მომხმარებლის ძლიერი ავთენტიფიკაციის წესის დამტკიცების შესახებ

მომხმარებლის ძლიერი ავთენტიფიკაციის წესის დამტკიცების შესახებ
დოკუმენტის ნომერი 156/04
დოკუმენტის მიმღები საქართველოს ეროვნული ბანკის პრეზიდენტი
მიღების თარიღი 02/09/2020
დოკუმენტის ტიპი საქართველოს ეროვნული ბანკის პრეზიდენტის ბრძანება
გამოქვეყნების წყარო, თარიღი ვებგვერდი, 03/09/2020
სარეგისტრაციო კოდი 220090000.18.011.016495
კონსოლიდირებული პუბლიკაციები
156/04
02/09/2020
ვებგვერდი, 03/09/2020
220090000.18.011.016495
მომხმარებლის ძლიერი ავთენტიფიკაციის წესის დამტკიცების შესახებ
საქართველოს ეროვნული ბანკის პრეზიდენტი
ყურადღება! ვერსია, რომელსაც ამჟამად ეცნობით, არ წარმოადგენს დოკუმენტის ბოლო რედაქციას. დოკუმენტის ბოლო რედაქციის გასაცნობად აირჩიეთ შესაბამისი კონსოლიდირებული ვერსია.

პირველადი სახე (03/09/2020 - 09/12/2020)

 

საქართველოს ეროვნული ბანკის პრეზიდენტის

ბრძანება  №156/04

2020 წლის 2 სექტემბერი

ქ. თბილისი

 

მომხმარებლის ძლიერი ავთენტიფიკაციის წესის დამტკიცების შესახებ

„საქართველოს ეროვნული ბანკის შესახებ“ საქართველოს ორგანული კანონის მე-15 მუხლის პირველი პუნქტის „ზ“ ქვეპუნქტის, ამავე ორგანული კანონის 482 მუხლის და „საგადახდო სისტემისა და საგადახდო მომსახურების შესახებ“ საქართველოს კანონის 30-ე მუხლის მე-5 პუნქტის, 42-ე მუხლის პირველი პუნქტისა და მე-2 პუნქტის „ა“ და „ბ“ ქვეპუნქტების საფუძველზე, ვბრძანებ:

 


მუხლი 1
დამტკიცდეს მომხმარებლის ძლიერი ავთენტიფიკაციის წესი თანდართულ დანართთან ერთად.

 

მუხლი 2
ეს ბრძანება ამოქმედდეს გამოქვეყნებისთანავე.

ეროვნული ბანკის პრეზიდენტიკობა გვენეტაძე



მომხმარებლის ძლიერი ავთენტიფიკაციის წესი

 


თავი I
ზოგადი დებულებები

მუხლი 1. მიზანი და მოქმედების სფერო
1. ამ წესის მიზანია საგადახდო მომსახურების მომხმარებლის უსაფრთხო ავთენტიფიკაციის უზრუნველყოფა, მათ შორის, საგადახდო მომსახურების მომხმარებლის უსაფრთხოების პერსონიფიცირებული მახასიათებლების კონფიდენციალობისა და მთლიანობის დაცვა, ასევე თაღლითობისა და სხვა უკანონო ქმედების რისკის შემცირება, რაც დადებითად აისახება საფინანსო სექტორის სტაბილურობაზე, გააძლიერებს მომხმარებლების დაცვას, ხელს შეუწყობს საფინანსო და საგადახდო სისტემის ეფექტიან და სანდო ფუნქციონირებას, აამაღლებს მომხმარებლების ნდობას საგადახდო მომსახურებებისა და უნაღდო გადახდების მიმართ.

2. ეს წესი განსაზღვრავს საქართველოს ეროვნული ბანკის მიერ ლიცენზირებული კომერციული ბანკის, საქართველოს ეროვნული ბანკის მიერ რეგისტრირებული საგადახდო მომსახურების პროვაიდერისა და მიკროსაფინანსო ორგანიზაციის (შემდგომში – საგადახდო მომსახურების პროვაიდერი) მიერ მომხმარებლის ძლიერი ავთენტიფიკაციის განხორციელების, მომხმარებლის ძლიერი ავთენტიფიკაციის მოთხოვნისგან გამონაკლისით სარგებლობის, საგადახდო მომსახურების მომხმარებლის (შემდგომში – ომხმარებელი) უსაფრთხოების პერსონიფიცირებული მახასიათებლების კონფიდენციალობისა და მთლიანობის დაცვის და მათთან დაკავშირებულ საკითხებს.

3. ამ წესის მოქმედება ვრცელდება გადამხდელის მიერ:

ა) დისტანციურად ონლაინრეჟიმში თავის საგადახდო ანგარიშზე წვდომაზე;

ბ) ელექტრონული გადახდის ოპერაციის ინიციირებაზე;

გ) დისტანციური არხის საშუალებით განხორციელებულ ნებისმიერ ისეთ ქმედებაზე, რომელიც თაღლითობის ან/და სხვა უკანონო ქმედების რისკის მატარებელია.

 


მუხლი 2. ტერმინთა განმარტება
ამ წესში გამოყენებულ ტერმინებს აქვს შემდეგი მნიშვნელობა:

ა) ავთენტიფიკაცია – პროცედურა, რომელიც საგადახდო მომსახურების პროვაიდერს საშუალებას აძლევს მოახდინოს მომხმარებლის იდენტობის დადგენა ან/და საგადახდო ინსტრუმენტის გამოყენების ვალიდურობის დადგენა, რომელიც, მათ შორის, მოიცავს მომხმარებლის მიერ გამოყენებული უსაფრთხოების პერსონიფიცირებული მახასიათებლების შემოწმებას;

ბ) მომხმარებლის ძლიერი ავთენტიფიკაცია – ავთენტიფიკაცია, რომელიც დამყარებულია ორი ან მეტი შემდეგი სხვადასხვა კატეგორიის ელემენტების გამოყენებაზე: ცოდნა (ის, რაც მხოლოდ მომხმარებელმა იცის), ფლობა (ის, რასაც მხოლოდ მომხმარებელი ფლობს) და უნიკალურობა (ის, რაც თვით მომხმარებელია), რომლებიც ერთმანეთისგან დამოუკიდებელია იმგვარად, რომ ერთი კატეგორიის ელემენტის ნებისმიერი გზით გამჟღავნება არ გამოიწვევს დანარჩენი კატეგორიების ელემენტის/ელემენტების საიმედოობის კომპრომეტირებას. ავთენტიფიკაციის პროცედურა შემუშავებული და დანერგილი უნდა იყოს იმგვარად, რომ მისი განხორციელებისას დაცული იქნეს ავთენტიფიკაციის მონაცემების კონფიდენციალობა;

გ) უსაფრთხოების პერსონიფიცირებული მახასიათებლები – პერსონიფიცირებული მახასიათებლები, რომელსაც საგადახდო მომსახურების პროვაიდერი აწვდის მომხმარებელს ავთენტიფიკაციის მიზნებით;

დ) სენსიტიური საგადახდო მონაცემი – მონაცემები, მათ შორის, უსაფრთხოების პერსონიფიცირებული მახასიათებლები, რომლის საშუალებით შესაძლებელია თაღლითური ოპერაციის განხორციელება;

ე) პაკეტური ფაილი – ერთზე მეტი ინდივიდუალური გადახდის ოპერაციების ერთობლიობა.


მუხლი 3. ზოგადი უფლებები და ვალდებულებები
1. საგადახდო მომსახურების პროვაიდერი ვალდებულია ამ წესის მოთხოვნების დაცვით უზრუნველყოს მომხმარებლის ძლიერი ავთენტიფიკაცია, როდესაც მისი მომხმარებელი – გადამხდელი ახორციელებს:

ა) დისტანციურად ონლაინრეჟიმში თავის საგადახდო ანგარიშზე წვდომას;

ბ) ელექტრონული გადახდის ოპერაციის ინიციირებას;

გ) დისტანციური არხის საშუალებით ნებისმიერ ისეთ ქმედებას, რომელიც თაღლითობის ან/და სხვა უკანონო ქმედების რისკის მატარებელია.

2. საგადახდო მომსახურების პროვაიდერი ვალდებულია ჰქონდეს გადახდის ოპერაციების მონიტორინგის მექანიზმი, რომლითაც ის შეძლებს არაავტორიზებული ან/და თაღლითური გადახდის ოპერაციების იდენტიფიცირებას. საგადახდო მომსახურების პროვაიდერი ვალდებულია მონიტორინგი განახორციელოს დროის რეალურ რეჟიმში ამ წესის მე-20 მუხლით განსაზღვრული გამონაკლისით სარგებლობისას, ასევე, ისეთი გადახდის ოპერაციების წარმოებისას, როდესაც გადახდის ოპერაციის შესრულება მყისიერად ხორციელდება.

3. გადახდის ოპერაციების მონიტორინგის მექანიზმი უნდა ეფუძნებოდეს გადახდის ოპერაციების ანალიზს. ანალიზი უნდა ითვალისწინებდეს იმ ელემენტებს, რომლებიც დამახასიათებელია მომხმარებლისთვის მის მიერ პერსონიფიცირებული უსაფრთხოების მახასიათებლების ჩვეული გამოყენების დროს.

4. საგადახდო მომსახურების პროვაიდერი ვალდებულია უზრუნველყოს, რომ გადახდის ოპერაციების მონიტორინგის მექანიზმი ითვალისწინებდეს, სულ მცირე, რისკზე დაფუძნებულ შემდეგ ფაქტორებს:

ა) კომპრომეტირებული ან/და მოპარული ავთენტიფიკაციის ელემენტების ჩამონათვალს;

ბ) თითოეული გადახდის ოპერაციის თანხას;

გ) თაღლითობის ცნობილ სცენარებს, რომლებსაც შესაძლოა ადგილი ჰქონდეს საგადახდო მომსახურების განხორციელებისას;

დ) ავთენტიფიკაციის პროცესის თითოეულ სესიაში შეფერხების ან/და დაზიანების გამომწვევი, ასევე ინფორმაციაზე არაუფლებამოსილი წვდომისთვის განკუთვნილი ფარული პროგრამული უზრუნველყოფის არსებობის ნიშნებს;

ე) თუ წვდომის ტექნიკური მოწყობილობა ან პროგრამული უზრუნველყოფა მომხმარებლისთვის საგადახდო მომსახურების პროვაიდერის მიერ არის მიწოდებული, მომხმარებლის მიერ მათი გამოყენების, მათ შორის, უჩვეულო გამოყენების აქტივობის ჩანაწერებს.

