Правила функционирования платежной системы Freedompay.money

1. Общие положения.
Данный продукт является программным комплексом (далее - Система), и предназначен для организации технического взаимодействия между интернет-магазинами (мерчантами), физическими лицами (покупателями) и платежными системами, все вместе именуемыми - участниками системы.
Система предоставляет возможность осуществлять взаимодействие между участниками системы по единым стандартам и алгоритмам, не зависимо от тога, через какую платежную систему осуществляется оплата соответствующего заказа (товара/ услуги).

1.1.     Настоящий документ является внутренним нормативным документом Оператора Системы.

1.2.     Настоящий документ определяет общий порядок и условия подключения и отключения от Системы.

1.3.     В настоящий документ Оператором Системы могут вноситься изменения. Такие изменения направлены на:

-             повышение качества оказываемых услуг Оператором Системы

-             повышение эффективности и надежности Системы

-             соблюдение Применимых требований и изменений к ним.

1.4.     Регулирующее законодательство имеет приоритетную силу в отношении любых положений настоящего документа.

3. Архитектура системы и схема ее работы
3.1.    Технический результат состоит в том, что система может объединять несколько платежных систем и представить к ним доступ для мерчанта через свой единый интерфейс, в рамках одного контракта и единой технической интеграции. Так же система может объединять и интернет/ онлайн магазины предоставляя тем самым Покупателю выбрать различные товары, типы товаров в одном и том же месте на одном интернет сайте, без необходимости перехода к ним, а так же оплатить покупки одним общим платежом, посредствам любой доступной формы оплаты, так как система объединяет в себя все доступные на сегодняшний день формы наличной и безналичной оплаты выбранного товара, при этом позволяя максимально быстро подключать к системе любые платежные системы, а так же производить доплату по заказу с другой платежной системы, если в рамках выбранной у плательщика закончились средства платежа. Работа Системы строится на основании электронных счетов, создаваемых по запросу покупателя продавцами (поставщиками товаров/ услуг). При этом сам запрос на выставление электронного счета может осуществляться как полностью в автоматическом режиме с использованием API, так и в ручном режиме через специальный wеb-интерфейс доступный продавцу/ поставщику товара/услуги. Информации о поступлении платежа/ оплате электронного счета приходит поставщику товара/ услуги в течение нескольких секунд в режиме онлайн.
3.2.     Подключение платежных систем производится посредствам их подключения к электронному шлюзу системы, имеющему возможность взаимодействия с различными типами платежных систем (далее платежных агентов) применяемыми в мире, такими как: интернет- эквайринг банковских карт, системы приема наличных платежей (банковские организации, терминалы оплаты услуг, POS - терминалы, салоны связи, системы денежных переводов), системы электронных денег и мобильные платежи.
3.3.    Одной из особенностей системы является полностью автоматизированный онлайн бэк­офис, позволяющий контролировать работу Системы в онлайн режиме, максимально быстро подключать новых поставщиков товаров/ услуг и платежных агентов, устанавливать настройки безопасности и изменять их в зависимости от потребности того и/ или иного участника системы, а также проводить в онлайн режиме взаиморасчеты и сверки.
3.4. Основной функционал Системы состоит из 17 уникальных сервисов/ модулей:
1. Шлюзы для подключения платежных систем.
2. Система выставления и учета электронных счетов.
3. API для подключения магазинов          набор готовых процедур, функций, структур и констант, предоставляемых системой для использования во внешних программных продуктах/интернет-магазинах.
4.  Модули для подключения к CMS - модули для обеспечения и организации совместного процесса создания, редактирования и управления контентом.
5. Подключение к системам бронирования.
6. Клиентский интерфейс для магазинов.
7. Система управления платежным шлюзом.
8. Сервис возврата, отмены и/ или корректировки ошибочных платежей.
9. Сервис произвольных выплат.
10. Модуль информирования плательщиков.
11. Сервис выставления ручных счетов.
12. Анти-фрод фильтры-фильтры для противодействия мошенничества через Систему.
13. Статистическая отчетность.
14. Модуль сверки реестров.

15. Формирование юридических и бухгалтерских документов.

16. Автоматическое подключение к системе.

17. Интеграция с биллингом и системой контроля доступа.

