PONIŻSZA ANKIETA JEST PRZEZNACZONA DLA PODMIOTÓW KTÓRE ZAMIERZAJĄ ŚWIADCZYĆ

ankieta-acquiring

Poniższa ankieta jest przeznaczona dla podmiotów, które zamierzają świadczyć usługę acquiringu w rozumieniu art. 3 ust. 1 pkt 5 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych w charakterze krajowej instytucji płatniczej (dalej jako „Wnioskodawca”). Ankieta ułatwia Wnioskodawcy przygotowanie informacji na cele postępowania, prowadzonego przez Prezesa NBP na podstawie art. 60 ust. 3 ustawy o usługach płatniczych.

Ankieta w zakresie świadczenia usługi acquiringu^¹

Proszę o przedstawienie następujących informacji i dokumentów:

Ogólne informacje o Wnioskodawcy oraz sposobie wykonywania usługi acquiringu

Dane Wnioskodawcy^².

Wszystkie warianty wykonywania przez Wnioskodawcę usługi acquiringu^³, ze wskazaniem wykorzystywanych instrumentów płatniczych.

Schemat graficzny sposobu wykonywania usługi acquiringu wraz ze szczegółowym opisem^⁴.

Załącznik nr 1 Schemat sposobu wykonywania usługi acquiringu wraz z opisem.

Waluty, w jakich świadczona będzie usługa acquiringu.

Prawne powiązania w zakresie świadczenia usługi acquiringu

Regulacje wewnętrzne i umowy, dotyczące wykonywania przez Wnioskodawcę usługi acquiringu, np.: regulaminy, uchwały, wzory umów^⁵, inne.

Z jakimi podmiotami (poza akceptantem) Wnioskodawca współpracuje w zakresie wykonywania usługi acquiringu^⁶?

Opis zakresu współpracy agenta rozliczeniowego z podmiotami współpracującymi operacyjnie w zakresie wykonywania usługi acquiringu.

Załącznik nr 2 Regulacje wewnętrzne i umowy, dotyczące wykonywania usługi acquiringu.

Zasady obsługi procesu autoryzacji transakcji płatniczej

Opis procedury składania zleceń płatniczych przez płatnika.

Opis sposobu autoryzacji transakcji płatniczej w każdym wariancie usługi acquiringu.

Zasady dokonywania rozliczeń z akceptantami i wydawcami

Zasady i terminy uznania rachunku płatniczego akceptanta;

Czy uznanie rachunku akceptanta uzależnione jest od dokonania zapłaty przez wydawcę instrumentu płatniczego?

Zasady i terminy przekazywania akceptantowi informacji o dokonanych transakcjach płatniczych.

Zasady i terminy pozyskiwania środków od wydawców instrumentów płatniczych, z uwzględnieniem rozliczeń z organizacjami płatniczymi i innymi podmiotami, biorącymi udział w procesie przekazywania akceptantowi środków pieniężnych.

Zasady postępowania ze środkami pieniężnymi, przyjętymi przez Wnioskodawcę w celu wykonania transakcji płatniczych^⁷.

W jaki sposób Wnioskodawca realizuje obowiązek ochrony środków pieniężnych, o którym mowa w art. 78 ustawy o usługach płatniczych?

Informacje techniczne o sposobie wykonywania usługi acquiringu i stosowanych zabezpieczeniach^⁸

Opis stosowanych technologii, z uwzględnieniem architektury systemów informatycznych, w tym:

produkcyjnego i zapasowego środowiska teleinformatycznego,
zabezpieczeń technicznych i narzędzi,
sposobu monitorowania transakcji,
przepływu danych,
stosowanego oprogramowania,
bezpieczeństwa danych i systemów.

Opis sposobu monitorowania transakcji płatniczych i przebiegu procesu wykonywania usługi acquiringu, w tym w zakresie transakcji oszukańczych i podejrzanych oraz zasad blokowania takich transakcji.

Opis bezpiecznego kanału komunikacji z akceptantami, przeznaczonego do informowania Wnioskodawcy o oszukańczych transakcjach płatniczych, wykrytych zagrożeniach w funkcjonowaniu systemu informatycznego Wnioskodawcy, itp.

Opis procedury postępowania w zakresie ochrony danych objętych tajemnicę zawodową, o której mowa w art. 11 ust. 3 ustawy o usługach płatniczych (tajemnica płatnicza)^⁹.

Zasady udzielania personelowi Wnioskodawcy dostępu do systemów teleinformatycznych i innych zasobów, na których są przechowywane lub procesowane dane objęte tajemnicą płatniczą^¹⁰.

Szczegółowe informacje dotyczące zasad działania urządzeń lub aplikacji, przekazywanych przez Wnioskodawcę akceptantowi^¹¹.

Zasady przeciwdziałania oszukańczym transakcjom płatniczym^¹².

