← Latvija

Zaudējis spēku - Finanšu un kapitāla tirgus dalībnieku informācijas sistēmu drošības normatīvie noteikumi

Īsumā

Šis tiesību akts, "Finanšu un kapitāla tirgus dalībnieku informācijas sistēmu drošības normatīvie noteikumi", ir zaudējis spēku un to aizstāj citi noteikumi. Tas iepriekš regulēja informācijas sistēmu drošības prasības finanšu un kapitāla tirgus dalībniekiem Latvijā.

Ko tas regulē

Kas tas skar

Galvenie punkti

📄 Likuma teksts
Zaudējis spēku - Finanšu un kapitāla tirgus dalībnieku informācijas sistēmu drošības normatīvie noteikumi Uzmanību! Jūs lietojat neatbilstošu interneta pārlūkprogrammu. Lai varētu lietot visas Likumi.lv piedāvātās iespējas, piedāvājam BEZ MAKSAS ielādēt jaunāku pārlūkprogrammas versiju. Iesakām izmēģināt arī vietnes MOBILO VERSIJU - m.likumi.lv (piemērota arī mazāk jaudīgiem datoriem). nerādīt turpmāk šo paziņojumu Apstiprināt Paldies par viedokli!   Rādīt vēlāk LATVIJAS REPUBLIKAS TIESĪBU AKTI veidi tēmas visvairāk skatītie jaunākie LV  EN uz sākumu meklēt Izvērstā meklēšana Noklusējuma vērtības Izvērstā meklēšana Kā meklēt? Meklēt nosaukumā meklēt locījumos meklēt frāzi Meklēt tekstā meklēt locījumos meklēt frāzi Izdevējs Veids nemeklēt grozījumos Pieņemts Stājas spēkā Dokumenta Nr. līdz līdz Publicēts LV Zaudējis spēku Redakcija uz līdz līdz Statuss: spēkā esošs vēl nav spēkā zaudējis spēku meklēt notīrīt Tiesību akts ir zaudējis spēku. Skatīt Finanšu un kapitāla tirgus komisijas 2018. gada 26. septembra noteikumus Nr. 158 "Informācijas sistēmu drošības normatīvie noteikumi". Finanšu un kapitāla tirgus komisijas normatīvie noteikumi Nr.112 Rīgā 2015.gada 7.jūlijā (Finanšu un kapitāla tirgus komisijas padomes sēdes protokols Nr.25 2.p.) Finanšu un kapitāla tirgus dalībnieku informācijas sistēmu drošības normatīvie noteikumi Izdoti saskaņā ar Finanšu un kapitāla tirgus komisijas likuma 7. panta pirmās daļas 1. punktu, Kredītiestāžu likuma 34.1 panta otro daļu, 50. panta trešo daļu, Maksājumu pakalpojumu un elektroniskās naudas likuma 45. pantu, Finanšu instrumentu tirgus likuma 123.5 panta otro daļu, 124. panta 1.1 daļu, likuma "Par privātajiem pensiju fondiem" 28. panta sesto daļu I. Vispārīgie jautājumi 1. "Finanšu un kapitāla tirgus dalībnieku informācijas sistēmu drošības normatīvie noteikumi" (tālāk tekstā – noteikumi) ir saistoši Latvijā reģistrētiem finanšu un kapitāla tirgus dalībniekiem (tālāk tekstā – tirgus dalībnieks): kredītiestādēm, krājaizdevu sabiedrībām, maksājumu iestādēm, elektroniskās naudas iestādēm, apdrošināšanas sabiedrībām, apdrošināšanas starpniekiem, privātajiem pensiju fondiem, regulētā tirgus organizētājiem, Latvijas Centrālajam depozitārijam, ieguldījumu brokeru sabiedrībām, ieguldījumu pārvaldes sabiedrībām un alternatīvo ieguldījumu fondu pārvaldniekiem. 2 2. Noteikumu mērķis ir ierobežot tirgus dalībnieku darbībai un klientiem sniegto pakalpojumu nodrošināšanai izmantojamo informācijas sistēmu (tālāk tekstā arī – IS) riskus, kopumā tiecoties uz piesardzīgu informācijas sistēmu risku pārvaldības līmeni (risku apetīti), kā arī noteikt vienoti strukturētas prasības tirgus dalībnieku IS drošības risku pārvaldībai. 3 3. Noteikumi nosaka prasību minimumu. Tirgus dalībnieks var ieviest papildu aizsardzības pasākumus atkarībā no informācijas resursu klasifikācijas līmeņa un veiktās risku analīzes, ņemot vērā uzņēmuma sniegtos pakalpojumus, darbinieku skaitu un informācijas tehnoloģiju (tālāk tekstā – IT) izmantošanas līmeni. 4 II. Termini 4. Auditācijas pieraksti – analīzei pieejami pieraksti, kuros reģistrēti dati par noteiktiem notikumiem IS (piekļuve, datu ievade, maiņa, dzēšana, izvade u.c.). 5 5. Ārpakalpojuma sniedzējs – trešā persona, kas pēc tirgus dalībnieka pieprasījuma nodrošina tirgus dalībnieka IT un IS pārvaldību, attīstību, drošību, auditu vai sniedz citu tirgus dalībniekam nepieciešamu pakalpojumu, kas saistīts ar IS. 6 6. Drošības pasākumi – tehniski vai organizatoriski pasākumi, kas tiek noteikti risku pārvaldības ietvaros un samazina IS risku līdz pieļaujamajam līmenim. 7 7. Ievainojamība – IS nepilnība, kas ļauj kādam noteiktam apdraudējumam īstenoties un ietekmēt IS drošību. 8 8. Informācijas sistēma – datu ievades, uzglabāšanas un apstrādes sistēma, kas nodrošina noteikto funkciju izpildi un paredz lietotājpieeju tajā glabātajiem datiem vai informācijai. 9 9. Informācijas konfidencialitāte – piekļuves nodrošināšana informācijai tikai pilnvarotām personām. 10 10. Informācijas integritāte – informācijas un tās apstrādes metožu precizitāte, pareizība un pilnīgums. 11 11. Informācijas pieejamība – iespēja pilnvarotām personām lietot informāciju noteiktā laikā un vietā. 12 12. Informācijas resursi – informācijas vienības, kurās ietilpst datu faili, kas satur IS glabājamo, apstrādājamo un IS lietotājiem pieejamo informāciju, kā arī visi IS ievades un izvades dokumenti neatkarīgi no datu nesēja veida. 13 13. Informācijas resursu turētājs – persona, kas ir atbildīga par informācijas resursiem un rīkojas ar tiem tirgus dalībnieka uzdevumā. 14 14. Autentifikācijas faktori (elementi) – attālināto lietotāju autentifikācijai izmantotie autentifikācijas līdzekļi, kas ir zināmi tikai lietotājam (piemēram, parole, PIN), kas ir lietošanā jeb pieder tikai lietotājam (piemēram, kodu karte, kodu kalkulators, mobilais tālrunis) vai kas ir lietotāja unikāla īpašība (piemēram, pirkstu nospiedums). 15 15. IS drošība – IS konfidencialitātes, integritātes un pieejamības prasību nodrošināšana. 16 16. IS drošības incidents – kaitīgs notikums vai nodarījums, kura rezultātā tiek apdraudēta vai var tikt apdraudēta IS drošība (t.sk. uzbrukumi IS vai datortīkla iekārtai, darbības, kas izraisa vai var izraisīt neautorizētu piekļuvi IS, pakalpojuma atteikumi). 17 17. IS lietotājs – persona, kura piešķirto pilnvaru robežās lieto IS. 18 18. Risks – ar IS funkcionēšanu saistīta organizācijas varbūtēja nespēja pilnvērtīgi un kvalitatīvi veikt kādu savu saistību vai funkciju izpildi, ko nosaka kā nevēlamā notikuma iespējamības un tā seku kombināciju. 19 19. Tehnoloģiskie resursi – IS sastāvdaļa, kurā ietilpst sistēmprogrammas, lietojumprogrammas, palīgprogrammas, sistēmfaili, datori, datortīkli, aparatūra un citas iekārtas, kas nodrošina IS darbību. 20 20. Tehnoloģisko resursu turētājs – persona, kas ir atbildīga par tehnoloģiskajiem resursiem un rīkojas ar tiem tirgus dalībnieka uzdevumā. 21 21. Definīcijas, kas attiecas uz interneta maksājumu pakalpojumiem, skatīt šo noteikumu pielikuma I sadaļas 8. punktā. 22 III. Informācijas sistēmu drošības organizēšana 22. Vadības atbildība un atbalsts 22.1. Tirgus dalībnieka vadība ir atbildīga par IS drošības politikas un IT stratēģijas noteikšanu un īstenošanu, darbinieku pienākumu un atbildības noteikšanu, kontroles organizēšanu, kā arī adekvātu resursu piešķiršanu IS drošības un IS audita funkciju pilnvērtīgai nodrošināšanai. 22.2. IS drošības politikas mērķis ir definēt tirgus dalībnieka vadības nostāju un atbalstu IS drošības nodrošināšanai atbilstoši tirgus dalībnieka un tā klientu vajadzībām. 23 23. Normatīvi 23.1. Tirgus dalībnieks apstiprina hierarhiski strukturētu dokumentu kopumu, kas nosaka IS pārvaldību, t.sk. IS drošības pārvaldību. Definējot IS drošības pārvaldību, nosaka IS drošības mērķus, lomas, atbildību un IS drošības pasākumu piemērošanas kārtību. 23.2. Tirgus dalībnieks dokumentē vismaz tos IS pārvaldības procesus, kuru neizpilde var radīt IS drošības riskus. 23.3. Tirgus dalībnieks nodrošina normatīvu aktualizāciju un pieejamību darbiniekiem. 23.4. Tirgus dalībnieks nosaka darbinieku atbildību par normatīvu neievērošanu. 