- Правова система ipLex360
- Законодавство
- Постанова
ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ
ПОСТАНОВА
Про затвердження Положення про автентифікацію та застосування посиленої автентифікації на платіжному ринку
Відповідно до
статей 7,
15,
56 Закону України "Про Національний банк України",
статті 68 Закону України "Про платіжні послуги", з метою встановлення для надавачів платіжних послуг вимог щодо порядку застосування автентифікації і посиленої автентифікації та забезпечення електронної взаємодії між суб'єктами платіжних операцій Правління Національного банку України ПОСТАНОВЛЯЄ:
1. Затвердити Положення про автентифікацію та застосування посиленої автентифікації на платіжному ринку (далі - Положення), що додається.
2. Департаменту безпеки (Олександр Паламарчук) після офіційного опублікування довести до відома учасників платіжного ринку інформацію про прийняття цієї постанови.
3. Контроль за виконанням цієї постанови покласти на Голову Національного банку України Андрія Пишного.
4. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування, крім розділу V Положення, який набирає чинності з дня набрання чинності та введення в дію глави 4 розділу IV Закону України
"Про платіжні послуги" .
ЗАТВЕРДЖЕНО
Постанова Правління
Національного банку України
03 травня 2023 року № 58
ПОЛОЖЕННЯ
про автентифікацію та застосування посиленої автентифікації на платіжному ринку
I. Загальні положення
1. Предмет правового регулювання та терміни
Засадничою основою цього Положення є принцип технологічної нейтральності до методів, які можуть використовувати надавачі платіжних послуг з метою застосування посиленої автентифікації користувачів платіжних послуг.
2. Це Положення встановлює для надавачів платіжних послуг вимоги до:
1) застосування автентифікації користувачів платіжних послуг, застосування посиленої автентифікації у випадках, встановлених
Законом про платіжні послуги, а також у випадках, коли надавачі платіжних послуг мають право не вимагати застосування посиленої автентифікації користувачів;
2) захисту конфіденційності та цілісності вразливих платіжних даних;
3) електронної взаємодії на платіжному ринку України між суб'єктами платіжних операцій.
3. Терміни, що використовуються в цьому Положенні, вживаються в таких значеннях:
1) активація - процес, за допомогою якого вразливі платіжні дані, пристрої або програмне забезпечення для цілей автентифікації стають повністю функціональними і готовими до використання користувачем, який має/повинен мати законне право на їх використання;
2) багатоцільовий пристрій - пристрій (планшетний або персональний комп'ютер, мобільний телефон), що використовується для автентифікації користувача платіжної послуги. Після застосування процедури автентифікації багатоцільовий пристрій набуває функціональних можливостей платіжного пристрою, якщо це потрібно для надання платіжної послуги;
3) безпечне інформаційне середовище - середовище, у якому надавач платіжних послуг забезпечує захист конфіденційності, цілісності, доступності та можливість спостережуваності вразливих платіжних даних;
4) віддалений канал - сукупність телекомунікаційних рішень та програмного забезпечення, призначених для інформаційного обміну між територіально віддаленими засобами дистанційної комунікації;
5) відповідальна особа - працівник надавача платіжних послуг, юридична особа, на яку покладено ведення на договірних засадах певного напряму, та/або позаштатний спеціаліст, зареєстрований як фізична особа - суб'єкт підприємницької діяльності, яка провадить підприємницьку діяльність без створення юридичної особи, або самозайнята особа, на яку органом управління надавача платіжних послуг покладено відповідні функції із забезпечення захисту інформації та кіберзахисту, та які володіють знаннями у сферах захисту інформації та кіберзахисту, безпеки переказу коштів та інформаційних технологій;
6) вразливі платіжні дані - індивідуальна облікова інформація, особисті криптографічні ключі, паролі доступу, коди операцій, інша інформація, що зазначається в платіжній інструкції та за допомогою якої можуть вчинятися несанкціоновані або шахрайські дії;
