en en

Podmienka F - Opis zavedených postupov na monitorovanie, riešenie a sledovanie bezpečnostného incidentu a sťažností zákazníkov týkajúcich sa bezpečnosti

Vysvetlivky

Žiadateľ o udelenia povolenia musí mať vytvorené mechanizmy na predchádzanie podvodom a riadenie bezpečnostného rizika, postupy na ohlasovanie podvodov a riešenie prevádzkových alebo bezpečnostných incidentov súvisiacich s platbami a incidentov súvisiacich s IKT, ako aj zadefinované kompetencie zodpovedných osôb v platobnej inštitúcii.

Bezpečnostné riziko je možné zaradiť pod operačné riziko. Operačné riziko zahŕňa straty spôsobené zlyhaním vnútorných procesov, ľudí, systémov alebo v dôsledku vonkajších udalostí. Bezpečnostné riziko, či už fyzické (napr. krádeže, násilie, sabotáž) alebo kybernetické (napr. hacking, únik údajov), je typickým príkladom takéhoto rizika, pretože môže spôsobiť finančné aj nefinančné škody organizácii.

Incidentom sa na účely udelenia povolenia rozumie incident súvisiaci s IKT a prevádzkový alebo bezpečnostný incident súvisiaci s platbami.

Incident súvisiaci s IKT je vymedzený v článku 3 bode 8. nariadenia DORA.

Prevádzkový alebo bezpečnostný incident súvisiaci s platbami je vymedzený v článku 3 bode 9. nariadenia DORA.

Kybernetická hrozba je vymedzená v článku 3 bode 12. nariadenia DORA.

  • Právny základ
    • § 64 ods. 2 písm. j) a m) ZoPS
    • § 64 ods. 4 písm. q) ZoPS
    • čl. 5 ods. 1 písm. f) Smernice PSD 2
    • Usmernenie 9, časť 4.1, Usmernenie EBA povoľovacie
    • Nariadenie DORA
    • RTS IKT risk management
    • RTS o klasifikácii IKT incidentov
    • RTS o oznamovaní IKT incidentov

Prílohy

Žiadateľ poskytne opis svojich zavedených postupov na monitorovanie, riešenie a sledovanie bezpečnostných incidentov a sťažností zákazníkov týkajúcich sa bezpečnosti a dokumentáciu procesu riadenia incidentov súvisiacich s IKT.

PRÍLOHA F1

organizačné opatrenia a nástroje na predchádzanie podvodom

PRÍLOHA F2

podrobné údaje o osobách a orgánoch zodpovedných za pomoc zákazníkom v prípadoch podvodov, technických problémov a/alebo za správu nárokov

PRÍLOHA F3

hierarchické vzťahy v prípadoch ohlasovania podvodov

PRÍLOHA F4

kontaktný bod pre zákazníkov vrátane mena, priezviska a e-mailovej adresy

PRÍLOHA F5

Postupy riadenia incidentov vychádzajú z nariadenia DORA, RTS IKT risk management, RTS o klasifikácii IKT incidentov, a zahŕňajú najmä:

  • opis ukazovateľov včasného varovania
  • opis postupov identifikácie, zaznamenávania, kategorizácie a klasifikácie incidentov
  • opis postupov pre analýzu príčin incidentov, ich riešenia a prijatia následných opatrení na zamedzenie podobným incidentom (reakcia na incident, akčný plán)
  • definovanie úloh a zodpovedností, ktoré je potrebné aktivovať pre jednotlivé druhy a scenáre incidentov (napr. chyby, nesprávne fungovanie, kybernetické útoky)

Postupy komunikácie a oznamovania incidentov (komunikačná stratégia) sú vypracované podľa nariadenia DORA a RTS o oznamovaní IKT incidentov:

  • opis plánov internej a externej komunikácie vrátane interných eskalačných postupov až po najvyššiu riadiacu úroveň
  • postupy oznamovania závažných incidentov vrcholovému manažmentu a príslušným vnútroštátnym orgánom podľa čl. 96 Smernice PSD 2, v súlade s nariadením DORA a RTS o oznamovaní IKT incidentov

PRÍLOHA F6

používané nástroje na identifikáciu, riadenie a monitorovanie operačného rizika vo vzťahu k bezpečnostným rizikám a zavedené opatrenia a postupy sledovania určené na zmierňovanie bezpečnostných rizík