Αριθμ. πράξης 157/02.04.2019

(ΦΕΚ Β' 1646/14-05-2019)

Η ΕΚΤΕΛΕΣΤΙΚΗ ΕΠΙΤΡΟΠΗ ΤΗΣ ΤΡΑΠΕΖΑΣ ΤΗΣ ΕΛΛΑΔΟΣ

Αφού έλαβε υπόψη:

α) τα άρθρα 2 και 55Α του Καταστατικού της Τράπεζας της Ελλάδος (ΦΕΚ Α’ 298/1927),
β) τις διατάξεις του ν. 4261/2014 «Πρόσβαση στη δραστηριότητα των πιστωτικών ιδρυμάτων και προληπτική εποπτεία πιστωτικών ιδρυμάτων και επιχειρήσεων επενδύσεων (ενσωμάτωση της Οδηγίας 2013/36/ΕΕ), κατάργηση του ν. 3601/2007 και άλλες διατάξεις» (ΦΕΚ Α’107), και ιδίως την παρ. 4 του άρθρου 4 και το άρθρο 66 αυτού,
γ) τον Κανονισμό (ΕΕ) αριθ. 1024/2013 του Συμβουλίου της 15ης Οκτωβρίου 2013 για την ανάθεση ειδικών καθηκόντων στην Ευρωπαϊκή Κεντρική Τράπεζα σχετικά με τις πολιτικές που αφορούν την προληπτική εποπτεία των πιστωτικών ιδρυμάτων (ΕΕ L 287/63, 29.10.2013), και ιδίως τα άρθρα 4 και 6 και το στοιχείο 28 του Προοιμίου αυτού,
δ) τις διατάξεις του ν. 4537/2018 «Ενσωμάτωση στην ελληνική νομοθεσία της Οδηγίας 2015/2366/ΕΕ για τις υπηρεσίες πληρωμών και άλλες διατάξεις» (ΦΕΚ Α’ 84), και ιδίως την παρ. 6 του άρθρου 20, το άρθρο 23, το άρθρο 94 και την παρ. 6 του άρθρου 96 αυτού,
ε) τις διατάξεις του Κεφαλαίου Α’ του Δεύτερου Μέρους του ν. 4021/2011 «Ενισχυμένα μέτρα εποπτείας και εξυγίανσης των πιστωτικών ιδρυμάτων–Ρύθμιση θεμάτων χρηματοπιστωτικού χαρακτήρα – Κύρωση της Σύμβασης -Πλαίσιο του Ευρωπαϊκού Ταμείου Χρηματοπιστωτικής Σταθερότητας και των τροποποιήσεών της και άλλες διατάξεις» (ΦΕΚ Α’ 218), και ιδίως την παρ. 4 του άρθρου 12 αυτού,
στ) τον Κανονισμό (ΕΕ) αριθ. 1093/2010 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Νοεμβρίου 2010 σχετικά με τη σύσταση Ευρωπαϊκής Εποπτικής Αρχής (Ευρωπαϊκή Αρχή Τραπεζών), την τροποποίηση της απόφασης αριθ. 716/2009/ΕΚ και την κατάργηση της απόφασης 2009/78/ΕΚ της Επιτροπής (ΕΕ L 331/12, 15.12.2010), και ιδίως το άρθρο 16 αυτού,
ζ) τις κατευθυντήριες γραμμές της Ευρωπαϊκής Αρχής Τραπεζών σχετικά με τα μέτρα ασφάλειας για τους λειτουργικούς κινδύνους και τους κινδύνους ασφάλειας των υπηρεσιών πληρωμών σύμφωνα με την Οδηγία 2015/2366/ΕΕ (δεύτερη Οδηγία για τις υπηρεσίες πληρωμών) (EBA/GL/2017/17),
η) ότι από τις διατάξεις της παρούσας πράξης δεν προκαλείται δαπάνη σε βάρος του κρατικού προϋπολογισμού,

αποφασίζει:

Ι. Πεδίο εφαρμογής και oρισμοί

1. Οι διατάξεις της παρούσας πράξης εφαρμόζονται, σε ατομική και σε ενοποιημένη βάση, από τους ακόλουθους παρόχους υπηρεσιών πληρωμών (εφεξής «ΠΥΠ»):
(α) τα πιστωτικά ιδρύματα με έδρα στην Ελλάδα,
(β) τα υποκαταστήματα των πιστωτικών ιδρυμάτων με έδρα σε χώρα εκτός του Ε.Ο.Χ. που έχουν λάβει άδεια λειτουργίας από την Τράπεζα της Ελλάδος και λειτουργούν στην Ελλάδα,
(γ) τα ιδρύματα πληρωμών με έδρα στην Ελλάδα,
(δ) τα ιδρύματα ηλεκτρονικού χρήματος με έδρα στην Ελλάδα, και
(ε) τα υποκαταστήματα των ιδρυμάτων ηλεκτρονικού χρήματος με έδρα σε χώρα εκτός του Ε.Ο.Χ. που έχουν λάβει άδεια λειτουργίας από την Τράπεζα της Ελλάδος και λειτουργούν στην Ελλάδα.

