Изменились требования к установке платежных систем в помещении
Фото: Zakon.kz
В частности, в новой редакции изложен ряд пунктов правил.
Так, говорится, что в случае установки терминала платежной системы на персональном компьютере рабочее место пользователя платежной системы размещается в помещении по месту нахождения пользователя платежной системы с ограниченным доступом.
В случае установки терминала платежной системы на виртуальной среде, физический ресурс (сервер), на котором она развернута, размещается в центре обработки данных пользователя платежной системы, соответствующем требованиям главы 9 Требований.
Персональный компьютер с настроенным удаленным подключением по защищенным каналам связи к виртуальной среде, на котором установлен терминал платежной системы, размещается в помещении.
При этом не допускается размещение в помещении рабочих мест, не предназначенных для работы с платежной системой, за исключением рабочих мест работников, выполняющих функции операторов рабочего места пользователя платежной системы.
Также говорится, что за входом в помещение, а также за персональным компьютером, на котором установлен терминал платежной системы, или персональным компьютером с настроенным удаленным подключением по защищенным каналам связи к виртуальной среде, на котором установлен терминал платежной системы, устанавливается видеонаблюдение с возможностью записи видеосигналов.
Допускается запуск записи видеосигналов при обнаружении движения объектов. Архив видеозаписей хранится не менее периода контроля целостности печатей или пломб на системном блоке рабочего места пользователя платежной системы, установленного внутренними документами пользователя платежной системы.
В случае установки терминала платежной системы на виртуальной среде, видеонаблюдение дополнительно устанавливается за центром обработки данных пользователя платежной системы, в котором установлен физический ресурс (сервер), на базе которого развернута эта виртуальная среда.
Указывается, что видеонаблюдение центра обработки данных пользователя платежной системы обеспечивает наблюдение за всеми проходами, входами в центр обработки данных пользователя платежной системы. В центре обработки данных пользователя платежной системы расстановка видеокамер исключает наличие зон внутри помещения центра обработки данных пользователя платежной системы и перед его входом, не покрытых видеонаблюдением.
Запись видеосигналов центра обработки данных пользователя платежной системы ведется непрерывно или с использованием детектора движения.
Архив видеозаписей центра обработки данных пользователя платежной системы хранится не менее трех месяцев.
Терминал платежной системы либо его приложение устанавливается на специально выделенном для этих целей персональном компьютере, имеющем инвентарный номер и паспорт с подробными данными по конфигурации, программным и аппаратным средствам, установленным на нем, или виртуальной среде, имеющей инвентарный номер и паспорт с подробным описанием установленных программных средств, параметров конфигурации, а также аппаратных характеристик физического ресурса (сервера), на котором она развернута, и выделенных для нее вычислительных ресурсов.
При этом правила дополнены пунктом о том, что в случае установки терминала платежной системы на виртуальной среде пользователь платежной системы использует гипервизор, обеспечивающий изоляцию виртуальной среды от иных цифровых систем.
Пользователь платежной системы обеспечивает разграничение административного доступа к гипервизору, контроль целостности его конфигурации, учет действий администраторов рабочего места пользователя платежной системы, а также установку обновлений.
Работа с терминалом платежной системы осуществляется с рабочего места пользователя платежной системы. В случае установки терминала платежной системы на виртуальной среде доступ к терминалу платежной системы осуществляется с персонального компьютера, предназначенного для работы с платежной системой и размещенного в Помещении, посредством удаленного подключения.
При удаленном подключении к терминалу платежной системы пользователь платежной системы обеспечивает:
- защиту каналов связи с рабочим местом пользователя платежной системы средствами шифрования и контроля целостности, обеспечивающими конфиденциальность и неизменность передаваемых данных;
- использование механизмов аутентификации лиц, допущенных к работе с платежной системой, с использованием цифровых объектов и средств идентификации, соответствующих требованиям законодательства Республики Казахстан о кибербезопасности, о персональных данных и их защите;
- реализацию автоматизированного логирования и мониторинга действий лиц, допущенных к работе с платежной системой, с фиксацией попыток доступа и изменений в конфигурации терминала платежной системы;
- разграничение прав доступа лиц, допущенных к работе с платежной системой.
Не допускается установка и использование систем удаленного доступа на рабочем месте пользователя платежной системы при установке терминала платежной системы на персональный компьютер. Встроенные службы удаленного доступа на рабочем месте пользователя платежной системы (персональном компьютере) удаляются или отключаются.
Ключевая информация хранится в персональном компьютере, на котором установлен терминал платежной системы, либо в персональном компьютере с настроенным удаленным подключением по защищенным каналам связи к виртуальной среде, на которой установлен терминал платежной системы, с применением программных средств защиты, обеспечивающих ее конфиденциальность, целостность и контроль доступа.
Наличие несанкционированных копий ключевой информации, в том числе на жестком диске рабочего места пользователя платежной системы, не допускается.
Порядок хранения и использования ключевой информации на рабочем месте пользователя платежной системы исключает возможность несанкционированного доступа к ним.
Внесены и другие поправки.
Постановление вводится в действие с 12 июля 2026 года.