საქართველოს ეროვნული ბანკის საგადახდო სისტემაში ჩართვის წესის დამტკიცების შესახებ

1. საქართველოს ეროვნული ბანკის საგადახდო სისტემაში ჩართვის წესი (შემდგომში – „წესი“) განსაზღვრავს აუცილებელ მოთხოვნებს, რომლებსაც უნდა აკმაყოფილებდეს საქართველოს ეროვნული ბანკის მიერ ლიცენზირებული კომერციული ბანკი, მიკრობანკი, რეგისტრირებული მნიშვნელოვანი საგადახდო მომსახურების პროვაიდერი, საბანკო საქმიანობის ლიცენზიის ან მიკრობანკის საქმიანობის ლიცენზიის მაძიებელი პირი (შემდგომში – „სუბიექტი“) საქართველოს ეროვნული ბანკის ფულადი სახსრების საგადახდო სისტემაში (შემდგომში – „საგადახდო სისტემა“) ჩართვის მიზნით. საგადახდო სისტემაში ჩართული სუბიექტი ვალდებულია, მუდმივად აკმაყოფილებდეს ამ წესით განსაზღვრულ მოთხოვნებს.

2. ეს წესი ვრცელდება ამ მუხლის პირველი პუნქტით განსაზღვრულ სუბიექტებზე, რომლებსაც სურთ საგადახდო სისტემასთან პირდაპირი ტექნიკური ინტეგრაცია საგადახდო სისტემაში  შეტყობინებების შუამავლის გარეშე გაგზავნის და მიღების მიზნით.

3. ამ წესის მიზანია, ერთი მხრივ, მოაწესრიგოს სუბიექტების საგადახდო სისტემაში ჩართვის პროცესი და, მეორე მხრივ, უზრუნველყოს საგადახდო სისტემაში ჩართული სუბიექტების მიერ მიწოდებული მომსახურების გამართულობა, სანდოობა და დაცულობა.

მუხლი 2. საგადახდო სისტემაში მონაწილეობის კრიტერიუმები

1. ამ წესით გათვალისწინებულ მოთხოვნებთან შესაბამისობის შესახებ თანხმობის მისაღებად სუბიექტმა განცხადებით უნდა მიმართოს საქართველოს ეროვნულ ბანკს (შემდგომში – „ეროვნული ბანკი“). განცხადებას თან უნდა ერთოდეს ამ მუხლის მე-2 პუნქტის „ა“ და „ბ“ ქვეპუნქტებით გათვალისწინებულ კრიტერიუმებთან შესაბამისობის დამადასტურებელი კვალიფიციური, დამოუკიდებელი, უახლესი (ბოლო ერთი წლის) აუდიტორული დასკვნა, აგრეთვე ეროვნული ბანკის მოთხოვნის შემთხვევაში, სხვა დაკავშირებული დოკუმენტები.  

2. ამ წესით გათვალისწინებულ მოთხოვნებთან შესაბამისობის უზრუნველყოფის  მიზნით, სუბიექტი უნდა აკმაყოფილებდეს შემდეგ კრიტერიუმებს:

ა) კიბერუსაფრთხოების უზრუნველსაყოფად:

ა.ა) ჰქონდეს ფორმალიზებული პროცესები და ეფექტური კონტროლის მექანიზმები, ჰყავდეს კვალიფიციური თანამშრომლები. კიბერუსაფრთხოების უზრუნველმყოფი ფორმალიზებული პროცესები უნდა ემსახურებოდეს ინფორმაციის დაცვას შენახვის (data-at-rest), მიმოცვლის (data-in-transit), დამუშავებისა (data-in-use) და განადგურების პროცესში;

ა.ბ) დანერგილი ჰქონდეს კიბერუსაფრთხოების რისკების მართვის პოლიტიკა-პროცედურები, რაც დამტკიცებული უნდა იყოს ხელმძღვანელობის მიერ;