2. Για τους σκοπούς της παρούσας πράξης, και συμπληρωματικά προς τους ορισμούς του ν. 4537/2018, ισχύουν οι ακόλουθοι ορισμοί:
α) Λειτουργικό συμβάν ή συμβάν που αφορά την ασφάλεια (εφεξής «συμβάν»): ένα μεμονωμένο συμβάν ή μια σειρά συνδεόμενων μη προγραμματισμένων από τον ΠΥΠ συμβάντων, τα οποία έχουν ή ενδέχεται να έχουν δυσμενείς επιπτώσεις στην ακεραιότητα, τη διαθεσιμότητα, την εμπιστευτικότητα, τη γνησιότητα και/ή τη συνέχεια των υπηρεσιών που σχετίζονται με πληρωμές.
β) Ανώτερα διοικητικά στελέχη: με τον όρο αυτό νοούνται τα φυσικά πρόσωπα που ασκούν εκτελεστικά καθήκοντα σε πιστωτικό ίδρυμα ή ίδρυμα πληρωμών ή ίδρυμα ηλεκτρονικού χρήματος και τα οποία είναι υπεύθυνα και λογοδοτούν στο διοικητικό συμβούλιο για την καθημερινή διοίκηση τους.
γ) Κίνδυνος ασφάλειας: ο κίνδυνος που οφείλεται στην ανεπάρκεια ή την αποτυχία εσωτερικών διεργασιών ή σε εξωτερικά γεγονότα που έχουν ή ενδέχεται να έχουν δυσμενείς επιπτώσεις στη διαθεσιμότητα, την ακεραιότητα, την εμπιστευτικότητα των συστημάτων τεχνολογίας πληροφοριών και επικοινωνιών (εφεξής «ΤΠΕ») και/ή των πληροφοριών που χρησιμοποιούνται για την παροχή υπηρεσιών πληρωμών. Στο πλαίσιο αυτό περιλαμβάνεται και ο κίνδυνος που προκαλείται από επιθέσεις στον κυβερνοχώρο ή λόγω ανεπαρκούς φυσικής ασφάλειας.
δ) Διάθεση ανάληψης κινδύνου: το συγκεντρωτικό επίπεδο και τα είδη των κινδύνων που προτίθεται να αναλάβει ένα ίδρυμα στο πλαίσιο της ικανότητάς του για ανάληψη κινδύνων, και σύμφωνα με το επιχειρηματικό του μοντέλο, προκειμένου να επιτύχει τους στρατηγικούς στόχους του.

ΙΙ. Απαιτήσεις σχετικά με τα μέτρα ασφάλειας για τους λειτουργικούς κινδύνους και τους κινδύνους ασφάλειας που σχετίζονται με τις υπηρεσίες πληρωμών

1. Αρχή αναλογικότητας

1.1. Η συμμόρφωση προς τις απαιτήσεις της παρούσας γίνεται κατά τρόπο κατάλληλο προς το μέγεθος, τη φύση, το εύρος, την πολυπλοκότητα και τον βαθμό επικινδυνότητας των συγκεκριμένων υπηρεσιών τις οποίες παρέχει ή προτίθεται να παρέχει ο ΠΥΠ.

2. Διακυβέρνηση

Πλαίσιο διαχείρισης λειτουργικών κινδύνων και κινδύνων ασφάλειας

2.1. Οι ΠΥΠ θεσπίζουν αποτελεσματικό πλαίσιο διαχείρισης λειτουργικών κινδύνων και κινδύνων ασφάλειας (εφεξής «πλαίσιο διαχείρισης κινδύνων»), το οποίο εγκρίνεται και επανεξετάζεται, τουλάχιστον άπαξ ετησίως, από το διοικητικό συμβούλιο και, κατά περίπτωση, από τα ανώτερα διοικητικά στελέχη. Το εν λόγω πλαίσιο εστιάζει σε μέτρα ασφάλειας για τη μείωση των λειτουργικών κινδύνων και των κινδύνων ασφάλειας και εντάσσεται πλήρως στις συνολικές διεργασίες διαχείρισης κινδύνων του ΠΥΠ.
2.2. Το πλαίσιο διαχείρισης κινδύνων:
α) περιλαμβάνει την πολιτική ασφάλειας σύμφωνα με τα οριζόμενα στην περ. ι) της παρ. 1 του άρθρου 5 του ν. 4537/2018,
β) συνάδει με τη διάθεση ανάληψης κινδύνου του ΠΥΠ,
γ) ορίζει και αναθέτει τους καίριους ρόλους και αρμοδιότητες, καθώς και τις σχετικές γραμμές αναφοράς που απαιτούνται για την επιβολή των μέτρων ασφάλειας και για τη διαχείριση των κινδύνων ασφάλειας και των λειτουργικών κινδύνων,
δ) ορίζει τις απαραίτητες διαδικασίες και συστήματα για τον προσδιορισμό, τη μέτρηση, την παρακολούθηση και τη διαχείριση του εύρους των κινδύνων οι οποίοι απορρέουν από τις δραστηριότητες του ΠΥΠ που σχετίζονται με πληρωμές και στους οποίους εκτίθεται ο ΠΥΠ, συμπεριλαμβανομένων των ρυθμίσεων επιχειρησιακής συνέχειας.
2.3. Οι ΠΥΠ διασφαλίζουν ότι το πλαίσιο διαχείρισης
κινδύνων είναι δεόντως τεκμηριωμένο και ότι επικαιροποιείται με βάση τα καταγεγραμμένα συμπεράσματα που αντλούνται κατά την εφαρμογή και την παρακολούθησή του.
2.4. Οι ΠΥΠ μεριμνούν ώστε, πριν από κάποια σημαντική αλλαγή σε υποδομές, διεργασίες ή διαδικασίες και έπειτα από κάθε κρίσιμης σημασίας συμβάν το οποίο επηρεάζει την ασφάλεια των υπηρεσιών πληρωμών που παρέχουν, να επανεξετάζουν χωρίς αδικαιολόγητη καθυστέρηση αν απαιτούνται αλλαγές ή βελτιώσεις στο πλαίσιο διαχείρισης κινδύνων.
Υποδείγματα διαχείρισης κινδύνων και ελέγχου
2.5. Οι ΠΥΠ θεσπίζουν τρεις αποτελεσματικές γραμμές άμυνας ή ισοδύναμο εσωτερικό υπόδειγμα διαχείρισης κινδύνων και ελέγχου για τον προσδιορισμό και τη διαχείριση των λειτουργικών κινδύνων και των κινδύνων ασφάλειας. Οι ΠΥΠ διασφαλίζουν ότι το προαναφερθέν εσωτερικό υπόδειγμα ελέγχου διαθέτει επαρκή εξουσία, ανεξαρτησία, πόρους και απευθείας γραμμές αναφοράς προς το διοικητικό συμβούλιο και, κατά περίπτωση, προς τα ανώτερα διοικητικά στελέχη.
2.6. Τα μέτρα ασφάλειας που προβλέπονται στην παρούσα ελέγχονται από λειτουργικά ανεξάρτητους από το ΠΥΠ εσωτερικούς ή εξωτερικούς ελεγκτές με εξειδίκευση σε θέματα ασφάλειας πληροφοριακών συστημάτων και πληρωμών. Για τον προσδιορισμό της συχνότητας και του σημείου εστίασης των εν λόγω ελέγχων συνεκτιμώνται οι αντίστοιχοι κίνδυνοι ασφάλειας.
Εξωτερική ανάθεση
2.7. Οι ΠΥΠ διασφαλίζουν την αποτελεσματικότητα των μέτρων ασφάλειας που προβλέπονται στην παρούσα στις περιπτώσεις εξωτερικής ανάθεσης λειτουργικών δραστηριοτήτων υπηρεσιών πληρωμών, στις οποίες περιλαμβάνονται και τα πληροφοριακά συστήματα.
2.8. Οι ΠΥΠ διασφαλίζουν ότι τόσο στις συμβάσεις όσο και στις συμφωνίες του προσφερόμενου επιπέδου υπηρεσιών (Service Level Agreement SLA) με τους προμηθευτές (τρίτοι στους οποίους ανατίθενται εξωτερικά οι εν λόγω λειτουργίες) περιλαμβάνονται, με τρόπο κατάλληλο και αναλογικό, οι σκοποί, τα μέτρα και οι στόχοι επιδόσεων αναφορικά με την ασφάλεια. Οι ΠΥΠ παρακολουθούν και επιδιώκουν από τους προμηθευτές εύλογες διασφαλίσεις σχετικά με το επίπεδο συμμόρφωσής τους με τους ανωτέρω σκοπούς, τα μέτρα και τους στόχους επιδόσεων.

