Poniższa ankieta jest przeznaczona dla podmiotów, które zamierzają świadczyć usługę acquiringu w rozumieniu art. 3 ust. 1 pkt 5 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych w charakterze krajowej instytucji płatniczej (dalej jako „Wnioskodawca”). Ankieta ułatwia Wnioskodawcy przygotowanie informacji na cele postępowania, prowadzonego przez Prezesa NBP na podstawie art. 60 ust. 3 ustawy o usługach płatniczych.
Ankieta w zakresie świadczenia usługi acquiringu1
Proszę o przedstawienie następujących informacji i dokumentów:
Ogólne informacje o Wnioskodawcy oraz sposobie wykonywania usługi acquiringu
Dane Wnioskodawcy2.
|
Wszystkie warianty wykonywania przez Wnioskodawcę usługi acquiringu3, ze wskazaniem wykorzystywanych instrumentów płatniczych.
|
Schemat graficzny sposobu wykonywania usługi acquiringu wraz ze szczegółowym opisem4.
|
Załącznik nr 1 Schemat sposobu wykonywania usługi acquiringu wraz z opisem.
Waluty, w jakich świadczona będzie usługa acquiringu.
|
Prawne powiązania w zakresie świadczenia usługi acquiringu
Regulacje wewnętrzne i umowy, dotyczące wykonywania przez Wnioskodawcę usługi acquiringu, np.: regulaminy, uchwały, wzory umów5, inne.
|
Z jakimi podmiotami (poza akceptantem) Wnioskodawca współpracuje w zakresie wykonywania usługi acquiringu6?
|
Opis zakresu współpracy agenta rozliczeniowego z podmiotami współpracującymi operacyjnie w zakresie wykonywania usługi acquiringu.
|
Załącznik nr 2 Regulacje wewnętrzne i umowy, dotyczące wykonywania usługi acquiringu.
Zasady obsługi procesu autoryzacji transakcji płatniczej
Opis procedury składania zleceń płatniczych przez płatnika.
|
Opis sposobu autoryzacji transakcji płatniczej w każdym wariancie usługi acquiringu.
|
Zasady dokonywania rozliczeń z akceptantami i wydawcami
Zasady i terminy uznania rachunku płatniczego akceptanta;
Czy uznanie rachunku akceptanta uzależnione jest od dokonania zapłaty przez wydawcę instrumentu płatniczego?
|
Zasady i terminy przekazywania akceptantowi informacji o dokonanych transakcjach płatniczych.
|
Zasady i terminy pozyskiwania środków od wydawców instrumentów płatniczych, z uwzględnieniem rozliczeń z organizacjami płatniczymi i innymi podmiotami, biorącymi udział w procesie przekazywania akceptantowi środków pieniężnych.
|
Zasady postępowania ze środkami pieniężnymi, przyjętymi przez Wnioskodawcę w celu wykonania transakcji płatniczych7.
|
W jaki sposób Wnioskodawca realizuje obowiązek ochrony środków pieniężnych, o którym mowa w art. 78 ustawy o usługach płatniczych?
|
Informacje techniczne o sposobie wykonywania usługi acquiringu i stosowanych zabezpieczeniach8
Opis stosowanych technologii, z uwzględnieniem architektury systemów informatycznych, w tym:
produkcyjnego i zapasowego środowiska teleinformatycznego,
zabezpieczeń technicznych i narzędzi,
sposobu monitorowania transakcji,
przepływu danych,
stosowanego oprogramowania,
bezpieczeństwa danych i systemów.
|
Opis sposobu monitorowania transakcji płatniczych i przebiegu procesu wykonywania usługi acquiringu, w tym w zakresie transakcji oszukańczych i podejrzanych oraz zasad blokowania takich transakcji.
|
Opis bezpiecznego kanału komunikacji z akceptantami, przeznaczonego do informowania Wnioskodawcy o oszukańczych transakcjach płatniczych, wykrytych zagrożeniach w funkcjonowaniu systemu informatycznego Wnioskodawcy, itp.
|
Opis procedury postępowania w zakresie ochrony danych objętych tajemnicę zawodową, o której mowa w art. 11 ust. 3 ustawy o usługach płatniczych (tajemnica płatnicza)9.
|
Zasady udzielania personelowi Wnioskodawcy dostępu do systemów teleinformatycznych i innych zasobów, na których są przechowywane lub procesowane dane objęte tajemnicą płatniczą10.
|
Szczegółowe informacje dotyczące zasad działania urządzeń lub aplikacji, przekazywanych przez Wnioskodawcę akceptantowi11.
|
Zasady przeciwdziałania oszukańczym transakcjom płatniczym12.
|
Opis rozwiązań kryptograficznych zastosowanych w ramach realizacji usługi acquiringu, ze szczególnym uwzględnieniem informacji o algorytmie, długości zastosowanego klucza i nośniku klucza.
|
Opis sposobu zapewnienia ciągłości działania, w szczególności:
procedur organizacyjnych postępowania w sytuacjach awaryjnych i kryzysowych,
zastępczych procedur operacyjnych, w tym zakresu obsługiwanych operacji i sposobu ich realizacji.
|
Załącznik nr 3 Plan ciągłości działania.
