Sign in to follow this  
UnionPay

Правила China UnionPay в России

Recommended Posts

UnionPay    1


При выполнении любого из следующих условий инцидент квалифицируется как Инцидент Первого Уровня:
раскрыта информация о более чем 1 000 карточных счетов Карт UnionPay;
сумма убытков превышает эквивалент 5 000 000 долларов США.
Инцидент Второго Уровня
При выполнении любого из следующих условий инцидент квалифицируется как Инцидент Второго Уровня:
раскрыта информация о более чем 600, но менее чем 999 (включительно) карточных счетах Карт UnionPay;
сумма убытков находится в диапазоне от эквивалента 1 000 000 долларов США до эквивалента 5 000 000 долларов США.
Инцидент Третьего Уровня
При выполнении любого из следующих условий инцидент квалифицируется как Инцидент Третьего Уровня:
раскрыта информация о более чем 200, но менее чем 599 (включительно) карточных счетах Карт UnionPay;
сумма убытков находится в диапазоне от эквивалента 300 000 долларов США до эквивалента 1 000 000 долларов США.
Инцидент Четвёртого Уровня
При выполнении любого из следующих условий инцидент квалифицируется как Инцидент Четвёртого Уровня:
раскрыта информация о менее чем 200 карточных счетах Карт UnionPay;
сумма убытков составляет менее эквивалента 300 000 долларов США.
Если инцидент относится к разным уровням по количеству счетов, информация о которых была раскрыта, и по сумме убытков, его следует отнести к более высокому из этих уровней (при этом самым высоким является первый уровень).
Штрафные санкции
Штрафные санкции за раскрытие информации
Следующие штрафные санкции начисляются и налагаются Оператором платежной системы по его усмотрению на сторону, виновную в раскрытии информации, в зависимости от классификации инцидента:
Уведомление
Оператор платежной системы направляет в адрес всех Участников и Операторов услуг платежной инфраструктуры уведомление об инциденте с указанием виновной стороны.
Расследование и обучение
Виновная сторона обязана в течение одного месяца предоставить отчёт об устранении нарушения в сфере управления безопасностью и защиты информации, а также дать согласие на проведение Оператором платежной системы соответствующего расследования и обучения сотрудников такой стороны. Виновная сторона несёт все связанные с этим расходы, которые ни при каких обстоятельствах не должны превышать эквивалента 20 000 долларов США.
Возмещение ущерба
В случае раскрытия информации виновная сторона обязана выплатить Эмитентам эквивалент 10 долларов США за каждую карту независимо от общей суммы ущерба. Для Инцидента Первого Уровня общая сумма возмещения убытков не превышает эквивалент 400 000 долларов США.
Если выполнены все перечисленные ниже условия, виновная сторона может выплатить Эмитенту эквивалент 6 долларов США за каждую карту в случае раскрытия информации. При этом для Инцидента Первого Уровня общая сумма возмещения убытков не превышает эквивалента 300 000 долларов США:
виновная сторона сама выявила инцидент и сообщила о нём Оператору платежной системы;
письменный отчёт представлен Оператору платежной системы до того, как об инциденте сообщали другие Участники или Операторы услуг платежной инфраструктуры;
соответствующее решение принято Оператором платежной системы.
Во избежание увеличения масштабов ущерба Эмитенты принимают определённые меры, и в том числе заменяют карты и блокируют платежи по картам, в отношении которых имело место раскрытие информации, в течение 3 месяцев с момента получения уведомления от Оператора платежной системы.
Штраф
В случае причинения ущерба другим Участникам, Операторам услуг платежной инфраструктуры или Оператору платежной системы вследствие раскрытия информации о счетах на виновную сторону могут быть наложены следующие штрафы:
Для Инцидента Первого Уровня сумма штрафа составляет 25% от суммы совокупных убытков, понесённых пострадавшими сторонами, причём общая максимальная сумма не должна превышать эквивалента 500 000 долларов США. Вся сумма штрафа распределяется между пострадавшими сторонами исходя из процентного соотношения понесённых ими убытков.
Для Инцидента Второго Уровня сумма штрафа составляет 25% от суммы совокупных убытков, понесённых пострадавшими сторонами, причём общая максимальная сумма не должна превышать эквивалента 300 000 долларов США. Вся сумма штрафа распределяется между пострадавшими сторонами исходя из процентного соотношения понесённых ими убытков.