7) заходи безпеки - сукупність заходів з виконання вимог цього Положення та інших вимог, що визначені законами України та нормативно-правовими актами Національного банку України (далі - Національний банк) у сфері захисту інформації та кіберзахисту на платіжному ринку;
8) зловмисне програмне забезпечення - програмне забезпечення, функціонування якого може призвести до порушення безпеки інформації щодо виконання платіжних операцій та вразливих платіжних даних на будь-яких етапах формування, обробки, передавання та зберігання такої інформації, результатом чого є втрата цілісності, конфіденційності, доступності зазначеної інформації, та/або функціонування якого полягає у спостереженні за даними, що формуються, обробляються, передаються та зберігаються під час виконання платіжних операцій або пов'язаних з ними;
9) інтерфейс - сукупність програмно-апаратних засобів, призначених для здійснення функцій електронної взаємодії між різноманітними пристроями та різновидами програмного забезпечення учасників платіжного ринку в інформаційно-телекомунікаційних системах надавача платіжних послуг та/або мережі загального користування з метою застосування процедур автентифікації та надання фінансових та/або нефінансових платіжних послуг;
10) керівник надавача платіжних послуг - призначена згідно зі статутом або рішенням керуючого органу, або безпосередньо власником надавача платіжних послуг посадова особа, відомості про яку внесені до Державного реєстру юридичних осіб, фізичних осіб-підприємців та громадських формувань, та яка діє від імені надавача платіжних послуг, представляє його інтереси в органах державної влади і органах місцевого самоврядування, інших організаціях, а також у відносинах з юридичними особами та громадянами, формує адміністрацію надавача платіжних послуг і вирішує питання діяльності суб'єкта інформаційного захисту в межах та порядку, визначених установчими документами;
11) код автентифікації - результат виконання процедури посиленої автентифікації;
12) МОТО (Mail order/Telephone order) - платіжні операції, що здійснюються шляхом ручного введення реквізитів платіжного інструменту (не платником) та з використанням платіжного пристрою;
13) несанкціоновані або шахрайські дії - вчинення сторонніми особами та/або відповідальними особами дій із втручання в інформаційно-телекомунікаційну систему незаконним та/або протиправним шляхом, що можуть призвести до порушення цілісності, доступності та/або конфіденційності інформації, яка використовується під час надання платіжних послуг;
14) поведінкова модель платника - результат аналізу інформації, що міститься в платіжній інструкції, стосовно прийнятого платником рішення з ініціювання платіжної операції з урахуванням інформації про поведінку платника в минулому щодо використання платіжних послуг;
15) посилена автентифікація - процедура автентифікації користувача, яка передбачає використання двох чи більше сукупностей даних (елементів), що належать до таких різних категорій:
знань [володіння інформацією (даними), що відома лише користувачу]; володінь (застосування матеріального предмета, яким володіє лише користувач);
притаманність [перевірка біометричних даних або інших властивостей (рис, характеристик), притаманних лише користувачу, що відрізняють його від інших користувачів];
16) серія дистанційних платіжних операцій - періодично повторювані платіжні операції, що ініціюються з рахунку платника на користь одного або декількох отримувачів, згоду на виконання яких було попередньо підтверджено платником за допомогою посиленої автентифікації;
17) список довірених отримувачів - перелік отримувачів, який створює користувач платіжних послуг;
18) сторонні особи - будь які фізичні особи та/або юридичні особи, фізичні особи - підприємці, які не є представниками надавача платіжних послуг та яким не надано керівником надавача платіжних послуг права на обробку інформації, пов'язаної з наданням платіжних послуг;
19) унікальний ідентифікатор сеансу електронної взаємодії - поєднання літер, чисел або символів, визначених надавачем платіжних послуг, відповідно до протоколів платіжних і розрахункових систем або систем обміну повідомленнями, що використовуються для електронної взаємодії з та між суб'єктами платіжних операцій, яке надає змогу відстежувати платіжну операцію.