23.5. Tirgus dalībnieks izveido un uztur aktuālu informācijas un datu plūsmas shēmu. 24 24. IS drošības jeb IS risku pārvaldības funkcija (tālāk tekstā – IS drošības funkcija) 24.1. Tirgus dalībnieks nodrošina IS drošības funkciju, lai realizētu risku kontroli un IS drošības pasākumu īstenošanu. 24.2. IS drošības funkcijas ietvaros tirgus dalībnieks nodrošina vismaz: 24.2.1. IS drošības normatīvu izstrādi un aktualizēšanu; 24.2.2. IS klasifikācijas un risku vadības procesa koordināciju un apdraudējumu identifikāciju; 24.2.3. vadības informēšanu par drošības līmeņa atbilstību prasībām un būtiskiem IS drošības incidentiem; 24.2.4. noteikto drošības pasākumu uzraudzību; 24.2.5. darbinieku apmācību un informēšanu IS drošības jomā; 24.2.6. IS drošības incidentu pārvaldību; 24.2.7. dalību IS darbības atjaunošanas un nepārtrauktības plānošanā. 24.3. Tirgus dalībnieks nodrošina IS drošības funkcijas neatkarību no IS izstrādes un uzturēšanas funkcijām un pienākumu nepastarpināti informēt tirgus dalībnieka vadību par būtiskiem IS drošības notikumiem. Ja par IS drošību atbildīgais darbinieks savus pienākumus veic darbu apvienošanas kārtībā, tad ievēro pienākumu nodalīšanas principu – darbu izpildītājs nedrīkst pats sevi kontrolēt. 25 25. IS audita funkcija 25.1. Tirgus dalībnieks nodrošina IS audita funkciju, lai nodrošinātu IS drošības pasākumu īstenošanas neatkarīgu pārbaudi. 25.2. Audita funkciju var nodrošināt arī ārpakalpojuma sniedzējs. 25.3. Tirgus dalībnieks līdz katra gada 1. martam iesniedz Finanšu un kapitāla tirgus komisijai iepriekšējā gadā veikto ar IS drošību saistīto auditu sarakstu, norādot auditu tēmas, mērķus un auditu veicēju. 26 26. Ārpakalpojumu vadība 26.1. Tirgus dalībnieks var izmantot trešās personas – ārpakalpojuma sniedzēja – pakalpojumus. Tirgus dalībnieks veic visu izmantoto ārpakalpojumu uzskaiti. 26.2. Ārpakalpojuma saņemšana neatbrīvo tirgus dalībnieku no normatīvajos aktos vai līgumā ar tā klientiem noteiktās atbildības – tas ir atbildīgs par ārpakalpojuma sniedzēja veikumu tādā pašā mērā kā par savu. IS drošības līmenis, ja IS attīsta vai uztur ārpakalpojuma sniedzējs, nedrīkst būt zemāks par tirgus dalībnieka noteikto. 26.3. Pirms lēmuma pieņemšanas par ārpakalpojumu iegādi tirgus dalībnieks izvērtē piegādātājus un, ņemot vērā prasības pakalpojuma kvalitātei un drošībai, tostarp pieejamībai, izvērtē riskus, kā arī nosaka pakalpojuma izbeigšanas stratēģiju. 26.4. Tirgus dalībnieks līgumā ar ārpakalpojumu sniedzēju ietver prasības ārpakalpojuma kontrolei, piemēram, skaidru pakalpojuma aprakstu, drošības prasības, konfidencialitātes saistības, tiesības saņemt pakalpojuma uzraudzībai nepieciešamo informāciju, prasību ārpakalpojumu sniedzējam nekavējoties ziņot par incidentiem, tiesības pārtraukt līgumu. 26.5. Izmantojot ārpakalpojumus, t.sk. mākoņskaitļošanu, tirgus dalībniekam ir pienākums saglabāt nepieciešamo kontroli pār informācijas resursiem, kas satur informāciju par tirgus dalībnieka klientiem. Tirgus dalībnieka klasificētas IS drošā veidā ir fiziski vai loģiski jānošķir no ārpakalpojuma sniedzēja citu klientu IS. Jāsagatavo un regulāri jāaktualizē pakalpojuma pārtraukšanas plāns, paredzot datu, programmatūras un tehnisko resursu atpakaļnodošanu un klientu informācijas dzēšanu pie pakalpojuma sniedzēja. 26.6. Tirgus dalībnieks veic ārpakalpojumu kvalitātes uzraudzību un drošības kontroli, t.sk. saņem pārskatus par pakalpojuma kvalitāti un incidentiem. 26.7. Tirgus dalībniekam, ja tas sniedz ārpakalpojumu trešajai pusei, izmantojot savas IS, tostarp autentifikācijas ārpakalpojumu, ir pienākums kontrolēt risinājuma ieviešanu trešās puses uzņēmumā. Tirgus dalībnieks informē sadarbības partnerus par riskiem, kas saistīti ar šādu pakalpojumu izmantošanu. Drošības prasību neizpildes gadījumā tirgus dalībniekam ir pienākums pārtraukt sadarbību. 27 IV. Informācijas sistēmu resursu pārvaldība 27. Resursu piederība 27.1. Tirgus dalībnieks rakstveidā norīko IS resursu (informācijas un tehnoloģisko resursu) turētājus visiem informācijas un tehnoloģiskajiem resursiem. 27.2. Informācijas resursu turētāja pienākumi ir šādi: 27.2.1. klasificēt viņa turējumā esošos informācijas resursus; 27.2.2. piedalīties viņa turējumā esošo informācijas resursu un saistīto IS risku analīzē un to apstiprināt; 27.2.3. apstiprināt pieejas tiesības IS; 27.2.4. apstiprināt IS izmaiņu veikšanu un ieviešanu; 27.2.5. noteikt prasības auditācijas pierakstu veidošanai; 27.2.6. sadarboties ar IS tehnoloģisko resursu turētāju IS funkcionalitātes un drošības jautājumos. 27.3. Tirgus dalībnieks nodrošina informācijas resursu turētāju apmācību to pienākumu izpildē. 27.4. Tehnoloģisko resursu turētāja pienākumi ir šādi: 27.4.1. nodrošināt tehnoloģisko resursu fizisko un loģisko aizsardzību; 27.4.2. sadarboties ar informācijas resursu turētāju, lai īstenotu viņa prasības par informācijas resursu aizsardzību un piekļuvi tiem; 27.4.3. piedalīties risku analīzē, noteikt ar tehnoloģiskajiem resursiem saistītos IS apdraudējumus un novērtēt šo apdraudējumu īstenošanās varbūtību; 27.4.4. nodrošināt IS atjaunošanas procedūras, ja tehnoloģiskie resursi ir bojāti un IS funkcionēšana traucēta vai neiespējama; 27.4.5. sadarboties ar IS informācijas resursu turētāju IS funkcionalitātes un drošības jautājumos. 27.5. Resursu turētājs minētos pienākumus var uzdot pildīt resursu aizbildņiem – personām, kuras norīkojis resursu turētājs un kuras ikdienā ir atbildīgas par attiecīgajiem IS resursiem vai to daļu. 28 28. IS klasifikācija 28.1. Klasifikācijas mērķis ir novērtēt IS nozīmību un nodrošināt tās aizsardzību atbilstoši klasifikācijas līmenim. Tirgus dalībnieks veic visu IS klasificēšanu, nosakot IS konfidencialitātes, vērtības un pieejamības līmeni, un to dokumentē. 28.2. Konfidencialitātes līmeni IS tirgus dalībnieks piešķir atkarībā no kaitējuma, kas varētu tikt nodarīts informācijas devējam vai tirgus dalībniekam, ja tiktu pieļauts, ka šai IS piekļūst nepilnvarotas personas. 28.3. Vērtības līmeni IS tirgus dalībnieks piešķir atkarībā no kaitējuma, kas varētu tikt nodarīts informācijas devējam vai tirgus dalībniekam, ja netiktu nodrošināta IS integritāte. 28.4. Resursu pieejamības līmeni IS tirgus dalībnieks nosaka atkarībā no tirgus dalībnieka pamatdarbības vajadzībām (business requirements), ņemot vērā kaitējumu, kas varētu tikt nodarīts informācijas devējam vai tirgus dalībniekam, ja netiktu nodrošināta IS resursu pieejamība, un nosaka pieļaujamo laiku, kādu IS var nebūt pieejama (Recovery Time Objective), un pieļaujamo laika periodu, par kuru datus var zaudēt (Recovery Point Objective). 28.5. Tirgus dalībnieks pielieto IS klasifikācijas shēmu, kura atbilst šiem noteikumiem un kurā ir vismaz divi katras klasifikācijas kategorijas līmeņi. 28.6. Tirgus dalībnieks atbilstoši informācijas klasifikācijas līmenim nosaka klasificētas informācijas lietošanas un aizsardzības prasības. 29 V. Risku analīze un pārvaldība 29. Risku analīzes un pārvaldības mērķi ir: 29.1. noteikt pieļaujamo jeb akceptējamo risku lielumu (risku limitu jeb apetīti); 29.2. novērtēt IS apdraudējuma īstenošanās varbūtību, kurā IS apdraudējums ir ar nodomu (tīši) vai aiz neuzmanības izdarīta darbība vai bezdarbība, vai iespējams notikums, kas var izraisīt IS drošības incidentu; 29.3. novērtēt iespējamo kaitējumu informācijas devējam, tirgus dalībniekam vai citai personai, ja nav nodrošināta IS drošība; 29.4. noteikt atbilstošos un nepieciešamos drošības pasākumus, ja risks ir nepieņemams; 29.5. akceptēt pēc drošības pasākumu īstenošanas atlikušo risku (atbilstību noteiktajam risku limitam). 