კომუნიკაციის ერთიანი და უსაფრთხო ღია სტანდარტების შესახებ დებულების დამტკიცების თაობაზე

დოკუმენტის სტრუქტურა

განმარტებების დათვალიერება

დაკავშირებული დოკუმენტები

დოკუმენტის მონიშვნები

კომუნიკაციის ერთიანი და უსაფრთხო ღია სტანდარტების შესახებ დებულების დამტკიცების თაობაზე
დოკუმენტის ნომერი	145/04
დოკუმენტის მიმღები	საქართველოს ეროვნული ბანკის პრეზიდენტი
მიღების თარიღი	24/10/2022
დოკუმენტის ტიპი	საქართველოს ეროვნული ბანკის პრეზიდენტის ბრძანება
გამოქვეყნების წყარო, თარიღი	ვებგვერდი, 25/10/2022
ძალაში შესვლის თარიღი	01/11/2022
სარეგისტრაციო კოდი	220010000.18.011.016649

PDF გადმოწერა

კომუნიკაციის ერთიანი და უსაფრთხო ღია სტანდარტების შესახებ დებულების დამტკიცების თაობაზე

„საქართველოს ეროვნული ბანკის შესახებ“ საქართველოს ორგანული კანონის მე-15 მუხლის პირველი პუნქტის „ზ“ ქვეპუნქტისა და „საგადახდო სისტემისა და საგადახდო მომსახურების შესახებ“ საქართველოს კანონის 22¹ მუხლის მე-6 პუნქტის „დ“ ქვეპუნქტის საფუძველზე, ვბრძანებ:

მუხლი 1

დამტკიცდეს კომუნიკაციის ერთიანი და უსაფრთხო ღია სტანდარტების შესახებ დებულება თანდართული რედაქციით.

მუხლი 2

ეს ბრძანება ამოქმედდეს 2022 წლის 1 ნოემბრიდან.

ეროვნული ბანკის პრეზიდენტი კობა გვენეტაძე

თავი I
ზოგადი დებულებები

მუხლი 1. მიზანი და მოქმედების სფერო

1. კომუნიკაციის ერთიანი და უსაფრთხო ღია სტანდარტების შესახებ დებულების (შემდგომში – დებულება) მიზანია უზრუნველყოს ეფექტური და უსაფრთხო კომუნიკაცია ანგარიშის ინფორმაციაზე წვდომის და გადახდის ინიციირების მომსახურების განხორციელებისას, განსაზღვროს კომუნიკაციის ერთიანი და უსაფრთხო ღია სტანდარტები ყველა მონაწილე მხარისთვის, ხელი შეუწყოს ინოვაციური პროდუქტების განვითარებას, კომუნიკაციის სესიების გაძლიერებული დაცვით, უზრუნველყოს ინფორმაციის კონფიდენციალურობის და მთლიანობის დაცულობა, ასევე, სხვადასხვა ტექნოლოგიური გადაწყვეტის ურთიერთთავსებადობა.

2. ეს დებულება განსაზღვრავს ანგარიშის მომსახურე საგადახდო მომსახურების პროვაიდერს (შემდგომში – „ანგარიშის მომსახურე პროვაიდერი“), გადახდის ინიციირების მომსახურების პროვაიდერს, ანგარიშის ინფორმაციაზე წვდომის პროვაიდერს, გადამხდელს, მიმღებსა და სხვა საგადახდო მომსახურების პროვაიდერებს შორის კომუნიკაციის ერთიან და უსაფრთხო ღია სტანდარტებს.

მუხლი 2. ტერმინთა განმარტება

1. ამ დებულების მიზნებისთვის, მასში გამოყენებულ ტერმინებს აქვს შემდეგი მნიშვნელობა:

ა) უფლებამოსილი პროვაიდერი – გადახდის ინიციირების მომსახურების პროვაიდერი, ანგარიშის ინფორმაციაზე წვდომის პროვაიდერი და საგადახდო მომსახურების პროვაიდერი, რომელმაც რეგისტრაციისთვის მიმართა საქართველოს ეროვნულ ბანკს;

ბ) კვალიფიციური ელექტრონული შტამპის სერტიფიკატი – ელექტრონული შტამპის სერტიფიკატი, რომელსაც გასცემს „ელექტრონული დოკუმენტისა და ელექტრონული სანდო მომსახურების შესახებ“ საქართველოს კანონის შესაბამისად ავტორიზებული კვალიფიციური სანდო მომსახურების მიმწოდებელი და რომელიც აკმაყოფილებს იმავე კანონის მოთხოვნებს.

2. ამ წესში გამოყენებულ სხვა ტერმინებს აქვს „საგადახდო სისტემისა და საგადახდო მომსახურების შესახებ“ საქართველოს კანონით და საქართველოს კანონმდებლობით გათვალისწინებული მნიშვნელობები.

თავი II
ზოგადი მოთხოვნები კომუნიკაციის მიმართ

მუხლი 3. მოთხოვნები იდენტიფიკაციის მიმართ

1. საგადახდო მომსახურების პროვაიდერი ვალდებულია, ელექტრონული გადახდის ოპერაციების განსახორციელებლად უზრუნველყოს უსაფრთხო იდენტიფიკაცია გადამხდელის მოწყობილობასა და მიმღების მოწყობილობას (მათ შორის, პოსტერმინალს) შორის კომუნიკაციის დროს.

2. საგადახდო მომსახურების პროვაიდერი ვალდებულია უზრუნველყოს მობილურ აპლიკაციაში და საგადახდო მომსახურების მომხმარებლის სხვა ინტერფეისში, რომლითაც ხორციელდება ელექტრონული გადახდების მომსახურების მიწოდება, არაუფლებამოსილ პირთან კომუნიკაციის გადამისამართების რისკების ეფექტური შემცირება.