Інші терміни в цьому Положенні вживаються в значеннях, наведених у законах України та нормативно-правових актах Національного банку з питань захисту інформації та кіберзахисту учасників платіжного ринку.
4. Вимоги цього Положення поширюються на надавачів платіжних послуг.
5. Вимоги цього Положення не поширюються на надавачів обмежених платіжних послуг.
6. Контроль за дотриманням вимог цього Положення, законів України та нормативно-правових актів Національного банку, що регламентують порядок проведення платіжних операцій, здійснює Національний банк.
2. Загальні вимоги до автентифікації
7. Електронна взаємодія надавача платіжних послуг із користувачем здійснюється лише після автентифікації користувача платіжних послуг, який є фізичною особою, або уповноваженого представника користувача, який є юридичною особою. Надавач платіжних послуг зобов'язаний застосовувати посилену автентифікацію користувачів платіжних послуг у випадках, визначених у
статті 68 Закону про платіжні послуги.
8. Надавач платіжних послуг використовує механізми і процедури моніторингу операцій для виявлення несанкціонованих або шахрайських дій. Ці механізми і процедури ґрунтуються на аналізі операцій з урахуванням тих складових, що є типовими для користувача платіжних послуг, за умов належного використання вразливих платіжних даних.
9. Процедура автентифікації повинна включати механізми моніторингу спроб несанкціонованих або шахрайських дій з використанням вразливих платіжних даних. Також ця процедура повинна передбачати перевірку, чи має користувач платіжних послуг право доступу до рахунку.
Механізми і процедури моніторингу операцій з переказу коштів повинні враховувати кожний із таких факторів ризику:
1) списки пошкоджених, скомпрометованих або викрадених елементів автентифікації;
2) суму кожної платіжної операції;
3) сценарії шахрайства під час надання платіжних послуг;
4) ознаки зараження зловмисним програмним забезпеченням під час будь-яких сеансів процедури автентифікації;
5) нетипове (аномальне) використання багатоцільового пристрою або програмного забезпечення для здійснення автентифікації.
II. Безпека платіжних операцій із застосуванням посиленої автентифікації користувача платіжних послуг
3. Впровадження заходів безпеки
10. Надавач платіжних послуг відповідно до вимог пункту 2 глави 1 розділу I цього Положення забезпечує документування заходів безпеки із захисту платіжних операцій, оцінює та перевіряє ці заходи на відповідність вимогам Національного банку щодо захисту інформації, кіберзахисту та інформаційної безпеки під час надання платіжних послуг. Перевірки здійснюються відповідальними особами надавача платіжних послуг. Ці відповідальні особи не повинні брати участі в основній операційній діяльності надавача платіжних послуг або надавач платіжних послуг повинен залучати до таких перевірок інших осіб, які є незалежними від надавача платіжних послуг, на підставі відповідних договорів, укладених для цілей перевірки. Такі відповідальні особи повинні мати знання та досвід роботи не менше одного року у сферах захисту інформації та кіберзахисту, безпеки переказу коштів та інформаційних технологій.
11. Надавач платіжних послуг, який скористався правом не застосовувати посиленої автентифікації користувача платіжних послуг, виконавши вимоги, визначені в главі 12 розділу III цього Положення, здійснює не рідше одного разу на рік обов'язкову перевірку впроваджених заходів безпеки із захисту платіжних операцій, реєстрації випадків шахрайства та розрахованого загального коефіцієнта шахрайства для кожного виду платіжної операції. Відповідальні особи, які здійснюють цю перевірку, не повинні брати участі в основній операційній діяльності надавача платіжних послуг або надавач платіжних послуг залучає до таких перевірок інших осіб, які є незалежними від надавача платіжних послуг, на підставі відповідних правових угод, укладених для цілей перевірки. Такі відповідальні особи повинні мати знання та досвід роботи не менше одного року у сферах захисту інформації та кіберзахисту, безпеки переказу коштів та інформаційних технологій.
