Нацбанк изменил правила использования электронных денег ᐈ prosud.kz

В частности, изменения внесены в Правила выпуска, использования и погашения электронных денег, а также в требованиях к эмитентам электронных денег и системам электронных денег на территории РК.

После осуществления платежа с использованием электронных денег их владельцу выдается торговый чек, подтверждающий факт осуществления операции с использованием электронных денег, в форме электронного сообщения либо на бумажном носителе.

Расширен перечень сведений, которые содержит торговый чек.

Ранее в чеке отражались:

сумма платежа;
время и дата совершения платежа;
порядковый номер торгового чека;
наименование (код) и индивидуальный идентификационный номер, бизнес-идентификационный номер индивидуального предпринимателя или юридического лица;
код транзакции или другой код, идентифицирующий платеж в системе электронных денег;
идентификационный код электронного кошелька отправителя и получателя электронных денег (уникальный идентификатор, статус идентификации владельца электронных денег);
контактные номера телефонов оператора, в том числе сотовой связи;

Помимо этого, теперь чек должен содержать:

сведения об отправителе электронных денег (в случае наличия);
сведения о получателе электронных денег (поставщик товаров или услуг);
код назначения операции;
наименование поставщика платежных услуг (платежный посредник), в том числе иностранного, в пользу которого осуществляется перевод электронных денег от отправителя за оплату услуг третьих лиц, не представленных в системе электронных денег в качестве поставщиков услуг;
сведения о погашении электронных денег (банк, номер банковского счета).

Кроме того, допускается отражение в торговом чеке дополнительных реквизитов.

При осуществлении перевода электронных денег от отправителя в пользу поставщика платежных услуг (платежный посредник), в том числе иностранного, за оплату услуг третьих лиц, не представленных в системе электронных денег в качестве поставщиков услуг, платежная организация обязана обеспечить отображение полной цепочки участников операции в платежном документе (чеке, квитанции, детализации).

Также поправками предусмотрено, что операторы систем электронных денег обеспечивают создание и функционирование системы управления кибербезопасностью, являющейся частью общей системы управления операторов систем электронных денег, предназначенной для управления процессом обеспечения кибербезопасности.

Операторы систем электронных денег утверждают внутренние документы, регламентирующие процесс управления кибербезопасностью, в том числе политику кибербезопасности.

Порядок и периодичность пересмотра внутренних документов, указанных в части второй настоящего пункта, определяются внутренними документами операторов систем электронных денег.

Система управления кибербезопасностью обеспечивает защиту информационных активов операторов систем электронных денег, допускающую минимальный уровень потенциального ущерба для бизнес-процессов операторов систем электронных денег.

Оператор системы электронных денег осуществляет обследование состояния кибербезопасности периметра защиты цифровой инфраструктуры не реже одного раз в год. По результатам обследования составляется отчет с приложением материалов обследования, который доводится до сведения руководителя оператора системы электронных денег.

Оператор системы электронных денег обеспечивает надлежащий уровень системы управления кибербезопасностью, ее развитие и улучшение.

Оператор системы электронных денег, являющийся платежной организацией, прошедшей учетную регистрацию в Нацбанке, в целях разграничения ответственности и функций в сфере обеспечения кибербезопасности создает подразделение кибербезопасности, являющееся структурным подразделением, обособленным от других структурных подразделений, занимающихся вопросами создания, сопровождения и развития цифровых объектов, или определяет лицо, ответственное за обеспечение кибербезопасности, не состоящее в штате структурных подразделений, занимающихся вопросами создания, сопровождения и развития цифровых объектов.

Подразделение кибербезопасности или лицо, ответственное за обеспечение кибербезопасности, осуществляет координацию работ по обеспечению кибербезопасности и контроль за исполнением требований кибербезопасности, определенных во внутренних документах оператора системы электронных денег.

Оператор системы электронных денег обеспечивает повышение квалификации работников подразделения кибербезопасности путем проведения:

внутренних мероприятий (лекции, семинары);
внешнего обучения (посещение курсов, семинаров – не реже одного раза в два года для каждого работника).