Procedura zarządzania incydentami (monitorowanie i raportowanie) występującymi w systemie w zależności od ich krytyczności.
|
Opis metodyki przeprowadzania testów bezpieczeństwa systemów informatycznych.
|
Analiza ryzyka związanego z wykonywaniem usługi acquiringu wraz z informacją o stosowanych zabezpieczeniach (np. klauzule umowne, umowy ubezpieczeniowe etc.)13.
|
Przedstawienie wyników audytu systemu teleinformatycznego (o ile został przeprowadzony), w tym bezpieczeństwa informacji przetwarzanych w systemie.
|
Załącznik nr 4 Wyniki audytu systemu teleinformatycznego
Czy Wnioskodawca spełnia wymagania wynikające z międzynarodowych standardów bezpieczeństwa14?
|
Lista załączników
Załącznik nr 1 Schemat sposobu wykonywania usługi acquiringu wraz z opisem.
Załącznik nr 2 Regulacje wewnętrzne i umowy, dotyczące wykonywania usługi acquiringu.
Załącznik nr 3 Plan ciągłości działania.
Załącznik nr 4 Wyniki audytu systemu teleinformatycznego.
1 Uwaga: Odpowiedzi na poszczególne pytania, zawarte w niniejszej ankiecie oraz przekazane załączniki, powinny obejmować swym zakresem wszystkie warianty wykonywania przez Wnioskodawcę usługi acquiringu.
2 Nazwa, forma prawna, podstawa prawna działania, siedziba i zakres prowadzonej działalności.
3 Np. dla usługi acquiringu wykonywanej przy użyciu karty płatniczej, aplikacji zainstalowanej na urządzeniu mobilnym, internetowego serwisu transakcyjnego, etc.
4 Od momentu zainicjowania transakcji płatniczej do momentu transferu środków pieniężnych na rachunek akceptanta, uwzględniający kolejność przepływu komunikatów oraz środków pieniężnych w ramach wykonywania przedmiotowej usługi.
5 W szczególności wzór umowy zawieranej z akceptantami.
6 Np. dostawcy usług płatniczych, dostawcy usług technicznych, organizacje płatnicze.
7 Np. wewnętrzne procedury, wskazujące kto w imieniu Wnioskodawcy posiada prawo dostępu do rachunków, na których przechowywane są te środki pieniężne oraz jaka jest procedura wykonywania transferu tych środków pieniężnych.
8 Np. firewalle, IPS, SIEM, zabezpieczenia przed DDoS, kanały komunikacji z serwerami – VPN, zabezpieczenia przed kodem złośliwym, wykonywanie kopii zapasowych, kryptografia.
9 W tym oznaczenie rachunku płatniczego użytkownika oraz stanu tego rachunku, a także informacje związane z transakcjami płatniczymi oraz zawieranymi z użytkownikiem umowami.
10 Z uwzględnieniem zasady minimalnych uprawnień.
11 W tym zwłaszcza w zakresie środków ochrony przed złośliwym oprogramowaniem, jak również zasad związanych z udostępnianiem tych urządzeń i aplikacji.
12 Polegające w szczególności na ograniczaniu liczby prób logowania oraz czynności dokonywanych w ramach procesu autoryzacji, czasu po jakim następuje wygaśnięcie sesji w systemie transakcyjnym, blokowaniu dostępu oraz zasadach związanych z procedurą przywracania dostępu do usługi płatniczej po zablokowaniu dostępu.
13 Jeżeli nie uwzględniono tych informacji w systemie zarządzania ryzykiem i kontroli wewnętrznej, o którym mowa w art. 64a ustawy o usługach płatniczych.
14 Np. normy bezpieczeństwa Payment Card Industry Security Standards Council, normy ISO, Rekomendacje dotyczące płatności internetowych, opracowane przez Secure Pay – European Forum on the Security of Retail Payments), inne.
W przypadku odpowiedzi pozytywnej należy wskazać, jakie standardy spełnia Wnioskodawca i czy fakt ten został udokumentowany na podstawie oceny dokonanej przez podmiot zewnętrzny lub samooceny dokonanej przez Wnioskodawcę oraz przedstawić dokument potwierdzający dokonanie oceny.
Tags: ankieta jest, płatniczych. ankieta, które, zamierzają, świadczyć, przeznaczona, poniższa, ankieta, podmiotów