5. თუ საგადახდო მომსახურების პროვაიდერი მომხმარებლის მიერ დისტანციურად ონლაინ რეჟიმში თავის საგადახდო ანგარიშზე წვდომისთვის ძლიერ ავთენტიფიკაციას ახორციელებს ცოდნისა და ფლობის კატეგორიების ელემენტების გამოყენებით, მომხმარებლის მიერ იმავე უწყვეტი სესიის ფარგლებში ამ მუხლის პირველი პუნქტის „ბ“ და „გ“ ქვეპუნქტებით გათვალისწინებული ქმედებების განხორციელებისას, საგადახდო მომსახურების პროვაიდერი უფლებამოსილია მომხმარებლის ძლიერი ავთენტიფიკაციისთვის ერთ-ერთ ელემენტად გამოიყენოს სესიის დაწყებისას გამოყენებული ცოდნის კატეგორიის ელემენტი. აღნიშნული უფლებამოსილებით სარგებლობას საგადახდო მომსახურების პროვაიდერი უნდა ახორციელებდეს რისკზე დამყარებული მიდგომის საფუძველზე.


მუხლი 4. სპეციფიკური და შეზღუდული გამოყენების საგადახდო ინსტრუმენტები

 

1. საგადახდო მომსახურების პროვაიდერი უფლებამოსილია საქართველოს ეროვნულ ბანკთან შეთანხმებით არ გაავრცელოს ამ წესის მოქმედება სპეციფიკური, შეზღუდული გამოყენების საგადახდო ინსტრუმენტზე, რომელიც მოქმედებს მხოლოდ საქართველოში და აკმაყოფილებს შემდეგი პირობებიდან ერთ-ერთს:

ა) უშუალოდ ინსტრუმენტის გამომშვებსა და მომსახურების მიმწოდებლებს შორის არსებული კომერციული/სავაჭრო შეთანხმების ფარგლებში, ინსტრუმენტის მფლობელს აქვს საშუალება მხოლოდ ამავე მომსახურების მიმწოდებლების შეზღუდულ ქსელში შეიძინოს საქონელი ან/და მომსახურება;

ბ) ინსტრუმენტი შესაძლოა გამოყენებულ იქნეს მხოლოდ საქონლის ან/და მომსახურების მკაცრად შეზღუდული სპექტრის შესაძენად;

გ) ინსტრუმენტი გაიცემა მეწარმე სუბიექტის ან ადმინისტრაციული ორგანოს მოთხოვნით, ემსახურება ადმინისტრაციული ორგანოს სოციალურ ან საგადასახადო მიზნებს და გამოიყენება განსაზღვრული საქონლის ან/და მომსახურების შესაძენად იმ მიმწოდებლებისგან, რომელთაც ხელშეკრულება დადებული აქვს ამ ინსტრუმენტის გამომშვებთან.

2. საგადახდო მომსახურების პროვაიდერი, რომელსაც სურს ისარგებლოს კონკრეტული ინსტუმენტის მიმართ ამ მუხლის პირველი პუნქტით განსაზღვრული უფლებამოსილებით, ვალდებულია საქართველოს ეროვნულ ბანკს თანხმობის მისაღებად წერილობით წარუდგინოს საგადახდო ინსტრუმენტის შესახებ ინფორმაცია და აღწერა. საქართველოს ეროვნული ბანკი საგადახდო მომსახურების პროვაიდერის მიერ აღნიშნული უფლებამოსილებით სარგებლობის თაობაზე გადაწყვეტილებას იღებს ინფორმაციისა და აღწერის მიღებიდან 30 სამუშაო დღის ვადაში.


მუხლი 5. უსაფრთხოების ზომების გადამოწმება

 

1. საგადახდო მომსახურების პროვაიდერი ვალდებულია განახორციელოს ამ წესით განსაზღვრული უსაფრთხოების ზომების დანერგვის დოკუმენტირება და წელიწადში სულ მცირე ერთხელ პერიოდული შემოწმება (ტესტირება), შეფასება და აუდიტი თავის მიერ დადგენილი წესის შესაბამისად. განხორციელებული აუდიტი უნდა შეიცავდეს საგადახდო მომსახურების პროვაიდერის უსაფრთხოების ზომების ამ წესის მოთხოვნებთან შესაბამისობის შეფასებას და ანგარიშგებას.

2. ამ მუხლის პირველი პუნქტით განსაზღვრული აუდიტი უნდა განხორციელდეს აუდიტორის მიერ, რომელიც, მიუხედავად იმისა, წარმოადგენს თუ არა ის კონკრეტული საგადახდო მომსახურების პროვაიდერის თანამშრომელს, საოპერაციო თვალსაზრისით დამოუკიდებელია ამ პროვაიდერისგან და რომელსაც, ამავდროულად, აქვს შესაბამისი ცოდნა და გამოცდილება საინფორმაციო ტექნოლოგიების უსაფრთხოებისა და საგადახდო მომსახურების სფეროებში.

3. საგადახდო მომსახურების პროვაიდერი, რომელიც სარგებლობს ამ წესის მე-20 მუხლით გათვალისწინებული გამონაკლისით, ვალდებულია განახორციელოს მეთოდოლოგიის, მოდელისა და ანგარიშგებით მიწოდებული (შეტყობინებული) თაღლითობის მაჩვენებლების აუდიტი წელიწადში სულ მცირე ერთხელ. ასეთი აუდიტი უნდა მოიცავდეს მაჩვენებლებისა და მონაცემების სისრულისა და სისწორის შეფასებასაც. აუდიტორის მიმართ ვრცელდება ამ მუხლის მე-2 პუნქტის მოთხოვნები.

4. საქართველოს ეროვნული ბანკი უფლებამოსილია საგადახდო მომსახურების პროვაიდერს მოსთხოვოს ამ წესით განსაზღვრული გარკვეული კომპონენტების გარე აუდიტის განხორციელება. საქართველოს ეროვნული ბანკი განსაზღვრავს ასეთი აუდიტის განხორციელებისა და აუდიტის ანგარიშის მისთვის მიწოდების ვადებს.

5. ამ წესის მე-20 მუხლით გათვალისწინებული გამონაკლისით სარგებლობის შემთხვევაში, სარგებლობის დაწყებიდან ერთი წლის განმავლობაში და სულ მცირე სამ წელიწადში ერთხელ, ან საქართველოს ეროვნული ბანკის შესაბამისი მოთხოვნის საფუძველზე უფრო მეტი სიხშირით, საგადახდო მომსახურების პროვაიდერი ვალდებულია განახორციელოს მეთოდოლოგიის, მოდელისა და ანგარიშგებით მიწოდებული (შეტყობინებული) თაღლითობის მაჩვენებლების გარე აუდიტი დამოუკიდებელი და კვალიფიციური აუდიტორის/აუდიტორების მიერ. ასეთი აუდიტი უნდა მოიცავდეს მაჩვენებლებისა და მონაცემების სისრულისა და სისწორის შეფასებასაც.

6. საქართველოს ეროვნული ბანკი უფლებამოსილია საგადახდო მომსახურების პროვაიდერს მოსთხოვოს, ხოლო საგადახდო მომსახურების პროვაიდერი ვალდებულია შესაბამისი მოთხოვნის მიღებიდან 14 კალენდარული დღის განმავლობაში საქართველოს ეროვნულ ბანკს მიაწოდოს ნებისმიერი განხორციელებული აუდიტის სრული ანგარიში.


თავი II
უსაფრთხოების ზომები მომხმარებლის ძლიერი ავთენტიფიკაციისთვის

მუხლი 6. ავთენტიფიკაციის კოდი
1. საგადახდო მომსახურების პროვაიდერის მიერ გამოყენებული მომხმარებლის ძლიერი ავთენტიფიკაციის შედეგად უნდა გენერირდებოდეს ავთენტიფიკაციის კოდი. მომხმარებლის ძლიერი ავთენტიფიკაცია უნდა ეფუძნებოდეს სულ მცირე ორ ელემენტს შემდეგი სხვადასხვა კატეგორიებიდან:

ა) ცოდნა;

ბ) ფლობა;

გ) უნიკალურობა.

2. თუ ავთენტიფიკაციის კოდი გამოიყენება საგადახდო ანგარიშის დისტანციურად ონლაინრეჟიმში წვდომისთვის, ელექტრონული გადახდის ოპერაციის ინიციირებისთვის ან დისტანციური არხის საშუალებით ნებისმიერი ისეთი ქმედების განსახორციელებლად, რომელიც თაღლითობის ან/და სხვა უკანონო ქმედების რისკის მატარებელია, ასეთი კოდი საგადახდო მომსახურების პროვაიდერის მიერ ავთენტიფიკაციისთვის შეიძლება მიღებულ იქნეს მხოლოდ ერთხელ.

3. ამ მუხლის პირველი და მე-2 პუნქტების მიზნებისთვის, საგადახდო მომსახურების პროვაიდერი ვალდებულია, შეიმუშაოს და დანერგოს უსაფრთხოების ზომები, რომლებიც აკმაყოფილებს შემდეგ მოთხოვნებს:

ა) ავთენტიფიკაციის კოდის გამჟღავნება არ უნდა ქმნიდეს ამ მუხლის პირველი პუნქტით გათვალისწინებული ელემენტების შესახებ ნებისმიერი ინფორმაციის დადგენის შესაძლებლობას;

ბ) შეუძლებელი უნდა იყოს ახალი ავთენტიფიკაციის კოდის გენერირება ადრე გენერირებულ ნებისმიერი ავთენტიფიკაციის კოდის ცოდნაზე დაყრდნობით;

გ) შეუძლებელი უნდა იყოს ავთენტიფიკაციის კოდის გაყალბება.

4. საგადახდო მომსახურების პროვაიდერის მიერ ავთენტიფიკაციის კოდის გენერირებით განხორციელებული ავთენტიფიკაცია უნდა მოიცავდეს ყველა შემდეგ ზომას:

ა) თუ დისტანციურად წვდომისთვის, დისტანციური ელექტრონული გადახდის ოპერაციის ინიციირებისთვის და სხვა ნებისმიერი დისტანციური არხის საშუალებით ნებისმიერი ისეთი ქმედების, რომელიც თაღლითობის ან/და სხვა უკანონო ქმედების რისკის მატარებელია, განხორციელებისთვის ამ მუხლის მე-2 პუნქტის მიზნების გათვალისწინებით გამოსაყენებელი კოდის გენერირება წარუმატებელი აღმოჩნდა, შედეგად, შეუძლებელი უნდა იყოს გამოყენებული ელემენტებიდან მცდარი ელემენტის/ელემენტების იდენტიფიცირება;

ბ) ავთენტიფიკაციის მიმდევრობით წარუმატებელი მცდელობების მაქსიმალური რაოდენობა, რომლის შედეგად ამ წესის მე-3 მუხლის პირველი პუნქტით გათვალისწინებული ქმედებების მომხმარებლის მიერ განხორციელება დროებით ან სამუდამოდ დაიბლოკება, პროვაიდერის მიერ რისკზე დაფუძნებული მიდგომის საფუძველზე განსაზღვრული პერიოდისთვის არ უნდა აღემატებოდეს ხუთს;

გ) კომუნიკაციის სესიები დაცული უნდა იყოს ავთენტიფიკაციის განხორციელებისას გადაცემული ავთენტიფიკაციის მონაცემების არაუფლებამოსილი მხარეების მიერ წვდომისგან, მოპოვებისგან და ზემოქმედებისგან;

დ) ავთენტიფიცირებული გადამხდელის მიერ თავის საგადახდო ანგარიშზე დისტანციურად ონლაინ რეჟიმში წვდომისას ნებისმიერ პერიოდში უმოქმედობის მაქსიმალური ხანგრძლივობა უწყვეტად არ უნდა აღემატებოდეს 5 წუთს. საგადახდო მომსახურების პროვაიდერი უფლებამოსილია, რისკზე დაფუძნებული მიდგომის საფუძველზე, იურიდიული პირებისთვის აღნიშნული ხანგრძლივობა განსაზღვროს არაუმეტეს 10 წუთით.