ა.გ) ჰქონდეს კიბერუსაფრთხოების რისკების უახლესი რეესტრი მოქმედი კონტროლის მექანიზმების მითითებით, რაც დამტკიცებული უნდა იყოს ხელმძღვანელობის მიერ;

ა.დ) სულ მცირე წელიწადში ერთხელ თანამშრომლებისთვის ჩაატაროს კიბერუსაფრთხოების ცნობიერების ამაღლების ტრენინგები და სიმულაციები;

ა.ე) უზრუნველყოფილი ჰქონდეს ქსელისა და სისტემების უსაფრთხოების ეფექტური კონტროლის მექანიზმები, რაც გულისხმობს უსაფრთხოების კონფიგურაციების მართვას, ასევე შეღწევის დეტექციისა და პრევენციის მექანიზმების არსებობას;

ა.ვ) უზრუნველყოფილი ჰქონდეს მის მფლობელობაში არსებული ინფორმაციის, მათ შორის, მომხმარებლების პერსონალური მონაცემებისა და ფინანსური ტრანზაქციების ამსახველი ინფორმაციის, კონფიდენციალურობის, მთლიანობისა და ხელმისაწვდომობის დაცვის ეფექტური კონტროლის მექანიზმები, მათ შორის, მონაცემთა შიფრაცია;

ა.ზ) უზრუნველყოფილი ჰქონდეს სისტემების განვითარების სასიცოცხლო ციკლის ეფექტური მართვა;

ა.თ) უზრუნველყოფილი ჰქონდეს წვდომების მართვის ეფექტური მექანიზმები, ძლიერი ავთენტიფიკაციის, როლებისა და პასუხისმგებლობების შესაბამისად;

ა.ი) აწარმოოს სისტემებსა და ინფორმაციაზე წვდომის ამსახველი სააღრიცხვო ჩანაწერები (ე.წ. ლოგები), განახორციელოს მათი მონიტორინგი;

ა.კ) უნდა განახორციელოს შეღწევადობის ტესტირება ქსელში ჩართულ ყველა სისტემაზე. შეღწევადობის ტესტირება უნდა განხორციელდეს მაღალკვალიფიციური და გამოცდილი სპეციალისტების მიერ;

ა.ლ) სულ მცირე წელიწადში ორჯერ განახორციელოს ქსელის სისუსტეებზე სკანირება;

ა.მ) დანერგილი ჰქონდეს სისტემების შეფერხებებსა და კიბერშეტევებზე რეაგირების გეგმები;

ა.ნ) დანერგილი ჰქონდეს კიბერუსაფრთხოების ინციდენტების მართვის პოლიტიკა-პროცედურა, რომელიც ასევე უნდა ითვალისწინებდეს ეროვნულ ბანკთან ინფორმაციის მყისიერად გაზიარებას;

ბ) ხელმძღვანელობის მიერ დამტკიცებული და დანერგილი ჰქონდეს საოპერაციო რისკების მართვის პოლიტიკა-პროცედურები, რომლებიც  სულ მცირე უნდა მოიცავდეს:

ბ.ა) საოპერაციო რისკების მართვაზე პასუხისმგებელი სტრუქტურული ერთეულის/პირის პასუხისმგებლობას და უფლება-მოვალეობებს;

ბ.ბ) საოპერაციო რისკების  იდენტიფიკაციის, აღრიცხვის, ანალიზის, ესკალაციის,  შეფასებისა და მიტიგაციის ინსტრუმენტებს;

ბ.გ) კონტროლისა და მონიტორინგის პრევენციულ და დეტექციურ პროცედურებსა და მექანიზმებს, რაც თავის მხრივ მოიცავს საგადახდო სისტემებში თაღლითური ოპერაციების გამოვლენისა და მინიმიზაციის ინსტრუმენტებს;

ბ.დ) თაღლითობის რისკის მართვის პოლიტიკა-პროცედურას;

ბ.ე) რისკის რუქისა და რისკის ძირითადი ინდიკატორების განსაზღვრას, მონიტორინგს და რეაგირების ღონისძიებებს, რაც თავის მხრივ მოიცავს საგადახდო სისტემებთან ინტეგრაციის  პროცესებს;

