lai attiecīgā gadījumā nepārprotami identificētu incidentu.

A – sākotnējais ziņojums

A 1 – vispārēji dati

Ziņojuma veids:

Individuāls: ziņojums attiecas uz vienu maksājumu pakalpojumu sniedzēju.

Konsolidēts: ziņojums attiecas uz vairākiem maksājumu pakalpojumu sniedzējiem, izmantojot konsolidētās ziņošanas iespēju. Laukus "Ietekmētais maksājumu pakalpojumu sniedzējs" atstāj neaizpildītus (izņemot lauku "Incidenta ietekmētā(-ās) valsts/valstis"), un ziņojumā ietver maksājumu pakalpojumu sniedzēju sarakstu, aizpildot atbilstošo tabulu (Konsolidētais ziņojums – maksājumu pakalpojumu sniedzēju saraksts).

Ietekmētais maksājumu pakalpojumu sniedzējs: attiecas uz maksājumu pakalpojumu sniedzēju, kuram radies incidents.

Nosaukums: tā maksājumu pakalpojumu sniedzēja pilns nosaukums, kurš veic ziņošanas procedūru.

Grupas vadošais uzņēmums: sabiedrību grupu gadījumā norāda galvenās sabiedrības nosaukumu.

Piederības valsts: dalībvalsts, kurā atrodas maksājumu pakalpojumu sniedzēja juridiskā adrese; vai, ja maksājumu pakalpojumu sniedzējam saskaņā ar valsts tiesību aktiem nav juridiskās adreses, dalībvalsts, kurā atrodas maksājumu pakalpojumu sniedzēja galvenais birojs.

Incidenta ietekmētā(-ās) valsts/valstis: valsts vai valstis, kur ir radusies incidenta ietekme (piem., ir ietekmētas vairākas maksājumu pakalpojumu sniedzēja filiāles, kas atrodas dažādās valstīs). Tā var būt vai var nebūt tā pati valsts, kas ir piederības dalībvalsts.

Primārā kontaktpersona: ietekmētā maksājumu pakalpojumu sniedzēja tās personas vārds un uzvārds, kas ir atbildīga par ziņošanu par incidentu, vai, ja ietekmētā maksājumu pakalpojumu sniedzēja uzdevumā ziņošanu veic trešā persona, tad par incidenta pārvaldību/riska nodaļu vai tamlīdzīgu jomu atbildīgās personas vārds un uzvārds.

E-pasts: e-pasta adrese, uz kuru pēc vajadzības var nosūtīt pieprasījumus sniegt papildu skaidrojumus.

Tālrunis: tālruņa numurs, uz kuru zvanīt, lai pēc vajadzības pieprasītu sniegt papildu skaidrojumus.

Sekundārā kontaktpersona: tādas citas personas vārds un uzvārds, ar kuru kompetentā iestāde var sazināties, lai uzzinātu par incidentu, ja primārā kontaktpersona nav sasniedzama. Ja ietekmētā maksājumu pakalpojumu sniedzēja uzdevumā ziņojumu iesniedz trešā persona, tādas citas personas vārds un uzvārds ietekmētajā maksājumu pakalpojumu sniedzējā, kas pārstāv incidenta pārvaldības/riska nodaļu vai tamlīdzīgu jomu.

E-pasts: citas kontaktpersonas e-pasta adrese, uz kuru pēc vajadzības var nosūtīt pieprasījumus sniegt papildu skaidrojumus.

Tālrunis: citas kontaktpersonas tālruņa numurs, uz kuru zvanīt, lai pēc vajadzības pieprasītu sniegt papildu skaidrojumus.

Ziņošanas iestāde: šo sadaļu aizpilda, ja ietekmētā maksājumu pakalpojumu sniedzēja uzdevumā ziņošanas pienākumus pilda trešā persona.

Ziņošanas iestādes nosaukums: tās iestādes pilns nosaukums, kas ziņo par incidentu.

Reģistrācijas numurs, ja atbilstoši: atbilstošais unikālais identifikācijas numurs, kuru izmanto valstī, kurā atrodas trešā persona, lai identificētu iestādi, kas ziņo par incidentu, un kuru piešķir ziņošanas iestāde, ja nav aizpildīts lauks "Licences/atļaujas numurs".

Licences/atļaujas numurs, ja piemērojams: trešās personas atļaujas numurs atrašanās vietas valstī, ja piemērojams.

Primārā kontaktpersona: tās personas vārds un uzvārds, kas ir atbildīga par ziņošanu par incidentu.

E-pasts: e-pasta adrese, uz kuru pēc vajadzības var nosūtīt pieprasījumus sniegt papildu skaidrojumus.