3.5.    Взаимодействие платежной системы с владельцем интернет-магазина (продавцом) осуществляется по открытым каналам связи сети общего пользования Internet. Для обмена используется протокол HTTPS.
3.6. Авторизация общения происходит путем создания ЭЦП (электронной цифровой подписи). В любом запросе указывается ЭЦП, которая проверяется перед любыми действиями с запросом. Исходным текстом (базовой строкой подписи) для построения ЭЦП служит строка, полученная последовательной (в порядке выдачи) конкатенацией всех значений в итоговом XML через точку с запятой.
3.7.  Запросы от платежной системы к серверу Провайдера услуг передаются методом POST httр­протокола с параметрами в виде ХМL.
3.8. Ответы возвращаются в виде ХМL-документов в кодировке UTF-8.

4. Процедура вступления и выхода из системы Порядок и условия подключения к Системе

4.1. Порядок подключения Мерчанта к Системе состоит из следующих условных этапов:

·      Регистрация заявки

·      Доступ к личному кабинету

·      Заполнение анкеты

·      Сбор пакета документов

·      Проверка

·      Заключение Договора

·      Интеграция

·      Настройка параметров обработки операций

·      Тестирование

·      Активация «боевого режима»

4.2. Подключение Мерчанта к Системе осуществляется на следующих условиях:

4.2.1. Регистрация заявки:

Мерчант инициирует подключение к Системе, используя соответствующий функционал подачи заявки на подключение на Интернет-сайте: Система автоматически регистрирует заявку Мерчанта на подключение и направляет подтверждение на адрес электронной почты, указанный при подаче заявки.
4.2.2. Доступ к Личному кабинету: .
Подтверждение о регистрации заявки Мерчанта на подключение содержит инструкцию, идентификатор и временный пароль для авторизации доступа к Личному кабинету Мерчанта в Системе. Следуя данной инструкции, Мерчант авторизуется, в Личном кабинете, меняет временный пароль на собственный и переходит к заполнению анкеты.
4.2.3.   Заполнение анкеты:
Мерчант заполняет анкеты в Личном кабинете путем указания данных в соответствии с требованиями действующего законодательства КР о ПФТ/ЛПД. Для содействия в заполнении анкеты Мерчант может обратиться в службу поддержки Системы по контактам, указанным в полученном подтверждении о регистрации заявки или на Интернет-сайте https://freedompay.money/kg Для содействия в заполнении анкеты Оператор Системы может самостоятельно связаться с Мерчантом по контактам, указанным в заявке на подключение.
4.2.4.   Сбор пакета документов:
Мерчант предоставляет Оператору Системы пакет документов в соответствии с требованиями

действующего законодательства КР о ПФТ/ЛПД. Первичное предоставление пакета документов осуществляется Мерчантом путем загрузки в Личном кабинете снимков или копий оригиналов документов.
4.2.5.   Проверка:
Оператор Системы осуществляет проверку полноты и соответствия пакета документов Применимым требованиям. В случае необходимости, согласно Применимым требованиям, Оператор Системы запрашивает у Мерчанта недостающие или дополнительные документы для проверки. Оператор Системы информирует Мерчанта о результате проверки.
4.2.6.   Заключение Договора или анкеты на присоединение к Системе:
В случае положительного результата проверки Мерчант подписывает анкету на присоединение к Системе или заключает Договор с Оператором Системы. Если иное прямо не определено в Договоре, подписание Мерчантом необходимых документов, образующих составные части Договора, и/или Анкеты на присоединение к Системе означает заключение Договора и принятие Мерчантом Общих условий использования Системы, размещенных в качестве публичной оферты в открытом доступе на Интернет-сайте. При заключении Договора Мерчант предоставляет Оператору Системы пакет документов (оригиналы) в соответствии с требованиями действующего законодательства КР.
4.2.7.   Интеграция:
Оператор Системы предоставляет Мерчанту документацию по интеграции с Системой и при необходимости содействует Мерчанту в осуществлении интеграции с Системой. Мерчант, согласно полученной документации, осуществляет интеграцию с Системой.
4.2.8.   Настройка параметров обработки операций:
Оператор Системы осуществляет настройку параметров обработки операций Мерчанта в Системе в соответствии с условиями Договора и Применимыми требованиями.
4.2.9.   Тестирование:
Первоначально Оператор Системы устанавливает для Мерчанта тестовый режим проведения операций. Мерчант проводит операции в тестовом режиме посредством Системы, сообщает Оператору Системы о выявленных ошибках и устраняет ошибки, возникающие на стороне Мерчанта. Оператор Системы устраняет выявленные ошибки и сообщает Мерчанту об ошибках, возникающих на стороне Мерчанта.
4.2.10.   Активация «боевого режима»:
После устранения всех ошибок Оператор Системы активирует «боевой режим» проведения операций Мерчанта в Системе.