მუხლი 4. მიკვლევადობა

1. საგადახდო მომსახურების პროვაიდერი ვალდებულია დანერგოს პროცესები, რომლებიც საგადახდო მომსახურების მიწოდების დროს უზრუნველყოფს ყველა გადახდის ოპერაციის, ასევე, საგადახდო მომსახურების მომხმარებელთან (შემდგომში – „მომხმარებელი“), სხვა საგადახდო მომსახურების პროვაიდერთან და სხვა პირებთან (მათ შორის, სავაჭრო/მომსახურების ობიექტებთან) სხვა ურთიერთქმედების იმგვარ მიკვლევადობას, რომ შესაძლებელი იყოს ელექტრონული გადახდის ოპერაციის თითოეულ ეტაპზე მომხდარი მასთან დაკავშირებული მოვლენის/ქმედების შესახებ ინფორმაციის შემდგომი მოძიება.

2. ამ მუხლის პირველი პუნქტის მიზნებისთვის, საგადახდო მომსახურების პროვაიდერის კომუნიკაციის ნებისმიერი სესია მომხმარებელთან, სხვა საგადახდო მომსახურების პროვაიდერთან და სხვა პირებთან, (მათ შორის, სავაჭრო/მომსახურების ობიექტებთან) ეყრდნობა ყველა შემდეგ ინფორმაციას:

ა) სესიის უნიკალურ იდენტიფიკატორს;

ბ) ოპერაციის დეტალური ლოგირების (ჩაწერის) უსაფრთხოების მექანიზმს, მათ შორის, ოპერაციის ნომერს, დროის აღნიშვნას და ოპერაციასთან დაკავშირებულ ყველა შესაბამის მონაცემს;

გ) დროის აღნიშვნას, რომელიც უნდა ეყრდნობოდეს საერთაშორისო კოორდინირებული დროის სისტემას და სინქრონიზებული უნდა იყოს ოფიციალურ დროის სიგნალთან.

თავი III
სპეციფიკური მოთხოვნები კომუნიკაციის ერთიანი და უსაფრთხო ღია სტანდარტების მიმართ

მუხლი 5. ზოგადი მოთხოვნები წვდომის ინტერფეისების მიმართ

1. ანგარიშის მომსახურე პროვაიდერი, რომელიც მომხმარებელს სთავაზობს საგადახდო ანგარიშს, რომელზე წვდომა შესაძლებელია ონლაინრეჟიმში, ვალდებულია დანერგოს სულ მცირე ერთი ინტერფეისი, რომელიც აკმაყოფილებს შემდეგ მოთხოვნებს:

ა) ანგარიშის ინფორმაციაზე წვდომის პროვაიდერს და გადახდის ინიციირების მომსახურების პროვაიდერს უნდა შეეძლოს საკუთარი თავის იდენტიფიცირება ანგარიშის მომსახურე პროვაიდერთან;

ბ) ანგარიშის ინფორმაციაზე წვდომის პროვაიდერს საშუალება უნდა ჰქონდეს დაცული კომუნიკაციით მოითხოვოს და მიიღოს მომხმარებლის მიერ განსაზღვრული ერთი ან მეტი საგადახდო ანგარიშის და მასზე განხორციელებული გადახდის ოპერაციების შესახებ ინფორმაცია;

გ) გადახდის ინიციირების მომსახურების პროვაიდერს საშუალება უნდა ჰქონდეს დაცული კომუნიკაციით განახორციელოს საგადახდო დავალების ინიციირება გადამხდელის საგადახდო ანგარიშიდან. გადახდის ინიციირების მომსახურების პროვაიდერს ასევე საშუალება უნდა ჰქონდეს მიიღოს გადახდის ოპერაციის ინიციირებასთან და ამ გადახდის ოპერაციის შესრულებასთან დაკავშირებული სრული ინფორმაცია, რომელიც საჭიროა გადახდის ინიციირების მომსახურების შესასრულებლად და ხელმისაწვდომია ანგარიშის მომსახურე პროვაიდერისთვის.

2. მომხმარებლის ავთენტიფიკაციის მიზნებისთვის, ამ მუხლის პირველი პუნქტით გათვალისწინებული ინტერფეისი ანგარიშის ინფორმაციაზე წვდომის პროვაიდერს და გადახდის ინიციირების მომსახურების პროვაიდერს უნდა აძლევდეს საშუალებას, რომ ისინი დაეყრდნონ ყველა იმ ავთენტიფიკაციის პროცედურას, რომელსაც ანგარიშის მომსახურე პროვაიდერი ახორციელებს მომხმარებლის მიმართ. ინტერფეისი უნდა აკმაყოფილებდეს სულ მცირე შემდეგ მოთხოვნებს:

ა) გადახდის ინიციირების მომსახურების პროვაიდერს და ანგარიშის ინფორმაციაზე წვდომის პროვაიდერს საშუალება უნდა ჰქონდეს ანგარიშის მომსახურე პროვაიდერს მოსთხოვოს მომხმარებლის თანხმობის საფუძველზე ავთენტიფიკაციის დაწყება;

ბ) ანგარიშის მომსახურე პროვაიდერს, ანგარიშის ინფორმაციაზე წვდომის პროვაიდერს, გადახდის ინიციირების მომსახურების პროვაიდერსა და შესაბამის მომხმარებელს შორის კომუნიკაციის სესიები უნდა დამყარდეს და შენარჩუნდეს ავთენტიფიკაციის პროცესის განმავლობაში;

გ) უზრუნველყოფილი უნდა იყოს გადახდის ინიციირების მომსახურების პროვაიდერის და ანგარიშის ინფორმაციაზე წვდომის პროვაიდერის მიერ ან მათი მეშვეობით გადაცემული უსაფრთხოების პერსონიფიცირებული მახასიათებლებისა და ავთენტიფიკაციის კოდების მთლიანობა და კონფიდენციალურობა.

