ღია ბანკინგში ჩართვის წესის დამტკიცების თაობაზე

2. ამ წესის მიზანია, ერთი მხრივ, მოაწესრიგოს სუბიექტების ღია ბანკინგში ჩართვის პროცესი და, მეორე მხრივ, უზრუნველყოს ღია ბანკინგში ჩართული სუბიექტების მიერ მიწოდებული მომსახურების გამართულობა, სანდოობა და დაცულობა.

3. სუბიექტი, რომელიც მონაწილეობს გადახდის ინიციირების მომსახურების ან/და ანგარიშის ინფორმაციაზე წვდომის მომსახურების განხორციელებაში, ვალდებულია დაიცვას „კომუნიკაციის ერთიანი და უსაფრთხო ღია სტანდარტების შესახებ დებულების დამტკიცების თაობაზე“ საქართველოს ეროვნული ბანკის პრეზიდენტის 2022 წლის 24 ოქტომბრის №145/04 ბრძანებით გათვალისწინებული მოთხოვნები.

4.  ამ წესის მე-6 და მე-7 მუხლების მოთხოვნები არ ვრცელდება საგადახდო მომსახურების პროვაიდერებზე, რომელთა რეგისტრაციის პროცესი ხორციელდება საქართველოს ეროვნული ბანკის პრეზიდენტის ბრძანებით დამტკიცებული „საგადახდო მომსახურების პროვაიდერის რეგისტრაციისა და რეგულირების წესის“ შესაბამისად.

ა) ღია ბანკინგი – ელექტრონული ტექნოლოგიების და ღია ბანკინგის სტანდარტის გამოყენებით, სხვადასხვა სუბიექტებს შორის, მომხმარებლის ინიციატივის და თანხმობის საფუძველზე, სუბიექტებში არსებული მომხმარებლის შესახებ ინფორმაციის დაუყოვნებლივ გაცვლა მომხმარებლისთვის გადახდის ინიციირების ან/და ანგარიშის ინფორმაციაზე  წვდომის მომსახურების შეთავაზების მიზნით;

ბ) ღია ბანკინგის სტანდარტი – საქართველოს საბანკო ასოციაციის მიერ შემუშავებული ტექნიკური სტანდარტი, რომელზე დაყრდნობითაც ხდება ღია ბანკინგში ჩართულ სუბიექტებს შორის ინფორმაციის მიმოცვლა.

ა) უნდა დააკმაყოფილოს ამ წესის მე-4 მუხლის პირველი, მე-2, მე-4 (გადახდის ინიციირების მომსახურების განხორციელების შემთხვევაში) პუნქტებითა და მე-5 მუხლის მე-3 პუნქტით გათვალისწინებული კრიტერიუმები და მიიღოს თანხმობა ღია ბანკინგში ჩართვაზე საქართველოს ეროვნული ბანკისგან (შემდგომში – ეროვნული ბანკი);

ბ) უნდა განახორციელოს საკუთარი მომსახურების წინასწარი ტესტირება კომერციული ბანკის სატესტო გარემოში, რომლის დასრულების შემდეგ (ასევე, სადაც რელევანტურია რეგისტრაციის შემდეგ) შეუძლია დაიწყოს ფუნქციონირება რეალურ გარემოში.

2. კომერციული ბანკი (საჭიროების შემთხვევაში), აგრეთვე სუბიექტი უფლებამოსილია, ღია ბანკინგში ჩართვის შესახებ განცხადების წარდგენის მომენტიდან ან ანგარიშის ინფორმაციაზე წვდომის პროვაიდერად და გადახდის ინიციირების მომსახურების პროვაიდერად რეგისტრაციის შესახებ ეროვნული ბანკისთვის განცხადებით მიმართვის მომენტიდან გამოიყენოს კომერციული ბანკის სატესტო გარემო.