3. Αξιολόγηση κινδύνων

Προσδιορισμός λειτουργιών, διεργασιών και πόρων

3.1. Οι ΠΥΠ προσδιορίζουν, καταρτίζουν και επικαιροποιούν σε τακτική βάση κατάλογο των επιχειρηματικών τους λειτουργιών, των καίριων ρόλων και των υποστηρικτικών διεργασιών προκειμένου να καταγραφεί η σημασία κάθε επιμέρους λειτουργίας, καίριου ρόλου και υποστηρικτικής διεργασίας, καθώς και οι αλληλεξαρτήσεις τους σε σχέση με τους λειτουργικούς κινδύνους και τους κινδύνους ασφάλειας.
3.2. Οι ΠΥΠ προσδιορίζουν, καταρτίζουν και επικαιροποιούν σε τακτική βάση κατάλογο των πληροφοριακών πόρων, όπως είναι τα συστήματα ΤΠΕ, οι παράμετροί τους, άλλες υποδομές, καθώς και οι διασυνδέσεις με άλλα εσωτερικά και εξωτερικά συστήματα, προκειμένου να είναι σε θέση να διαχειρίζονται τους πόρους που υποστηρίζουν τις κρίσιμες επιχειρηματικές λειτουργίες και διεργασίες τους.

Κατηγοριοποίηση λειτουργιών, διεργασιών και πόρων

3.3. Οι ΠΥΠ κατηγοριοποιούν τις επιχειρηματικές λειτουργίες, τις υποστηρικτικές διεργασίες και τους πληροφοριακούς πόρους βάσει της κρισιμότητάς τους.
Αξιολογήσεις των κινδύνων λειτουργιών, διεργασιών και πόρων
3.4. Οι ΠΥΠ διασφαλίζουν τη συνεχή παρακολούθηση των απειλών και των ευπαθειών, καθώς επίσης και την τακτική επανεξέταση των σεναρίων κινδύνων που επηρεάζουν τις επιχειρηματικές λειτουργίες, τις κρίσιμες διαδικασίες και τους πληροφοριακούς τους πόρους. Στο πλαίσιο της υποχρέωσης των ΠΥΠ να διεξάγουν και να παρέχουν στην Τράπεζα της Ελλάδος επικαιροποιημένη και ολοκληρωμένη αξιολόγηση των λειτουργικών κινδύνων και των κινδύνων ασφάλειας που σχετίζονται με τις υπηρεσίες πληρωμών τις οποίες παρέχουν, καθώς και της επάρκειας των μέτρων μείωσης των κινδύνων και των μηχανισμών ελέγχου που εφαρμόζονται για την αντιμετώπιση των εν λόγω κινδύνων, σύμφωνα με τα οριζόμενα στην παρ. 2 του άρθρου 94 του ν. 4537/2018, οι ΠΥΠ διενεργούν και τεκμηριώνουν, τουλάχιστον σε ετήσια βάση, αξιολογήσεις των κινδύνων των λειτουργιών, των διεργασιών και των πληροφοριακών πόρων που έχουν προσδιορίσει και κατηγοριοποιήσει, με στόχο τον προσδιορισμό και την αξιολόγηση των κυριότερων λειτουργικών κινδύνων και κινδύνων ασφάλειας. Οι εν λόγω αξιολογήσεις κινδύνων δύνανται να πραγματοποιούνται επίσης και εκτάκτως πριν επέλθει οποιαδήποτε σημαντική αλλαγή σε υποδομές, διεργασίες ή διαδικασίες η οποία επηρεάζει την ασφάλεια των υπηρεσιών πληρωμών.
3.5. Βάσει των αξιολογήσεων των κινδύνων, οι ΠΥΠ καθορίζουν αν και σε ποιον βαθμό απαιτούνται αλλαγές στα υφιστάμενα μέτρα ασφάλειας, στις τεχνολογίες που χρησιμοποιούνται και στις διαδικασίες ή στις προσφερόμενες υπηρεσίες πληρωμών. Οι ΠΥΠ λαμβάνουν υπόψη τον χρόνο που απαιτείται για την εφαρμογή των αλλαγών και τον χρόνο λήψης κατάλληλων προσωρινών μέτρων ασφάλειας για την ελαχιστοποίηση των συμβάντων, του κινδύνου απάτης και ενδεχόμενων διαταραχών λειτουργίας κατά την παροχή υπηρεσιών πληρωμών.