Для Инцидента Третьего Уровня сумма штрафа составляет 25% от суммы совокупных убытков, понесённых пострадавшими сторонами, причём общая максимальная сумма не должна превышать эквивалента 200 000 долларов США. Вся сумма штрафа распределяется между пострадавшими сторонами исходя из процентного соотношения понесённых ими убытков.
Для Инцидента Четвёртого Уровня сумма штрафа составляет 25% от суммы совокупных убытков, понесённых пострадавшими сторонами. Вся сумма штрафа распределяется между пострадавшими сторонами исходя из процентного соотношения понесённых ими убытков.
После обнародования Оператора платежной системы уведомления о Картах UnionPay, в отношении которых в результате инцидента имело место раскрытие информации, Эмитенты не вправе требовать компенсации убытков за мошенническое использование таких карт в течение 3 месяцев после такого уведомления.
Дополнительные штрафные санкции за повторное раскрытие информации
Если виновная сторона допустила ещё повторный инцидент раскрытия информации в течение 1 года с момента предыдущего инцидента, помимо штрафных санкций, установленных Оператором платежной системы в соответствии с разделом 4.10.4.1 Правил, на неё налагается дополнительный штраф в размере эквивалента 100 000 долларов. США. Вся сумма дополнительного штрафа распределяется между пострадавшими сторонами исходя из процентного соотношения понесённых ими убытков.
Штрафные санкции за несоблюдении требований безопасности и защиты информации
Следующие штрафные санкции начисляются и налагаются на сторону, виновную в несоблюдении требований безопасности и защиты информации:
Если в ходе расследования в сфере безопасности и защиты информации установлено, что Участник или Оператор услуг платежной инфраструктуры не соблюдает или не выполняет требования безопасности, такой Участник или Оператор услуг платежной инфраструктуры обязан представить план устранения нарушений и дать согласие на проведение повторного расследования в соответствии с письменным уведомлением Оператора платежной системы. Участник или Оператор услуг платежной инфраструктуры несёт связанные с этим расходы, включая расходы на проезд и проживание, а также другие расходы, непосредственно связанные с расследованием, общая сумма которых ни при каких обстоятельствах не должна превышать эквивалент 20 000 долларов США.
Если в ходе повторного расследования установлено, что Участник или Оператор услуг платежной инфраструктуры не соблюдает требования безопасности и защиты информации, на такого Участника или Оператора услуг платежной инфраструктуры налагается штраф в размере эквивалента 50 000 долларов США. Сумма такого штрафа направляется Оператором платёжной системы на проведения расследования и обучения в сфере управления информацией о счетах.
Если Участник или Оператор услуг платежной инфраструктуры отказывается уплатить штраф или принять меры по устранению нарушений и продолжает делать это после завершения судебного разбирательства, Оператор платежной системы вправе прекратить участие такого Участника в Платежной системе UnionPay или расторгнуть соглашение с таким Оператором услуг платежной инфраструктуры.
Определение виновной стороны и инициирование штрафных санкций
В случае наступления описанных выше событий, Оператор платежной системы инициирует процедуру принятия жалоб, проведения расследований, сбора доказательств, выявления фактов и осуществления других необходимых действий.
Освобождение от штрафных санкций
Виновная сторона, несущая ответственность за любой инцидент раскрытия информации, может быть освобождена от штрафных санкций, если она выполняла требования безопасности и защиты информации в соответствии с Правилами.
Система управления рисками
Модель управления рисками
Согласно статье 28 Закона о НПС, Оператор платёжной системы определил следующую организационную модель управления рисками: распределение функций по оценке и управлению рисками между Оператором платежной системы, Операторами услуг платежной инфраструктуры и Участниками.
Оператор платёжной системы определяет собственную структуру управления рисками и функциональные обязанности лиц, ответственных за управление рисками (либо соответствующих структурных подразделенийt).
Участники и Операторы услуг платёжной инфраструктуры самостоятельно определяют в рамках своей деятельности в качестве субъекта Платежной системы UnionPay собственную структуру управления рисками и функциональные обязанности лиц, ответственных за управление рисками, либо соответствующих структурных подразделений, принимая во внимание требования законодательства Российской Федерации, требования Банка России и рекомендаций, изложенных в Правилах.
Правила содержат общие принципы управления рисками. Для организации деятельности по управлению рисками Оператор платежной системы разрабатывает и утверждает внутренние документы в области управления рисками. Внутренние документы могут детализировать принципы управления рисками, а также содержать дополнительные мероприятия и способы управления рисками.