5. Порядок и условия отключения от Системы.

5.1.  Порядок отключения Мерчанта от Системы состоит из следующих условных этапов:

·      Уведомление о расторжении Договора

·      Блокировка операций

·      Проведение взаиморасчетов

·      Блокировка доступа к Личному кабинету

·      Хранение документов

5.2.  Отключение Мерчанта от Системы осуществляется на следующих условиях:

5.2.1. Уведомление о расторжении Договора.

Сторона, инициирующая отключение от Системы, направляет другой стороне уведомление о расторжении Договора в соответствии с условиями Договора, с указанием даты и оснований (при наличии) такого расторжения. Срок расторжения устанавливается в соответствии с условиями Договора, а также Применимыми требованиями.
5.2.2. Блокировка операций.

Сторона, инициирующая отключение от Системы, блокирует проведение операций посредством Системы в соответствии с условиями Договора. Сторона, получившая уведомление о расторжении Договора, блокирует проведение операций посредством Системы Freedompay.money, с даты получения такого уведомления, если иное не определено условиями Договора.
5.2.3. Проведение взаиморасчетов.
После блокировки проведения операций посредством Системы стороны производят сверку и последующий взаиморасчет в срок и на условиях, определенных в Договоре.
5.2.4. Блокировка доступа к Личному кабинету.
Договор считается расторгнутым при условии завершения сторонами взаиморасчета и выполнения принятых по нему обязательств. После расторжения Договора Оператор Системы блокирует доступ Мерчанта к Личному кабинету в Системе.
5.2.5. Хранение данных и документов.
После расторжения Договора Оператор Системы хранит данные и документы Мерчанта в течение срока, установленного в соответствии с Применимыми требованиями.

6.  Порядок подключения участников к Системе.

6.1.  Мерчант отравляет заявку па подключение на сайте.

6.2.  Оператор Системы сразу отправляет тестовые доступы к системе в Личный кабинет, ключи для интеграции.

6.3.     В личном кабинете заполняется анкета присоединения к договору оферте системы Оператора Системы.

6.4.  Мерчант высылает учредительные и регистрационные документы.

6.5.  Сгенерированный файл подписывается (подпись печать или ЭЦП)

6.6.      По итогам двухстороннего подписания анкеты присоединения мерчанта становится доступен «боевой режим».

7.  Порядок проведения процессинга.
7.1.        Осуществление операций покупки Держателем 1 карты на сайте Мерчанта с использованием Платежных карт (их реквизитов) товаров/работ/услуг через Систему интернет-платежей Организации, а также порядок расчетов между Банком и Организацией.
7.2.    Физическое лицо создает заказ на сайте мерчанта и выбирает Оператора Системы для проведения платежа.
7.3.  Мерчант регистрирует и передает Оператору Системы данные заказа.
7.4.   Платежная организация регистрирует данные заказа, присваивает ID платежа в системе, проверяет наличие телефонного номера и E-mail Физического лица, и возвращает в магазин 1D платежа и URL-адрес платежной страницы.
7.5.     После успешной проверки Физическое лицо вводит карточные данные и нажимает

«оплатить».

7.6.  Карточные данные Физического лица попадают запросом на платеж у Банка.
7.7.   Банк проводит платеж, при этом зачисляет сумму на счет Банка, возвращает Физическое лицо на страницу с результатом проведения платежа, передает данные о результате платежа Оператору Системы.
7.8.      Оператор Системы регистрирует данные о результате платежа, передает данные о результате платежа в биллинr мерчанта.
7.9.  Мерчант проводит учет платежа по заказу. осуществляет выполнение заказа Физическому лицу.