3. კომერციული ბანკი, როგორც ანგარიშის მომსახურე საგადახდო მომსახურების პროვაიდერი, ვალდებულია დაიცვას „კომუნიკაციის ერთიანი და უსაფრთხო ღია სტანდარტების შესახებ დებულების დამტკიცების თაობაზე“ საქართველოს ეროვნული ბანკის პრეზიდენტის 2022 წლის 24 ოქტომბრის №145/04 ბრძანებით გათვალისწინებული მოთხოვნები, მათ შორის, უზრუნველყოს სატესტო გარემოს არსებობა, რომელიც მოიცავს კავშირის და ფუნქციონალის ტესტირების მხარდაჭერას, რათა სუბიექტმა ან/და სხვა კომერციულმა ბანკმა განახორციელოს თავისი პროგრამული უზრუნველყოფისა და აპლიკაციების ტესტირება, რომლებიც გამოიყენება მომხმარებლისთვის საგადახდო მომსახურების შესათავაზებელად. დაუშვებელია სენსიტიური ინფორმაციის (მათ შორის, სენსიტიური საგადახდო მონაცემის) გაზიარება სატესტო გარემოში.

ა) ეროვნულ ბანკს წარუდგინოს ინფორმაცია ამ წესის დანართი №1-ის შესაბამისად;

ბ) ინფორმაციის კონფიდენციალურობის, მთლიანობისა და ხელმისაწვდომობის მიზნით, მათ შორის, პერსონალური მონაცემების დაცვის უზრუნველსაყოფად, შემუშავებული და დანერგილი ჰქონდეს ინფორმაციული უსაფრთხოების მართვის სისტემა სათანადო პოლიტიკა-პროცედურებით. ინფორმაციული უსაფრთხოების უზრუნველმყოფი პროცესები უნდა ემსახურებოდეს ინფორმაციის, მათ შორის, სენსიტიური საგადახდო და პერსონალური მონაცემების, დაცვას შენახვის (data-at-rest), მიმოცვლის (data-in-transit), დამუშავებისა (data-in-use) და განადგურების პროცესში. ინფორმაციული უსაფრთხოების დოკუმენტირებული პოლიტიკა-პროცედურები უნდა წარუდგინოს ეროვნულ ბანკს;

გ) ეროვნულ ბანკს უნდა წარუდგინოს შესაბამისი (ანგარიშზე ინფორმაციის წვდომის ან გადახდის ინიციირების მომსახურების) სქემატური აღწერა, რომელიც მოიცავს მომსახურების პროცესში ინფორმაციის ან/და ფულადი სახსრების მოძრაობის შესახებ დეტალურ ინფორმაციას. თუ სუბიექტი გეგმავს როგორც ანგარიშზე ინფორმაციის წვდომის, ისე გადახდის ინიციირების მომსახურების განხორციელებას, თითოეულ მომსახურებაზე უნდა წარმოადგინოს ცალკე სქემა.

2. ამ მუხლის პირველი პუნქტით განსაზღვრული კრიტერიუმების გარდა, სუბიექტი ვალდებულია, მის მიერ „საქართველოს ეროვნული ბანკის შესახებ“ საქართველოს ორგანული კანონით და მის საფუძველზე გამოცემული ეროვნული ბანკის სამართლებრივი აქტებით დადგენილი მოთხოვნების შეუსრულებლობით გამოწვეული შესაძლო მატერიალური ზიანის ანაზღაურების მიზნით დააზღვიოს თავისი პროფესიული პასუხისმგებლობა ან/და წარმოადგინოს საბანკო გარანტია არანაკლებ 50,000 (ორმოცდაათი ათასი) ლარის ოდენობით. პროფესიული პასუხისმგებლობის დაზღვევის პირობები ან/და საბანკო გარანტიის პირობები უნდა შეთანხმდეს ეროვნულ ბანკთან. ეროვნული ბანკი უფლებამოსილია, საჭიროების შემთხვევაში, დასაბუთებული გადაწყვეტილებით, მოსთხოვოს სუბიექტს ამ პუნქტით განსაზღვრულზე მეტი ოდენობის პროფესიული პასუხისმგებლობის დაზღვევის ან საბანკო გარანტიის  წარდგენა.