ბ.ვ) ბიზნესუწყვეტობის მართვას, მათ შორის, უბედური შემთხვევებისგან აღდგენის კომპონენტით. სუბიექტს შემუშავებული და ფორმალიზებული უნდა ჰქონდეს ბიზნესუწყვეტობის გეგმა (BCP), რომელიც ასევე მოიცავს საგადახდო სისტემის ბიზნესპროცესების უწყვეტობის მართვას და მასთან დაკავშირებული საინფორმაციო ტექნოლოგიების ინფრასტრუქტურის აღდგენის გეგმასაც (DRP). ბიზნესუწყვეტობის გეგმაში გამოყენებული უნდა იქნეს სცენარული ანალიზის მიდგომები, რისკზე ორიენტირებული კრიტიკული სცენარებით, შესაბამისი შეფასებებითა და აღდგენის პროცედურებით. სცენარებში გათვალისწინებული უნდა იყოს კრიტიკული შიდა/გარე მხარეები, აუთსორსინგული პროცესები და სერვისის მიმწოდებლები. სცენარი უნდა დაექვემდებაროს თვისებრივ და რაოდენობრივ შეფასებას (მაგ., ბიზნესის ზემოქმედების ანალიზს – BIA). სცენარებში განსაზღვრული უნდა იყოს პროცესების აღდგენის მიზნობრივი დრო (RTO) და აღდგენის მიზნობრივი მაჩვენებელი (RPO). ბიზნესუწყვეტობის გეგმის ტესტირება უნდა განხორციელდეს რეგულარულად, სულ მცირე წელიწადში ერთხელ. ტესტირების შედეგები უნდა იყოს აღრიცხული და ფორმალიზებული. სუბიექტმა უნდა განახორციელოს ბიზნესუწყვეტობის გეგმის გადახედვა და პერიოდული განახლება;

ბ.ზ) სიზუსტის რისკის მართვას, რაც მოიცავს პროცესთან დაკავშირებული მონაცემების და ანგარიშგების სიზუსტის უზრუნველყოფას;

ბ.თ) საგადახდო სისტემის ფარგლებში ხელით შესრულებული პროცესების აღრიცხვას, მათი ზეგავლენის შეფასებას საოპერაციო რისკზე;

ბ.ი) მსხვილი საოპერაციო რისკების შეტყობინების პროცედურას;

ბ.კ) ახალი პროდუქტების, საქმიანობის, პროცესების და სისტემების შეფასებისა და დამტკიცების პოლიტიკა-პროცედურებს;

ბ.ლ) საგადახდო სისტემის მნიშვნელოვანი ან/და კრიტიკული აუთსორსინგული პროცესების რისკების შეფასებას, მართვას და მონიტორინგს;

ბ.მ) საინფორმაციო სისტემების და ტექნოლოგიების ადეკვატურობის და უსაფრთხოების პოლიტიკა-პროცედურებს, რაც ასევე ითვალისწინებს რეგულარულად, ასევე რისკზე დაფუძნებული მიდგომით, მნიშვნელოვანი ცვლილებისას, საგადახდო სისტემებთან დაკავშირებული საინფორმაციო სისტემების და ტექნოლოგიების დამოუკიდებელ შეფასებას;

ბ.ნ) საოპერაციო რისკების შესახებ ცნობიერების და კვალიფიკაციის ამაღლების პერიოდული ღონისძიებების გეგმას;

ბ.ო) საოპერაციო რისკების პოლიტიკა-პროცედურების რეგულარული გადახედვის და განახლების საკითხებს;