12. Результатом перевірки надавача платіжних послуг є оцінка та звіт про відповідність і повноту заходів безпеки, вжитих надавачем платіжних послуг на виконання вимог цього Положення.
13. Надавач платіжних послуг повинен на запит Національного банку надати оцінку та звіт про відповідність і повноту заходів безпеки, вжитих надавачем платіжних послуг на виконання вимог цього Положення, отриманих за результатами проведення перевірки.
4. Код автентифікації
14. Надавач платіжних послуг за результатами процедури посиленої автентифікації користувача платіжної послуги створює код автентифікації. Для створення коду автентифікації надавач платіжних послуг використовує багатоцільові пристрої або програмне забезпечення, призначене для цілей автентифікації користувача платіжних послуг.
Код автентифікації повинен бути стійким до його підробки та стійким до розкриття будь-якого з елементів посиленої автентифікації, з використанням яких цей код було створено. Для забезпечення стійкості коду автентифікації надавач платіжних послуг застосовує такі технологічні рішення, як створення та перевірка справжності одноразових паролів, електронних підписів чи інші підтвердження з використанням криптографічних засобів захисту інформації, що містяться в елементах посиленої автентифікації.
15. Надавач платіжних послуг створює код автентифікації щоразу під час отримання користувачем доступу до рахунку за допомогою засобів дистанційної комунікації, ініціювання дистанційної платіжної операції або під час здійснення будь-яких інших дій у разі підозри вчинення шахрайства (або наявності ризику шахрайства) чи інших неправомірних дій (або наявності ризику вчинення інших неправомірних дій) з урахуванням вимог розділу III цього Положення.
16. Надавач платіжних послуг для застосування посиленої автентифікації користувача платіжної послуги повинен вжити заходів безпеки, що забезпечують виконання таких вимог:
1) інформація про будь-який з елементів посиленої автентифікації не може бути отримана у разі розкриття коду автентифікації;
2) немає можливості створити новий код автентифікації на основі знання про будь-який інший код автентифікації, що був створений раніше;
3) код автентифікації неможливо підробити.
17. Надавач платіжних послуг повинен забезпечити застосування процедури посиленої автентифікації зі створенням коду автентифікації, включаючи такі заходи безпеки:
1) визнати процедуру із застосування посиленої автентифікації помилковою, якщо під час застосування процедури посиленої автентифікації, з надання віддаленого доступу для здійснення дистанційних платіжних операцій або виконання будь-яких інших дій через віддалений канал з використанням засобів дистанційної комунікації, які можуть сприяти виникненню ризику шахрайства з переказу коштів чи інших зловживань, не вдалося створити код автентифікації відповідно до пункту 14 глави 4 розділу II цього Положення через неможливість здійснення перевірки підтвердження справжності будь-якого елемента автентифікації чи визначити, який саме з елементів є некоректним, спотвореним;
2) кількість невдалих спроб застосування процедури посиленої автентифікації, що можуть здійснюватися послідовно, не повинна перевищувати п'яти. Після досягнення граничної кількості невдалих спроб можливість застосування процедури автентифікації повинно бути тимчасово або постійно заблоковано в порядку, визначеному надавачем платіжних послуг;
3) усі сеанси зв'язку повинні бути захищеними від несанкціонованого доступу до даних автентифікації, переданих під час застосування процедури посиленої автентифікації, та від дій не уповноважених на це сторонніх осіб відповідно до вимог розділу V цього Положення;
4) максимальний час без активності користувача платіжних послуг після проходження посиленої автентифікації та отримання доступу до рахунку з використанням засобів дистанційної комунікації через мережі загального користування не повинен перевищувати десяти хвилин.
18. Надавач платіжних послуг вважає процедуру посиленої автентифікації користувача успішно завершеною після підтвердження ним справжності коду автентифікації.