Tālrunis: tālruņa numurs, uz kuru zvanīt, lai pēc vajadzības pieprasītu sniegt papildu skaidrojumus.

Sekundārā kontaktpersona: tādas citas personas vārds un uzvārds iestādē, kas ziņo par incidentu, ar kuru var sazināties, ja primārā kontaktpersona nav sasniedzama.

E-pasts: citas kontaktpersonas e-pasta adrese, uz kuru pēc vajadzības var nosūtīt pieprasījumus sniegt papildu skaidrojumus.

Tālrunis: citas kontaktpersonas tālruņa numurs, uz kuru zvanīt, lai pēc vajadzības pieprasītu sniegt papildu skaidrojumus.

A 2 – incidenta konstatēšana un sākotnējā klasifikācija

Incidenta konstatēšanas datums un laiks: datums un laiks, kad incidents pirmoreiz tika konstatēts.

Incidentu konstatēja: norāda, vai incidentu konstatēja maksājumu pakalpojumu izmantotājs, cita persona maksājumu pakalpojumu sniedzēja ietvaros (piem., veicot iekšējās revīzijas funkciju) vai ārēja persona (piem., ārējs pakalpojumu sniedzējs). Ja tas nebija neviens no uzskaitītajiem, lūdzu, atbilstošajā laukā sniedziet paskaidrojumu.

Incidenta īss, vispārīgs incidenta apraksts: lūdzu, īsi aprakstiet būtiskākās incidenta problēmas, norādot iespējamos cēloņus, tūlītējo ietekmi utt.

Kad ir paredzēts nākamais atjauninājums?: norādiet nākamā atjauninājuma (starpposma vai noslēguma ziņojuma) paredzēto iesniegšanas datumu un laiku.

B – starpposma ziņojums

B 1 – vispārēji dati

Detalizētāks incidenta apraksts: apraksta incidenta galvenās iezīmes, ietverot vismaz norādītos punktus (kāda ir konkrētā problēma, ar ko sastopas maksājumu pakalpojumu sniedzējs, kā tā sākās un turpinājās, iespējamā saikne ar iepriekš notikušu incidentu, sekas, it īpaši attiecībā uz maksājumu pakalpojumu izmantotājiem utt.).

Incidenta sākuma datums un laiks: datums un laiks, kad incidents sākās, ja zināms.

Incidenta statuss:

Diagnostika: incidenta iezīmes ir tikko identificētas.

Labošana: uzbrukuma skartie objekti tiek pārkonfigurēti.

Atgūšana: objekti, kuriem radusies kļūme, tiek atjaunoti pēdējā atgūstamajā stāvoklī.

Atjaunošana: atkal tiek nodrošināts ar maksājumu saistītais pakalpojums.

Datums un laiks, kad incidents tika novērsts vai kad ir paredzams, ka tas tiks novērsts: norāda datumu un laiku, kad incidents tika novērsts vai kad ir paredzams, ka tas tiks kontrolēts, un kad pakalpojumu darbība noritēja vai kad ir paredzēts, ka tā noritēs, kā ierasts.

B 2 – incidenta klasifikācija / informācija par incidentu

Kopējā ietekme: norāda, kuras dimensijas incidents ir ietekmējis. Var atzīmēt vairākus lodziņus.

Integritāte: informācijas un tās apstrādes metožu precizitāte, pareizība un pilnīgums.

Pieejamība: iespēja pilnvarotām personām lietot pakalpojumus noteiktā laikā un vietā.

Konfidencialitāte: piekļuves informācijai nodrošināšana tikai pilnvarotām personām.

Autentiskums: īpašība, kas nozīmē, ka izcelsme atbilst apgalvotajam.

Nepārtrauktība: īpašība, kas nozīmē, ka organizācijas procesi, uzdevumi un aktīvi, kas nepieciešami, lai nodrošinātu ar maksājumu saistītus pakalpojumus, ir pilnībā pieejami un darbojas pieņemamos un iepriekš noteiktos līmeņos.