5. საბარათე ინსტრუმენტით განხორციელებული ოპერაციების შემთხვევაში ამ მუხლის მე-4 პუნქტის „ა“ ქვეპუნქტით გათვალისწინებული ვალდებულება ვრცელდება მხოლოდ ისეთ შემთხვევებში, როდესაც ოპერაციაში მონაწილე ემიტენტი და ექვაირერი წარმოადგენს საქართველოს ეროვნული ბანკის მიერ ლიცენზირებულ კომერციულ ბანკს, საქართველოს ეროვნული ბანკის მიერ რეგისტრირებულ საგადახდო მომსახურების პროვაიდერს და მიკროსაფინანსო ორგანიზაციას.

6. თუ ამ მუხლის მე-4 პუნქტის „ბ“ ქვეპუნქტით განსაზღვრული ბლოკირება:

ა) დროებითია, მისი ხანგრძლივობა და ხელახალი მცდელობების რაოდენობა უნდა განისაზღვროს გადამხდელისთვის მიწოდებული მომსახურების მახასიათებლებზე და ყველა შესაბამის რისკზე დაყრდნობით, რომელიც უნდა ითვალისწინებდეს, სულ მცირე, ამ წესის მე-3 მუხლის მე-4 პუნქტით განსაზღვრულ ფაქტორებს;

ბ) სამუდამოა, უნდა შემუშავდეს უსაფრთხო პროცედურა, რომელიც გადამხდელისთვის უზრუნველყოფს დაბლოკილი ელექტრონული საგადახდო ინსტრუმენტებისა და ანგარიშებზე წვდომის ელექტრონული არხების ხელახლა გამოყენების საშუალებას.

7. საგადახდო მომსახურების პროვაიდერი ვალდებულია, სამუდამოდ დაბლოკვამდე აღნიშნულის შესახებ შეატყობინოს გადამხდელს.

8. ამ მუხლის მე-4 პუნქტის „ა“ ქვეპუნქტის მოთხოვნა არ ვრცელდება საბარათე ინსტრუმენტის საშუალებით ფიზიკური პოს-ტერმინალისა და ბანკომატის საშუალებით გადახდის ოპერაციის ინიციირებისას.


მუხლი 7. დინამიკური კავშირი
1. ელექტრონული გადახდის ოპერაციის ინიციირებისას მომხმარებლის ძლიერი ავთენტიფიკაციის გამოყენებისთვის, საგადახდო მომსახურების პროვაიდერი, ამ წესის მე-6 მუხლის მოთხოვნების შესრულებასთან ერთად, ვალდებულია შეიმუშაოს და დანერგოს უსაფრთხოების ზომები, რომლებიც ითვალისწინებს ყველა შემდეგ მოთხოვნას:

ა) საგადახდო მომსახურების პროვაიდერი ვალდებულია გადამხდელს აჩვენოს ოპერაციის თანხისა და მიმღების შესახებ ინფორმაცია;

ბ) ავთენტიფიკაციის კოდი გენერირებული უნდა იყოს სპეციალურად გადამხდელის მიერ გადახდის ოპერაციის ინიციირებისას დადასტურებული გადახდის ოპერაციის თანხისთვის და მიმღებისთვის;

გ) საგადახდო მომსახურების პროვაიდერის მიერ დადასტურებული ავთენტიფიკაციის კოდი უნდა შეესაბამებოდეს გადამხდელის მიერ დადასტურებულ თავდაპირველ გადახდის ოპერაციის თანხასა და მიმღებს;

დ) გადახდის ოპერაციის თანხის ან მიმღების ცვლილება უნდა იწვევდეს გენერირებული ავთენტიფიკაციის კოდის არავალიდურობას.

2. ამ მუხლის პირველი პუნქტის მიზნებისთვის, საგადახდო მომსახურების პროვაიდერი ვალდებულია შეიმუშაოს და დანერგოს უსაფრთხოების ზომები, რომლითაც უზრუნველყოფილი იქნება შემდეგი ინფორმაციის კონფიდენციალურობა, უცვლელობა და მთლიანობა:

ა) ავთენტიფიკაციის ნებისმიერ ეტაპზე გადახდის ოპერაციის თანხის ოდენობა და მიმღები;

ბ) ავთენტიფიკაციის ნებისმიერ ეტაპზე, მათ შორის, ავთენტიფიკაციის კოდის გენერირების, გადაცემის და გამოყენების პროცესში გადამხდელისთვის ნაჩვენები ინფორმაცია.

3. ამ მუხლის პირველი პუნქტის „ბ“ ქვეპუნქტის მიზნებისთვის საგადახდო მომსახურების პროვაიდერის მიერ მომხმარებლის ძლიერი ავთენტიფიკაციის გამოყენებისას ავთენტიფიკაციის კოდი უნდა აკმაყოფილებდეს შემდეგ მოთხოვნებს:

ა) საბარათე გადახდის ოპერაციის შემთხვევაში, რომლის ინიციირებისთვის გადამხდელი დაეთანხმა განსაზღვრული თანხის დაბლოკვას, ავთენტიფიკაციის კოდი უნდა შეესაბამებოდეს მხოლოდ იმ თანხას, რომლის ოდენობა გადამხდელმა დაადასტურა და მის დაბლოკვას დაეთანხმა გადახდის ოპერაციის ინიციირებისას;

ბ) გადახდის ოპერაციებთან მიმართებაში, რომლებზეც გადამხდელი დაეთანხმა დისტანციური ელექტრონული გადახდის ოპერაციების პაკეტური ფაილის სახით შესრულებას ერთი ან მეტი მიმღების მიმართ, ავთენტიფიკაციის კოდი უნდა შეესაბამებოდეს მხოლოდ ამ გადახდის ოპერაციების პაკეტური ფაილის ჯამურ თანხას და მითითებულ მიმღებს/მიმღებებს.


მუხლი 8. მოთხოვნები ცოდნის კატეგორიის ელემენტების მიმართ

 

1. საგადახდო მომსახურების პროვაიდერი ვალდებულია შეიმუშაოს და დანერგოს ზომები ამ წესის მე-6 მუხლის პირველი პუნქტით განსაზღვრული ცოდნის კატეგორიის ელემენტების არაუფლებამოსილი პირების მიერ მოპოვების ან ასეთი პირებისთვის მათი გამჟღავნების რისკების შესამცირებლად.

2. საგადახდო მომსახურების პროვაიდერი ვალდებულია შეიმუშაოს და დანერგოს რისკების შემცირების ზომები, რათა თავიდან იქნეს აცილებული გადამხდელის მიერ ცოდნის კატეგორიის ელემენტების გამოყენებისას მათი არაუფლებამოსილი პირებისთვის გამჟღავნება. 


მუხლი 9. მოთხოვნები ფლობის კატეგორიის ელემენტების მიმართ

 

1. საგადახდო მომსახურების პროვაიდერი ვალდებულია შეიმუშაოს და დანერგოს ზომები ამ წესის მე-6 მუხლის პირველი პუნქტით განსაზღვრული ფლობის კატეგორიის ელემენტების არაუფლებამოსილი პირების მიერ გამოყენების რისკების შესამცირებლად.

2. საგადახდო მომსახურების პროვაიდერი ვალდებულია შეიმუშაოს და დანერგოს ზომები, რათა თავიდან იქნეს აცილებული ფლობის ელემენტების რეპლიკაცია.

 


მუხლი 10. მოთხოვნები უნიკალურობის კატეგორიის ელემენტების მიმართ

 

1. საგადახდო მომსახურების პროვაიდერი ვალდებულია შეიმუშაოს და დანერგოს ზომები ამ წესის მე-6 მუხლის პირველი პუნქტით განსაზღვრული უნიკალურობის კატეგორიის იმ ელემენტების მიმართ, რომელთა წაკითხვა ხორციელდება გადამხდელისთვის მიწოდებული წვდომის ტექნიკური მოწყობილობისა და პროგრამული უზრუნველყოფის მიერ, არაუფლებამოსილი პირების მიერ ამ ელემენტების მოპოვების რისკების შესამცირებლად.

2. საგადახდო მომსახურების პროვაიდერი ვალდებულია, სულ მცირე, უზრუნველყოს ამ მუხლის პირველ პუნქტში მითითებული მოწყობილობებისა და პროგრამული უზრუნველყოფის მიერ არაუფლებამოსილი პირების გადამხდელად ავთენტიფიკაციის მნიშვნელოვნად დაბალი ალბათობა.

3. საგადახდო მომსახურების პროვაიდერი ვალდებულია გადამხდელის მიერ ამ მუხლის პირველ პუნქტში მითითებული ელემენტების გამოყენების მიმართ შეიმუშაოს და დანერგოს ზომები, რათა თავიდან იქნეს აცილებული მოწყობილობებსა და პროგრამულ უზრუნველყოფაზე არაუფლებამოსილი წვდომით ამ ელემენტების არაუფლებამოსილი გამოყენება.


მუხლი 11. ელემენტების დამოუკიდებლობა

 

1. საგადახდო მომსახურების პროვაიდერი ვალდებულია ამ წესით განსაზღვრული მომხმარებლის ძლიერი ავთენტიფიკაციის ელემენტების გამოყენების მიმართ შეიმუშაოს და დანერგოს ზომები, ტექნოლოგიის, ალგორითმებისა და პარამეტრების კუთხით, რათა ერთ-ერთი ელემენტის კომპრომეტირების შედეგად სხვა ელემენტების საიმედოობა ეჭვის ქვეშ არ დადგეს.

2. საგადახდო მომსახურების პროვაიდერი ვალდებულია შეიმუშაოს და დანერგოს უსაფრთხოების ზომები იმ შემთხვევისთვის, თუ მომხმარებლის ძლიერი ავთენტიფიკაციის რომელიმე ელემენტი ან ავთენტიფიკაციის კოდი გამოყენებულია მრავალფუნქციური ტექნიკური მოწყობილობიდან, რათა შემცირებულ იქნეს ასეთი მოწყობილობის კომპრომეტირებით წარმოშობილი რისკები.