7.10.     Банк переводит сумму по платежу Физическому лицу за вычетом комиссии Банка и Оператору Системы на счет мерчанта в течение 1-5 рабочих дней.
7.11.     Банк переводит сумму комиссии по платежу Физического лица на счет Оператора Системы в течение 1-5 рабочих дней.
7.12.    Для регистрации мерчанта в системе Банка Оператор Системы передает Заявление и Перечень товаров/работ/услуг Банку для проверки указанной в данных документах информации и принятия решения о возможности регистрации мерчанта.
7.13.     В случае принятия положительного решения о возможности регистрации указанного мерчанта в Системе Банка Банк осуществляет вышеуказанную регистрацию в срок, не позднее 3 (трех) рабочих дней с даты поступления в Банк Заявления.
7.14.   В случае отказа Мерчанту в регистрации в Системе Банка, Банк обязуется предоставить Оператору Системы мотивированное обоснование.
7.15.        После успешной регистрации в Системе Банка на сайте мерчанта, возможно осуществление интернет-платежей товаров и услуг держателями карт.

8.   Порядок предоставления сведений участниками платежной системы о своей деятельности оператору платежной системы

8.1.   Сведения, устанавливаемые в целях идентификации юридического липа.

ОсОО   «Фридом Пэй Кыргызстан»   -   Оператор   Системы             устанавливает                           и фиксирует следующие сведения в отношении юридических лиц:

·      Наименование, фирменное наименование на русском языке или кыргызском языке (полное и (или) сокращенное).

·      Организационно-правовая форма.

·      Идентификационный номер налогоплательщика для резидента, идентификационный номер налогоплательщика или код иностранной организации - для нерезидента (если имеются).
·      Сведения о государственной регистрации: регистрационный номер (для нерезидента регистрационный номер в стране регистрации); серия и номер документа, подтверждающего государственную регистрацию.
·      Место государственной регистрации и место нахождения.
·      Сведения об органах юридического лица (структура и персональный состав органов управления юридического лица).
·      Сведения о присутствии или отсутствии по адресу (месту нахождения) юридического лица его постоянно действующего органа управления, иного органа или лица, которые имеют право действовать от имени юридического лица без доверенности.
·      Номера контактных телефонов и факсов (если имеются).
·      Дата начала отношений с клиентом.
·      Фамилия, имя, а также отчество (если иное не вытекает из закона или национального обычая), должность сотрудника, заполнившего анкету, его подпись (в случае заполнения анкеты на бумажном носители). В случае, если организации и индивидуальный предприниматель фиксирует иные сведения, то их перечень включается в правила внутреннего контроля.
·      Иные сведения (по усмотрению организации и индивидуального предпринимателя).
·      Сведения (документы), получаемые в целях идентификации индивидуальных предпринимателей.
·      Сведения, предусмотренные приложением 2 к настоящим правила.\1 внутреннего

контроля.

·      Сведения о государственной регистрации физического лица в качестве индивидуального предпринимателя: государственный регистрационный номер; дата государственной регистрации и данные документа, подтверждающего факт внесения в Единый государственный реестр индивидуальных предпринимателей записи об указанной государственной регистрации; наименование и адрес регистрирующего органа.
·      Почтовый адрес и номера контактных телефонов и факсов.

9.    Система управления рисками в платежной системе, включая используемую модель управления рисками, перечень мероприятий и способов управления рисками
9.1.        Под системой управления рисками Оператором Системы понимается комплекс мероприятий, принятых Оператором Системы с целью своевременного выявления, измерения, контроля и мониторинга рисков для обеспечения финансовой устойчивости и стабильного функционирования. Для эффективного управления рисками Оператором Системы была разработана политика управления рисками, которая состоит из:

·      выявление, измерение, контроль и мониторинг рисков;

·      оценка эффективности их применения;

·      контроль за совершением всех денежных операций;

·      разработка и практическая реализация мер по предотвращению и минимизации рисков.