30 30. Risku analīze ir regulārs process. Tirgus dalībnieks to veic visā IS dzīves ciklā, t.sk., sākot IS projektu, veicot nozīmīgas IS izmaiņas, parādoties jauniem būtiskiem apdraudējumiem, īstenojoties nozīmīgiem incidentiem vai pieaugot to kopējam skaitam. 31 31. Tirgus dalībnieks risku analīzi veic, lietojot tā apstiprināto metodiku. Tirgus dalībnieks lieto tādu risku analīzes metodiku, kas ļauj efektīvi realizēt šo noteikumu 29. punktā noteiktos mērķus. 32 32. Tirgus dalībnieks plāno un īsteno drošības pasākumus, ja risku analīzē novērtētais risks ir nepieņemams, un plānotajiem drošības pasākumiem nosaka realizācijas prioritātes, termiņus un atbildīgos. 33 33. Drošības pasākumu mērķis ir samazināt atlikušo risku līdz pieņemamam līmenim. Tirgus dalībnieks drošības pasākumus nosaka, pamatojoties uz to izmaksu un iespējamo zaudējumu samērojamību. 34 VI. Personāla loma informācijas sistēmu drošībā 34. Tirgus dalībnieks risku pārvaldīšanas ietvaros veic pasākumus, kas ierobežo no darbinieku darbības vai bezdarbības izrietošos IS drošības riskus, kā arī nosaka darbinieku lomu IS drošības pasākumos un veicina personāla izpratni par IS lietošanas kārtību un aizsardzības nepieciešamību. 35 35. Tirgus dalībnieks nodrošina, ka IS lietotāju zināšanu līmenis ir atbilstošs IS lietošanas vajadzībām. 36 36. Tirgus dalībnieks pirms darba pienākumu izpildes iepazīstina darbiniekus ar IS darbību reglamentējošajiem dokumentiem. 37 37. Tirgus dalībnieks nosaka IS lietotāja: 37.1. atbildību par IS darbību reglamentējošo dokumentu neievērošanu; 37.2. atbildību par visām darbībām, kuras IS ir veiktas ar viņa lietotāja vārdu; 37.3. pienākumu ievērot konfidencialitātes saistības attiecībā uz datiem, kuri nonāk šīs personas rīcībā, veicot darba pienākumus; 37.4. pienākumu informēt atbilstošo personu (piemēram, IS drošības vadītāju) par IT drošības incidentiem un apdraudējumiem. 38 38. Drošības apzināšanās veicināšana 38.1. Tirgus dalībnieks regulāri veic plānveida pasākumus, kas sekmē katra darbinieka izpratni par IS aizsardzību un veicina darbinieku kopējo IS drošības apzināšanos (security awareness). 38.2. Tirgus dalībnieks nosaka, kā un cik bieži darbinieki tiek informēti un apmācīti par IS drošības jautājumiem. 38.3. Tirgus dalībnieks veic darbinieku apmācību klasificētas informācijas aizsardzībā. 39 VII. Fiziskās un vides drošības pārvaldība 39. Tirgus dalībnieks risku pārvaldīšanas ietvaros veic IS fiziskās aizsardzības pasākumus, kas aizsargā no nevēlamiem apkārtējās vides (ugunsgrēks, plūdi, temperatūras svārstības u.c.), tehniskajiem (neatbilstoša elektroenerģijas padeve, elektromagnētiskā lauka iedarbība u.c.) un cilvēkfaktoriem (tīši vai netīši bojājumi, zādzība u.c.). 40 40. IS infrastruktūras (tehnoloģisko resursu, t.sk. serveru, disku masīvu, datortīkla iekārtu un kabeļu u.c., izņemot gala lietotāju tehnoloģiskos resursus) fiziskā aizsardzība 40.1. Tirgus dalībnieks IS infrastruktūru ekspluatē ierobežotas pieejas telpās, kuru fiziskā aizsardzība nodrošina tikai pilnvarotu personu piekļuvi. Ja to nosaka tehnoloģiska nepieciešamība, tad, ekspluatējot ārpus ierobežotas pieejas telpām, IS tehnoloģiskos resursus fiziski norobežo. IS infrastruktūras telpas izvieto ēkas vietās, kurās ir mazāka apdraudējumu īstenošanās iespējamība. 40.2. Tirgus dalībnieks nosaka, kuras personas drīkst iekļūt šo noteikumu 40.1. punktā minētajās telpās, un to piekļuvi reģistrē. Šo personu sarakstā iekļauj tikai tās personas, kurām darba pienākumu izpildei nepieciešama fiziska piekļuve IS infrastruktūrai. 40.3. Trešās personas IS infrastruktūras telpās drīkst uzturēties tikai to personu klātbūtnē, kurām ir tiesības piekļūt IS infrastruktūras telpām. 40.4. Tirgus dalībnieks nodrošina IS infrastruktūras telpu mikroklimatu (mitrumu, temperatūru u.tml.) atbilstoši IS infrastruktūras darbināšanai izmantotās aparatūras ražotāju noteiktajām prasībām. 40.5. Tirgus dalībnieks aprīko IS infrastruktūras telpas ar apsardzes signalizāciju un vides detektoriem. 40.6. Tirgus dalībnieks tehnoloģiskos resursus administrējošā personāla darba vietas nodala ierobežotas pieejas telpās. 41 41. Datu nesēju fiziskā aizsardzība 41.1. Tirgus dalībnieks veic nepieciešamos drošības pasākumus datu nesēju fiziskai aizsardzībai atkarībā no IS klasifikācijas, bet neatkarīgi no to veida (t.sk. demontētas disku iekārtas, papīra izdrukas, zibatmiņas kartes u.tml.). 41.2. Tirgus dalībnieks nosaka kārtību, kādā lieto, glabā un drošā veidā iznīcina datu nesējus. 41.3. Tirgus dalībnieks datu nesēju aizsardzības ietvaros veic datu izvada iekārtu fizisko aizsardzību, novēršot nesankcionētu informācijas resursu iegūšanu (piemēram, printeru iekārtu aizsardzība, saskarņu lietošanas ierobežošana). 41.4. Ja datu nesēju, kas satur nepubliskojamus IS resursus, ir paredzēts iznīcināt, tad tirgus dalībnieks to dara tādā veidā, lai nebūtu iespējams veikt datu atjaunošanu. 42 42. Tirgus dalībnieks veic papildu fiziskās aizsardzības pasākumus atkarībā no IS klasifikācijas līmeņa. Nepieciešamības gadījumā fiziskās aizsardzības pasākumus drīkst kompensēt ar loģiskās aizsardzības (programmatūras un procesu) līdzekļiem. 43 VIII. Informācijas sistēmu pieejas tiesību pārvaldība 43. Jauna IS lietotāja reģistrāciju, tiesību piešķiršanu, anulēšanu un bloķēšanu tirgus dalībnieks veic saskaņā ar dokumentētu pieprasījumu, kuru apstiprina informācijas resursu turētājs. Dokumentēšanas metodei jānodrošina iespēja veikt efektīvu aktuālo pieejas tiesību kontroli. 44 44. Katram tirgus dalībnieka IS lietotājam un administratoram tiek piešķirts unikāls lietotāja kods. 45 45. Lietotāja autentiskuma noteikšana 45.1. Lietotāja autentiskuma noteikšanas mērķis ir pārliecināties, ka klasificētu IS lieto pilnvarotais lietotāja koda īpašnieks. 45.2. Tirgus dalībnieks nosaka autentifikācijas līdzekļu (piemēram, paroļu, kodu kalkulatoru, privāto atslēgu, biometrisko līdzekļu u.c.) lietošanas kārtību, t.sk. paroļu politiku (paroles garumu, sarežģītību, derīguma termiņu, atkārtojamības ierobežojumu). 45.3. IS paroles glabā šifrētā veidā. Ievadot paroli, tā nedrīkst būt salasāma uz ekrāna. Paroli nekavējoties nomaina, ja tā varētu būt vai ir nesankcionēti kļuvusi zināma citai personai. 45.4. Izveidojot, piegādājot un aktivizējot autentifikācijas līdzekli, tirgus dalībnieks nodrošina, ka tas lietošanai ir pieejams vienīgi attiecīgā lietotāja koda īpašniekam (t.sk. drošs personalizācijas un lietotāja paroles izveides process). 45.5. Ja tirgus dalībnieka lietotās tehnoloģijas to pieļauj, papildus iebūvētam administratora kontam tirgus dalībnieks izveido individuālu kontu katram administratoram, kurš tiek izmantots ikdienas IS uzturēšanas darbu veikšanai. IS administratoru kodu un paroļu kopijas glabā drošā ierobežotas pieejas vietā ārpus datortīklam pievienotajiem tehnoloģiskajiem resursiem. 46 46. Pieejas tiesības IS tirgus dalībnieks nosaka saskaņā ar dokumentēti apstiprinātām lomām vai lietotāju profiliem. IS lietotājam piešķir pieeju tikai tai informācijai un funkcijām, kas ir nepieciešamas viņa pienākumu izpildei. Minētā prasība ir jāievēro, nosakot arī IS tehnoloģisko lietotāju (kontu) pieejas tiesību līmeni. 47 47. IS lietotāja vai administratora darba pienākumu maiņas vai darba attiecību izbeigšanas gadījumā tirgus dalībnieks nekavējoties maina vai bloķē IS lietotāja un administratora tiesības. 48 48. Tirgus dalībnieks regulāri veic aktuālo pieejas tiesību pārbaudi, lai kontrolētu šo noteikumu 46. un 47. punkta prasību ievērošanu. 