3. ამ მუხლის მე-2 პუნქტით განსაზღვრული ზომები ერთდროულად უნდა მოიცავდეს შემდეგს:

ა) მრავალფუნქციურ ტექნიკურ მოწყობილობაში ჩაწერილი პროგრამული უზრუნველყოფის საშუალებით განცალკევებული უსაფრთხო შესრულების გარემოს გამოყენებას;

ბ) მექანიზმებს, რათა პროვაიდერი დარწმუნდეს, რომ გადამხდელის ან მესამე მხარის მიერ არ მომხდარა მომხმარებლისთვის მიწოდებული მოწყობილობის ან პროგრამული უზრუნველყოფის მოდიფიკაცია/ცვლილება;

გ) თუ ადგილი ჰქონდა მომხმარებლისთვის მიწოდებული მოწყობილობის ან პროგრამული უზრუნველყოფის მოდიფიკაციას/ცვლილებას – აღნიშნულიდან გამომდინარე შედეგების შემცირების მექანიზმებს.


თავი III
მომხმარებლის ძლიერი ავთენტიფიკაციის მოთხოვნისგან გამონაკლისი

მუხლი 12. საგადახდო ანგარიშის შესახებ ინფორმაცია
1. საგადახდო მომსახურების პროვაიდერი უფლებამოსილია, ამ მუხლის მე-2 პუნქტის და ამ წესის მე-3 მუხლის მე-2-მე-4 პუნქტების მოთხოვნების დაცვით, არ გამოიყენოს მომხმარებლის ძლიერი ავთენტიფიკაცია იმ შემთხვევაში, თუ მომხმარებელს დისტანციურად ონლაინრეჟიმში აქვს წვდომა მხოლოდ ერთ ან ორივე შემდეგ ინფორმაციაზე (გარდა სენსიტიური საგადახდო მონაცემებისა):

ა) მომხმარებლის მიერ განსაზღვრული ერთი ან მეტი საგადახდო ანგარიშის ბალანსზე;

ბ) მომხმარებლის მიერ განსაზღვრულ ერთ ან მეტ საგადახდო ანგარიშზე უკანასკნელი 90 კალენდარული დღის განმავლობაში შესრულებულ გადახდის ოპერაციებზე.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული უფლებამოსილება არ მოქმედებს და საგადახდო მომსახურების პროვაიდერი ვალდებულია განახორციელოს მომხმარებლის ძლიერი ავთენტიფიკაცია, თუ დაკმაყოფილებულია შემდეგი პირობებიდან სულ მცირე ერთ-ერთი:

ა) მომხმარებელი დისტანციურად ონლაინრეჟიმში პირველად ახორციელებს ამ მუხლის პირველი პუნქტით განსაზღვრულ ინფორმაციაზე წვდომას;

ბ) მომხმარებლის მიერ დისტანციურად ონლაინრეჟიმში ამ მუხლის პირველი პუნქტის „ბ“ ქვეპუნქტით განსაზღვრულ ინფორმაციაზე უკანასკნელი წვდომიდან და მომხმარებლის ძლიერი ავთენტიფიკაციის მოთხოვნის შესრულებიდან გავიდა 90 კალენდარულ დღეზე მეტი.

3. საგადახდო მომსახურების პროვაიდერი უფლებამოსილია ამ მუხლის შესაბამისად გამონაკლისით სარგებლობის ფარგლებში საგადახდო ანგარიშის ბალანსზე ან/და შესრულებული გადახდის ოპერაციების შესახებ ინფორმაციაზე წვდომაზე არ გაავრცელოს ამ წესის მე-6 მუხლის მე-4 პუნქტის „დ“ ქვეპუნქტის მოთხოვნა.

4. თუ ამ მუხლის პირველი პუნქტის „ბ“ ქვეპუნქტით განსაზღვრულ ინფორმაციაზე წვდომა განხორციელდა მხოლოდ ცოდნის კატეგორიის ელემენტის გამოყენებით, საგადახდო მომსახურების პროვაიდერი უფლებამოსილია 90 კალენდარულ დღეზე მეტი პერიოდის ოპერაციებზე წვდომისთვის იმავე უწყვეტი სესიის ფარგლებში მომხმარებლის ძლიერი ავთენტიფიკაციისთვის გამოიყენოს ცოდნის კატეგორიის ეს ელემენტი.


მუხლი 13. უკონტაქტო გადახდები სავაჭრო/მომსახურების ობიექტებში 
საგადახდო მომსახურების პროვაიდერი უფლებამოსილია, ამ წესის მე-3 მუხლის მე-2–მე-4 პუნქტების მოთხოვნების დაცვით, არ გამოიყენოს მომხმარებლის ძლიერი ავთენტიფიკაცია იმ შემთხვევაში, თუ მომხმარებელი ახორციელებს უკონტაქტო ელექტრონული გადახდის ოპერაციის ინიციირებას და დაკმაყოფილებულია შემდეგი დებულებებიდან ერთ-ერთი:

ა) უკონტაქტო ერთი ტრანზაქციის თანხა არ უნდა აღემატებოდეს 150 ლარს ან მის ეკვივალენტს უცხოურ ვალუტაში და მიყოლებით შესრულებული უკონტაქტო გადახდების მაქსიმალური თანხა არ უნდა აღემატებოდეს 600 ლარს, ან მის ეკვივალენტს უცხოურ ვალუტაში;

ბ) უკონტაქტო ერთი ტრანზაქციის თანხა არ უნდა აღემატებოდეს 150 ლარს ან მის ეკვივალენტს უცხოურ ვალუტაში და მიყოლებით შესრულებული უკონტაქტო გადახდების მაქსიმალური რაოდენობა არ უნდა იყოს ოთხზე მეტი.

 


მუხლი 14. ტრანსპორტით მგზავრობისა და პარკირების საფასურის გადახდისთვის განკუთვნილი თვითმომსახურების ტერმინალი
საგადახდო მომსახურების პროვაიდერი უფლებამოსილია, ამ წესის მე-3 მუხლის მე-2–მე-4 პუნქტების მოთხოვნების დაცვით, არ გამოიყენოს მომხმარებლის ძლიერი ავთენტიფიკაცია იმ შემთხვევაში, თუ ტრანსპორტით მგზავრობისა და პარკირების საფასურის გადახდისთვის განკუთვნილ თვითმომსახურების ტერმინალებში გადამხდელი ახორციელებს ელექტრონული გადახდის ოპერაციის ინიციირებას ისეთი ფიქსირებული საფასურის გადახდის მიზნით, რომლის ოდენობის ცვლილება არ ხდება მომხმარებლის მიერ.

 


მუხლი 15. სანდო ბენეფიციარების ჩამონათვალი

 

1. საგადახდო მომსახურების პროვაიდერი ვალდებულია გამოიყენოს მომხმარებლის ძლიერი ავთენტიფიკაცია, თუ გადამხდელი ქმნის ან ცვლის სანდო ბენეფიციარების ჩამონათვალს გადამხდელის ანგარიშის მომსახურე საგადახდო მომსახურების პროვაიდერის საშუალებით.

2. საგადახდო მომსახურების პროვაიდერი უფლებამოსილია, ამ წესის მე-3 მუხლის მე-2-მე-4 პუნქტების მოთხოვნების დაცვით, არ გამოიყენოს მომხმარებლის ძლიერი ავთენტიფიკაცია იმ შემთხვევაში, თუ გადამხდელი ახორციელებს გადახდის ოპერაციის ინიციირებას და ამ ქმედებამდე მიმღები დამატებული იყო გადამხდელის მიერ შექმნილ სანდო ბენეფიციარების ჩამონათვალში. გამონაკლისით სარგებლობა დასაშვებია გადამხდელის მიერ სანდო ბენეფიციარის სიაში დამატებიდან არანაკლებ 24 საათის შემდეგ.

3. ამ მუხლის მიზნებისთვის, სანდო ბენეფიციარი გულისხმობს მიმღებს, რომლის მიმართ მომხმარებელს გააჩნია ნდობა და ძლიერი ავთენტიფიკაციის განხორცილების გარეშე გადახდის ოპერაციის მის მიმართ შესრულება მომხმარებლის შეხედულებით არ არის რისკის შემცველი. საგადახდო მომსახურების პროვაიდერი ვალდებულია, მომხმარებელს მიაწოდოს ცალსახა და დეტალური ინფორმაცია აღნიშნულის შესახებ.

4. საგადახდო მომსახურების პროვაიდერი უფლებამოსილია, რისკზე დაფუძნებული მიდგომის საფუძველზე, ასევე, მომხმარებლებისგან მიღებული საჩივრების გათვალისწინებით განსაზღვროს ბენეფიციარები, რომლებთან მიმართებაში ის არ ისარგებლებს ამ მუხლით გათვალისწინებული გამონაკლისით.

5. საგადახდო მომსახურების პროვაიდერს არ აქვს უფლება მომხმარებლის მიერ მიმღების რეკვიზიტების დამახსოვრება მიიჩნიოს მომხმარებელის მიერ მიმღების სანდო ბენეფიციარების ჩამონათვალში დამატებად.


მუხლი 16. განმეორებადი/პერიოდული გადახდის ოპერაციები

 

1. საგადახდო მომსახურების პროვაიდერი ვალდებულია, გამოიყენოს მომხმარებლის ძლიერი ავთენტიფიკაცია, თუ გადამხდელი ქმნის, ცვლის ან პირველად ახორციელებს განმეორებადი/პერიოდული გადახდის ოპერაციების სერიის ინიციირებას.

2. საგადახდო მომსახურების პროვაიდერი უფლებამოსილია, ამ წესის მე-3 მუხლის მე-2-მე-4 პუნქტების მოთხოვნების დაცვით, არ გამოიყენოს მომხმარებლის ძლიერი ავთენტიფიკაცია ამ მუხლის პირველ პუნქტში მითითებულ სერიაში შემავალი ყველა მომდევნო გადახდის ოპერაციის ინიციირებისთვის, თუ განმეორებადი/პერიოდული გადახდის ოპერაციის თანხა და მიმღები უცვლელია.

3. თუ ამ მუხლის მეორე პუნქტით განსაზღვრული მომსახურება გულისხმობს ერთი და იმავე ოდენობის თანხის კონვერტაციით გადახდის ოპერაციის განხორციელებას ერთი და იმავე მიმღების სასარგებლოდ, ამ მუხლის პირველი პუნქტით განსაზღვრული ძლიერი ავთენტიფიკაციის განხორციელებამდე საგადახდო მომსახურების პროვაიდერი ვალდებულია მომხმარებლისთვის ცნობილი გახადოს კონვერტაციის კურსი.