Оператор платежной системы направляет Участникам и Операторам услуг платежной инфраструктуры внутренние документы, касающиеся управления рисками и выполнения Участниками и Операторами услуг платежной инфраструктуры своих функций в части управления рисками и снижения вероятности возникновения неблагоприятных последствий для бесперебойности функционирования Платежной системы UnionPay.
Организационная структура управления рисками
Функции по управлению рисками в Платежной системе UnionPay выполняются следующими структурными подразделениями и сотрудниками Оператора платёжной системы в соответствии с их полномочиями:
Генеральным директором Оператора платежной системы;
Заместителем генерального директора;
Руководителем и сотрудниками Департамента по управлению рисками;
другими подразделениями и сотрудниками Оператора платежной системы в рамках их должностных обязанностей.
Информация о рисках регулярно доводится до сведения Генерального директора Оператора платежной системы лицами и подразделениями Оператора платежной системы в соответствии с их обязанностями в виде отчетов. Состав и порядок предоставления информации определяется в положениях, приказах, должностных инструкциях, а также в соответствующих внутренних документах Оператора платежной системы и включает в себя, помимо прочего, отчеты о реализации управления рисками в соответствии с разделом 5.7 Правил. Соответствующие отчеты предоставляются для рассмотрения Генеральному директору каждые три месяца.
Функциональные обязанности по управлению рисками
Структурные подразделения и сотрудники, ответственные за управление рисками в Платёжной системе UnionPay, выполняют следующие функциональные обязанности:
обеспечение бесперебойности функционирования Платёжной системы UnionPay;
регулярный контроль за уровнем рисков Платёжной системы UnionPay;
реагирование на изменение уровня рисков Платёжной системы UnionPay;
контроль за соблюдением Правил Участниками и Операторами услуг платёжной инфраструктуры;
внесение изменений в Правила в целях совершенствования системы управления рисками Платёжной системы UnionPay;
мониторинг и оценка рисков в Платежной системе UnionPay, включая мониторинг и оценку деятельности Операторов услуг платежной инфраструктуры и Участников;
регулярная оценка уровня риска по каждому выявленному виду рисков;
исполнение иных обязанностей в целях управления рисками в Платёжной системе UnionPay.
Распределение обязанностей по управлению рисками между подразделениями и сотрудниками Оператора платёжной системы устанавливается Оператором платёжной системы во внутренних положениях, приказах, должностных инструкциях и иных внутренних документах Оператора платёжной системы.
Управление рисками Операторами услуг платежной инфраструктуры и Участниками
Создание внутреннего механизма управления рисками
Операторы услуг платежной инфраструктуры и Участники обязаны назначить структурное подразделение и сотрудников, ответственных за управление рисками, связанными с проведением операций по Картам UnionPay. Такое управление рисками включает в себя, помимо прочего, следующие аспекты:
разработка и реализация внутренних правил и принципов управления рисками;
анализ и усовершенствование внутреннего аудита процесса реализации системы управления рисками;
обеспечение безопасности систем и оборудования обработки Карт UnionPay;
обеспечение безопасности перевода денежных средств, защиты информации о счетах и данных по операциям;
создание системы контроля за проведением операций;
расследование и урегулирование событий наступления рисков.
Контактные данные сотрудников, ответственных за управление рисками
Каждый Оператор услуг платежной инфраструктуры (если применимо) и Участник обязан предоставить текущий перечень и контактные данные сотрудников и внутренних подразделений, ответственных за осуществление следующих действий:
проверка потенциальных ТСП;
создание и контроль деятельности систем раннего выявления мошеннических операций, проводимых с использованием счетов Держателей карт и ТСП;
расследование всех случаев мошенничества с использованием Карт UnionPay;
проведение расследований по запросам других Операторов услуг платежной инфраструктуры или Участников;
взаимодействие с правоохранительными органами;
проведение программ по обучению Держателей карт и сотрудников ТСП;
поддержание контактов с сотрудниками Оператора платежной системы, ответственными за управление рисками;
информирование Оператора платежной системы обо всех подтверждённых мошеннических операциях.
Противодействие легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма
Оператор платежной системы, Операторы услуг платежной инфраструктуры и Участники должны обеспечить соответствие всех проводимых ими операций и всех осуществляемых ими видов деятельности требованиям Федерального закона от 07 августа 2001 года № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» и иных номартивно-правовых актов Российской Федерации о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.
Контроль за соблюдением банковским платежным агентом условий его привлечения, а также законодательства о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, осуществляется непосредственно самим Эквайрером, заключившим с банковским платежным агентом соответствующий договор.
