Având în vedere prevederile art. 218, 219, precum și ale art. 244 alin. (2) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, în temeiul dispozițiilor art. 243 alin. (1) și art. 244 alin. (1) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, precum și ale art. 48 alin. (1) din Legea nr. 312/2004 privind Statutul Băncii Naționale a României, Banca Națională a României emite prezentul regulament. +
Titlul IDomeniul de aplicare, obiectul și definiții +
Articolul 1(1)Prezentul regulament stabilește:a)cerințele și documentația ce trebuie prezentată Băncii Naționale a României cu privire la măsurile de diminuare a riscurilor operaționale și de securitate, precum și mecanismele de control adecvate pentru a gestiona riscurile operaționale și de securitate, legate de serviciile de plată oferite de către entitățile menționate la alin. (2); … b)raportarea incidentelor operaționale sau de securitate majore specifice serviciilor aferente plăților; … c)obligațiile de raportare la Banca Națională a României a datelor și informațiilor statistice privind fraudele legate de diferite mijloace de plată. … (2)Prezentul regulament se aplică după cum urmează:a)dispozițiile titlurilor I, II și V se aplică prestatorilor de servicii de plată prevăzuți la art. 223 alin. (1) lit. a)-e) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative; … b)dispozițiile titlului III se aplică prestatorilor de servicii de plată prevăzuți la art. 223 alin. (1) lit. a), b) și e) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative; … c)dispozițiile titlului IV se aplică prestatorilor de servicii de plată prevăzuți la art. 223 alin. (1) lit. a), c)-e) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative. … (3)Documentele și informațiile menționate la alin. (1) sunt prezentate Băncii Naționale a României în limba română. (4)Pentru documentele și informațiile într-o limbă străină se prezintă și traducerea legalizată a acestora. Pentru documentele redactate într-o limbă de circulație internațională, Banca Națională a României poate excepta, de la caz la caz, aplicarea cerinței privind traducerea legalizată. +
Articolul 2(1)Termenii și expresiile utilizați/utilizate în prezentul regulament au semnificațiile prevăzute de Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, Legea nr. 210/2019 privind activitatea de emitere de monedă electronică, Regulamentul (UE) 2015/751 al Parlamentului European și al Consiliului din 29 aprilie 2015 privind comisioanele interbancare pentru tranzacțiile de plată cu cardul, Regulamentul (UE) nr. 260/2012 al Parlamentului European și al Consiliului de stabilire a cerințelor tehnice și comerciale aplicabile operațiunilor de transfer de credit și de debitare directă în euro. (2)În sensul prezentului regulament, termenii și expresiile de mai jos au următoarele semnificații: a)active informaționale – date sau alte informații, corporale sau necorporale, care trebuie protejate; … b)activ TIC – un activ de natură software sau hardware care se găsește în mediul de afaceri, inclusiv sisteme TIC; … c)apărare în adâncime – ansamblu de mai multe tipuri de controale care acoperă același risc, precum principiul celor patru ochi, autentificarea pe baza a doi factori, segmentarea rețelei și mecanisme multiple de tip firewall; … d)apetit la risc – nivelul și tipurile cumulate de risc pe care o instituție este dispusă să și le asume în limita capacității sale de risc, conform modelului său de afaceri, în vederea realizării obiectivelor sale strategice; … e)autenticitate – proprietatea unei surse de a fi ceea ce se pretinde a fi; … f)conducere superioară: (i)în cazul prestatorilor de servicii de plată prevăzuți la art. 223 alin. (1) lit. a) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, care sunt instituții de credit și sucursale ale instituțiilor de credit din state terțe, acest termen are înțelesul prevăzut la art. 3 alin. (1) pct. 3 din Regulamentul Băncii Naționale a României nr. 5/2013 privind cerințe prudențiale pentru instituțiile de credit, cu modificările și completările ulterioare; … (ii)în cazul prestatorilor de servicii de plată prevăzuți la art. 223 alin. (1) lit. a) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, care sunt instituții de plată, acest termen se referă la persoanele prevăzute la art. 13 alin. (2) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative; … (iii)în cazul prestatorilor de servicii de plată prevăzuți la art. 223 alin. (1) lit. a) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, care sunt instituții emitente de monedă electronică, acest termen se referă la persoanele prevăzute la art. 10 alin. (2) din Legea nr. 210/2019 privind activitatea de emitere de monedă electronică; … (iv)în cazul prestatorilor de servicii de plată prevăzuți la art. 223 alin. (1) lit. b) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, acest termen se referă la persoanele prevăzute la art. 13 alin. (2) sau art. 98 alin. (2) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, după caz; … (v)în cazul prestatorilor de servicii de plată prevăzuți la art. 223 alin. (1) lit. e) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, acest termen are semnificația conferită în temeiul legislației naționale aplicabile referitoare la organele de conducere; … … g)continuitate – proprietatea proceselor, sarcinilor și activelor unei organizații, care sunt necesare pentru prestarea serviciilor aferente plăților, de a fi pe deplin accesibile și de a se desfășura, respectiv de a funcționa, la niveluri prestabilite acceptabile; … h)disponibilitate – proprietatea serviciilor aferente plăților de a fi accesibile și utilizabile de către utilizatorii serviciilor de plată; … i)«Emiterea unui ordin de plată de către autorul fraudei» – un tip de operațiune de plată neautorizată și se referă la situația în care un ordin de plată fals este emis de autorul fraudei după ce a obținut datele sensibile privind plățile ale plătitorului sau ale beneficiarului plății prin mijloace frauduloase; … j)funcția de audit:(i)în cazul prestatorilor de servicii de plată prevăzuți la art. 223 alin. (1) lit. a) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, care sunt instituții de credit și sucursale ale instituțiilor de credit din state terțe, funcția de audit are înțelesul prevăzut la art. 54-60 din Regulamentul Băncii Naționale a României nr. 5/2013 privind cerințe prudențiale pentru instituțiile de credit, cu modificările și completările ulterioare; … (ii)în cazul prestatorilor de servicii de plată, alții decât cei prevăzuți la art. 223 alin. (1) lit. a) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, funcția de audit trebuie să fie independentă de prestatorul de servicii de plată sau independentă în cadrul acestuia și poate fi o funcție de audit intern și/sau extern; … … k)incident TIC operațional sau de securitate – un singur eveniment sau o serie de evenimente corelate neplanificate de prestatorul de servicii de plată, care are/au sau va/vor avea probabil un impact negativ asupra integrității, disponibilității, confidențialității, autenticității și/sau continuității serviciilor aferente plăților; … l)integritate – proprietatea de a proteja funcționarea precisă și caracterul complet al activelor (inclusiv în ceea ce privește datele); … m)manipularea plătitorului – acțiune a unei persoane care are ca scop determinarea plătitorului să emită un ordin de plată sau să dea instrucțiuni prestatorului său de servicii de plată să îl emită, cu bună-credință, către un cont de plată despre care crede că aparține beneficiarului legitim al plății; … n)mediu informatic – un subset al infrastructurii IT care este folosit pentru un scop bine determinat – de exemplu, mediu de dezvoltare, mediu de asamblare, mediu de test, mediu de producție; … o)«Modificarea unui ordin de plată de către autorul fraudei» – un tip de operațiune neautorizată și se referă la situația în care autorul fraudei interceptează și modifică un ordin de plată autorizat la un moment dat, în timpul comunicării electronice între dispozitivul plătitorului și prestatorul de servicii de plată [precum programe malware sau atacuri care le permit atacatorilor să intercepteze comunicarea dintre două gazde care comunică în mod autorizat (atacuri de tip «omul din mijloc»)] sau modifică instrucțiunea de plată în sistemul prestatorului de servicii de plată înainte de compensarea și decontarea ordinului de plată; … p)operațiune de plată neautorizată – operațiune de plată executată fără exprimarea consimțământului plătitorului în conformitate cu prevederile art. 147-149 din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, inclusiv ca urmare a pierderii, furtului, deturnării datelor sensibile privind plățile sau a instrumentului de plată, indiferent dacă a putut fi detectată de către plătitor înaintea efectuării plății și indiferent dacă a fost cauzată de neglijența gravă a plătitorului; … q)organ de conducere: (i)în cazul prestatorilor de servicii de plată prevăzuți la art. 223 alin. (1) lit. a) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, care sunt instituții de credit și sucursale ale instituțiilor de credit din state terțe, acest termen are înțelesul prevăzut la art. 3 alin. (1) pct. 1 din Regulamentul Băncii Naționale a României nr. 5/2013 privind cerințe prudențiale pentru instituțiile de credit, cu modificările și completările ulterioare; … (ii)în cazul prestatorilor de servicii de plată prevăzuți la art. 223 alin. (1) lit. a) și b) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, care sunt instituții de plată, instituții emitente de monedă electronică sau furnizori specializați în servicii de informare cu privire la conturi, acest termen se referă la persoanele prevăzute la lit. f) pct. (ii)-(iv), după caz; … (iii)în cazul prestatorilor de servicii de plată prevăzuți la art. 223 alin. (1) lit. e) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, acest termen are semnificația conferită în temeiul legislației naționale aplicabile referitoare la organele de conducere; … … r)principiul «privilegiilor minime» – prevede că personalul care are nevoie de acces la sistemele informatice și de comunicații trebuie să aibă accesul minim necesar pentru a-și îndeplini funcția. Acest principiu se aplică atât accesului fizic, cât și accesului logic la date și resurse TIC, precum și sistemelor și aplicațiilor care prelucrează date. Abilitatea de a citi, a crea, a actualiza și a șterge datele constituie controale de acces supuse principiului privilegiilor minime; … s)proiect TIC – orice proiect sau parte a acestuia în care sunt modificate, înlocuite, respinse sau implementate sisteme și servicii TIC. Proiectele TIC pot face parte din programe de transformare mai ample în sectorul TIC sau în cel de afaceri; … t)risc TIC și de securitate – se referă la riscurile operaționale și de securitate prevăzute la art. 218 alin. (1) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative. Acesta reprezintă înregistrări de pierderi din cauza încălcării confidențialității, pierderii integrității sistemelor și a datelor, caracterului necorespunzător sau indisponibilității sistemelor și datelor sau incapacității de a schimba tehnologia informației (TI) într-o perioadă de timp rezonabilă și la costuri rezonabile, atunci când cerințele de mediu sau de afaceri se schimbă. Riscul TIC și de securitate include riscuri de securitate care rezultă fie din procese interne inadecvate sau care nu și-au îndeplinit funcția în mod corespunzător, fie din evenimente externe, inclusiv din atacuri cibernetice sau din securitatea fizică inadecvată; … u)serviciu aferent plăților – orice activitate din categoria serviciilor de plată prevăzute la art. 7 din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative și toate sarcinile tehnice de asistență necesare pentru prestarea serviciilor de plată; … v)servicii TIC – serviciile furnizate de sisteme TIC unuia sau mai multor utilizatori interni sau externi, precum: serviciile de introducere a datelor, de stocare a datelor, de prelucrare și de raportare a datelor, însă și serviciile de monitorizare și serviciile- suport ale afacerii și deciziilor; … w)sisteme TIC – tehnologia informației și comunicațiilor configurată în cadrul unui mecanism sau al unei rețele de interconectare care susține operațiunile unui prestator de servicii de plată; … x)terț – o organizație care a încheiat contracte în vederea desfășurării unor relații comerciale sau a altui tip de raport juridic, pentru a furniza unei entități un produs sau un serviciu; … y)TIC – tehnologia informației și comunicațiilor; … z)RTO – obiectivul perioadei de recuperare reprezintă intervalul maxim admis în care un sistem sau un serviciu TIC trebuie să fie restabilit după o întrerupere, înainte de a avea un impact negativ asupra proceselor aferente activității unei instituții; … aa)RPO – obiectivul momentului de recuperare reprezintă perioada maximă anterioară momentului în care un serviciu este restaurat după o întrerupere, în care se acceptă pierderea datelor; … bb)exercițiu de testare a securității de tip «red team» – înseamnă un exercițiu care imită tactica, tehnicile și procedurile actorilor de amenințări din viața reală percepute ca reprezentând o amenințare cibernetică autentică, care oferă un test controlat, personalizat, desfășurat ca o simulare a unei tentative de atac în vederea compromiterii sistemelor critice aferente activității unei instituții, pentru a oferi o evaluare cuprinzătoare a capacității securității sistemelor TIC și a instituției. … (la 16-06-2021,
Alineatul (2) din Articolul 2 , Titlul I a fost modificat de Punctul 1, Articolul I din REGULAMENT nr. 2 din 21 mai 2021, publicată în MONITORUL OFICIAL nr. 599 din 16 iunie 2021
)
+
Titlul IIGestionarea riscurilor TIC și de securitate +
Capitolul I Dispoziții generale +
Articolul 3(1)Prestatorii de servicii de plată trebuie să prevadă într-un document formal măsuri de securitate adecvate pentru gestionarea riscurilor TIC și de securitate, legate de serviciile de plată pe care le oferă, cu respectarea dispozițiilor prevăzute în prezentul titlu.(2)Nivelul de detaliu al descrierii măsurilor de securitate prevăzute la alin. (1) trebuie să fie proporțional cu dimensiunea, organizarea internă a prestatorului de servicii de plată, precum și cu natura, scopul, extinderea, complexitatea și gradul de risc asociat serviciilor de plată și produselor pe care prestatorul de servicii de plată le oferă sau intenționează să le ofere.(3)Prestatorii de servicii de plată trebuie să fundamenteze în mod adecvat măsurile de securitate prevăzute la alin. (1) și să comunice documentația de fundamentare Băncii Naționale a României – Direcția monitorizare a infrastructurilor pieței financiare și a plăților, prin intermediul Rețelei de comunicații interbancare, anual, până cel târziu la data de 31 martie sau mai des la solicitarea acesteia.(4)Modificările intervenite cu privire la documentația prevăzută la alin. (1) se transmit Băncii Naționale a României – Direcția monitorizare a infrastructurilor pieței financiare și a plăților, în termen de 10 zile de la adoptarea deciziei cu privire la modificări.(5)Banca Națională a României (BNR) poate solicita prestatorilor de servicii de plată să pună la dispoziția acesteia orice alte date și informații pe care le consideră necesare în vederea evaluării adecvării la risc a măsurilor de securitate implementate de către prestatorii de servicii de plată. Prestatorii de servicii de plată au obligația de a pune la dispoziția BNR informațiile și documentele solicitate în termen de 10 zile de la primirea solicitării.(6)Banca Națională a României poate prelungi, cu maximum 90 de zile, termenul de comunicare a documentației prevăzut la alin. (3), în situații fundamentate de către prestatorii de servicii de plată, care necesită alocarea cât mai eficientă a resurselor umane și materiale existente la nivelul acestora, pentru punerea în aplicare a planurilor lor generale de asigurare a continuității activității în condițiile unor stări de urgență decretate de către autorități, sau alte situații speciale.(7)Prelungirea termenului prevăzut la alin. (6) se poate realiza în situația în care documentația pusă la dispoziția BNR, precum și istoricul acțiunilor întreprinse de prestatorii de servicii de plată probează față de BNR că îndeplinesc obligația de a deține, pe bază continuă, măsuri de securitate adecvate pentru gestionarea riscurilor TIC și de securitate.(8)Prelungirea termenului prevăzut la alin. (3), conform alin. (6), nu scutește prestatorii de servicii de plată de la îndeplinirea obligației de a deține, pe bază continuă, măsuri de securitate adecvate pentru gestionarea riscului TIC și de securitate. +
Capitolul II Guvernanța și strategia +
Secţiunea 1Guvernanța +
Articolul 4(1)Organul de conducere trebuie să se asigure că prestatorul de servicii de plată dispune de un cadru adecvat de administrare a activității sale de prestare de servicii aferente plăților și de un cadru de control intern corespunzător riscurilor sale TIC și de securitate.(2)Organul de conducere trebuie să stabilească roluri și responsabilități clare privind funcțiile TIC, administrarea riscurilor de securitate a informațiilor și continuitatea activității de prestare de servicii aferente plăților, inclusiv pentru organul de conducere și comitetele specializate ale prestatorului de servicii de plată, dacă este cazul. +
Articolul 5(1)Organul de conducere trebuie să se asigure că numărul și competențele membrilor personalului prestatorului de servicii de plată sunt corespunzătoare pentru a sprijini permanent nevoile acestuia operaționale TIC și proceselor sale de administrare a riscurilor TIC și de securitate, precum și pentru a asigura punerea în aplicare a strategiei sale TIC. (2)Organul de conducere trebuie să se asigure că bugetul alocat este corespunzător pentru a îndeplini strategia TIC a prestatorului de servicii de plată. +
Articolul 6Organul de conducere este pe deplin răspunzător de stabilirea, aprobarea și supravegherea punerii în aplicare a strategiei TIC a prestatorului de servicii de plată în cadrul strategiei sale generale de afaceri, precum și de stabilirea unui cadru eficace de administrare a riscurilor TIC și de securitate. +
Secţiunea a 2-aStrategia +
Articolul 7(1)Strategia TIC trebuie aliniată la strategia generală de afaceri a prestatorului de servicii de plată și trebuie să definească:a)modul în care trebuie să evolueze TIC a prestatorului de servicii de plată pentru a sprijini și a participa în mod eficient la strategia sa de afaceri, inclusiv la evoluția structurii organizatorice, a modificărilor din sistemul TIC și a dependențelor-cheie de terți; … b)strategia planificată și evoluția arhitecturii TIC, inclusiv a dependențelor de terți; … c)obiective clare de securitate a informațiilor, punând accent pe sisteme și servicii TIC, pe personal și procese. … (2)Prestatorii de servicii de plată trebuie să instituie procese de monitorizare și măsurare a eficacității punerii în aplicare a strategiei lor TIC. +
Articolul 8(1)Prestatorii de servicii de plată trebuie să stabilească seturi de planuri de acțiune care să conțină măsurile ce trebuie luate în vederea atingerii obiectivului strategiei TIC. (2)Planurile de acțiune menționate la alin. (1) trebuie să fie:a)comunicate tuturor membrilor relevanți ai personalului (inclusiv contractanților și furnizorilor terți, dacă este cazul și dacă este relevant); … b)revizuite periodic, pentru a se asigura relevanța și adecvarea acestora. … +
Secţiunea a 3-aExternalizarea unor funcții operaționale aferente serviciilor de plată +
Articolul 9(1)În cazul în care au fost externalizate funcții operaționale aferente serviciilor de plată și/sau servicii TIC și sisteme TIC ale oricărei activități de prestare de servicii aferente plăților, inclusiv către entitățile din grup, sau atunci când se folosesc furnizori terți, prestatorii de servicii de plată trebuie să asigure eficacitatea măsurilor de securitate prevăzute în prezentul titlu.(2)Pentru îndeplinirea obligațiilor prevăzute la alin. (1) prestatorii de servicii de plată trebuie să se asigure că în contractele și acordurile privind nivelul de calitate al serviciilor, atât în circumstanțe normale, cât și în caz de întrerupere a serviciului potrivit art. 51^1, cu furnizori de servicii de externalizare, entități din grup sau furnizori terți către care au externalizat funcțiile respective sunt incluse următoarele: a)obiective și măsuri corespunzătoare și proporționale de securitate a informațiilor, inclusiv cerințe precum cerințe minime de securitate cibernetică, specificații ale ciclului de viață al datelor instituțiilor financiare, orice cerințe privind criptarea datelor, securitatea rețelei și procesele de monitorizare a securității și amplasarea centrelor de date; … b)proceduri de gestionare a incidentelor operaționale și de securitate, inclusiv escaladarea și raportarea. … (3)Prestatorii de servicii de plată trebuie să monitorizeze și să se asigure că furnizorii către care au externalizat funcții operaționale îndeplinesc obiectivele de securitate, măsurile de securitate și obiectivele de performanță stabilite în acord cu alin. (2). (4)Prestatorii de servicii de plată rămân pe deplin responsabili pentru evaluarea eficacității măsurilor de securitate ale funcțiilor operaționale externalizate aferente serviciilor de plată și/sau serviciilor TIC și sistemelor TIC ale oricărei activități de prestare de servicii aferente plăților. +
Capitolul III Cadrul de gestionare a riscurilor TIC și de securitate +
Secţiunea 1Organizarea și obiectivele +
Articolul 10(1)Prestatorii de servicii de plată trebuie să își identifice și să își administreze adecvat riscurile TIC și de securitate.(2)Funcția (funcțiile) TIC responsabilă (responsabile) de sistemele TIC, procesele și operațiunile de securitate trebuie să dispună de procese și controale corespunzătoare pentru a se asigura că toate riscurile sunt identificate, analizate, măsurate, monitorizate, administrate, raportate și menținute în limitele apetitului la risc al prestatorului de servicii de plată și că proiectele și sistemele pe care le livrează și activitățile pe care le prestează sunt în conformitate cu cerințele externe și interne. +
Articolul 11(1)Prestatorii de servicii de plată trebuie să atribuie responsabilitatea administrării și supravegherii riscurilor TIC și de securitate unei funcții de control, prin aplicarea în mod corespunzător a prevederilor secțiunii a 4-a, capitolul I al titlului II din Regulamentul nr. 5/2013 privind cerințe prudențiale pentru instituțiile de credit, cu modificările și completările ulterioare.(2)Prestatorii de servicii de plată trebuie să asigure independența și obiectivitatea acestei funcții de control, separând-o în mod corespunzător de procesele operațiunilor TIC. (3)Prestatorii de servicii de plată trebuie să se asigure că funcția de control menționată la alin. (1):a)este direct răspunzătoare în fața organului de conducere și este responsabilă de monitorizarea și controlul respectării cadrului de administrare a riscurilor TIC și de securitate; … b)trebuie să asigure că riscurile TIC și de securitate sunt identificate, măsurate, evaluate, administrate, monitorizate și raportate; … c)nu este responsabilă de niciun audit intern. … +
Articolul 12Funcția de audit intern stabilită prin aplicarea în mod corespunzător a prevederilor relevante din cadrul secțiunii a 4-a, capitolul I al titlului II din Regulamentul nr. 5/2013 privind cerințe prudențiale pentru instituțiile de credit, cu modificările și completările ulterioare, trebuie să aibă capacitatea, urmând o abordare bazată pe riscuri, de a revizui independent și de a oferi asigurări obiective cu privire la conformarea tuturor unităților și activităților TIC și de securitate ale prestatorului de servicii de plată cu politicile și procedurile acestuia și cu cerințele externe. +
Articolul 13(1)Prestatorii de servicii de plată trebuie să stabilească un cadru de gestionare a riscurilor TIC și de securitate potrivit prevederilor art. 218 alin. (1) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, denumit în continuare cadru de gestionare a riscurilor.(2)Cadrul de gestionare a riscurilor prevăzut la alin. (1) trebuie integrat în întregime în procesele generale de gestionare a riscurilor ale prestatorilor de servicii de plată și în concordanță cu aceste procese. +
Articolul 14Prestatorii de servicii de plată trebuie să definească și să desemneze rolurile și responsabilitățile-cheie, precum și liniile de raportare relevante, necesare pentru punerea în aplicare a măsurilor de securitate și pentru gestionarea riscurilor TIC și de securitate. +
