ПОСТАНОВЛЕНИЕ ПРАВЛЕНИЯ НАЦИОНАЛЬНОГО БАНКА РЕСПУБЛИКИ БЕЛАРУСЬ
19 сентября 2019 г. № 379
Об утверждении Инструкции об использовании программных и (или) технических средств, проведении удаленной идентификации, удаленного обновления (актуализации) данных
Изменения и дополнения:
Постановление Правления Национального банка Республики Беларусь от 22 января 2021 г. № 25 (Национальный правовой Интернет-портал Республики Беларусь, 20.02.2021, 8/36356) <B22136356>;
Постановление Правления Национального банка Республики Беларусь от 26 октября 2021 г. № 310 (Национальный правовой Интернет-портал Республики Беларусь, 26.11.2021, 8/37369) <B22137369>;
Постановление Правления Национального банка Республики Беларусь от 20 мая 2024 г. № 149 (Национальный правовой Интернет-портал Республики Беларусь, 08.06.2024, 8/41646) <B22441646>;
Постановление Правления Национального банка Республики Беларусь от 16 декабря 2025 г. № 358 (Национальный правовой Интернет-портал Республики Беларусь, 31.12.2025, 10-2/6158) <B22506158>
На основании подпункта 3.16 пункта 3 статьи 4 Закона Республики Беларусь от 19 апреля 2022 г. № 164-З «О платежных системах и платежных услугах», части второй пункта 10, части второй пункта 11, пунктов 24 и 25 Указа Президента Республики Беларусь от 18 апреля 2019 г. № 148 «О цифровых банковских технологиях», части первой статьи 39 Банковского кодекса Республики Беларусь Правление Национального банка Республики Беларусь ПОСТАНОВЛЯЕТ:
1. Утвердить Инструкцию об использовании программных и (или) технических средств, проведении удаленной идентификации, удаленного обновления (актуализации) данных (прилагается).
2. Внести в постановление Правления Национального банка Республики Беларусь от 22 июня 2018 г. № 291 «О формировании кредитных историй и предоставлении кредитных отчетов» следующие изменения:
в преамбуле слово «года» заменить словами «г. № 441-З»;
пункт 1 изложить в следующей редакции:
«1. Утвердить:
Инструкцию о порядке представления сведений, входящих в состав кредитной истории, по форме 2501 «Сведения, входящие в состав кредитной истории» (прилагается);
Инструкцию о формировании кредитных историй и предоставлении кредитных отчетов (прилагается).»;
в Инструкции о порядке представления сведений, входящих в состав кредитной истории, по форме 2501 «Сведения, входящие в состав кредитной истории», утвержденной этим постановлением:
в пункте 2 слова «от 10 ноября 2008 года «О кредитных историях» (Национальный реестр правовых актов Республики Беларусь, 2008 г., № 275, 2/1538)» заменить словами «О кредитных историях»;
из пункта 3 слова «к настоящей Инструкции» и «Республики Беларусь (далее – Национальный банк)» исключить;
из части второй пункта 4 слово «нормативных» исключить;
из пункта 20 слова «Об утверждении, введении в действие, изменении и отмене государственных стандартов, классификаторов и руководящих документов» и «Об утверждении, введении в действие, отмене общегосударственного классификатора Республики Беларусь и отмене постановления Государственного комитета по стандартизации Республики Беларусь» исключить;
из части второй пункта 22 слова «к настоящей Инструкции» и «Об утверждении, введении в действие общегосударственного классификатора Республики Беларусь» (Национальный реестр правовых актов Республики Беларусь, 2012 г., № 43, 8/24941)» исключить;
из части первой пункта 25 слова «Об утверждении, введении в действие, изменении и отмене государственных стандартов, классификаторов и руководящих документов» исключить;
из части первой пункта 31 слова «Республики Беларусь» исключить;
в приложении 1 к этой Инструкции слова «законодательством Республики Беларусь» заменить словом «законодательством»;
в Инструкции о формировании кредитных историй и предоставлении кредитных отчетов, утвержденной этим постановлением:
из пункта 1 слова «Республики Беларусь (далее – Национальный банк)» исключить;
в части второй пункта 2 слова «от 10 ноября 2008 года «О кредитных историях» (Национальный реестр правовых актов Республики Беларусь, 2008 г., № 275, 2/1538)» заменить словами «О кредитных историях»;
из пункта 4, части первой пункта 13, пункта 23, частей первой и третьей пункта 35, части первой пункта 39 слова «к настоящей Инструкции» исключить;
в пункте 11 слова «Министерство внутренних дел Республики Беларусь или Министерство юстиции Республики Беларусь» заменить словами «Министерство внутренних дел или Министерство юстиции» в соответствующем падеже;
из абзаца четвертого пункта 20 слова «Об утверждении, введении в действие, изменении и отмене государственных стандартов Республики Беларусь, межгосударственных стандартов, Правил ЕЭК ООН, руководящих документов, правил и рекомендаций по межгосударственной стандартизации» исключить;
в части первой пункта 27:
из абзацев второго и третьего слова «к настоящей Инструкции» исключить;
абзац четвертый изложить в следующей редакции:
«документа в электронном виде, в том числе в виде электронного документа, посредством использования информационных систем с применением программно-аппаратных средств и технологий, позволяющих достоверно установить, что согласие исходит от соответствующего субъекта кредитной истории, в соответствии с законодательством. Допускается оформление согласия в произвольной форме с обязательным указанием идентификационных данных субъекта кредитной истории, выраженной воли субъекта кредитной истории на предоставление Национальным банком пользователю кредитной истории кредитного отчета, наименования пользователя кредитной истории, которому дается согласие, даты оформления согласия и условий действия согласия, изложенных в части второй настоящего пункта.»;
третье предложение части второй пункта 31 изложить в следующей редакции: «В случае, если согласие субъекта кредитной истории на предоставление кредитного отчета оформлялось в виде документа в электронном виде, в том числе в виде электронного документа, посредством использования информационных систем с применением программно-аппаратных средств и технологий, позволяющих достоверно установить, что согласие исходит от соответствующего субъекта кредитной истории, в соответствии с законодательством, пользователь кредитной истории представляет копию такого согласия на бумажном носителе в соответствии с законодательством.»;
из приложения 1 к этой Инструкции слова «Республики Беларусь» исключить;
в приложениях 2, 3, 8–13 к этой Инструкции слова «банк Республики Беларусь» заменить словом «банк»;
в приложениях 6 и 7 к этой Инструкции слова «банком Республики Беларусь» заменить словом «банком».