3. ანგარიშის მომსახურე პროვაიდერი ვალდებულია უზრუნველყოს თავისი ინტერფეისის შესაბამისობა საერთაშორისო ან ევროპული სტანდარტიზაციის ორგანიზაციის მიერ დადგენილ კომუნიკაციის სტანდარტებთან.

4. ანგარიშის მომსახურე პროვაიდერი ვალდებულია უზრუნველყოს ამ დებულების მიზნებისთვის შექმნილი ნებისმიერი ინტერფეისის ტექნიკური სპეციფიკაციების დოკუმენტირება, რომელშიც განსაზღვრული უნდა იყოს რეგულარული პროცესები, პროტოკოლები და საშუალებები, რომლებიც საჭიროა გადახდის ინიციირების მომსახურების პროვაიდერისთვის და ანგარიშის ინფორმაციაზე წვდომის პროვაიდერისთვის მათი პროგრამული უზრუნველყოფისა და აპლიკაციების ანგარიშის მომსახურე პროვაიდერის სისტემასთან ფუნქციონალური ურთიერთთავსებადობისთვის.

5. ანგარიშის მომსახურე პროვაიდერმა, მოთხოვნის შემთხვევაში, უნდა უზრუნველყოს ამ მუხლის მე-4 პუნქტით განსაზღვრული დოკუმენტაციის უფლებამოსილი პროვაიდერისთვის უსასყიდლოდ ხელმისაწვდომობა. ანგარიშის მომსახურე პროვაიდერი ვალდებულია უზრუნველყოს დოკუმენტაციის შემაჯამებელი მიმოხილვის თავის ვებგვერდზე საჯაროდ ხელმისაწვდომობა.

6. ანგარიშის მომსახურე პროვაიდერმა, საგანგებო სიტუაციების გარდა, უნდა უზრუნველყოს, რომ ინტერფეისის ტექნიკური სპეციფიკაციის ნებისმიერი ცვლილება, წინასწარ, შეძლებისდაგვარად მოკლე ვადაში და ცვლილების განხორციელებამდე არანაკლებ 3 თვით ადრე ხელმისაწვდომი გახადოს უფლებამოსილი პროვაიდერისთვის. ანგარიშის მომსახურე პროვაიდერმა უნდა განახორციელოს იმ საგანგებო სიტუაციების დოკუმენტირება, რის გამოც დაინერგა ცვლილება. ანგარიშის მომსახურე პროვაიდერი ასევე ვალდებულია, მოთხოვნის შემთხვევაში, ამ პუნქტით გათვალისწინებული დოკუმენტაცია წარუდგინოს საქართველოს ეროვნულ ბანკს.

7. ანგარიშის მომსახურე პროვაიდერმა უნდა უზრუნველყოს სატესტო გარემოს არსებობა, რომელიც მოიცავს კავშირის და ფუნქციონალის ტესტირების მხარდაჭერას, რათა უფლებამოსილმა პროვაიდერმა განახორციელოს თავისი პროგრამული უზრუნველყოფისა და აპლიკაციების ტესტირება, რომლებიც გამოიყენება მომხმარებლისთვის საგადახდო მომსახურების შესათავაზებელად. დაუშვებელია სენსიტიური ინფორმაციის (მათ შორის, სენსიტიური საგადახდო მონაცემის) გაზიარება სატესტო გარემოში.

8. ანგარიშის მომსახურე პროვაიდერმა უნდა უზრუნველყოს, რომ მის მიერ დანერგილი ინტერფეისი ყოველთვის აკმაყოფილებდეს ამ დებულებით განსაზღვრულ მოთხოვნებს. თუ ანგარიშის მომსახურე პროვაიდერის მიერ დანერგილი ინტერფეისი ვერ აკმაყოფილებს ამ დებულებით განსაზღვრულ მოთხოვნებს, საქართველოს ეროვნული ბანკი უფლებამოსილია, იმოქმედოს საქართველოს მოქმედი კანონმდებლობის შესაბამისად, რათა არ მოხდეს გადახდის ინიციირების მომსახურების და ანგარიშის ინფორმაციაზე წვდომის მომსახურების შეწყვეტა ან შეფერხება, იმის გათვალისწინებით, რომ ამ მომსახურებების განმახორციელებელი შესაბამისი საგადახდო მომსახურების პროვაიდერები აკმაყოფილებენ ამ დებულების მე-8 მუხლის მე-6 პუნქტით განსაზღვრულ პირობებს.

9. საგადახდო მომსახურების პროვაიდერი ვალდებულია ამ დებულების მიზნებისთვის იხელმძღვანელოს საქართველოს საბანკო ასოციაციის მიერ შემუშავებული „საქართველოს ღია ბანკინგის სტანდარტით“, რომელიც განთავსებულია საქართველოს საბანკო ასოციაციის ვებგვერდზე – www.association.ge ან/და www.openfinance.ge.