Articolul 15(1)Cadrul de gestionare al riscurilor TIC elaborat de către prestatorii de servicii de plată potrivit art. 13 trebuie să includă stabilirea de procese pentru:a)determinarea apetitului la risc, în cazul riscurilor TIC și de securitate, în conformitate cu apetitul la risc al prestatorului de servicii de plată; … b)identificarea, măsurarea, monitorizarea și gestionarea gamei de riscuri TIC și de securitate, care decurg din activitatea de prestare de servicii aferente plăților desfășurată de prestatorul de servicii de plată și la care acesta este expus, inclusiv măsurile de asigurare a continuității activității de prestare de servicii aferente plăților prevăzute în cap. VII al prezentului titlu; … c)definirea măsurilor de diminuare a riscurilor TIC și de securitate, inclusiv a controalelor aferente acestora; … d)monitorizarea eficacității măsurilor stabilite potrivit lit. c), precum și a numărului de incidente TIC operaționale sau de securitate raportate la nivel intern, inclusiv a celor majore raportate în conformitate cu titlul III, care afectează activitățile legate de TIC, precum și acționarea în sensul corectării acestor măsuri, dacă este cazul; … e)raportarea către organul de conducere cu privire la riscurile TIC și de securitate și cu privire la controalele aferente acestora; … f)identificarea și evaluarea posibilității de apariție a riscurilor TIC și de securitate în urma modificărilor majore ale sistemelor sau serviciilor TIC, ale proceselor sau procedurilor TIC și/sau după orice incident major operațional sau de securitate. … (2)Cadrul de gestionare a riscurilor TIC și de securitate trebuie să fie documentat în mod corespunzător și îmbunătățit pe bază continuă cu experiența dobândită și documentată pe parcursul punerii în aplicare și monitorizării acestuia.(3)Cadrul de administrare a riscurilor TIC și de securitate trebuie aprobat și revizuit, cel puțin o dată pe an, de către organul de conducere. +
Secţiunea a 2-a Identificarea funcțiilor, a proceselor și a activelor +
Articolul 16Prestatorii de servicii de plată trebuie să identifice, să stabilească și să mențină o diagramă funcțională actualizată a funcțiilor activității lor de prestare de servicii aferente plăților, a rolurilor și a proceselor-suport, pentru a identifica importanța fiecăreia dintre ele, interdependențele acestora, raportat la riscurile TIC și de securitate. +
Articolul 17Prestatorii de servicii de plată trebuie să identifice, să stabilească și să mențină o diagramă funcțională actualizată a activelor informaționale care susțin funcțiile activității lor de prestare de servicii aferente plăților și procesele-suport, cum ar fi sistemele TIC cu personalul, contractanții, terții și dependențele de alte sisteme și procese interne și externe, în vederea gestionării, cel puțin, a activelor informaționale care sprijină procesele și funcțiile critice ale activității lor de prestare a serviciilor aferente plăților. +
Secţiunea a 3-aClasificarea și evaluarea riscurilor +
Articolul 18(1)Prestatorii de servicii de plată trebuie să clasifice funcțiile activității lor de prestare de servicii aferente plăților, procesele-suport și activele informaționale identificate potrivit art. 16 și 17, în funcție de nivelul critic al acestora.(2)Prestatorii de servicii de plată trebuie să realizeze clasificarea potrivit alin. (1) prin definirea nivelului critic cu luarea în considerare, cel puțin, a cerințelor de confidențialitate, integritate și disponibilitate.(3)Prestatorii de servicii de plată trebuie să atribuie răspunderi și responsabilități clare pentru activele informaționale. (4)Prestatorii de servicii de plată trebuie să revizuiască caracterul adecvat al clasificării activelor informaționale și al documentației relevante, atunci când efectuează o evaluare a riscurilor. +
Articolul 19(1)Prestatorii de servicii de plată trebuie să efectueze o evaluare a riscurilor TIC și de securitate prin identificarea acestor riscuri cu impact asupra funcțiilor activității lor de prestare de servicii aferente plăților, proceselor-suport și activelor informaționale, identificate și clasificate în funcție de nivelul critic al acestora potrivit art. 18.(2)Prestatorii de servicii de plată trebuie să efectueze și să documenteze evaluările riscurilor cel puțin anual. (3)Evaluarea riscurilor prevăzută la alin. (1) și (2) trebuie să fie efectuată și din perspectiva gestionării oricăror modificări majore ale infrastructurii, proceselor sau procedurilor care afectează funcțiile activității lor de prestare de servicii aferente plăților, procesele-suport sau activele informaționale. (4)Prestatorii de servicii de plată trebuie să se asigure că monitorizează permanent amenințările și vulnerabilitățile relevante pentru procesele activității lor de prestare de servicii aferente plăților, funcțiile-suport și activele informaționale și să revizuiască în mod regulat scenariile de risc cu impact asupra lor. +
Secţiunea a 4-a Diminuarea riscului +
Articolul 20(1)Pe baza evaluării riscurilor efectuată potrivit art. 19, prestatorii de servicii de plată trebuie să stabilească ce măsuri sunt necesare și dacă sunt necesare modificări ale proceselor activității lor de prestare de servicii aferente plăților, ale măsurilor de control, ale sistemelor și serviciilor TIC existente pentru diminuarea la un nivel acceptabil a riscurilor TIC și de securitate identificate.(2)Prestatorii de servicii de plată trebuie să ia în considerare durata necesară pentru punerea în aplicare a modificărilor prevăzute la alin. (1) și pentru luarea măsurilor provizorii adecvate în vederea diminuării riscurilor TIC și de securitate, astfel încât acestea să nu depășească apetitul la riscurile TIC și de securitate al prestatorului de servicii de plată. +
Articolul 21Prestatorii de servicii de plată trebuie să elaboreze și să pună în aplicare măsuri pentru diminuarea riscurilor TIC și de securitate identificate și pentru a proteja activele informaționale, în funcție de clasificarea lor. +
Secţiunea a 5-a Raportarea +
Articolul 22(1)Prestatorii de servicii de plată trebuie să raporteze în mod clar și la timp organului de conducere rezultatele evaluării riscurilor TIC și de securitate. (2)Raportarea realizată potrivit alin. (1) nu aduce atingere obligației prestatorilor de servicii de plată de a furniza Băncii Naționale a României o evaluare actualizată și detaliată a riscurilor, astfel cum se prevede la art. 218 alin. (2) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative. +
Articolul 22^1Prestatorii de servicii de plată vor remite anual, până la data de 31 martie, pentru anul anterior, prin intermediul Rețelei de comunicații interbancare, următoarele informații:a)scenariile de test avute în vedere potrivit art. 43 și rezultatele testărilor prevăzute la art. 46; … b)extrase din rapoartele auditorilor, care să conțină concluziile acestora cu privire la reziliența cadrului de administrare a activității de prestare de servicii aferente plăților, sistemelor și proceselor aferente riscurilor TIC și de securitate; … c)modificările semnificative aduse cadrului de administrare a activității de prestare de servicii aferente plăților, sistemelor și proceselor aferente riscurilor TIC și de securitate, inclusiv a locațiilor sediilor secundare ce asigură continuitatea activității de procesare a plăților, decontărilor și a instrumentelor de plată. … +
Secţiunea a 6-a Auditul +
Articolul 23(1)Prestatorii de servicii de plată trebuie să se asigure că cadrul de administrare a activității de prestare de servicii aferente plăților, sistemele și procesele aferente riscurilor TIC și de securitate sunt auditate periodic de către auditori cu suficiente cunoștințe, competențe și experiență în riscurile TIC și de securitate și în plăți, pentru a oferi organului de conducere asigurări independente cu privire la eficacitatea acestora.(2)Prestatorii de servicii de plată trebuie să se asigure că auditarea efectuată potrivit alin. (1) este realizată de auditori independenți din punct de vedere operațional de prestatorul de servicii de plată, indiferent dacă își desfășoară activitatea în cadrul sau separat de acesta.(3)Frecvența și obiectul auditurilor realizate potrivit alin. (1) trebuie să fie proporționale cu riscurile TIC și de securitate relevante. (4)Organul de conducere al unui prestator de servicii de plată trebuie să aprobe planul de audit care stă la baza auditurilor realizate potrivit alin. (1), inclusiv orice audituri TIC și orice modificări semnificative ale acestuia.(5)Planul de audit și execuția sa, inclusiv frecvența auditului, trebuie să reflecte și să fie proporționale cu riscurile TIC și de securitate asociate activității de prestare de servicii aferente plăților a prestatorului de servicii de plată și trebuie actualizat cel puțin anual. +
Articolul 24Prestatorii de servicii de plată trebuie să instituie un proces formal de monitorizare la nivel intern care să includă dispoziții pentru verificarea și remedierea la timp a constatărilor critice rezultate din auditul TIC. +
Capitolul IVMăsurile de securitate preventive +
Secţiunea 1 Dispoziții generale +
Articolul 25Prestatorii de servicii de plată trebuie să elaboreze și să pună în aplicare măsuri de securitate preventive împotriva riscurilor TIC și de securitate identificate. +
Articolul 26Prestatorii de servicii de plată trebuie să elaboreze și să implementeze măsurile de securitate preventive potrivit art. 25, prin utilizarea unei abordări de tipul «apărare în adâncime», instituind controale pe mai multe niveluri, care vizează persoane, procese și tehnologia, fiecare nivel servind drept mecanism de siguranță pentru nivelurile anterioare. +
Secţiunea a 2-a Politica în domeniul securității informațiilor +
Articolul 27(1)Prestatorii de servicii de plată trebuie să dezvolte și să documenteze o politică în domeniul securității informațiilor care trebuie să definească principiile generale și normele de protejare a confidențialității, integrității și disponibilității datelor și informațiilor prestatorilor de servicii de plată și ale clienților lor.(2)Politica prevăzută la alin. (1) trebuie să fie inclusă în documentul privind politica de securitate în materia prestării serviciilor de plată, care este adoptat în conformitate cu art. 29 alin. (1) lit. m) din Regulamentul nr. 4/2019 privind instituțiile de plată și furnizorii specializați în servicii de informare cu privire la conturi.(3)Politica în domeniul securității informațiilor trebuie să fie în concordanță cu obiectivele de securitate a informațiilor ale prestatorilor de servicii de plată stabilite potrivit art. 7 alin. (1) lit. c) și trebuie să se bazeze pe rezultatele relevante ale procesului de evaluare a riscurilor TIC și de securitate ale activității lor de prestare de servicii aferente plăților. (4)Politica în domeniul securității informațiilor realizată potrivit alin. (1) trebuie aprobată de organul de conducere.(5)Politica în domeniul securității informațiilor trebuie:a)să conțină o descriere a rolurilor și responsabilităților principale de gestionare a securității informațiilor; … b)să stabilească cerințele referitoare la securitatea informațiilor pentru personal și contractanți, procese și tehnologie, inclusiv cu privire la faptul că personalul și contractanții de la toate nivelurile trebuie să fie responsabili în asigurarea securității informațiilor prestatorilor de servicii de plată; … c)să asigure confidențialitatea, integritatea și disponibilitatea activelor fizice și logice critice, ale resurselor și ale datelor sensibile privind plățile, aferente prestatorilor de servicii de plată, fie că sunt în stare de repaus, în tranzit sau în folosință; … d)să fie comunicată tuturor membrilor personalului și contractanților prestatorilor de servicii de plată. … (6)Dacă datele sensibile privind plățile includ date cu caracter personal, astfel de măsuri trebuie puse în aplicare în conformitate cu prevederile art. 217 din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative. +
Articolul 28(1)Prestatorii de servicii de plată trebuie să instituie și să pună în aplicare măsuri de securitate pentru diminuarea riscurilor TIC și de securitate la care sunt expuși, pe baza politicii în domeniul securității informațiilor.(2)Măsurile de securitate prevăzute la alin. (1) trebuie să includă:a)organizarea și administrarea activității; … b)securitatea logică; … c)securitatea fizică; … d)securitatea operațiunilor TIC; … e)monitorizarea securității; … f)revizuirea, evaluarea și testarea securității informațiilor; … g)formarea profesională și conștientizarea cu privire la securitatea informațiilor. … +
Secţiunea a 3-aSecuritatea logică +
Articolul 29(1)Prestatorii de servicii de plată trebuie să definească, să documenteze, să pună în aplicare și să impună proceduri de control al accesului logic pentru gestionarea identității și a accesului.(2)Procedurile prevăzute la alin. (1) trebuie să fie monitorizate permanent, să includă controale pentru monitorizarea anomaliilor și să fie revizuite cel puțin anual. +
Articolul 30(1)Procedurile prevăzute la art. 29 trebuie să pună în aplicare cel puțin următoarele elemente:a)necesitatea de a cunoaște, potrivit căreia prestatorii de servicii de plată trebuie să gestioneze drepturile de acces la activele informaționale și la sistemele lor suport pe baza principiului «necesității de a cunoaște», inclusiv în ceea ce privește accesul de la distanță; … b)privilegiile minime și separarea sarcinilor, potrivit cărora prestatorii de servicii de plată trebuie să acorde utilizatorilor drepturile minime de acces strict necesare pentru executarea sarcinilor lor (principiul «privilegiilor minime»), și anume pentru a proteja împotriva accesului nejustificat al utilizatorilor la un set mare de date sau pentru a împiedica alocarea unor combinații de drepturi de acces care pot fi utilizate pentru a eluda controalele (principiul «separării sarcinilor»); … c)cerința operațională legitimă, potrivit căreia prestatorii de servicii de plată trebuie să instituie controale eficiente care să asigure că accesul la sistemele TIC este permis doar persoanelor cu o cerință operațională legitimă; … d)răspunderea utilizatorului: potrivit căreia prestatorii de servicii de plată trebuie să limiteze pe cât posibil utilizarea de conturi de utilizator generice și partajate și trebuie să se asigure că utilizatorii pot fi identificați pentru acțiunile întreprinse în sistemele TIC; … e)drepturile de acces privilegiat, potrivit cărora prestatorii de servicii de plată trebuie să instituie controale stricte privind accesul privilegiat la sisteme TIC, prin limitarea strictă și prin supravegherea îndeaproape a conturilor utilizatorilor cu drepturi sporite de acces la sistem, inclusiv a conturilor de administrator; … f)comunicarea în condiții de siguranță și reducerea riscurilor, potrivit cărora prestatorii de servicii de plată trebuie să acorde accesul administrativ de la distanță la sistemele TIC critice numai pe baza principiului necesității de a cunoaște și atunci când se utilizează soluții de autentificare puternice, din categoria celor specificate la lit. j); … g)înregistrarea activităților utilizatorilor, potrivit căreia prestatorii de servicii de plată trebuie să se asigure că toate activitățile utilizatorilor cu drepturi sporite de acces la sistem trebuie cel puțin înregistrate și monitorizate și că jurnalele de acces sunt securizate pentru a împiedica modificarea sau ștergerea neautorizată a acestora. Prestatorii de servicii de plată trebuie să utilizeze aceste informații pentru facilitarea identificării și investigării activităților atipice, detectate în cadrul activității de prestare de servicii aferente plăților; … h)gestionarea accesului, potrivit căreia prestatorii de servicii de plată trebuie să acorde, să retragă sau să modifice drepturile de acces în conformitate cu termenele prevăzute în cadrul procedurilor interne, fără întârzieri nejustificate, și cu fluxurile de lucru de aprobare care îl implică pe proprietarul informațiilor accesate (proprietarul activelor informaționale). În caz de încetare a contractului de muncă al utilizatorilor, drepturile de acces trebuie retrase cel mai târziu până la încetarea raporturilor de muncă; … i)recertificarea accesului, potrivit căreia drepturile de acces prevăzute la lit. a) trebuie revizuite periodic, însă cel puțin anual pentru a se asigura că utilizatorii nu dețin privilegii excesive și că drepturile de acces sunt retrase atunci când nu mai sunt necesare; … j)metodele de autentificare, potrivit cărora prestatorii de servicii de plată trebuie să aplice metode de autentificare suficient de solide care să asigure respectarea adecvată și eficientă a politicilor și procedurilor de control al accesului. Metodele de autentificare trebuie să fie proporționale cu nivelul critic al sistemelor TIC, al informațiilor sau al procesului care sunt accesate. Acestea trebuie să conțină cel puțin parole complexe sau metode de autentificare mai sigure (cum ar fi autentificarea cu doi factori), în funcție de riscul relevant. … (2)Prestatorii de servicii de plată trebuie să păstreze jurnalele prevăzute la alin. (1) lit. g) pe o perioadă de timp proporțională cu nivelul critic al funcțiilor activității lor de prestare de servicii aferente plăților, proceselor de asistență și activelor informaționale, identificate în conformitate cu prevederile secțiunii a 3-a din capitolul III, fără a aduce atingere legislației naționale aplicabile referitoare la cerințele de păstrare a datelor.(3)În înțelesul prezentului articol, termenul utilizator include și utilizatori tehnici. +
Articolul 31Prestatorii de servicii de plată trebuie să se asigure că autorizarea accesului electronic la date și sisteme TIC, prin intermediul unor aplicații, este limitată la minimul necesar pentru prestarea serviciului de plată relevant. +
Articolul 32(1)Prestatorii de servicii de plată trebuie să se asigure că funcționarea produselor, a instrumentelor și a procedurilor referitoare la procesele de control al accesului sunt eficiente din perspectiva protejării respectivelor procese împotriva compromiterii sau eludării acestora.(2)Obligația prestatorilor de servicii de plată prevăzută la alin. (1) include înregistrarea, transmiterea, revocarea și retragerea produselor, instrumentelor și procedurilor corespunzătoare. +
Secţiunea a 4-aSecuritatea fizică +
Articolul 33Prestatorii de servicii de plată trebuie să definească, să documenteze și să pună în aplicare măsuri de securitate fizică corespunzătoare pentru a-și proteja sediile, centrele de date și zonele sensibile, în special a celor destinate pentru gestionarea datelor sensibile privind plățile ale utilizatorilor de servicii de plată, precum și a sistemelor TIC utilizate pentru prestarea serviciilor de plată, împotriva accesului neautorizat și al pericolelor de mediu. +
Articolul 34(1)Accesul fizic la sistemele TIC trebuie să fie permis numai persoanelor care sunt autorizate.(2)Autorizarea prevăzută la alin. (1) trebuie atribuită în conformitate cu sarcinile și responsabilitățile personalului, limitată la persoanele care sunt instruite și monitorizate în mod corespunzător.(3)Accesul fizic trebuie revizuit periodic pentru a se asigura că drepturile de acces sunt revocate imediat ce nu mai sunt necesare. +
Articolul 35Prestatorii de servicii de plată trebuie să instituie măsuri adecvate de protecție împotriva pericolelor de mediu, care trebuie să fie proporționale cu importanța clădirilor și nivelul critic al operațiunilor sau al sistemelor TIC din aceste clădiri, utilizate pentru prestarea serviciilor de plată. +
Secţiunea a 5-aSecuritatea operațiunilor TIC +
Articolul 35^1(1)Prestatorii de servicii de plată trebuie să pună în aplicare proceduri care să împiedice apariția de probleme de securitate în sistemele și prestarea serviciilor TIC și trebuie să minimizeze impactul acestora asupra prestării de servicii TIC.(2)Procedurile stabilite potrivit alin. (1) trebuie să cuprindă următoarele măsuri:a)identificarea posibilelor vulnerabilități, care trebuie evaluate și remediate prin asigurarea actualizării programelor software și firmware, inclusiv a programelor software furnizate de prestatorii de servicii de plată utilizatorilor lor interni și externi, prin instalarea de patch-uri de securitate critice sau prin punerea în aplicare de controale compensatoare; … b)implementarea de configurații securizate de referință pentru toate componentele rețelei; … c)implementarea segmentării rețelei, a unor sisteme de prevenire a pierderii datelor și criptarea traficului din rețea, în conformitate cu clasificarea datelor, respectiv critice sau sensibile privind plățile; … d)implementarea protecției punctelor finale de acces, inclusiv a serverelor, a stațiilor de lucru și a dispozitivelor mobile; … e)evaluarea dacă punctele finale de acces respectă standardele de securitate definite de prestatorii de servicii de plată, înainte de a li se acorda accesul la rețeaua prestatorului de servicii de plată sau a entităților către care au fost externalizate servicii operaționale; … f)asigurarea existenței și funcționării corespunzătoare a unor mecanisme de verificare a integrității programelor și aplicațiilor software, a firmware-ului și a datelor; … g)asigurarea că direcționarea, colectarea, prelucrarea, stocarea și/sau arhivarea și vizualizarea datelor sensibile privind plățile ale utilizatorului de servicii de plată sunt adecvate, relevante și limitate la ceea ce este necesar pentru prestarea serviciilor de plată; … h)criptarea datelor în stare de repaus, precum și a celor transmise prin intermediul unui canal de comunicare se realizează în conformitate cu clasificarea datelor, respectiv critice sau sensibile privind plățile. … +
Articolul 35^2(1)Prestatorii de servicii de plată trebuie să stabilească pe bază continuă dacă modificările la nivelul mediului operațional existent influențează măsurile de securitate existente sau dacă impun adoptarea de măsuri suplimentare pentru diminuarea în mod corespunzător a riscurilor asociate.(2)Modificările prevăzute la alin. (1) trebuie să facă parte din procesul formal de gestionare a modificărilor al prestatorilor de servicii de plată, proces care trebuie să asigure planificarea, testarea, documentarea, autorizarea și aplicarea corespunzătoare a modificărilor. +
Secţiunea a 6-aMonitorizarea securității +
Articolul 36(1)Prestatorii de servicii de plată trebuie să instituie și să pună în aplicare politici și proceduri pentru monitorizarea continuă a funcțiilor activității de prestare de servicii aferente plăților, proceselor de asistență, precum și a activelor informaționale și TIC, activității lor de prestare de servicii aferente plăților, pentru a detecta activitățile anormale care pot afecta securitatea informațiilor prestatorilor de servicii de plată și pentru a răspunde în mod corespunzător acestor evenimente.(2)În cadrul monitorizării continue prevăzute la alin. (1), prestatorii de servicii de plată trebuie să implementeze mecanisme corespunzătoare și eficiente de detectare și raportare a intruziunilor logice sau fizice, precum și a încălcărilor confidențialității, integrității și disponibilității activelor informaționale utilizate în prestarea serviciilor de plată.(3)Prestatorii de servicii de plată trebuie să aloce și să dețină resurse corespunzătoare pentru îndeplinirea obligațiilor prevăzute la alin. (1) și (2). +
Articolul 37Politicile și procedurile de monitorizare continuă și detectare prevăzute la art. 36 trebuie să acopere:a)factorii interni și externi relevanți, inclusiv funcțiile administrative privind TIC și cele ale activității lor de prestare de servicii aferente plăților; … b)operațiunile pentru detectarea utilizării abuzive a accesului de către terți sau de către alte entități și a utilizării abuzive a accesului intern; … c)amenințările interne și externe potențiale. … +
Articolul 38(1)Prestatorii de servicii de plată trebuie să instituie și să pună în aplicare procese și structuri organizatorice, pentru a identifica și monitoriza constant amenințările de securitate care ar putea afecta semnificativ capacitatea acestora de a presta servicii de plată.(2)Prestatorii de servicii de plată trebuie să monitorizeze activ evoluțiile tehnologice, pentru a se asigura că au în vedere riscurile TIC și de securitate.(3)Prestatorii de servicii de plată trebuie să pună în aplicare măsuri de detecție pentru a identifica eventualele scurgeri de informații, coduri dăunătoare și alte amenințări la adresa securității și vulnerabilitățile cunoscute în mod public ale echipamentelor, aplicațiilor și sistemelor TIC și să verifice existența unor noi actualizări de securitate corespunzătoare.(4)Presatorul de servicii de plată trebuie să utilizeze procesul de monitorizare a securității prevăzut la alin. (1) în scopul susținerii înțelegerii naturii incidentelor operaționale sau de securitate, al identificării tendințelor în materie de securitate și al sprijinirii investigațiilor organizației. +
Articolul 39(1)Prestatorii de servicii de plată trebuie să analizeze incidentele operaționale sau de securitate care au fost identificate sau care au avut loc în cadrul și/sau în afara prestatorului de servicii de plată.(2)Prestatorii de servicii de plată trebuie să ia în considerare experiența dobândită ca urmare a analizei realizate potrivit alin. (1) și să actualizeze în consecință măsurile de securitate prevăzute potrivit dispozițiilor prezentului titlu. +
Secţiunea a 7-aRevizuirea, evaluarea și testarea măsurilor de securitate a informațiilor +
Articolul 40(1)Prestatorii de servicii de plată trebuie să realizeze o varietate de revizuiri, evaluări și testări ale securității informațiilor pentru a asigura identificarea eficientă a vulnerabilităților din sistemele și serviciile lor TIC.(2)În desfășurarea activităților prevăzute la alin. (1) prestatorii de servicii de plată trebuie:a)să realizeze cel puțin analiza deficiențelor pe baza standardelor de securitate a informațiilor, revizuiri ale conformității, audituri interne și externe ale sistemelor informatice sau revizuiri ale securității fizice; … b)să țină seama de bunele practici, cum ar fi: revizuiri ale codului-sursă, evaluări ale vulnerabilităților, teste de penetrare și exerciții de testare a securității de tip «red team». … +