49 IX. Komunikāciju un operāciju pārvaldība 49. Darbiniekiem, kas veic IS uzturēšanu, tirgus dalībnieks nosaka pienākumus un atbildību un nodrošina aizvietojamību un kvalifikācijas uzturēšanu. Procesu kontroles nodrošināšanai veic pienākumu nodalīšanu. 50 50. Konfigurācijas pārvaldība un kontrole 50.1. Tirgus dalībnieks veic tehnoloģisko resursu un to aktuālo konfigurāciju uzskaiti. 50.2. Tirgus dalībnieks nosaka kārtību, kādā pieprasa, autorizē, testē un maina tehnoloģiskos resursus. 50.3. Tirgus dalībnieks risku kontroles ietvaros uztur un kontrolē IS konfigurāciju, ņemot vērā drošības prakses ieteikumus (hardening standards) un zināmās sistēmu ievainojamības. 50.4. Tirgus dalībnieks risku kontroles ietvaros veic nepieciešamās un tehnoloģiski iespējamās izmaiņas tehnoloģisko resursu standarta konfigurācijā un samazina funkcionalitāti līdz nepieciešamajam apjomam. 50.5. Tirgus dalībnieks savlaicīgi veic nepieciešamos IS standarta programmatūras atjaunināšanas darbus (t.sk. drošības labojumu uzstādīšanu). 51 51. Datortīklu aizsardzība 51.1. Tirgus dalībnieks iekšējo datortīklu nodala no ārējā datortīkla. Datu plūsmā starp iekšējo un ārējo datortīklu atļauj tikai tos pakalpojumus, kas ir nepieciešami tirgus dalībnieka funkciju izpildei. 51.2. Tirgus dalībnieks izveido un uztur aktuālu datortīkla un pieslēgumu shēmu. 51.3. Tirgus dalībnieks regulāri pārbauda visu ārējo savienojumu eksistenci un pārliecinās, ka pastāv tikai tie savienojumi, kuri atbilst tirgus dalībnieka darbības vajadzībām. 51.4. Tirgus dalībnieks risku kontroles ietvaros realizē nepieciešamos un iespējamos papildu datu plūsmas ierobežojumus (t.sk. aplikāciju, vietņu ierobežošanu) starp iekšējo un ārējo datortīklu. 51.5. Tirgus dalībnieks veic datortīkla monitoringu un ievainojamības (t.sk. kaitīgo programmu) kontroli. 51.6. Ja IS administrēšana tiek veikta no attālinātas vietas, tirgus dalībnieks lieto kriptogrāfijas līdzekļus (piemēram, virtuālo privāto tīklu (VPN)) un drošu (vismaz divu faktoru) lietotāja autentifikāciju. 51.7. Ja tiek lietotas bezvadu datu pārraides tehnoloģijas, tirgus dalībnieks risku pārvaldības ietvaros veic to papildu aizsardzību, lai nodrošinātu vienīgi autorizētu IS lietošanu. 52 52. Personālo datoru un ierīču aizsardzība 52.1. Tirgus dalībnieks nosaka, kādus informācijas resursus drīkst glabāt un kā tos aizsargāt individuālās lietošanas datu apstrādes iekārtās, t.sk. galda un portatīvajā datorā (tālāk tekstā – personālais dators), viedtālrunī, planšetdatorā u.tml. 52.2. Personālajā datorā tiek uzstādīta un lietota tikai tā programmatūra un tādā konfigurācijā, kādu noteicis tirgus dalībnieks, kurš arī nosaka kārtību un veic pasākumus aizsardzībai pret kaitīgām programmām, izmantojot, piemēram, antivīrusu programmatūru, software restriction policy. 52.3. Personālā datora funkcionalitāti tirgus dalībnieks ierobežo līdz darba vajadzībām nepieciešamajam funkciju līmenim, t.sk. kontrolē datora portu izmantošanu un iekārtu pieslēgšanu, kontrolē pieeju publiskā tīkla informācijai (blacklisting, whitelisting) un loģiski nodala pieeju publiskā tīkla (interneta) informācijai no organizācijas iekšējām IS, izmantojot, piemēram, virtualizāciju. 52.4. Personālais dators tiek pieslēgts tikai tirgus dalībnieka noteiktiem datortīkliem. 52.5. Tirgus dalībnieks nodrošina, ka, lietotājam atstājot personālo datoru bez uzraudzības, atsākt IS lietošanu vai pieslēgties tirgus dalībnieka datortīklam iespējams tikai tad, ja ir veikta lietotāja autentifikācija. 52.6. Izmantojot personālos datorus, kuriem ir pastiprināti fiziskās drošības apdraudējumi, t.sk. portatīvās ierīces, kuras lieto ārpus tirgus dalībnieka telpām, klasificētā informācija tiek pārraidīta un glabāta šifrētā veidā. 52.7. Tirgus dalībnieks veic visu tā rīcībā esošo personālo datoru, kurus paredzēts lietot ārpus tirgus dalībnieka telpām, uzskaiti, lai noteiktu, kura persona lieto attiecīgo iekārtu. 52.8. Ja tirgus dalībnieks ļauj darbiniekiem darba vajadzībām lietot viņiem piederošus personālos datorus, tas nosaka lietošanas kārtību. Šī kārtība nedrīkst samazināt noteikto IS aizsardzības līmeni. 52.9. Ja tiek sniegta attālināta pieeja tirgus dalībnieka IS, izmantojot viedtālruni vai planšetdatoru, šo ierīču drošība ir jāaizsargā, lai incidenta gadījumā tiktu novērsta klientu vai tirgus dalībnieka sensitīvu datu nokļūšana trešo pušu rīcībā (piemēram, aizsargāta pieeja ierīcei, dati ierīcē netiek glabāti vai pēc sesijas tiek automātiski dzēsti). 53 53. Datu rezerves kopēšana 53.1. Lai ierobežotu integritātes un pieejamības riskus, tirgus dalībnieks veic datu rezerves kopēšanu. 53.2. Tirgus dalībnieks izstrādā dokumentētu datu rezerves kopiju veidošanas kārtību, nosakot, kāda tehnoloģija un darbības ir noteiktas datu rezerves kopiju izgatavošanai un informācijas atjaunošanai, kā arī nosaka, cik bieži un kādā apjomā tiek veidotas datu rezerves kopijas, ņemot vērā pieļaujamo laiku, kādu IS var nebūt pieejama (Recovery Time Objective), un laika periodu, par kuru datus var zaudēt (Recovery Point Objective), kā arī cik bieži tiek veikta kopiju un atjaunošanas procedūru pārbaude. 53.3. Tirgus dalībnieks nodrošina, ka vismaz tām IS, kuras nodrošina tirgus dalībniekam vai tā klientiem būtiskus pakalpojumus, datu rezerves kopēšanu veic ar metodi, kas minimizē riskus (no IS fiziski vai loģiski nodalīti datu nesēji). Datu rezerves kopijas glabā no IS ģeogrāfiski nošķirtā vietā. 53.4. Tirgus dalībnieks aizsargā datu rezerves kopijas pret nesankcionētu lietošanu un bojāšanu. 54 54. IS pārraudzība 54.1. Tirgus dalībnieks IS pārraudzībai nosaka vismaz šādus mērķus – veikt preventīvās darbības IS drošības uzturēšanai un savlaicīgu incidentu identificēšanu. Pārraudzības pasākumi tiek piemēroti atbilstoši IS klasifikācijai. 54.2. Tirgus dalībnieks pastāvīgi veic IS pārraudzību: 54.2.1. savlaicīgi identificējot gan iekšējo, gan ārējo apdraudējumu; 54.2.2. identificējot sistēmu ievainojamību un veicot to novēršanu; 54.2.3. uzraugot neautorizētu iekārtu un programmatūras lietošanu un veicot tās novēršanu; 54.2.4. kontrolējot IS un iekārtu konfigurācijas izmaiņas; 54.2.5. pārraugot IS, iekārtu un procesu pieejamību. 55 55. Auditācijas pierakstu pārvaldība 55.1. Lai identificētu lietotāju veiktās darbības un IS kļūdas, tirgus dalībnieks veido, uzglabā un analizē auditācijas pierakstus. 55.2. Auditācijas pierakstos tirgus dalībnieks iekļauj vismaz visu veiksmīgas un neveiksmīgas pieslēgšanās gadījumu laiku un lietotāju kodus. Papildu auditācijas pierakstus veic par IS parametru maiņu, t.sk. par darbībām ar lietotāju kontiem, ciktāl to var nodrošināt ar lietoto tehnoloģisko risinājumu. 55.3. Tirgus dalībnieks lieto metodes un rīkus, kas ļauj efektīvi analizēt auditācijas pierakstus. Šie rīki ir pieejami tikai autorizētam personālam. 55.4. Tirgus dalībnieks nodrošina auditācijas pierakstu integritāti. 55.5. Tirgus dalībnieks sinhronizē visu to IS laika uzskaiti, kuras ir savstarpēji saistītas datu apmaiņā vai transakciju apstrādē. 56 56. Kriptogrāfijas līdzekļu lietošana 56.1. Tirgus dalībnieks atkarībā no informācijas resursu konfidencialitātes līmeņa lieto kriptogrāfijas līdzekļus. 56.2. Tirgus dalībnieks nosaka kriptogrāfijas līdzekļu lietošanas kārtību, kā arī veic to aizsardzību. 57 X. Attālināto pakalpojumu drošības pārvaldība 57. Tirgus dalībnieks, klientiem piedāvājot attālinātos pakalpojumus, nodrošina pakalpojumu drošības pārvaldību, lai minimizētu klientu riskus. 58 58. Prasības interneta maksājumu drošībai noteiktas šo noteikumu pielikumā. 59 59. Tirgus dalībnieks veic klienta identifikāciju un citus nepieciešamos pasākumus, lai attālināto pakalpojumu autentifikācijas līdzekli saņemtu tikai tā īpašnieks. Klienta autentifikācijas līdzekļi (rīki, programmatūra) tiek pieprasīti, piegādāti un aktivizēti drošā veidā. 