10. საგადახდო მომსახურების პროვაიდერს უფლება აქვს საქართველოს ეროვნულ ბანკს განსახილველად მიაწოდოს ინტერფეისის ალტერნატიული სტანდარტი, რომელიც შესაბამისობაში იქნება ამ დებულების მოთხოვნებთან. საგადახდო მომსახურების პროვაიდერი ვალდებულია დაასაბუთოს მის მიერ შეთავაზებული სტანდარტის უპირატესობა ამ მუხლის მე-9 პუნქტით გათვალისწინებულ სტანდარტთან შედარებით. საქართველოს ეროვნული ბანკი განიხილავს წარდგენილი ინტერფეისის ალტერნატიულ სტანდარტს და 3 თვის ვადაში გასცემს თანხმობას ან უარს ეუბნება საგადახდო მომსახურების პროვაიდერს მის გამოყენებაზე.

მუხლი 6. წვდომის ინტერფეისის პირობები

ამ დებულების მე-5 მუხლით გათვალისწინებული მოთხოვნების შესრულების მიზნით, ანგარიშის მომსახურე პროვაიდერმა უნდა შეასრულოს ერთ-ერთი შემდეგი ვალდებულება:

ა) დანერგოს ანგარიშის ინფორმაციაზე წვდომის და გადახდის ინიციირების მომსახურებისთვის განკუთვნილი სპეციალიზებული ინტერფეისი;

ბ) უფლებამოსილ საგადახდო მომსახურების პროვაიდერს მისცეს იმ ინტერფეისის გამოყენების საშუალება, რომლითაც ანგარიშის მომსახურე პროვაიდერი ახორციელებს თავისი მომხმარებლის ავთენტიფიკაციას და მასთან კომუნიკაციას.

მუხლი 7. მოთხოვნები სპეციალიზებული ინტერფეისის მიმართ

1. ანგარიშის მომსახურე პროვაიდერი, რომელმაც ამ დებულების მე-5 და მე-6 მუხლების შესაბამისად დანერგა სპეციალიზებული ინტერფეისი, ვალდებულია უზრუნველყოს, რომ ამ ინტერფეისის ხელმისაწვდომობა და მუშაობის წარმადობა, მათ შორის, მხარდაჭერა, ნებისმიერ დროს იყოს იმავე დონის, როგორიც აქვს მომხმარებლის მიერ საკუთარ საგადახდო ანგარიშზე ონლაინრეჟიმში უშუალოდ წვდომისთვის გამოყენებულ ინტერფეისს.

2. ანგარიშის მომსახურე პროვაიდერმა, რომელმაც დანერგა სპეციალიზებული ინტერფეისი, უნდა დაადგინოს ძირითადი წარმადობის გამჭვირვალე ინდიკატორები და მომსახურების სამიზნე დონეები, რომლებიც არ უნდა ჩამოუვარდებოდეს მისი მომხმარებლების მიერ საგადახდო ანგარიშზე ონლაინრეჟიმში უშუალოდ წვდომისთვის გამოყენებული ინტერფეისის შესაბამის მაჩვენებლებს როგორც ხელმისაწვდომობის, ასევე ამ დებულების მე-11 მუხლის შესაბამისად მიწოდებული მონაცემების კუთხით.

3. ანგარიშის მომსახურე პროვაიდერი უნდა ახორციელებდეს ამ მუხლით გათვალისწინებული სპეციალიზებული ინტერფეისის, ინდიკატორების და სამიზნე დონის მონიტორინგს და სტრეს-ტესტირებას. მონიტორინგი უნდა წარიმართოს ანგარიშის მომსახურე პროვაიდერის საკუთარი ინფორმაციული ტექნოლოგიების ინფრასტრუქტურის მეშვეობით, იმ სერვერიდან/სერვერებიდან, რომელზეც განთავსებული არ არის ამ მუხლის პირველი პუნქტით გათვალისწინებული ინტერფეისის აპლიკაცია. ანგარიშის მომსახურე პროვაიდერი ვალდებულია, საქართველოს ეროვნული ბანკის მოთხოვნის საფუძველზე მიაწოდოს მას მონიტორინგთან დაკავშირებული დოკუმენტაცია/ინფორმაცია.

4. ანგარიშის მომსახურე პროვაიდერის მიერ დანერგილი სპეციალიზებული ინტერფეისი არ უნდა აბრკოლებდეს გადახდის ინიციირების და ანგარიშის ინფორმაციაზე წვდომის მომსახურებების მიწოდებას, რაც, მათ შორის, შესაძლოა მოიცავდეს:

ა) ანგარიშის მომსახურე პროვაიდერის მიერ საკუთარი მომხმარებლისთვის გაცემული უსაფრთხოების პერსონიფიცირებული მახასიათებლების უფლებამოსილი პროვაიდერების მიერ გამოყენების ხელშეშლას;

ბ) ანგარიშის მომსახურე პროვაიდერის ავთენტიფიკაციას ან სხვა ფუნქციონალზე გადამისამართებას;

გ) მომხმარებლის მიერ გადახდის ინიციირების მომსახურების პროვაიდერისთვის ან ანგარიშის ინფორმაციაზე წვდომის პროვაიდერისთვის გაცემული თანხმობის დამატებითი შემოწმების მოთხოვნას.

5. ამ მუხლის პირველი და მე-2 პუნქტების მიზნებისთვის, ანგარიშის მომსახურე პროვაიდერი ვალდებულია აწარმოოს სპეციალიზებული ინტერფეისის ხელმისაწვდომობისა და ფუნქციონირების მონიტორინგი. ანგარიშის მომსახურე პროვაიდერი ვალდებულია თავის ვებგვერდზე გამოაქვეყნოს სპეციალიზებული ინტერფეისისა და თავისი მომხმარებლის მიერ გამოყენებული ინტერფეისის ხელმისაწვდომობისა და ფუნქციონირების კვარტალური სტატისტიკა.