Articolul 41Prestatorii de servicii de plată trebuie să elaboreze și să pună în aplicare un cadru de testare al măsurilor de securitate a informațiilor stabilite de aceștia în aplicarea prezentului titlu, care să valideze robustețea și eficiența măsurilor de securitate a informațiilor și să se asigure că acest cadru de testare este adaptat pentru a lua în considerare noile amenințări și vulnerabilități, identificate prin intermediul procesului de monitorizare a amenințărilor și de evaluare a riscurilor TIC și de securitate. +
Articolul 42(1)Cadrul de testare prevăzut la art. 41 trebuie să asigure că testele:a)sunt efectuate ca parte a procesului formal de gestionare a modificărilor, care trebuie prevăzut de către prestatorii de servicii de plată, pentru a asigura robustețea și eficiența măsurilor de securitate a informațiilor; … b)sunt efectuate de verificatori independenți, care au cunoștințe, competențe și expertize suficiente în testarea măsurilor de securitate a informațiilor aferente serviciilor de plată și care nu sunt implicați în dezvoltarea măsurilor de securitate a informațiilor aferente serviciilor de plată sau a sistemelor care urmează să fie testate; … c)includ scanări ale vulnerabilităților și teste de penetrare (inclusiv teste de penetrare bazate pe amenințări) corespunzătoare nivelului de risc identificat în cadrul sistemelor și proceselor aferente activității de prestare de servicii de plată; … d)cuprind examinarea măsurilor de securitate relevante. … (2)Măsurile de securitate relevante prevăzute la alin. (1) lit. d) se referă la:a)terminalele de plată și dispozitivele utilizate pentru prestarea serviciilor de plată; … b)terminalele de plată și dispozitivele utilizate pentru autentificarea utilizatorului de servicii de plată; … c)dispozitivele, programele și aplicațiile software furnizate de prestatorul de servicii de plată utilizatorului de servicii de plată pentru a genera/primi un cod de autentificare. … +
Articolul 43Prestatorii de servicii de plată trebuie să se asigure că testele măsurilor de securitate prevăzute la art. 42 includ scenariile atacurilor potențiale cunoscute și relevante, pe baza amenințărilor la adresa securității constatate și a modificărilor efectuate. +
Articolul 44(1)Prestatorii de servicii de plată trebuie să efectueze testele prevăzute la art. 42 pe bază continuă și în mod repetat, cu privire la măsurile de securitate aferente serviciilor de plată oferite de aceștia.(2)Prestatorii de servicii de plată trebuie să efectueze, cel puțin anual, testarea sistemelor TIC, care au fost identificate drept critice pentru prestarea serviciilor de plată potrivit art. 18 alin. (1).(3)Testele realizate potrivit alin. (2) trebuie să facă parte din evaluarea detaliată a riscurilor de securitate asociate serviciilor de plată pe care aceștia le prestează, în conformitate cu art. 218 alin. (2) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative.(4)Sistemele care nu sunt critice trebuie testate regulat de către prestatorii de servicii de plată printr-o abordare bazată pe riscuri, dar cel puțin la fiecare trei ani. +
Articolul 45Prestatorii de servicii de plată trebuie să se asigure că testele măsurilor de securitate se efectuează în următoarele situații:a)în eventualitatea unor modificări ale infrastructurii, proceselor și procedurilor; … b)în situația în care aceste modificări sunt efectuate ca urmare a unor incidente operaționale sau de securitate majore; … c)în cazul lansării de aplicații critice cu acces la internet, noi sau modificate substanțial. … +
Articolul 46Prestatorii de servicii de plată trebuie să monitorizeze și să evalueze rezultatele testelor de securitate efectuate și să își actualizeze măsurile de securitate în mod corespunzător și fără întârzieri nejustificate în ceea ce privește sistemele TIC critice, identificate conform dispozițiilor art. 18 alin. (1). +
Secţiunea a 8-aPrograme de formare și de cunoaștere în materie de securitate +
Articolul 47(1)Prestatorii de servicii de plată trebuie să stabilească un program de formare profesională care trebuie:a)să includă programe periodice de conștientizare cu privire la securitate pentru toți membrii personalului și contractanți, pentru a se asigura că aceștia sunt instruiți pentru a-și îndeplini sarcinile și responsabilitățile, în conformitate cu procedurile și politicile de securitate relevante, în vederea prevenirii și diminuării factorilor de risc precum eroarea umană, furtul, frauda, utilizarea abuzivă sau pierderea și pentru a aborda adecvat riscurile TIC și de securitate asociate securității informațiilor; … b)să asigure instruirea tuturor membrilor personalului și contractanților cel puțin anual și, dacă este necesar, mai frecvent, la inițiativa prestatorului de servicii de plată ori la solicitarea Băncii Naționale a României. … (2)Prestatorii de servicii de plată trebuie să se asigure că toți membrii personalului, inclusiv persoanele care îndeplinesc rolurile-cheie și responsabilitățile-cheie asociate acestora, identificate conform dispozițiilor art. 16, sunt instruiți anual sau mai frecvent, dacă este necesar, prin programe de formare profesională adecvată cu privire la riscurile TIC și de securitate, inclusiv cu privire la securitatea informațiilor. (3)Tematica programelor prevăzute la alin. (1) trebuie să conțină inclusiv dispoziții cu privire la modalitatea în care membrii personalului prestatorului de servicii de plată sunt obligați să raporteze toate incidentele sau activitățile neobișnuite. +
Capitolul VGestionarea operațiunilor TIC +
Secţiunea 1Dispoziții generale +
Articolul 47^1(1)Prestatorii de servicii de plată trebuie să își gestioneze, în ceea ce privește prestarea de servicii de plată, operațiunile TIC pe bază de procese și proceduri documentate, care să fie incluse în politica de securitate prin aplicarea în mod corespunzător a prevederilor art. 29 alin. (1) lit. m) din Regulamentul nr. 4/2019 privind instituțiile de plată și furnizorii specializați în servicii de informare cu privire la conturi. (2)Setul de documente prevăzut la alin. (1) trebuie:a)să fie aprobat de organul de conducere și să fie pus în aplicare de către prestatorii de servicii de plată în mod corespunzător; … b)să definească modul în care prestatorii de servicii de plată operează, monitorizează și își verifică sistemele și serviciile TIC, inclusiv documentarea operațiunilor TIC critice; … c)să permită prestatorilor de servicii de plată să își actualizeze inventarul activelor TIC. … +
Articolul 47^2(1)Prestatorii de servicii de plată trebuie să se asigure că performanța operațiunilor TIC este în concordanță cu cerințele lor de afaceri.(2)Prestatorii de servicii de plată trebuie să mențină și să își îmbunătățească, atunci când este posibil, eficiența operațiunilor TIC, cel puțin cu privire la necesitatea de a analiza modul în care pot fi minimizate eventualele erori ce decurg din executarea sarcinilor manuale. +
Articolul 47^3Prestatorii de servicii de plată trebuie să pună în aplicare proceduri privind înregistrarea și monitorizarea în cazul operațiunilor TIC critice, pentru a permite detectarea, analiza și corectarea erorilor. +
Articolul 47^4(1)Prestatorii de servicii de plată trebuie să mențină un inventar actualizat al activelor, inclusiv al sistemelor TIC, dispozitivelor de rețea și al bazelor de date. (2)Inventarul activelor TIC realizat potrivit prevederilor alin. (1) trebuie să conțină configurația activelor TIC, legăturile și interdependențele dintre diferitele active TIC, pentru a permite un proces adecvat de gestionare a configurațiilor și modificărilor.(3)Inventarul activelor TIC trebuie să fie suficient de detaliat pentru a permite identificarea imediată a unui activ TIC, a amplasamentului acestuia, a nivelului de securitate și a proprietarului.(4)Interdependențele dintre active trebuie documentate, pentru a ajuta prestatorii de servicii de plată să intervină în caz de incidente de securitate sau operaționale, inclusiv în caz de atacuri cibernetice. +
Articolul 47^5(1)Prestatorii de servicii de plată trebuie să monitorizeze și să gestioneze ciclurile de viață ale activelor TIC, inclusiv cele dedicate utilizatorilor de servicii de plată, pentru a se asigura că acestea îndeplinesc și susțin în continuare cerințele de afaceri și de administrare a riscurilor TIC și de securitate. (2)Prestatorii de servicii de plată trebuie să monitorizeze dacă furnizorii lor interni sau externi și dezvoltatorii oferă asistență pentru activele lor TIC și dacă sunt instalate toate patch-urile și actualizările relevante pe bază de procese documentate. (3)Riscurile care decurg din activele TIC învechite sau pentru care nu se mai oferă suport trebuie evaluate și diminuate. +
Articolul 47^6Prestatorii de servicii de plată trebuie să pună în aplicare procese de planificare și monitorizare a performanței și capacității, pentru a împiedica, a detecta și a răspunde prompt problemelor importante legate de performanța sistemelor TIC și de deficiențe ale capacității TIC. +
Articolul 47^7(1)Prestatorii de servicii de plată trebuie să definească și să implementeze proceduri pentru realizarea de copii de rezervă și de restaurare a datelor și a sistemelor TIC, pentru a se asigura că acestea pot fi recuperate, conform cerințelor.(2)Domeniul de aplicare și frecvența operațiunilor de realizare a copiilor de rezervă prevăzute la alin. (1) trebuie stabilite în conformitate cu cerințele de redresare a activității de prestare de servicii aferente plăților și cu nivelul critic al datelor și al sistemelor TIC și trebuie analizate în funcție de evaluarea riscurilor. (3)Testarea procedurilor de realizare a copiilor de rezervă și de restaurare trebuie efectuată periodic.(4)Prestatorii de servicii de plată trebuie să asigure că este efectuată stocarea în siguranță a copiilor de rezervă ale datelor și ale sistemelor TIC realizate potrivit alin. (1), la o distanță suficient de mare față de amplasamentul principal, pentru a nu fi expuse acelorași riscuri. +
Secţiunea a 2-aGestionarea și raportarea problemelor și incidentelor TIC operaționale sau de securitate +
Articolul 47^8(1)Prestatorii de servicii de plată trebuie să elaboreze și să pună în aplicare un proces de gestionare a problemelor și incidentelor, pentru a monitoriza și înregistra incidentele TIC operaționale sau de securitate și pentru a permite prestatorilor de servicii de plată să continue sau să reia rapid procesele și funcțiile critice activității lor de prestare de servicii aferente plăților, atunci când se produc întreruperi. (2)Prestatorii de servicii de plată trebuie să stabilească praguri și criterii corespunzătoare pentru clasificarea unui eveniment drept incident TIC operațional sau de securitate, precum și indicatori de alertă timpurie pentru a permite detectarea anticipată a incidentelor TIC operaționale sau de securitate. (3)Criteriile și pragurile stabilite potrivit alin. (2) nu trebuie să aducă atingere clasificării incidentelor majore, în conformitate cu cerințele titlului III. +
Articolul 47^9(1)Prestatorii de servicii de plată trebuie să stabilească proceduri și procese corespunzătoare și structuri organizatorice pentru a asigura monitorizarea, gestionarea și urmărirea în mod integrat și consecvent a incidentelor TIC operaționale sau de securitate, în vederea identificării și eliminării principalelor cauze care au condus la apariția acestora și pentru a evita reapariția unor astfel de incidente, în scopul diminuării impactului evenimentelor defavorabile și pentru a permite redresarea la timp. (2)Procesul de gestionare a problemelor și incidentelor prevăzut la alin. (1) trebuie să stabilească:a)proceduri de identificare, urmărire, înregistrare, categorisire și clasificare a incidentelor, potrivit unei reguli de prioritate, în funcție de nivelul critic al activității de prestare de servicii aferente plăților; … b)rolurile și responsabilitățile pentru diferite scenarii de incidente (de exemplu, erori, defecțiuni, atacuri cibernetice); … c)proceduri de gestionare a problemelor pentru a identifica, analiza și soluționa principala cauză a unuia sau a mai multor incidente – un prestator de servicii de plată trebuie să analizeze incidentele TIC operaționale sau de securitate care ar putea afecta prestatorul de servicii de plată, care au fost identificate sau care au avut loc în cadrul și/sau în afara organizației și trebuie să ia în considerare lecțiile-cheie învățate din aceste analize și să actualizeze în consecință măsurile de securitate; … d)planuri eficiente de comunicare internă, inclusiv proceduri de notificare și escaladare a incidentelor – care să acopere și reclamațiile clienților legate de securitate, care trebuie să asigure următoarele cerințe:(i)incidentele și plângerile clienților legate de securitate cu un posibil impact negativ ridicat asupra sistemelor și serviciilor TIC se raportează conducerii superioare și conducerii care coordonează domeniul TIC; … (ii)organul de conducere trebuie informat ad-hoc în caz de incidente semnificative, identificate în baza unor criterii stabilite intern la nivelul prestatorului de servicii de plată, cel puțin cu privire la impactul, măsurile luate și controalele suplimentare care urmează să fie definite ca urmare a incidentelor; … … e)proceduri de intervenție în caz de incidente, pentru reducerea impactului acestora și pentru a asigura că serviciul devine, în timp util, operațional și sigur; … f)planuri specifice de comunicare externă pentru procese și funcții critice asociate activității de prestare a serviciilor aferente plăților pentru a asigura îndeplinirea următoarelor cerințe:(i)asigurarea colaborării cu părțile interesate relevante, pentru a interveni în mod eficient în caz de incidente și a se redresa în urma acestora; … (ii)furnizarea către părțile externe, inclusiv clienților, altor participanți în piață și Băncii Naționale a României de informații în timp util, în mod corespunzător și în conformitate cu titlul III. … … +
Articolul 47^10Prestatorii de servicii de plată trebuie să se asigure de faptul că măsurile prevăzute în acord cu art. 47^9 definesc în mod clar toate responsabilitățile pentru raportarea incidentelor operaționale sau de securitate majore și aferente proceselor puse în aplicare pentru îndeplinirea cerințelor prevăzute de titlul III. +
Capitolul VIGestionarea proiectelor și modificărilor TIC +
Secţiunea 1 Gestionarea proiectelor TIC +
Articolul 47^11Prestatorii de servicii de plată trebuie să pună în aplicare un program și/sau un proces de guvernanță a proiectelor care să definească rolurile, responsabilitățile și răspunderile, pentru a susține în mod eficient punerea în aplicare a strategiei TIC. +
Articolul 47^12Prestatorii de servicii de plată trebuie să monitorizeze și să diminueze în mod corespunzător riscurile ce decurg din portofoliul lor de proiecte TIC (gestionarea programului), ținând seama și de riscurile care pot rezulta din interdependențele dintre diferite proiecte și din dependențele mai multor proiecte de aceleași resurse și/sau competențe. +
Articolul 47^13Prestatorii de servicii de plată trebuie să instituie și să pună în aplicare o politică de gestionare a proiectelor TIC, care să includă cel puțin:a)obiectivele proiectului; … b)rolurile și responsabilitățile; … c)evaluarea riscurilor asociate proiectului; … d)planul, calendarul și etapele proiectului; … e)principalele obiective intermediare; … f)cerințele de gestionare a modificărilor. … +
Articolul 47^14Politica de gestionare a proiectelor TIC realizată potrivit art. 47^13 trebuie să asigure că cerințele de securitate a informațiilor sunt analizate și aprobate de către o funcție independentă de funcția care le-a elaborat. +
Articolul 47^15Prestatorii de servicii de plată trebuie să se asigure că toate domeniile afectate de un proiect TIC sunt reprezentate în echipa de proiect și că echipa de proiect deține cunoștințele necesare pentru a asigura implementarea sigură și cu succes a proiectului. +
Articolul 47^16(1)Elaborarea și evoluția proiectelor TIC și riscurile lor asociate trebuie raportate organului de conducere, individual sau agregat, în funcție de importanța și de dimensiunea proiectelor TIC, în mod regulat și ad-hoc, după caz.(2)Prestatorii de servicii de plată trebuie să includă riscul asociat proiectului în cadrul lor de administrare a riscurilor. +
Secţiunea a 2-a Achiziția și dezvoltarea de sisteme TIC +
Articolul 47^17(1)Prestatorii de servicii de plată trebuie să elaboreze și să pună în aplicare un proces care să reglementeze achiziția, dezvoltarea și întreținerea sistemelor TIC.(2)Procesul prevăzut la alin. (1) trebuie conceput folosind o abordare bazată pe riscuri. +
Articolul 47^18Prestatorii de servicii de plată trebuie să se asigure că, înainte de orice achiziție sau dezvoltare a sistemelor TIC, cerințele funcționale și nefuncționale, inclusiv cerințele de securitate a informațiilor, sunt clar definite și aprobate de către conducerea relevantă. +
Articolul 47^19Prestatorii de servicii de plată trebuie să instituite măsuri pentru diminuarea riscurilor de modificare neintenționată sau de manipulare intenționată a sistemelor TIC pe durata dezvoltării și implementării în mediul de producție. +
Articolul 47^20(1)Prestatorii de servicii de plată trebuie să dețină o metodologie pentru testarea și aprobarea sistemelor TIC înainte de prima lor utilizare.(2)Metodologia prevăzută la alin. (1) trebuie să țină seama de nivelul critic al activelor și proceselor activității de prestare a serviciilor aferente plăților. (3)Testarea prevăzută la alin. (1) trebuie să asigure faptul că noile sisteme TIC funcționează așa cum au fost proiectate.(4)Prestatorii de servicii de plată trebuie să utilizeze medii de testare care să reflecte în mod corespunzător mediul de producție. +
Articolul 47^21Prestatorii de servicii de plată trebuie să testeze sistemele TIC, serviciile TIC și măsurile de securitate a informațiilor, pentru a identifica eventualele puncte slabe, încălcări și incidente TIC operaționale sau de securitate. +
Articolul 47^22(1)Prestatorii de servicii de plată trebuie să implementeze medii TIC separate pentru a asigura separarea adecvată a sarcinilor și pentru a atenua impactul modificărilor neverificate asupra sistemelor de producție.(2)Atunci când realizează separarea mediilor conform alin. (1) prestatorii de servicii de plată trebuie asigure inclusiv separarea mediilor de producție de alte medii care nu au legătură cu producția, inclusiv cele de dezvoltare și testare. (3)Prestatorii de servicii de plată trebuie să asigure integritatea și confidențialitatea datelor de producție în mediile care nu au legătură cu producția. Accesul la datele din mediul de producție este limitat la utilizatorii autorizați. +
Articolul 47^23(1)Prestatorii de servicii de plată trebuie să pună în aplicare măsuri pentru protejarea integrității codurilor-sursă ale sistemelor TIC dezvoltate intern.(2)Prestatorii de servicii de plată trebuie să documenteze în mod amănunțit dezvoltarea, implementarea, operarea și/sau configurarea sistemelor TIC, pentru a reduce orice dependență inutilă de experții în domeniu. (3)Documentația prevăzută la alin. (2) aferentă sistemului TIC trebuie să conțină cel puțin documentația de utilizare, documentația tehnică a sistemului și procedurile de operare, dacă este cazul, inclusiv când nu sunt procese automate. +
Articolul 47^24(1)Procesele de achiziție și dezvoltare a sistemelor TIC ale unui prestator de servicii de plată trebuie să se aplice și sistemelor TIC dezvoltate sau gestionate de către utilizatorii finali ai liniilor de afaceri din afara organizației TIC (de exemplu, în aplicațiile informatice ale utilizatorilor finali), folosind o abordare bazată pe riscuri. (2)Prestatorul de servicii de plată trebuie să țină o evidență a aplicațiilor prevăzute la alin. (1) care sprijină procesele și funcțiile critice ale activității de prestare a serviciilor aferente plăților. +
Secţiunea a 3-aGestionarea modificărilor TIC +
Articolul 48(1)Prestatorii de servicii de plată trebuie să instituie și să pună în aplicare un proces de gestionare a modificărilor TIC pentru a se asigura că toate modificările aduse sistemelor TIC sunt planificate, înregistrate, testate, evaluate, aprobate, implementate și verificate în mod controlat. (2)Prestatorii de servicii de plată trebuie să gestioneze modificările prevăzute la alin. (1) care sunt necesare și trebuie introduse cât mai curând posibil în timpul situațiilor de urgență, urmând proceduri care să asigure o protecție adecvată.(3)Prestatorii de servicii de plată trebuie să stabilească dacă modificările la nivelul mediului operațional existent influențează măsurile de securitate prevăzute la art. 25 sau dacă impun adoptarea de măsuri suplimentare pentru atenuarea riscurilor implicate.(4)Modificările prevăzute la alin. (1) trebuie să fie în conformitate cu procesul formal de gestionare a modificărilor pentru prestatorii de servicii de plată. +
Capitolul VIIGestionarea continuității activității de prestare a serviciilor aferente plăților +
Secţiunea 1Dispoziții generale +
Articolul 49Prestatorii de servicii de plată trebuie să instituie un proces solid de gestionare a continuității activității de prestare a serviciilor aferente plăților pentru a-și maximiza capacitatea de a presta servicii de plată în mod continuu și pentru a limita pierderile în caz de întrerupere gravă a activității de prestare a serviciilor aferente plăților, prin aplicarea în mod corespunzător a prevederilor art. 61-64 din Regulamentul nr. 5/2013 privind cerințe prudențiale pentru instituțiile de credit, cu modificările și completările ulterioare. +
Secţiunea a 2-a Analiza impactului asupra activității de prestare a serviciilor aferente plăților +
Articolul 50(1)Prestatorii de servicii de plată trebuie să realizeze o analiză de impact cu privire la expunerea activității de prestare a serviciilor aferente plăților la întreruperea gravă a acesteia, ca parte a bunei gestionări a continuității activității de prestare a serviciilor aferente plăților.(2)În cadrul analizei prevăzute la alin. (1) prestatorii de servicii de plată trebuie să evalueze, cantitativ și calitativ, impactul potențial al întreruperii grave a activității de prestare a serviciilor aferente plăților, inclusiv asupra confidențialității, integrității și disponibilității, folosind date interne și/sau externe, inclusiv date de la furnizorii terți, relevante pentru un proces aferent activității de prestare a serviciilor aferente plăților, sau date disponibile public care pot fi relevante pentru analiza de impact asupra activității de prestare a serviciilor aferente plăților și analize pe bază de scenariu.(3)Analiza de impact asupra activității de prestare a serviciilor aferente plăților realizată conform alin. (1) trebuie să țină seama și de nivelul critic al funcțiilor activității de prestare a serviciilor aferente plăților, al proceselor-suport, al terților și al activelor informaționale identificate și clasificate, precum și de interdependențele acestora, în conformitate cu prevederile art. 16-18. +
Articolul 50^1Prestatorii de servicii de plată trebuie să se asigure că sistemele și serviciile lor TIC sunt concepute și în concordanță cu analiza lor de impact asupra activității de prestare a serviciilor aferente plăților, inclusiv din perspectiva redundanței anumitor componente critice, pentru a preveni întreruperile cauzate de evenimente cu impact asupra componentelor respective. +
Secţiunea a 3-aPlanificarea continuității activității de prestare a serviciilor aferente plăților pe bază de scenariu +
Articolul 51(1)În baza analizei de impact efectuate potrivit prevederilor art. 50, prestatorii de servicii de plată trebuie să implementeze:a)planuri de continuitate a activității de prestare a serviciilor aferente plăților pentru a se asigura că pot răspunde în mod corespunzător la urgențe și că pot menține activitățile lor operaționale critice; … b)măsuri de atenuare care trebuie adoptate în cazul încetării prestării serviciilor de plată și în cazul rezilierii contractelor existente, pentru evitarea efectelor negative asupra sistemelor de plăți și asupra utilizatorilor de servicii de plată și pentru a asigura executarea operațiunilor de plată în așteptare. … (2)Prestatorii de servicii de plată trebuie să se asigure că planul de continuitate prevăzut la alin. (1) este documentat și aprobat de organele lor de conducere.(3)Planurile trebuie să țină seama în mod special de riscurile care ar putea afecta în mod negativ sistemele și serviciile TIC. (4)Prestatorii de servicii de plată trebuie să se asigure că planurile de continuitate a activității de prestare a serviciilor aferente plăților sprijină obiectivele de a proteja și, dacă este cazul, de a restabili confidențialitatea, integritatea și disponibilitatea funcțiilor activității de prestare a serviciilor aferente plăților, a proceselor-suport și a activelor informaționale. (5)Prestatorii de servicii de plată trebuie să se coordoneze și să coopereze cu părțile relevante de la nivel intern și extern care sunt interesate, după caz, pe parcursul elaborării planurilor de continuitate a activității de prestare a serviciilor aferente plăților. +
Articolul 51^1(1)Prestatorii de servicii de plată trebuie să pună în aplicare planuri de asigurare a continuității activității de prestare a serviciilor aferente plăților pentru a se asigura că acestea pot reacționa în mod corespunzător la eventuale scenarii de intrare în dificultate și că sunt capabile să își redreseze operațiunile critice ale activității lor de prestare a serviciilor aferente plăților în urma unor întreruperi, conform obiectivului timp de recuperare (RTO) și obiectivului punct de recuperare (RPO). (2)Prestatorii de servicii de plată trebuie să stabilească ordinea de prioritate pentru acțiunile specifice din cadrul planului de continuitate a activității de prestare a serviciilor aferente plăților, declanșate ca urmare a unei întreruperi grave a activității de prestare a serviciilor aferente plăților, folosind o abordare bazată pe riscuri, care se poate fundamenta pe evaluările riscurilor efectuate potrivit cap. III al prezentului titlu.(3)Planurile de asigurare a continuității activității de prestare a serviciilor aferente plăților prevăzute la alin. (1) trebuie să faciliteze cel puțin prelucrarea operațiunilor critice, în timp ce continuă eforturile de remediere. +