3. ამ მუხლის მე-2 პუნქტით განსაზღვრული მოთხოვნა არ ვრცელდება იმ სუბიექტებზე, რომელთაც ეროვნული ბანკის სამართლებრივი აქტებით ან/და მარეგულირებელი კანონმდებლობით დადგენილი აქვთ მინიმალური საზედამხედველო კაპიტალის მოთხოვნა და საზედამხედველო კაპიტალთან დაკავშირებული მოთხოვნები.

4. თუ სუბიექტი გეგმავს გადახდის ინიციირების მომსახურების განხორციელებას, ღია ბანკინგში ჩართვაზე თანხმობის მისაღებად ვალდებულია ამ მუხლით განსაზღვრულ მოთხოვნებთან ერთად აკმაყოფილებდეს ყველა შემდეგ კრიტერიუმს:

ა)  სუბიექტს შემუშავებული და დანერგილი უნდა ჰქონდეს საოპერაციო, მათ შორის, კიბერუსაფრთხოების ინციდენტების მართვის პოლიტიკა/პროცედურები, რომელიც უნდა განსაზღვრავდეს ინციდენტების იდენტიფიცირების, ანალიზის, ესკალაციის (საჭიროების შემთხვევაში), აღმოფხვრისა და მონიტორინგის პროცესებს, რათა უზრუნველყოს სერვისების მიწოდება მინიმალურ დროში და მინიმუმამდე დაიყვანოს უარყოფითი ზეგავლენა ბიზნეს ოპერაციებზე. სუბიექტს უნდა გააჩნდეს მსხვილი საოპერაციო, მათ შორის, კიბერუსაფრთხოების ინციდენტის დაინტერესებული მხარეებისთვის შეტყობინების პროცედურა. დაინტერესებულ მხარეთა წრე, სულ მცირე, უნდა მოიცავდეს მომხმარებლებს, სუბიექტის შიდა ორგანიზაციული მოწყობით განსაზღვრულ პასუხისმგებელ პირ(ებ)ს, ეროვნულ ბანკს და, საჭიროების შემთხვევაში, სამართალდამცავ ორგანოებს;

ბ) სუბიექტს უნდა გააჩნდეს ცვლილებების მართვის პრაქტიკა, რომელმაც უნდა უზრუნველყოს ფუნქციონირების შედეგად გამოვლენილი ცვლილებების ანალიზი, შემუშავება, ტესტირება, დამტკიცება, დანერგვა და მონიტორინგი; თითოეული ცვლილების დანერგვისას, უნდა განხორციელდეს აუდიტისა და უსაფრთხოების ელექტრონული ჩანაწერების წარმოება შემდგომი გამოძიებისა და პრობლემების აღმოფხვრის მიზნით.

5. სუბიექტს, რომელიც გეგმავს გადახდის ინიციირების მომსახურების განხორციელებას  მიზანშეწონილია, შემუშავებული ჰქონდეს ღია ბანკინგის სერვისების ბიზნეს უწყვეტობის გეგმა (BCP), რომელიც მოიცავს საინფორმაციო ტექნოლოგიების ინფრასტრუქტურის აღდგენის გეგმასაც (DRP). აღნიშნული გეგმა მიზანშეწონილია, ასახავდეს ბიზნესის უწყვეტობის ღონისძიებების აღწერას, მათ შორის, კრიტიკული ოპერაციების მკაფიო იდენტიფიკაციას, ეფექტურ საგანგებო/სათადარიგო გეგმებს. ბიზნეს უწყვეტობის გეგმის ტესტირება მიზანშეწონილია, განხორციელდეს რეგულარულად (სულ მცირე წელიწადში ერთხელ), მათი ადექვატურობისა და ეფექტურობის შეფასების მიზნით. სუბიექტმა მიზანშეწონილია, განახორციელოს გეგმის გადახედვა და საჭიროების შემთხვევაში, განახლება.