4. Προστασία

4.1. Οι ΠΥΠ θεσπίζουν και εφαρμόζουν προληπτικά μέτρα ασφάλειας έναντι των προσδιορισθέντων λειτουργικών κινδύνων και κινδύνων ασφάλειας. Τα εν λόγω μέτρα εξασφαλίζουν επαρκές επίπεδο ασφάλειας σύμφωνα με τους προσδιορισθέντες κινδύνους.
4.2. Οι ΠΥΠ θεσπίζουν και εφαρμόζουν προσέγγιση «άμυνας εις βάθος» εγκαθιστώντας πολλαπλά επίπεδα ελέγχων που καλύπτουν τα πρόσωπα, τις διεργασίες και την τεχνολογία, όπου κάθε επίπεδο θα χρησιμεύει ως δίχτυ ασφαλείας για τα προηγούμενα επίπεδα. Ως «άμυνα εις βάθος» νοείται ο καθορισμός περισσότερων του ενός ελέγχων για την κάλυψη του ίδιου κινδύνου, όπως η αρχή της επαλήθευσης από δεύτερο πρόσωπο (four-eyes principle), η ταυτοποίηση δύο παραγόντων (two-factor authentication), η κατάτμηση του δικτύου (network segmentation) και η εγκατάσταση πολλαπλών τειχών προστασίας (multiple firewalls).
4.3. Οι ΠΥΠ διασφαλίζουν την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των κρίσιμων λογικών και υλικών περιουσιακών στοιχείων, των πόρων, καθώς και των ευαίσθητων δεδομένων πληρωμών των χρηστών των υπηρεσιών πληρωμών τόσο όταν τα στοιχεία αυτά τελούν σε κατάσταση αποθήκευσης όσο και όταν βρίσκονται σε κατάσταση διαβίβασης ή χρήσης. Εάν τα δεδομένα περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα, τα μέτρα εφαρμόζονται σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ L 119/1, 4.5.2016) ή, κατά περίπτωση, τον Κανονισμό (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 8/1, 12.1.2001).
4.4. Οι ΠΥΠ προσδιορίζουν, σε συνεχή βάση, αν οι αλλαγές στο υφιστάμενο λειτουργικό περιβάλλον επηρεάζουν τα ισχύοντα μέτρα ασφάλειας ή απαιτούν τη θέσπιση περαιτέρω μέτρων για τη μείωση του αντίστοιχου κινδύνου. Οι αλλαγές αυτές υπόκεινται σε επίσημη διαδικασία διαχείρισης των αλλαγών του ΠΥΠ, η οποία διασφαλίζει ότι οι αλλαγές προγραμματίζονται, υποβάλλονται σε δοκιμές, τεκμηριώνονται και εγκρίνονται δεόντως. Βάσει των απειλών για την ασφάλεια που παρατηρούνται και των αλλαγών που επέρχονται, διενεργούνται δοκιμές σύμφωνα με σενάρια συναφών και γνωστών δυνητικών επιθέσεων.
4.5. Κατά τον σχεδιασμό, την ανάπτυξη και την παροχή υπηρεσιών πληρωμών, οι ΠΥΠ διασφαλίζουν την εφαρμογή των αρχών του διαχωρισμού των καθηκόντων και των «ελάχιστων προνομίων» (least privilege). Οι ΠΥΠ αποδίδουν ιδιαίτερη προσοχή στον διαχωρισμό των περιβαλλόντων τεχνολογίας πληροφοριών (ΤΠ), ιδίως μεταξύ των περιβαλλόντων ανάπτυξης, δοκιμής και παραγωγής.
Ακεραιότητα και εμπιστευτικότητα των δεδομένων και των συστημάτων
4.6. Κατά τον σχεδιασμό, την ανάπτυξη και την παροχή υπηρεσιών πληρωμών, οι ΠΥΠ διασφαλίζουν ότι η συλλογή, δρομολόγηση, επεξεργασία, αποθήκευση και/ή αρχειοθέτηση και απεικόνιση ευαίσθητων δεδομένων πληρωμών των χρηστών υπηρεσιών πληρωμών είναι επαρκείς και σχετικές και περιορίζονται στο αναγκαίο επίπεδο για την παροχή των υπηρεσιών πληρωμών που παρέχουν.
4.7. Οι ΠΥΠ ελέγχουν τακτικά αν είναι ενημερωμένο το λογισμικό που χρησιμοποιείται για την παροχή υπηρεσιών πληρωμών, συμπεριλαμβανομένου του λογισμικού των χρηστών που σχετίζεται με πληρωμές καθώς και αν εγκαθίστανται κρίσιμες ενημερώσεις ασφάλειας. Οι ΠΥΠ διασφαλίζουν ότι εφαρμόζονται μηχανισμοί ελέγχου για την επαλήθευση της ακεραιότητας του λογισμικού, του υλικολογισμικού (firmware) και των πληροφοριών σχετικά με τις υπηρεσίες πληρωμών που παρέχουν.
Φυσική ασφάλεια
4.8. Οι ΠΥΠ εφαρμόζουν κατάλληλα μέτρα φυσικής ασφάλειας, ειδικότερα για την προστασία των ευαίσθητων δεδομένων πληρωμών των χρηστών υπηρεσιών πληρωμών, καθώς και των συστημάτων ΤΠΕ που χρησιμοποιούνται για την παροχή υπηρεσιών πληρωμών.