Контроль за аналогичной деятельностью банковского платежного субагента осуществляется банковским платежным агентом, привлекшим такого банковского платежного субагента в соответствии с действующим законодательством Российской Федерации и соответствующим договором между банковским платежным агентом и Эквайрером.
Способы управления рисками в Платежной системе UnionPay
Способы управления рисками определяются Оператором платежной системы с учетом особенностей организации Платежной системы UnionPay, модели управления рисками, процедур платежного клиринга и расчетов по итогам клиринга, количества переводов денежных средств и их сумм, времени окончательного расчета.
Система управления рисками предусматривает следующие способы управления рисками:
обеспечение возможности предоставления кредита;
использование безотзывных банковских гарантий или аккредитива;
использование иного обеспечения в порядке, предусмотренном разделом 5.12.3 Правил;
другие способы управления рисками, предусмотренные Правилами.
Основные этапы управления рисками
Идентификация риска - выявление риска, определение причин и предпосылок, которые могут повлиять на бесперебойность функционирования Платежной системы UnionPay.
Анализ и оценка риска - анализ информации, полученной в результате идентификации риска, определение вероятности наступления рисковых событий, влияющих на бесперебойность функционирования Платежной системы UnionPay.
Разработка и проведение мероприятий по ограничению, снижению, предупреждению риска.
Мониторинг уровня риска - выявление событий, способствующих изменению степени подверженности риску, уровня риска, отслеживание динамики характеризующих уровень риска показателей с целью выявления отклонений и определению тенденций в изменении уровня риска;
Виды рисков в Платежной системе UnionPay
В рамках системы управления рисками в Платежной системе UnionPay выделяются следующие виды рисков, подлежащие оценке и мониторингу:
финансовый риск (включая кредитный риск и риск потери ликвидности);
операционный риск;
репутационный риск.
Финансовый риск
Финансовый риск - это риск возникновения финансовых потерь (убытков), могущих повлиять на бесперебойность функционирования Платежной системы UnionPay, в результате того, что Участник в связи с недостатком или отсутствием денежных средств не произведет полного расчета по обязательствам перед другими Участниками.
Источниками финансового риска являются недостаточность (отсутствие) средств у Участника для своевременного выполнения им своих расчетных обязательств, финансовая несостоятельность Участника, концентрация значительного объема расчетных документов в определенные моменты и (или) периоды времени в течение дня, вероятность возникновения которых обусловлена разрывом во времени между моментами приема расчетных документов для проверки на соответствие установленным правилам и проведением расчетов по этим документам.
Локализацией (местом проявления) финансового риска является банковские счета прямых Участников, открытых у Расчетного центра, банковские счета косвенных участников, открытых у прямых Участников, показатели состояния этих банковских счетов, контроль за которыми позволяет выявить предпосылки реализации финансового риска.
Формами реализации финансового риска являются нежелательные изменения показателей, характеризующих несвоевременность проведения Участником расчетов – время задержки исполнения расчетных документов, отсутствие денежных средств на банковских счетах Участников, невозможность использования имеющихся на этих банковских счетах остатков денежных средств, невозможность исполнения Участником своих обязательств в Платежной системе UnionPay.
Вероятность реализации в Платежной системе UnionPay финансового риска и уровень потенциальных потерь в Платежной системе UnionPay, оцениваются как низкие вследствие применения эффективных процедур контроля уровня принимаемых Платежной системой UnionPay рисков.
Размер потенциальных негативных потерь для Платежной системы UnionPay в результате реализации финансового риска является допустимым. Неисполнение Участником финансовых обязательств не влияет на проведение расчетов по итогам клиринга в Платежной системе UnionPay в целом.
В целях управления финансовым риском в Платежной системе UnionPay в режиме реального времени производится мониторинг достаточности средств Участников для исполнения своих обязательств. Кроме того, снижение вероятности реализации финансового риска достигается за счет предъявления и соблюдения требований к финансовой устойчивости Участников, мониторинга текущего финансового состояния Участников, соблюдения принципов расчетов Платежной системы UnionPay.
Общие принципы управления финансовым риском состоят в контроле соблюдения Оператором платежной системы и Расчетным центром процедур:
выполнение Участниками требований по финансовому обеспечению расчетов в Платежной системе UnionPay;
соблюдения Расчетным центром процедуры списания средств Участником со счета в Расчетном центре.