Ietekmētie darījumi: norāda, kuras robežvērtības, ja tādas ir, incidents sasniedz vai, visticamāk, sasniegs, kā arī saistītie rādītāji – ietekmēto darījumu skaits, ietekmētie darījumi procentuāli no kopējā to maksājumu darījumu skaita, kas veikti, izmantojot tos pašus maksājumu pakalpojumus, kurus incidents ir ietekmējis, kā arī kopējā darījumu vērtība.
Sniedz konkrētas šo mainīgo vērtības, kas var būt gan faktiskie skaitļi, gan aplēses.
Iestādes, kas ziņo vairāku maksājumu pakalpojumu sniedzēju uzdevumā (t. i., konsolidētā ziņošana), var norādīt vērtību intervālus, norādot zemākās un augstākās novērotās vai aplēstās vērtības ziņojumā ietverto maksājumu pakalpojumu sniedzēju grupā, atdalot tās ar defisi.
Parasti jēdzienu "ietekmētie darījumi" izprot kā visus pašmāju un pārrobežu darījumus, kurus incidents ir tieši vai netieši ietekmējis vai, visticamāk, ietekmēs, jo īpaši tos darījumus, kurus nav bijis iespējams uzsākt vai apstrādāt, kuriem tika izmainīts maksājuma ziņojuma saturs un kuri tika pasūtīti krāpnieciski (neatkarīgi no tā, vai līdzekļi ir atgūti vai nav).
Jēdzienu "maksājumu darījumu ierastais līmenis" izprot kā to ikdienas pašmāju un pārrobežu maksājumu darījumu vidējo skaitu gadā, kurus veic, izmantojot tos pašus maksājumu pakalpojumus, kurus ietekmēja incidents, par atsauces periodu aprēķiniem izmantojot iepriekšējo gadu.
Ja maksājumu pakalpojumu sniedzējs neuzskata, ka šis rādītājs ir reprezentatīvs (piem., sezonalitātes dēļ), tā vietā izmanto citu reprezentatīvāku rādītāju un laukā "Komentāri" sniedz šādas pieejas pamatojumu.

Ietekmētie maksājumu pakalpojumu izmantotāji: norāda robežvērtības, ja tādas ir, kuras incidentā ir sasniegtas vai, visticamāk, tiks sasniegtas, kā arī saistītos rādītājus – kopējo ietekmēto maksājumu pakalpojumu izmantotāju skaitu un ietekmēto maksājumu pakalpojumu izmantotāju skaitu procentuāli no kopējā maksājumu pakalpojumu izmantotāju skaita. Sniedz konkrētas šo mainīgo vērtības, kas var būt gan faktiskie skaitļi, gan aplēses.
Iestādes, kas ziņo vairāku maksājumu pakalpojumu sniedzēju uzdevumā (t. i., konsolidētā ziņošana), var norādīt vērtību intervālus, norādot zemākās un augstākās novērotās vai aplēstās vērtības ziņojumā ietverto maksājumu pakalpojumu sniedzēju grupā, atdalot tās ar defisi.
Jēdzienu "ietekmētie maksājumu pakalpojumu izmantotāji" izprot kā visus klientus (pašmāju un ārvalstu, patērētāji un uzņēmumi), kuriem ir noslēgts līgums, kas tiem piešķir piekļuvi ietekmētajam maksājumu pakalpojumam, un kuri ir cietuši vai, visticamāk, cietīs no incidenta sekām.
Aplēses balsta uz iepriekšējām norisēm, lai noteiktu to maksājumu pakalpojumu izmantotāju skaitu, kuri, iespējams, incidenta pastāvēšanas laikā ir izmantojuši minēto maksājumu pakalpojumu.
Grupu gadījumā katram maksājumu pakalpojumu sniedzējs ņem vērā tikai paša maksājumu pakalpojumu izmantotājus. Ja maksājumu pakalpojumu sniedzējs piedāvā darbības pakalpojumus citiem, ņem vērā tikai savus maksājumu pakalpojumu izmantotājus (ja tādi ir) un tiem maksājumu pakalpojumu sniedzējiem, kuri saņem šos darbības pakalpojumus, novērtē incidentu saistībā ar saviem maksājumu pakalpojumu izmantotājiem.
Kā kopējo maksājumu pakalpojumu izmantotāju skaitu pieņem to pašmāju un pārrobežu maksājumu pakalpojumu izmantotāju kopskaitu, ar kuriem incidenta laikā ir bijušas noslēgtas līgumattiecības (vai arī visnesenākais pieejamais rādītājs) un kuriem ir pieeja ietekmētajam maksājumu pakalpojumam neatkarīgi no to lieluma un no tā, vai tie ir uzskatāmi par aktīviem vai pasīviem maksājumu pakalpojumu izmantotājiem.