Έλεγχος πρόσβασης

4.9. Η φυσική και λογική πρόσβαση (physical and logical access) σε συστήματα ΤΠΕ επιτρέπεται μόνο σε εξουσιοδοτημένα πρόσωπα. Σχετική εξουσιοδότηση παρέχεται ανάλογα με τα καθήκοντα και τις αρμοδιότητες του προσωπικού και περιορίζεται σε πρόσωπα που έχουν λάβει κατάλληλη εκπαίδευση και τίθενται υπό κατάλληλη παρακολούθηση. Οι ΠΥΠ θέτουν σε εφαρμογή μηχανισμούς ελέγχου που επιτρέπουν, με αξιόπιστο τρόπο, την πρόσβαση στα συστήματα ΤΠΕ μόνο σε όσους έχουν θεμιτή επιχειρηματική ανάγκη. Η ηλεκτρονική πρόσβαση από εφαρμογές σε δεδομένα και συστήματα περιορίζεται στο ελάχιστο επίπεδο που απαιτείται για την παροχή της αντίστοιχης υπηρεσίας.
4.10. Οι ΠΥΠ θέτουν σε εφαρμογή ισχυρούς μηχανισμούς ελέγχου για τη διαβαθμισμένη πρόσβαση στα συστήματά τους, περιορίζοντας αυστηρά την πρόσβαση και παρακολουθώντας επισταμένως το προσωπικό με αυξημένα δικαιώματα. Επίσης, εφαρμόζουν μηχανισμούς ελέγχου, όπως η πρόσβαση βάσει ρόλων, η καταγραφή και ο έλεγχος της δραστηριότητας των προνομιούχων χρηστών, οι διαδικασίες ισχυρής ταυτοποίησης και η παρακολούθηση ασυνήθιστων ενεργειών. Οι ΠΥΠ διαχειρίζονται τα δικαιώματα πρόσβασης σε πληροφοριακούς πόρους και στα υποστηρικτικά τους συστήματα βάσει της αρχής της «ελάχιστης απαιτούμενης πληροφόρησης» (need-to-know). Τα δικαιώματα πρόσβασης υπόκεινται σε περιοδική επανεξέταση.
4.11. Τα αρχεία καταγραφής πρόσβασης διατηρούνται για χρονικό διάστημα ανάλογο της κρισιμότητας των επιχειρηματικών λειτουργιών, των υποστηρικτικών διεργασιών και των πληροφοριακών πόρων που έχουν προσδιοριστεί, σύμφωνα με τις παρ. 3.1 και 3.2, και με την επιφύλαξη των απαιτήσεων διατήρησης που προβλέπονται στο ενωσιακό και στο εθνικό δίκαιο. Οι ΠΥΠ χρησιμοποιούν τις εν λόγω πληροφορίες για να διευκολύνουν την αναγνώριση και τη διερεύνηση ασυνήθιστων δραστηριοτήτων που έχουν εντοπιστεί κατά την παροχή υπηρεσιών πληρωμών.
4.12. Για τη διασφάλιση ασφαλούς επικοινωνίας και τη μείωση του κινδύνου, η απομακρυσμένη πρόσβαση με δικαιώματα διαχειριστή σε κρίσιμα συστατικά στοιχεία ΤΠΕ παρέχεται μόνον επί τη βάσει της αρχής της «ελάχιστης απαιτούμενης πληροφόρησης» (need-to-know) και εφόσον χρησιμοποιούνται διαδικασίες ισχυρής ταυτοποίησης.
4.13. Η λειτουργία των προϊόντων, των εργαλείων και των διαδικασιών που σχετίζονται με τις διεργασίες ελέγχου πρόσβασης πρέπει να παρέχει τη δέουσα προστασία ώστε να μην διακυβεύονται ή παρακάμπτονται οι διεργασίες ελέγχου πρόσβασης. Στο πλαίσιο αυτό περιλαμβάνεται η εγγραφή, παράδοση, ανάκληση και απόσυρση των αντίστοιχων προϊόντων, εργαλείων και διαδικασιών.

5. Εντοπισμός

Συνεχής παρακολούθηση και εντοπισμός

5.1. Οι ΠΥΠ θεσπίζουν και εφαρμόζουν διεργασίες με δυνατότητες για συνεχή παρακολούθηση των επιχειρηματικών λειτουργιών, των υποστηρικτικών διεργασιών και των πληροφοριακών πόρων προκειμένου να εντοπίζουν τυχόν μη φυσιολογικές δραστηριότητες κατά την παροχή υπηρεσιών πληρωμών. Στο πλαίσιο αυτής της συνεχούς παρακολούθησης, οι ΠΥΠ διαθέτουν κατάλληλες και αποτελεσματικές δυνατότητες για τον εντοπισμό φυσικής ή λογικής παρείσφρησης (physical or logical intrusion), καθώς και παραβιάσεων της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των πληροφοριακών πόρων που χρησιμοποιούνται στην παροχή υπηρεσιών πληρωμών.
5.2. Οι διεργασίες συνεχούς παρακολούθησης και εντοπισμού καλύπτουν:
α) συναφείς εσωτερικούς και εξωτερικούς παράγοντες, συμπεριλαμβανομένων διαχειριστικών λειτουργιών που καλύπτουν τόσο επιχειρηματικές ανάγκες όσο και ανάγκες ΤΠΕ,
β) συναλλαγές, με σκοπό τον εντοπισμό κατάχρησης πρόσβασης από παρόχους υπηρεσιών ή άλλες οντότητες, και
γ) πιθανές εσωτερικές και εξωτερικές απειλές.
5.3. Οι ΠΥΠ εφαρμόζουν μέτρα ανίχνευσης για να εντοπίζονται πιθανές διαρροές πληροφοριών, η ύπαρξη κακόβουλου κώδικα, λοιπές απειλές για την ασφάλεια, οι ευρέως γνωστές ευπάθειες λογισμικού και υλικού και να αναζητούνται αντίστοιχες ενημερώσεις ασφάλειας.

Παρακολούθηση και αναφορά συμβάντων

5.4. Οι ΠΥΠ θεσπίζουν κατάλληλα κριτήρια και όρια για την κατηγοριοποίηση ενός συμβάντος ως λειτουργικού συμβάντος ή συμβάντος που αφορά την ασφάλεια σύμφωνα με τον ορισμό της παρούσας, καθώς και δείκτες έγκαιρης προειδοποίησης που χρησιμεύουν ως συναγερμός για τον ΠΥΠ, ώστε να καθίσταται δυνατός ο έγκαιρος εντοπισμός λειτουργικών συμβάντων ή συμβάντων που αφορούν την ασφάλεια.
5.5. Οι ΠΥΠ θεσπίζουν κατάλληλες διεργασίες και οργανωτικές δομές προκειμένου να διασφαλίζεται η συνεπής και ολοκληρωμένη παρακολούθηση, ο χειρισμός και η δυνατότητα επανελέγχου των συμβάντων.
5.6. Οι ΠΥΠ θεσπίζουν σχετική διαδικασία για την αναφορά αυτών των συμβάντων, καθώς και για την αναφορά των καταγγελιών των πελατών σχετικά με την ασφάλεια προς τα ανώτερα διοικητικά τους στελέχη.