ა) ქსელში ჩართული ყველა სისტემისთვის სულ მცირე წელიწადში ერთხელ ჩაატაროს შეღწევადობის ტესტირება, მათ შორის, ელექტრონული ტექნოლოგიების და აპლიკაციების პროგრამირების ინტერფეისის (API) უსაფრთხოების ჭრილში, ინტერნეტ აპლიკაციების უსაფრთხოების ღია სტანდარტის (OWASP) ან ეროვნულ ბანკთან შეთანხმებით, სხვა საერთაშორისოდ აღიარებული პრაქტიკის მიხედვით და ტესტირების დასკვნები წარუდგინოს ეროვნულ ბანკს;

ბ) ეროვნულ ბანკს წინასწარ შეუთანხმოს ამ წესის მე-4 მუხლის პირველი პუნქტის „გ“ ქვეპუნქტით განსაზღვრულ ანგარიშის ინფორმაციაზე წვდომის მომსახურების განხორციელების სქემატურ აღწერაში ნებისმიერი ცვლილება, ცვლილების განხორციელებამდე 30 კალენდარული დღით ადრე და წარუდგინოს განახლებული ანგარიშის ინფორმაციაზე წვდომის მომსახურების განხორციელების სქემატური აღწერა.

2. გადახდის ინიციირების მომსახურების განხორციელებისას ღია ბანკინგში ჩართული სუბიექტი ვალდებულია:

ა) სულ მცირე წელიწადში ერთხელ განახორციელოს ინფორმაციული სისტემებისა და ინფორმაციული უსაფრთხოების დამოუკიდებელი აუდიტი საერთაშორისოდ აღიარებულ სტანდარტებთან შესაბამისობის მიზნით (NIST, ISO, COBIT). სუბიექტმა აუდიტის კრიტერიუმად სხვა საერთაშორისოდ აღიარებული პრაქტიკის გამოყენება უნდა შეათანხმოს ეროვნულ ბანკთან. აღნიშნული აუდიტი უნდა განხორციელდეს დამოუკიდებელი და მიუკერძოებელი აუდიტორის მიერ, რომელიც უნდა იყოს კვალიფიციური საინფორმაციო ტექნოლოგიების (IT) უსაფრთხოებისა და საგადახდო მომსახურების მიმართულებით და უნდა იყოს ოპერაციულად დამოუკიდებელი სუბიექტისგან. ეროვნული ბანკი უფლებამოსილია, აუდიტის განხორციელებამდე შეაფასოს სუბიექტის მიერ შერჩეული აუდიტორის კვალიფიკაცია და შესაბამისობა დაგეგმილი აუდიტის ფარგლებში და საჭიროების შემთხვევაში, მოითხოვოს აუდიტორის ცვლილება;

ბ) სულ მცირე წელიწადში ერთხელ, ქსელში ჩართული ყველა სისტემისთვის, რომელიც დაკავშირებულია ღია ბანკინგთან, ჩაატაროს შეღწევადობის ტესტირება, მათ შორის, ელექტრონული ტექნოლოგიების და აპლიკაციების პროგრამირების ინტერფეისის (API) უსაფრთხოების ჭრილში, ინტერნეტ აპლიკაციების უსაფრთხოების ღია სტანდარტის (OWASP) ან ეროვნულ ბანკთან შეთანხმებით, სხვა საერთაშორისოდ აღიარებული პრაქტიკის მიხედვით. ეროვნული ბანკი უფლებამოსილია, შეაფასოს სუბიექტის მიერ შერჩეული აუდიტორის კვალიფიკაცია და შესაბამისობა დაგეგმილი შეღწევადობის ტესტირების ფარგლებში და საჭიროების შემთხვევაში, მოითხოვოს აუდიტორის ცვლილება;