3. Признать утратившими силу:
постановление Правления Национального банка Республики Беларусь от 6 мая 2016 г. № 241 «О некоторых мерах по реализации Указа Президента Республики Беларусь от 1 декабря 2015 г. № 478»;
постановление Правления Национального банка Республики Беларусь от 19 февраля 2018 г. № 65 «О внесении изменений и дополнений в постановление Правления Национального банка Республики Беларусь от 6 мая 2016 г. № 241».
4. Настоящее постановление вступает в силу после его официального опубликования.
Председатель Правления | П.В.Каллаур |
| УТВЕРЖДЕНО Постановление Правления |
ИНСТРУКЦИЯ
об использовании программных и (или) технических средств, проведении удаленной идентификации, удаленного обновления (актуализации) данных
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1. Настоящая Инструкция определяет, если иное не установлено законодательными актами:
порядок и случаи использования Национальным банком, банками, небанковскими кредитно-финансовыми организациями, открытым акционерным обществом «Банк развития Республики Беларусь», открытым акционерным обществом «Белорусская валютно-фондовая биржа» в части осуществления отдельных банковских операций, лизинговыми и микрофинансовыми организациями, иными юридическими лицами, которые в соответствии с законодательными актами вправе осуществлять микрофинансовую деятельность, в том числе пунктами скупки в части осуществления микрофинансовой деятельности, форекс-компаниями, Национальным форекс-центром, операторами сервисов онлайн-заимствования, коммерческими организациями, включенными в реестр факторинговых организаций, поставщиками платежных услуг (далее – финансовые организации) программных и (или) технических средств (далее – программные средства) в целях осуществления банковских, платежных, других финансовых операций, иной деятельности, связанной с осуществлением этих операций, и сделок, совершаемых с применением способа, предусмотренного в абзаце третьем части первой пункта 22 Указа Президента Республики Беларусь от 18 апреля 2019 г. № 148 (далее – финансовые операции), по перечню согласно приложению 1;
порядок и случаи использования документов в электронном виде, являющихся основанием для осуществления финансовых операций, для представления организациям, государственным органам и другим лицам;
порядок хранения документов в электронном виде с использованием программных средств;
случаи и порядок проведения финансовыми организациями однофакторной и многофакторной аутентификации юридических и физических лиц, в том числе индивидуальных предпринимателей, а также их представителей, нотариусов (далее – клиенты);
случаи и условия проведения пользователями межбанковской системы идентификации (далее – МСИ), агентами по идентификации биометрической удаленной идентификации клиентов, а также случаи, условия и порядок проведения удаленного обновления (актуализации) данных о клиентах.
2. Для целей настоящей Инструкции нижеприведенные термины используются в следующих значениях:
аутентификация – процедура проверки предоставленных клиентом данных с ранее зафиксированными аутентификационными данными в целях подтверждения лица, которое проходит такую процедуру, как клиента, ранее идентифицированного финансовой организацией, или правильности использования конкретной системы дистанционного обслуживания;
аутентификационные данные владения – данные, характеризующие предметы, обладающие уникальными характеристиками и используемые клиентом (цифровой отпечаток мобильного устройства, персонального компьютера, действительный сертификат открытого ключа проверки электронной цифровой подписи, изданный республиканским удостоверяющим центром Государственной системы управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь, биометрический документ, SIM-карта, банковская платежная карточка (далее – карточка), эмиссия которой осуществляется с использованием заготовки карточки, токен, формируемый при использовании карточки посредством платежного сервиса, и т.д.), и (или) данные, подтвержденные путем получения или генерации с использованием таких предметов (SMS-сообщение, push-уведомление и т.д.);
аутентификационные данные знания – данные, известные только клиенту (пароль, графический пароль, пин-код, секретный вопрос, ключевое слово, уникальное сочетание данных, реквизиты карточки и т.д.);
аутентификационные данные свойства объекта – биометрические персональные данные клиентов;
биометрическая модель – совокупность информации, извлеченной из биометрического образца и преобразованной посредством алгоритмов, используемых при проведении биометрической удаленной идентификации;
биометрическая удаленная идентификация – удаленная идентификация клиентов, предусматривающая автоматическое распознавание присутствия живого человека, биометрических персональных данных клиентов и сравнение биометрических моделей, сформированных на основании представленных биометрических персональных данных клиентов и фотографии данных лиц из документа, удостоверяющего личность, в том числе биометрического;
биометрические персональные данные – информация, характеризующая физиологические и биологические особенности человека (фото- и (или) видеоизображение, голос), которая используется для его уникальной идентификации в целях идентификации, определенной Законом Республики Беларусь от 30 июня 2014 г. № 165-З «О мерах по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения», и (или) аутентификации;
биометрический образец – биометрические персональные данные клиента, получаемые при проведении биометрической удаленной идентификации;
документы в электронном виде – электронные сообщения, переданные посредством телекоммуникационных каналов связи, файлы и записи в базах данных, информация, программный код, сформированные, подписанные (подтвержденные) и переданные (принятые) с помощью программных средств без использования электронной цифровой подписи, а также содержащие данные, необходимые для осуществления финансовых операций, сформированные (предоставленные) в соответствии с абзацем третьим части первой пункта 22 Указа Президента Республики Беларусь от 18 апреля 2019 г. № 148;
многофакторная аутентификация – аутентификация, проводимая с использованием двух или более предъявленных (введенных) клиентом видов аутентификационных данных. Аутентификационные данные подразделяются на следующие виды: аутентификационные данные знания, аутентификационные данные владения, аутентификационные данные свойства объекта;
обработка данных – обработка персональных и иных данных при проведении финансовой организацией финансовых операций с использованием программных средств;
однофакторная аутентификация – аутентификация, проводимая с использованием одного предъявленного (введенного) клиентом вида аутентификационных данных;