Pakalpojuma dīkstāve: norāda, vai incidentā ir sasniegta vai, visticamāk, tiks sasniegta robežvērtība, kā arī saistītais rādītājs – kopējā pakalpojuma dīkstāve. Sniedz konkrētas šā mainīgā vērtības, kas var būt gan faktiskie skaitļi, gan aplēses. Iestāde, kas ziņo vairāku maksājumu pakalpojumu sniedzēju uzdevumā (t. i., konsolidētā ziņošana), var norādīt vērtību intervālu, norādot zemākās un augstākās novērotās vai aplēstās vērtības ziņojumā ietverto maksājumu pakalpojumu sniedzēju grupā, atdalot tās ar defisi. Ņem vērā laiku, kurā jebkurš uzdevums, process vai kanāls, kas ir saistīts ar maksājumu pakalpojumu sniegšanu, nav vai, visticamāk, nebūs pieejams, tādējādi liedzot
i) uzsākt un/vai veikt maksājumu pakalpojumu un/vai
ii) piekļūt maksājumu kontam.
Pakalpojuma dīkstāvi aprēķina no brīža, kad dīkstāve sākas, un ņem vērā gan laiku, kurā tie ir atvērti pakalpojumu darbībai, kas nepieciešama maksājumu pakalpojumu izpildei, gan arī laiku ārpus darba laika un uzturēšanas laiku, ja tas ir atbilstoši un piemērojami. Ja nevar noteikt, kad pakalpojuma dīkstāve ir sākusies, viņiem izņēmuma kārtā pakalpojuma dīkstāve ir jāaprēķina no brīža, kad tas tika konstatēts.

Ekonomiskā ietekme: norāda, vai incidentā ir sasniegta vai, visticamāk, tiks sasniegta robežvērtība, kā arī saistītie rādītāji – tiešās izmaksas un netiešās izmaksas. Sniedz konkrētas šo mainīgo vērtības, kas var būt gan faktiskie skaitļi, gan aplēses. Iestādes, kas ziņo vairāku maksājumu pakalpojumu sniedzēju uzdevumā (t. i., konsolidētā ziņošana), var norādīt vērtību intervālu, norādot zemākās un augstākās novērotās vai aplēstās vērtības ziņojumā ietverto maksājumu pakalpojumu sniedzēju grupā, atdalot tās ar defisi. Ņem vērā izmaksas, kas var būt gan tieši, gan netieši saistītas ar incidentu. Ņem vērā arī ekspropriētos līdzekļus vai aktīvus, aparatūras vai programmatūras aizstāšanas izmaksas, citas tiesu vai atlīdzināšanas izmaksas, maksas, kas piemērotas līgumsaistību neizpildes dēļ, sankcijas, ārējās saistības un zaudētos ieņēmumus. Attiecībā uz netiešajām izmaksām ņem vērā tikai tās izmaksas, kas jau ir zināmas vai, visticamāk, radīsies.

Tiešās izmaksas: incidenta tiešo izmaksu naudas summa (EUR), tostarp līdzekļi, kas nepieciešami incidenta novēršanai (piem., ekspropriēti līdzekļi vai aktīvi, aparatūras un programmatūras nomaiņas izmaksas, izdevumi attiecībā uz līgumsaistību neizpildi).

Netiešās izmaksas: incidenta netiešo izmaksu summa (EUR) (piem., klientu tiesiskā aizsardzība/kompensācijas izmaksas, neizmantotu pakalpojumu darbības iespēju rezultātā zaudēti ieņēmumi).

Augsts iekšējās eskalācijas līmenis: izvērtē, vai par incidentu, tāpēc ka tas ietekmē ar maksājumiem saistītus pakalpojumus, (visticamāk) tiks informēta vadība ārpus periodiskās ziņošanas procedūras un nepārtraukti incidenta pastāvēšanas laikā.
Deleģētās ziņošanas gadījumā eskalācija notiek trešās personas ietvaros. Apsver, vai incidents ietekmē ar maksājumiem saistītus pakalpojumus tā, ka tā rezultātā ir noteikts vai, visticamāk, tiks noteikts krīzes režīms.

Citi iespējami ietekmēti maksājumu pakalpojumu sniedzēji vai attiecīgās infrastruktūras: maksājumu pakalpojumu sniedzēji novērtē incidenta ietekmi uz finanšu tirgu, ar ko saprot finanšu tirgus infrastruktūras un/vai karšu maksājumu shēmas, kuras atbalsta tos un citus maksājumu pakalpojumu sniedzējus.
Novērtē, vai incidents (visticamāk) tiks replicēts citiem maksājumu pakalpojumu sniedzējiem neatkarīgi no tā, vai tas ir ietekmējis vai, visticamāk, ietekmēs finanšu tirgus infrastruktūru nevainojamu funkcionēšanu un vai tas ir negatīvi ietekmējis vai, visticamāk, negatīvi ietekmēs finanšu sistēmas stabilu darbību kopumā.
Ņem vērā dažādas dimensijas, piemēram, vai ietekmētais komponents/programmatūra ir patentēti vai vispārpieejami, vai negatīvi ietekmētais tīkls ir iekšējs vai ārējs un vai maksājumu pakalpojumu sniedzējs ir pārtraucis vai, visticamāk, pārtrauks pildīt savus pienākumus tajās finanšu tirgus infrastruktūrās, kurās tas ir dalībnieks.