60 60. Pārsūtot klienta datus, tos aizsargā ar kriptogrāfijas līdzekļiem. Pārsūtot klienta datus, tos var nešifrēt, ja informācija nesatur cita klienta datus un klients akceptē iespējamos riskus. 61 61. Tirgus dalībnieks lieto vismaz viena faktora klienta autentifikāciju, ja: 61.1. pakalpojums ļauj skatīt tikai to informāciju par klienta kontu, kas neietver trešo personu datus, t.sk. konta atlikumu, darījumu vēsturi, konta numuru; 61.2. pakalpojums ietver finanšu instrumentu izmantošanu (pirkšana/pārdošana). 62 62. Klienta lietotāja piekļuve tiek bloķēta ne vairāk kā pēc pieciem neveiksmīgiem autentifikācijas mēģinājumiem. 63 63. Neaktīva sesija tiek bloķēta ne vairāk kā pēc piecpadsmit minūtēm. Klienta lietotāja piekļuve atkārtoti tiek aktivizēta drošā veidā. 64 64. Tirgus dalībnieks klientu drošības apzināšanās programmas ietvarā nodrošina klientiem pilnvērtīgu informāciju par attālināto pakalpojumu lietošanas riskiem un informāciju par to, kā droši un efektīvi lietot IS. Tirgus dalībnieks, pirms klientam sniedz pieeju attālinātiem pakalpojumiem un arī turpmāk, regulāri sadarbības laikā informē klientu par tirgus dalībnieka un klienta tiesībām un atbildību, pakalpojuma izmantošanu, nepieciešamajiem drošības pasākumiem klienta pusē (t.sk. klienta darbstacijā, mobilajā iekārtā), autentifikācijas līdzekļu drošu izmantošanu un darbībām to nozaudēšanas gadījumā, kā arī pasākumiem, lai identificētu iespējamas krāpnieciskās darbības, t.sk. money mule riskus. 65 65. Tirgus dalībnieks, komunicējot ar klientu, izvērtē informācijas saturu un nepieciešamības gadījumā izmanto drošu komunikācijas veidu. 66 66. Pirms attālināto pakalpojumu ieviešanas, parādoties jauniem apdraudējumiem vai veicot būtiskas izmaiņas IS, tirgus dalībnieks veic drošības pārbaudes vai testus. 67 67. Tirgus dalībnieks vismaz 18 mēnešus glabā auditācijas pierakstus par veiktajiem un atteiktajiem attālināto pakalpojumu izmantošanas pieslēgumiem (t.sk. avota IP adresi, laiku) un lietotāja veikto transakciju un citu darbību identificēšanai nepieciešamo informāciju. 68 XI. Informācijas sistēmu izstrāde un izmaiņu pārvaldība 68. Tirgus dalībnieks vada IS izstrādes un pārmaiņu pārvaldības procesus, lai minimizētu IS drošības riskus gan izstrādājamajai IS, gan citām saistītajām IS. 69 69. Tirgus dalībnieks nosaka IS izstrādes, iegādes, testēšanas, ieviešanas un izmaiņu pārvaldīšanas procesus. 70 70. IS izstrādes sākšana 70.1. Tirgus dalībnieks nosaka par IS projektu atbildīgās personas, t.sk. arī saskaņā ar šiem noteikumiem nosaka izstrādājamās IS resursu turētājus. 70.2. Atbildīgās personas veic IS projekta un to IS, kuru darbību var ietekmēt jaunā IS, risku analīzi, kā arī nosaka IS drošības prasības un risku ierobežošanas pasākumus. 70.3. Izstrādājamās IS resursu turētāji sadarbībā ar darbinieku, kas atbild par IS drošību, veic IS drošības prasību noteikšanu. 71 71. IS izstrāde 71.1. Tirgus dalībnieks IS izstrādes vidi nodala no lietošanas vides. 71.2. Tirgus dalībnieks dokumentē katru IS. Dokumentācijā iekļauj nepieciešamo informācijas apjomu, lai varētu kvalitatīvi veikt IS lietošanu, uzturēšanu un pārmaiņu pārvaldīšanu (piemēram, IS apraksts, IS administratora un lietotāju instrukcijas u.c.). 71.3. Tirgus dalībnieks dokumentāciju glabā un lieto atbilstoši šīs dokumentācijas klasifikācijas līmenim. 72 72. IS testēšana 72.1. Pirms IS ieviešanas tirgus dalībnieks saskaņā ar plānu veic IS testus. Testa plānā iekļauj arī IS nefunkcionālo prasību, t.sk. IS drošības testu. 72.2. Tirgus dalībnieks nodala IS testa vidi no lietošanas vides. 72.3. Testa un izstrādes vidē neizmanto lietošanas vides datus, tomēr, ja IS drošības risku mazināšanas nolūkā testa vai izstrādes vidē nepieciešams izmantot lietošanas vides datus, tad tos lieto un tiem piemēro tādus pašus drošības pasākumus kā lietošanas vidē (t.sk. tiesību piešķiršanas, autentifikācijas, auditācijas kārtību). 73 73. IS ieviešana 73.1. IS ievieš pēc IS resursu turētāju atļaujas saņemšanas, kas apliecina, ka testēšana ir pabeigta un IS ir gatava ieviešanai. 73.2. Pirms IS nodošanas lietošanai tirgus dalībnieks veic darbinieku apmācību. 73.3. Tirgus dalībnieks nodrošina, ka tiek veikta IS versiju kontrole. 74 74. Izmaiņu pārvaldība 74.1. IS izmaiņas veic tikai ar saistīto IS resursu turētāju atļauju. 74.2. Tirgus dalībnieks analizē, kā izmaiņas ietekmēs esošos IS drošības pasākumus un piešķirtajās pieejas tiesībās pieejamo informāciju un vai pārmaiņu rezultātā nesamazināsies IS drošības līmenis. 74.3. Tirgus dalībnieks veic IS dokumentācijas papildināšanu. 74.4. Tirgus dalībnieks izstrādā kārtību par darbībām ārkārtas (neplānotu) izmaiņu apstākļos un nosaka, kas ir tiesīgs pieņemt lēmumu par ārkārtas izmaiņām. Tirgus dalībnieks nosaka, kā tiek plānoti pasākumi, lai preventīvi samazinātu nepieciešamību veikt ārkārtas izmaiņas, un veic pasākumus, lai nepieļautu neautorizētu izmaiņu veikšanu. 75 75. Pārtraucot IS lietošanu, likvidējot vai nododot to citai personai, t.sk. gadījumos, ja tirgus dalībnieks pārtrauc kādu darbības veidu, kuru nodrošina šī IS, tirgus dalībnieks veic nepieciešamos drošības pasākumus, t.sk. risku analīzi. 76 XII. Incidentu pārvaldība 76. Incidentu pārvaldības mērķis ir minimizēt IS drošības incidentu ietekmi uz tirgus dalībnieka klientiem un tirgus dalībnieka darbību un mazināt to atkārtošanās risku. 77 77. Tirgus dalībnieks nosaka un īsteno praksē IS drošības incidentu pārvaldības procesu, kas ietver vismaz: 77.1. IS drošības incidentu identificēšanu; 77.2. incidenta ietekmes mazināšanu un seku likvidēšanu; 77.3. incidentu reģistrēšanu incidentu reģistrā; 77.4. notikušā IS drošības incidenta analīzi (t.sk. cēloņu un risku mazināšanas pasākumu noteikšanu) un vadības informēšanu; 77.5. nepieciešamo pierādījumu saglabāšanu. 78 78. Tirgus dalībnieks līdz katra gada 1. martam iesniedz Finanšu un kapitāla tirgus komisijai iepriekšējā gadā reģistrēto IS drošības incidentu sarakstu, kurā iekļauj informāciju par incidentu grupām jeb kategorijām, papildus pievienojot incidentu ietekmes novērtējumu un kopējo incidentu skaitu ar šo ietekmes līmeni. 79 79. IS darbības atjaunošana 79.1. Tirgus dalībnieks nodrošina savlaicīgu IS darbības un datu atjaunošanu, ja noticis IS darbības pārtraukums. 79.2. Tirgus dalībnieks izstrādā IS darbības atjaunošanas plānu saskaņā ar tirgus dalībnieka darbības nepārtrauktības plānu. 79.3. IS darbības atjaunošanas plānā tirgus dalībnieks iekļauj atjaunojamos IS pakalpojumus prioritārā secībā, izmantojamos resursus, veicamo darbu sarakstu un atbildīgos darbiniekus. 79.4. Tirgus dalībnieks saskaņā ar iepriekš noteiktu kārtību veic regulāru IS darbības atjaunošanas procesos iesaistīto personu apmācību un dokumentētu plāna testēšanu un izmaiņu gadījumā to atjauno, lai nodrošinātu plāna aktualitāti. 80 XIII. Noslēguma jautājumi 80. Šo noteikumu pielikuma II sadaļas 10. punkts stājas spēkā ar 2016. gada 1. janvāri. 81 81. Līdz 2017. gada 1. aprīlim šo noteikumu pielikumā noteiktajiem pakalpojumiem drošas klientu autentifikācijas vietā drīkst lietot vismaz divu faktoru autentifikāciju. 82 82. Atzīt par spēku zaudējušiem Finanšu un kapitāla tirgus komisijas 2014. gada 26. marta noteikumus Nr. 49 "Finanšu un kapitāla tirgus dalībnieku informācijas sistēmu drošības normatīvie noteikumi". 