подлинность документа в электронном виде – свойство документа в электронном виде, определяющее подписание (подтверждение) документа в электронном виде клиентом, идентифицированным финансовой организацией, с использованием программных средств;
пользователь МСИ – Национальный банк, банки, небанковские кредитно-финансовые организации, открытое акционерное общество «Банк развития Республики Беларусь», иные лица, осуществляющие финансовые операции, поставщики платежных услуг с даты заключения указанными лицами (в отношении нотариусов – Белорусской нотариальной палатой) договора с владельцем МСИ об информационном взаимодействии с МСИ;
сессия – процесс взаимодействия посредством системы дистанционного обслуживания финансовой организации с клиентом, который осуществляется в непрерывный и ограниченный промежуток времени, определяемый финансовой организацией с учетом технологии, используемой в системе дистанционного обслуживания, и в течение которого клиент осуществляет единичную(ые) или сгруппированные финансовую(ые) операцию(и);
система дистанционного обслуживания – совокупность технологий, применяемых в целях осуществления финансовых операций с использованием программных средств и обеспечивающих взаимодействие финансовой организации и клиентов, в том числе передачу электронных документов и (или) документов в электронном виде;
удаленная идентификация – идентификация на удаленной основе, которая проводится без личного присутствия клиента с использованием программных средств;
уровень аутентификации – требования к видам аутентификационных данных, запрашиваемых у клиента для подтверждения их подлинности и принадлежности клиенту;
целостность документа в электронном виде – свойство документа в электронном виде, подтверждающее отсутствие внесения в документ изменений и (или) дополнений в процессе передачи (пересылки) и (или) хранения;
цифровой отпечаток мобильного устройства – набор (совокупность) программных и аппаратных характеристик мобильного устройства (может содержать технические параметры согласно приложению 2);
цифровой отпечаток персонального компьютера – набор (совокупность) уникальных программных и аппаратных характеристик персонального компьютера (может содержать технические параметры согласно приложению 2);
цифровая рукописная подпись – собственноручная подпись клиента, учиненная с помощью соответствующих программных средств (включая планшеты, дисплеи) для подтверждения целостности и подлинности подписываемого документа в электронном виде.
Термины «верификация», «идентификация», «обновление (актуализация)», «система идентификации» используются в значениях, определенных соответственно абзацами четвертым, десятым, четырнадцатым, семнадцатым части первой статьи 1 Закона Республики Беларусь «О мерах по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения».
Термин «банковский день» используется в значении, определенном абзацем вторым части первой пункта 2 Инструкции об организации ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности, утвержденной постановлением Правления Национального банка Республики Беларусь от 12 декабря 2013 г. № 728.
Термины «агенты по идентификации», «биометрический документ», «МСИ», «обработка иных данных» используются в значениях, определенных соответственно в пунктах 1, 2, 4 и 5 приложения к Указу Президента Республики Беларусь от 18 апреля 2019 г. № 148.
Термин «владелец МСИ» используется в значении, определенном абзацем четвертым части первой пункта 2 Инструкции о порядке функционирования межбанковской системы идентификации, утвержденной постановлением Правления Национального банка Республики Беларусь от 21 сентября 2016 г. № 497.
Термины «электронная цифровая подпись», «электронный документ» используются в значениях, определенных соответственно абзацами пятнадцатым и шестнадцатым статьи 1 Закона Республики Беларусь от 28 декабря 2009 г. № 113-З «Об электронном документе и электронной цифровой подписи».
Термины «аутентификационные данные», «банковская платежная карточка», «платежная операция», «платежная услуга», «поставщик платежных услуг», «правила платежной системы», «организация торговли (сервиса)» используются в значениях, определенных соответственно подпунктом 1.2 пункта 1 статьи 2, пунктом 1 статьи 45, подпунктами 1.19, 1.21, 1.30 пункта 1 статьи 2, пунктом 2 статьи 5, подпунктом 1.16 пункта 1 статьи 2 Закона Республики Беларусь «О платежных системах и платежных услугах».
Термины «обработка персональных данных», «персональные данные» используются в значениях, определенных соответственно абзацами шестым и девятым статьи 1 Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных».
Термины «банк-эквайер», «банк-эмитент», «банкомат», «держатель банковской платежной карточки», «заготовка банковской платежной карточки», «использование банковской платежной карточки», «платежный терминал», «платежный сервис», «реквизиты банковской платежной карточки» используются в значениях, определенных соответственно подпунктами 2.3–2.5, 2.11–2.13, 2.35, 2.37, 2.42 части первой пункта 2 Инструкции об осуществлении операций с банковскими платежными карточками и платежными инструментами, обеспечивающими их использование, утвержденной постановлением Правления Национального банка Республики Беларусь от 6 октября 2022 г. № 378.
ГЛАВА 2
ИСПОЛЬЗОВАНИЕ ПРОГРАММНЫХ СРЕДСТВ В ЦЕЛЯХ ОСУЩЕСТВЛЕНИЯ ФИНАНСОВЫХ ОПЕРАЦИЙ
3. В целях осуществления финансовых операций программные средства могут использоваться финансовыми организациями в случаях:
идентификации клиента, в том числе удаленной;
удаленного обновления (актуализации) данных о клиенте;
аутентификации клиента;
формирования документов в электронном виде;
подписания (подтверждения) документов в электронном виде, создаваемых при осуществлении финансовой операции.
4. Для использования программных средств в целях осуществления финансовых операций финансовые организации в своих локальных правовых актах определяют процедуры:
идентификации клиента, в том числе удаленной, и удаленного обновления (актуализации) данных о клиенте;
аутентификации клиента до момента начала сессии и (или) в процессе сессии в случае, если технологический процесс осуществления единичной(ых) или сгруппированных финансовой(ых) операции(й) предусматривает проведение аутентификации как части процесса ее (их) осуществления;
формирования документа в электронном виде и его подписания (подтверждения);
направления и получения финансовыми организациями предложения о заключении договора, согласия клиента на совершение соответствующей сделки (заключение договора);
предоставления (воспроизведения) копии документа в электронном виде;
передачи документов в электронном виде на архивное хранение, а также их архивного хранения.