გ) დანერგილი ჰქონდეს ფულის გათეთრებისა და ტერორიზმის დაფინანსების აღკვეთის ხელშეწყობის, ასევე, სანქციების რეჟიმების დაცვის მიზნით შემუშავებული პოლიტიკა-პროცედურები. ამასთან, საგადახდო სისტემაში ჩართვა არ ათავისუფლებს საგადახდო სისტემაში ჩართულ სუბიექტებს ერთმანეთის მიმართ  ფულის გათეთრებისა და ტერორიზმის დაფინანსების აღკვეთის ხელშეწყობის შესახებ კანონმდებლობის და სანქციების რეჟიმებით დადგენილი მოთხოვნების შესრულების ვალდებულებებისგან;

დ) თუ სუბიექტი გეგმავს ან აწარმოებს ტრანსსასაზღვრო გადარიცხვებს, მას უნდა ჰქონდეს SWIFT სისტემაში რეგისტრირებული დაკავშირებული (connected) BIC კოდი, ხოლო სხვა შემთხვევაში დასაშვებია არადაკავშირებული (non-connected) BIC კოდის ქონა.

3. იმ შემთხვევაში, თუ სუბიექტი სარგებლობს საგადახდო სისტემის აუთსორსინგული მომსახურებით, ის ვალდებულია ამ მუხლის მე-2 პუნქტის „ა“ ქვეპუნქტით განსაზღვრული კიბერუსაფრთხოების მოთხოვნები გაავრცელოს ასევე აუთსორსინგული მომსახურების მიმწოდებელზე და ეროვნულ ბანკს წარუდგინოს აუთსორსინგული მომსახურების მიმწოდებლის აღნიშნულ მოთხოვნებთან შესაბამისობის შესახებ კვალიფიციური, უახლესი (ბოლო ერთი წლის), დამოუკიდებელი აუდიტორული დასკვნა. 

მუხლი 3. სუბიექტის დადგენილ მოთხოვნებთან შესაბამისობის შესახებ გადაწყვეტილების მიღება

1. ეროვნული ბანკი სუბიექტის მიერ ამ წესის მე-2 მუხლის პირველი პუნქტით გათვალისწინებული განცხადებისა და შესაბამისი დოკუმენტაციის/ინფორმაციის მიღებიდან 60 (სამოცი) კალენდარული დღის ვადაში იღებს გადაწყვეტილებას სუბიექტის ამ წესით გათვალისწინებულ მოთხოვნებთან შესაბამისობის შესახებ.

2. იმ შემთხვევაში, თუ ამ წესის მე-2 მუხლის პირველი პუნქტით გათვალისწინებულ აუდიტორულ დასკვნაში წარმოდგენილი იქნება კრიტიკული ან/და მაღალი რისკის შემცველი შეუსაბამობა ამავე წესის მე-2 მუხლის მე-2 პუნქტის „ა“ ან/და „ბ“ ქვეპუნქტებით დადგენილ მოთხოვნებთან ან/და შეღწევადობის ტესტირების ანგარიშში წარმოდგენილი იქნება კრიტიკული ან/და მაღალი რისკის შემცველი სისუსტე, ეროვნული ბანკი მიიღებს უარყოფით გადაწყვეტილებას სუბიექტის ამ წესით გათვალისწინებულ მოთხოვნებთან შესაბამისობის შესახებ.

3. თუ დაინტერესებული პირის მიერ წარდგენილი დოკუმენტაცია/ინფორმაცია არ აკმაყოფილებს ამ წესით გათვალისწინებულ მოთხოვნებს, გარდა ამ მუხლის მე-2 პუნქტით გათვალისწინებული შემთხვევებისა, ეროვნული ბანკი განუსაზღვრავს მას 30 (ოცდაათი) კალენდარული დღის ვადას ხარვეზის აღმოსაფხვრელად ან/და წარდგენილი მონაცემების დასაზუსტებლად. აღნიშნული ვადის დინება იწყება ეროვნული ბანკის მიერ დაინტერესებული პირისთვის დადგენილი ხარვეზების წერილობითი ფორმით წარდგენის დღიდან. ეროვნული ბანკის მიერ დაინტერესებული პირის მიერ წარდგენილ დოკუმენტაციაში ხარვეზების დადგენის ან დამატებითი ინფორმაციის მოთხოვნის თაობაზე წერილის მომზადების დღიდან (წერილის რეგისტრაციის თარიღიდან) ჩერდება ამ მუხლის პირველი პუნქტით გათვალისწინებული ვადის დინება. იგი განახლდება დაინტერესებული პირის მიერ გასწორებული ხარვეზების ან მოთხოვნილი დამატებითი დოკუმენტაციის ეროვნულ ბანკში სრულად წარდგენის შემდეგ.