6. ანგარიშის მომსახურე პროვაიდერი ვალდებულია, საქართველოს ეროვნულ ბანკს მიაწოდოს ამ მუხლის მე-5 პუნქტით გათვალისწინებული სტატისტიკური ინფორმაცია. საქართველოს ეროვნული ბანკი უფლებამოსილია აღნიშნული ინფორმაცია განათავსოს თავის ოფიციალურ ვებგვერდზე.

მუხლი 8. საგანგებო ღონისძიებები სპეციალიზებული ინტერფეისისთვის

1. ანგარიშის მომსახურე პროვაიდერმა, სპეციალიზებული ინტერფეისის დიზაინის ფორმირებისას უნდა გაითვალისწინოს საგანგებო ღონისძიებების სტრატეგია და გეგმა, იმ შემთხვევებისთვის, თუ:

ა) სპეციალიზებული ინტერფეისი არ ფუნქციონირებს ამ დებულების მე-7 მუხლის მოთხოვნების შესაბამისად;

ბ) ადგილი აქვს სპეციალიზებული ინტერფეისის გაუთვალისწინებელ ხელმიუწვდომლობას;

გ) სისტემა მწყობრიდან არის გამოსული.

2. ამ მუხლის პირველი პუნქტის მიზნებისთვის, გაუთვალისწინებელ ხელმიუწვდომლობად ან სისტემის მწყობრიდან გამოსვლად შესაძლოა მიჩნეულ იქნეს შემთხვევა, როდესაც გადახდის ინიციირების მომსახურების ან ანგარიშის ინფორმაციაზე წვდომის მომსახურების განხორციელებისთვის საჭირო ინფორმაციაზე წვდომის 5 თანმიმდევრულ მოთხოვნაზე 30 წამის განმავლობაში არ მომხდარა პასუხის დაბრუნება.

3. საგანგებო ღონისძიებები უნდა მოიცავდეს კომუნიკაციის გეგმას, რომლის მიხედვით, საგადახდო მომსახურების პროვაიდერი, რომელიც იყენებს სპეციალიზებულ ინტერფეისს, მიიღებს ინფორმაციას ამ ინტერფეისის ფუნქციონირების აღდგენისთვის განსახორციელებელი ღონისძიებების შესახებ და ასევე, დაუყოვნებლივ გამოსაყენებელი იმ ალტერნატიული საშუალებების შესახებ, რომლებიც ამ მუხლის პირველი პუნქტით გათვალისწინებულ შემთხვევებში შეიძლება გააჩნდეს საგადახდო მომსახურების პროვაიდერს.

4. ანგარიშის მომსახურე პროვაიდერი და უფლებამოსილი პროვაიდერი ვალდებულია, ამ მუხლის პირველი პუნქტით გათვალისწინებული შემთხვევების შესახებ დაუყოვნებლივ მიაწოდოს ინფორმაცია საქართველოს ეროვნულ ბანკს.

5. საგანგებო ღონისძიებების მექანიზმის ფარგლებში, უფლებამოსილ პროვაიდერს უნდა ჰქონდეს საშუალება, სპეციალიზებული ინტერფეისის ამ დებულების მე-7 მუხლით გათვალისწინებული ხელმისაწვდომობისა და ფუნქციონირების შესაბამის დონეზე აღდგენამდე, გამოიყენოს ის ინტერფეისი, რომელიც გამოიყენება მომხმარებლების ავთენტიფიკაციისა და ანგარიშის მომსახურე პროვაიდერთან კომუნიკაციისთვის.

6. ამ მუხლის მე-5 პუნქტის მიზნებისთვის, ანგარიშის მომსახურე პროვაიდერი ვალდებულია უზრუნველყოს, რომ უფლებამოსილი პროვაიდერი იდენტიფიცირებადია და რომ ამ უკანასკნელს შეუძლია დაეყრდნოს ანგარიშის მომსახურე პროვაიდერის მიერ მომხმარებლის ავთენტიფიკაციისთვის განხორციელებულ პროცედურებს. თუ უფლებამოსილი პროვაიდერი იყენებს ამ მუხლის მე-5 პუნქტით გათვალისწინებულ ინტერფეისს, ის ვალდებულია:

ა) მიიღოს აუცილებელი ზომები იმისათვის, რომ მის მიერ არ მოხდეს იმ მონაცემებზე წვდომა, შენახვა ან/და დამუშავება, რომელიც არ გამოიყენება მომხმარებლის მიერ მოთხოვნილი მომსახურების მიწოდებისთვის;

ბ) უზრუნველყოს „საგადახდო სისტემისა და საგადახდო მომსახურების შესახებ“ საქართველოს კანონის 22² მუხლის მე-3 პუნქტით და 22³მუხლის მე-2 პუნქტით განსაზღვრულ დებულებებთან მუდმივი შესაბამისობა;

გ) მოახდინოს იმ მონაცემების ჩაწერა (ლოგირება), რომლებზეც წვდომა განხორციელდა იმ ინტერფეისის მეშვეობით, რომლის მართვას თავისი მომხმარებლებისთვის ახორციელებს ანგარიშის მომსახურე პროვაიდერი. საქართველოს ეროვნული ბანკის მოთხოვნის საფუძველზე, უფლებამოსილი პროვაიდერი ვალდებულია გაუმართლებელი დაყოვნების გარეშე მიაწოდოს მას აღნიშნული ჩანაწერები (ლოგები);

დ) საქართველოს ეროვნული ბანკის მოთხოვნის საფუძველზე, გაუმართლებელი დაყოვნების გარეშე, მიაწოდოს მას ამომწურავი დასაბუთება მომხმარებლის მიერ საკუთარ საგადახდო ანგარიშზე ონლაინრეჟიმში პირდაპირი წვდომისთვის განკუთვნილი ინტერფეისის გამოყენების შესახებ;

ე) დაუყოვნებლივ მოახდინოს ანგარიშის მომსახურე პროვაიდერის ინფორმირება.