5. Финансовая организация отказывает клиенту в использовании программных средств в целях осуществления финансовых операций в случаях:
отрицательного результата проверки хотя бы одного из видов аутентификационных данных;
наличия у финансовой организации сведений, подтверждающих недостоверность данных, представленных клиентом в целях идентификации;
выявления нарушения целостности документа в электронном виде;
наличия сведений о получении третьими лицами несанкционированного доступа к программным средствам;
иных случаях, предусмотренных договором, заключенным между финансовой организацией и клиентом.
При плановых перерывах в работе программного средства, используемого в целях осуществления финансовых операций, обнаружении неисправности программного средства или сбоев, повлекших неисправность программного средства, финансовая организация информирует клиентов о невозможности использования такого программного средства для осуществления финансовых операций и планируемом времени восстановления его работоспособности в сроки, предусмотренные договором, заключенным (заключаемым) с клиентом, в целях совершения действий (осуществления финансовых операций), установленных этим договором.
6. Финансовая организация при использовании программных средств в целях осуществления финансовых операций обеспечивает безопасность всей информации, формируемой в процессе их осуществления, и ее хранение с соблюдением требований, определенных законодательством об информации, информатизации и защите информации, в том числе о персональных данных, законодательством в сфере архивного дела и делопроизводства, а также в сфере предотвращения легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения.
ГЛАВА 3
ПРОВЕДЕНИЕ УДАЛЕННОЙ ИДЕНТИФИКАЦИИ
7. Финансовая организация, за исключением владельца МСИ, после проведения многофакторной аутентификации клиента может с его согласия дистанционно без личного присутствия клиента либо в его личном присутствии осуществлять сбор и иную обработку его биометрических персональных данных с целью их последующего использования в качестве аутентификационных данных свойства объекта при осуществлении финансовых операций.
8. Подтверждение достоверности предоставленных дистанционно в соответствии с пунктом 7 настоящей Инструкции фото- и (или) видеоизображения лица клиента проводится при наличии возможности их верификации одним из следующих способов:
посредством МСИ;
с биометрическими персональными данными, полученными из интегральной микросхемы биометрического документа, при условии проверки подлинности данного документа;
во взаимодействии с владельцами (операторами) государственных информационных ресурсов (систем) (далее – ГИР (ГИС)) посредством общегосударственной автоматизированной информационной системы.
В случае отсутствия возможности проведения верификации предоставленных дистанционно фото- и (или) видеоизображения лица клиента способами, установленными частью первой настоящего пункта, их верификация проводится путем их сравнения с фотографией данного лица из документа, удостоверяющего личность, при условии проверки подлинности данного документа.
В случае сбора биометрических персональных данных (фото- и (или) видеоизображение) при личном присутствии клиента верификация этих данных проводится посредством визуального сличения их с фотографией данного лица из документа, удостоверяющего личность, при условии проверки подлинности данного документа.
Подтверждение достоверности иных биометрических персональных данных, предоставленных дистанционно либо при личном обращении клиента в финансовую организацию, проводится при личном присутствии клиента.
9. В случае проведения пользователями МСИ, агентами по идентификации удаленной идентификации клиента – юридического лица, предусмотренной абзацем пятым части первой пункта 9 Указа Президента Республики Беларусь от 18 апреля 2019 г. № 148, обеспечивается проведение биометрической удаленной идентификации руководителя, главного бухгалтера или иного уполномоченного лица этого юридического лица после подтверждения их полномочий и предоставления информации, предусмотренной частью седьмой статьи 8 Закона Республики Беларусь «О мерах по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения».
10. Биометрическая удаленная идентификация проводится пользователями МСИ, агентами по идентификации при соблюдении в совокупности следующих условий:
обработка данных о клиенте, полученных при проведении биометрической удаленной идентификации, осуществляется с соблюдением требований законодательства об информации, информатизации и защите информации, в том числе о персональных данных;
биометрические персональные данные клиентов фиксируются в базе данных, отдельной от базы данных иных данных, полученных при проведении биометрической удаленной идентификации;
данные о клиентах, прошедших биометрическую удаленную идентификацию, имеют соответствующую отметку о прохождении такой процедуры;
фото- и (или) видеофиксация лица клиента и получение фотографии клиента из документа, удостоверяющего личность, на основании которых формируются биометрические модели, осуществляются посредством одного непрерывного и ограниченного по времени процесса дистанционного обмена информацией между финансовой организацией (агентом по идентификации) и клиентом;
осуществляется проверка подлинности документа, удостоверяющего личность, на основании его полученного изображения и анализа особых признаков подлинности и (или) данных, представленных из сертификата и (или) интегральной микросхемы биометрического документа, и (или) данных, полученных из МСИ и (или) ГИР (ГИС). При отсутствии сертификата и (или) интегральной микросхемы биометрического документа и (или) возможности подтверждения подлинности документа, удостоверяющего личность, с привлечением третьей доверенной стороны, определенной международным договором Республики Беларусь, и (или) с использованием МСИ и (или) ГИР (ГИС) проведение проверки подлинности документа, удостоверяющего личность, на основании его фото и (или) видеоизображения осуществляется в ходе одного непрерывного и ограниченного по времени процесса дистанционного обмена информацией между финансовой организацией (агентом по идентификации) и клиентом;
используются программные средства, позволяющие распознавать имитацию биометрических параметров клиента, имеющие механизмы распознавания живого человека и предотвращающие неправомерные действия, в том числе методы обнаружения применения средств имитации внешности и (или) голоса клиента (произнесение клиентом контрольной фразы, анализ движений и (или) мимики клиента и другие методы);
проводится сравнение биометрических моделей, сформированных на основании изображения лица клиента и фотографии клиента из документа, удостоверяющего личность, и определяется степень их сходства.
Решение о признании результата проведения биометрической удаленной идентификации положительным принимает финансовая организация (пользователь МСИ) на основании данных системы идентификации и собственной оценки риска дальнейшего взаимодействия с клиентом.
11. Программные средства, используемые для проведения биометрической удаленной идентификации, должны иметь протокол испытаний, паспорт, отчет или иной документ об испытаниях аккредитованной испытательной лаборатории (центра), который содержит результат испытаний, признанный положительным, на соответствие требованиям технических нормативных правовых актов, обязательных для соблюдения, и (или) аудиторское заключение.