გ) საჭიროების შემთხვევაში, ეროვნული ბანკის მოთხოვნით, ამ პუნქტის „ა“ და „ბ“ ქვეპუნქტებით გათვალისწინებული ტესტირების დასკვნები წარუდგინოს ეროვნულ ბანკს;

დ) ეროვნულ ბანკს წინასწარ შეუთანხმოს ამ წესის მე-4 მუხლის პირველი პუნქტის „გ“ ქვეპუნქტით განსაზღვრულ სქემატურ აღწერაში ნებისმიერი ცვლილება, ცვლილების განხორციელებამდე 30 კალენდარული დღით ადრე და წარუდგინოს მომსახურების განხორციელების განახლებული სქემატური აღწერა.

3. აუთსორსინგული ოპერაციების წარმოებამდე სუბიექტი ვალდებულია, 30 დღით ადრე ეროვნულ ბანკს მიაწოდოს ინფორმაცია აუთსორსინგული ოპერაციების განხორციელების შესახებ.

4. სუბიექტი აუთსორსინგული ოპერაციების წარმოებისას ვალდებულია:

ა) სრულად აცნობიერებდეს საინფორმაციო ტექნოლოგიების (IT) აუთსორსინგთან დაკავშირებულ რისკებს. მომსახურების მიმწოდებლის შერჩევამდე უნდა განხორციელდეს მისი შესწავლა შესაძლებლობების, საიმედოობის, გამოცდილებისა და ფინანსური მდგომარეობის დასადგენად;

ბ) დარწმუნდეს, რომ ხელშეკრულების პირობები, რომელიც არეგულირებს მხარეთა ურთიერთობებს, ვალდებულებებსა და პასუხისმგებლობებს, სრულად არის განსაზღვრული წერილობითი ფორმით. ხელშეკრულებით განსაზღვრული მინიმალური მოთხოვნები და პირობები უნდა მოიცავდეს შესრულების მიზნებს, მომსახურების დონეებს, ხელმისაწვდომობასთან, საიმედოობასთან, მასშტაბურობასთან, შესაბამისობასთან, აუდიტთან, უსაფრთხოებასთან, საგანგებო სიტუაციების მართვასთან, საინფორმაციო ტექნოლოგიების აღდგენის შესაძლებლობასთან, სარეზერვო სისტემის დამუშავებასა და მომსახურების შეწყვეტასთან დაკავშირებულ საკითხებს;

გ) გააჩნდეს ხელშეკრულებით განსაზღვრული მომსახურების მიმწოდებლის სისტემებში შენახული მონაცემების დაუყოვნებლად ამოღების ან/და განადგურების უფლებამოსილება და საშუალებები, მომსახურების მიმწოდებელთან ხელშეკრულების ვადის გასვლის/ვადამდე შეწყვეტის შემთხვევაში;

დ) ჰქონდეს აუთსორსინგული ოპერაციების კონტროლისა და მონიტორინგის მექანიზმები;

ე) აწარმოოს სია, სადაც ჩამოთვლილი და აღწერილი იქნება მესამე მხარის მიერ მოწოდებული ის საინფორმაციო სისტემები, რომლებსაც გამოიყენებს.

5. სუბიექტი ვალდებულია, საქმიანობის მთელი პერიოდის განმავლობაში, აკმაყოფილებდეს ამ წესის მე-4 მუხლით განსაზღვრულ ღია ბანკინგში ჩასართავად საჭირო მოთხოვნებს, ამ მუხლსა და სხვა ვალდებულებებს.

2. სუბიექტი ვალდებულია ამ მუხლის პირველი პუნქტით განსაზღვრულ განცხადებასთან ერთად წარადგინოს ამ წესის მე-4 მუხლის პირველი, მე-2, მე-4 (გადახდის ინიციირების მომსახურების განხორციელების შემთხვევაში) პუნქტებითა და მე-5 მუხლის მე-3 პუნქტით გათვალისწინებული ღია ბანკინგში ჩართვის კრიტერიუმების დაკმაყოფილების დამადასტურებელი დოკუმენტაცია/ინფორმაცია.

