ODLUKA O IZMENAMA I DOPUNAMA ODLUKE O MINIMALNIM STANDARDIMA UPRAVLJANJA INFORMACIONIM SISTEMOM FINANSIJSKE INSTITUCIJE ("Sl. glasnik RS", br. 2/2017)

Na osnovu člana 15. stav 1. i člana 63. stav 2. Zakona o Narodnoj banci Srbije ("Službeni glasnik RS", br. 72/03, 55/04, 85/05 – dr. zakon, 44/10, 76/12, 106/12, 14/15 i 40/15 – odluka US),
Izvršni odbor Narodne banke Srbije donosi

1. U Odluci o minimalnim standardima upravljanja informacionim sistemom finansijske institucije ("Službeni glasnik RS", br. 23/13 i 113/13) (u daljem tekstu: Odluka), u tački 1, stav 1. menja se i glasi:

"Ovom odlukom utvrđuju se minimalni standardi i uslovi stabilnog i sigurnog poslovanja koji se odnose na upravljanje informacionim sistemima u bankama, društvima za osiguranje, davaocima finansijskog lizinga, društvima za upravljanje dobrovoljnim penzijskim fondovima, kao i platnim institucijama, institucijama elektronskog novca i javnom poštanskom operatoru u delu njihovog poslovanja koji se odnosi na pružanje platnih usluga i/ili izdavanje elektronskog novca (u daljem tekstu: finansijska institucija).".

2. U tački 2, odredba pod 35), reči: "pre nastupanja neraspoloživosti poslovnog procesa koji ne bi bio obuhvaćen rezervnom kopijom podataka" zamenjuju se rečima: "od poslednje rezervne kopije podataka do nastupanja neraspoloživosti poslovnog procesa".

Odredba pod 37) menja se i glasi:

"37) elektronske usluge su usluge koje klijenti banke, platne institucije, institucije elektronskog novca i javnog poštanskog operatora koriste sa udaljene lokacije preko interneta, a koje obuhvataju pristupanje platnom i drugom računu, iniciranje platne transakcije i druge aktivnosti kojima se pristupa podacima u vezi sa uslugama ovih finansijskih institucija koji bi mogli biti predmet prevarnih radnji ili drugih zloupotreba.".

3. U tački 22, posle stava 1, dodaje se stav 2, koji glasi:

"Finansijska institucija je naročito dužna da obezbedi integritet podataka o platnim transakcijama pri njihovoj obradi, čuvanju i preduzimanju svih drugih radnji u vezi s tim podacima.".

4. U tački 26, st. 1. i 7, reči: "i društva za upravljanje dobrovoljnim penzijskim fondom" zamenjuju se rečima: ",društva za upravljanje dobrovoljnim penzijskim fondom, platne institucije, institucije elektronskog novca i javnog poštanskog operatora".

5. U tački 42, stav 1, odredba pod 3), tačka na kraju rečenice zamenjuje se zapetom i dodaju se reči: "koja mora da sadrži spisak mera i aktivnosti koje je potrebno preduzeti, kao i dinamiku njihovog sprovođenja od trenutka prestanka pružanja ugovorenih usluga do izbora drugog pružaoca usluga ili potpunog uspostavljanja procesa obavljanja tih aktivnosti unutar finansijske institucije.".

6. U tački 44, posle stava 1, dodaje se novi stav 2, koji glasi:

"Finansijska institucija je dužna da obezbedi da pružalac usluga poverene aktivnosti obavlja u skladu sa politikom bezbednosti informacionog sistema i drugim aktima finansijske institucije kojima se uređuje bezbednost njenog informacionog sistema.".

Dosadašnji stav 2. postaje stav 3.

7. U tački 45, posle stava 1, dodaje se novi stav 2, koji glasi:

"Ako se menja ugovor iz stava 1. ove tačke, a da se pri tom ne menja poverena aktivnost, pružalac usluga ili se ne utiče na rezultate analize iz tačke 42. stav 1. odredba pod 1) ove odluke, odnosno na rezultate procene iz tačke 42. stav 2. te odluke, finansijska institucija je dužna da pre zaključenja tog ugovora o tome obavesti Narodnu banku Srbije i dostavi joj nacrt ugovora.".

Dosadašnji stav 2. postaje stav 3.

8. Tačke 49. do 51, kao i naslov iznad tih tačaka, menjaju se i glase:

"IX. ELEKTRONSKE USLUGE

49. Banka, platna institucija, institucija elektronskog novca i javni poštanski operator koji pružaju elektronske usluge (u daljem tekstu: pružalac elektronskih usluga) dužni su da, kao sastavni deo upravljanja rizikom informacionog sistema, uspostave proces upravljanja rizicima koji proizlaze iz pružanja elektronskih usluga.