В случае отсутствия в Республике Беларусь аккредитованной испытательной лаборатории (центра) с соответствующей областью аккредитации программные средства, используемые для проведения биометрической удаленной идентификации, должны иметь документы разработчика, импортера или участника платежного рынка Республики Беларусь, содержащие сведения о результатах испытаний, признанных положительными, на соответствие требованиям международных, межгосударственных либо национальных стандартов стран, которые устанавливают требования к алгоритмам, используемым в целях биометрической удаленной идентификации (аутентификации).
Результаты испытаний, проводимых в соответствии с частями первой и второй настоящего пункта, признаются положительными либо отрицательными уполномоченной в соответствии с законодательством организацией. При ее отсутствии – разработчиком, импортером, участником платежного рынка Республики Беларусь в соответствии с их локальными правовыми актами.
Программные средства, используемые для осуществления проверки подлинности документа, удостоверяющего личность, не являющегося биометрическим (далее – ДУЛ), должны иметь отчет о тестировании разработчика, импортера или участника платежного рынка Республики Беларусь, методика тестирования которого предусматривает тестирование каждого типа проверки документа, удостоверяющего личность, принимаемого к анализу указанными программными средствами, и его особых признаков.
Пользователю МСИ, агенту по идентификации, использующему программные средства, применяемые для проведения биометрической удаленной идентификации и осуществления проверки подлинности ДУЛ, при отсутствии возможности подтверждения подлинности такого документа с привлечением третьей доверенной стороны, определенной международным договором Республики Беларусь, и (или) с использованием МСИ и (или) ГИР (ГИС) необходимо иметь акт приемочного тестирования, методика которого должна содержать перечень тестов на соответствие требованиям пункта 10 настоящей Инструкции и перечню минимальных функциональных возможностей программных средств, посредством которых обеспечивается анализ особых признаков подлинности ДУЛ.
12. Для проведения удаленной идентификации клиентов, в том числе биометрической, финансовые организации вправе привлекать агентов по идентификации, которые обеспечивают идентификацию клиентов в соответствии с требованиями частей двадцать пятой и двадцать шестой статьи 8 Закона Республики Беларусь «О мерах по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения» и настоящей Инструкции.
ГЛАВА 4
ПРОВЕДЕНИЕ УДАЛЕННОГО ОБНОВЛЕНИЯ (АКТУАЛИЗАЦИИ) ДАННЫХ О КЛИЕНТЕ
13. Удаленное обновление (актуализация) данных о клиенте, за исключением биометрических персональных данных, проводится финансовой организацией в следующих случаях:
при необходимости обновления (актуализации) данных о клиенте в соответствии с законодательством в сфере предотвращения легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения;
по инициативе клиента.
В случае отказа клиента от проведения удаленного обновления (актуализации) данных о клиенте, за исключением биометрических персональных данных, доступ клиента к системе дистанционного обслуживания приостанавливается финансовой организацией до момента обновления (актуализации) данных о клиенте, при этом в системе дистанционного обслуживания может сохраняться возможность удаленного обновления (актуализации) данных о клиенте, за исключением биометрических персональных данных.
Удаленное обновление (актуализация) биометрических персональных данных клиента проводится в следующих случаях:
при попытке аутентификации клиента с использованием биометрических персональных данных в программном средстве финансовой организации по истечении трех лет с даты первоначального предоставления клиентом биометрических персональных данных или их обновления (актуализации) в базе данных финансовой организации;
по инициативе финансовой организации;
по инициативе клиента.
В случае отказа клиента от проведения удаленного обновления (актуализации) его биометрических персональных данных доступ клиента к системе дистанционного обслуживания может быть предоставлен финансовой организацией при аутентификации клиента с использованием иных видов аутентификационных данных.
В случае невозможности проведения удаленного обновления (актуализации) данных клиента или его отрицательного результата финансовая организация сообщает клиенту о возможных способах и порядке обновления (актуализации) таких данных.
14. Удаленное обновление (актуализация) данных о клиенте проводится финансовой организацией при соблюдении следующих условий:
в отношении клиента проведена многофакторная аутентификация. При этом обновление (актуализация) абонентского номера сотовой подвижной электросвязи клиента осуществляется только при проведении многофакторной аутентификации с использованием не менее двух видов аутентификационных данных, одним из которых являются аутентификационные данные свойства объекта;
финансовая организация имеет возможность проверить актуальность и достоверность предоставленных данных.
Способы и порядок проверки актуальности и достоверности данных, предоставленных клиентом при проведении удаленного обновления (актуализации), определяются в локальных правовых актах финансовой организации.
15. Удаленное обновление (актуализация) данных о клиенте, за исключением удаленного обновления (актуализации) таких данных с использованием МСИ, проводится финансовой организацией в следующем порядке:
финансовая организация проводит аутентификацию клиента;
финансовая организация или клиент направляют запрос на обновление (актуализацию) данных о клиенте, после чего клиент указывает актуальную информацию посредством заполнения анкеты и (или) видеосвязи с финансовой организацией;
финансовая организация проверяет актуальность и достоверность данных, предоставленных клиентом;
в случае положительного результата проверки актуальности и достоверности данных, предоставленных клиентом, финансовая организация информирует об этом клиента и фиксирует информацию в соответствующей системе (базе данных) о том, что клиентом предоставлены актуальные и достоверные данные;
в случае отрицательного результата проверки актуальности и достоверности данных, предоставленных клиентом, финансовая организация информирует об этом клиента и указывает возможные способы обновления (актуализации) таких данных.
16. Удаленное обновление (актуализация) данных о клиенте может проводиться финансовой организацией с использованием МСИ посредством направления запроса владельцу МСИ при соблюдении им требований части третьей пункта 26 Инструкции о порядке функционирования межбанковской системы идентификации.
ГЛАВА 5
ПРОВЕДЕНИЕ АУТЕНТИФИКАЦИИ
17. Аутентификация клиентов проводится финансовыми организациями при осуществлении финансовых операций согласно приложению 1 с использованием программных средств, за исключением случаев, установленных частью второй настоящего пункта.
Аутентификация клиентов может не проводиться в случаях, если:
для совершения финансовой операции не требуется проведение идентификации в устройствах по приему наличных денежных средств на сумму менее 100 базовых величин либо при внесении физическим лицом – плательщиком наличных денежных средств для их последующего зачисления на текущий (расчетный) банковский счет физического лица, не являющегося индивидуальным предпринимателем, без идентификации плательщика на сумму, не превышающую 50 базовых величин;
финансовые операции осуществляются в рамках сессии, в которой проводилась удаленная идентификация клиента.