Articolul 52(1)Prestatorii de servicii de plată trebuie să ia în considerare o serie de scenarii diferite în planul lor de asigurare a continuității activității de prestare a serviciilor aferente plăților, inclusiv cele extreme, dar plauzibile, la care ar putea fi expuși, inclusiv un scenariu de atac cibernetic, și trebuie să evalueze impactul potențial al unor astfel de scenarii.(2)Pe baza scenariilor prevăzute la alin. (1), prestatorii de servicii de plată trebuie să descrie modul în care sunt asigurate continuitatea sistemelor și serviciilor TIC și securitatea informațiilor acestora. +
Secţiunea a 4-aPlanurile de intervenție și de redresare +
Articolul 53(1)În baza analizei de impact asupra activității de prestare a serviciilor aferente plăților efectuate potrivit prevederilor art. 50 și a scenariilor plauzibile identificate potrivit prevederilor art. 52, prestatorii de servicii de plată trebuie să elaboreze planuri de intervenție și de redresare.(2)Planurile de intervenție și redresare prevăzute la alin. (1) trebuie: a)să precizeze condițiile în care poate fi declanșată activarea planurilor și măsurile care trebuie luate pentru a asigura disponibilitatea, continuitatea și redresarea cel puțin a sistemelor și serviciilor TIC critice ale prestatorilor de servicii de plată; … b)să vizeze atingerea obiectivelor de redresare a operațiunilor prestatorilor de servicii de plată; … c)să țină seama atât de opțiunile de redresare pe termen scurt, cât și de cele pe termen lung; … d)să se concentreze pe redresarea operațiunilor funcțiilor critice aferente activității de prestare a serviciilor aferente plăților, proceselor-suport, sistemelor și activelor informaționale, precum și ale interdependențelor dintre acestea pentru a evita efectele negative asupra funcționării prestatorilor de servicii de plată și asupra sistemului financiar, inclusiv asupra sistemelor de plată și asupra utilizatorilor serviciilor de plată, și pentru a asigura executarea operațiunilor de plată în așteptare; … e)să fie documentate și puse la dispoziția unităților operaționale și funcțiilor-suport și ușor accesibile în caz de urgență; … f)să fie actualizate în conformitate cu experiența dobândită din incidente și teste, cu noile riscuri și amenințări identificate, precum și cu prioritățile și obiectivele de redresare modificate; … g)să aibă în vedere și opțiuni alternative, în cazul în care este posibil ca redresarea să nu fie fezabilă pe termen scurt, din cauza costurilor, riscurilor, logisticii sau a situațiilor neprevăzute. … (3)În cadrul planurilor de intervenție și de redresare, prestatorul de servicii de plată trebuie să aibă în vedere și punerea în aplicare a măsurilor de asigurare a continuității pentru a atenua incapacitățile furnizorilor terți, măsuri extrem de importante pentru asigurarea continuității serviciilor TIC ale prestatorului de servicii de plată în concordanță cu dispozițiile Ghidului ABE privind externalizarea EBA/GL/2019/02 referitoare la planurile de continuitate a activității. +
Secţiunea a 5-aTestarea planurilor +
Articolul 54(1)Prestatorii de servicii de plată trebuie să testeze planurile de asigurare a continuității activității de prestare a serviciilor aferente plăților. (2)Prestatorii de servicii de plată trebuie să se asigure că planurile de asigurare a continuității funcțiilor critice ale activității lor de prestare a serviciilor aferente plăților, ale proceselor-suport, ale activelor informaționale și ale interdependențelor dintre acestea, inclusiv cele furnizate de terți, unde este cazul, sunt testate cel puțin anual potrivit art. 56. +
Articolul 55(1)Prestatorii de servicii de plată trebuie să actualizeze planurile de continuitate a activității de prestare a serviciilor aferente plăților cel puțin anual, pe baza rezultatelor testelor prevăzute la art. 54 alin. (2), a informațiilor privind amenințările curente, a schimbului de informații și a experienței dobândite din evenimentele anterioare.(2)Orice modificări ale obiectivelor de redresare a activității de prestare a serviciilor aferente plăților (inclusiv ale RTO și RPO) și/sau modificări ale funcțiilor activității lor de prestare a serviciilor aferente plăților, ale proceselor-suport și ale activelor informaționale, dacă este cazul, trebuie să fie luate în considerare, inclusiv ca o bază pentru actualizarea planurilor de asigurare a continuității activității de prestare a serviciilor aferente plăților. +
Articolul 56(1)Testarea planurilor de asigurare a continuității activității de prestare de servicii aferente plăților prevăzută la art. 54 trebuie să demonstreze capacitatea acestora de a susține viabilitatea activității de prestare de servicii aferente plăților a prestatorilor de servicii de plată până la restabilirea operațiunilor lor critice.(2)Testarea planurilor de asigurare a continuității activității de prestare de servicii aferente plăților prevăzută la alin. (1) trebuie:a)să includă un set adecvat de scenarii, extreme, dar plauzibile, inclusiv cele avute în vedere la elaborarea planurilor de asigurare a continuității activității de prestare de servicii aferente plăților prevăzute la art. 52, precum și testarea serviciilor prestate de terți, unde este cazul; … b)să includă transferarea funcțiilor critice ale activității de prestare de servicii aferente plăților, ale proceselor-suport și ale activelor informaționale în mediul de redresare în caz de dezastru și demonstrarea faptului că pot fi gestionate astfel o perioadă suficient de reprezentativă și că funcționarea normală poate fi restabilită ulterior; … c)să fie concepute pentru a verifica ipotezele pe care se bazează planurile de asigurare a continuității activității de prestare de servicii aferente plăților, inclusiv mecanismele de guvernanță și planurile de comunicare în situații de criză; și … d)să includă proceduri pentru verificarea capacității personalului și a contractanților, a sistemelor și serviciilor TIC de a răspunde în mod corespunzător la scenariile prevăzute la art. 52. … +
Articolul 57Prestatorii de servicii de plată trebuie să documenteze rezultatele testelor și să analizeze, abordeze și să raporteze organului de conducere toate deficiențele identificate în urma testelor. +
Secţiunea a 6-aComunicările în situații de criză +
Articolul 58Prestatorii de servicii de plată trebuie să se asigure că atât în cazul unei întreruperi a activității lor de prestare de servicii aferente plăților sau al unei situații de urgență, cât și pe parcursul punerii în aplicare a planurilor de asigurare a continuității activității de prestare de servicii aferente plăților au prevăzut măsuri eficiente de comunicare în situații de criză, astfel încât toate părțile interesate interne și externe relevante, inclusiv furnizori de servicii de externalizare, entități din grup sau furnizori terți, precum și Banca Națională a României, sunt informate în timp util și în mod corespunzător. +
Capitolul VIIIGestionarea relației cu utilizatorul serviciilor de plată +
Articolul 59Prestatorii de servicii de plată trebuie să stabilească și să pună în aplicare procese de creștere a gradului de conștientizare al utilizatorilor de servicii de plată cu privire la riscurile de securitate aferente serviciilor de plată prestate acestora, acordând asistență și îndrumare utilizatorilor de servicii de plată. +
Articolul 60Asistența și îndrumarea acordate utilizatorilor de servicii de plată potrivit art. 59 trebuie să fie actualizate în funcție de noile amenințări și vulnerabilități, iar prestatorii de servicii de plată trebuie să informeze utilizatorii de servicii de plată cu privire la aceste modificări. +
Articolul 61În cazul în care funcționalitatea produsului o permite, prestatorii de servicii de plată trebuie să le permită utilizatorilor de servicii de plată să dezactiveze anumite funcționalități de plată aferente serviciilor de plată furnizate de către prestatorul de servicii de plată către utilizatorul de servicii de plată. +
Articolul 62În cazul în care, în conformitate cu art. 163 alin. (1) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, un prestator de servicii de plată a acceptat limitele de cheltuieli ale plătitorului în ceea ce privește operațiunile de plată efectuate prin intermediul anumitor instrumente de plată, prestatorul de servicii de plată trebuie să ofere plătitorului opțiunea de a ajusta aceste limite până la limita maximă admisă. +
Articolul 63Prestatorii de servicii de plată trebuie să acorde utilizatorilor de servicii de plată opțiunea de a primi alerte referitoare la încercările inițiate și/sau eșuate de inițiere a operațiunilor de plată, permițându-le să detecteze utilizarea frauduloasă sau premeditată a conturilor lor de plăți. +
Articolul 64Prestatorii de servicii de plată trebuie să își informeze utilizatorii de servicii de plată despre actualizările procedurilor de securitate care afectează utilizatorii de servicii de plată în ceea ce privește prestarea serviciilor de plată. +
Articolul 65(1)Prestatorii de servicii de plată trebuie să acorde asistență utilizatorilor de servicii de plată în orice solicitări, cereri de sprijin și notificări de anomalii sau aspecte referitoare la probleme de securitate legate de serviciile de plată.(2)Prestatorii de servicii de plată trebuie să informeze utilizatorii de servicii de plată în mod corespunzător cu privire la modalitatea în care se poate obține asistența prevăzută la alin. (1).(la 16-06-2021,
Titlul II a fost modificat de Punctul 2, Articolul I din REGULAMENT nr. 2 din 21 mai 2021, publicată în MONITORUL OFICIAL nr. 599 din 16 iunie 2021
)
+
Titlul IIIRaportarea incidentelor operaționale și de securitate majore +
Capitolul IÎncadrarea incidentelor operaționale și/sau de securitate în categoria incidentelor majore +
Articolul 66Prestatorii de servicii de plată trebuie să evalueze dacă un incident operațional sau de securitate aferent serviciilor de plată prestate se încadrează în categoria incidentelor majore, în baza analizei asupra criteriilor și potrivit metodologiei menționate în anexa nr. 1. +
Articolul 67Prestatorii de servicii de plată trebuie să evalueze un incident prin a stabili, pentru fiecare criteriu în parte, dacă pragurile relevante din anexa nr. 2 sunt sau vor fi probabil atinse înainte de soluționarea incidentului. +
Articolul 68(1)Prestatorii de servicii de plată trebuie să încadreze în categoria incidentelor majore acele incidente operaționale sau de securitate pentru care:a)unul sau mai multe criterii se încadrează în categoria „Nivel de impact ridicat“; sau … b)trei sau mai multe criterii se încadrează în categoria „Nivel de impact redus“. … (2)Criteriile prevăzute la alin. (1) se încadrează în categoria „Nivel de impact redus“, respectiv „Nivel de impact ridicat“, prin atingerea pragurilor prevăzute în anexa nr. 2. +
Articolul 69Prestatorii de servicii de plată trebuie să recurgă la estimări, în special în etapa investigației inițiale a incidentului, dacă nu dețin date efective pentru a-și fundamenta evaluarea realizată potrivit art. 66-68, inclusiv cu privire la atingerea unui anumit prag înainte ca incidentul să fie soluționat. +
Articolul 70Prestatorii de servicii de plată trebuie să efectueze evaluarea menționată la art. 66-68 pe bază continuă, pe întreaga durată a existenței incidentului pentru a identifica orice posibilă schimbare a încadrării incidentului, respectiv prin încadrarea incidentului din incident minor în major sau prin încadrarea incidentului din major în minor.(la 16-06-2021,
Articolul 70 din Capitolul I , Titlul III a fost modificat de Punctul 3, Articolul I din REGULAMENT nr. 2 din 21 mai 2021, publicată în MONITORUL OFICIAL nr. 599 din 16 iunie 2021
)
+
Capitolul IINotificarea incidentelor operaționale sau de securitate majore +
Secţiunea 1Dispoziții generale +
Articolul 71(1)Prestatorii de servicii de plată, prevăzuți la art. 223 alin. (1) lit. a), b) și e) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, trebuie să completeze și să transmită Băncii Naționale a României raportul privind incidentul major potrivit formularelor și instrucțiunilor de completare prevăzute în anexa nr. 3.(2)Prin excepție de la aplicarea prevederilor art. 1 alin. (2) lit. b) prestatorii de servicii de plată prevăzuți la art. 223 alin. (1) lit. c) și d) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, care desfășoară activitate de prestare de servicii de plată pe teritoriul României, trebuie să transmită Băncii Naționale a României o copie a notificării prevăzute la art. 219 alin. (4) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, prin intermediul Rețelei de comunicații interbancare. +
Articolul 72(1)Prestatorii de servicii de plată trebuie să utilizeze formularele de raport prevăzute în anexa nr. 3 pentru a informa Banca Națională a României pe întreaga durată de existență a incidentului, respectiv rapoartele inițiale, intermediare și finale, astfel cum sunt menționate în secțiunile 2-4 ale prezentului capitol.(2)Prestatorii de servicii de plată trebuie să completeze progresiv formularele de raport prevăzute la alin. (1), pe măsură ce sunt disponibile mai multe informații în cursul investigațiilor lor interne. +
Articolul 73Prestatorii de servicii de plată trebuie să prezinte Băncii Naționale a României o copie a informării clienților săi, utilizatori ai serviciilor de plată, cu privire la incidentul operațional sau de securitate major și la toate măsurile pe care utilizatorii de servicii de plată le pot lua pentru a atenua efectele negative ale acestuia, conform prevederilor art. 219 alin. (2) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, de îndată ce această informare este disponibilă. +
Articolul 74Prestatorii de servicii de plată trebuie să pună la dispoziția Băncii Naționale a României, dacă sunt disponibile și dacă se consideră că acest lucru este relevant, orice informații suplimentare prin anexarea unor documente suplimentare la raportul transmis pentru raportarea incidentelor operaționale sau de securitate majore, ca anexă unică sau anexe distincte. +
Articolul 75Prestatorii de servicii de plată trebuie să răspundă oricăror solicitări de furnizare de informații suplimentare sau clarificări din partea Băncii Naționale a României cu privire la documentația care a fost deja transmisă. +
Articolul 76Prestatorii de servicii de plată trebuie să păstreze în permanență confidențialitatea și integritatea informațiilor schimbate cu Banca Națională a României și să se autentifice în mod corespunzător în raporturile cu aceasta. +
Secţiunea a 2-aRaportul inițial +
Articolul 77Prestatorii de servicii de plată trebuie să transmită un raport inițial Băncii Naționale a României atunci când este detectat pentru prima dată un incident operațional sau de securitate major. +
Articolul 78Prestatorii de servicii de plată trebuie să transmită raportul inițial prevăzut la art. 77 în termen de 4 ore de la detectarea incidentului clasificat ca incident operațional sau de securitate major sau, în cazul în care se cunoaște că la momentul respectiv canalele de raportare către Banca Națională a României nu sunt disponibile sau operaționale, de îndată ce acestea devin din nou disponibile/operaționale. +
Articolul 79(1)Prestatorii de servicii de plată trebuie să transmită, de asemenea, un raport inițial Băncii Naționale a României atunci când un incident cunoscut anterior ca fiind minor este clasificat ca unul major, ca urmare a evaluării efectuate potrivit art. 70.(2)În situația prevăzută la alin. (1) prestatorii de servicii de plată trebuie să transmită Băncii Naționale a României raportul inițial de îndată ce se identifică o schimbare de stare sau, în cazul în care se cunoaște că la momentul respectiv canalele de raportare către Banca Națională a României nu sunt disponibile sau operaționale, de îndată ce acestea devin disponibile/ operaționale din nou. +
Articolul 80(1)În rapoartele lor inițiale, prestatorii de servicii de plată trebuie să includă informațiile prevăzute în formularul «A – Raport inițial» cuprins în anexa nr. 3, prezentând unele caracteristici de bază ale incidentului și consecințele estimate ale acestuia pe baza informațiilor disponibile imediat după detectarea sau reîncadrarea acestuia potrivit art. 70.(la 16-06-2021,
Alineatul (1) din Articolul 80 , Sectiunea a 2-a , Capitolul II , Titlul III a fost modificat de Punctul 4, Articolul I din REGULAMENT nr. 2 din 21 mai 2021, publicată în MONITORUL OFICIAL nr. 599 din 16 iunie 2021
)
(2)Prestatorii de servicii de plată trebuie să recurgă la estimări atunci când nu sunt disponibile date efective, în acord cu dispozițiile art. 69.(3)Prestatorii de servicii de plată trebuie să includă în raportul lor inițial data următoarei actualizări, care ar trebui să aibă loc în cel mai scurt timp posibil și să nu depășească, în niciun caz, 3 zile lucrătoare. +
Secţiunea a 3-aRaportul intermediar +
Articolul 81Prestatorii de servicii de plată trebuie să transmită rapoarte intermediare potrivit formularului „B – Raport intermediar“ cuprins în anexa nr. 3, în următoarele situații:a)de fiecare dată când consideră că există o actualizare relevantă a stării incidentului; … b)până la data următoarei actualizări indicată în raportul anterior, fie în raportul inițial, fie în raportul intermediar anterior. … +
Articolul 82(1)Prestatorii de servicii de plată trebuie să transmită Băncii Naționale a României un prim raport intermediar potrivit formularului „B – Raport intermediar“ cuprins în anexa nr. 3, cu o descriere mai detaliată a incidentului și a consecințelor acestuia.(2)Prestatorii de servicii de plată trebuie să elaboreze rapoarte intermediare suplimentare prin actualizarea informațiilor furnizate deja potrivit formularelor „A – Raport inițial“ și „B – Raport intermediar“ cuprinse în anexa nr. 3, cel puțin atunci când au cunoștință despre informații relevante noi sau schimbări semnificative de la data notificării anterioare.(3)Prestatorii de servicii de plată vor actualiza informațiile potrivit alin. (2) și în situația în care incidentul a crescut sau a scăzut în intensitate, sunt identificate cauze noi sau sunt luate măsuri pentru soluționarea incidentului.(4)Prestatorii de servicii de plată trebuie să elaboreze un raport intermediar la solicitarea Băncii Naționale a României. +
Articolul 83Când datele efective nu sunt disponibile, prestatorii de servicii de plată trebuie să recurgă la estimări, prin aplicarea în mod corespunzător a prevederilor art. 69. +
Articolul 84(1)Prestatorii de servicii de plată trebuie să precizeze în fiecare raport intermediar data următoarei actualizări, care ar trebui să aibă loc în cel mai scurt timp posibil și să nu depășească, în niciun caz, 3 zile lucrătoare.(2)În cazul în care prestatorii de servicii de plată nu pot să respecte data estimată a următoarei actualizări indicată conform alin. (1), aceștia trebuie să contacteze Banca Națională a României pentru a explica motivele întârzierii, să propună un nou termen plauzibil de transmitere, care să nu depășească 3 zile lucrătoare, și să trimită un nou raport intermediar exclusiv cu actualizarea informațiilor privind data estimată a următoarei actualizări. +
Articolul 85(1)Prestatorii de servicii de plată trebuie să transmită ultimul raport intermediar atunci când au fost reluate activitățile curente și activitatea a revenit la normal, informând Banca Națională a României cu privire la această situație.(2)Prestatorii de servicii de plată trebuie să considere că activitatea a revenit la normal atunci când activitatea/operațiunile este/sunt reluată/reluate la același nivel de executare/în aceleași condiții prevăzut/prevăzute de prestatorul de servicii de plată sau prevăzut/prevăzute la nivel extern într-un acord privind nivelul de calitate al serviciilor în ceea ce privește timpii de prelucrare, capacitatea, cerințele de securitate etc. și când nu se mai aplică măsurile în situație de urgență pentru continuarea activității prevăzute în cap. VI al titlului II. +
Articolul 86În cazul în care activitatea prestatorului de servicii de plată a revenit la normal în decurs de cel mult 4 ore de la momentul detectării incidentului operațional sau de securitate major, prestatorii de servicii de plată trebuie să aibă în vedere prezentarea în mod simultan a raportului inițial și a ultimului raport intermediar, prin completarea și transmiterea formularelor „A – Raport inițial“ și „B – Raport intermediar“ cuprinse în anexa nr. 3, înainte de termenul de 4 ore. +
Secţiunea a 4-aRaportul final +
Articolul 87Prestatorii de servicii de plată trebuie să trimită un raport final potrivit formularului „C – Raport final“ cuprins în anexa nr. 3, atunci când a fost efectuată analiza cauzelor fundamentale, indiferent dacă au fost deja implementate măsurile de atenuare a incidentului sau dacă a fost identificată cauza fundamentală finală și când există date disponibile pentru a înlocui orice estimări. +
Articolul 88(1)Prestatorii de servicii de plată trebuie să transmită raportul final Băncii Naționale a României în decurs de maximum 10 zile lucrătoare de la data la care poate demonstra că activitatea a revenit la normal.(2)Prestatorii de servicii de plată care au nevoie de o prelungire a termenului prevăzut la alin. (1), inclusiv în situația în care nu sunt încă disponibile date efective cu privire la impact, trebuie să contacteze Banca Națională a României înainte de încheierea termenului prevăzut la alin. (1) și să ofere o justificare adecvată a întârzierii, precum și o nouă dată estimată pentru transmiterea raportului final. +
Articolul 89În cazul în care prestatorii de servicii de plată pot să ofere toate informațiile necesare în raportul final potrivit formularului „C – Raport final“ cuprins în anexa nr. 3, în decurs de 4 ore de la momentul depistării incidentului, aceștia trebuie să aibă în vedere prezentarea în raportul lor inițial a informațiilor legate de raportul inițial, ultimul raport intermediar și raportul final prin completarea și transmiterea formularelor „A – Raport inițial“, „B – Raport intermediar“ și „C – Raport final“ cuprinse în anexa nr. 3. +
Articolul 90Prestatorii de servicii de plată trebuie să includă în rapoartele lor finale informații complete cu privire la:a)datele efective privind impactul în locul estimărilor utilizate și orice alte actualizări necesare ale informațiilor legate de raportul inițial și ultimul raport intermediar, cuprinse în formularele „A – Raport inițial“ și „B – Raport intermediar“ prevăzute în anexa nr. 3; și … b)formularul „C – Raport final“ cuprins în anexa nr. 3, care să includă cauza fundamentală, dacă aceasta este deja cunoscută, precum și o prezentare succintă a măsurilor adoptate sau prevăzute a fi adoptate pentru a elimina problema și a preveni reapariția acesteia în viitor. … +
Articolul 91(1)Prestatorii de servicii de plată trebuie să transmită un raport final și atunci când, ca urmare a evaluării pe bază continuă a incidentului, aceștia identifică faptul că un incident major deja raportat nu mai îndeplinește criteriile pentru a fi considerat major și nu se preconizează că acesta le va îndeplini înainte de soluționarea incidentului.(2)În situația prevăzută la alin. (1), prestatorii de servicii de plată trebuie să trimită raportul final de îndată ce se detectează această situație și, în orice caz, până la data estimată a următorului raport.(3)În situația prevăzută la alin. (1), prestatorii de servicii de plată trebuie să indice reîncadrarea incidentului drept minor, să transmită formularul «C – Raport final» cuprins în anexa nr. 3 și să explice motivele acestei încadrări.(la 16-06-2021,
Alineatul (3) din Articolul 91 , Sectiunea a 4-a , Capitolul II , Titlul III a fost modificat de Punctul 5, Articolul I din REGULAMENT nr. 2 din 21 mai 2021, publicată în MONITORUL OFICIAL nr. 599 din 16 iunie 2021
)
+
Capitolul IIIRaportarea delegată și consolidată +