При приеме на работу нового работника, не позднее пяти рабочих дней с момента приема на работу, новый работник ознакомляется под подпись с основными требованиями по обеспечению кибербезопасности (вводный инструктаж). Результат ознакомления фиксируется в соответствующем журнале инструктажа или ином документе, подтверждающем прохождение инструктажа.

Требования настоящего пункта распространяются на операторов системы электронных денег, являющихся платежными организациями, прошедшими учетную регистрацию в Нацбанке.

Трудовой договор, заключаемый с работником оператора системы электронных денег, являющегося платежной организацией, прошедшей учетную регистрацию в Нацбанке, содержит обязанность работника по соблюдению требований по обеспечению кибербезопасности и неразглашению конфиденциальной информации.

Оператор системы электронных денег в целях обеспечения конфиденциальности, целостности и доступности информации осуществляет следующие функции:

организует систему управления кибербезопасностью, осуществляет координацию и контроль деятельности и мероприятий по выявлению и анализу угроз, противодействию атакам и расследованию инцидентов кибербезопасности;
обеспечивает методологическую поддержку процесса обеспечения кибербезопасности;
осуществляет выбор, внедрение и применение методов, средств и механизмов управления, обеспечения и контроля кибербезопасности;
осуществляет сбор, консолидацию, хранение и обработку информации об инцидентах кибербезопасности;
осуществляет анализ информации об инцидентах кибербезопасности;
обеспечивает внедрение, надлежащее функционирование программно-технических средств, автоматизирующих процесс обеспечения кибербезопасности, а также предоставление доступа к ним;
определяет ограничения по использованию привилегированных учетных записей;
организует и проводит мероприятия по обеспечению осведомленности работников оператора систем электронных денег в вопросах кибербезопасности;
осуществляет мониторинг состояния системы управления кибербезопасностью оператора систем электронных денег;
периодически (но не реже одного раза в год) осуществляет информирование руководства оператора системы электронных денег о состоянии системы управления кибербезопасностью;
поддерживает в актуальном состоянии схемы периметра защиты цифровой инфраструктуры и перечень администраторов средств обеспечения его безопасности;
устанавливает на периметре защиты цифровой инфраструктуры межсетевые экраны;
обеспечивает безопасность доступа пользователей к ресурсам сети Интернет из периметра защиты цифровой инфраструктуры;
в случае подключения ноутбуков или иных устройств к информационным активам оператора системы электронных денег, являющегося платежной организацией, прошедшей учетную регистрацию в Нацбанке, из-за пределов периметра защиты оператора системы электронных денег на данных устройствах устанавливается лицензионное программное обеспечение для организации защищенного доступа (шифрование канала связи, обеспечение двухфакторной аутентификации).

Оператор системы электронных денег управляет рисками кибербезопасности с указанием критериев приемлемого уровня по отношению к информационным активам.

При реализации рисков кибербезопасности разрабатывается план мероприятий, направленный на минимизацию возникновения подобных рисков.

Информация об инцидентах кибербезопасности, полученная в ходе мониторинга деятельности по обеспечению кибербезопасности, подлежит консолидации, систематизации и хранению.

Срок хранения информации об инцидентах кибербезопасности составляет не менее 5 лет.

Оператором системы электронных денег определяется порядок принятия неотложных мер к устранению инцидента кибербезопасности, его причин и последствий.

Оператор систем электронных денег ведет журнал учета инцидентов кибербезопасности с отражением всей информации об инциденте кибербезопасности, принятых мерах и предлагаемых корректирующих мерах.

Оператор системы электронных денег предоставляет в Нацбанк информацию о следующих выявленных инцидентах кибербезопасности:

эксплуатация уязвимостей в прикладном и системном программном обеспечении;
несанкционированный доступ в цифровую систему;
атака "отказ в обслуживании" на цифровую систему или сеть передачи данных;
заражение сервера вредоносной программой или кодом;
совершение несанкционированного перевода электронных денег вследствие нарушения контролей кибербезопасности;
инцидентах кибербезопасности, несущих угрозу стабильности деятельности оператора системы электронных денег.

Информация об инцидентах кибербезопасности, указанных в настоящем пункте, предоставляется оператором системы электронных денег в возможно короткий срок, но не позднее 48 часов с момента выявления, в виде карты инцидента кибербезопасности.