18. Финансовыми организациями проводится однофакторная или многофакторная аутентификация клиента.
Уровень аутентификации (однофакторная, многофакторная аутентификация) клиентов и виды аутентификационных данных (аутентификационные данные знания, аутентификационные данные владения, аутентификационные данные свойства объекта) при осуществлении финансовых операций без их личного присутствия определяются финансовыми организациями в локальных правовых актах с учетом соответствующего вида финансовой операции согласно приложению 1 и в зависимости от уровня риска осуществляемой финансовой операции.
При проведении в рамках одной сессии сгруппированных финансовых операций, имеющих различный уровень аутентификации согласно приложению 1, применяется многофакторная аутентификация.
19. Аутентификация клиентов без их личного присутствия проводится финансовыми организациями в следующем порядке:
финансовые организации проводят аутентификацию клиента до момента начала сессии и (или) в процессе сессии в случае, если технологический процесс осуществления единичной(ых) или сгруппированных финансовой(ых) операции(й) предусматривает проведение аутентификации как части процесса ее (их) осуществления;
финансовая организация запрашивает у клиента аутентификационные данные, установленные локальными правовыми актами для соответствующего вида финансовой операции;
клиент предоставляет необходимые аутентификационные данные;
финансовая организация проводит проверку предоставленных клиентом данных с аутентификационными данными, ранее зафиксированными финансовой организацией в соответствующей системе (базе данных);
в случае положительного результата проверки всех аутентификационных данных, предоставленных клиентом (успешной аутентификации), финансовая организация фиксирует информацию в соответствующей системе (базе данных) о том, что клиентом предоставлены достоверные данные (данные совпадают) и клиент считается аутентифицированным;
в случае отрицательного результата проверки хотя бы одного из видов аутентификационных данных, предоставленных клиентом (неуспешной аутентификации), финансовая организация фиксирует информацию в соответствующей системе (базе данных) о том, что клиентом предоставлены недостоверные данные (данные не совпадают) и клиент считается неаутентифицированным.
20. В случае проведения идентификации клиента при его личном присутствии формирование и подписание (подтверждение) документа в электронном виде могут осуществляться посредством проведения однофакторной аутентификации, в том числе с использованием цифровой рукописной подписи.
ГЛАВА 6
ИСПОЛЬЗОВАНИЕ ДОКУМЕНТА В ЭЛЕКТРОННОМ ВИДЕ
21. Документ в электронном виде создается, обрабатывается, хранится, передается и принимается с помощью программных средств, используемых на основании договора (соглашения), заключенного (заключаемого) с клиентом, в целях совершения действий (осуществления финансовых операций), установленных этим договором (соглашением), с соблюдением законодательства об информации, информатизации и защите информации, в том числе о персональных данных.
В договоре (соглашении), заключенном (заключаемом) между финансовой организацией и клиентом, могут определяться минимальная и максимальная суммы финансовой операции, осуществляемой с использованием программных средств, частота и количество таких финансовых операций за определенный период.
22. При осуществлении финансовой операции документ в электронном виде может использоваться для формирования финансовой организацией электронных документов.
23. Документ в электронном виде имеет форму внутреннего или внешнего представления.
Формой внутреннего представления документа в электронном виде является запись информации об осуществленной финансовой операции на электронном носителе информации.
Формой внешнего представления документа в электронном виде является воспроизведение такого документа на электронном средстве отображения информации или на бумажном носителе.
Копия документа в электронном виде создается путем заверения формы внешнего представления документа в электронном виде на бумажном носителе (далее – копия документа в электронном виде) подписью уполномоченного работника финансовой организации. Копия документа в электронном виде должна содержать указание на то, что она является копией соответствующего документа в электронном виде.
Оригинал документа в электронном виде существует только в электронном виде. Все идентичные экземпляры документа в электронном виде являются оригиналами.
Оригинал документа в электронном виде и копии документа в электронном виде имеют одинаковую юридическую силу.
24. При необходимости предоставления организациям, государственным органам и другим лицам документа в электронном виде, сформированного, подписанного (подтвержденного), переданного (принятого) с использованием программных средств, не требуется его воспроизведение на бумажном носителе при условии подтверждения целостности и подлинности такого документа.
Финансовая организация обеспечивает возможность:
получения организациями, государственными органами и другими лицами подтверждения целостности и подлинности документа в электронном виде;
получения клиентами документов в электронном виде дистанционно без личного присутствия в финансовой организации, осуществляющей финансовую операцию.
25. Документы в электронном виде, полученные, оформленные (сформированные) финансовой организацией, хранятся в той форме, в которой они были получены, оформлены (сформированы), с учетом требований локальных правовых актов финансовой организации и законодательства в сфере архивного дела и делопроизводства, законодательства об информации, информатизации и защите информации и иных законодательных актов.
При передаче на архивное хранение документов в электронном виде финансовая организация подтверждает подлинность таких документов.
При архивном хранении документов в электронном виде финансовая организация обеспечивает их целостность.
При невозможности ведения архива документов в электронном виде финансовая организация может хранить копии документов в электронном виде в соответствии с требованиями законодательства в сфере архивного дела и делопроизводства.