83 Finanšu un kapitāla tirgus komisijas priekšsēdētāja p.i. Juridiskā un licencēšanas departamenta direktors G.Romeiko 1.pielikums Finanšu un kapitāla tirgus komisijas 07.07.2015. normatīvajiem noteikumiem Nr.112 Drošības noteikumi maksājumiem internetā I. Darbības joma un definīcijasDarbības joma1. Šīs prasības interneta maksājumu drošības jomā balstās uz Maksājumu pakalpojumu un elektroniskās naudas likuma 11. panta pirmās daļas 5. punktu, kas liek maksājumu iestādēm ieviest stingrus pārvaldības pasākumus un atbilstīgus iekšējās kontroles mehānismus.2. Prasības attiecas uz maksājumu pakalpojumu sniegšanu, ko piedāvā maksājumu pakalpojumu sniedzēji, kā definēts Maksājumu pakalpojumu un elektroniskās naudas likuma 2. panta otrajā daļā, ar interneta starpniecību.3. Prasības neskar maksājumu pakalpojumu sniedzēju atbildību par maksājumu darījumu riska uzraudzību un novērtēšanu. Tie izstrādā savu drošības politiku un īsteno atbilstošus drošības, ārkārtas gadījumu, negadījumu pārvaldības un darbības nepārtrauktības pasākumus, kas ir samērojami ar maksājumu pakalpojumu sniegšanai piemītošo risku.4. Prasību mērķis ir noteikt kopējas obligātās prasības šādiem interneta maksājumu pakalpojumiem neatkarīgi no izmantotās piekļuves ierīces:4.1. maksājumiem ar karti internetā, tostarp maksājumiem ar virtuālo karti, kā arī maksājumu kartes datu reģistrācijai, lai izmantotu pakalpojumu "virtuālais maks" (maksājumu karte);4.2. kredīta pārvedumiem internetā (kredīta pārvedumi);4.3. tiešā debeta elektroniskā mandāta izsniegšanai un grozījumiem (e-mandāts);4.4. elektroniskās naudas pārvedumiem starp diviem elektroniskās naudas kontiem, izmantojot internetu (e-nauda).5. Maksājumu integratori1, kas piedāvā maksājumu sākšanas pakalpojumus, tiek uzskatīti vai nu par interneta maksājumu pakalpojumu saņēmējiem (un tādējādi par maksājumu pakalpojumu sniedzējiem), vai par attiecīgo atbalsta shēmu ārējo tehnisko pakalpojumu sniedzējiem, vai par maksājumu pakalpojumu sniedzējiem. Pēdējā gadījumā līgumā nosaka, ka maksājumu integratori atbilst šajā pielikumā noteiktajām prasībām.6. Prasību darbības jomā nav iekļauti:6.1. citi interneta pakalpojumi, ko piedāvā maksājumu pakalpojumu sniedzējs, izmantojot savu maksājumu tīmekļa vietni (piemēram, e-starpniecības maksa, tiešsaistes līgumi);6.2. maksājumi, ja instruktāža tiek veikta pa pastu, tālruni, balss pastu vai izmantojot SMS tehnoloģijas;6.3. mobilie maksājumi, izņemot pārlūkprogrammās bāzētos maksājumus;6.4. kredīta pārvedumi, ja trešā persona piekļūst klienta maksājumu kontam;6.5. maksājumu darījumi, ko veic uzņēmums, izmantojot speciālu tīklu;6.6. karšu maksājumi, izmantojot anonīmas un neuzpildāmas fiziskas vai virtuālas priekšapmaksas kartes, ja nav pastāvīgu saistību starp emitentu un kartes turētāju;6.7. maksājumu darījumu norēķini un tīrvērte (klīrings).Definīcijas7. Šajā pielikumā papildus tiek lietotas šādas definīcijas:7.1. Autentifikācija ir procedūra, kas ļauj maksājumu pakalpojumu sniedzējam pārbaudīt klienta identitāti.7.2. Droša klienta autentifikācija ir procedūra, kas balstās uz divu vai vairāku šādu elementu izmantošanu, kas kvalificēti kā zināšanas, īpašumtiesības un raksturlielumi: i) tikai lietotājam zināmi dati, piemēram, statiskā parole, kods, personas identifikācijas numurs; ii) tikai lietotāja īpašumā esoša autentifikācijai izmantojama ierīce, piemēram, kodu kalkulators, viedkarte, mobilais tālrunis; iii) lietotāja biometriskie dati, piemēram, pirkstu nospiedumi. Turklāt izvēlētajiem elementiem jābūt savstarpēji neatkarīgiem, t.i., viena elementa nozaudēšanas gadījumā cits(-i) elements(-i) netiek apdraudēts(-i). Vismaz vienam no elementiem jābūt unikālam un atkārtoti neizmantojamam (izņemot raksturīgi piemītošam), un tādam, ko nav iespējams slepeni iegūt, izmantojot internetu. Drošas autentifikācijas procedūra ir tāda, kas aizsargā autentifikācijas datu konfidencialitāti.7.3. Autorizācija ir procedūra, kas pārbauda, vai klientam ir tiesības veikt konkrētu darbību, piemēram, tiesības pārskaitīt līdzekļus vai piekļūt aizsargājamiem datiem.7.4. Autentifikācijas dati parasti ir konfidenciāla informācija, ko autentifikācijas mērķiem izmanto klients. Par autentifikācijas datiem ir uzskatāma arī autentifikācijai izmantojama ierīce (piemēram, kodu kalkulators, viedkarte) vai lietotāja biometriskie dati.7.5. Par aizsargājamiem datiem šā pielikuma kontekstā atkarībā no izmantošanas metodēm un izraudzītajiem aizsardzības mehānismiem tiek uzskatīti autentifikācijas dati, kā arī cita veida dati, kas izmantojami maksājuma veikšanai vai piekļuvei autentifikācijas datiem vai autentifikācijas datu pārvaldībai.7.6. Darījuma riska analīze ir riska novērtējums, kas saistīts ar konkrētu darījumu, ņemot vērā tādus kritērijus kā, piemēram, klientu maksājumu veidu (raksturu), saistīto darījumu vērtību, produkta veidu un saņēmēja profilu.7.7. Virtuālās kartes ir risinājums maksājumiem ar karti, tām ir alternatīvs, pagaidu kartes numurs ar samazinātu derīguma termiņu, ierobežota lietošana, iepriekš noteikti maksājumu ierobežojumi, un tās var izmantot pirkumiem internetā.7.8. Virtuālais maks ir risinājums, kas ļauj klientam reģistrēt datus, kas attiecas uz vienu vai vairākiem maksājumu instrumentiem, lai veiktu maksājumus vairākiem e-komersantiem.7.9. E-mandāts ir fakultatīvs risinājums, ar kuru tiek papildināta SEPA tiešā debeta shēma, ļaujot debitoram izdot, grozīt un atsaukt tiešā debeta mandātu elektroniskajā vidē.II. Prasības interneta maksājumu drošībaiVispārējā kontrole un drošības videVadība1. Maksājumu pakalpojumu sniedzēji ievieš un regulāri pārskata drošības politiku interneta maksājumu pakalpojumiem.1.1. Drošības politikai jābūt pienācīgi dokumentētai, un tā tiek regulāri pārskatīta (saskaņā ar šā pielikuma II sadaļas 2.4. punktu). Politiku apstiprina vadība. Tā nosaka drošības mērķus un pieļaujamo riska līmeni.1.2. Drošības politika nosaka lomas un atbildību, tostarp informācijas drošības riska kontroles funkciju ar tiesībām sniegt tiešu ziņojumu augstākās vadības līmenī, un pienākumu gatavot regulārus drošības pārskatus par interneta maksājumu pakalpojumiem, tostarp par aizsargājamu datu pārvaldību, ņemot vērā riska novērtējumu, kontroli un mazināšanu.Risku novērtējums2. Maksājumu pakalpojumu sniedzēji veic un dokumentē risku novērtējumu attiecībā uz interneta maksājumu drošību un ar to saistītiem pakalpojumiem gan pirms pakalpojuma(-u) ieviešanas, gan regulāri pēc tam.2.1. Maksājumu pakalpojumu sniedzēji, īstenojot riska kontroles funkciju, veic un dokumentē detalizētu risku izvērtēšanu interneta maksājumiem un ar tiem saistītajiem pakalpojumiem. Maksājumu pakalpojumu sniedzēji apsver pastāvīgas uzraudzības rezultātus attiecībā uz drošības riskiem saistībā ar interneta maksājumu pakalpojumiem, ko tie piedāvā vai plāno piedāvāt, ņemot vērā: i) izmantoto tehnoloģisko risinājumu; ii) no ārējiem pakalpojumu sniedzējiem saņemtos pakalpojumus; iii) klientu tehnisko vidi. Maksājumu pakalpojumu sniedzēji izvērtē risku, kas saistīts ar izvēlēto tehnoloģiju platformām, to uzbūvi un arhitektūru, programmēšanas metodēm un kārtību, gan savā pusē2, gan klientu pusē3, kā arī drošības incidentu uzraudzības procesu (skatīt šā pielikuma II sadaļas 3. punktu).2.2. Pamatojoties uz risku novērtējumu, maksājumu pakalpojumu sniedzēji nosaka, vai un cik lielā mērā esošajiem drošības pasākumiem, izmantotajām tehnoloģijām un piedāvātajiem pakalpojumiem vai procedūrām ir nepieciešamas izmaiņas. Maksājumu pakalpojumu sniedzēji ņem vērā laiku, kas nepieciešams izmaiņu ieviešanai (tostarp ieviešanai klienta pusē) un nepieciešamo pagaidu pasākumu veikšanai, lai mazinātu drošības incidentus un krāpšanu.2.3. Risku novērtēšanas ietvaros jāvērtē arī aizsargājamu datu drošība.2.4. Maksājumu