4. ეროვნული ბანკი უფლებამოსილია დაინტერესებული პირის მიერ წარდგენილი განცხადების განხილვის ნებისმიერ ეტაპზე მოითხოვოს დამატებითი დოკუმენტაცია/ინფორმაცია და განუსაზღვროს მას აღნიშნული დოკუმენტაციის/ინფორმაციის წარდგენის ვადა.

5. ამ წესით განსაზღვრულ ვადებში სუბიექტის მიერ გათვალისწინებული ვალდებულების შეუსრულებლობის, ასევე წარდგენილ დოკუმენტაციაში მცდარი ინფორმაციის არსებობის შემთხვევაში ეროვნული ბანკი იღებს უარყოფით გადაწყვეტილებას სუბიექტის ამ წესით გათვალისწინებულ მოთხოვნებთან შესაბამისობის შესახებ.

6. თუ სუბიექტის საგადახდო სისტემაში ჩართვის განცხადებაში ხარვეზების ან დამატებითი ინფორმაციის მოთხოვნის თაობაზე ეროვნული ბანკის მიერ მომზადებული წერილი ორი მცდელობის მიუხედავად ვერ ჩაჰბარდა დაინტერესებულ პირს, ეროვნული ბანკი უფლებამოსილია წერილის მეორედ ჩაბარების მცდელობის დღიდან 10 (ათი) კალენდარული დღის ვადის გასვლის შემდეგ მიიღოს უარყოფითი გადაწყვეტილება სუბიექტის ამ წესით გათვალისწინებულ მოთხოვნებთან შესაბამისობის შესახებ.

7. ეროვნული ბანკი სუბიექტის ამ წესით გათვალისწინებულ მოთხოვნებთან შესაბამისობის შესახებ დადებით გადაწყვეტილებას წერილობით აცნობებს სუბიექტს. ეროვნული ბანკის მიერ დადებითი გადაწყვეტილების მიღების შემთხვევაში საგადახდო სისტემაში ჩართვის პროცესი წარიმართება ეროვნული ბანკის მიერ დადგენილი წესების შესაბამისად.

8. სუბიექტის ამ წესით გათვალისწინებულ მოთხოვნებთან შესაბამისობის შესახებ უარყოფით გადაწყვეტილებას ეროვნული ბანკი წერილობით აცნობებს სუბიექტს უარის თქმის მიზეზის მითითებით.

9.  ეროვნული ბანკის გადაწყვეტილებით სუბიექტის საგადახდო სისტემაში ჩართვის პროცესი შეწყდება, თუ სუბიექტი ვეღარ აკმაყოფილებს ამ წესის მე-2 ან/და მე-4 მუხლებით  გათვალისწინებულ მოთხოვნებს ან/და იგი აღარ წარმოადგენს ეროვნული ბანკის ზედამხედველობისადმი დაქვემდებარებულ სუბიექტს.

10. ეროვნული ბანკი უფლებამოსილია, შეუჩეროს ან გაუუქმოს სუბიექტს საგადახდო სისტემაში მონაწილეობის უფლება დროის განსაზღვრული ან განუსაზღვრელი ვადით, თუ სუბიექტი ვეღარ აკმაყოფილებს ამ წესის მე-2 ან/და მე-4 მუხლებით გათვალისწინებულ მოთხოვნებს ან/და იგი აღარ წარმოადგენს ეროვნული ბანკის ზედამხედველობისადმი დაქვემდებარებულ სუბიექტს.