| Приложение 1 к Инструкции об использовании |
ПЕРЕЧЕНЬ
финансовых операций
Вид финансовой операции | Минимальный уровень аутентификации |
Для физических лиц, за исключением индивидуальных предпринимателей, нотариусов | |
1. Оказание услуги по предоставлению информации, необходимой для осуществления платежа, обработке информации по платежам, о состоянии счета (электронного кошелька), иной информации, связанной с платежами, платежными операциями и (или) счетами (электронными кошельками) 2. Осуществление перевода денежных средств, валютно-обменных операций в рамках счетов одного клиента, открытых в одном банке 3. Получение от клиентов (в том числе лиц, являющихся стороной по сделкам, заключенным в обеспечение исполнения обязательств) заявлений, анкет, заявок и иных документов в электронном виде (кроме указанных в пункте 19 настоящего приложения), необходимых для осуществления финансовых операций, за исключением расходных финансовых операций, расторжение договора, влекущего закрытие счета (при наличии на нем нулевого остатка денежных средств), электронного кошелька (при наличии на нем нулевого остатка электронных денег) 4. Получение согласия, отзыва согласия клиента на обработку финансовыми организациями его данных 5. Заключение договора на оказание информационных услуг, в том числе услуг по предоставлению кредитного отчета субъекту кредитной истории, и дополнительных соглашений к нему 6. Осуществление действий с банковским вкладом (депозитом), текущим (расчетным) банковским счетом, счетом в драгоценных металлах, не приводящих к изменениям остатка на счете 7. Заключение договора о предоставлении услуги «SMS-оповещение» и дополнительных соглашений к нему 8. Отправка USSD-запросов, SMS-сообщений в целях осуществления финансовых операций на сумму менее 100 базовых величин | однофакторная аутентификация |
9. Заключение договоров банковского вклада (депозита), текущего (расчетного) банковского счета, специального счета (субсчета), благотворительного счета, временного счета и дополнительных соглашений к ним 10. Расторжение договора, влекущего закрытие счета (при наличии на нем остатка денежных средств) 11. Инициирование платежей, за исключением: инициирования платежей с использованием карточек при регистрации этой операции по технологии радиочастотной идентификации без ввода пин-кода в случае, если правилами платежных систем на основе использования карточек предусмотрена возможность использования карточки без ввода пин-кода. При этом ответственность за реализацию платежного риска, связанного с неправильной аутентификацией, несет в соответствии с правилами платежной системы, в рамках которой обеспечивается осуществление платежа, банк – участник данной платежной системы, предоставляющий указанную возможность; аутентификации банком-эквайером держателей карточек при инициировании платежа с использованием карточки в платежном терминале в организации торговли (сервиса); инициирования операций с электронными деньгами на сумму менее 100 базовых величин, которое проводится с использованием однофакторной аутентификации физических лиц. Многофакторная аутентификация держателей карточек при инициировании платежей с использованием карточек с применением платежных сервисов осуществляется на основании токена, формируемого при использовании этого сервиса с учетом реквизитов карточки и SMS-сообщения, направляемого держателю карточки банком-эмитентом, идентификатора и пароля держателя карточки в платежном сервисе при формировании данного токена 12. Выдача наличных денежных средств в банкомате с использованием программных средств 13. Инициирование операций с электронными деньгами, за исключением финансовых операций, указанных в абзаце четвертом части первой пункта 11 настоящего приложения 14. Осуществление валютно-обменных операций со счета клиента на другой счет, открытый в другом банке, в том числе на счет другого клиента 15. Осуществление операций купли-продажи драгоценных металлов и (или) драгоценных камней 16. Получение документов в электронном виде, в том числе согласия клиента на предоставление данных о нем из МСИ 17. Осуществление операций с ценными бумагами 18. Заключение договора на использование клиентом системы дистанционного обслуживания и дополнительных соглашений к нему 19. Получение от клиентов (в том числе лиц, являющихся стороной по сделкам, заключенным в обеспечение исполнения обязательств по кредитам) заявлений, в том числе о предоставлении кредита, анкет, заявок, иных документов в электронном виде, необходимых для предоставления кредита, заключение дополнительных соглашений к кредитному договору, договору, заключенному в целях обеспечения исполнения обязательств по кредитам, договору, содержащему условия овердрафтного кредитования 20. Заключение кредитного договора, договора, содержащего условия овердрафтного кредитования, с использованием аутентификационных данных свойства объекта 21. Получение согласия субъекта кредитной истории на предоставление кредитного отчета финансовой организацией 22. Заключение договора на оказание платежных услуг и дополнительных соглашений к нему 23. Заключение договора на открытие клиентом электронного кошелька и дополнительных соглашений нему 24. Заключение договора на открытие и ведение счета в драгоценных металлах и дополнительных соглашений к нему 25. Заключение договора залога ценных бумаг при обеспечении исполнения обязательств по договорам, заключаемым банками, и дополнительных соглашений к нему 26. Заключение договоров комиссии и поручения и дополнительных соглашений к ним 27. Заключение договора финансовой аренды (лизинга) и дополнительных соглашений к нему (лизинговая деятельность), подписание акта приемки-передачи имущества по договору финансовой аренды (лизинга) и акта передачи права собственности на предмет лизинга 28. Заключение договора купли-продажи (поставки) имущества, приобретаемого для последующей передачи в качестве предмета договора финансовой аренды (лизинга), и дополнительных соглашений к нему (лизинговая деятельность) 29. Иные сделки (услуги), совершаемые (оказываемые) в рамках лизинговой деятельности, в том числе сделки (услуги), влекущие расходы, включаемые в инвестиционные расходы лизингодателя, и сделки, заключенные в обеспечение исполнения обязательств по договору финансовой аренды (лизинга) 30. Заключение договора займа (при привлечении денежных средств микрофинансовой организацией) и дополнительных соглашений к нему 31. Заключение договоров микрозайма и залога (залоговый билет) и дополнительных соглашений к ним (при предоставлении микрозаймов микрофинансовой организацией) 32. Заключение соглашения об осуществлении операций с беспоставочными внебиржевыми финансовыми инструментами (деятельность на внебиржевом рынке Форекс) 33. Заключение посредством сервисов онлайн-заимствования договоров займа денежных средств и договоров, заключенных в обеспечение исполнения обязательств по договорам займа денежных средств, и дополнительных соглашений к ним 34. Доверительное управление денежными средствами, доверительное управление фондами банковского управления 35. Операции с финансовыми инструментами срочных сделок | многофакторная аутентификация |
36. Иные финансовые операции, а также иные сделки (услуги), совершаемые (оказываемые) при осуществлении финансовых операций, определяемые финансовыми организациями с учетом особенностей технологического процесса осуществления данной финансовой операции | определяется финансовыми организациями |