Ietekme uz reputāciju: ņem vērā atpazīstamības līmeni, kuru (pēc to rīcībā esošās informācijas) incidents ir panācis vai, visticamāk, panāks tirgū. Ņem vērā varbūtību, ka incidents izraisīs kaitējumu sabiedrībai kā piemērots rādītājs tā potenciālam ietekmēt reputāciju.
Ņem vērā, vai
i) incidents ir ietekmējis redzamu procesu un tāpēc, visticamāk, tiks apskatīts vai jau ir apskatīts plašsaziņas līdzekļos (ņemot vērā ne tikai tradicionālos plašsaziņas līdzekļus, piem., laikrakstus, bet arī emuārus, sociālos tīklus utt.),
ii) nav ievērotas vai, visticamāk, netiks ievērotas normatīvās prasības,
iii) sankcijas ir vai, visticamāk, tiks pārkāptas vai
iv) iepriekš ir noticis tāda paša veida incidents.

B 3 – incidenta apraksts

Incidenta veids: norāda, vai tas ir operacionālais vai drošības incidents.

Operacionālais incidents: incidents, kas izriet no neatbilstošiem vai kļūdainiem procesiem, cilvēku un sistēmu kļūdām vai nepārvaramas varas apstākļiem, kuri ietekmē ar maksājumiem saistītu apstākļu integritāti, pieejamību, konfidencialitāti, autentiskumu un/vai nepārtrauktību.

Drošības incidents: neatļauta piekļuve maksājumu pakalpojumu sniedzēja aktīviem, neatļauta to izmantošana, izpaušana, pārtraukšana, modificēšana vai iznīcināšana, kā rezultātā var būt ietekmēta ar maksājumiem saistītu pakalpojumu integritāte, pieejamība, konfidencialitāte, autentiskums un/vai nepārtrauktība. Tas var notikt, ja cita starpā pret maksājumu pakalpojumu sniedzēju tiek veikti kiberuzbrukumi, ja drošības politiku dizains vai īstenošana nav adekvāta vai fiziskā drošība nav adekvāta.

Incidenta cēlonis: norāda incidenta cēloni vai, ja tas vēl nav zināms, visticamāko cēloni. Var atzīmēt vairākus lodziņus.

Tiek izmeklēts: cēlonis vēl nav noskaidrots.

Ārējs uzbrukums: cēloņa avots ir ārējs, un tā mērķis ir maksājumu pakalpojumu sniedzējs (piem., ļaunprogrammatūru uzbrukumi).

Iekšējs uzbrukums: cēloņa avots ir iekšējs, un tā mērķis ir maksājumu pakalpojumu sniedzējs (piem., iekšējā krāpšana).

Uzbrukuma veids:

Izplatīšanas/pakalpojuma atteikuma (I/PA): mēģinājums padarīt tiešsaistes pakalpojumu nepieejamu, pārslogojot to ar datplūsmu no vairākiem avotiem.

Iekšējo sistēmu inficēšana: kaitnieciska darbība, uzbrūkot datorsistēmām, cenšoties nozagt vietu cietajā diskā vai centrālā procesora (CPU) laiku, piekļūt privātai informācijai, sabojāt datus, sūtīt surogātpastu kontaktiem utt.

Mērķtiecīga uzlaušana: neatļauta izspiegošana, okšķerēšana un informācijas zagšana kibertelpā.

Cits: cita veida uzbrukums, no kura maksājumu pakalpojumu sniedzējs ir cietis vai nu tieši, vai ar pakalpojumu sniedzēja starpniecību. It īpaši, ja ir bijis uzbrukums, kura mērķis ir autorizēšanās un autentificēšanās process, atzīmē šo lodziņu. Detalizētāku informāciju pievieno brīvajā teksta laukā.

Ārēji notikumi: cēlonis ir saistīts ar notikumiem, kas galvenokārt ir ārpus organizācijas kontroles (piem., dabas katastrofas, tiesiskas problēmas, pakalpojumu darbības problēmas un atkarība no pakalpojumiem).

Cilvēka kļūda: incidentu izraisījusi cilvēka netīša kļūda, kas ir vai nu maksājumu procesa daļa (piem., augšupielādē nepareizu maksājumu pakešdatni maksājumu sistēmā), vai ir ar to kādā veidā saistīta (piem., nejauši ir atslēgta elektropadeve un maksājuma darbība ir apturēta).