7. საქართველოს ეროვნული ბანკი უფლებამოსილია ამ მუხლის მე-5 პუნქტით განსაზღვრული საგანგებო ღონისძიებების მექანიზმის დანერგვის ვალდებულებისაგან გაათავისუფლოს ანგარიშის მომსახურე პროვაიდერი, რომელიც გადაწყვეტს სპეციალიზებული ინტერფეისის გამოყენებას, თუ ეს ინტერფეისი აკმაყოფილებს ყველა შემდეგ პირობას:

ა) სპეციალიზებული ინტერფეისი აკმაყოფილებს ამ დებულების მე-7 მუხლით განსაზღვრულ ყველა მოთხოვნას;

ბ) სპეციალიზებული ინტერფეისი შექმნილია და ტესტირება გავლილი აქვს ამ დებულების მე-5 მუხლის მე-7 პუნქტის შესაბამისად და აკმაყოფილებს უფლებამოსილი პროვაიდერის მოთხოვნებს;

გ) სპეციალიზებული ინტერფეისი საგადახდო მომსახურების პროვაიდერის მიერ ფართოდ იქნა გამოყენებული არანაკლებ 3 თვის განმავლობაში, ანგარიშის ინფორმაციაზე წვდომის მომსახურების და გადახდის ინიციირების მომსახურების განხორციელებისთვის;

დ) სპეციალიზებულ ინტერფეისთან დაკავშირებული ნებისმიერი პრობლემა მოგვარდა გაუმართლებელი დაყოვნების გარეშე.

8. საქართველოს ეროვნული ბანკი უფლებამოსილია გააუქმოს ამ მუხლის მე-7 პუნქტის შესაბამისად დაშვებული გამონაკლისი, თუ ანგარიშის მომსახურე პროვაიდერი 2 თანმდევი კალენდარული კვირის განმავლობაში ვერ უზრუნველყოფს იმავე პუნქტის „ა“ და „დ“ ქვეპუნქტებით გათვალისწინებული პირობების დაკმაყოფილებას. ამ შემთხვევაში, ანგარიშის მომსახურე პროვაიდერი ვალდებულია, შესაძლოდ მოკლე ვადაში, მაგრამ არაუგვიანეს 2 თვისა, უზრუნველყოს ამ მუხლის მე-5 პუნქტით განსაზღვრული საგანგებო ღონისძიებების მექანიზმის დანერგვა.

9. თუ ანგარიშის მომსახურე პროვაიდერი საშუალებას აძლევს უფლებამოსილ პროვაიდერს გამოიყენოს ის ინტერფეისი, რომლითაც ახორციელებს თავისი მომხმარებლის ავთენტიფიკაციას და მასთან კომუნიკაციას, ის თავისუფლდება ამ მუხლით გათვალისწინებული მოთხოვნებისგან.

მუხლი 9. სერტიფიკატები

1. ამ დებულების მე-5 მუხლის პირველი პუნქტის „ა“ ქვეპუნქტით განსაზღვრული იდენტიფიკაციის მიზნებისთვის, საგადახდო მომსახურების პროვაიდერი ვალდებულია, გამოიყენოს კვალიფიციური ელექტრონული შტამპის სერტიფიკატი ან/და კვალიფიციური ვებგვერდის ავთენტიფიკაციის სერტიფიკატი.

2. ამ დებულების მიზნებისთვის, „ელექტრონული დოკუმენტისა და ელექტრონული სანდო მომსახურების შესახებ“ საქართველოს კანონის მე-2 მუხლის „კ“ ქვეპუნქტით გათვალისწინებული საიდენტიფიკაციო კოდი, უნდა იყოს ანგარიშის მომსახურე პროვაიდერისთვის, გადახდის ინიციირების მომსახურების პროვაიდერისთვის და ანგარიშის ინფორმაციაზე წვდომის პროვაიდერისთვის საქართველოს ეროვნული ბანკის მიერ მინიჭებული რეგისტრაციის/ლიცენზიის ნომერი, რომელიც საჯაროდ ხელმისაწვდომია საქართველოს ეროვნული ბანკის ოფიციალურ ვებგვერდზე.

3. ამ დებულების მიზნებისთვის, ამ მუხლის პირველი პუნქტით გათვალისწინებული კვალიფიციური ელექტრონული შტამპის სერტიფიკატი ან კვალიფიციური ვებგვერდის ავთენტიფიკაციის სერტიფიკატი უნდა მოიცავდეს შემდეგ დამატებით ინფორმაციას, ქართულ ან/და ინგლისურ ენაზე:

ა) საგადახდო მომსახურების პროვაიდერის უფლებამოსილება, რომელიც შეიძლება მოიცავდეს ერთ ან რამდენიმე შემდეგს:

ა.ა) ანგარიშის მომსახურებას;

ა.ბ) გადახდის ინიციირების მომსახურებას;

ა.გ) ანგარიშის ინფორმაციაზე წვდომის მომსახურებას.

ბ) მარეგულირებელი ორგანო, რომლის მიერაც საგადახდო მომსახურების პროვაიდერი არის რეგისტრირებული/ლიცენზირებული.