Articolul 92(1)În cazul prestatorilor de servicii de plată, prevăzuți la art. 223 alin. (1) lit. a),b) și e) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, care intenționează să delege îndeplinirea obligațiilor de raportare a incidentelor majore unei terțe părți, aceștia trebuie să informeze Banca Națională a României și să asigure îndeplinirea următoarelor condiții:a)contractul sau acordurile interne existente în cadrul unui grup, după caz, care stă/stau la baza raportării delegate dintre prestatorul de servicii de plată și terța parte definește/definesc în mod clar alocarea responsabilităților tuturor părților; … b)delegarea respectă cerințele privind externalizarea funcțiilor operaționale importante prevăzute la:(i)art. 54 și 55 din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative și art. 46-50 din Legea nr. 210/2019 privind activitatea de emitere de monedă electronică în legătură cu instituțiile de plată și, respectiv, pentru instituțiile emitente de monedă electronică; sau … (ii)cap. V al titlului II din Regulamentul Băncii Naționale a României nr. 5/2013 privind cerințe prudențiale pentru instituțiile de credit, cu modificările și completările ulterioare, pentru instituțiile de credit; … … c)asigură în mod corespunzător confidențialitatea datelor sensibile privind plățile utilizatorilor de servicii de plată, precum și calitatea, consecvența, integritatea și fiabilitatea informațiilor care vor fi prezentate autorității competente; … d)transmiterea, în prealabil, către Banca Națională a României a tuturor informațiilor în acord cu prevederile art. 97 și obținerea aprobării prevăzute la art. 98. … (2)În situația prevăzută la alin. (1) lit. a), contractul sau acordurile interne existente în cadrul unui grup, după caz, trebuie să prevadă în mod clar faptul că prestatorul de servicii de plată afectat rămâne pe deplin responsabil și răspunzător pentru îndeplinirea cerințelor prevăzute la art. 219 alin. (1),(2) și (4) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative și pentru conținutul informațiilor prezentate Băncii Naționale a României.(3)În situația prevăzută la alin. (1) lit. b) pct. (i) prestatorii de servicii de plată vor trata obligația de raportare a incidentelor majore ca funcție operațională importantă.(4)În situația prevăzută la alin. (1) lit. b) pct. (ii) prestatorii de servicii de plată vor trata obligația de raportare a incidentelor majore ca activitate semnificativă, în înțelesul Regulamentului Băncii Naționale a României nr. 5/2013 privind cerințe prudențiale pentru instituțiile de credit, cu modificările și completările ulterioare. +
Articolul 93(1)Prestatorii de servicii de plată, prevăzuți la art. 223 alin. (1) lit. a),b) și e) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, care intenționează să delege unei terțe părți îndeplinirea obligațiilor de raportare în mod consolidat, prin transmiterea unui singur raport care face referire la mai mulți prestatori de servicii de plată afectați de același incident operațional sau de securitate major, trebuie să informeze Banca Națională a României să includă informațiile de contact cu privire la prestatorii de servicii de plată afectați cuprinse în formularul „A – Raport inițial“ din anexa nr. 3 și să se asigure de îndeplinirea următoarelor condiții:a)includerea dispozițiilor referitoare la raportarea consolidată în contractul care stă la baza raportării delegate; … b)raportarea consolidată condiționată de faptul că incidentul este cauzat de o întrerupere a serviciilor prestate de către terța parte; … c)limitarea raportării consolidate la prestatorii de servicii de plată stabiliți în același stat membru; … d)asigurarea faptului că terța parte evaluează semnificația incidentului pentru fiecare prestator de servicii de plată afectat și include în raportul consolidat doar prestatorii de servicii de plată pentru care incidentul a fost clasificat drept unul major. În cazul incertitudinii, asigură includerea unui prestator de servicii de plată în raportul consolidat atât timp cât nu există dovezi în sens contrar; … e)asigurarea faptului că, atunci când nu este posibil să se treacă un singur răspuns în unele câmpuri cuprinse în formularele prevăzute în anexa nr. 3, terța parte fie completează individual pentru fiecare prestator de servicii de plată, specificând în plus identitatea fiecărui prestator de servicii de plată la care se referă informațiile, fie folosește intervale, în acele câmpuri din formularele cuprinse în anexa nr. 3 în care există o astfel de opțiune, reprezentând valorile minime și maxime, astfel cum au fost observate sau estimate pentru diferiți prestatori de servicii de plată; … f)prestatorii de servicii de plată, prevăzuți la art. 223 alin. (1) lit. a),b) și e) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, trebuie să se asigure că terța parte îi informează în permanență cu privire la toate informațiile relevante legate de incident și la toate interacțiunile pe care terța parte le-ar putea avea cu Banca Națională a României, precum și cu privire la conținutul acestora, însă doar în măsura în care acest lucru este compatibil cu evitarea oricărei încălcări a confidențialității în ceea ce privește informațiile referitoare la alți prestatori de servicii de plată. … (2)Dispozițiile art. 92 alin. (1) lit. b) sunt aplicabile în mod corespunzător în ceea ce privește delegarea unei terțe părți pentru a îndeplini obligațiile de raportare în mod consolidat, în acord cu alin. (1). +
Articolul 94Prestatorii de servicii de plată, prevăzuți la art. 223 alin. (1) lit. a),b) și e) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, nu trebuie să își delege îndeplinirea obligațiilor de raportare potrivit art. 92 sau 93, după caz, înainte de a obține aprobarea Băncii Naționale a României potrivit prevederilor art. 98 sau după ce au fost informați de către Banca Națională a României cu privire la faptul că acordul de externalizare nu îndeplinește cerințele prevăzute la art. 92 alin. (1) lit. b). +
Articolul 95(1)Prestatorii de servicii de plată, prevăzuți la art. 223 alin. (1) lit. a),b) și e) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, care intenționează să retragă delegarea îndeplinirii obligațiilor lor de raportare trebuie să informeze Banca Națională a României în termen de maximum 5 zile lucrătoare de la data luării acestei decizii.(2)Prestatorii de servicii de plată prevăzuți la alin. (1) trebuie să informeze Banca Națională a României cu privire la orice evoluție semnificativă care afectează terța parte desemnată și capacitatea acesteia de a-și îndeplini obligațiile de raportare. +
Articolul 96(1)Prestatorii de servicii de plată trebuie să își îndeplinească obligațiile de raportare prevăzute în prezentul titlu, fără a recurge la asistența externă, ori de câte ori terța parte desemnată nu a informat Banca Națională a României cu privire la un incident operațional sau de securitate major în conformitate cu prevederile art. 219 alin. (1) și/sau (4) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative și cele ale prezentului titlu.(2)Prestatorii de servicii de plată trebuie să se asigure că un incident operațional sau de securitate major nu este raportat de două ori, individual, de către prestatorul de servicii de plată în cauză și, încă o dată, de către terța parte către care prestatorul de servicii de plată a delegat îndeplinirea obligațiilor de raportare. +
Articolul 97(1)Prestatorii de servicii de plată, prevăzuți la art. 223 alin. (1) lit. a),b) și e) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, care intenționează, în acord cu prevederile art. 92 și 93, să își delege unei terțe părți obligațiile de raportare a incidentelor operaționale sau de securitate majore specifice propriilor servicii de plată prestate, la nivel individual sau consolidat, trebuie să transmită Băncii Naționale a României, fără întârzieri nejustificate, o cerere însoțită de următoarele documente și informații:a)decizia internă cu privire la raportarea delegată sau consolidată a incidentelor majore specifice propriilor servicii de plată prestate, după caz, semnată la nivelul organului de conducere al prestatorilor de servicii de plată; … b)extrasul din contractul/acordul intern care stă la baza delegării îndeplinirii obligațiilor de raportare, care să probeze îndeplinirea condițiilor prevăzute la art. 92 alin. (1) lit. a) și c) și, respectiv, art. 93 alin. (1) lit. a)-f), după caz. … (2)În situația în care documentația transmisă de către prestatorii de servicii de plată nu îndeplinește cerințele menționate la alin. (1), Banca Națională a României comunică acestora, în termen de 30 zile lucrătoare, documentele și informațiile necesare pentru conformarea la dispozițiile alin. (1).(3)Banca Națională a României poate solicita orice alte informații, date, documente și declarații relevante în scopul evaluării cu privire la delegarea obligațiilor de raportare în acord cu prevederile art. 92 și 93.(4)Prestatorul de servicii de plată trebuie să transmită informațiile solicitate potrivit alin. (2) și/sau (3) în termen de maximum 45 de zile lucrătoare de la data comunicării solicitării.(5)Pentru situații bine fundamentate de prestatorul de servicii de plată, la cererea acestuia, Banca Națională a României poate prelungi termenul de transmitere a documentelor și informațiilor prevăzut la alin. (4).(6)Documentația este completă numai după ce prestatorii de servicii de plată au transmis toate documentele și informațiile potrivit alin. (1)-(3), în termenul prevăzut la alin. (4), respectiv alin. (5), dacă este cazul.(7)Informațiile și documentele prezentate după expirarea termenelor prevăzute în prezentul articol nu sunt luate în considerare la evaluarea cererii prestatorului de servicii de plată de delegare a unei terțe părți a obligațiilor de raportare a incidentelor operaționale sau de securitate majore. +
Articolul 98Banca Națională a României evaluează și comunică prestatorului de servicii de plată decizia sa cu privire la posibilitatea prestatorului de servicii de plată de a delega către o terță parte obligațiile sale de raportare a incidentelor majore potrivit titlului III, în termen de 30 de zile lucrătoare de la data la care documentația este considerată completă potrivit art. 97 alin. (6). +
Titlul IVRaportarea datelor statistice privind fraudele legate de diferite mijloace de plată +
Capitolul IObiectul raportării +
Articolul 99(1)În conformitate cu prevederile prezentului titlu, prestatorii de servicii de plată trebuie să raporteze către Banca Națională a României, pentru fiecare perioadă de raportare, datele statistice privind:a)totalul operațiunilor de plată; și … b)totalul operațiunilor de plată frauduloase. … (2)În sensul alin. (1) operațiunile de plată frauduloase reprezintă:a)operațiunile de plată neautorizate; și … b)operațiunile de plată efectuate în urma manipulării plătitorului de către autorul fraudei. … +
Articolul 100(1)În sensul prevederilor art. 99 alin. (1) lit. b), prestatorii de servicii de plată, inclusiv emitentul instrumentului de plată, trebuie să raporteze numai operațiunile de plată frauduloase care au fost inițiate și executate, inclusiv acceptate, dacă este cazul.(2)Prestatorii de servicii de plată nu trebuie să raporteze datele privind operațiunile de plată care, deși se referă la operațiunile menționate la art. 99 alin. (1) lit. b), nu au fost executate și nu au generat un transfer de fonduri în conformitate cu dispozițiile art. 5 alin. (1) pct. 36 din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative. +
Capitolul IICerințe generale privind datele raportate +
Articolul 101(1)Prestatorii de servicii de plată trebuie să raporteze datele statistice prevăzute la art. 99, conform alin. (2) sau (3).(2)Prestatorul de servicii de plată al plătitorului trebuie să raporteze datele statistice, conform anexei nr. 5 secțiunile A, C, E, F, G și H, după caz.(3)Prestatorul de servicii de plată al beneficiarului plății trebuie să raporteze datele statistice, conform anexei nr. 5 secțiunile B și D, după caz. +
Articolul 102Prestatorii de servicii de plată trebuie să raporteze Băncii Naționale a României toate operațiunile de plată și operațiunile de plată frauduloase cu privire la următoarele:a)totalul operațiunilor de plată frauduloase prevăzute la art. 99, indiferent dacă valoarea operațiunii de plată frauduloasă a fost recuperată; … b)pierderi cauzate de fraudă în funcție de purtătorul răspunderii; … c)modificarea unui ordin de plată de către autorul fraudei; … d)emiterea unui ordin de plată de către autorul fraudei. … +
Articolul 103(1)Prestatorii de servicii de plată trebuie să transmită Băncii Naționale a României, prin intermediul Sistemului Informatic de Raportare către Banca Națională a României (SIRBNR), datele statistice prevăzute la art. 99, potrivit dispozițiilor cuprinse în cadrul cap. VI din prezentul titlu. (2)Transmiterea datelor se realizează în format XML, în conformitate cu dispozițiile art. 101 alin. (2) și (3) și cu regulile de sistem stabilite și puse la dispoziția entităților raportoare – prin intermediul SIRBNR – de Banca Națională a României.(la 16-06-2021,
Articolul 103 din Capitolul II , Titlul IV a fost modificat de Punctul 6, Articolul I din REGULAMENT nr. 2 din 21 mai 2021, publicată în MONITORUL OFICIAL nr. 599 din 16 iunie 2021
)
+
Articolul 104(1)Prestatorii de servicii de plată trebuie să raporteze către Banca Națională a României datele statistice prevăzute la art. 99, atât din punctul de vedere al volumului, și anume numărul de operațiuni de plată sau de operațiuni de plată frauduloase, cât și al valorii, și anume valoarea operațiunilor de plată sau a operațiunilor de plată frauduloase.(2)Numărul de operațiuni de plată sau de operațiuni de plată frauduloase trebuie să fie exprimat în unități reale (existente) și valoarea operațiunilor de plată sau a operațiunilor de plată frauduloase trebuie să fie exprimată în valori efective, cu două zecimale. +
Articolul 105(1)Prestatorii de servicii de plată trebuie să transmită Băncii Naționale a României datele statistice prevăzute la art. 99, prin exprimarea acestora în lei. (2)Prestatorii de servicii de plată trebuie să raporteze Băncii Naționale a României datele statistice la nivel agregat, incluzând datele aferente activității de prestare de servicii de plată în mod direct în alte state membre și activității desfășurate prin intermediul agenților. (3)Prestatorii de servicii de plată prevăzuți la art. 223 alin. (1) lit. c), cu excepția furnizorilor specializați în servicii de informare cu privire la conturi, și lit. d) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, din alte state membre, care desfășoară activitate de prestare de servicii de plată pe teritoriul României prin intermediul sucursalelor, raportează Băncii Naționale a României datele statistice prevăzute la art. 99, aferente activității desfășurate de acestea în România, separat de raportarea datelor efectuată de către prestatorul de servicii de plată în statul membru de origine. (4)Prestatorii de servicii de plată prevăzuți la art. 223 alin. (1) lit. c), cu excepția agenților și a furnizorilor specializați în servicii de informare cu privire la conturi, din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, care desfășoară activitate de prestare de servicii de plată pe teritoriul României prin intermediul agenților, nu raportează informațiile și datele statistice către Banca Națională a României. (5)Fără a aduce atingere alin. (1), în cazul operațiunilor de plată și al operațiunilor de plată frauduloase denominate în monedă străină, prestatorii de servicii de plată determină valorile, inițial, prin aplicarea cursului de schimb pentru moneda respectivă raportat la euro, iar rezultatul în euro este convertit în lei, utilizându-se cursurile de schimb publicate pe website-ul Băncii Centrale Europene. Pentru operațiunile de plată, inclusiv frauduloase, denominate în alte monede decât cele pentru care sunt disponibile cursuri de schimb pe website-ul Băncii Centrale Europene, prestatorii de servicii de plată trebuie să utilizeze cursul de schimb publicat pe website-ul Băncii Naționale a României.(6)Valorile cursurilor de schimb utilizate pentru conversiile prevăzute la alin. (5) sunt cele aplicate acestor operațiuni sau rata de schimb medie de referință a Băncii Centrale Europene sau a Băncii Naționale a României, după caz, pentru perioada de raportare respectivă.(la 16-06-2021,
Articolul 105 din Capitolul II , Titlul IV a fost modificat de Punctul 7, Articolul I din REGULAMENT nr. 2 din 21 mai 2021, publicată în MONITORUL OFICIAL nr. 599 din 16 iunie 2021
)
+
Articolul 106Abrogat.(la 16-06-2021,
Articolul 106 din Capitolul II , Titlul IV a fost abrogat de Punctul 8, Articolul I din REGULAMENT nr. 2 din 21 mai 2021, publicată în MONITORUL OFICIAL nr. 599 din 16 iunie 2021
)
+
Capitolul IIIFrecvență și termen de raportare +
Articolul 107(1)Prestatorii de servicii de plată trebuie să transmită datele statistice prevăzute la art. 99 în termen de cel mult 5 luni de la sfârșitul semestrului pentru care se raportează.(2)Când ultima zi a termenului de raportare prevăzut la alin. (1) este o zi nelucrătoare, termenul se prelungește până în prima zi lucrătoare. +
Capitolul IVDefalcarea geografică +
Articolul 108(1)Prestatorii de servicii de plată trebuie să raporteze datele statistice prevăzute la art. 99, defalcat pentru operațiunile de plată/plată frauduloase naționale, operațiunile de plată/plată frauduloase transfrontaliere din alte state membre și operațiunile de plată/plată frauduloase transfrontaliere din state terțe, în conformitate cu metodologia și instrucțiunile prevăzute în anexa nr. 4.(2)Prestatorii de servicii de plată trebuie să aloce fiecare operațiune unei singure subcategorii pentru fiecare rând în cadrul fiecărei defalcări de date prevăzute în anexa nr. 5. +
Capitolul VData înregistrării și data de referință +
Articolul 109(1)Data care trebuie avută în vedere de prestatorii de servicii de plată pentru înregistrarea operațiunilor de plată și a operațiunilor de plată frauduloase în scopul raportării datelor statistice prevăzute la art. 99 este data la care a fost executată operațiunea în conformitate cu prevederile Legii nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative.(2)În cazul unei serii de operațiuni, data înregistrării va fi data la care a fost executată fiecare operațiune de plată în parte. +
Articolul 110Prestatorii de servicii de plată trebuie să raporteze toate operațiunile de plată frauduloase de la momentul la care frauda a fost detectată, inclusiv ca urmare a unei reclamații a clientului sau prin alte mijloace, indiferent dacă dosarul referitor la operațiunea de plată frauduloasă a fost sau nu soluționat până la momentul raportării datelor. +
Articolul 111(1)Prestatorii de servicii de plată trebuie să raporteze separat toate rectificările datelor referitoare la orice perioadă de raportare din trecut, cu o vechime de cel mult un an, în următoarea perioadă de raportare, ce survine după descoperirea informațiilor care trebuie rectificate.(2)În situația prevăzută la alin. (1) prestatorii de servicii de plată trebuie să precizeze că datele raportate reprezintă date rectificate aferente raportărilor din trecut și să indice perioada de raportare care face obiectul corecțiilor. +
Capitolul VIDefalcarea datelor +
Articolul 112Prestatorii de servicii de plată trebuie să raporteze toate operațiunile de plată și operațiunile de plată frauduloase de tip transfer-credit, inclusiv ordine de plată programată, care au fost inițiate și executate, în conformitate cu formularul „A – Defalcarea datelor pentru operațiunile de transfer credit“ din anexa nr. 5. +
Articolul 113Prestatorul de servicii de plată care oferă servicii de emitere de carduri de plată utilizatorilor de servicii de plată în calitate de plătitori trebuie să raporteze, în calitate de emitent, toate operațiunile de plată și operațiunile de plată frauduloase în care s-a folosit un card de plată sau un dispozitiv similar, care au fost inițiate și executate, în conformitate cu formularul «C – Defalcarea datelor pentru operațiunile de plată cu cardul care trebuie raportate de prestatorul de servicii emitent» din anexa nr. 5. Datele aferente categoriilor «Tranzacții inițiate de comerciant» și «Altele» se vor raporta pentru operațiunile de plată inițiate și executate ulterior datei de 01.07.2020.(la 16-06-2021,
Articolul 113 din Capitolul VI , Titlul IV a fost modificat de Punctul 9, Articolul I din REGULAMENT nr. 2 din 21 mai 2021, publicată în MONITORUL OFICIAL nr. 599 din 16 iunie 2021
)
+
Articolul 114Prestatorii de servicii de plată care oferă servicii de acceptare de operațiuni de plată utilizatorilor de servicii de plată în calitate de beneficiari trebuie să raporteze toate operațiunile de plată și operațiunile de plată frauduloase de tip acceptare de operațiuni de plată în care s-a folosit un card de plată sau un dispozitiv similar, care au fost inițiate și executate, în conformitate cu formularul «D – Defalcarea datelor pentru operațiunile de plată cu cardul sau un dispozitiv similar care vor fi raportate de către prestatorul de servicii de plată care acceptă la plată aceste operațiuni de plată (cu o relație contractuală cu utilizatorul serviciului de plată)» din anexa nr. 5. Datele aferente indicatorilor «Tranzacții inițiate de comerciant» și «Altele» se vor raporta pentru operațiunile de plată inițiate și executate ulterior datei de 1.07.2020.(la 16-06-2021,
Articolul 114 din Capitolul VI , Titlul IV a fost modificat de Punctul 10, Articolul I din REGULAMENT nr. 2 din 21 mai 2021, publicată în MONITORUL OFICIAL nr. 599 din 16 iunie 2021
)
+
Articolul 115(1)Datele cuprinse în raportările prevăzute la art. 112-114 trebuie să includă:a)perspectiva geografică; … b)canalul de plată; … c)metoda de autentificare; … d)motivul neaplicării autentificării stricte a clienților, prin indicarea derogărilor de la autentificarea strictă a clienților, prevăzute la cap. 3 din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European și a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienților și standardele deschise, comune și sigure de comunicare, sau una din categoriile «Tranzacții inițiate de comerciant» sau «Altele», după caz;(la 16-06-2021,
Litera d) din Alineatul (1) , Articolul 115 , Capitolul VI , Titlul IV a fost modificată de Punctul 11, Articolul I din REGULAMENT nr. 2 din 21 mai 2021, publicată în MONITORUL OFICIAL nr. 599 din 16 iunie 2021
)
… e)tipurile de fraudă; … f)funcția cardului pentru operațiunile de plată raportate în conformitate cu secțiunile «C – Defalcarea datelor pentru operațiunile de plată cu cardul care trebuie raportate de prestatorul de servicii de plată emitent» și «D – Defalcarea datelor pentru operațiunile de plată cu cardul sau un dispozitiv similar care vor fi raportate de către prestatorul de servicii de plată care acceptă la plată aceste operațiuni de plată (cu o relație contractuală cu utilizatorul serviciului de plată)» și(la 16-06-2021,
Litera f) din Alineatul (1) , Articolul 115 , Capitolul VI , Titlul IV a fost modificată de Punctul 12, Articolul I din REGULAMENT nr. 2 din 21 mai 2021, publicată în MONITORUL OFICIAL nr. 599 din 16 iunie 2021
)
… g)operațiunile de plată inițiate prin intermediul unui prestator de servicii de inițiere a plății. … (2)Prestatorii de servicii de plată prevăzuți la art. 113 și 114 trebuie să excludă din cadrul raportărilor retragerile și depunerile de numerar dintr-un/într-un cont de plăți. +
Articolul 116(1)Prestatorii de servicii de plată trebuie să raporteze toate operațiunile de plată și operațiunile de plată frauduloase de tip debitări directe, inclusiv debitări directe singulare, care au fost executate, în conformitate cu formularul „B – Defalcarea datelor pentru operațiunile executate prin debitări directe“ din anexa nr. 5.(2)Datele cuprinse în raportarea prevăzută la alin. (1) trebuie să includă:a)perspectiva geografică prevăzută la art. 108; … b)canalul folosit pentru acordarea consimțământului; și … c)tipurile de fraudă. … +
Articolul 117Prestatorii de servicii de plată, care emit instrumente de plată de tipul cardurilor, trebuie să raporteze toate operațiunile de plată și operațiunile de plată frauduloase de tip retragere de numerar efectuate la bancomate (inclusiv prin intermediul aplicațiilor), la ghișeele bancare și la comercianți, utilizând cardurile emise de către aceștia, în conformitate cu formularul «E – Defalcarea datelor pentru retragerile de numerar folosind carduri care vor fi raportate de prestatorul de servicii de plată emitent al cardului» din anexa nr. 5.(la 16-06-2021,
Articolul 117 din Capitolul VI , Titlul IV a fost modificat de Punctul 13, Articolul I din REGULAMENT nr. 2 din 21 mai 2021, publicată în MONITORUL OFICIAL nr. 599 din 16 iunie 2021
)
+
Articolul 118(1)Prestatorii de servicii de plată care nu administrează contul de plăți al utilizatorului de servicii de plată, dar care emit instrumente de plată de tipul cardurilor și execută operațiuni de plăți pe baza acestor carduri trebuie să raporteze datele referitoare la volumul și valoarea aferente acestor operațiuni și ale operațiunilor de plată frauduloase efectuate cu aceste carduri, potrivit formularului «C – Defalcarea datelor pentru operațiunile de plată cu cardul care trebuie raportate de prestatorul de servicii de plată emitent» din anexa nr. 5.(la 16-06-2021,
Alineatul (1) din Articolul 118 , Capitolul VI , Titlul IV a fost modificat de Punctul 14, Articolul I din REGULAMENT nr. 2 din 21 mai 2021, publicată în MONITORUL OFICIAL nr. 599 din 16 iunie 2021
)
(2)Prestatorii de servicii de plată prevăzuți la alin. (1) care oferă servicii de emitere de carduri cu funcție de numerar trebuie să raporteze datele referitoare la operațiunile de retragere de numerar și operațiunile de plată frauduloase inițiate și executate cu aceste carduri în conformitate cu formularul „E – Defalcarea datelor privind retragerile de numerar folosind carduri care vor fi raportate de prestatorul de servicii de plată emitent al cardului“ din anexa nr. 5.(3)Prestatorii de servicii de plată care oferă servicii de administrare cont trebuie să se asigure că nu raportează către Banca Națională a României datele prevăzute la alin. (1) și (2). +
Articolul 119(1)Prestatorii de servicii de plată care oferă servicii de plată cu monedă electronică trebuie să raporteze operațiunile de plată și operațiunile de plată frauduloasă cu monedă electronică, astfel cum aceasta este definită la art. 4 alin. (1) lit. f) din Legea nr. 210/2019 privind activitatea de emitere de monedă electronică, în conformitate cu formularul «F – Defalcarea datelor pentru operațiunile efectuate cu monedă electronică» din anexa nr. 5. Datele aferente categoriilor «Tranzacții inițiate de comerciant» și «Altele» se vor raporta pentru operațiunile de plată inițiate și executate ulterior datei de 1.07.2020.(la 16-06-2021,