2. თუ დაინტერესებული პირის მიერ წარდგენილი დოკუმენტაცია/ინფორმაცია არ აკმაყოფილებს ამ ბრძანებით გათვალისწინებულ მოთხოვნებს, ეროვნული ბანკი განუსაზღვრავს მას 30 კალენდარული დღის ვადას ხარვეზის აღმოსაფხვრელად ან/და წარდგენილი მონაცემების დასაზუსტებლად. აღნიშნული ვადის დინება იწყება ეროვნული ბანკის მიერ დაინტერესებული პირისათვის დადგენილი ხარვეზების წერილობითი ფორმით წარდგენის დღიდან. ეროვნული ბანკის მიერ სუბიექტის მიერ წარდგენილ დოკუმენტაციაში ხარვეზების დადგენის ან დამატებითი ინფორმაციის მოთხოვნის თაობაზე წერილის მომზადების დღიდან (წერილის რეგისტრაციის თარიღიდან) ჩერდება ამ მუხლის პირველი პუნქტით გათვალისწინებული ვადის დინება. იგი განახლდება დაინტერესებული პირის მიერ გასწორებული ხარვეზების ან მოთხოვნილი დამატებითი დოკუმენტაციის ეროვნულ ბანკში სრულად წარდგენის შემდეგ.

3. ეროვნული ბანკი უფლებამოსილია, სუბიექტის მიერ წარდგენილი განცხადების განხილვის ნებისმიერ ეტაპზე მოითხოვოს დამატებითი დოკუმენტაცია/ინფორმაცია და განუსაზღვროს მას აღნიშნული ინფორმაციის/დოკუმენტაციის წარდგენის ვადა.

4. ამ ბრძანებით განსაზღვრულ ვადებში, სუბიექტის მიერ გათვალისწინებული ვალდებულების შეუსრულებლობა, ასევე წარდგენილ დოკუმენტაციაში მცდარი ინფორმაციის არსებობა, მისთვის ღია ბანკინგში ჩართვაზე უარის თქმის საფუძველია.

5. თუ სუბიექტის ღია ბანკინგში ჩართვის განცხადებაში ხარვეზების ან დამატებითი ინფორმაციის მოთხოვნის თაობაზე ეროვნული ბანკის მიერ მომზადებული წერილი ორი მცდელობის მიუხედავად ვერ ჩაბარდა დაინტერესებულ პირს, ეროვნული ბანკი უფლებამოსილია წერილის მეორედ ჩაბარების მცდელობის დღიდან 10 კალენდარული დღის ვადის გასვლის შემდეგ უარი განაცხადოს სუბიექტის ღია ბანკინგში ჩართვაზე.

6. ეროვნული ბანკი სუბიექტის ღია ბანკინგში ჩართვის თაობაზე გადაწყვეტილების მიღების შესახებ გამოსცემს ინდივიდუალურ ადმინისტრაციულ-სამართლებრივ აქტს/ხორციელდება შესაბამისი ცვლილება, რომელშიც საქართველოს კანონმდებლობით გათვალისწინებულ სავალდებულო რეკვიზიტებთან ერთად აღინიშნება სუბიექტის დასახელება, საიდენტიფიკაციო ნომერი და თარიღი. აღნიშნული ინდივიდუალური ადმინისტრაციულ-სამართლებრივი აქტის ერთი ასლი გადაეცემა დაინტერესებულ პირს.

7. ღია ბანკინგში ჩართვაზე უარის შემთხვევაში, ეროვნული ბანკი წერილობით აცნობებს აღნიშნულის თაობაზე დაინტერესებულ პირს ღია ბანკინგში ჩართვაზე უარის თქმის მიზეზის მითითებით.