Opis rozwiązań kryptograficznych zastosowanych w ramach realizacji usługi acquiringu, ze szczególnym uwzględnieniem informacji o algorytmie, długości zastosowanego klucza i nośniku klucza.

Opis sposobu zapewnienia ciągłości działania, w szczególności:

procedur organizacyjnych postępowania w sytuacjach awaryjnych i kryzysowych,
zastępczych procedur operacyjnych, w tym zakresu obsługiwanych operacji i sposobu ich realizacji.

Załącznik nr 3 Plan ciągłości działania.

Procedura zarządzania incydentami (monitorowanie i raportowanie) występującymi w systemie w zależności od ich krytyczności.

Opis metodyki przeprowadzania testów bezpieczeństwa systemów informatycznych.

Analiza ryzyka związanego z wykonywaniem usługi acquiringu wraz z informacją o stosowanych zabezpieczeniach (np. klauzule umowne, umowy ubezpieczeniowe etc.)^¹³.

Przedstawienie wyników audytu systemu teleinformatycznego (o ile został przeprowadzony), w tym bezpieczeństwa informacji przetwarzanych w systemie.

Załącznik nr 4 Wyniki audytu systemu teleinformatycznego

Czy Wnioskodawca spełnia wymagania wynikające z międzynarodowych standardów bezpieczeństwa^¹⁴?

Lista załączników

Załącznik nr 1 Schemat sposobu wykonywania usługi acquiringu wraz z opisem.

Załącznik nr 2 Regulacje wewnętrzne i umowy, dotyczące wykonywania usługi acquiringu.

Załącznik nr 3 Plan ciągłości działania.

Załącznik nr 4 Wyniki audytu systemu teleinformatycznego.

1 Uwaga: Odpowiedzi na poszczególne pytania, zawarte w niniejszej ankiecie oraz przekazane załączniki, powinny obejmować swym zakresem wszystkie warianty wykonywania przez Wnioskodawcę usługi acquiringu.

2 Nazwa, forma prawna, podstawa prawna działania, siedziba i zakres prowadzonej działalności.

3 Np. dla usługi acquiringu wykonywanej przy użyciu karty płatniczej, aplikacji zainstalowanej na urządzeniu mobilnym, internetowego serwisu transakcyjnego, etc.

4 Od momentu zainicjowania transakcji płatniczej do momentu transferu środków pieniężnych na rachunek akceptanta, uwzględniający kolejność przepływu komunikatów oraz środków pieniężnych w ramach wykonywania przedmiotowej usługi.

5 W szczególności wzór umowy zawieranej z akceptantami.

6 Np. dostawcy usług płatniczych, dostawcy usług technicznych, organizacje płatnicze.

7 Np. wewnętrzne procedury, wskazujące kto w imieniu Wnioskodawcy posiada prawo dostępu do rachunków, na których przechowywane są te środki pieniężne oraz jaka jest procedura wykonywania transferu tych środków pieniężnych.

8 Np. firewalle, IPS, SIEM, zabezpieczenia przed DDoS, kanały komunikacji z serwerami – VPN, zabezpieczenia przed kodem złośliwym, wykonywanie kopii zapasowych, kryptografia.

9 W tym oznaczenie rachunku płatniczego użytkownika oraz stanu tego rachunku, a także informacje związane z transakcjami płatniczymi oraz zawieranymi z użytkownikiem umowami.

10 Z uwzględnieniem zasady minimalnych uprawnień.

11 W tym zwłaszcza w zakresie środków ochrony przed złośliwym oprogramowaniem, jak również zasad związanych z udostępnianiem tych urządzeń i aplikacji.

12 Polegające w szczególności na ograniczaniu liczby prób logowania oraz czynności dokonywanych w ramach procesu autoryzacji, czasu po jakim następuje wygaśnięcie sesji w systemie transakcyjnym, blokowaniu dostępu oraz zasadach związanych z procedurą przywracania dostępu do usługi płatniczej po zablokowaniu dostępu.

13 Jeżeli nie uwzględniono tych informacji w systemie zarządzania ryzykiem i kontroli wewnętrznej, o którym mowa w art. 64a ustawy o usługach płatniczych.

14 Np. normy bezpieczeństwa Payment Card Industry Security Standards Council, normy ISO, Rekomendacje dotyczące płatności internetowych, opracowane przez Secure Pay – European Forum on the Security of Retail Payments), inne.

W przypadku odpowiedzi pozytywnej należy wskazać, jakie standardy spełnia Wnioskodawca i czy fakt ten został udokumentowany na podstawie oceny dokonanej przez podmiot zewnętrzny lub samooceny dokonanej przez Wnioskodawcę oraz przedstawić dokument potwierdzający dokonanie oceny.

9/9

Tags: ankieta jest, płatniczych. ankieta, które, zamierzają, świadczyć, przeznaczona, poniższa, ankieta, podmiotów