4. საგადახდო მომსახურების პროვაიდერი ასევე უფლებამოსილია, ამ წესის მე-3 მუხლის მე-2-მე-4 პუნქტების მოთხოვნების დაცვით, არ გამოიყენოს მომხმარებლის ძლიერი ავთენტიფიკაცია ამ მუხლის პირველ პუნქტში მითითებულ სერიაში შემავალი ყველა მომდევნო გადახდის ოპერაციის ინიციირებისთვის, თუ განმეორებადი/პერიოდული გადახდის ოპერაციის მიმღები უცვლელია და მომხმარებელს ცალსახად აქვს განსაზღვრული შესასრულებელი ოპერაციების თანხის ოდენობის გამოთვლის პრინციპი.


მუხლი 17. ერთი და იმავე პირის ანგარიშებს შორის საკრედიტო გადარიცხვა

 

1. საგადახდო მომსახურების პროვაიდერი უფლებამოსილია, ამ წესის მე-3 მუხლის მე-2-მე-4 პუნქტების მოთხოვნების დაცვით, არ გამოიყენოს მომხმარებლის ძლიერი ავთენტიფიკაცია, თუ გადამხდელი ახორციელებს საკრედიტო გადარიცხვის ინიციირებას, როდესაც გადამხდელი და მიმღები ერთი და იგივე პირია და ის ორივე საგადახდო ანგარიშს ფლობს ერთსა და იმავე ანგარიშის მომსახურე საგადახდო მომსახურების პროვაიდერთან.

2. საგადახდო მომსახურების პროვაიდერი უფლებამოსილია ამ მუხლით გათვალისწინებული გამონაკლისით ისარგებლოს იმ შემთხვევაშიც, როდესაც ანგარიშზე წვდომა მომხმარებელმა განახორციელა მხოლოდ ცოდნის ან უნიკალურობის კატეგორიის ელემენტის გამოყენებით. აღნიშნული უფლებამოსილებით სარგებლობას საგადახდო მომსახურების პროვაიდერი უნდა ახორციელებდეს რისკზე დამყარებული მიდგომის საფუძველზე.


მუხლი 18. მცირემოცულობიანი გადახდის ოპერაცია

 

საგადახდო მომსახურების პროვაიდერი უფლებამოსილია, არ გამოიყენოს მომხმარებლის ძლიერი ავთენტიფიკაცია, თუ გადამხდელი ახორციელებს დისტანციური ელექტრონული გადახდის ოპერაციის ინიციირებას, რომლის თანხა არ აღემატება 50 ლარს ან მის ეკვივალენტს უცხოურ ვალუტაში და დაკმაყოფილებულია შემდეგი დებულებებიდან ერთ-ერთი:

ა) მომხმარებლის ძლიერი ავთენტიფიკაციის მოთხოვნის უკანასკნელად შესრულების შემდგომ გადამხდელის მიერ ინიციირებული დისტანციური ელექტრონული გადახდის ოპერაციების თანხის საერთო ოდენობა არ აღემატება 250 ლარს ან მის ეკვივალენტს უცხოურ ვალუტაში;

ბ) მომხმარებლის ძლიერი ავთენტიფიკაციის მოთხოვნის უკანასკნელად შესრულების შემდგომ გადამხდელის მიერ მიმდევრობით ინიციირებული ინდივიდუალური დისტანციური ელექტრონული გადახდის ოპერაციების რაოდენობა არ აღემატება ხუთს.


მუხლი 19. იურიდიული პირების მიერ გამოყენებული უსაფრთხო პროცესები და პროტოკოლი 
საგადახდო მომსახურების პროვაიდერი უფლებამოსილია, არ გამოიყენოს მომხმარებლის ძლიერი ავთენტიფიკაცია იურიდიული პირების მიმართ, რომლებიც ახორციელებს ელექტრონული გადახდის ოპერაციის ინიციირებას ისეთი სპეციალური გადახდების პროცესების ან პროტოკოლის საშუალებით, რომლებიც უზრუნველყოფს სულ მცირე ამ წესით მოთხოვნილ უსაფრთხოების ხარისხს.

 


მუხლი 20. გადახდის ოპერაციის რისკის ანალიზი
1. საგადახდო მომსახურების პროვაიდერი უფლებამოსილია, არ გამოიყენოს მომხმარებლის ძლიერი ავთენტიფიკაცია, თუ გადამხდელი ახორციელებს დისტანციური ელექტრონული გადახდის იმგვარი ოპერაციის ინიციირებას, რომელიც საგადახდო მომსახურების პროვაიდერის მიერ იდენტიფიცირებულია, როგორც დაბალი რისკის შემცველი ამ მუხლის მე-2 პუნქტის „გ“ ქვეპუნქტში და ამ წესის მე-3 მუხლში მითითებული გადახდის ოპერაციების მონიტორინგის მექანიზმის თანახმად.

2. ამ მუხლის პირველი პუნქტით განსაზღვრული ელექტრონული გადახდის ოპერაცია მიიჩნევა დაბალი რისკის შემცველად, თუ დაკმაყოფილებულია შემდეგი მოთხოვნები:

ა) საგადახდო მომსახურების პროვაიდერის მიერ ანგარიშგებით მიწოდებული (შეტყობინებული) და ამ წესის 21-ე მუხლის შესაბამისად დაანგარიშებული თაღლითობის მაჩვენებელი ასეთი ტიპის გადახდის ოპერაციებისთვის არ აღემატება ამ წესის დანართში განსაზღვრულ „დისტანციური ელექტრონული საბარათე გადახდების“ და „დისტანციური ელექტრონული საკრედიტო გადარიცხვების“ მაჩვენებლებს;

ბ) გადახდის ოპერაციის თანხა არ აღემატება გამონაკლისით სარგებლობისთვის ამ წესის დანართით განსაზღვრულ თანხის ზედა ზღვარს;

გ) საგადახდო მომსახურების პროვაიდერის მიერ დროის რეალურ რეჟიმში განხორციელებული რისკების ანალიზის შედეგად არ დაფიქსირებულა:

გ.ა) გადამხდელის ხარჯვისა და ქცევის უჩვეულო თავისებურება;

გ.ბ) გადამხდელის ტექნიკურ მოწყობილობაზე ან პროგრამულ უზრუნველყოფაზე წვდომის შესახებ უჩვეულო ინფორმაცია;

გ.გ) ავთენტიფიკაციის განხორციელების არცერთ სესიაში შეფერხების ან/და დაზიანების გამომწვევი, ასევე ინფორმაციაზე არაუფლებამოსილი წვდომისთვის განკუთვნილი ფარული პროგრამული უზრუნველყოფის არსებობა;

გ.დ) საგადახდო მომსახურების თაღლითობის ცნობილი სცენარები;

გ.ე) გადამხდელის უჩვეულო ადგილმდებარეობა;

გ.ვ) მიმღების მაღალი რისკის შემცველი ადგილმდებარეობა.

3. საგადახდო მომსახურების პროვაიდერი, რომელიც გეგმავს დისტანციური ელექტრონული გადახდის ოპერაციების მომხმარებლის ძლიერი ავთენტიფიკაციის მოთხოვნებისგან გათავისუფლებას ასეთი ოპერაციების დაბალი რისკის საფუძვლით, ვალდებულია გაითვალისწინოს რისკზე დაფუძნებული სულ მცირე შემდეგი ფაქტორები:

ა) საგადახდო მომსახურების კონკრეტული მომხმარებლისთვის დამახასიათებელი ხარჯვის მოდელი;

ბ) საგადახდო მომსახურების პროვაიდერის ყოველი მომხმარებლის გადახდის ოპერაციების ისტორია;

გ) თუ წვდომის ტექნიკური მოწყობილობა ან პროგრამული უზრუნველყოფა საგადახდო მომსახურების პროვაიდერის მიერაა მიწოდებული, გადახდის ოპერაციის მომენტში გადამხდელისა და მიმღების ადგილმდებარეობა;

დ) მომხმარებლის გადახდის ოპერაციების ისტორიასთან მიმართებაში ამავე მომხმარებლის გადახდის უჩვეულო მოდელის გამოვლენა.

4. ამ მუხლის მე-3 პუნქტის შესაბამისად ოპერაციების შეფასება საგადახდო მომსახურების პროვაიდერის მიერ უნდა განხორციელდეს ყოველი ცალკეული ოპერაციისთვის ამ მუხლის მე-3 პუნქტით განსაზღვრული ყველა ფაქტორის გათვალისწინებით დაანგარიშებული რისკის დონის (ქულის) საფუძველზე.


მუხლი 21. თაღლითობის მაჩვენებლების დაანგარიშება
1. საგადახდო მომსახურების პროვაიდერი ვალდებულია უზრუნველყოს თაღლითობის მაჩვენებლების დაანგარიშება.

2. ამ წესის დანართით განსაზღვრული თითოეული ტიპის გადახდის ოპერაციისთვის, თაღლითობის მაჩვენებლები, რომელიც მოიცავს როგორც მომხმარებლის ძლიერი ავთენტიფიკაციის მოთხოვნების დაცვით შესრულებულ გადახდის ოპერაციებს, ასევე ამ წესის მე-15-მე-20 მუხლებით გათვალისწინებული გამონაკლისების გამოყენებით შესრულებულ გადახდის ოპერაციებს, არ უნდა აღემატებოდეს ამავე ტიპის გადახდის ოპერაციებისთვის ამ წესის დანართით განსაზღვრულ თაღლითობის მაჩვენებელს.

3. ამ წესის დანართით განსაზღვრული თითოეული ტიპის გადახდის ოპერაციისთვის თაღლითობის მაჩვენებელი ყოველკვარტალურად დაანგარიშებული უნდა იყოს, როგორც არაავტორიზებული ან/და თაღლითური დისტანციური გადახდის ოპერაციების თანხის მთლიან ოდენობას, მიუხედავად იმისა, მოხდა თუ არა თანხის უკან დაბრუნება, შეფარდებული იმავე ტიპის დისტანციური გადახდის ოპერაციის მთლიანი თანხა. დაანგარიშებისას გათვალისწინებული უნდა იყოს როგორც მომხმარებლის ძლიერი ავთენტიფიკაციის მოთხოვნების დაცვით შესრულებული ოპერაციები, ასევე, ამ წესის მე-15–მე-20 მუხლებით გათვალისწინებული გამონაკლისი ოპერაციები.

4. საგადახდო მომსახურების პროვაიდერის მიერ თაღლითობის მაჩვენებლების დასაანგარიშებლად გამოყენებული მეთოდოლოგია და ნებისმიერი მოდელი, ასევე თავად მიღებული თაღლითობის მაჩვენებლები უნდა იყოს დეტალურად და გარკვევით დოკუმენტირებული. საქართველოს ეროვნული ბანკის მოთხოვნის საფუძველზე, საგადახდო მომსახურების პროვაიდერი ვალდებულია, მიაწოდოს მას აღნიშნული დოკუმენტაცია.