19. Надавач платіжних послуг не перевіряє справжності коду автентифікації в разі використання права не вимагати застосування посиленої автентифікації. Рішення про ініціювання дистанційної платіжної операції або надання доступу до рахунку за допомогою засобів дистанційної комунікації надавач платіжних послуг приймає за результатом застосування автентифікації користувача платіжних послуг.
20. Надавач платіжних послуг має право здійснювати тимчасове та постійне блокування користувача платіжної послуги. Тривалість тимчасового блокування і кількість наступних повторних спроб встановлюються надавачем платіжних послуг у його внутрішніх документах, зважаючи на характеристику послуги, що надається, та всі ризики, ураховуючи вимоги глави 2 розділу I цього Положення.
Надавач платіжних послуг зобов'язаний надіслати користувачу платіжної послуги повідомлення, перед тим як встановити постійне блокування можливості застосування процедури автентифікації.
Надавач платіжних послуг зобов'язаний надати користувачу платіжної послуги безпечну процедуру розблокування відповідно до порядку, визначеного у своїх внутрішніх документах, яка дає змогу відновити можливість проходження посиленої автентифікації користувачем платіжної послуги в разі встановлення постійного блокування процедури автентифікації.
5. Динамічне пов'язування
21. Динамічне пов'язування використовується під час створення кодів автентифікації, що обмежується сукупністю суворих вимог безпеки. Щоб залишатися технологічно нейтральними, для впровадження кодів автентифікації не потрібна особлива технологія. Тому коди автентифікації потрібно запроваджувати з використанням таких рішень, як створення та перевірка справжності одноразових паролів, електронних підписів чи інших способів підтвердження з використанням ключів або криптографічних перетворень з урахуванням вимог пункту 91 глави 27 розділу V цього Положення, що зберігаються в елементах автентифікації під час виконання вимог безпеки.
22. Надавач платіжних послуг під час застосування процедури посиленої автентифікації користувача платіжної послуги впроваджує такі заходи:
1) платнику повідомляються ідентифікаційні дані отримувача та сума платіжної операції у спосіб, визначений договором;
2) створений код автентифікації є пов'язаним із сумою платіжної операції та отримувачем, які погоджені платником під час ініціювання операції;
3) код автентифікації, прийнятий надавачем платіжних послуг, підтверджує суму платіжної операції та ідентифікаційні дані отримувача;
4) будь-яка зміна суми або ідентифікаційних даних отримувача призводить до недійсності коду автентифікації та скасування ініціювання платіжної операції.
23. Надавач платіжних послуг зобов'язаний забезпечити конфіденційність, достовірність та цілісність індивідуальної облікової інформації користувача платіжних послуг для:
1) суми платіжної операції та інформацію про отримувача на всіх етапах автентифікації;
2) інформації, яка надається платнику на всіх етапах автентифікації, включаючи створення, передавання та використання коду автентифікації.
24. Надавач платіжних послуг для створення коду автентифікації за результатами застосування процедури посиленої автентифікації користувача платіжної послуги зобов'язаний забезпечити таке:
1) стосовно платіжної операції, відповідно до якої платник надав згоду на точну суму грошових коштів, що мають бути заблоковані на рахунку платника, код автентифікації повинен бути пов'язаним із отримувачем та сумою платіжної операції, на яку платник погодився під час ініціювання платіжної операції;
2) для платіжних операцій, які платник погодився провести як серію дистанційних платіжних операцій одному або кільком отримувачам, код автентифікації повинен бути пов'язаним із цими отримувачами та сумами платіжних операції на користь цих отримувачів.
6. Вимоги до елементів (даних) посиленої автентифікації, засобів та програмного забезпечення, пов'язаних з обробкою цих елементів
25. Надавач платіжних послуг для елементів (даних), віднесених до категорії знань, повинен застосовувати заходи безпеки щодо нерозголошення цих елементів стороннім особам.