Alineatul (1) din Articolul 119 , Capitolul VI , Titlul IV a fost modificat de Punctul 15, Articolul I din REGULAMENT nr. 2 din 21 mai 2021, publicată în MONITORUL OFICIAL nr. 599 din 16 iunie 2021
)
(2)Prestatorii de servicii de plată trebuie să includă în raportarea menționată la alin. (1) doar operațiunile de plată cu monedă electronică în care:a)prestatorul de servicii de plată al plătitorului este identic cu cel al beneficiarului plății; sau … b)este folosit un card cu funcția de monedă electronică. … (3)Datele cuprinse în raportarea prevăzută la alin. (1) trebuie să includă:a)perspectiva geografică, determinată potrivit art. 108; … b)canalul de plată; … c)metoda de autentificare; … d)motivul neaplicării autentificării stricte a clienților, prin indicarea derogărilor de la autentificarea strictă a clienților, prezentate în capitolul III din Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2.366 a Parlamentului European și a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienților și standardele deschise, comune și sigure de comunicare sau una din categoriile «Tranzacții inițiate de comerciant» sau «Altele», după caz; și(la 16-06-2021,
Litera d) din Alineatul (3) , Articolul 119 , Capitolul VI , Titlul IV a fost modificată de Punctul 16, Articolul I din REGULAMENT nr. 2 din 21 mai 2021, publicată în MONITORUL OFICIAL nr. 599 din 16 iunie 2021
)
… e)tipurile de fraudă. … +
Articolul 120Prestatorii de servicii de plată care furnizează date în conformitate cu formularele de la „A – Defalcarea datelor pentru operațiunile de transfer credit“ la „F – Defalcarea datelor pentru operațiunile efectuate în monedă electronică“ din anexa nr. 5 trebuie să raporteze toate pierderile cauzate de fraudă suportate în perioada pentru care se efectuează raportarea, în funcție de purtătorul răspunderii, în termenul de transmitere prevăzut la art. 107. +
Articolul 121(1)Prestatorii de servicii de plată care oferă servicii de remitere de bani trebuie să raporteze toate operațiunile de plată și operațiunile de plată frauduloase referitoare la aceste operațiuni potrivit formularului „G – Defalcarea datelor pentru operațiunile de remitere de bani“ din anexa nr. 5.(2)Prestatorii de servicii de plată care raportează date statistice potrivit alin. (1) trebuie să transmită datele privind volumele și valorile tuturor operațiunilor de plată și operațiunilor de plată frauduloasă prevăzute la art. 99, defalcat din perspectiva geografică, astfel cum este prevăzut la art. 108. +
Articolul 122(1)Prestatorii de servicii de plată care oferă servicii de inițiere a plății trebuie să raporteze toate operațiunile de plată și operațiunile de plată frauduloase referitoare la aceste operațiuni potrivit formularului „H – Defalcarea datelor pentru operațiunile inițiate de prestatorii de servicii de inițiere a plății“ din anexa nr. 5.(2)Datele cuprinse în raportarea prevăzută la alin. (1) trebuie să includă:a)perspectiva geografică; … b)instrumentul de plată; … c)canalul de plată; și … d)metoda de autentificare. … +
Articolul 123Prestatorii de servicii de plată trebuie să se asigure că toate datele statistice transmise Băncii Naționale a României au corespondent în anexa nr. 5. +
Titlul VMăsuri administrative și sancțiuni +
Articolul 124Nerespectarea prevederilor prezentului regulament atrage, după caz, luarea măsurilor prevăzute la art. 223 alin. (2) lit. c) și/sau aplicarea sancțiunilor prevăzute la art. 227 din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative. +
Titlul VIDispoziții finale +
Articolul 125Anexele nr. 1-6 fac parte integrantă din prezentul regulament. +
Articolul 126Regulamentul Băncii Naționale a României nr. 3/2018 privind monitorizarea infrastructurilor pieței financiare și a instrumentelor de plată, publicat în Monitorul Oficial al României, Partea I, nr. 713 din 16 august 2018, se modifică și se completează după cum urmează:1.La articolul 122, alineatul (2) se modifică și va avea următorul cuprins:(2)Cererea de autorizare este însoțită de o autoevaluare, inclusiv documentația justificativă aferentă, privind îndeplinirea permanentă a cerințelor aplicabile administratorilor IPF, stabilite la cap. I al titlului II din prezentul regulament. … 2.La articolul 128, alineatul (1) se modifică și va avea următorul cuprins: +
Articolul 128(1)Prestatorul de servicii de plată poate pune în circulație instrumente de plată electronică, în termen de 30 de zile lucrătoare de la notificarea Băncii Naționale a României -Direcția monitorizare a infrastructurilor pieței financiare și a plăților și transmiterea tuturor documentelor și informațiilor prevăzute la art. 129. … 3.La articolul 129, alineatul (2) se modifică și va avea următorul cuprins:(2)Banca Națională a României poate solicita orice alte informații, date, documente și declarații necesare în vederea evaluării cu privire la punerea în circulație a instrumentului de plată electronică. Prestatorul de servicii de plată trebuie să transmită informațiile solicitate în termen de maximum 30 de zile lucrătoare de la data comunicării solicitării. … 4.După articolul 129 se introduce un nou articol, articolul 129^1, cu următorul cuprins: +
Articolul 129^1(1)Prin excepție de la prevederile art. 128 alin. (1) prestatorii de servicii de plată pot desfășura proiecte-pilot de testare a instrumentelor de plată electronică, cu informarea în prealabil a Băncii Naționale a României și în următoarele condiții:a)perioada de testare să nu depășească 120 de zile calendaristice; … b)prestatorii de servicii de plată trebuie să se asigure că sunt testate toate funcționalitățile instrumentului de plată cu o masă critică de utilizatori, astfel încât să fie realizată verificarea tuturor funcționalităților și facilităților aferente noilor produse sau servicii care urmează să fie notificate către Banca Națională a României, în acord cu prevederile art. 128. … (2)Informarea transmisă conform prevederilor alin. (1) se va efectua potrivit formularului prevăzut în anexa nr. 8.(3)Prestatorii de servicii de plată trebuie să transmită Băncii Naționale a României, după finalizarea proiectului-pilot, concluziile aferente testării, inclusiv decizia de a pune sau nu în circulație instrumentul respectiv, în termen de 30 de zile lucrătoare de la finalizarea proiectului.(4)În situația în care prestatorul de servicii de plată decide să pună în circulație instrumentul de plată electronică care a făcut obiectul proiectului-pilot, acesta trebuie să notifice instrumentul de plată Băncii Naționale a României conform prevederilor art. 128. … 5.La articolul 130 alineatul (1), litera d) se abrogă. … 6.La articolul 135, alineatul (1) se modifică și va avea următorul cuprins: +
Articolul 135(1)Administratorii IPF, participanții și prestatorii de servicii de plată care pun în circulație și/sau acceptă instrumente de plată vor furniza Băncii Naționale a României, oricând la solicitarea acesteia, toate informațiile și documentele necesare pentru a evalua conformitatea cu cerințele stabilite de prezentul regulament. … 7.Articolul 136 se modifică și va avea următorul cuprins: +
Articolul 136(1)Administratorii IPF, participanții și prestatorii de servicii de plată care pun în circulație și/sau acceptă instrumente de plată pe suport hârtie trebuie să informeze de îndată Banca Națională a României – Direcția monitorizare a infrastructurilor pieței financiare și a plăților, prin intermediul Rețelei de comunicații interbancare, cu privire la apariția oricăror incidente în funcționarea normală a IPF, a participantului sau a instrumentelor de plată pe suport hârtie, conform formularului din anexa nr. 7 – Raport incidente operaționale și/sau de securitate.(2)Prestatorii de servicii de plată trebuie să raporteze incidentele operaționale și/sau de securitate majore aferente serviciilor de plată potrivit reglementărilor Băncii Naționale a României.(3)Administratorii IPF, participanții și prestatorii de servicii de plată care pun în circulație și/sau acceptă instrumente de plată pe suport hârtie trebuie să transmită Băncii Naționale a României – Direcția monitorizare a infrastructurilor pieței financiare și a plăților un raport scris cu explicarea cauzelor incidentelor raportate conform alin. (1), precum și a măsurilor de remediere întreprinse sau avute în vedere, în termen de cel mult 30 de zile calendaristice de la data incidentului.(4)Banca Națională a României poate solicita în orice moment administratorilor IPF, participanților și prestatorilor de servicii de plată care pun în circulație și/sau acceptă instrumente de plată pe suport hârtie date, informații și rapoarte suplimentare referitoare la incidentele și fraudele apărute. … 8.Articolul 138 se modifică și va avea următorul cuprins: +
Articolul 138(1)Administratorii IPF și participanții trebuie să efectueze cel puțin anual testări ale rezilienței, inclusiv la atacuri cibernetice, a infrastructurii informatice utilizate pentru procesarea plăților, decontărilor și a instrumentelor de plată.(2)Entitățile prevăzute la alin. (1) trebuie să remită anual, până la data de 31 martie, pentru anul anterior, prin intermediul Rețelei de comunicații interbancare, următoarele informații:a)scenariile de test avute în vedere și rezultatele testărilor prevăzute la alin. (1); … b)extrase din rapoartele auditorilor și/sau experților, care să conțină concluziile acestora cu privire la reziliența infrastructurii informatice; … c)modificările semnificative aduse infrastructurii informatice și locațiilor sediilor secundare ce asigură continuitatea activității de procesare a plăților, decontărilor și a instrumentelor de plată. … … 9.Anexa nr. 7 se modifică și va avea următorul cuprins: +
Anexa nr. 7
Model raport incident operațional sau de securitate1.Administrator IPF/Participant/Prestator de servicii de plată … 2.Numele, funcția și datele de contact ale persoanei care raportează incidentul … 3.Data și momentul apariției incidentului … 4.Data și momentul constatării incidentului … 5.Data și momentul finalizării incidentului … 6.Tip incident operațional/de securitate (echipament, soft, uman, social, procedură, cauză naturală, altele) … 7.Cauza incidentului … 8.Descrierea detaliată a incidentului … 9.Măsurile luate pentru limitarea consecințelor incidentului … 10.Măsurile luate pentru prevenirea unor incidente similare … 11.Numele, funcția și datele de contact ale persoanei/persoanelor care pot furniza informații suplimentare legate de incidentul raportat … … 10.După anexa nr. 7 se introduce o nouă anexă, anexa nr. 8, cu următorul cuprins: +
Anexa nr. 8
Informare referitoare la desfășurarea proiectului-pilot de testare a instrumentelor de plată electronică…….(numele instituției)……, înmatriculată la oficiul registrului comerțului cu nr. …………………….., având cod unic de înregistrare ……………………….., cu sediul social în ……(țara/județul)……., localitatea ……………………, str. …………………. nr. …………., cod poștal …………….., prin ……..(numele și prenumele)…….., în calitate de reprezentant legal notifică lansarea unui proiect-pilot pentru instrumentul(ele) de plată electronică de tip ……………………….Informații suplimentare1.Denumirea produsului: ……………………………………… … 2.Perioada de testare: …………………………………………. … 3.Masa critică de utilizatori:
| salariați ai prestatorului de servicii de plată număr ……………… |
| alți utilizatori (detaliați) număr ……………… |
… 4.Tipuri de operațiuni permise:a)…………………………………………………………………………………………………………………… … b)…………………………………………………………………………………………………………………… … c)…………………………………………………………………………………………………………………… … d)…………………………………………………………………………………………………………………… … e)…………………………………………………………………………………………………………………… … f)…………………………………………………………………………………………………………………… … g)…………………………………………………………………………………………………………………… … h)…………………………………………………………………………………………………………………… … … 5.Limite de tranzacționarea)limita pe tranzacție pentru plăți intrabancare:……………………………….. … b)limita pe tranzacție pentru plăți interbancare: ……………………………….. … c)limita zilnică pentru transferuri: ……………………………………… … d)limita zilnică pentru schimburi valutare: ……………………………………… … e)limită pe tranzacție pentru schimburi valutare: …………………………….. … etc. … … 6.Fondurile tranzacționate: ……………………………………………………………….. … 7.Ulterior perioadei de testare accesul la funcționalitățile testate va fi restricționat?[] [da][] [nu] … 8.Tehnologiile utilizate în dezvoltarea proiectului:
| [] API |
[] Chatbot |
[] Distributed Ledger Technology (DLT) |
| [] Recunoaștere optică a caracterelor (OCR) |
[] Inteligență artificială (AI) |
[] Cloud Computing |
| [] Sistem de informare geografic (GIS) |
[] Contracte inteligente |
[] Big Data |
| [] Managementul datelor |
[] Învățare automată |
[] Web-scraping |
| [] Biometrie |
[] Vizualizarea datelor |
[] Procesarea limbajului natural |
| [] Altele (indicați) |
|
|
… 9.Tipuri de inovație implicate:[] Produs/serviciu/activitate nou(ă)[] Utilizarea evolutivă sau inovatoare a produsului/serviciului/activității[] Proces/procedură intern(ă) nou(ă)[] Utilizarea evolutivă sau inovatoare a procesului/procedurii intern(e)[] Altele (indicați)Anexat solicitării se află următoarele documente:1.……………………………………………………………………….. … 2.……………………………………………………………………….. … 3.……………………………………………………………………….. … 4.……………………………………………………………………….. … 5.……………………………………………………………………….. … Persoanele de contact care pot oferi clarificări cu privire la această solicitare sunt:1.Numele și prenumele ……………………………………………Telefon: ………………., e-mail: ……………………………………… … 2.Numele și prenumele …………………………………………….Telefon: ………………., e-mail: ……………………………………..Datele și informațiile furnizate sunt adevărate, corecte și reflectă situația existentă (până) la data de …./…./…..Semnătura reprezentatului legal al prestatorului de servicii de plată solicitant,S.S./L.S. … … NOTĂ:Cererea se va completa de către reprezentantul legal al prestatorului de servicii de plată, desemnat în conformitate cu prevederile Legii societăților nr. 31/1990, republicată, cu modificările și completările ulterioare. … +
Articolul 127Prezentul regulament intră în vigoare în termen de 30 de zile de la data publicării în Monitorul Oficial al României, Partea I.
Președintele Consiliului de administrație al Băncii Naționale a României,
Mugur Constantin IsărescuBucurești, 30 ianuarie 2020.Nr. 2. +
Anexa nr. 1
Criterii relevante pentru calificarea incidentelor și indicatorii pe baza cărora acestea se cuantificăA.Operațiuni de plată afectatePrestatorii serviciilor de plată trebuie să stabilească valoarea totală a operațiunilor afectate și numărul operațiunilor de plată compromise, inclusiv numărul operațiunilor de plată compromise exprimate ca procent din nivelul obișnuit al operațiunilor de plată executate cu serviciile de plată afectate.Operațiuni afectate reprezintă toate operațiunile de plată naționale și transfrontaliere care au fost sau vor fi probabil afectate în mod direct sau indirect de incident și, în special, acele operațiuni de plată care nu au putut fi inițiate sau procesate, cele al căror conținut al mesajului de plată a fost modificat și cele care au fost dispuse în mod fraudulos, indiferent dacă fondurile aferente au fost recuperate sau nu.Prestatorii de servicii de plată trebuie să determine nivelul obișnuit al operațiunilor de plată ca media zilnică calculată la nivelul anului precedent a operațiunilor de plată naționale și transfrontaliere executate cu aceleași servicii de plată care au fost afectate de incident. Dacă prestatorii de servicii de plată nu consideră că această cifră este reprezentativă, de exemplu, din cauza caracterului sezonier, aceștia trebuie să utilizeze un alt indicator mai reprezentativ și să prezinte Băncii Naționale a României justificarea aferentă pentru această abordare și să indice această abordare în câmpul „Operațiuni de plată afectate/Comentarii“ din secțiunea B2 a formularului „B – Raport intermediar“ cuprins în anexa nr. 3 la regulament.Dacă nu este posibil a se stabili numărul și valoarea operațiunii afectate, prestatorii de servicii de plată trebuie să utilizeze estimări și să indice această abordare în câmpul „Estimare“ din secțiunea B2 a formularului „B – Raport intermediar“ cuprins în anexa nr. 3 la regulament. … B.Utilizatori ai serviciilor de plată afectațiPrestatorii de servicii de plată trebuie să stabilească numărul utilizatorilor serviciilor de plată afectați, exprimat în termeni absoluți și ca procent din numărul total al utilizatorilor serviciilor de plată.Utilizatori ai serviciilor de plată afectați reprezintă toți clienții de la nivel național sau din străinătate, consumatori sau persoane juridice, care au un contract cu prestatorul serviciului de plată afectat, care le acordă acestora accesul la serviciul de plată afectat, și care au suportat sau vor suporta probabil consecințele incidentului. Dacă nu este posibil a se stabili numărul utilizatorilor serviciilor de plată care este posibil să fi folosit serviciul de plată pe durata incidentului, prestatorii de servicii de plată trebuie să utilizeze estimări bazate pe activitatea anterioară și să indice această abordare în câmpul „Estimare“ din secțiunea B2 a formularului „B – Raport intermediar“ cuprins în anexa nr. 3 la regulament.În cazul grupurilor, fiecare prestator de servicii de plată trebuie să aibă în vedere doar utilizatorii serviciilor de plată proprii. În cazul unui prestator de servicii de plată care oferă servicii operaționale altor persoane, acesta trebuie să aibă în vedere doar utilizatorii de servicii de plată proprii (dacă există), iar prestatorii de servicii de plată care beneficiază de respectivele servicii operaționale trebuie să evalueze incidentul în legătură cu utilizatorii serviciilor de plată proprii.Prestatorii de servicii de plată trebuie să considere numărul total al utilizatorilor serviciilor de plată ca fiind valoarea cumulată a utilizatorilor serviciilor de plată de la nivel național sau din străinătate cu care au raporturi contractuale la momentul incidentului (sau, alternativ, cea mai recentă valoare disponibilă) și care au acces la serviciul de plată afectat, indiferent de dimensiunea acestora sau dacă aceștia sunt considerați utilizatori activi sau pasivi ai serviciilor de plată. … C.Perioadă de nefuncționare a serviciilorPrestatorii de servicii de plată trebuie să stabilească perioada de timp în care serviciul va fi probabil indisponibil pentru utilizatorul serviciilor de plată sau în care ordinul de plată nu poate fi executat de către prestatorul de servicii de plată.Prestatorii de servicii de plată trebuie să aibă în vedere perioada de timp în care orice activitate, proces sau canal asociat prestării serviciilor de plată este sau va fi probabil indisponibilă/indisponibil și, astfel, împiedică (i) inițierea și/sau executarea unui serviciu de plată și/sau (ii) accesul la un cont de plăți.Prestatorii de servicii de plată trebuie să calculeze perioada de nefuncționare a serviciilor de la momentul inițial al indisponibilității și trebuie să ia în considerare atât intervalele de timp cuprinse într-o zi lucrătoare în care aceștia desfășoară activitate ce le permite executarea unui serviciu de plată, cât și orele din afara programului de activitate și perioadele de întreținere, dacă este cazul și dacă sunt aplicabile. Dacă prestatorii de servicii de plată nu pot să stabilească momentul inițial al nefuncționării serviciilor, aceștia trebuie să calculeze în mod excepțional perioada de nefuncționare a serviciilor de la momentul în care s-a depistat nefuncționarea. … D.Impact economicPrestatorii de servicii de plată trebuie să stabilească la nivel global costurile financiare asociate incidentului și să ia în calcul atât valoarea absolută, cât și, dacă este cazul, importanța relativă a acestor costuri în raport cu dimensiunea prestatorului de servicii de plată, respectiv cu fondurile proprii de nivelul 1 ale prestatorului de servicii de plată.Prestatorii de servicii de plată trebuie să aibă în vedere atât costurile care pot fi legate în mod direct de incident, cât și cele care sunt legate în mod indirect de incident. Printre altele, prestatorii de servicii de plată trebuie să țină cont de fondurile sau activele expropriate, costurile de înlocuire a echipamentelor hardware sau software, alte costuri realizate în scopuri judiciare sau de remediere, taxe aplicate ca urmare a neconformității cu obligațiile contractuale, sancțiuni, datorii externe și venituri pierdute. În ceea ce privește costurile indirecte, prestatorii de servicii de plată trebuie să le aibă în vedere doar pe cele care sunt deja cunoscute sau foarte probabil de a se concretiza. … E.Nivel ridicat de escaladare internăPrestatorii serviciilor de plată trebuie să stabilească dacă acest incident a fost sau va fi probabil raportat conducerii superioare.Prestatorii de servicii de plată trebuie să aibă în vedere dacă, în urma impactului incidentului asupra serviciilor aferente plăților, responsabilul pentru sistemele informatice (sau o persoană cu o funcție similară) a fost sau va fi probabil informat cu privire la incident în afara oricărei proceduri de notificare periodice și în permanență pe durata existenței incidentului. Suplimentar, prestatorii de servicii de plată trebuie să aibă în vedere dacă, în urma impactului incidentului asupra serviciilor aferente plăților, a fost sau este susceptibilă de a fi declanșată o stare de criză. … F.Alți prestatori de servicii de plată sau infrastructuri relevante potențial afectați/afectatePrestatorii de servicii de plată trebuie să stabilească implicațiile sistemice pe care le va avea probabil incidentul, cum ar fi potențialul acestuia de a se propaga asupra altor prestatori de servicii de plată, infrastructuri ale pieței financiare și/sau scheme de plată cu cardul.Prestatorii de servicii de plată trebuie să evalueze impactul incidentului asupra pieței financiare, care trebuie înțeleasă ca fiind infrastructurile pieței financiare și/sau schemele de plată cu cardul care susțin serviciile lor de plată și alți prestatori de servicii de plată. În mod specific, prestatorii de servicii de plată trebuie să evalueze dacă incidentul a apărut sau va apărea probabil în mod similar la alți prestatori de servicii de plată, dacă acesta a afectat sau va afecta probabil funcționarea infrastructurilor pieței financiare și dacă a compromis sau va compromite probabil funcționarea robustă a sistemului financiar în ansamblu. Prestatorii de servicii de plată trebuie să aibă în vedere diferite aspecte, precum dacă o componentă/un echipament software afectată/afectat este supusă/supus unor drepturi de proprietate sau este disponibilă/disponibil în general, dacă rețeaua compromisă este internă sau externă și dacă prestatorul de servicii de plată a încetat sau va înceta probabil să își îndeplinească obligațiile rezultate din participarea sa la infrastructurile pieței financiare. … G.Impact reputaționalPrestatorii de servicii de plată trebuie să stabilească modul în care incidentul poate submina încrederea utilizatorilor de servicii de plată în prestatorul de servicii de plată însuși și, în general, în serviciul aferent sau piața în ansamblu.Prestatorii de servicii de plată trebuie să aibă în vedere nivelul de vizibilitate pe care, după cunoștința lor, incidentul l-a atins sau îl va atinge probabil pe piață. În mod specific, prestatorii de servicii de plată trebuie să considere probabilitatea ca incidentul să provoace daune societății ca fiind un indicator bun al potențialului acestuia de a afecta reputația lor. Prestatorii de servicii de plată trebuie să țină cont dacă (i) incidentul a afectat un proces vizibil și, prin urmare, este susceptibil de a dobândi sau a dobândit deja acoperire mediatică (având în vedere nu doar media tradițională, precum ziarele, ci și blog-uri, rețele de socializare etc.), (ii) au fost sau vor fi probabil nerespectate obligațiile prevăzute în cadrul de reglementare, (iii) au fost sau vor fi probabil încălcate sancțiuni sau (iv) a apărut același tip de incident în trecut. … +
Anexa nr. 2
Praguri ale criteriilor luate în considerare la calificarea unui incident în categoria incidentelor majore
| Criterii |
Nivel de impact redus |
Nivel de impact ridicat |
| Operațiuni de plată afectate |
> 10% din nivelul obișnuit al operațiunilor prestatorului de servicii de plată (sub aspectul numărului de operațiuni) și > 100000 EUR |
> 25% din nivelul obișnuit al operațiunilor prestatorului de servicii de plată (sub aspectul numărului de operațiuni) sau > 5 milioane EUR |
| Utilizatori ai serviciilor de plată afectați |
> 5000 și > 10% dintre utilizatorii serviciilor de plată ai prestatorului de servicii de plată |
> 50000 sau > 25% dintre utilizatorii serviciilor de plată ai prestatorului de servicii de plată |
| Perioada de nefuncționare a serviciilor |
> 2 ore |
Nu este cazul. |
| Impact economic |
Nu este cazul. |
> Max. (0,1% fonduri proprii de nivelul 1*), 200 000 EUR) sau > 5 milioane EUR |
| Nivel ridicat de escaladare internă |
Da |
Da, și este probabil să se impună o stare de criză (sau o stare echivalentă) |
| Alți prestatori de servicii de plată sau infrastructuri relevante potențial afectați/afectate |
Da |
Nu este cazul. |
| Impact reputațional |
Da |
Nu este cazul. |
*) Fondurile proprii de nivelul 1, astfel cum sunt definite la articolul 25 din Regulamentul (UE) nr. 575/2013 al Parlamentului European și al Consiliului din 26 iunie 2013 privind cerințele prudențiale pentru instituțiile și societățile de investiții și de modificare a Regulamentului (UE) nr. 648/2012. +
Anexa nr. 3*)
Formularele de raportare a incidentelor majore*) Modelele formularelor sunt reproduse în facsimil.