50. Pružalac elektronskih usluga dužan je da pri pružanju elektronskih usluga primeni bezbedne i efikasne metode za proveru i potvrdu identiteta i ovlašćenja lica, procesa i sistema.

Pružalac elektronskih usluga dužan je da korisnicima pri korišćenju ovih usluga obezbedi autentifikaciju koja uključuje kombinaciju najmanje dva međusobno nezavisna elementa za potvrđivanje korisničkog identiteta.

Izuzetno od stava 2. ove tačke, pružalac elektronskih usluga može primeniti autentifikaciju korisnika koja se vrši korišćenjem jednog elementa za potvrđivanje korisničkog identiteta, u slučaju:

1) plaćanja male novčane vrednosti, u skladu sa okvirnim ugovorom o platnim uslugama, pod uslovom da se rizicima koji se odnose na ukupan iznos ovih plaćanja upravlja na odgovarajući način (npr. utvrđivanje maksimalnog iznosa ovih transakcija u određenom periodu nakon kojih će se sprovesti autentifikacija u skladu sa stavom 2. ove tačke ili preduzeti dodatne mere zaštite);

2) plaćanja prema primaocima plaćanja koja je platilac unapred odredio (npr. utvrđivanje tzv. bele liste primaoca plaćanja);

3) prenos novčanih sredstava između dva platna računa istog korisnika kod istog pružaoca elektronskih usluga;

4) prenos elektronskog novca koji se obavlja u okviru istog pružaoca elektronskih usluga, koji je zasnovan na analizi rizika ovih platnih transakcija;

5) drugih transakcija i usluga koje su na osnovu analize rizika procenjene kao niskorizične.

Pružalac elektronskih usluga može da primeni autentifikaciju korisnika iz stava 3. ove tačke samo ako je najmanje 30 dana pre dana početka pružanja usluge o tome obavestio Narodnu banku Srbije i uz to obaveštenje dostavio sveobuhvatnu i detaljnu analizu rizika i načina upravljanja rizicima koji proizlaze iz pružanja usluga na način utvrđen u odredbama 1) do 5) tog stava i drugu odgovarajuću dokumentaciju koja se odnosi na ovu analizu.

Analiza iz stava 4. ove tačke obuhvata posebno i analize iz stava 3. odredbe pod 4) i 5) ove tačke, ako pružalac elektronskih usluga namerava da primeni autentifikaciju korisnika korišćenjem jednog elementa za potvrđivanje korisničkog identiteta u slučajevima iz tih odredaba.

Rok iz stava 4. ove tačke računa se od dana dostavljanja uredne dokumentacije iz tog stava.

51. Pružalac elektronskih usluga dužan je da usvoji i primeni pravila kojima se na odgovarajući način, u skladu s tržišnom praksom i procenom rizika, ograničava broj pokušaja prijave na sistem za pružanje elektronskih usluga, odnosno pokušaja autentifikacije, da odredi najduže vreme bez aktivnosti korisnika nakon prijave na taj sistem, kao i da utvrdi rokove važenja parametara autentifikacije.

Pri korišćenju jednokratnih lozinki radi autentifikacije (npr. One Time Password – OTP), pružalac elektronskih usluga dužan je da obezbedi da vremensko važenje te lozinke bude ograničeno na period koji je potreban za obavljanje autentifikacije.

Pružalac elektronskih usluga dužan je da utvrdi najveći mogući broj neuspešnih pokušaja prijave na sistem za pružanje elektronskih usluga nakon kojih će taj sistem biti trajno ili privremeno blokiran, kao i da uspostavi procedure za bezbedno ponovno aktiviranje ovog sistema.

Pružalac elektronskih usluga dužan je da utvrdi najduže moguće vreme bez aktivnosti korisnika na sistemu za pružanje elektronskih usluga po prijavljivanju u taj sistem, nakon kojeg dolazi do automatskog odjavljivanja korisnika iz ovog sistema (tzv. završetak sesije).

Pružalac elektronskih usluga dužan je da obezbedi odgovarajuću potvrdu svog identiteta na distributivnom kanalu za pružanje elektronskih usluga kako bi korisnici mogli da provere pružaoca elektronske usluge.

Pružalac elektronskih usluga je dužan da obezbedi postojanje operativnih i sistemskih zapisa kako bi se u odgovarajućoj meri obezbedila neporecivost i dokazivost radnji u vezi sa pružanjem elektronskih usluga.".

9. Banke su dužne da svoje poslovanje usklade sa odredbama ove odluke do dana početka njene primene.

Javni poštanski operator je dužan da svoje poslovanje uskladi sa odredbama Odluke i ove odluke do 1. jula 2017. godine, osim tačke 2. stav 2. i tačke 8. ove odluke sa kojima je dužan da to poslovanje uskladi do dana početka njene primene.

10. Ova odluka stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije", a primenjuje se od 1. aprila 2017. godine.