4. ამ მუხლის მე-3 პუნქტით განსაზღვრულმა მოთხოვნებმა გავლენა არ უნდა იქონიოს კვალიფიციური ელექტრონული შტამპის სერტიფიკატის ან კვალიფიციური ვებგვერდის ავთენტიფიკაციის სერტიფიკატის აღიარებაზე და ურთიერთთავსებადობაზე.

მუხლი 10. კომუნიკაციის სესიის უსაფრთხოება

1. მონაცემების კონფიდენციალურობისა და მთლიანობის დაცვის უზრუნველსაყოფად, ანგარიშის მომსახურე პროვაიდერი, ანგარიშის ინფორმაციაზე წვდომის პროვაიდერი და გადახდის ინიციირების მომსახურების პროვაიდერი, მონაცემების ინტერნეტის საშუალებით გაცვლისას, ვალდებულია, უზრუნველყოს მხარეთა შორის კომუნიკაციის მიმდინარეობის თითოეული სესიის განმავლობაში მონაცემების საიმედო შიფრაცია ფართოდ აღიარებული შიფრაციის ტექნოლოგიების გამოყენებით.

2. ანგარიშის ინფორმაციაზე წვდომის პროვაიდერი და გადახდის ინიციირების მომსახურების პროვაიდერი ვალდებულია უზრუნველყოს, რომ ანგარიშის მომსახურე პროვაიდერის მიერ შეთავაზებული წვდომის სესია იყოს შესაძლოდ ხანმოკლე და მოთხოვნილი ქმედების დასრულებისთანავე განხორციელდეს ყველა ასეთი სესიის აქტიური შეწყვეტა.

3. ანგარიშის მომსახურე პროვაიდერთან ქსელური სესიების პარალელურ რეჟიმში მიმდინარეობის დროს, ანგარიშის ინფორმაციაზე წვდომის პროვაიდერი და გადახდის ინიციირების მომსახურების პროვაიდერი ვალდებულია, უზრუნველყოს ამ სესიების მომხმარებელთან (მომხმარებლებთან) დამყარებულ შესაბამის სესიებთან უსაფრთხოდ დაკავშირება, რათა არ მოხდეს მხარეთა შორის მიმოცვლადი რომელიმე შეტყობინების ან ინფორმაციის არასწორად გადამისამართება.

4. ანგარიშის ინფორმაციაზე წვდომის პროვაიდერი და გადახდის ინიციირების მომსახურების პროვაიდერი ვალდებულია, ანგარიშის მომსახურე პროვაიდერთან კომუნიკაციის დროს მიაწოდოს მას ერთმნიშვნელოვანი რეფერენსი თითოეულ შემდეგზე:

ა) მომხმარებელზე ან მომხმარებლებზე და შესაბამისი კომუნიკაციის სესიებზე, რათა შესაძლებელი იყოს ერთი და იმავე მომხმარებლის ან მომხმარებლების რამდენიმე მოთხოვნის ერთმანეთისგან გამიჯვნა;

ბ) გადახდის ინიციირების მომსახურებისას ცალსახად იდენტიფიცირებულ ინიციირებულ გადახდის ოპერაციაზე.

5. ანგარიშის მომსახურე პროვაიდერი, ანგარიშის ინფორმაციაზე წვდომის პროვაიდერი და გადახდის ინიციირების მომსახურების პროვაიდერი ვალდებულია უზრუნველყოს, რომ უსაფრთხოების პერსონიფიცირებული მახასიათებლების და ავთენტიფიკაციის კოდების მიმოცვლისას შეუძლებელი იყოს ნებისმიერ დროს ნებისმიერი თანამშრომლის მიერ მათი პირდაპირ ან არაპირდაპირ წაკითხვა.

6. ანგარიშის მომსახურე პროვაიდერი, ანგარიშის ინფორმაციაზე წვდომის პროვაიდერი და გადახდის ინიციირების მომსახურების პროვაიდერი ვალდებულია, მათი პასუხისმგებლობის სფეროში მოქცეული უსაფრთხოების პერსონიფიცირებული მახასიათებლების კონფიდენციალურობის თაობაზე ეჭვის არსებობისას, დაუყოვნებლივ შეატყობინოს შესაბამის მომხმარებელს და ამ უსაფრთხოების პერსონიფიცირებული მახასიათებლების გამომშვებს.

მუხლი 11. მონაცემების გაცვლა

1. ანგარიშის მომსახურე პროვაიდერი ვალდებულია აკმაყოფილებდეს შემდეგ მოთხოვნებს:

ა) ანგარიშის ინფორმაციაზე წვდომის პროვაიდერს მიაწოდოს იგივე ინფორმაცია საგადახდო ანგარიშზე და ამ ანგარიშზე განხორციელებულ გადახდის ოპერაციებზე, რაც ხელმისაწვდომია მომხმარებლისთვის მის მიერ ანგარიშზე პირდაპირი წვდომის შემთხვევაში, გარდა სენსიტიური საგადახდო მონაცემებისა;

ბ) საგადახდო დავალების მიღებისთანავე, დაუყოვნებლივ მიაწოდოს გადახდის ინიციირების მომსახურების პროვაიდერს გადახდის ოპერაციის ინიციირებისა და შესრულების შესახებ იგივე ინფორმაცია, რომელსაც ის აწვდის მომხმარებელს ან უზრუნველყოფს მისთვის ხელმისაწვდომობას, როდესაც მომხმარებელი უშუალოდ მასთან ახორციელებს გადახდის ოპერაციის ინიციირებას.