მუხლი 22. გამონაკლისის მოქმედების შეწყვეტა

 

1. თუ ამ წესის დანართში მითითებული რომელიმე ტიპის გადახდის ოპერაციასთან მიმართებაში დაანგარიშებული თაღლითობის მაჩვენებლები, რომლების მონიტორინგსაც საგადახდო მომსახურების პროვაიდერი ახორციელებს, აღემატება ამავე ცხრილში განსაზღვრულ შესაბამის მაჩვენებლებს, საგადახდო მომსახურების პროვაიდერი, რომელიც სარგებლობს ამ წესის მე-20 მუხლით მითითებული გამონაკლისით, ვალდებულია აღნიშნულის შესახებ დაუყოვნებლივ აცნობოს საქართველოს ეროვნულ ბანკს.

2. საგადახდო მომსახურების პროვაიდერი ვალდებულია საქართველოს ეროვნულ ბანკს მიაწოდოს იმ ზომების აღწერა, რომლების გატარებასაც ის გეგმავს ცხრილში მითითებულ მაჩვენებელთან შესაბამისობის აღსადგენად.

3. საგადახდო მომსახურების პროვაიდერი ვალდებულია დაუყოვნებლივ შეწყვიტოს ამ წესის მე-20 მუხლით გათვალისწინებული გამონაკლისებით სარგებლობა ამ წესის დანართში მითითებული ოპერაციის შესაბამისი თანხის ზღვრული ოდენობის ფარგლებში ნებისმიერი ტიპის გადახდის ოპერაციასთან მიმართებაში, თუ მონიტორინგს დაქვემდებარებული თაღლითობის მაჩვენებელი ორი თანმდევი კვარტალის განმავლობაში აღემატებოდა შესაბამისი გადახდის ოპერაციის ტიპის და თანხის ზღვრული ოდენობისთვის დადგენილ თაღლითობის მაჩვენებელს.

4. ამ მუხლის მე-3 პუნქტის შესაბამისად გამონაკლისით სარგებლობის შეწყვეტის შემდეგ, საგადახდო მომსახურების პროვაიდერი უფლებამოსილია, კვლავ ისარგებლოს გამონაკლისით, თუ დაანგარიშებული თაღლითობის მაჩვენებელი კონკრეტული ტიპის გადახდის ოპერაციისთვის შესაბამისი თანხის ზღვრული ოდენობის ფარგლებში ერთი კვარტლის განმავლობაში არ აღემატებოდა ამ წესის დანართში მითითებულ თაღლითობის მაჩვენებელს.

5. თუ საგადახდო მომსახურების პროვაიდერი გეგმავს ამ წესის მე-20 მუხლში მითითებული გამონაკლისებით კვლავ სარგებლობას, ის ვალდებულია საქართველოს ეროვნულ ბანკს წინასწარ, 10 კალენდარული დღით ადრე, აცნობოს აღნიშნულის შესახებ და მიაწოდოს მონიტორინგს დაქვემდებარებული თაღლითობის მაჩვენებლის ამ წესით განსაზღვრულ მაჩვენებელთან შესაბამისობის დამადასტურებელი ინფორმაცია.

 


მუხლი 23. მონიტორინგი
1. ამ წესის მე-12–მე-20 მუხლებით გათვალისწინებული გამონაკლისებით სარგებლობისთვის, საგადახდო მომსახურების პროვაიდერი ვალდებულია სულ მცირე კვარტალში ერთხელ განახორციელოს გადახდის ოპერაციის ყოველი ტიპის, დისტანციური და არადისტანციური გადახდის ოპერაციების გამიჯვნით, შემდეგი მონაცემების შენახვა და მონიტორინგი:

ა) არაავტორიზებული და თაღლითური გადახდის ოპერაციების მთლიანი თანხა, ასევე, ყველა გადახდის ოპერაციის მთლიანი თანხა და დაანგარიშებული თაღლითობის მაჩვენებელი, მათ შორის, მომხმარებლის ძლიერი ავთენტიფიკაციის მოთხოვნების დაცვით და თითოეული გამონაკლისის გამოყენებით შესრულებული ოპერაციის ჭრილში;

ბ) გადახდის ოპერაციის საშუალო თანხა, მათ შორის, მომხმარებლის ძლიერი ავთენტიფიკაციის მოთხოვნების შესრულებით და თითოეული გამონაკლისი ოპერაციის ჭრილში;

გ) გამონაკლისების გამოყენებით განხორციელებული გადახდის ოპერაციების რაოდენობა და გამონაკლისის ტიპების მიხედვით ამგვარი ოპერაციების პროცენტული წილი გადახდის ოპერაციების მთლიან რაოდენობაში.

2. საქართველოს ეროვნული ბანკის მოთხოვნის საფუძველზე, საგადახდო მომსახურების პროვაიდერი ვალდებულია, ამ მუხლის პირველი პუნქტის შესაბამისად განხორციელებული მონიტორინგის შედეგები მიაწოდოს საქართველოს ეროვნულ ბანკს.


თავი IV
მომხმარებლის უსაფრთხოების პერსონიფიცირებული მახასიათებლების კონფიდენციალობისა და მთლიანობის დაცვა

 


მუხლი 24. ზოგადი მოთხოვნები
1. საგადახდო მომსახურების პროვაიდერმა ავთენტიფიკაციის ყველა ეტაპზე უნდა უზრუნველყოს მომხმარებლის უსაფრთხოების პერსონიფიცირებული მახასიათებლების, მათ შორის, ავთენტიფიკაციის კოდების კონფიდენციალობა და მთლიანობა.

2. ამ მუხლის პირველი პუნქტის მიზნებისთვის, საგადახდო მომსახურების პროვაიდერი ვალდებულია უზრუნველყოს თითოეული შემდეგი მოთხოვნის შესრულება:

ა) ავთენტიფიკაციის განხორციელებისას უსაფრთხოების პერსონიფიცირებული მახასიათებლები უნდა იყოს შენიღბულად ნაჩვენები და მომხმარებლის მიერ მათი შეყვანისას შეუძლებელი უნდა იყოს მათი სრულად წაკითხვა;

ბ) უსაფრთხოების პერსონიფიცირებული მახასიათებლები მონაცემთა ფორმატში, ასევე კრიპტოგრაფიული მასალა, რომელიც კავშირშია უსაფრთხოების პერსონიფიცირებული მახასიათებლების შიფრაციასთან, არ უნდა იყოს შენახული დაუშიფრავი ტექსტის ფორმატში;

გ) საიდუმლო კრიპტოგრაფიული მასალა დაცულია არაუფლებამოსილი გამჟღავნებისგან.

3. საგადახდო მომსახურების პროვაიდერი ვალდებულია უზრუნველყოს უსაფრთხოების პერსონიფიცირებული მახასიათებლების შიფრაციისთვის ან მათი სხვაგვარად შენიღბულად ჩვენებისთვის გამოყენებული კრიპტოგრაფიული მასალის მართვასთან დაკავშირებული პროცესის სრულად დოკუმენტირება.

4. საგადახდო მომსახურების პროვაიდერმა უნდა უზრუნველყოს უსაფრთხოების პერსონიფიცირებული მახასიათებლებისა და ამ წესის II თავის შესაბამისად გენერირებული ავთენტიფიკაციის კოდების დაცულ გარემოში ძლიერი და ფართოდ აღიარებული სტანდარტების შესაბამისად დამუშავება და გადაცემა.


მუხლი 25. უსაფრთხოების პერსონიფიცირებული მახასიათებლების შექმნა და გადაცემა
1. საგადახდო მომსახურების პროვაიდერი ვალდებულია უზრუნველყოს უსაფრთხოების პერსონიფიცირებული მახასიათებლების დაცულ გარემოში შექმნა.

2. საგადახდო მომსახურების პროვაიდერი ვალდებულია უზრუნველყოს უსაფრთხოების პერსონიფიცირებული მახასიათებლების, ავთენტიფიკაციის მოწყობილობების და პროგრამული უზრუნველყოფის არაუფლებამოსილი გამოყენების რისკების შემცირება, რაც წარმოიქმნა გადამხდელისთვის მიწოდებამდე მათი დაკარგვით, მოპარვით ან ასლის დამზადებით.


მუხლი 26. მომხმარებელთან დაკავშირება
1. საგადახდო მომსახურების პროვაიდერი ვალდებულია უზრუნველყოს მხოლოდ ერთი მომხმარებლის დაცული გზით კავშირი უსაფრთხოების პერსონიფიცირებულ მახასიათებლებთან, ავთენტიფიკაციის მოწყობილობებსა და პროგრამულ უზრუნველყოფასთან.

2. ამ მუხლის პირველი პუნქტის მიზნებისთვის, საგადახდო მომსახურების პროვაიდერი ვალდებულია, უზრუნველყოს თითოეული შემდეგი მოთხოვნის შესრულება:

ა) მომხმარებლის დაკავშირება უსაფრთხოების პერსონიფიცირებულ მახასიათებლებთან, ავთენტიფიკაციის მოწყობილობებთან და პროგრამულ უზრუნველყოფასთან ხორციელდება საგადახდო მომსახურების პროვაიდერის პასუხისმგებლობის ქვეშ არსებულ დაცულ გარემოში, რაც, სულ მცირე, გულისხმობს საგადახდო მომსახურების პროვაიდერის ოფისებს, მის მიერ უზრუნველყოფილ ინტერნეტ გარემოს, ან მის მიერ გამოყენებულ სხვა მსგავს დაცულ ვებ-გვერდებს და მის ბანკომატების სისტემას და, ასევე, ითვალისწინებს დაკავშირების პროცესში გამოყენებულ იმ ტექნიკურ მოწყობილობებთან და სხვა კომპონენტებთან დაკავშირებულ რისკებს, რომლებიც არ არის საგადახდო მომსახურების პროვაიდერის პასუხისმგებლობის ქვეშ;

ბ) დისტანციური არხის მეშვეობით მომხმარებლის დაკავშირება უსაფრთხოების პერსონიფიცირებულ მახასიათებლებთან, ავთენტიფიკაციის მოწყობილობებთან და პროგრამულ უზრუნველყოფასთან ხორციელდება მომხმარებლის ძლიერი ავთენტიფიკაციის გამოყენებით.


მუხლი 27. უსაფრთხოების პერსონიფიცირებული მახასიათებლების, ავთენტიფიკაციის მოწყობილობების და პროგრამული უზრუნველყოფის მიწოდება
1. საგადახდო მომსახურების პროვაიდერი ვალდებულია უსაფრთხოების პერსონიფიცირებული მახასიათებლები, ავთენტიფიკაციის მოწყობილობები და პროგრამული უზრუნველყოფა მომხმარებელს მიაწოდოს დაცული გზით, რითაც უზრუნველყოფილი იქნება მათი დაკარგვით, მოპარვით ან ასლის დამზადებით გამოწვეული არაუფლებამოსილი გამოყენების რისკების შემცირება.