26. Надавач платіжних послуг зобов'язаний застосовувати заходи безпеки, що мінімізують наслідки розголошення елементів (даних), віднесених до категорії знань, стороннім особам у разі використання платником цих елементів (даних).
27. Надавач платіжних послуг зобов'язаний застосовувати заходи безпеки, що забезпечують зменшення рівня ризику для елементів (даних), віднесених до категорії володіння, у частині того, що ці елементи (дані) не можуть бути використані сторонніми особами.
28. Надавач платіжних послуг зобов'язаний застосовувати заходи безпеки щодо запобігання дублюванню елементів (даних), віднесених до категорії володіння, у разі використання платником цих елементів (даних).
29. Надавач платіжних послуг для елементів (даних), віднесених до категорії притаманність, повинен застосовувати заходи безпеки до засобів дистанційної комунікації та програмного забезпечення багатоцільових пристроїв у частині унеможливлення використання цих елементів сторонніми особами.
30. Надавач платіжних послуг повинен забезпечити, щоб засоби дистанційної комунікації та програмне забезпечення, які надаються платнику, гарантували належний рівень конфіденційності для елементів (даних) посиленої автентифікації, віднесених до категорії притаманність.
31. Надавач платіжних послуг зобов'язаний унеможливити реєстрацію сторонньої особи як платника засобами дистанційної комунікації.
7. Незалежність елементів (даних) посиленої автентифікації
32. Надавач платіжних послуг зобов'язаний вживати заходів безпеки з використання елементів посиленої автентифікації користувачем платіжної послуги, які гарантують, що компрометація одного з елементів посиленої автентифікації не створює загроз конфіденційності іншим елементам.
33. Надавач платіжних послуг зобов'язаний, якщо елементи посиленої автентифікації або код автентифікації обробляються за допомогою багатоцільового пристрою, застосовувати заходи безпеки, що повинні включати таке:
1) використання відокремлених безпечних інформаційних середовищ для забезпечення безпечної роботи багатоцільового пристрою;
2) механізми, які забезпечують неможливість того, що платник чи інша стороння особа може змінювати програмне забезпечення або платіжний пристрій;
3) заходи безпеки, що забезпечать зменшення впливу наслідків несанкціонованих змін.
III. Право надавача платіжних послуг не застосувати посиленої автентифікації
8. Інформація про рахунок
34. Надавач платіжних послуг з обслуговування рахунків не вимагає застосування посиленої автентифікації користувачів платіжної послуги за умови дотримання вимог пунктів 8 та 9 глави 2 розділу I цього Положення в таких випадках:
1) посилена автентифікація користувача була (під час першого доступу до інформації про рахунок) застосована надавачем платіжних послуг з обслуговування рахунку в процесі отримання через іншого надавача платіжних послуг згоди користувача на доступ до інформації про рахунок користувача;
2) після здійснення посиленої автентифікації користувача, визначеної в підпункті 1 пункту 34 глави 8 розділу III цього Положення, минуло не більше 180 днів;
3) надавачу нефінансових платіжних послуг з обслуговування рахунків не розкриваються вразливі платіжні дані.
35. Надавач платіжних послуг з обслуговування рахунків зобов'язаний застосувати посилену автентифікацію, якщо виконується будь-яка з таких умов:
1) користувач платіжних послуг вперше отримує доступ до інформації, зазначеної в підпункті 1 пункту 34 глави 8 розділу III цього Положення;
2) минуло більше 180 днів з моменту, коли користувач платіжної послуги останній раз здійснював доступ з мережі Інтернет до інформації про рахунок, зазначеної в підпункті 1 пункту 34 глави 8 розділу III цього Положення, та була застосована посилена автентифікація користувача платіжної послуги.
36. Надавач платіжних послуг, що отримав право на надання нефінансових платіжних послуг, зобов'язаний застосовувати посилену автентифікацію користувачів під час кожного входу користувача до платіжного застосунку.