Операционный риск
Операционный риск - риск возникновения финансовых потерь (убытков), могущий повлиять на бесперебойность функционирования Платежной системы UnionPay, в результате несоответствия характера и масштаба деятельности Платежной системы UnionPay требованиям действующего законодательства Российской Федерации, Правилам, внутренних порядков и процедур проведения операций в рамках Платежной системы UnionPay, их нарушения сотрудниками Участников и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик), применяемых в Платежной системе UnionPay информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий.
Внутренними и внешними факторами (источниками) операционного риска являются:
случайные или преднамеренные действия физических и (или) юридических лиц, направленные против интересов Платежной системы UnionPay;
несовершенство организационной структуры Участников в части распределения полномочий подразделений и сотрудников, порядков и процедур совершения операций в рамках Платежной системы UnionPay, их документирования и отражения в учете;
несоблюдение сотрудниками Участников установленных порядков и процедур, неэффективность внутреннего контроля;
сбои в функционировании информационных систем и оборудования;
неблагоприятные внешние обстоятельства, находящиеся вне контроля Оператора платежной системы.
Локализацией (местом проявления) операционного риска является структурные подразделения и аппаратно-программные комплексы Участников, в разрезе которых осуществляется контроль проявления операционного риска.
Формами реализации операционного риска являются нарушение функционирования Платежной системы UnionPay в результате нарушения работоспособности аппаратно-программных комплексов Участников, выполнения недопустимых операций или ошибочного выполнения операций в Платежной системы UnionPay.
Вероятность реализации в Платежной системе UnionPay операционного риска оценивается как средняя. Оценка обусловлена характером, усложненным прогнозированием и многообразием как факторов, оказывающих влияние на реализацию риска, так и источников его реализации (а именно: внешние факторы, человеческий фактор, технологии, системы, оборудование).
Уровень потерь в реализации операционного риска оценивается как допустимый на основании статистического анализа денежных выплат и компенсаций Участникам, Операторам услуг платежной инфраструктуры и/или третьим лицам на основании решений (постановлений) судебных, надзорных органов, в досудебном или судебном порядке, затрат на восстановление функционирования и устранения последствий реализации операционного риска.
Общие принципы управления операционным риском состоят в применении Оператором платежной системы и Участниками следующих мер:
регламентирование порядка выполнения основных процессов в Правилах и внутренних документах Оператора платежной системы;
регламентирование порядка совершения всех основных операций в рамках внутренних нормативно-методологических документов;
учет и документирование совершаемых операций, регулярные выверки расчетных документов по операциям;
применение принципов разделения и ограничения функций, полномочий и ответственности сотрудников, использование механизмов двойного контроля, принятия коллегиальных решений, установления ограничений на сроки и объемы операций;
реализация процедур административного и финансового внутреннего контроля (предварительного, текущего и последующего) за организацией бизнес-процессов, деятельностью Участников и совершением операций отдельными сотрудниками, соблюдением сотрудниками требований действующего законодательства Российской Федерации и внутренних нормативных документов, контроль за соблюдением установленных лимитов по проводимым операциям, порядка доступа к информации;
автоматизация проведения операций, использование информационных систем;
обеспечение информационной безопасности, контроль над доступом к информации, применение многоуровневой защиты информации с использованием сертифицированных средств защиты информации, а также с аттестацией объектов информатизации Платежной системы UnionPay по требованиям информационной безопасности;
создание необходимых организационных и технических условий для обеспечения бесперебойности функционирования Платежной системы UnionPay при совершении операций (на случай аварий, пожаров, терактов и других непредвиденных ситуаций);
снижение рисков, связанных с персоналом, путем установления критериев по его отбору и проведения предварительной проверки, реализации мероприятий по подготовке и обучению персонала, повышению его квалификации.
В автоматизированных системах всех Участников должен обеспечиваться контроль ввода данных, исключающий и/или снижающий возможность ошибки.
Все оборудование и программное обеспечение автоматизированных систем должно пройти тщательное тестирование, опытную эксплуатацию и должно иметь документацию в соответствии с установленными стандартами. Должен быть разработан и неукоснительно соблюдаться регламент обновления программного обеспечения и модернизации аппаратных средств.
В целях снижения операционных сбоев и преодоления факторов непреодолимой силы должно использоваться резервирование. Ввод в действие резервного оборудования и систем связи должен быть оперативным. Особо важное оборудование и системы связи должны иметь резервирование, которое в любой момент может быть немедленно введено в действие без остановки работы. Резервные механизмы должны быть хорошо изучены персоналом Участников, быть эффективными, безопасными. 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this