Procesa kļūme: incidenta cēlonis ir neatbilstošs maksājuma procesa dizains vai izpilde, procesa kontroles un/vai atbalsta procesi (piem., maiņas/migrēšanas, pārbaudes, konfigurēšanas, veiktspējas, novērošanas process).

Sistēmas kļūme: incidenta cēlonis ir saistīts ar to sistēmu nepiemērotu dizainu, izpildi, komponentiem, specifikācijām, integrāciju vai komplicētību, kas atbalsta maksājuma darbību.

Cits: incidenta cēlonis, kas nav neviens no iepriekš uzskaitītajiem. Papildu datus norāda brīvajā teksta laukā.

Vai incidents jūs ietekmēja tieši vai netieši – ar pakalpojumu sniedzēja starpniecību?: incidenta mērķis var būt maksājumu pakalpojumu sniedzējs tieši, vai arī tas var ietekmēt maksājumu pakalpojumu sniedzēju netieši ar trešās personas starpniecību. Netiešas ietekmes gadījumā, norāda pakalpojumu sniedzēja(-u) nosaukumu.

B 4 – incidenta ietekme

Ietekmētā(-ās) ēka(-as) (adrese), ja piemērojams: ja ir ietekmēta fiziska ēka, lūdzu, norādiet tās adresi.

Ietekmētie komerckanāli: norāda kanālu vai kanālus, pa kuriem mijiedarbojas ar maksājumu pakalpojumu izmantotājiem, kurus ir ietekmējis incidents. Var atzīmēt vairākus lodziņus.

Filiāles: pakalpojumu darbības vieta (kas nav galvenais birojs), kas ir maksājumu pakalpojumu sniedzēja daļa bez juridiskas personas statusa un kas nepastarpināti veic dažus vai vairākus darījumus, kuri veido maksājumu pakalpojumu sniedzēja pakalpojumu darbības neatņemamu sastāvdaļu. Visas pakalpojumu darbības vietas, ko vienā dalībvalstī ir izveidojis maksājumu pakalpojumu sniedzējs, kura mītne atrodas citā dalībvalstī, uzskata par vienu filiāli.

Bankas pakalpojumi tiešsaistē: datoru izmantošana, lai tiešsaistē veiktu finanšu darījumus.

Telefonbanka: telefonu izmantošana, lai veiktu finanšu darījumus.

Mobilā banka: bankas pakalpojumu lietotnes izmantošana viedtālrunī vai tamlīdzīgā ierīcē, lai veiktu finanšu darījumus.

Bankomāti: elektromehāniskas ierīces, kas ļauj maksājumu pakalpojumu izmantotājiem izņemt skaidru naudu no saviem kontiem un/vai piekļūt citiem pakalpojumiem.

Pārdošanas punkts: komersanta fiziska telpa, kurā tiek sākts maksājuma darījums.

Cits: ietekmētais komercijas kanāls, kas nav neviens no iepriekš uzskaitītajiem. Papildu datus norāda brīvajā teksta laukā.

Ietekmētie maksājumu pakalpojumi: norāda tos maksājumu pakalpojumus, kuri incidenta dēļ nedarbojas atbilstoši. Var atzīmēt vairākus lodziņus.

Naudas ieskaitīšana maksājumu kontā: skaidras naudas nodošana maksājumu pakalpojumu sniedzējam, lai to ieskaitītu maksājumu kontā.

Naudas izņemšana no maksājumu konta: pieprasījums, ko maksājumu pakalpojumu sniedzējs saņem no sava maksājumu pakalpojumu izmantotāja, izsniegt skaidru naudu un debitēt tā maksājumu kontu par atbilstošu summu.

Rīcībai ar maksājumu kontu nepieciešamās darbības: darbības, ko veic maksājumu kontā, lai aktivizētu, deaktivizētu un/vai uzturētu to (piem., atvēršana, bloķēšana).

Maksājumu instrumentu iegūšana: maksājumu pakalpojums, kas ietver maksājumu pakalpojumu sniedzēja vienošanos ar naudas saņēmēju par maksājumu darījumu akceptēšanu un apstrādāšanu, kā rezultātā naudas saņēmējam tiek pārskaitīti naudas līdzekļi.

Kredīta pārvedumi: maksājumu pakalpojums naudas saņēmēja maksājumu konta kreditēšanai, izmantojot maksājumu darījumu vai vairākus maksājuma darījumus no maksātāja maksājumu konta, ko atbilstoši maksātāja sniegtajām norādēm veic maksājumu pakalpojumu sniedzējs, kurš ir maksātāja maksājumu konta turētājs.