pakalpojumu sniedzēji pārskata risku scenārijus un esošos drošības pasākumus pēc nozīmīgiem incidentiem, kas ietekmē pakalpojumus, pirms nozīmīgām infrastruktūras vai procedūras izmaiņām un tad, ja tiek identificēti jauni riski. Turklāt risku novērtējuma vispārēju pārskatīšanu veic vismaz reizi gadā. Risku novērtējuma un pārskatīšanas rezultātus iesniedz apstiprināšanai vadībai.Incidentu uzraudzība un ziņojumu sniegšana3. Maksājumu pakalpojumu sniedzēji nodrošina konsekventu un integrētu uzraudzību, drošības incidentu apstrādi un kontroli, tostarp ar drošību saistītu klientu sūdzību apstrādi. Maksājumu pakalpojumu sniedzēji nosaka procedūras ziņojumu sniegšanai vadībai par šādiem incidentiem. Par nozīmīgiem maksājumu drošības incidentiem tiek ziņots Finanšu un kapitāla tirgus komisijai.3.1. Maksājumu pakalpojumu sniedzējiem ir pieejamas procedūras drošības incidentu un ar drošību saistīto klientu sūdzību uzraudzībai, apstrādei un kontrolei, un tie ziņo par šādiem incidentiem uzņēmuma vadībai.3.2. Maksājumu pakalpojumu sniedzējiem ir pieejama procedūra, lai nekavējoties sniegtu ziņojumu Finanšu un kapitāla tirgus komisijai par nozīmīgiem maksājumu drošības incidentiem saistībā ar sniegtajiem maksājumu pakalpojumiem.3.3. Maksājumu pakalpojumu sniedzējiem ir pieejama procedūra, lai sadarbotos ar attiecīgajām tiesībsargājošajām iestādēm saistībā ar nozīmīgiem maksājumu drošības incidentiem, tostarp datu aizsardzības pārkāpumiem.3.4. Maksājumu pakalpojumu sniedzēji ar līgumu pieprasa e-komersantiem, kas uzglabā, apstrādā vai pārsūta aizsargājamus datus, sadarboties nozīmīgu maksājumu drošības incidentu jomā, tostarp par datu aizsardzības pārkāpumiem, gan ar maksājumu pakalpojumu sniedzējiem, gan ar attiecīgajām uzraudzības iestādēm. Ja maksājumu pakalpojumu sniedzējs uzzina, ka e-komersants nesadarbojas, kā to nosaka līgums, tas rīkojas, lai izpildītu šajā līgumā paredzētās saistības, vai lauž līgumu.Risku kontrole un mazināšana4. Maksājumu pakalpojumu sniedzēji īsteno drošības pasākumus atbilstoši drošības politikai, lai mazinātu konstatētos riskus. Šie pasākumi ietver vairākus drošības līmeņus, kur vienas aizsardzības līnijas pārrāvuma gadījumā iesaistās nākamā aizsardzības līnija ("pastiprinātā aizsardzība").4.1. Izstrādājot, attīstot un uzturot interneta maksājumu pakalpojumus, maksājumu pakalpojumu sniedzēji pievērš īpašu uzmanību atbilstošai pienākumu nodalīšanai IT vidē (piemēram, izstrādes, testēšanas un ražošanas vidēm) un pienācīgai "mazāko privilēģiju" principa īstenošanai kā pamatam pieejas tiesību pārvaldībai4.4.2. Maksājumu pakalpojumu sniedzējiem ir pieejami atbilstoši drošības risinājumi, lai aizsargātu tīklus, tīmekļa vietnes, serverus un sakaru nodrošinājumu pret vardarbību vai uzbrukumiem. Maksājumu pakalpojumu sniedzēji atslēdz serveros visas liekās funkcijas, lai tos aizsargātu (stiprinātu) un novērstu vai mazinātu lietojumprogrammu ievainojamību riska situācijās. Dažādu lietojumprogrammu piekļuve datiem jāmazina līdz minimumam saskaņā ar "mazāko privilēģiju" principu. Lai ierobežotu viltotu tīmekļa vietņu, kas atdarina likumīgās maksājumu pakalpojumu sniedzēja vietnes, izmantošanu, transakciju tīmekļa vietnes, kas piedāvā interneta maksājumu pakalpojumus, aizsargā ar uzticamiem sertifikātiem, kas izsniegti ar maksājumu pakalpojumu sniedzēja nosaukumu vai citām līdzīgām autentifikācijas metodēm.4.3. Maksājumu pakalpojumu sniedzēji ievieš procedūras, lai uzraudzītu, kontrolētu un ierobežotu piekļuvi: i) aizsargājamiem datiem; ii) loģiskajiem un fiziskajiem kritiskas nozīmes resursiem, piemēram, tīkliem, sistēmām, datu bāzēm, drošības moduļiem utt. Maksājumu pakalpojumu sniedzēji izveido, uzglabā un analizē attiecīgos auditācijas pierakstus.4.4. Izstrādājot5, attīstot un uzturot interneta maksājumu pakalpojumus, maksājumu pakalpojumu sniedzēji nodrošina, ka datu vākšanas samazināšana6 ir būtiska galvenās funkcijas sastāvdaļa: aizsargājamu datu apstrāde, t.sk. arhivēšana un vizualizācija, ir jāsamazina līdz iespējamam minimumam.4.5. Interneta maksājumu pakalpojumu drošību pārbauda risku kontroles funkcijas vadībā, lai nodrošinātu to drošumu un efektivitāti. Visas izmaiņas pakļaujamas noteiktajai izmaiņu pārvaldības procedūrai, nodrošinot, ka izmaiņas tiek pienācīgi plānotas, testētas, dokumentētas un ieviestas. Pamatojoties uz veiktajām izmaiņām un novērotajiem drošības riskiem, testus atkārto regulāri un izskata zināmos iespējamo uzbrukumu scenārijus.4.6. Maksājumu pakalpojumu sniedzēju noteiktos drošības pasākumus periodiski auditē, lai nodrošinātu to stabilitāti un efektivitāti. Auditē arī interneta maksājumu pakalpojumu ieviešanu. Nosakot šādu auditu regularitāti un mērķi, ņem vērā saistītos drošības riskus. Revīziju veic kompetenti un neatkarīgi (iekšējie vai ārējie) eksperti, kas nav iesaistīti sniegto interneta maksājumu pakalpojumu izstrādē, ieviešanā un uzturēšanā.4.7. Ja maksājumu pakalpojumu sniedzēji interneta maksājumu pakalpojumu drošības funkcijas ir nodevuši ārpakalpojumu sniedzējiem, līgumā ar ārpakalpojumu sniedzēju iekļauj noteikumus, kas prasa ievērot atbilstību šajā pielikumā noteiktajiem principiem un vadlīnijām.4.8. Maksājumu pakalpojumu sniedzēji līgumā ar e-komersantiem, kas rīkojas (t.i., glabā, apstrādā un pārsūta) ar aizsargājamiem datiem, pieprasa, lai tie ieviestu atbilstošus drošības pasākumus to IT infrastruktūrā saskaņā ar šā pielikuma II sadaļas 4.1.–4.7. punktu, lai izvairītos no šo aizsargājamo datu zādzībām e-komersantu sistēmās. Ja maksājumu pakalpojumu sniedzējs uzzina, ka e-komersants nav ieviesis nepieciešamos drošības pasākumus, tas rīkojas, lai izpildītu līgumā paredzētās saistības, vai lauž līgumu.Izsekojamība5. Maksājumu pakalpojumu sniedzējiem ir pieejamas procedūras, lai nodrošinātu, ka visi darījumi, kā arī e-mandāta procedūras plūsma ir atbilstoši izsekojama.5.1. Maksājumu pakalpojumu sniedzēji nodrošina, ka to pakalpojums ietver drošības mehānismus, kas nodrošina darījuma detalizētu reģistrēšanu, tostarp ietver darījuma kārtas numuru, darījuma laika zīmogu, izmaiņas parametrizācijā, kā arī jebkuru piekļuvi e-mandāta un darījuma datiem.5.2. Maksājumu pakalpojumu sniedzēji nodrošina auditācijas pierakstus, kas ļauj izsekot darījuma vai e-mandāta datu apstrādei, t.sk. papildinājumiem, izmaiņām vai dzēšanai.5.3. Maksājumu pakalpojumu sniedzēji regulāri pārskata un analizē darījumu auditācijas pierakstus un šim mērķim lieto metodes un rīkus, kas ļauj to veikt efektīvi. Šīs procedūras īsteno tikai pilnvarotais personāls.