2. ამ მუხლის პირველი პუნქტის მიზნებისთვის, საგადახდო მომსახურების პროვაიდერი ვალდებულია შეიმუშაოს და დანერგოს, სულ მცირე, შემდეგი მექანიზმები და ზომები:

ა) ეფექტური და დაცული მიწოდების მექანიზმები, რომლებიც უზრუნველყოფს უსაფრთხოების პერსონიფიცირებული მახასიათებლების, ავთენტიფიკაციის მოწყობილობებისა და პროგრამული უზრუნველყოფის საგადახდო მომსახურების უფლებამოსილი მომხმარებლისთვის მიწოდებას;

ბ) მექანიზმები, რომლებიც საგადახდო მომსახურების პროვაიდერს საშუალებას აძლევს შეამოწმოს მომხმარებელთან ინტერნეტის საშუალებით მიწოდებული ავთენტიფიკაციის პროგრამული უზრუნველყოფის უცვლელობა;

გ) ზომები იმ შემთხვევისთვის, თუ უსაფრთხოების პერსონიფიცირებული მახასიათებლების მიწოდება არ ხდება საგადახდო მომსახურების პროვაიდერის ოფისებში, ან ხდება დისტანციური არხის მეშვეობით, და ერთდროულად დაცულია შემდეგი მოთხოვნები:

გ.ა) თუ მიწოდება ხდება ერთი და იმავე არხის მეშვეობით, არც ერთ არაუფლებამოსილ მხარეს არ შეუძლია ერთზე მეტი უსაფრთხოების პერსონიფიცირებული მახასიათებლის, ავთენტიფიკაციის მოწყობილობის ან პროგრამული უზრუნველყოფის პარამეტრის მიღება;

გ.ბ) მიწოდებული უსაფრთხოების პერსონიფიცირებული მახასიათებლები, ავთენტიფიკაციის მოწყობილობები ან პროგრამული უზრუნველყოფა გამოყენებამდე მოითხოვს აქტივაციას.

დ) ზომები, რომლებიც უსაფრთხოების პერსონიფიცირებული მახასიათებლების, ავთენტიფიკაციის მოწყობილობების ან პროგრამული უზრუნველყოფის პირველად გამოყენებამდე აქტივაციის საჭიროების შემთხვევაში უზრუნველყოფს ამ წესის 26-ე მუხლით გათვალისწინებული მოთხოვნების დაცვით აქტივაციის პროცესის დაცულ გარემოში განხორციელებას.


მუხლი 28. უსაფრთხოების პერსონიფიცირებული მახასიათებლების განახლება

 

საგადახდო მომსახურების პროვაიდერი ვალდებულია უზრუნველყოს უსაფრთხოების პერსონიფიცირებული მახასიათებლების განახლება ან ხელმეორედ აქტივაცია ამ წესის 25-ე-27-ე მუხლებით გათვალისწინებული მოთხოვნების დაცვით.

მუხლი 29. განადგურება, დეაქტივაცია და გაუქმება

 

საგადახდო მომსახურების პროვაიდერი ვალდებულია უზრუნველყოს ეფექტური პროცესები ყველა შემდეგი უსაფრთხოების ზომის გამოყენებისთვის:

ა) უსაფრთხოების პერსონიფიცირებული მახასიათებლების, ავთენტიფიკაციის ტექნიკური მოწყობილობებისა და პროგრამული უზრუნველყოფის დაცული განადგურება, დეაქტივაცია ან/და გაუქმება;

ბ) თუ საგადახდო მომსახურების პროვაიდერი ახორციელებს უკვე გამოყენებული ავთენტიფიკაციის ტექნიკური მოწყობილობებისა და პროგრამული უზრუნველყოფის მიწოდებას, ის ვალდებულია, სხვა მომხმარებლისთვის მათ გადაცემამდე უზრუნველყოს მათი ხელმეორედ უსაფრთხო გამოყენების ზომების შემუშავება, დოკუმენტირება და დანერგვა;

გ) უსაფრთხოების პერსონიფიცირებულ მახასიათებლებთან დაკავშირებული ინფორმაციის დეაქტივაცია ან გაუქმება, რომელიც ინახება საგადახდო მომსახურების პროვაიდერის საკუთარ ან/და აუთსორსინგულ სისტემებში და ბაზებში.


თავი V
პროვაიდერის პასუხისმგებლობა

 


მუხლი 30. საგადახდო მომსახურების პროვაიდერის პასუხისმგებლობა
თუ გადამხდელის საგადახდო მომსახურების პროვაიდერს დანერგილი აქვს მომხმარებლის ძლიერი ავთენტიფიკაციის მექანიზმი და მისი მოთხოვნის შემთხვევაში მიმღების საგადახდო მომსახურების პროვაიდერი ვერ უზრუნველყოფს გადახდის ოპერაციის შესრულებისას მომხმარებლის ძლიერი ავთენტიფიკაციის მხარდაჭერას, ის ვალდებულია, გადამხდელის საგადახდო მომსახურების პროვაიდერს აუნაზღაუროს ფინანსური ზიანი არაუმეტეს გადამხდელისთვის ანაზღაურებული ოპერაციის თანხისა. თუ ძლიერი ავთენტიფიკაციის მხარდაჭერა არ განხორციელდა მხოლოდ მიმღების მიზეზით, პასუხისმგებლობა რეგულირდება მიმღებსა და მიმღების პროვაიდერს შორის გაფორმებული ხელშეკრულების საფუძველზე.

თავი VI
გარდამავალი დებულებები

მუხლი 31. გარდამავალი დებულებები
1. საბარათე ინსტრუმენტებით განხორციელებულ ელექტრონული კომერციის ოპერაციებთან მიმართებაში:

ა) ექვაირერი ვალდებულია არაუგვიანეს 2020 წლის 1 ნოემბრისა უზრუნველყოს ერთჯერადი კოდის, როგორც ავთენტიფიკაციის ელემენტის გამოყენების შესაძლებლობა;

ბ) ექვაირერი ვალდებულია 2020 წლის 1 ნოემბრის შემდეგ მაღალი რისკის მიმღებების შემთხვევაში ოპერაცია (მათ შორის, დამახსოვრებული საბარათე ინსტრუმენტის რეკვიზიტებით როგორც პირველი, ასევე მომდევნო ოპერაციები) განახორციელოს მომხმარებლის მიერ ოპერაციის ერთჯერადი კოდით დადასტურების საფუძველზე, თუ ემიტენტს დანერგილი აქვს ერთჯერადი კოდის შესაბამისი უზრუნველყოფა; 2021 წლის 1 იანვრიდან, ემიტენტმა და ექვაირერმა მაღალი რისკის მიმღებების შემთხვევაში უნდა უზრუნველყონ ოპერაციის შესრულება მხოლოდ მომხმარებლის მიერ ოპერაციის ერთჯერადი კოდით დადასტურების საფუძველზე;

გ) ექვაირერი ვალდებულია ამ წესის ამოქმედებიდან 15 დღის ვადაში უზრუნველყოს მომხმარებლების წინასწარი ინფორმირება ერთჯერადი კოდის გამოყენების თაობაზე;

დ) საგადახდო მომსახურების პროვაიდერი (ემიტენტი და ექვაირერი) ვალდებულია არაუგვიანეს 2022 წლის 1 იანვრისა უზრუნველყოს ელექტრონული კომერციის ოპერაციების ამ წესის მოთხოვნების დაცვით შესრულება.

2. დისტანციური არხის (ვებგვერდის ან მობილური აპლიკაციის) საშუალებით საგადახდო ანგარიშებზე წვდომასთან და ამ არხების საშუალებით განხორციელებულ გადახდის ოპერაციებთან მიმართებაში, გარდა საბარათე ინსტრუმენტით განხორციელებული ოპერაციებისა, საგადახდო მომსახურების პროვაიდერი ვალდებულია ამ წესთან შესაბამისობა უზრუნველყოს არაუგვიანეს 2021 წლის 1 იანვრისა.

3. უცხო ქვეყნის საგადახდო მომსახურების პროვაიდერის მიერ გამოშვებულ საბარათე ინსტრუმენტებთან მიმართებაში, საგადახდო მომსახურების პროვაიდერი 2025 წლის 1 იანვრამდე უფლებამოსილია, იმოქმედოს რისკზე დაფუძნებული მიდგომის საფუძველზე.

4. 2025 წლის 1 იანვრამდე ემიტენტი უფლებამოსილია უცხოური ექვაირერის მომსახურებაში მყოფი სავაჭრო/მომსახურების ობიექტებთან მისი მომხმარებლების მიერ განხორციელებულ საბარათე ოპერაციებთან მიმართებაში იმოქმედოს რისკზე დაფუძნებული მიდგომის საფუძველზე.

5. ამ წესის ამოქმედების შემდეგ საგადახდო მომსახურების პროვაიდერი ვალდებულია, გამოუშვას მხოლოდ ისეთი საბარათე ინსტრუმენტები, რომლებიც სრულად უზრუნველყოფს ამ წესის მოთხოვნებთან შესაბამისობას.

6. არაუგვიანეს 2021 წლის 1 სექტემბრისა საგადახდო მომსახურების პროვაიდერი ვალდებულია, გამოშვებული საბარათე ინსტრუმენტები, რომლებიც არ აკმაყოფილებს ამ წესის მოთხოვნებს, ჩაანაცვლოს ისეთი საბარათე ინსტრუმენტებით, რომლებიც სრულად უზრუნველყოფს ამ წესის მოთხოვნებთან შესაბამისობას. თუ მომხმარებლის საგადახდო ინსტრუმენტის მოქმედების ვადა არ არის ამოწურული, ემიტენტი უფლებამოსილია, მომხმარებელს ჩანაცვლებისთვის გადაახდევინოს არაუმეტეს საგადახდო ინსტრუმენტის თვითღირებულებისა.

7. ამ წესის მე-20 მუხლით განსაზღვრული მონიტორინგის მექანიზმების დანერგვამდე, მაგრამ არაუგვიანეს 2022 წლის 1 იანვრისა, საგადახდო მომსახურების პროვაიდერი უფლებამოსილია, გადახდის ოპერაციის რისკის დონე შეაფასოს არსებული გამოცდილების, მათ შორის, მომხმარებლების საჩივრების გათვალისწინებით. მონიტორინგის მექანიზმების დანერგვის შემდეგ, საგადახდო მომსახურების პროვაიდერი ვალდებულია, ნებისმიერი ოპერაციის რისკის დონე გადააფასოს ამ წესის მოთხოვნების შესაბამისად.