Tiešie debeti: maksājumu pakalpojums maksātāja maksājuma konta debetēšanai, kurā maksājuma darījumu uzsāk maksājuma saņēmējs atbilstoši maksātāja piekrišanai, ko tas sniedzis saņēmējam, saņēmēja maksājumu pakalpojumu sniedzējam vai paša maksātāja maksājumu pakalpojumu sniedzējam.

Karšu maksājumi: maksājumu pakalpojums, kas ir balstīts uz maksājumu kartes shēmas infrastruktūras un pakalpojumu darbības noteikumiem, lai veiktu maksājuma darījumu, izmantojot jebkādu karšu, telekomunikāciju, digitālu vai IT ierīci vai programmatūru, ja tā rezultātā tiek veikts debetkartes vai kredītkartes darījums. Uz kartēm balstīti maksājumu darījumi neietver darījumus, kas balstīti uz cita veida maksājumu pakalpojumiem.

Maksājumu instrumentu izdošana: maksājumu pakalpojums, kas ietver maksājumu pakalpojumu sniedzēja vienošanos ar maksātāju nodrošināt tam maksājumu instrumentu, ar kuru uzsākt un apstrādāt maksātāja maksājumu darījumus.

Naudas pārvedums: maksājumu pakalpojums, ar ko līdzekļus saņem no maksātāja, neizveidojot maksājuma kontus uz maksātāja vai saņēmēja vārda, un kura vienīgais mērķis ir pārskaitīt atbilstošu summu saņēmējam vai citam maksājumu pakalpojumu sniedzējam, kas rīkojas saņēmēja vārdā, un/vai ar kuru šādus līdzekļus saņem saņēmēja vārdā un padara tos saņēmējam pieejamus.

Maksājuma sākšanas pakalpojumi: maksājumu pakalpojumi, ar ko uzsāk maksājuma rīkojumu pēc maksājumu pakalpojuma izmantotāja pieprasījuma attiecībā uz maksājumu kontu, kura turētājs ir cits maksājumu pakalpojumu sniedzējs.

Konta informācijas pakalpojumi: tiešsaistes maksājumu pakalpojumi, ar ko sniedz konsolidētu informāciju par vienu vai vairākiem maksājumu kontiem, kuru turētājs ir maksājumu pakalpojumu izmantotājs vai nu citā maksājumu pakalpojumu sniedzējā, vai vairākos maksājumu pakalpojumu sniedzējos.

Cits: ietekmētais maksājumu pakalpojums, kas nav neviens no iepriekš uzskaitītajiem. Papildu datus norāda brīvajā teksta laukā.

Ietekmētās funkcionālās jomas: norāda maksājumu procesa darbību vai darbības, kuras incidents ir ietekmējis. Var atzīmēt vairākus lodziņus.

Autentifikācija/autorizācija: procedūras, kas ļauj maksājumu pakalpojumu sniedzējam pārbaudīt maksājumu pakalpojumu izmantotāja identitāti vai konkrēta maksājumu instrumenta lietošanas derīgumu, tostarp izmantotāja personalizēto drošības datu lietošanu un maksājumu pakalpojumu sniedzēja (vai trešās personas, kas rīkojas šā izmantotāja vārdā) piekrišanu pārskaitīt līdzekļus vai vērtspapīrus.

Komunikācija: informācijas plūsma identificēšanas, autentifikācijas, paziņošanas un informēšanas nolūkā starp maksājumu pakalpojumu sniedzēju, kas apkalpo kontu, un maksājuma sākšanas pakalpojumu sniedzējiem, konta informācijas pakalpojumu sniedzējiem, maksātājiem, saņēmējiem un citiem maksājumu pakalpojumu sniedzējiem.

Klīrings: pārskaitījumu rīkojumu pārskaitīšanas, salīdzināšanas un – atsevišķos gadījumos – apstiprināšanas process pirms norēķiniem, potenciāli ietverot rīkojumu ieskaitu un norēķina gala posteņu noteikšanu.

Tiešais norēķins: darījuma vai apstrādes pabeigšana ar mērķi dzēst dalībnieku pienākumus, pārskaitot līdzekļus, kad šo darbību veic pats ietekmētais maksājumu pakalpojumu sniedzējs.

Netiešie norēķini: darījuma vai apstrādes pabeigšana ar mērķi dzēst dalībnieku pienākumus, pārskaitot līdzekļus, kad šo darbību veic cits maksājumu pakalpojumu sniedzējs ietekmētā maksājumu pakalpojumu sniedzēja vārdā.

Cits: ietekmētā funkcionālā joma, kas nav neviena no iepriekš uzskaitītajām. Papildu datus norāda brīvajā teksta laukā.

Ietekmētās sistēmas un komponenti: norāda, kuru maksājumu pakalpojumu sniedzējs tehnoloģiskās infrastruktūras daļu vai daļas ir ietekmējis incidents. Var atzīmēt vairākus lodziņus.