Metodologie și instrucțiuni de completare a formularelor de raportare a incidentelor majore
| Prestatorii de servicii de plată trebuie să completeze secțiunea relevantă din formularele de raport cuprinse în prezenta anexă în funcție de etapa de raportare în care se află: secțiunea A – pentru raportul inițial, secțiunea B – pentru rapoarte intermediare și secțiunea C – pentru raportul final. Toate câmpurile sunt obligatorii, exceptând cazurile în care se specifică altfel în mod clar. |
| Titlu |
| Raport inițial: aceasta este prima notificare pe care prestatorul de servicii de plată (PSP) o transmite Băncii Naționale a României. |
| Raport intermediar: acesta reprezintă o actualizare a raportului anterior (inițial sau intermediar) cu privire la același incident. |
| Ultimul raport intermediar: acesta informează Banca Națională a României cu privire la faptul că activitățile obișnuite au fost restabilite și că activitatea a revenit la normal, astfel că nu vor mai fi transmise rapoarte intermediare. |
| Raport final: acesta este ultimul raport pe care PSP îl va trimite cu privire la incident, întrucât (i) a fost deja efectuată o analiză a cauzei fundamentale și estimările pot fi înlocuite cu cifre reale sau (ii) incidentul nu mai este considerat unul major. |
| Reclasificarea incidentului drept unul minor: incidentul nu mai îndeplinește criteriile pentru a fi considerat major și nu este de așteptat să le îndeplinească înainte ca acesta să fie soluționat. PSP trebuie să explice motivele acestei declasificări. |
| Data și ora raportului: data și ora exactă a transmiterii raportului autorității competente. |
| Numărul de identificare a incidentului, dacă este cazul (pentru raportul intermediar și cel final): numărul de referință emis de autoritatea competentă la momentul raportului inițial pentru a identifica în mod unic incidentul, dacă este cazul (mai exact, dacă o astfel de referință este oferită de autoritatea competentă). |
|
| A – Raport inițial |
| A 1 – Detalii generale |
| Tip de raport: |
| Individual: raportul se referă la un singur PSP. |
| Consolidat: raportul se referă la mai mulți PSP care utilizează opțiunea de raportare consolidată. Câmpurile de la secțiunea „PSP afectat“ trebuie lăsate necompletate (cu excepția câmpului „Țara/Țările afectată/afectate de incident“) și trebuie furnizată o listă a PSP incluși în raport prin completarea tabelului aferent (Raport consolidat – lista PSP). |
| PSP afectat: se referă la PSP căruia i se întâmplă incidentul. |
| Numele PSP: reprezintă numele complet al PSP supus procedurii de raportare, așa cum apare în registrul național oficial al PSP aplicabil. |
| Numărul de identificare unic al PSP, dacă este relevant: reprezintă numărul de identificare unic relevant utilizat în fiecare stat membru pentru identificarea PSP, care este oferit de PSP dacă nu se completează câmpul denumit „Numărul autorizației PSP“. |
| Numărul de autorizare al PSP: reprezintă codul de identificare fiscală sau element echivalent din Registrele ținute de Banca Națională a României (BNR) pentru entitățile care sunt instituții de plată și instituții emitente de monedă electronică prevăzute la art. 223 alin. (1) lit. a) și b) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, numărul de înmatriculare în registrul instituțiilor de credit ținut de BNR pentru entitățile care sunt instituții de credit sau sucursale ale instituțiilor de credit din state terțe și codul de identificare fiscală pentru entitățile prevăzute la art. 223 alin. (1) lit. e) din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative. |
| Întreprinderea-mamă la nivelul grupului: în cazul grupurilor de entități definite la art. 5 alin. (1) pct. 29 din Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative, reprezintă numele entității conducătoare. |
| Țara de origine: reprezintă statul membru în care se află sediul social al PSP; sau, în cazul în care PSP nu are, în temeiul legislației naționale, niciun sediu social, statul membru în care se află sediul acestuia. |
| Țara/Țările afectată/afectate de incident: reprezintă țara sau țările în care s-a materializat impactul incidentului (de exemplu, sunt afectate mai multe sucursale ale unui PSP aflate în diferite țări). Este posibil ca aceasta să fie sau să nu fie aceeași cu statul membru de origine. |
| Prima persoană de contact: reprezintă prenumele și numele de familie ale persoanei responsabile de raportarea incidentului sau, dacă o persoană terță raportează în numele PSP afectat, prenumele și numele de familie ale persoanei care conduce departamentul de gestionare a incidentelor/de risc sau o secție similară din cadrul PSP afectat. |
| E-mail: reprezintă adresa de e-mail la care ar putea fi adresate orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi un e-mail personal sau din partea societății. |
| Telefon: reprezintă numărul de telefon care este apelat pentru orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi un număr de telefon personal sau din partea societății. |
| A doua persoană de contact: reprezintă prenumele și numele de familie ale unei persoane alternative care ar putea fi contactată de către autoritatea competentă pentru a solicita informații despre un incident atunci când persoana de contact principală nu este disponibilă. Dacă o parte terță raportează în numele PSP afectat, prenumele și numele de familie ale unei persoane alternative din departamentul de gestionare a incidentelor/de risc sau dintr-o secție similară din cadrul PSP afectat. |
| E-mail: reprezintă adresa de e-mail a persoanei de contact alternative la care ar putea fi adresate orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi o adresă de e-mail personală sau din partea societății. |
| Telefon: reprezintă numărul de telefon al persoanei de contact alternative care este apelat pentru orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi un număr de telefon personal sau din partea societății. |
| Entitatea de raportare: această secțiune trebuie completată dacă o parte terță îndeplinește obligațiile de raportare în numele PSP afectat. |
| Denumirea entității de raportare: reprezintă denumirea completă a entității care raportează incidentul, așa cum apare în registrul național oficial al companiilor aplicabil. |
| Numărul de identificare unic al entității de raportare, dacă este relevant: reprezintă numărul de identificare unic relevant utilizat în țara în care se află partea terță pentru a identifica entitatea care raportează incidentul, care se introduce de către entitatea de raportare în cazul în care câmpul „Numărul autorizației“ nu este completat. |
| Numărul autorizației entității de raportare, dacă este relevant: reprezintă numărul de autorizare al părții terțe în țara în care se află aceasta, dacă este cazul. |
| Prima persoană de contact: reprezintă prenumele și numele de familie ale persoanei responsabile de raportarea incidentului. |
| E-mail: reprezintă adresa de e-mail la care ar putea fi adresate orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi un e-mail personal sau din partea societății. |
| Telefon: reprezintă numărul de telefon care este apelat pentru orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi un număr de telefon personal sau din partea societății. |
| A doua persoană de contact: reprezintă prenumele și numele de familie ale unei persoane alternative din cadrul entității care raportează incidentul, care ar putea fi contactată de către Banca Națională României atunci când persoana de contact principală nu este disponibilă. |
| E-mail: reprezintă adresa de e-mail a persoanei de contact alternative la care ar putea fi adresate orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi o adresă de e-mail personală sau din partea societății. |
| Telefon: reprezintă numărul de telefon al persoanei de contact alternative care este apelat pentru orice solicitări de clarificări suplimentare care pot fi abordate, dacă este necesar. Poate fi un număr de telefon personal sau din partea societății. |
| A 2 – Detectarea incidentului și clasificarea inițială |
| Data și ora detectării incidentului: reprezintă data și ora la care incidentul a fost identificat pentru prima dată. |
| Incidentul a fost detectat de către: indică dacă incidentul a fost detectat de către un utilizator al unui serviciu de plată, o altă parte din cadrul PSP (de exemplu, o funcție de audit internă) sau o parte externă (de exemplu, un furnizor extern de servicii). În alte cazuri vă rugăm să oferiți o explicație în câmpul aferent. |
| Descrierea generală a incidentului: explicați pe scurt cele mai relevante aspecte ale incidentului, cu acoperirea posibilelor cauze, a impactului imediat etc.; în cazul în care considerați că incidentul poate avea impact în alt/e stat/e membru/e și se încadrează în termenele-limită de raportare aplicabile, vă rugăm să furnizați și traducerea în limba engleză. |
| Când estimați următoarea actualizare?: indică data și ora estimate pentru transmiterea următoarei actualizări (raportul intermediar sau cel final). |
| B – Raport intermediar |
| B 1 – Detalii generale |
| Descrierea detaliată a incidentului: furnizați o descriere detaliată a caracteristicilor incidentului, care să includă cel puțin următoarele: cu ce problemă specifică se confruntă PSP, cum s-a declanșat și a evoluat incidentul, o posibilă legătură cu un alt incident anterior, consecințe, mai ales pentru utilizatorii serviciilor de plată, detalii privind detectarea incidentului, arii afectate, măsuri aplicate, furnizori de servicii sau terțe părți afectate ori implicate, declanșarea procedurii de gestionare a situației de criză, clasificarea internă a incidentului realizată de PSP etc. |
| Data și ora începerii incidentului: reprezintă data și ora la care a apărut incidentul, dacă sunt cunoscute. |
| Starea curentă a incidentului: |
| Diagnosticare: reprezintă caracteristicile incidentului care tocmai au fost identificate. |
| Reparare: reprezintă elementele atacate care se află în curs de reconfigurare. |
| Recuperare: reprezintă elementele defectate care se află în curs de stabilizare către ultimul lor stadiu de recuperate posibil. |
| Restaurare: reprezintă situația în care se prestează din nou serviciul aferent plăților. |
| Data și ora la care incidentul a fost soluționat sau la care se așteaptă soluționarea: reprezintă data și ora la care incidentul a fost sau este de așteptat a fi sub control și la care activitatea a fost sau este prevăzută a reveni la normal. |
|
| B 2 – Clasificarea incidentului și informații privind incidentul |
| Impact general: indicați aspectele care au fost afectate de incident. Pot fi selectate mai multe casete. |
| Integritate: reprezintă proprietatea de a asigura precizia și caracterul complet al activelor (inclusiv al datelor). |
| Disponibilitate: reprezintă proprietatea serviciilor aferente plăților de a fi accesibile și utilizabile de către utilizatorii serviciilor de plată. |
| Confidențialitate: reprezintă proprietatea de a nu pune la dispoziție sau de a nu prezenta informații persoanelor, entităților sau proceselor neautorizate. |
| Autenticitate: reprezintă proprietatea unei surse de a fi ceea ce se pretinde a fi. |
| Continuitate: reprezintă proprietatea proceselor, sarcinilor și activelor unei organizații care sunt necesare pentru prestarea serviciilor aferente plăților, de a fi pe deplin accesibile și de a se desfășura, respectiv de a funcționa, la niveluri prestabilite acceptabile. |
| Operațiuni de plată afectate: PSP trebuie să precizeze pragurile care sunt sau vor fi probabil atinse de către incident, dacă există, precum și cifrele aferente: numărul operațiunilor afectate, procentul operațiunilor afectate în raport cu numărul operațiunilor de plată executate cu aceleași servicii de plată care au fost afectate de incident, precum și valoarea totală a operațiunilor. PSP trebuie să prezinte valori specifice pentru aceste variabile, care pot fi cifre efective sau estimări. Entitățile care raportează în numele mai multor PSP (mai exact, raportarea consolidată) pot prezenta în schimb intervale de valori reprezentând valori minime și maxime observate sau estimate în cadrul grupului de PSP incluși în raport, separate printr-o cratimă. Ca regulă generală, PSP trebuie să înțeleagă ca fiind „operațiuni afectate“ toate operațiunile interne și transfrontaliere care au fost sau vor fi probabil afectate în mod direct sau indirect de incident și, în mod specific, acele operațiuni care nu au putut fi inițiate sau procesate, cele al căror conținut al mesajului de plată a fost modificat și cele care au fost dispuse în mod fraudulos (indiferent dacă fondurile au fost recuperate sau nu). Mai mult, PSP trebuie să înțeleagă faptul că nivelul obișnuit al operațiunilor de plată este media anuală zilnică a operațiunilor interne și transfrontaliere executate cu aceleași servicii de plată care au fost afectate de incident, anul anterior fiind perioada de referință pentru calcule. Dacă PSP nu consideră că această cifră este reprezentativă (de exemplu, din cauza caracterului sezonier), aceștia trebuie să utilizeze, în schimb, un alt indicator mai reprezentativ și să prezinte autorității naționale justificarea aferentă acestei abordări în câmpul „Comentarii“. |
| Utilizatori ai serviciilor de plată afectați: PSP trebuie să precizeze pragurile care sunt sau vor fi probabil atinse de către incident, dacă există, și cifrele aferente: numărul total al utilizatorilor serviciilor de plată care au fost afectați și procentul utilizatorilor serviciilor de plată afectați din numărul total al utilizatorilor serviciilor de plată. PSP trebuie să prezinte valori concrete pentru aceste variabile, care pot fi cifre efective sau estimări. Entitățile care raportează în numele mai multor PSP (mai exact, raportarea consolidată) pot prezenta în schimb intervale de valori reprezentând valori minime și maxime observate sau estimate în cadrul grupului de PSP incluși în raport, separate printr-o cratimă. PSP trebuie să înțeleagă ca fiind „utilizatori ai serviciilor de plată afectate“ toți clienții (de la nivel intern sau din străinătate, consumatori sau întreprinderi) care au un contract cu prestatorul serviciului de plată afectat, care le acordă acestora accesul la serviciul de plată afectat, și care au suportat sau vor suporta probabil consecințele incidentului. PSP trebuie să recurgă la estimări bazate pe activitatea anterioară pentru a stabili numărul utilizatorilor serviciilor de plată care este posibil să fi folosit serviciul de plată pe durata incidentului. În cazul grupurilor, fiecare PSP trebuie să aibă în vedere doar utilizatorii serviciilor de plată proprii. În cazul unui PSP care oferă servicii operaționale altor persoane, acesta trebuie să aibă în vedere doar utilizatorii de servicii de plată proprii (dacă există), iar PSP care beneficiază de respectivele servicii operaționale trebuie să evalueze, de asemenea, incidentul în legătură cu utilizatorii serviciilor de plată proprii. Mai mult, PSP trebuie să considere ca fiind numărul total al utilizatorilor serviciilor de plată valoarea agregată a utilizatorilor serviciilor de plată interni și transfrontalieri care le sunt acestora obligați prin contract la momentul incidentului (sau, alternativ, cea mai recentă valoare disponibilă) și care au acces la serviciul de plată afectat, indiferent de dimensiunea acestora sau dacă aceștia sunt considerați utilizatori activi sau pasivi ai serviciilor de plată. |
| Perioadă de nefuncționare a serviciilor: PSP trebuie să precizeze dacă pragul este sau va fi probabil atins de către incident, precum și cifra aferentă: timpul total de indisponibilitate a serviciului. PSP trebuie să prezinte valori concrete pentru această variabilă, care pot fi exprimate în cifre efective sau estimări. Entitățile care raportează în numele mai multor PSP (mai exact, raportarea consolidată) pot prezenta în schimb un interval de valori reprezentând valori minime și maxime observate sau estimate în cadrul grupului de PSP incluși în raport, separate printr-o cratimă. PSP trebuie să aibă în vedere perioada de timp în care orice sarcină, proces sau canal asociat prestării serviciilor de plată este sau va fi probabil indisponibil și, astfel, împiedică (i) inițierea și/sau executarea unui serviciu de plată și/sau (ii) accesul la un cont de plăți. PSP trebuie să calculeze durata de nefuncționare a serviciului de la momentul inițial al indisponibilității și trebuie să ia în considerare atât intervalele de timp în care aceștia funcționează conform cerințelor de executare a serviciilor de plată, cât și orele în care nu funcționează, precum și perioadele de întreținere, dacă este cazul și dacă există. Dacă prestatorii de servicii de plată nu pot să stabilească momentul inițial al indisponibilității serviciului, aceștia trebuie să calculeze în mod excepțional durata de nefuncționare a serviciului de la momentul în care s-a detectat indisponibilitatea. |
| Impactul economic: PSP trebuie să precizeze dacă pragul este sau va fi probabil atins de către incident, precum și cifrele aferente: costurile directe și indirecte. PSP trebuie să prezinte valori concrete pentru aceste variabile, care pot fi cifre efective sau estimări. Entitățile care raportează în numele mai multor PSP (raportarea consolidată) pot prezenta în schimb un interval de valori reprezentând valori minime și maxime observate sau estimate în cadrul grupului de PSP incluși în raport, separate printr-o cratimă. PSP trebuie să aibă în vedere atât costurile care pot fi legate în mod direct de incident, cât și cele care sunt legate în mod indirect de incident. Printre altele, PSP trebuie să țină cont de fondurile sau activele expropriate, costurile de înlocuire a echipamentelor hardware sau software, alte costuri realizate în scopuri judiciare sau costuri de remediere, taxe aplicate ca urmare a neconformității cu obligațiile contractuale, sancțiuni, datorii externe și venituri pierdute. În ceea ce privește costurile indirecte, PSP trebuie să le aibă în vedere doar pe cele care sunt deja cunoscute sau foarte probabil de a se concretiza. |
| Costuri directe: suma de bani (în euro) asociată costului direct al incidentului, inclusiv fonduri necesare pentru remedierea incidentului (de exemplu, fonduri sau active expropriate, costuri de înlocuire a echipamentelor hardware și software, tarife datorate nerespectării obligațiilor contractuale). |
| Costuri indirecte: suma de bani (în euro) asociată costului indirect al incidentului (de exemplu, costuri asociate reparațiilor/compensațiilor pentru clienți, venituri pierdute ca urmare a oportunităților de afaceri ratate, posibile cheltuieli judiciare). |
| Nivelul ridicat de escaladare internă: PSP trebuie să aibă în vedere dacă, în urma impactului incidentului asupra serviciilor aferente plăților, responsabilul pentru sistemele informatice (sau o persoană cu o funcție similară) a fost sau va fi probabil informat cu privire la incident în afara oricărei proceduri de notificare periodice și în permanență pe durata existenței incidentului. În cazul raportării delegate, escaladarea ar avea loc în cadrul părții terțe. În plus, PSP trebuie să aibă în vedere dacă, în urma impactului incidentului asupra serviciilor aferente plăților, a fost sau este susceptibilă de a fi declanșată o stare de criză. |
| Alți PSP sau infrastructuri relevante potențial afectați/afectate: prestatorii de servicii de plată trebuie să evalueze impactul incidentului asupra pieței financiare, care este înțeleasă ca fiind infrastructurile pieței financiare și/sau schemele de plată cu cardul care îi susțin pe aceștia și pe ceilalți PSP. În mod specific, PSP trebuie să evalueze dacă incidentul a apărut sau va apărea probabil în mod similar la alți PSP, dacă acesta a afectat sau va afecta probabil funcționarea fără probleme a infrastructurilor pieței financiare și dacă a compromis sau va compromite probabil soliditatea sistemului financiar în ansamblu. PSP trebuie să aibă în vedere diferite aspecte, precum dacă o componentă/un echipament software afectată/afectat este supusă/supus unor drepturi de proprietate sau este disponibilă/disponibil în general, dacă rețeaua compromisă este internă sau externă și dacă PSP a încetat sau va înceta probabil să își îndeplinească obligațiile rezultate din participarea sa la infrastructurile pieței financiare. |
| Impact reputațional: PSP trebuie să aibă în vedere nivelul de vizibilitate pe care, după cunoștința lor, incidentul l-a atins sau îl va atinge probabil pe piață. În mod specific, PSP trebuie să aibă în vedere probabilitatea ca incidentul să provoace daune societății ca fiind un indicator bun al potențialului acestuia de a afecta reputația lor. PSP trebuie să țină cont dacă (i) incidentul a afectat un proces vizibil și, prin urmare, este susceptibil de a dobândi sau a dobândit deja acoperire mediatică (având în vedere nu doar mass-media tradițională, precum ziarele, ci și blog-uri, rețele de socializare etc.), (ii) au fost sau vor fi probabil nerespectate obligațiile prevăzute în cadrul de reglementare, (iii) au fost sau vor fi probabil încălcate sancțiuni sau (iv) a apărut același tip de incident în trecut. |
| B 3 – Descrierea incidentului |
| Tipul incidentului: precizați dacă, după informațiile și datele deținute, este un incident operațional sau de securitate. |
| Operațional: Incident care apare ca urmare a unor procese inadecvate sau defectuoase, din cauza unor persoane și sisteme ori cazuri de forță majoră care afectează integritatea, disponibilitatea, confidențialitatea, autenticitatea și/sau continuitatea serviciilor aferente plăților. |
| Securitate: accesul, utilizarea, publicarea, întreruperea, modificarea sau distrugerea neautorizată a activelor PSP care afectează integritatea, disponibilitatea, confidențialitatea, autenticitatea și/sau continuitatea serviciilor aferente plăților. Acest lucru se poate întâmpla atunci când, printre altele, PSP se confruntă cu atacuri cibernetice, o proiectare sau implementare defectuoasă a politicilor de securitate sau o securitate fizică necorespunzătoare. |
| Cauza incidentului: precizați cauza incidentului sau, dacă aceasta nu se cunoaște încă, cea mai probabilă cauză. Pot fi selectate mai multe casete. |
| În curs de investigare: cauza nu a fost încă stabilită. |
| Atac extern: sursa cauzei provine din exterior și vizează în mod intenționat PSP (de exemplu, atacuri prin malware). |
| Atac intern: sursa cauzei provine din interior și vizează în mod intenționat PSP (de exemplu, fraudă internă). |
| Tip de atac: |
| Atac distribuit/Indisponibilitatea serviciului (D/DoS): o încercare de a indisponibiliza un serviciu online prin încărcarea acestuia cu trafic din mai multe surse. |
| Infectarea sistemelor interne: o activitate dăunătoare care atacă sistemele informatice, încercând să utilizeze neautorizat spațiu de stocare de pe hard disk sau resurse de procesare (timp de procesare), să acceseze informații cu caracter privat, să corupă date, să trimită mesaje nesolicitate la adresele de contact etc. |
| Intruziune țintită: un act neautorizat de spionare, supraveghere și furt de informații în spațiul cibernetic. |
| Altele: orice alt tip de atac pe care PSP l-ar fi putut afecta în mod direct sau prin intermediul unui prestator de servicii. În mod specific, dacă a existat un atac care a vizat procesul de autorizare și autentificare, trebuie selectată această casetă. Trebuie adăugate detalii în câmpul aferent textului liber. |
| Evenimente externe: cauza este asociată unor evenimente care se află, în general, în afara controlului organizației (de exemplu, calamități naturale, probleme juridice, probleme economice și dependențe de servicii). |
| Eroare umană: incidentul a fost cauzat ca urmare a erorii neintenționate a unei persoane, fie în cadrul procedurii de plată (de exemplu, încărcarea fișierului lot de plăți greșit în sistemul de plăți) sau în legătură cu aceasta (de exemplu, se întrerupe accidental furnizarea energiei electrice și activitatea de plată este pusă în așteptare). |
| Eșecul procesului: cauza incidentului a fost o proiectare sau executare deficitară a procesului de plată, a controalelor procesului și/sau a proceselor-suport (de exemplu, procesul de schimbare/migrare, testare, configurare, capacitate, monitorizare). |
| Eșecul sistemului: cauza incidentului este asociată caracterului inadecvat al proiectării, executării, componentelor, specificațiilor, integrării sau complexității sistemelor care susțin activitatea de plată. |
| Altele: cauza incidentului nu este niciuna dintre cele de mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber. |
| Incidentul v-a afectat în mod direct sau indirect prin intermediul unui furnizor de servicii? Un incident poate viza un PSP în mod direct sau în mod indirect, prin intermediul unei terțe părți. În cazul unui impact indirect, vă rugăm să precizați numele furnizorului (furnizorilor) de servicii. |
|
| B 4 – Impactul incidentului |
| Sediul/-iile afectat/-e, dacă este cazul: dacă o clădire este afectată fizic, vă rugăm să precizați adresa acesteia. |
| Canale comerciale afectate: precizați canalul sau canalele de interacțiune cu utilizatorii serviciilor de plată, care au fost afectate de incident. Pot fi selectate mai multe casete. |