2. მონაცემების მიმოცვლის, იდენტიფიკაციის ან ავთენტიფიკაციის პროცესის დროს გაუთვალისწინებელი გარემოების დადგომის ან/და შეცდომის შემთხვევაში, ანგარიშის მომსახურე პროვაიდერი ვალდებულია გადახდის ინიციირების მომსახურების პროვაიდერს და ანგარიშის ინფორმაციაზე წვდომის პროვაიდერს გაუგზავნოს შეტყობინება ამ შეფერხების მიზეზის მითითებით.

3. თუ ანგარიშის მომსახურე პროვაიდერი ამ დებულების მე-7 მუხლის შესაბამისად მომხმარებელს სთავაზობს სპეციალიზებულ ინტერფეისს, გაუთვალისწინებელი გარემოების დადგომისას ან/და შეცდომისას, ამ ინტერფეისის საშუალებით შესაძლებელი უნდა იყოს ასეთი გარემოების ან შეცდომის შესახებ შეტყობინების გაგზავნა იმ საგადახდო მომსახურების პროვაიდერის მიერ, რომელიც აღმოაჩენს გაუთვალისწინებელ გარემოებას ან/და შეცდომას კომუნიკაციის იმავე სესიაში მონაწილე სხვა საგადახდო მომსახურების პროვაიდერისთვის.

4. ანგარიშის ინფორმაციაზე წვდომის პროვაიდერი ვალდებულია დანერგოს შესაბამისი და ეფექტური მექანიზმი, რომელიც უზრუნველყოფს იმ საგადახდო ანგარიშზე და ინფორმაციაზე წვდომის შეზღუდვას, რომელზეც მომხმარებელს არ გაუცია ცალსახა თანხმობა.

5. გადახდის ინიციირების მომსახურების პროვაიდერი ვალდებულია ანგარიშის მომსახურე პროვაიდერს მიაწოდოს იგივე ინფორმაცია, რომელსაც ანგარიშის მომსახურე პროვაიდერი ითხოვს მომხმარებლისგან, როდესაც ეს უკანასკნელი უშუალოდ მასთან ახორციელებს გადახდის ოპერაციის ინიციირებას.

6. ანგარიშის ინფორმაციაზე წვდომის პროვაიდერს უნდა ჰქონდეს საშუალება, ანგარიშის ინფორმაციაზე წვდომის მომსახურების მიწოდების მიზნით მიიღოს მომხმარებლის მიერ განსაზღვრული საგადახდო ანგარიშის ან/და ამ ანგარიშზე განხორციელებული გადახდის ოპერაციის შესახებ ინფორმაცია, რომელსაც ფლობს ანგარიშის მომსახურე პროვაიდერი ერთ-ერთ შემდეგ შემთხვევაში:

ა) თუ მომხმარებელი აქტიურად ითხოვს ამ ინფორმაციას;

ბ) თუ მომხმარებელი აქტიურად არ ითხოვს ინფორმაციას და აღნიშნული მოთხოვნების რაოდენობა არ აღემატება ოთხს 24 საათის განმავლობაში, გარდა იმ შემთხვევისა, თუ მომხმარებლის თანხმობით ანგარიშის ინფორმაციაზე წვდომის პროვაიდერი და ანგარიშის მომსახურე პროვაიდერი შეთანხმდნენ მოთხოვნის უფრო მაღალ სიხშირეზე.

თავი IV
გარდამავალი დებულებები

მუხლი 12. გარდამავალი დებულებები

1. ანგარიშის მომსახურე პროვაიდერი ვალდებულია ამ დებულების:

ა) მე-5 მუხლის მე-4 პუნქტით გათვალისწინებული მოთხოვნების შესრულება უზრუნველყოს არაუგვიანეს 2022 წლის 1 დეკემბრისა;

ბ) მე-5 მუხლის მე-7 პუნქტით გათვალისწინებული მოთხოვნების შესრულება უზრუნველყოს არაუგვიანეს 2023 წლის 1 იანვრისა;

გ) მე-7 მუხლის მე-5 პუნქტით გათვალისწინებულ ინტერფეისის ხელმისაწვდომობისა და ფუნქციონირების კვარტალური სტატისტიკის გამოქვეყნების მოთხოვნებთან შესაბამისობა უზრუნველყოს არაუგვიანეს 2023 წლის 1 ოქტომბრისა;

დ) მე-8 მუხლის მე-2 პუნქტით გათვალისწინებულ მოთხოვნებთან შესაბამისობა უზრუნველყოს არაუგვიანეს 2023 წლის 1 ოქტომბრისა;

ე) მე-8 მუხლის მე-5 პუნქტით გათვალისწინებულ მოთხოვნებთან შესაბამისობა უზრუნველყოს არაუგვიანეს 2024 წლის 1 ოქტომბრისა.

2. ანგარიშის მომსახურე პროვაიდერი, რომელსაც სურს ამ დებულების მე-8 მუხლის მე-7 პუნქტით გათვალისწინებული გამონაკლისით სარგებლობა, ვალდებულია საქართველოს ეროვნულ ბანკს შესაბამისი განაცხადი წარუდგინოს 2024 წლის 1 იანვრამდე.

3. ამ დებულების მე-5 მუხლის პირველი პუნქტის „ა“ ქვეპუნქტის მიზნებისთვის, 2026 წლის 31 დეკემბრის ჩათვლით შესაძლებელია გამოყენებულ იქნეს ევროკავშირის №910/2014 რეგულაციით გათვალისწინებული იმ შესაბამისი ორგანიზაციის მიერ გაცემული სერტიფიკატი, რომლის შესახებ ინფორმაცია განთავსებულია იმავე რეგულაციის 22-ე მუხლის შესაბამისად შექმნილ სიებში.