6. Επιχειρησιακή συνέχεια

6.1. Οι ΠΥΠ θεσπίζουν χρηστή διαχείριση της επιχειρησιακής συνέχειας με στόχο τη μεγιστοποίηση της ικανότητας παροχής υπηρεσιών πληρωμών σε συνεχή βάση και τον περιορισμό ζημιών σε περίπτωση σημαντικής διακοπής της επιχειρησιακής τους λειτουργίας.
6.2. Προκειμένου για τη θέσπιση χρηστής διαχείρισης της επιχειρησιακής συνέχειας, οι ΠΥΠ αναλύουν με προσοχή την έκθεσή τους σε κινδύνους διακοπών της επιχειρησιακής τους λειτουργίας και αξιολογούν, τόσο ποσοτικά όσο και ποιοτικά, τις δυνητικές επιπτώσεις αυτών με τη χρήση εσωτερικών και/ή εξωτερικών δεδομένων και ανάλυσης σεναρίων. Επί τη βάσει των κρίσιμων λειτουργιών, διαδικασιών, συστημάτων, συναλλαγών και αλληλεξαρτήσεων που έχουν προσδιοριστεί και κατηγοριοποιηθεί σύμφωνα με τις παρ. 3.1 έως 3.3, οι ΠΥΠ ιεραρχούν, κατά σειρά προτεραιότητας, τις ενέργειες επιχειρησιακής συνέχειας χρησιμοποιώντας προσέγγιση που βασίζεται στον κίνδυνο και μπορεί να στηρίζεται στις αξιολογήσεις κινδύνων που διενεργούνται σύμφωνα με την ενότητα 3. Ανάλογα με το επιχειρηματικό μοντέλο του εκάστοτε ΠΥΠ, η διαδικασία αυτή μπορεί, για παράδειγμα, να διευκολύνει την περαιτέρω επεξεργασία κρίσιμων συναλλαγών ενόσω συνεχίζονται οι προσπάθειες αποκατάστασης.
6.3. Βάσει της ανάλυσης που διενεργείται σύμφωνα με την παρ. 6.2, ο ΠΥΠ θέτει σε εφαρμογή:
α) σχέδια επιχειρησιακής συνέχειας, προκειμένου να διασφαλίζεται η ικανότητα κατάλληλης αντίδρασης του ΠΥΠ σε καταστάσεις έκτακτης ανάγκης και η δυνατότητά του να διατηρεί τις κρίσιμες επιχειρηματικές δραστηριότητές του, και
β) μέτρα μείωσης του κινδύνου τα οποία πρέπει να λαμβάνονται σε περίπτωση τερματισμού των υπηρεσιών πληρωμών που παρέχει και σε περίπτωση λήξης υφιστάμενων συμβάσεων, ούτως ώστε να αποφεύγονται δυσμενείς συνέπειες στα συστήματα πληρωμών και στους χρήστες υπηρεσιών πληρωμών καθώς και για να διασφαλίζεται η εκτέλεση των εκκρεμών πράξεων πληρωμών.
Σχεδιασμός επιχειρησιακής συνέχειας βάσει σεναρίων
6.4. Ο ΠΥΠ εξετάζει πληθώρα διαφορετικών σεναρίων, συμπεριλαμβανομένων ακραίων αλλά εύλογων σεναρίων, στα οποία ενδέχεται να εκτεθεί και αξιολογεί τις πιθανές επιπτώσεις που ενδέχεται να έχουν τα εν λόγω σενάρια.
6.5. Βάσει της ανάλυσης που διενεργείται σύμφωνα με την παρ. 6.2 και των εύλογων σεναρίων που προσδιορίζονται σύμφωνα με την παρ. 6.4, ο ΠΥΠ καταρτίζει σχέδια αντιμετώπισης και ανάκτησης, τα οποία:
α) εστιάζουν στις επιπτώσεις στη λειτουργία των κρίσιμωνλειτουργιών,διεργασιών,συστημάτων,συναλλαγών και αλληλεξαρτήσεων,
β) είναι τεκμηριωμένα, τίθενται στη διάθεση των επιχειρηματικών και υποστηρικτικών μονάδων, είναι εύκολα προσβάσιμα σε περίπτωση έκτακτης ανάγκης, και
γ) είναι επικαιροποιημένα σύμφωνα με τα συμπεράσματα που αντλούνται από τις δοκιμές, τους νέους κινδύνους και τις απειλές που προσδιορίζονται, καθώς και με τους μεταβαλλόμενους στόχους και τις προτεραιότητες ανάκτησης.

Δοκιμές σχεδίων επιχειρησιακής συνέχειας

6.6. Οι ΠΥΠ υποβάλλουν σε δοκιμή τα σχέδια επιχειρησιακής συνέχειάς τους και διασφαλίζουν ότι διενεργείται δοκιμή της λειτουργίας των κρίσιμων λειτουργιών, των διεργασιών, των συστημάτων, των συναλλαγών και των αλληλεξαρτήσεών τους τουλάχιστον σε ετήσια βάση. Τα σχέδια υποστηρίζουν τους στόχους για την προστασία και, εφόσον απαιτείται, την αποκατάσταση της ακεραιότητας και της διαθεσιμότητας των λειτουργιών τους, καθώς και την εμπιστευτικότητα των πληροφοριακών τους πόρων.
6.7. Τα σχέδια επικαιροποιούνται τουλάχιστον ετησίως με βάση τα αποτελέσματα των δοκιμών, τις τρέχουσες πληροφορίες σχετικά με απειλές, την ανταλλαγή πληροφοριών και τα συμπεράσματα που αντλούνται από προηγούμενα γεγονότα, καθώς και με βάση τους μεταβαλλόμενους στόχους ανάκτησης, την ανάλυση εύλογων από λειτουργική και τεχνική άποψη σεναρίων που δεν έχουν επέλθει ακόμη και, εφόσον συντρέχει περίπτωση, μετά από αλλαγές στα συστήματα και τις διεργασίες. Οι ΠΥΠ διασφαλίζουν τη διαβούλευση και τον συντονισμό με τους σχετικούς εσωτερικούς και εξωτερικούς ενδιαφερόμενους φορείς κατά την κατάρτιση των σχεδίων επιχειρησιακής συνέχειάς τους.
6.8. Η δοκιμή των σχεδίων επιχειρησιακής συνέχειας των ΠΥΠ:
α) περιλαμβάνει επαρκές σύνολο σεναρίων όπως αναφέρεται στην παρ. 6.4,
β) είναι σχεδιασμένη κατά τρόπον ώστε να θέτει υπό αμφισβήτηση τις υποθέσεις στις οποίες στηρίζονται τα σχέδια επιχειρησιακής συνέχειας, συμπεριλαμβανομένων των ρυθμίσεων διακυβέρνησης και των σχεδίων επικοινωνίας σε καταστάσεις κρίσεων, και
γ) περιλαμβάνει διαδικασίες για την επαλήθευση της ικανότητας του προσωπικού και διεργασίες για να ανταπεξέρχονται επαρκώς στα ανωτέρω σενάρια.
6.9. Οι ΠΥΠ κατά περιόδους παρακολουθούν την αποτελεσματικότητα των σχεδίων επιχειρησιακής τους συνέχειας, καθώς και καταγράφουν και αναλύουν τυχόν δυσκολίες ή αστοχίες που προκύπτουν από τις δοκιμές.