Lietotne/programmatūra: programmas, operētājsistēmas utt., kas atbalsta maksājumu pakalpojumu sniedzēja nodrošināto maksājumu pakalpojumu sniegšanu.

Datubāze: datu struktūra, kas uzglabā personisku un maksājumu informāciju, kura nepieciešama, lai izpildītu maksājumu darbības.

Aparatūra: fiziskais tehnoloģiskais aprīkojums, kas darbina procesus un/vai uzglabā datus, kuri nepieciešami maksājumu pakalpojumu sniedzējam, lai veiktu ar maksājumiem saistītās darbības.

Tīkls/infrastruktūra: publiski vai privāti telekomunikāciju tīkli, kas maksājumu procesa laikā ļauj apmainīties ar datiem un informāciju (piem., tīmeklis).

Cits: ietekmētā sistēma vai komponents, kas nav neviens no iepriekš uzskaitītajiem. Papildu datus norāda brīvajā teksta laukā.

Ietekmētais personāls: norāda, vai incidents ir ietekmējis maksājumu pakalpojumu sniedzēja personālu, un, ja jā, sniedz detalizētākas ziņas brīvajā teksta laukā.

B 5 – incidenta seku mazināšana

Kādas darbības/pasākumi līdz šim ir veikti vai ir plānoti, lai atgūtos pēc incidenta? Norāda datus par darbībām, kuras ir veiktas vai kuras ir plānots veikt, lai īstermiņā risinātu problēmas saistībā ar incidentu.

Vai ir aktivizēti pakalpojumu darbības nepārtrauktības plāni un/vai negadījuma seku novēršanas plāni? Norāda, vai tie ir vai nav aktivizēti, un, ja ir, tad sniedz visbūtiskākās ziņas par to, kas notika (t. i., kad plāni tika aktivizēti un kas tajos bija iekļauts).

Vai maksājumu pakalpojumu sniedzējs incidenta dēļ ir atcēlis vai samazinājis kādas kontroles? Norāda, vai bija jāignorē atsevišķas kontroles (piem., jāpārstāj piemērot četru acu principu), lai atrisinātu problēmu saistībā ar incidentu, un, ja jā, sniedz ziņas par pamatcēloņiem, kas pamato kontroļu samazināšanu vai atcelšanu.

C – noslēguma ziņojums

C 1 – vispārēji dati

Starpposma ziņojumā norādītās informācijas atjaunināšana (kopsavilkums): papildinformācija par veiktajām darbībām, lai atgūtos no incidenta un novērstu tā atkārtošanos, par pirmcēloņa analīzi, gūto pieredzi utt.

Incidenta slēgšanas datums un laiks: datums un laiks, kad tika uzskatīts, ka incidents ir slēgts.

Vai ir atjaunotas sākotnējās kontroles? Ja incidenta dēļ bija jāatceļ vai jāsamazina kontroles, norāda, vai šādas kontroles ir atjaunotas, un sniedz jebkādu papildinformāciju brīvajā teksta laukā.

C 2 – pirmcēloņu analīze un vēlākie pasākumi

Kāds bija pirmcēlonis, ja ir jau zināms? Skaidrojums par incidenta pirmcēloni vai, ja tas vēl nav zināms, pagaidu slēdzieni, kas gūti pirmcēloņa analīzes procesā. Pievieno datni, kurā ir norādīta sīkāka informācija, ja tas ir nepieciešams.

Galvenā veiktā vai plānotā koriģējošā rīcība/pasākumi, lai novērstu incidenta atkārtošanos, ja jau ir zināmi: galveno veikto vai plānoto rīcību, lai novērstu incidenta turpmāku atkārtošanos, apraksts.

C 3 – papildinformācija

Vai informācija par incidentu ir darīta zināma citiem maksājumu pakalpojumu sniedzējiem informācijas nolūkā? Sniegt pārskatu par maksājumu pakalpojumu sniedzējiem, ar kuriem ir veikta oficiāla vai neoficiāla saziņa, lai informētu par incidentu, norādot to maksājumu pakalpojumu sniedzēju datus, kuri ir informēti, un informāciju, kas tika darīta zināma, kā arī iemeslus šādas informācijas kopīgošanai.

Vai pret maksājumu pakalpojumu sniedzēju ir vērstas tiesiskas darbības? Norāda, vai noslēguma ziņojuma aizpildīšanas laikā maksājumu pakalpojumu sniedzējs incidenta dēļ ir cietis no tiesiskām darbībām (piem., ir iesniegta prasība tiesā vai ir zaudēta licence).