| Sucursale: sediul comercial (altul decât sediul social) care face parte dintr-un PSP, nu are personalitate juridică și execută în mod direct unele sau toate operațiunile inerente activității unui PSP. Toate sediile comerciale înființate în același stat membru de către un PSP al cărui sediu social se află într-un alt stat membru trebuie considerate ca fiind o singură sucursală. |
| Servicii bancare electronice (E-banking): utilizarea de calculatoare pentru desfășurarea tranzacțiilor financiare pe internet. |
| Servicii bancare prin telefon (Phone banking): utilizarea de telefoane pentru desfășurarea tranzacțiilor financiare. |
| Servicii bancare pe mobil (Mobile banking): utilizarea unei anumite aplicații bancare pe un telefon inteligent sau un dispozitiv similar pentru desfășurarea tranzacțiilor financiare. |
| ATM-uri: dispozitive electromecanice care permit utilizatorilor serviciilor de plată să retragă numerar din conturile lor și/sau să acceseze alte servicii. |
| Punct de vânzare: spațiu fizic al comerciantului la care este inițiată operațiunea de plată. |
| Altele: canalul comercial afectat nu este niciunul dintre cele de mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber. |
| Servicii de plată afectate: precizați serviciile de plată care nu funcționează corect ca urmare a incidentului. Pot fi selectate mai multe casete. |
| Depunere de numerar într-un cont de plăți: depunerea de numerar la un PSP pentru a credita un cont de plăți. |
| Retragere de numerar dintr-un cont de plăți: solicitarea primită de către un PSP din partea utilizatorului serviciului său de plăți pentru a furniza numerar și a-și debita contul de plăți cu suma aferentă. |
| Operațiuni necesare funcționării unui cont de plăți: acele acțiuni care trebuie să fie realizate într-un cont de plăți pentru a activa, a dezactiva și/sau a menține contul respectiv (de exemplu, deschidere, blocare). |
| Acceptare de operațiuni de plată: un serviciu de plată care constă în faptul că un PSP stabilește în baza unui contract cu un beneficiar al plății să accepte și să proceseze operațiuni de plată, rezultând într-un transfer al fondurilor către beneficiarul plății. |
| Operațiuni de transfer-credit: un serviciu de plată pentru creditarea unui cont de plăți al unui beneficiar al plății cu o operațiune de plată sau o serie de operațiuni de plată din contul de plăți al unui plătitor de către PSP care deține contul de plăți al plătitorului pe baza unei instrucțiuni date de către plătitor. |
| Debitări directe: un serviciu de plată pentru debitarea contului de plăți al unui plătitor, în cazul în care o operațiune de plată este inițiată de beneficiarul plății pe baza consimțământului dat de către plătitor beneficiarului plății, prestatorului de servicii de plată al plătitorului sau propriului prestator de servicii de plată al beneficiarului plății. |
| Operațiuni de plată printr-un card de plată sau un dispozitiv similar: un serviciu de plată bazat pe infrastructura și regulile economice ale unei scheme de plată cu cardul pentru a desfășura o tranzacție de plată prin intermediul oricărui card, oricăror mijloace de telecomunicații, dispozitive digitale sau informatice ori software dacă rezultatul acestuia este o operațiune cu cardul de debit sau cu cardul de credit. Operațiunile de plată cu cardul exclud operațiunile bazate pe alte tipuri de servicii de plată. |
| Emitere de instrumente de plată: un serviciu de plată care constă în faptul că un PSP stabilește cu un plătitor în baza unui contract ca acesta să îi furnizeze un instrument de plată pentru a iniția și a procesa operațiunile de plată ale plătitorului. |
| Remitere de bani: un serviciu de plată prin care se primesc fonduri de la un plătitor fără a se crea conturi de plăți în numele plătitorului sau al beneficiarului plății în scopul unic de a transfera o sumă corespunzătoare unui beneficiar al plății sau unui alt PSP care acționează în numele beneficiarului plății și/sau prin care se primesc astfel de fonduri în numele și la dispoziția beneficiarului plății. |
| Servicii de inițiere a plății: servicii de plată pentru inițierea unui ordin de plată la solicitarea utilizatorului serviciului de plăți în legătură cu un cont de plăți deținut la alt PSP. |
| Servicii de informare cu privire la conturi: servicii de plată online pentru a oferi informații consolidate cu privire la unul sau mai multe conturi de plăți deținute de către utilizatorul serviciului de plăți la un alt PSP sau la mai mulți PSP. |
| Altele: serviciul de plată afectat nu este niciunul dintre cele de mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber. |
| Arii funcționale afectate: precizați etapa sau etapele din cadrul procesului de plată care au fost afectate de incident. Pot fi selectate mai multe casete. |
| Autentificare/Autorizare: procedurile care permit PSP să verifice identitatea unui utilizator al serviciului de plată sau valabilitatea utilizării unui anumit instrument de plată, inclusiv a utilizării elementelor de securitate personalizate ale utilizatorului, și a exprimării acordului utilizatorului serviciului de plată (sau al unui terț care acționează în numele utilizatorului respectiv) față de transferarea fondurilor sau a valorilor mobiliare. |
| Comunicare: fluxul de informații în scopul identificării, autentificării, notificării și informării dintre PSP care oferă servicii de administrare cont și prestatorii de servicii de inițiere a plății, prestatorii de servicii de informare cu privire la conturi, plătitori, beneficiarii plății și alți PSP. |
| Compensare: un proces de transmitere, reconciliere și, în unele cazuri, confirmare a ordinelor de transfer înainte de decontare, eventual cu includerea compensării ordinelor și cu stabilirea pozițiilor finale pentru decontare. |
| Decontare directă: încheierea unei tranzacții sau a procesării cu scopul de a îndeplini obligațiile participanților prin transferarea de fonduri atunci când această acțiune este desfășurată de către însuși PSP afectat. |
| Decontare indirectă: încheierea unei tranzacții sau a procesării cu scopul de a îndeplini obligațiile participanților prin transferarea de fonduri atunci când această acțiune este desfășurată de către un alt PSP în numele PSP afectat. |
| Altele: domeniul funcțional afectat nu este niciunul dintre cele de mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber. |
| Sisteme și componente afectate: precizați care parte sau părți din infrastructura tehnologică a PSP a/au fost afectată/afectate de incident. Pot fi selectate mai multe casete. |
| Aplicație/Software: programe, sisteme de operare etc. care susțin furnizarea de servicii de plată de către PSP. |
| Bază de date: structură de date care stochează informații cu caracter personal și despre plăți necesare pentru executarea operațiunilor de plată. |
| Hardware: echipament tehnologic fizic care derulează procesele și/sau stochează datele necesare PSP pentru a-și desfășura activitatea legată de plăți. |
| Rețea/Infrastructură: rețele de telecomunicații, publice sau private, care permit schimbul de date și informații în cursul procesului de plată (de exemplu, internetul). |
| Altele: sistemul și componenta afectate nu sunt dintre cele de mai sus. Trebuie furnizate detalii suplimentare în câmpul aferent textului liber. |
| Personal afectat: precizați dacă incidentul a avut efecte asupra personalului PSP și, în acest caz, oferiți detalii în câmpul aferent textului liber. |
|
| B 5 – Diminuarea incidentului |
| Ce acțiuni/măsuri au fost luate până acum sau sunt planificate pentru a recupera situația după incident? Oferiți detalii despre acțiuni care au fost luate sau prevăzute a fi luate pentru abordarea temporară a incidentului. |
| Planurile de asigurare a continuității activității și/sau de recuperare în caz de dezastre au fost activate? Precizați dacă acestea au fost activate și, în acest caz, oferiți cele mai relevante detalii despre ceea ce s-a întâmplat; mai exact, când au fost activate și în ce au constat aceste planuri. |
| PSP a anulat sau a slăbit unele măsuri de control din cauza incidentului? Precizați dacă PSP a trebuit să anuleze unele măsuri de control (de exemplu, încetarea aplicării principiului celor patru ochi) pentru abordarea incidentului și, în acest caz, să ofere detalii despre motivele aferente, cu justificarea slăbirii sau anulării măsurilor de control în cauză. |
| C – Raportul final |
| C 1 – Detalii generale |
| Actualizarea informațiilor din raportul intermediar (rezumat): precizați informații suplimentare cu privire la acțiunile/măsurile adiționale efectuate/luate pentru recuperarea de pe urma incidentului, inclusiv acțiunile de remediere finale efectuate/luate și evitarea reapariției acestuia, analiza cauzei fundamentale, experiența dobândită, acțiuni suplimentare efectuate, alte informații relevante. |
| Data și ora încheierii incidentului: precizați data și ora la care incidentul a fost considerat încheiat. |
| Măsurile de control inițiale au fost reluate? Dacă PSP a trebuit să anuleze sau să reducă unele măsuri de control din cauza incidentului, precizați dacă astfel de măsuri de control au fost reluate și oferiți orice informații suplimentare în câmpul aferent textului liber. |
| C 2 – Analiza cauzei fundamentale și acțiuni de urmărire |
| Care a fost cauza fundamentală, dacă este deja cunoscută?: explicați care este cauza fundamentală a incidentului sau, dacă aceasta nu este cunoscută încă, concluziile preliminare trase ca urmare a analizei cauzei fundamentale. PSP pot anexa un fișier cu informații detaliate, dacă se consideră necesar. |
| Principale acțiuni/măsuri corective luate sau planificate pentru prevenirea reapariției incidentului în viitor, dacă se cunosc deja: descrieți acțiunile principale care au fost luate sau sunt prevăzute a fi luate pentru a preveni reapariția incidentului în viitor. |
|
| C 3 – Informații suplimentare |
| Incidentul a fost comunicat altor prestatori de servicii de plată în scopul informării?: oferiți o scurtă prezentare a PSP care au fost contactați, pe cale oficială sau neoficială, pentru a-i pune la curent cu privire la incident, prezentând detalii despre PSP care au fost informați, informațiile care au fost comunicate și motivele care au stat la baza comunicării acestor informații. |
| A fost luată vreo măsură cu caracter legal împotriva prestatorului de servicii de plată?: precizați dacă la data completării raportului final PSP a făcut obiectul vreunei acțiuni în justiție (de exemplu, a fost adus în instanță sau și-a pierdut licența) ca urmare a producerii incidentului. |
+
Anexa nr. 4
Metodologia și instrucțiunile aferente raportării de date privind fraudele1.Operațiuni de plată și operațiuni de plată frauduloase1.1.Clarificarea unor termeni:a)„Pierderi cauzate de fraudă în funcție de purtătorul răspunderii“ se referă la pierderile înregistrate de către prestatorul de servicii de plată care a emis raportul, de utilizatorul serviciului său de plată sau de alții, reflectând impactul real al fraudei pe baza fluxului de numerar. Având în vedere că înregistrarea pierderilor financiare poate fi disociată din punct de vedere temporal de operațiunile frauduloase concrete și pentru a evita revizuirea datelor raportate strict din cauza acestui decalaj temporal imanent, pierderile finale cauzate de fraudă vor fi raportate în perioada în care sunt înregistrate în evidențele contabile ale prestatorului de servicii de plată. Cifrele finale corespunzând pierderilor cauzate de fraudă nu trebuie să ia în calcul despăgubirile acordate de agențiile de asigurare, dat fiind că nu au legătură cu prevenirea fraudelor în sensul Legii privind serviciile de plată și pentru modificarea unor acte normative; … b)„Modificarea unui ordin de plată de către autorul fraudei“ este un tip de operațiune neautorizată și se referă la situația în care autorul fraudei interceptează și modifică un ordin de plată legitim la un moment dat în timpul comunicării electronice între dispozitivul plătitorului și prestatorul de servicii de plată [de exemplu, prin programe malware sau atacuri care le permit atacatorilor să intercepteze comunicarea dintre două gazde care comunică în mod legitim (atacuri de tip „omul din mijloc“)] sau modifică instrucțiunea de plată în sistemul prestatorului de servicii de plată înainte de compensarea și decontarea ordinului de plată; … c)„Emiterea unui ordin de plată de către autorul fraudei“ este un tip de operațiune neautorizată și se referă la situația în care un ordin de plată fals este emis de autorul fraudei după ce a obținut datele sensibile privind plățile plătitorului sau ale beneficiarului plății prin mijloace frauduloase. … … 1.2.Raportarea operațiunilor de transfer creditDatele raportate în legătură cu operațiunile de plată de tip transfer credit includ informații cu privire la operațiunile de plată inițiate prin intermediul ATM-urilor cu funcție de transfer credit, precum și informații cu privire la operațiunile de plată de acest tip prin care se decontează soldul operațiunilor efectuate prin intermediul cardurilor cu funcție de credit sau de debit amânat. … 1.3.Raportarea operațiunilor de debitare directăDatele raportate în legătură cu operațiunile de plată de tip debitare directă includ informații cu privire la operațiunile de plată de acest tip prin care se decontează soldul operațiunilor efectuate prin intermediul cardurilor cu funcție de credit sau de debit amânat. … 1.4.Raportarea operațiunilor de plăți cu cardulOperațiunile de plată cu cardul vor include date despre toate operațiunile de plată efectuate cu un card de plăți, electronice sau nu. Plățile efectuate cu carduri care au doar funcție de monedă electronică (de exemplu, carduri preplătite) nu se raportează în cadrul categoriei de plăți cu cardul, ci se raportează ca plăți cu monedă electronică. … 1.5.Raportarea operațiunilor de remitere de bania)În cazul operațiunilor de remitere de bani când fondurile au fost transferate de la prestatorul de servicii de plată al plătitorului către prestatorul de servicii de remitere de bani al plătitorului (în cadrul operațiunii de remitere de bani), cel care trebuie să raporteze operațiunile de plată efectuate de către prestatorul de servicii de plată al plătitorului către prestatorul de servicii de remiteri de bani este prestatorul de servicii de plată al plătitorului și nu prestatorul de servicii de remitere de bani. Aceste operațiuni nu trebuie raportate de prestatorul de servicii de plată al beneficiarului operațiunii de remitere de bani. … b)Operațiunile și operațiunile frauduloase prevăzute la art. 99, în care fondurile au fost transferate de către prestatorul de servicii de remiteri de bani din conturile sale în contul unui beneficiar al plății, inclusiv prin acorduri prin care se compensează valoarea mai multor operațiuni de plată (acorduri de compensare), vor fi raportate de prestatorul de servicii de remitere de bani conform formularului „G – Defalcarea datelor pentru operațiunile de remitere de bani“ din anexa nr. 5 la regulament. … … 1.6.Operațiunile de plată și operațiunile frauduloase de plată în care moneda electronică este transferată de un prestator de servicii de emitere de monedă electronică în contul unui beneficiar al plății, inclusiv în cazurile în care prestatorul de servicii de plată al plătitorului este același cu prestatorul de servicii de plată al beneficiarului, vor fi raportate de prestatorul de servicii de emitere de monedă electronică utilizând formularul «F – Defalcarea datelor pentru operațiunile efectuate în monedă electronică» din anexa nr. 5 la regulament. În cazurile în care prestatorii de servicii de plată sunt diferiți, plata va fi raportată numai de prestatorul de servicii de plată al plătitorului, pentru a evita dubla raportare.(la 16-06-2021,
Punctul 1.6. din Punctul 1. , Anexa nr. 4 a fost modificat de Punctul 17, Articolul I din REGULAMENT nr. 2 din 21 mai 2021, publicată în MONITORUL OFICIAL nr. 599 din 16 iunie 2021
)
… … 2.Cerințe generale privind datele raportate2.1.Prestatorul de servicii de plată va raporta numai operațiunile de plată care au fost executate, inclusiv acele operațiuni care au fost inițiate de un prestator de servicii de inițiere a plății. Nu trebuie incluse operațiunile frauduloase preîntâmpinate care au fost blocate înainte de a fi executate din cauza suspiciunii de fraudă. … 2.2.Prestatorii de servicii de plată trebuie să identifice defalcarea sau defalcările de date aplicabile, în funcție de serviciul sau serviciile și instrumentul sau instrumentele de plată oferite, și să comunice datele relevante autorității competente. … 2.3.În cazul unei serii de operațiuni de plată executate sau operațiuni de plată frauduloase executate, prestatorii de servicii de plată vor considera fiecare operațiune de plată sau operațiune de plată frauduloasă din seria respectivă ca fiind una singură. … 2.4.Prestatorul de servicii de plată poate raporta zero („0“) atunci când nu există operațiuni sau operațiuni frauduloase pentru un anumit indicator în perioada de raportare stabilită. Atunci când un prestator de servicii de plată nu poate raporta date pentru o anumită defalcare fiindcă respectiva defalcare de date nu este aplicabilă acelui PSP, datele vor fi raportate ca „NA“. … 2.5În scopul de a evita raportarea dublă, prestatorul de servicii de plată al plătitorului va transmite datele în calitatea sa de emitent (sau inițiator). Prin excepție, datele referitoare la plățile cu cardul vor fi raportate atât de prestatorul de servicii de plată emitent, cât și de prestatorul de servicii de plată care acceptă operațiunea de plată. Cele două perspective trebuie raportate separat, cu defalcări diferite, conform formularelor corespunzătoare prevăzute în anexa nr. 5 la regulament.(la 16-06-2021,
Punctul 2.5. din Punctul 2. , Anexa nr. 4 a fost modificat de Punctul 18, Articolul I din REGULAMENT nr. 2 din 21 mai 2021, publicată în MONITORUL OFICIAL nr. 599 din 16 iunie 2021
)
… 2.6.În cazul în care în operațiunea de plată sunt implicați mai mulți prestatori de servicii de plată care acceptă plata, cel care va raporta este prestatorul care are relația contractuală cu beneficiarul plății. … 2.7.În ceea ce privește operațiunile de debitare directă, acestea trebuie raportate numai de către prestatorul de servicii de plată al beneficiarului plății, având în vedere că aceste operațiuni sunt inițiate de beneficiarul plății. … 2.8.Pentru a evita raportarea dublă la calculul totalului operațiunilor de plată și operațiunilor frauduloase de plată efectuate cu toate instrumentele de plată, prestatorul de servicii de plată care execută operațiunile de transfer de credit inițiate de un prestator de servicii de inițiere a plății trebuie să precizeze defalcarea corespunzătoare volumului și valorii totalului operațiunilor de plată și operațiunilor de plată frauduloase care au fost inițiate prin intermediul unui prestator de servicii de inițiere a plății, pentru datele raportate în cadrul formularului „A – Defalcarea datelor pentru operațiunile de transfer credit“ din anexa nr. 5 la regulament. … … 3.Defalcarea geografică3.1.Pentru operațiunile de plată care nu se bazează pe card și pentru operațiunile de plată la distanță pe bază de card, «operațiunile de plată naționale» se referă la operațiunile de plată inițiate de un plătitor sau de un/printr-un beneficiar al plății, în care prestatorul de servicii de plată al plătitorului/emitent și prestatorul de servicii de plată al beneficiarului/acceptant se află în România.(la 16-06-2021,
Punctul 3.1. din Punctul 3. , Anexa nr. 4 a fost modificat de Punctul 19, Articolul I din REGULAMENT nr. 2 din 21 mai 2021, publicată în MONITORUL OFICIAL nr. 599 din 16 iunie 2021
)
… 3.2.Pentru operațiunile de plată pe bază de card care nu sunt efectuate la distanță, «operațiunile de plată naționale» se referă la operațiunile de plată în care prestatorul de servicii de plată emitent, prestatorul de servicii de plată acceptant și punctul de vânzare sau bancomatul folosit se află în România.(la 16-06-2021,
Punctul 3.2. din Punctul 3. , Anexa nr. 4 a fost modificat de Punctul 20, Articolul I din REGULAMENT nr. 2 din 21 mai 2021, publicată în MONITORUL OFICIAL nr. 599 din 16 iunie 2021
)
… 3.3.Pentru sucursalele din România ale prestatorilor de servicii de plată operațiunile de plată naționale se referă la operațiunile de plată în care atât prestatorii de servicii de plată ai plătitorilor, cât și cei ai beneficiarilor plăților se află în România.(la 16-06-2021,
Punctul 3.3. din Punctul 3. , Anexa nr. 4 a fost modificat de Punctul 21, Articolul I din REGULAMENT nr. 2 din 21 mai 2021, publicată în MONITORUL OFICIAL nr. 599 din 16 iunie 2021
)
… 3.4.Pentru operațiunile de plată care nu se bazează pe card și pentru operațiunile de plată cu cardul la distanță, «operațiunea de plată transfrontalieră în cadrul SEE» se referă la o operațiune de plată inițiată de un plătitor sau de un/printr-un beneficiar al plății, în care prestatorul de servicii de plată al plătitorului/emitent și prestatorul de servicii de plată al beneficiarului plății/acceptant se află în state membre diferite, dintre care unul este situat în România.(la 16-06-2021,
Punctul 3.4. din Punctul 3. , Anexa nr. 4 a fost modificat de Punctul 22, Articolul I din REGULAMENT nr. 2 din 21 mai 2021, publicată în MONITORUL OFICIAL nr. 599 din 16 iunie 2021
)
… 3.5.Pentru operațiunile de plată pe bază de card care nu sunt efectuate la distanță, «operațiunile de plată transfrontaliere în cadrul SEE» se referă la operațiunile de plată în care: a)prestatorul de servicii de plată emitent și prestatorul de servicii de plată acceptant se află în state membre diferite, dintre care unul este situat în România; sau … b)prestatorul de servicii de plată emitent se află într-un alt stat membru decât punctul de vânzare sau bancomatul, dintre care unul este situat în România. … (la 16-06-2021,
Punctul 3.5. din Punctul 3. , Anexa nr. 4 a fost modificat de Punctul 23, Articolul I din REGULAMENT nr. 2 din 21 mai 2021, publicată în MONITORUL OFICIAL nr. 599 din 16 iunie 2021
)
… 3.6.«Operațiunile de plată transfrontaliere în afara SEE» se referă la operațiunile de plată inițiate de un plătitor sau de un/printr-un beneficiar al plății, în care fie prestatorul de servicii de plată al plătitorului, fie cel al beneficiarului plății se află întrun stat terț, iar celălalt se află în România.(la 16-06-2021,
Punctul 3.6. din Punctul 3. , Anexa nr. 4 a fost modificat de Punctul 24, Articolul I din REGULAMENT nr. 2 din 21 mai 2021, publicată în MONITORUL OFICIAL nr. 599 din 16 iunie 2021
)
… 3.7.Un prestator de servicii de plată care oferă servicii de inițiere a plății va raporta operațiunile de plată și operațiunile de plată frauduloase executate pe care le-a inițiat, în conformitate cu următoarele:a)„Operațiunile de plată naționale“ se referă la operațiunile de plată în care prestatorul de servicii de inițiere a plății și prestatorul de servicii de plată care oferă servicii de administrare cont se află în România; … b)„Operațiunile de plată transfrontaliere în cadrul SEE“ se referă la operațiunile de plată în care prestatorul de servicii de inițiere a plății și prestatorul de servicii de plată care oferă servicii de administrare cont se află în state membre diferite, dintre care unul este situat în România; … c)„Operațiunile de plată transfrontaliere în state terțe“ se referă la operațiunile de plată în care prestatorul de servicii de inițiere a plății se află în România, iar prestatorul de servicii de plată care oferă servicii de administrare cont se află într-un stat terț. … … … +
Anexa nr. 5^1) Anexa este reprodusă în facsimil.
Formulare de raportare a datelor privind fraudele
(la 16-06-2021,
Anexa nr. 5 a fost modificată de Punctul 25, Articolul I din REGULAMENT nr. 2 din 21 mai 2021, publicată în MONITORUL OFICIAL nr. 599 din 16 iunie 2021
)
+
Anexa nr. 6
Date cu caracter general care trebuie furnizate de toți prestatorii de servicii de plată care emit rapoarte/
Date generale de identificare privind prestatorul de servicii de plată care emite raportulNume: denumirea prestatorului de servicii de plată căruia i se aplică procedura de raportare a datelor, astfel cum apare în registrul național relevant al instituțiilor de credit, instituțiilor de plată sau instituțiilor emitente de monedă electronicăCod unic de identificare: codul unic de identificare relevant folosit în fiecare stat membru pentru identificarea prestatorului de servicii de plată, dacă este cazulNumărul autorizației: numărul autorizației din statul membru de origine, dacă este cazulȚara de origine a autorizației: statul membru de origine în care a fost emisă autorizațiaPersoana de contact: prenumele și numele de familie al persoanei responsabile de raportarea datelor sau, dacă o persoană terță raportează în numele prestatorului de servicii de plată, prenumele și numele de familie al persoanei care conduce departamentul de gestionare a datelor sau o structură similară, la nivelul prestatorului de servicii de platăAdresă e-mail de contact: adresa de e-mail la care pot fi adresate orice solicitări de clarificări suplimentare, dacă este necesar. Poate fi o adresă de e-mail personală sau profesională.Număr de telefon de contact: număr de telefon la care pot fi adresate orice cereri de clarificări suplimentare, dacă este necesar. Poate fi un număr de telefon personal sau profesional.