Επικοινωνία σε καταστάσεις κρίσεων

6.10. Σε περίπτωση διακοπής λειτουργίας ή έκτακτης ανάγκης, και κατά τη διάρκεια της εφαρμογής των σχεδίων επιχειρησιακής συνέχειας, οι ΠΥΠ διασφαλίζουν την εφαρμογή αποτελεσματικών μέτρων επικοινωνίας σε καταστάσεις κρίσεων, ώστε όλοι οι σχετικοί εσωτερικοί και εξωτερικοί ενδιαφερόμενοι φορείς, συμπεριλαμβανομένων εξωτερικών παρόχων υπηρεσιών, να ενημερώνονται με έγκαιρο και κατάλληλο τρόπο.

7. Δοκιμές μέτρων ασφάλειας

7.1. Οι ΠΥΠ θεσπίζουν και εφαρμόζουν πλαίσιο δοκιμών το οποίο επικυρώνει την ισχύ και την αποτελεσματικότητα των μέτρων ασφάλειας και διασφαλίζουν ότι το πλαίσιο δοκιμών προσαρμόζεται ώστε να συνεκτιμώνται νέες απειλές και ευπάθειες, που προσδιορίζονται μέσω δραστηριοτήτων παρακολούθησης κινδύνων.
7.2. Οι ΠΥΠ διασφαλίζουν τη διενέργεια δοκιμών σε περίπτωση αλλαγών σε υποδομές, διεργασίες ή διαδικασίες, καθώς και σε περίπτωση που πραγματοποιούνται αλλαγές εξαιτίας μεγάλης σημασίας συμβάντων.
7.3. Το πλαίσιο δοκιμών περιλαμβάνει επίσης τα μέτρα ασφάλειας που αφορούν:
α) τα τερματικά πληρωμών και τις συσκευές που χρησιμοποιούνται για την παροχή υπηρεσιών πληρωμών,
β) τα τερματικά πληρωμών και τις συσκευές που χρησιμοποιούνται για την ταυτοποίηση του χρήστη υπηρεσιών πληρωμών, και
γ) τις συσκευές και το λογισμικό που παρέχει ο ΠΥΠ στον χρήστη υπηρεσιών πληρωμών για την παραγωγή/ λήψη κωδικού εξακρίβωσης ταυτότητας (κλειδάριθμου).
7.4. Το πλαίσιο δοκιμών διασφαλίζει ότι οι δοκιμές: α) διενεργούνται στο πλαίσιο της επίσημης διαδικασίας διαχείρισης αλλαγών του ΠΥΠ για τη διασφάλιση της ισχύος και της αποτελεσματικότητάς τους,
β) εκτελούνται από ανεξάρτητο προσωπικό διεξαγωγής δοκιμών που διαθέτει επαρκείς γνώσεις, δεξιότητες και εξειδίκευση στη διενέργεια δοκιμών όσον αφορά μέτρα ασφάλειας υπηρεσιών πληρωμών και δεν εμπλέκεται στην ανάπτυξη των μέτρων ασφάλειας των αντίστοιχων υπηρεσιών ή συστημάτων πληρωμών που πρόκειται να υποβληθούν σε δοκιμή, τουλάχιστον για τις τελικές δοκιμές που διεξάγονται προτού τεθούν τα μέτρα ασφάλειας σε λειτουργία, και
γ) περιλαμβάνουν επαρκείς ελέγχους ευπαθειών και δοκιμές παρείσδυσης ανάλογα με το επίπεδο κινδύνου που προσδιορίζεται σε σχέση με τις υπηρεσίες πληρωμών.
7.5. Οι ΠΥΠ διενεργούν συνεχείς και επαναλαμβανόμενες δοκιμές των μέτρων ασφάλειας για τις υπηρεσίες πληρωμών που παρέχουν. Όσον αφορά τα κρίσιμα συστήματα για την παροχή των υπηρεσιών πληρωμών, οι εν λόγω δοκιμές διενεργούνται τουλάχιστον σε ετήσια βάση. Τα μη κρίσιμα συστήματα υποβάλλονται περιοδικά σε δοκιμή, αναλόγως του επιπέδου επικινδυνότητάς τους, αλλά τουλάχιστον ανά τριετία.
7.6. Οι ΠΥΠ παρακολουθούν και αξιολογούν τα αποτελέσματα των δοκιμών που διεξάγονται και επικαιροποιούν αναλόγως και χωρίς αδικαιολόγητη καθυστέρηση τα μέτρα ασφάλειάς τους που αφορούν τα κρίσιμα συστήματα.