8. ამ წესის მე-20 მუხლით განსაზღვრული მონიტორინგის მექანიზმების დანერგვამდე, მაგრამ არაუგვიანეს 2022 წლის 1 იანვრისა, საგადახდო მომსახურების პროვაიდერი უფლებამოსილია, საქართველოს კანონმდებლობით დადგენილი წესით, მომხმარებელთან სახელშეკრულებო ურთიერთობისა და მომხმარებლის მიერ გაცემული თანხმობის საფუძველზე შეამოწმოს მომხმარებლის მიერ მითითებული აბონენტის ნომრით ან სხვა იდენტიფიკატორით საყოფაცხოვრებო მომსახურების ორგანიზაციებთან არსებული დავალიანება და განახორციელოს გადახდის ოპერაციის ინიციირება არაუმეტეს დავალიანების ოდენობის თანხისა. აღნიშნული თანხმობის გაცემა და გაუქმება უნდა განხორციელდეს მომხმარებლის ძლიერი ავთენტიფიკაციით. საგადახდო მომსახურების პროვაიდერი უფლებამოსილია, მომხმარებელს მიაწოდოს მომსახურება, თუ მომხმარებელმა შესაძლო ვარიანტებიდან თავად აირჩია თანხმობის მოქმედების ვადა ან გასცა თანხმობა განუსაზღვრელი ვადით და განსაზღვრა თანხის ზედა ზღვარი. ამ პუნქტით გათვალისწინებულ შემთხვევაში, მონიტორინგის მექანიზმის მიმართ არ მოქმედებს ამ წესის მე-20 მუხლით განსაზღვრული გადახდის ოპერაციის თანხობრივი სიდიდიდან გამომდინარე მოთხოვნები.

9. საგადახდო მომსახურების პროვაიდერი, რომელიც მომხმარებლებისთვის ახორციელებს ამ მუხლის მე-8 პუნქტით გათვალისწინებულ მომსახურებას ამ წესის ამოქმედებამდე მიღებული თანხმობის საფუძველზე და ამ თანხმობის მოქმედების ვადა განსაზღვრული არ არის, ვალდებულია 2021 წლის 1 მარტამდე უზრუნველყოს თითოეული ასეთი მომხმარებლის შესაბამისი თანხმობის განახლება ძლიერი ავთენტიფიკაციის საფუძველზე. ამ პუნქტის შესაბამისად განახლებული თანხმობა უნდა მოიცავდეს მისი მოქმედების ვადას და თანხის ზედა ზღვარს. ეს პუნქტი არ ვრცელდება თუ ამ წესის ამოქმედებამდე მომხმარებელმა შესაძლო ვარიანტებიდან თავად აირჩია თანხმობის მოქმედების ვადა ან გასცა თანხმობა განუსაზღვრელი ვადით.

10. პროვაიდერი, რომელიც მომხმარებელს საგადახდო მომსახურებას სთავაზობს თავისი ვებ-გვერდის მეშვეობით, უფლებამოსილია მომხმარებელს მისცეს საშუალება თავის ელექტრონულ საფულეს/ვებ-გვერდზე დარეგისტრირებულ მომხმარებლის იდენტიფიკატორს მიაბას საგადახდო (საბარათე ან/და სხვა) ინსტრუმენტი. საგადახდო ინსტრუმენტის მიბმა ხორციელდება საფულის შევსების ან/და საფულიდან ინსტრუმენტზე თანხის გადატანის მიზნით, ასევე გადახდის ოპერაციის ერთჯერადად განხორციელების მიზნით. ამ პუნქტით გათვალისწინებული საგადახდო ინსტრუმენტის მიბმის ოპერაცია უნდა განხორციელდეს ემიტენტის მიერ მომხმარებლის ძლიერი ავთენტიფიკაციის ან 2022 წლის 1 იანვრამდე ერთჯერადი კოდის გამოყენების საფუძველზე, გარდა უცხო ქვეყნის საგადახდო მომსახურების პროვაიდერის მიერ გამოშვებული საგადახდო ინსტრუმენტისა. იდენტიფიცირებული მომხმარებლის შემთხვევაში, საფულის შევსების ან გადახდის ოპერაციის ერთჯერადად შესრულების მიზნით საგადახდო ინსტრუმენტით ოპერაციის ინიციირებისას, ემიტენტის მიერ ძლიერი ავთენტიფიკაციის განხორციელება (ან ერთჯერადი კოდის გენერირება) არ მოითხოვება. აღნიშნულ შემთხვევებში ელექტრონულ საფულეზე წვდომა ან ვებ-გვერდზე რეგისტრირებული მომხმარებლის მონაცემებზე წვდომა უნდა განხორციელდეს პროვაიდერის მიერ მომხმარებლის ძლიერი ავთენტიფიკაციის საფუძველზე. არაიდენტიფიცირებული მომხმარებლის შემთხვევაში, ვებ-გვერდიდან საგადახდო ინსტრუმენტით ოპერაციის ინიციირებისას საგადახდო მომსახურების პროვაიდერმა საგადახდო ინსტრუმენტის გამომშვები პროვაიდერისგან უნდა მოითხოვოს ძლიერი ავთენტიფიკაციის განხორციელება ან ერთჯერადი კოდის გამოყენება. ამ პუნქტის დარღვევით განხორციელებულ ოპერაციებზე საგადახდო ინსტრუმენტის გამომშვები პროვაიდერის და მომხმარებლის წინაშე პასუხისმგებლობა ეკისრება ვებ-გვერდით მომსახურე პროვაიდერს (მათ შორის, ელექტრონული ფულის პროვაიდერს).

11. 2025 წლის 1 იანვრამდე, საგადახდო მომსახურების პროვაიდერი უფლებამოსილია, 10 ლარამდე გადახდის ოპერაციები არ გაითვალისწინოს ამ წესის მე-13 მუხლის მიზნებისთვის დათვლაში, თუ საგადახდო მომსახურების პროვაიდერის მიერ უკონტაქტო გადახდების მაქსიმალური რაოდენობა დღე-ღამის განმავლობაში შეზღუდულია 30-მდე.

12. საგადახდო მომსახურების პროვაიდერი ვალდებულია ამ წესის მე-13 მუხლით გათვალისწინებული უფლებამოსილების გამოყენების მიზნით მიყოლებით შესრულებული უკონტაქტო გადახდების მაქსიმალური თანხის ან უკონტაქტო გადახდების რაოდენობის დათვლის მიმართ იმავე მუხლით დადგენილი მოთხოვნების შესრულება უზრუნველყოს არაუგვიანეს 2021 წლის 1 მარტისა. 2021 წლის 1 მარტამდე მომხმარებლის ძლიერი ავთენტიფიკაციის გარეშე შესრულებული უკონტაქტო გადახდების თანხა არ უნდა აღემატებოდეს 100 ლარს.

13. საგადახდო მომსახურების პროვაიდერი ვალდებულია არაუგვიანეს 2022 წლის 1 იანვრისა დანერგოს გადახდის ოპერაციების მონიტორინგის მექანიზმი, რომლითაც ის შეძლებს არაავტორიზებული ან/და თაღლითური გადახდის ოპერაციების იდენტიფიცირებას.

14. 2022 წლის 1 იანვრის შემდგომ ამ წესის მე-12, მე-14-მე-20 მუხლებით განსაზღვრული გამონაკლისებით სარგებლობისათვის საგადახდო მომსახურების პროვაიდერი ვალდებულია დანერგილი ჰქონდეს ამ წესით გათვალისწინებული შესაბამისი მონიტორინგის მექანიზმი.

15. ამ წესის მე-5 მუხლის პირველი და მე-3 პუნქტებით განსაზღვრული პირველი აუდიტი უნდა განხორციელდეს არაუგვიანეს 2022 წლის 1 მაისისა.

16. საგადახდო მომსახურების პროვაიდერი, რომელსაც სურს ამ წესის ამოქმედებამდე გამოშვებული საგადახდო ინსტრუმენტის მიმართ ისარგებლოს ამ წესის მე-4 მუხლის პირველი პუნქტით გათვალისწინებული უფლებამოსილებით, ვალდებულია საქართველოს ეროვნულ ბანკს ამ წესის ამოქმედებიდან 30 კალენდარული დღის ვადაში წერილობით მიაწოდოს ასეთი საგადახდო ინსტრუმენტის შესახებ ინფორმაცია და აღწერა. საქართველოს ეროვნული ბანკი საგადახდო მომსახურების პროვაიდერის მიერ აღნიშნული უფლებამოსილებით სარგებლობის თაობაზე გადაწყვეტილებას იღებს შეტყობინების წერილობით მიღებიდან 60 სამუშაო დღის ვადაში. საქართველოს ეროვნული ბანკი გადაწყვეტილებაში განსაზღვრავს ვადას, რომლის განმავლობაში აღნიშნულ საგადახდო ინსტრუმენტზე არ გავრცელდება ამ წესის მოქმედება.

17. ამ მუხლით გათვალისწინებული დებულებებით სარგებლობის შემთხვევაში, გადამხდელის საგადახდო მომსახურების პროვაიდერი ვალდებულია გადამხდელს აუნაზღაუროს მომხმარებლის ძლიერი ავთენტიფიკაციის გარეშე შესრულებული არაავტორიზებული გადახდის ოპერაციის თანხა დაუყოვნებლივ, მაგრამ არაუგვიანეს იმ დღის მომდევნო სამუშაო დღის ბოლომდე, როდესაც აღნიშნულის შესახებ პროვაიდერისთვის ცნობილი გახდა ან მიიღო შეტყობინება. გადამხდელის საგადახდო მომსახურების პროვაიდერი ვალდებულია აღადგინოს დადებეტებული საგადახდო ანგარიში იმ მდგომარეობაში, რომელშიც ის იქნებოდა მომხმარებლის ძლიერი ავთენტიფიკაციის გარეშე არაავტორიზებული ოპერაცია რომ არ შესრულებულიყო. პროვაიდერს არ ეკისრება გადამხდელისთვის ანაზღაურების ამ პუნქტით გათვალისწინებული ვალდებულება, თუ მას მომხმარებლის მიერ თაღლითური ქმედების შესახებ საფუძვლიანი ეჭვი აქვს და აღნიშნული საფუძვლის შესახებ წერილობით შეატყობინა საქართველოს ეროვნულ ბანკს და მიმართა შესაბამის სამართალდამცავ ორგანოს.

18. თუ ამ მუხლით სხვა რამ არ არის გათვალისწინებული, საგადახდო მომსახურების პროვაიდერი ვალდებულია ამ წესის მოთხოვნებთან სრული შესაბამისობა უზრუნველყოს არაუგვიანეს 2023 წლის 1 იანვრისა.

 

 

დანართი

 

თაღლითობის მაჩვენებელი (%):

გამონაკლისით სარგებლობისთვის ოპერაციის თანხის ზღვრული ოდენობა

დისტანციური ელექტრონული საბარათე გადახდები

 

დისტანციური ელექტრონული საკრედიტო გადარიცხვები

500 ლარი

0,01

0,005

250 ლარი

0,06

0,01

100 ლარი

0,13

0,015