Указание Банка России от 25 июля 2014 г. № 3342-У “О требованиях к информационным технологиям, используемым операторами услуг платежной инфраструктуры, для целей признания платежной системы национально значимой платежной системой” (не вступил в силу)

На основании пункта 2 части 13 статьи 22 Федерального закона от 27 июня 2011 года № 161-ФЗ “О национальной платежной системе” (Собрание законодательства Российской Федерации, 2011, № 27, ст. 3872; 2012, № 53, ст. 7592; 2013, № 27, ст. 3477; № 30, ст. 4084; № 52, ст. 6968; 2014, № 19, ст. 2315, ст. 2317) Банк России устанавливает требования к информационным технологиям, используемым операторами услуг платежной инфраструктуры (далее - информационные технологии), для целей признания платежной системы национально значимой платежной системой.

1. Информационные технологии должны соответствовать следующим требованиям.

1.1. Разработчиками (правообладателями) не менее 25 процентов используемых операторами услуг платежной инфраструктуры прикладных программных средств, обеспечивающих осуществление функций операционного центра и платежного клирингового центра, программных средств, обеспечивающих защиту информации, а также программных средств платежной карты являются юридические лица, созданные в соответствии с законодательством Российской Федерации (далее - российские организации).

1.2. Лицензионные соглашения предоставляют операторам услуг платежной инфраструктуры право использования программных средств, указанных в подпункте 1.1 настоящего пункта, на территории Российской Федерации в течение не менее пяти лет, а также предусматривают обязанность лицензиара по обновлению версий программных средств.

1.3. Материальные носители платежных карт в соответствии с результатами проведенных тестов соответствуют требованиям следующих национальных стандартов Российской Федерации:

к форме и физическим характеристикам платежной карты - ГОСТ Р ИСО/МЭК 7810-2006 “Карты идентификационные. Физические характеристики” с использованием типоразмера ID-1 (CR-80) и ГОСТ Р ИСО/МЭК 7816-1-2010 “Карты идентификационные. Карты на интегральных схемах с контактами. Часть 1. Физические характеристики”;

к физическим характеристикам магнитной полосы, рабочим характеристикам магнитного материала, кодированию и расположению дорожек магнитной полосы платежной карты - ГОСТ Р ИСО/МЭК 7811-2-2002 “Карты идентификационные. Способ записи. Часть 2. Магнитная полоса малой коэрцитивной силы” и ГОСТ Р ИСО/МЭК 7811-6-2010 “Карты идентификационные. Способ записи. Часть 6. Магнитная полоса большой коэрцитивной силы”;

к размерам и расположению контактов, электронным сигналам и протоколам передачи данных для платежной карты на интегральных схемах с контактами - ГОСТ Р ИСО/МЭК 7816-2-2010 “Карты идентификационные. Карты на интегральных схемах. Часть 2. Карты с контактами. Размеры и расположение контактов” и ГОСТ Р ИСО/МЭК 7816-3-2006 “Информационная технология. Карты идентификационные. Карты на интегральных схемах с контактами. Часть 3. Электронные сигналы и протоколы передачи”.

1.4. Криптографический модуль, используемый в интегральной схеме платежной карты, должен иметь сертификат в системе сертификации федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и (или) иметь сертификат (сертификаты) соответствия стандартам безопасности не менее двух иностранных платежных систем, в рамках которых осуществляются переводы денежных средств по операциям с платежными картами.

1.5. Изготовление (сборка) платежных карт осуществляется российскими организациями на территории Российской Федерации.

1.6. При использовании информационных технологий операторами услуг платежной инфраструктуры соблюдаются требования к обеспечению защиты информации при осуществлении переводов денежных средств, установленные Положением Банка России от 9 июня 2012 года № 382-П “О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств”, зарегистрированным Министерством юстиции Российской Федерации 14 июня 2012 года № 24575, 1 июля 2013 года № 28930 (“Вестник Банка России” от 22 июня 2012 года № 32, от 10 июля 2013 года № 37) (значение качественной оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств не ниже “удовлетворительная”).

2. Настоящее Указание согласовано с Правительством Российской Федерации (распоряжение Правительства Российской Федерации от 15 июля 2014 года № 1306-Р).

3. Настоящее Указание вступает в силу по истечении 10 дней после дня его официального опубликования в “Вестнике Банка России”.

Зарегистрировано в Минюсте РФ 9 октября 2014 г.

Регистрационный № 34269