9. Невеликі суми переказу та довірені отримувачі
37. Надавач платіжних послуг та інші задіяні у відповідній платіжній операції надавачі платіжних послуг мають право не вимагати застосування посиленої автентифікації користувачів платіжної послуги за умови дотримання вимог пунктів 8 та 9 глави 2 розділу I цього Положення в таких випадках:
1) сума дистанційної платіжної операції не перевищує 2 000 гривень;
2) загальна сума попередніх платіжних операцій, ініційованих платником з часу застосування останньої посиленої автентифікації користувача платіжної послуги, не перевищує 10 000 гривень або кількість попередніх операцій, ініційованих платником з часу застосування останньої посиленої автентифікації користувача платіжної послуги, не перевищує п'яти послідовних окремих операцій.
38. Надавач платіжних послуг з обслуговування рахунку зобов'язаний застосовувати посилену автентифікацію, якщо платник створює або вносить зміни до списку довірених отримувачів через надавача платіжних послуг з обслуговування рахунку.
39. Надавач платіжних послуг має право не вимагати застосування посиленої автентифікації за умови дотримання загальних вимог автентифікації, визначених у розділі II цього Положення, якщо платник ініціює платіжну операцію, а отримувач включений до списку довірених отримувачів, який раніше був створений цим платником.
10. Повторювані/регулярні платіжні операції та кредитові перекази між рахунками однієї фізичної або юридичної особи
40. Надавач платіжних послуг зобов'язаний застосовувати посилену автентифікацію, якщо платник вперше створює, ініціює або вносить зміни до списку (шаблону) платіжних операцій, що періодично повторюються.
41. Надавач платіжних послуг не вимагає застосування посиленої автентифікації користувача платіжної послуги для ініціювання всіх наступних платіжних операцій, що входять до серії дистанційних платіжних операцій, які відповідають списку (шаблону), зазначеному в пункті 40 глави 10 розділу III цього Положення, за умови дотримання загальних вимог щодо автентифікації, визначених у главі 2 розділу I цього Положення, та застосування посиленої автентифікації користувача для першої платіжної операції з цієї серії.
42. Надавач платіжних послуг не вимагає застосовування посиленої автентифікації платника за умови дотримання вимог, визначених у пунктах 8 та 9 глави 2 розділу I цього Положення, у разі ініціювання платником кредитового переказу між власними рахунками, що обслуговуються одним надавачем платіжних послуг.
11. Операції МОТО, дебетові перекази та делегування автентифікації
43. Надавач платіжних послуг з обслуговування рахунку самостійно приймає рішення щодо застосування посиленої автентифікації користувача платіжної послуги за операціями МОТО.
44. Надавач платіжних послуг з обслуговування рахунків не вимагає застосування посиленої автентифікації користувачів платіжної послуги за дебетовим переказом за умови отримання згоди платника на виконання такої платіжної операції або в разі здійснення дебетового переказу стягувачем.
45. Надавач платіжних послуг з обслуговування рахунків не вимагає застосування посиленої автентифікації користувача платіжної послуги, якщо інший надавач платіжних послуг виконав автентифікацію цього користувача.
12. Аналіз ризику для платіжних операцій
46. Надавач платіжних послуг не вимагає застосовування посиленої автентифікації платника в разі ініціювання платником дистанційної платіжної операції, що має низький рівень ризику, з урахуванням виконання вимог до механізмів моніторингу операцій, визначених у пунктах 8, 9 глави 2 розділу I та пункті 47 глави 12 розділу III цього Положення.
47. Дистанційна платіжна операція вважається такою, що має низький рівень ризику, якщо надавачем платіжних послуг дотримано такі вимоги:
1) рівень шахрайства для платіжної операції, розрахований відповідно до глави 13 розділу III цього Положення, еквівалентний або нижче референтного коефіцієнта рівня шахрайства, визначеного в додатку до цього Положення для обраного виду платіжних операцій;
2) сума операції не перевищує відповідного порогового значення, визначеного в додатку до цього Положення;
................Перейти до повного тексту