Для юридических лиц, индивидуальных предпринимателей, нотариусов | |
37. Оказание услуги по предоставлению информации, необходимой для осуществления платежа, обработке информации по платежам, о состоянии счета (электронного кошелька), иной информации, связанной с платежами, платежными операциями и (или) счетами (электронными кошельками) 38. Получение от клиентов (в том числе лиц, являющихся стороной по сделкам, заключенным в обеспечение исполнения обязательств) заявлений, анкет, заявок и иных документов в виде документов в электронном виде, необходимых для осуществления финансовых операций, расторжение договора, влекущего закрытие счета (при наличии на нем нулевого остатка денежных средств), электронного кошелька (при наличии на нем нулевого остатка электронных денег) 39. Заключение договора на оказание информационных услуг, в том числе услуг по предоставлению кредитного отчета субъекту кредитной истории, и дополнительных соглашений к нему 40. Осуществление действий с банковским вкладом (депозитом), текущим (расчетным) банковским счетом, счетом в драгоценных металлах, не приводящих к изменениям остатка на счете | однофакторная аутентификация |
41. Получение документов в электронном виде, включая согласие клиента на предоставление финансовым организациям данных и иной информации о клиенте, в том числе данных, хранящихся в МСИ 42. Расторжение договора, влекущего закрытие счета (при наличии на нем остатка денежных средств) 43. Инициирование платежей 44. Выдача наличных денежных средств в банкомате с использованием программных средств 45. Осуществление валютно-обменных операций 46. Инициирование операций с электронными деньгами 47. Осуществление операций с ценными бумагами 48. Осуществление операций купли-продажи драгоценных металлов и (или) драгоценных камней 49. Заключение договоров банковского вклада (депозита), текущего (расчетного) банковского счета, специального счета (субсчета), благотворительного счета, временного счета и дополнительных соглашений к ним 50. Заключение договора на осуществление валютно-обменных операций и дополнительных соглашений к нему 51. Заключение договора на использование клиентом системы дистанционного обслуживания и дополнительных соглашений к нему 52. Заключение договора на оказание платежных услуг и дополнительных соглашений к нему 53. Заключение договора на открытие клиентом электронного кошелька и дополнительных соглашений к нему 54. Заключение договора на открытие и ведение счета в драгоценных металлах и дополнительных соглашений к нему 55. Заключение кредитного договора, договора, содержащего условия овердрафтного кредитования, и дополнительных соглашений к ним 56. Получение согласия субъекта кредитной истории на предоставление кредитного отчета финансовой организацией 57. Заключение договора залога ценных бумаг при обеспечении исполнения обязательств по договорам, заключаемым банками, и дополнительных соглашений к нему 58. Заключение договора финансовой аренды (лизинга) и дополнительных соглашений к нему (лизинговая деятельность), подписание акта приемки-передачи имущества по договору финансовой аренды (лизинга) и акта передачи права собственности на предмет лизинга 59. Заключение договора займа (при привлечении денежных средств микрофинансовой организацией) и дополнительных соглашений к нему 60. Заключение договора микрозайма (при предоставлении микрозаймов микрофинансовой организацией) и дополнительных соглашений к нему 61. Заключение соглашения об осуществлении операций с беспоставочными внебиржевыми финансовыми инструментами (деятельность на внебиржевом рынке Форекс) 62. Заключение посредством сервисов онлайн-заимствования договоров займа денежных средств и договоров, заключенных в обеспечение исполнения обязательств по договорам займа денежных средств, и дополнительных соглашений к ним 63. Заключение договора купли-продажи (поставки) имущества, приобретаемого для последующей передачи в качестве предмета договора финансовой аренды (лизинга), и дополнительных соглашений к нему (лизинговая деятельность) 64. Иные сделки (услуги), совершаемые (оказываемые) в рамках лизинговой деятельности, в том числе сделки (услуги), влекущие расходы, включаемые в инвестиционные расходы лизингодателя, и сделки, заключенные в обеспечение исполнения обязательств по договору финансовой аренды (лизинга) 641. Заключение договора финансирования под уступку денежного требования (договор факторинга) и дополнительных соглашений к нему | многофакторная аутентификация |
65. Иные финансовые операции, а также иные сделки (услуги), совершаемые (оказываемые) при осуществлении финансовых операций, определяемые финансовыми организациями с учетом особенностей технологического процесса осуществления данной финансовой операции | определяется финансовыми организациями |
| Приложение 2 к Инструкции об использовании |
ПЕРЕЧЕНЬ
технических параметров мобильного устройства и персонального компьютера, которые могут использоваться для формирования цифрового отпечатка мобильного устройства и цифрового отпечатка персонального компьютера
1. Перечень технических параметров мобильного устройства, которые могут использоваться для формирования цифрового отпечатка мобильного устройства:
уникальный числовой идентификатор устройства в компьютерной сети, работающей по протоколу IP (IP-адрес);
идентификационная строка клиентского приложения (user-agent);
максимальное сжатие данных (до минимума) (accept-encoding);
информация о языке, которому отдает предпочтение пользователь, которая при запросе документа передается через HTTP (accept-language);
параметры устройства экрана;
часовой пояс;
электронный блок либо интегральная схема, исполняющая машинные инструкции (код программ), главная часть аппаратного обеспечения компьютера или программируемого логического контроллера (CPU);
идентификатор для беспроводной сети (ssid wi-fi-сети);
идентификатор сотового оператора;
координаты устройства на базе модуля устройства спутниковой системы навигации, обеспечивающей измерение расстояния, времени и определяющей местоположение во всемирной системе координат (GPS) либо российской спутниковой системе навигации (глонасс);
иные технические параметры.
2. Перечень технических параметров персонального компьютера, которые могут использоваться для формирования цифрового отпечатка персонального компьютера:
уникальный числовой идентификатор устройства в компьютерной сети, работающей по протоколу IP (IP-адрес);
идентификационная строка клиентского приложения (user-agent);
максимальное сжатие данных (до минимума) (accept-encoding);
информация о языке, которому отдает предпочтение пользователь, которая при запросе документа передается через HTTP (accept-language);
параметры устройства экрана;
доступные медиаустройства;
часовой пояс;
электронный блок либо интегральная схема, исполняющая машинные инструкции (код программ), главная часть аппаратного обеспечения компьютера или программируемого логического контроллера (CPU);
шрифты браузера;
характеристика онлайн-пользователя, получаемая методом, позволяющим веб-сайтам идентифицировать и отслеживать посетителей (canvas-отпечаток);
кроссплатформенный API для отображения 3D-графики в браузере (параметры webgl);
информация о батарее устройства;
иные технические параметры.