Информация по обработанным инцидентам кибербезопасности представляется в электронном формате с использованием платформы Нацбанка для обмена событиями и инцидентами кибербезопасности.

На каждый инцидент кибербезопасности заполняется отдельная карта инцидента кибербезопасности.

Кроме того, поправки внесены в Правила организации деятельности платежных организаций.

В частности, для прохождения учетной регистрации в Нацбанке платежная организация представляет через веб-портал "цифрового правительства" заявление, содержащее, в том числе сведения о руководителе (членах) исполнительного органа платежной организации (с приложением копий диплома (дипломов) и документа, подтверждающего трудовую деятельность руководителя (члена) исполнительного органа платежной организации в соответствии с Трудовым кодексом.

К заявлению также прилагаются документы, предусмотренные подпунктами 2), 3), 4), 5), 6) и 7) пункта 2 статьи 16 закона о платежах и платежных системах.

Копия диплома (дипломов) не представляется, в случае наличия интеграции веб-портала "цифрового правительства" с соответствующими государственными цифровыми системами, посредством которых обеспечивается получение указанных сведений, за исключением дипломов зарубежных вузов.

Работник Нацбанка, уполномоченный на прием и регистрацию корреспонденции, в день поступления заявления осуществляет его прием, регистрацию и направление на исполнение в подразделение, ответственное за оказание государственной услуги по учетной регистрации.

При направлении платежной организацией заявления через веб-портал "цифрового правительства" в личном кабинете автоматически отображается статус о принятии запроса на оказание государственной услуги с указанием даты и времени получения результата.

Нацбанк получает из соответствующих государственных цифровых систем через шлюз "цифрового правительства" сведения о документах, удостоверяющих личность руководителя платежной организации и о государственной регистрации (перерегистрации) юридического лица, а также копии диплома (дипломов) руководителя платежной организации.

На веб-портале "цифрового правительства" результат оказания государственной услуги по учетной регистрации направляется платежной организации в личный кабинет в форме электронного документа, удостоверенного ЭЦП уполномоченного лица.

Выдача согласия на проведение добровольной реорганизации платежной организации осуществляется при предоставлении платежной организацией в Нацбанк через веб-портал "цифрового правительства" решения о добровольной реорганизации.

В правила добавлена норма:

Платежными организациями, являющимися операторами системы электронных денег, в случаях, предусмотренных законом о платежах и платежных системах, биометрическая аутентификация владельцев электронных денег осуществляется посредством Центра обмена идентификационными данными Нацбанка (ЦОИД).

С 8 ноября 2026 года при оказании платежной организацией платежных услуг документ, подтверждающий факт оказания платежной услуги, содержит следующие реквизиты:

номер документа, дата и время его выписки;
наименование платежной организации;
сумма операции;
валюта операции;
сумма комиссионного вознаграждения;
назначение платежа;
наименование поставщика услуг;
наименование поставщика платежных услуг (платежный посредник), в том числе иностранного, участвующего в операции;
код категории субъекта предпринимательства (Merchant Category Code) (в случае оказания платежной услуги, предусмотренной подпунктом 4) пункта 3 Правил);
наименование либо банковский идентификационный код банка, филиала банка-нерезидента РК или организации, осуществляющей отдельные виды банковских операций, которому (которой) платежная организация представляет информацию для осуществления платежа и (или) перевода либо принятия денег по данным платежам;
идентификатор транзакции внутри системы платежной организации;
уникальный 12-значный идентификатор операции (Reference Retrieval Number или Receiver Reference Number) и иные технические реквизиты (в случае оказания платежной услуги, предусмотренной подпунктом 4) пункта 3 Правил).

Не допускается при указании наименований использование сокращений, торговых обозначений, аббревиатур и кодов, допускающих неоднозначное толкование.

Допускается проставление платежной организацией в документе, подтверждающем факт оказания платежной услуги, дополнительных реквизитов по оказанной платежной услуге.

Помимо этого, с 12 июля 2026 года меняются требования к программно-техническим средствам платежных организаций и системе управления кибербезопасностью.

Постановление вводится в действие с 17 мая, за исключением норм, которые вводятся с 12 июля и с 8 ноября.