ĪPAŠA kontrole un drošības PASĀKUMI INTERNETA MAKSĀJUMIEMSākotnējā klienta identifikācija un informācija6. Klienti tiek atbilstoši identificēti saskaņā ar Latvijas Republikas normatīvajiem aktiem7 un attiecīgajiem Eiropas tiesību aktiem par noziedzīgi iegūtu līdzekļu legalizācijas novēršanu8, un tie apstiprina gatavību veikt interneta maksājumus, pirms tiem tiek piešķirta piekļuve šādiem pakalpojumiem. Maksājumu pakalpojumu sniedzēji sniedz klientam pietiekamu sākotnēju, regulāru vai attiecīgā gadījumā ārkārtas informāciju par šo pakalpojumu riskiem un nepieciešamajām prasībām (piemēram, aprīkojumu, procedūrām), lai veiktu drošus interneta maksājumus.6.1. Maksājumu pakalpojumu sniedzēji nodrošina klienta izpēti un pārliecinās, ka klients ir iesniedzis nepieciešamos identitāti apliecinošos dokumentus9 un citu nepieciešamo informāciju, pirms viņam tiek piešķirta piekļuve interneta maksājumu pakalpojumiem.106.2. Maksājumu pakalpojumu sniedzēji nodrošina, ka sākotnējā informācija11, kas tiek nodota klientam, satur visu nepieciešamo informāciju attiecībā uz interneta maksājumu pakalpojumu drošību. Nepieciešamības gadījumā tajā iekļauj:6.2.1. skaidru informāciju par prasībām attiecībā uz klienta datortehniku, programmatūru vai citiem nepieciešamajiem instrumentiem (piemēram, pretvīrusu programmatūru, ugunsmūri);6.2.2. prasības par autentifikācijas datu pareizu un drošu lietošanu;6.2.3. detalizētu aprakstu par darbībām, kas jāveic, lai klients spētu iesniegt un apstiprināt maksājumu darījumu un/vai iegūt informāciju, ietverot skaidrojumus par veikto darbību sekām;6.2.4. prasības par klientam nodotās ierīces un programmatūras drošu un pareizu izmantošanu;6.2.5. darbības, kas veicamas autentifikācijas datu vai klienta iekārtu vai programmatūras, kas paredzēta piekļuvei vai darījumu veikšanai, nozaudēšanas vai nozagšanas gadījumā;6.2.6. darbības, kas veicamas, ja tiek konstatēta ļaunprātīga konta izmantošana vai ja rodas aizdomas par to;6.2.7. maksājumu pakalpojumu sniedzēja un klienta pienākumu un saistību aprakstu, ņemot vērā konkrēto interneta maksājumu pakalpojumu.6.3. Maksājumu pakalpojumu sniedzēji nodrošina, ka līgumā ar klientu ir norādīts, ka maksājumu pakalpojumu sniedzējs var bloķēt noteiktu darījumu vai maksājumu instrumentu12, pamatojoties uz drošības apsvērumiem. Līgumā paredz klienta informēšanas metodes un nosacījumus, kā arī veidus, kā klients var sazināties ar maksājumu pakalpojumu sniedzēju, lai atbloķētu interneta maksājumu darījumu vai pakalpojumu saskaņā ar Maksājumu pakalpojumu un elektroniskās naudas likumu.Droša klienta autentifikācija7. Interneta maksājumu sākšanu, kā arī piekļuvi aizsargājamiem datiem nodrošina ar drošu klienta autentifikāciju. Maksājumu pakalpojumu sniedzējs ievieš drošu klientu autentifikācijas procedūru atbilstoši šajā pielikumā minētajiem nosacījumiem.7.1. Maksājumu pakalpojumu sniedzēji veic drošu klientu autentifikāciju klienta interneta maksājumu darījumu autorizēšanai (ieskaitot apvienotus kredīta pārvedumus un e-naudas darījumus) un elektronisko tiešo debeta mandātu izsniegšanai vai grozīšanai (e-mandāts). Tomēr maksājumu pakalpojumu sniedzēji var izmantot alternatīvus klienta autentifikācijas pasākumus:7.1.1. maksājumiem uzticamam saņēmējam, kas iekļauts iepriekš izveidotā apstiprināto maksājumu sarakstā vai baltajā sarakstā (white list);7.1.2. darījumiem starp viena klienta diviem kontiem, kurus uztur viens un tas pats maksājumu pakalpojumu sniedzējs;7.1.3. pārvedumiem viena un tā paša maksājumu pakalpojumu sniedzēja ietvaros, ja šādu iespēju pieļauj maksājumu pakalpojumu sniedzēja veiktais risku novērtējums;7.1.4. maza apmēra maksājumiem, kā minēts Maksājumu pakalpojumu un elektroniskās naudas likumā13.7.2. Lai piekļūtu vai izmainītu aizsargājamos datus (tostarp baltā saraksta izveidošanas un izmainīšanas gadījumā), nepieciešama droša klienta autentifikācija. Ja maksājumu pakalpojumu sniedzējs piedāvā tikai informatīvus pakalpojumus, kas neatspoguļo aizsargājamu klienta vai maksājumu informāciju, piemēram, maksājumu kartes datus, kurus ir iespējams ļaunprātīgi izmantot krāpšanas nolūkos, maksājumu pakalpojumu sniedzējs var pielāgot savas autentifikācijas prasības, pamatojoties uz risku novērtējumu.7.3. Attiecībā uz karšu darījumiem visām maksājumu pakalpojumu sniedzēja izsniegtajām kartēm jāatbalsta droša kartes turētāja autentifikācija. Visām izsniegtajām kartēm jābūt tehniski gatavām (reģistrētām) izmantošanai ar drošu autentifikāciju.7.4. Maksājumu pakalpojumu sniedzēji, piedāvājot maksājumu karšu pieņemšanas pakalpojumu, atbalsta tehnoloģijas, kas ļauj izsniedzējam veikt drošu kartes turētāja autentifikāciju.7.5. Maksājumu pakalpojumu sniedzēji, piedāvājot iegādāties pakalpojumu, pieprasa savam e-komersantam atbalstīt risinājumus, kas ļauj izsniedzējam veikt drošu kartes turētāja autentifikāciju darījumiem ar karti internetā. Alternatīvas autentifikācijas metodes var izmantot iepriekš noteiktām zema riska darījumu kategorijām, piemēram, pamatojoties uz darījumu riska analīzi, vai maza apmēra maksājumiem, kā minēts Maksājumu pakalpojumu un elektroniskās naudas likumā.7.6. Virtuālā maka pakalpojumu sniedzēji pieprasa drošu autentifikāciju, ja likumīgais turētājs pirmo reizi reģistrē kartes datus.7.7. Virtuālā maka pakalpojumu sniedzēji atbalsta klienta autentifikāciju, ja klients piesakās virtuālā maka maksājumu pakalpojumiem vai veic darījumus ar karti internetā.Alternatīvas autentifikācijas metodes var izmantot iepriekš noteiktām zema riska darījumu kategorijām, piemēram, pamatojoties uz darījumu riska analīzi, vai maza apmēra maksājumiem, kā minēts Maksājumu pakalpojumu un elektroniskās naudas likumā.7.8. Virtuālajām kartēm sākotnējā reģistrācija notiek drošā un uzticamā vidē14. Droša klienta autentifikācija nepieciešama virtuālās kartes datu ģenerēšanas procesam, ja karte izsniegta interneta vidē.7.9. Maksājumu pakalpojumu sniedzēji nodrošina savstarpēju ("two-way") autentifikāciju saziņai ar e-komersantu, ja tiek veikts interneta maksājums vai notiek piekļuve aizsargājamiem datiem.Pieteikšanās autentifikācijas instrumentiem un/vai programmatūrai un to piegāde klientam8. Maksājumu pakalpojumu sniedzēji nodrošina, ka klienta pieteikšanās autentifikācijas līdzekļiem, kas nepieciešami, lai izmantotu interneta maksājumu pakalpojumus, un to piegāde tiek veikta drošā veidā.8.1. Pieteikšanās autentifikācijas līdzekļiem un to piegāde atbilst šādām prasībām:8.1.1. saistītās darbības veic drošā un uzticamā vidē, vienlaikus ņemot vērā iespējamos riskus, kas izriet no ierīcēm, kas neatrodas maksājumu pakalpojumu sniedzēja kontrolē;8.1.2. ievieš efektīvas un drošas procedūras autentifikācijas datu, ar maksājumiem saistītās programmatūras un visu ar interneta maksājumiem saistīto personalizēto ierīču piegādei. Internetā piegādāto programmatūru paraksta maksājumu pakalpojumu sniedzējs, kas klientam dod iespēju pārbaudīt tās autentiskumu un pārliecināties, ka tā nav iepriekš lietota;8.1.3. darījumiem ar karti klientam ir iespēja reģistrēties drošai autentifikācijai neatkarīgi no konkrētā interneta pirkuma. Ja aktivizācija tiek piedāvāta tiešsaistes iepirkšanās laikā, to dara, novirzot klientu uz drošu un uzticamu vidi.8.2. Maksājumu karšu izsniedzēji aktīvi veicina kartes turētāja reģistrāciju drošai autentifikācijai un ļauj turētājiem apiet reģistrāciju tikai izņēmuma kārtā un tikai ierobežotam skaitam gadījumu, ja to attaisno risks, kas saistīts ar konkrēta darījuma ar karti specifiku.Autentifikācijas mēģinājumi, sesijas noilgums, autentifikācijas derīgums9. Maksājumu pakalpojumu sniedzēji nosaka maksimālo autentifikācijas mēģinājumu skaitu, prasības par interneta maksājumu pakalpojumu sesijas noilgumu un autentifikācijas derīguma ilgumu.9.1. Izmantojot vienreizēju/unikālu paroli autentifikācijai, maksājumu pakalpojumu sniedzēji nodrošina, ka šādas paroles/koda derīguma termiņš ir ierobežots līdz nepieciešamajam minimumam.9.2. Maksājumu pakalpojumu sniedzēji nosaka neveiksmīgo autentifikācijas mēģinājumu maksimālo skaitu pēc kārtas, kad piekļuve interneta maksājumu pakalpojumam tiek bloķēta (īslaicīgi vai pastāvīgi). Maksājumu pakalpojumu sniedzēji nodrošina drošu procesu bloķētu interneta maksājumu pakalpojumu aktivizēšanai.9.3. Maksājumu pakalpojumu sniedzēji nosaka laika periodu, pēc kura neaktīva interneta maksājumu pakalpojumu sesija tiek automātiski pārtraukta.Darījumu uzraudzība un pārraudzība10. Darījumu uzraudzības un pārraudzības risinājumus, kas paredzēti, lai novērstu, atklātu un bloķētu krāpnieciskus maksā …

🔗 Uz oficiālo avotu

MI skaidrojums pēc oficiālā likuma teksta. Orientējošs, neaizstāj juridisku konsultāciju.