11. ეროვნული ბანკი უფლებამოსილია, საკუთარი შეხედულებისამებრ, ამ მუხლის მე-10 პუნქტით გათვალისწინებულ შემთხვევაში სუბიექტს დაუდგინოს საგადახდო სისტემაში მონაწილეობის შეჩერების ან გაუქმების მიზეზების აღმოსაფხვრელი ვადა.

მუხლი 4. საგადახდო სისტემაში მონაწილეობა და სუბიექტის ვალდებულებები

1. საგადახდო სისტემაში მონაწილეობის პროცესში სუბიექტი ვალდებულია:

ა) სულ მცირე წელიწადში ერთხელ განახორციელოს ინფორმაციული უსაფრთხოების, მათ შორის, ძირითადი IT კონტროლების საოპერაციო ეფექტურობის დამოუკიდებელი, კვალიფიციური აუდიტი. აუდიტი უნდა ითვალისწინებდეს სუბიექტის ზომას და კომპლექსურობას. აუდიტის კრიტერიუმად გამოყენებული უნდა იქნეს აღიარებული დარგობრივი სტანდარტები ან/და ჩარჩო (ISO, COBIT). აღნიშნული აუდიტი უნდა განხორციელდეს დამოუკიდებელი და მიუკერძოებელი აუდიტორული კომპანიის მიერ, რომელსაც უნდა გააჩნდეს ფართო გამოცდილება ინფორმაციული უსაფრთხოების, მათ შორის, ძირითადი IT კონტროლების საოპერაციო ეფექტურობის, შემოწმების მიმართულებით;

ბ) ყოველწლიურად განახორციელოს შეღწევადობის ტესტირება, რომელიც, სულ მცირე, მოიცავს საგადახდო სისტემაში მონაწილე და მასთან დაკავშირებულ ინფრასტრუქტურასა და სისტემას. აღნიშნული უნდა განახორციელოს ასევე მნიშვნელოვანი IT ცვლილების შემთხვევაში. შეღწევადობის ტესტირება უნდა განხორციელდეს მაღალკვალიფიციური და გამოცდილი სპეციალისტების მიერ.

2. სუბიექტი ვალდებულია საგადახდო სისტემაში მონაწილეობის მთელი პერიოდის განმავლობაში აკმაყოფილებდეს ამ წესის მე-2 მუხლით განსაზღვრულ მოთხოვნებს, ამ მუხლსა და სხვა ვალდებულებებს.

3. საგადახდო სისტემაში მონაწილეობის პერიოდში სუბიექტი ვალდებულია წელიწადში ერთხელ ეროვნულ ბანკს წარუდგინოს ამ წესის მე-2 მუხლის მე-2 პუნქტის „ა“ ქვეპუნქტით გათვალისწინებულ კრიტერიუმებთან შესაბამისობის დამადასტურებელი კვალიფიციური, დამოუკიდებელი აუდიტორული დასკვნა, აგრეთვე, ეროვნული ბანკის მოთხოვნის შემთხვევაში, სხვა დაკავშირებული დოკუმენტები. ეროვნული ბანკი უფლებამოსილია, რისკზე დაფუძნებული მიდგომის საფუძველზე, სუბიექტს მოსთხოვოს ამ წესის მე-2 მუხლის მე-2 პუნქტის „ბ“ ქვეპუნქტით გათვალისწინებულ კრიტერიუმებთან შესაბამისობის დამადასტურებელი კვალიფიციური, დამოუკიდებელი აუდიტორული დასკვნა, აგრეთვე, საჭიროების შემთხვევაში, სხვა დაკავშირებული დოკუმენტები.

მუხლი 5. საზედამხედველო ზომები ან/და სანქციები

ამ წესით გათვალისწინებული მოთხოვნების დარღვევის შემთხვევაში ეროვნული ბანკი უფლებამოსილია, გამოიყენოს საქართველოს კანონმდებლობით განსაზღვრული საზედამხედველო ზომები ან/და სანქცია (მათ შორის, ფულადი ჯარიმა).