8. Επίγνωση καταστάσεων και συνεχής μάθηση Φύση των απειλών και επίγνωση καταστάσεων

8.1. Οι ΠΥΠ θεσπίζουν και εφαρμόζουν διεργασίες και οργανωτικές δομές για τον προσδιορισμό και τη συνεχή παρακολούθηση απειλών για την ασφάλεια και λειτουργικών απειλών που θα μπορούσαν να επηρεάσουν σημαντικά την ικανότητά τους να παρέχουν υπηρεσίες πληρωμών.
8.2. Οι ΠΥΠ αναλύουν τα συμβάντα τα οποία έχουν επέλθει είτε εντός είτε εκτός του οργανισμού. Οι ΠΥΠ εξετάζουν τα κύρια συμπεράσματα που αντλούνται από τις εν λόγω αναλύσεις και επικαιροποιούν αναλόγως τα μέτρα ασφάλειας.
8.3. Οι ΠΥΠ παρακολουθούν ενεργά τις τεχνολογικές εξελίξεις προκειμένου να διασφαλίζουν ότι έχουν επίγνωση των κινδύνων ασφάλειας.
Προγράμματα εκπαίδευσης και ευαισθητοποίησης σε θέματα ασφάλειας
8.4. Οι ΠΥΠ καταρτίζουν πρόγραμμα εκπαίδευσης για όλα τα μέλη του προσωπικού, προκειμένου να διασφαλίζεται ότι λαμβάνουν κατάλληλη εκπαίδευση για την άσκηση των καθηκόντων και των αρμοδιοτήτων τους σύμφωνα με τις σχετικές πολιτικές και διαδικασίες ασφάλειας, ώστε να μειώνεται το ανθρώπινο σφάλμα και φαινόμενα κλοπής, απάτης, κατάχρησης ή απώλειας. Οι ΠΥΠ διασφαλίζουν ότι στο πρόγραμμα εκπαίδευσης προβλέπεται η παροχή εκπαίδευσης στα μέλη του προσωπικού τουλάχιστον σε ετήσια βάση ή, εφόσον απαιτείται, συχνότερα.
8.5. Οι ΠΥΠ διασφαλίζουν ότι τα μέλη του προσωπικού που κατέχουν καίριους ρόλους, όπως αυτοί προσδιορίζονται σύμφωνα με παρ. 3.1, λαμβάνουν στοχευμένη εκπαίδευση σε θέματα ασφάλειας πληροφοριών σε ετήσια βάση ή, εφόσον απαιτείται, συχνότερα.
8.6. Οι ΠΥΠ θεσπίζουν κι εφαρμόζουν περιοδικά προγράμματα ευαισθητοποίησης σε θέματα ασφάλειας, προκειμένου να εκπαιδεύουν το προσωπικό τους και να αντιμετωπίζουν κινδύνους που σχετίζονται με την ασφάλεια πληροφοριών. Στο πλαίσιο των προγραμμάτων αυτών απαιτείται από τα μέλη του προσωπικού των ΠΥΠ να αναφέρουν οποιαδήποτε ασυνήθιστη δραστηριότητα και ασυνήθιστα συμβάντα.
9. Διαχείριση σχέσεων χρηστών υπηρεσιών πληρωμών Ευαισθητοποίηση των χρηστών υπηρεσιών πληρωμών σχετικά με τους κινδύνους ασφάλειας και τις ενέργειες μείωσης των κινδύνων
9.1. Οι ΠΥΠ θεσπίζουν και εφαρμόζουν διεργασίες υποστήριξης και καθοδήγησης των χρηστών υπηρεσιών πληρωμών με σκοπό την ενίσχυση της ευαισθητοποίησής τους σχετικά με τους κινδύνους ασφάλειας που συνδέονται με τις υπηρεσίες πληρωμών.
9.2. Η υποστήριξη και η καθοδήγηση που παρέχονται στους χρήστες υπηρεσιών πληρωμών επικαιροποιούνται ανάλογα με τις νέες απειλές και ευπάθειες, ενώ επίσης οι αλλαγές ανακοινώνονται στους χρήστες υπηρεσιών πληρωμών.
9.3. Όπου είναι δυνατό βάσει των λειτουργικών δυνατοτήτων των προϊόντων, οι ΠΥΠ επιτρέπουν στους χρήστες υπηρεσιών πληρωμών να απενεργοποιούν συγκεκριμένες λειτουργίες που αφορούν τις παρεχόμενες υπηρεσίες πληρωμών.
9.4. Εάν, σύμφωνα με την παρ. 1 του άρθρου 68 του ν. 4537/2018, ένας ΠΥΠ έχει συμφωνήσει με τον πληρωτή την εφαρμογή ποσοτικού ορίου δαπάνης για τις πράξεις πληρωμής που εκτελούνται μέσω συγκεκριμένου μέσου πληρωμών, ο ΠΥΠ παρέχει στον πληρωτή τη δυνατότητα να προσαρμόζει τα εν λόγω όρια μέχρι το ανώτατο συμφωνηθέν όριο.
9.5. Οι ΠΥΠ παρέχουν στους χρήστες υπηρεσιών πληρωμών τη δυνατότητα να λαμβάνουν ειδοποιήσεις σχετικά με κινηθείσες και/ή αποτυχημένες απόπειρες εκκίνησης πράξεων πληρωμής, οι οποίες τους παρέχουν τη δυνατότητα εντοπισμού δόλιας ή κακόβουλης χρήσης του λογαριασμού τους.
9.6. Οι ΠΥΠ τηρούν ενήμερους τους χρήστες υπηρεσιών πληρωμών σχετικά με επικαιροποιήσεις των διαδικασιών ασφάλειας οι οποίες τους επηρεάζουν, αναφορικά με τις παρεχόμενες υπηρεσίες πληρωμών.
9.7. Οι ΠΥΠ παρέχουν στους χρήστες υπηρεσιών πληρωμών υποστήριξη σχετικά με όλες τις ερωτήσεις, τα αιτήματα και τις γνωστοποιήσεις ασυνήθιστων γεγονότων ή ζητημάτων που αφορούν θέματα ασφάλειας σε σχέση με τις υπηρεσίες πληρωμών. Οι χρήστες υπηρεσιών πληρωμών ενημερώνονται κατάλληλα σχετικά με τον τρόπο με τον οποίο μπορούν να λαμβάνουν την εν λόγω υποστήριξη.

ΙΙΙ. Τελικές διατάξεις

1. Εξουσιοδοτείται η Διεύθυνση Επιθεώρησης Εποπτευόμενων Εταιρειών της Τράπεζας της Ελλάδος να παρέχει οδηγίες και διευκρινίσεις για την εφαρμογή της παρούσας.

2. Η παρούσα να δημοσιευθεί στην Εφημερίδα της Κυβερνήσεως και να αναρτηθεί στον ιστότοπο της Τράπεζας της Ελλάδος.



Ο Διοικητής
ΙΩΑΝΝΗΣ ΣΤΟΥΡΝΑΡΑΣ