9.2.     Основная задача регулирования рисков у Оператора Системы oney это поддержание приемлемых соотношений прибыльности с показателями безопасности и ликвидности в процессе управления активами и пассивами Оператора Системы, т.е. минимизация потерь. Процесс управления рисками в Платежной организации включает в себя:
·      предвидение рисков, определение их вероятных размеров и последствий;
·      разработка и реализация мероприятий по предотвращению или минимизации связанных с ними потерь.
9.3.     Все это предполагает разработку собственной стратегии управления рисками таким образом, чтобы своевременно и последовательно использовать все возможности развития Оператора Системы одновременно удерживать риски на приемлемом и управляемом уровне.
9.4.    Система управления рисками характеризуется такими элементами как мероприятия и способы управления. Мероприятия по управлению рисками включают в себя: определение организационной структуры управления рисками, обеспечивающей контроль за выполнением агентами и субагентами Оператора Системы требований к управлению рисками, установленных правилами управления рисками Оператора Системы; доведение до органов управления Оператора Системы соответствующей информации о рисках; определение показателей и порядка обеспечения бесперебойности функционирования Оператора Системы определенных методик анализа рисков; определение порядка обмена информацией, необходимой для управления рисками; определения порядка взаимодействия в спорных} нестандартных и чрезвычайных ситуациях, включая случаи системных сбоев; определение порядка изменения операционных и технологических средств и процедур; определение порядка обеспечения защиты информации Оператора Системы.
9.5.      Требования, предъявляемые к хранению информации о реквизитах картах и об операциях, совершенных с их использованием:
·      Организация обязана обеспечить соблюдение следующих основных требований, предъявляемых к хранению информации о реквизитах карт и об операциях, совершенных с их использованием;
·      Не хранить ни при каких обстоятельствах;

·      Полное содержание любой из дорожек магнитной полосы, находящейся на обратной стороне карты; Card validation code - 3-значное число, напечатанное на панели для подписи, расположенной на карте;
·      Хранить только ту часть информации о карте, которая существенна для бизнеса (т.е. имя держателя карты, номер карты, срок действия карты).
·      Обеспечить защиту хранящейся в Организации информации о реквизитах карт и об операциях, соnершенных с их использованием в соответствии с требованиями PCI DSS (Рауmеnt Card Industry Data Security Staпdart).
·      Хранить все материалы, содержащие информацию о реквизитах картах и об операциях, совершенных с их использованием в безопасном месте, доступ к которому имеют только уполномоченные лица.
·      Уничтожить или очистить все носители информации, содержащие устаревшие данные об операциях, совершенных с использованием карт.
9.6.  В случае подозрения на мошеннические действия Владельца кошелька/третьих лиц, при обнаружении сбоя программно-технических средств, для обеспечения безопасности Оператором Системы электронных денег, Эмитент самостоятельно осуществляет блокирование электронного кошелька либо направляет письменный запрос Оператору на блокирование электронного кошелька Владельца ЭД с указанием причины, по которой необходимо заблокировать элеl\-тронный кошелек. Оператор в случае получения такого запроса Эмитента на блокирование электронного кошелька Владельца ЭД обязан осуществить блокирование указанного электронного кошелька.
Превышение Владельцем ЭД ограничений по видам и суммам операций с электронными деньгами, а также обнаружение Оператором передачи информации Владельцем электронного кошелька о собственных параметрах авторизации (имя пользователя, пароль) другим лицам, также влечет блокирование электронного кошелька Оператором.
9.7.       Регулирование управления рисками по обеспечению сохранности денег клиента происходит с помощью автоматического блокирования приема платежей системой в случае, если сумма обеспечительного взноса исчерпана.

9.8.      Управление рисками Оператором Системы определяются такими способами как управление очередностью исполнения распоряжений должностными лицами; осуществление расчета, в пределах предоставленных агентами Платежной организации денежных средств; осуществление расчетов у Оператора Системы до конца рабочего дня; обеспечение возможности предоставления лимита; другими способами управления рисками.

10. Требования к защите информации
10.1. Участники Оператора системы обязуются соблюдать конфиденциальность в отношении не являющихся общедоступными сведений о других Участниках Оператора системы y, ставших известными Участникам Оператору системы в связи с присоединением к настоящим Правилам, за исключением случаев, когда информация:
• раскрыта по требованию или с разрешения Участника Оператора системы, являющегося Владельцем данной информации;
• подлежит предоставлению третьим лицам в объеме, необходимом для исполнения обязательств, предусмотренных настоящими Правилами;
• требует раскрытия по основаниям, предусмотренным законодательством Республики Кыргызстан.

10.2. Не является нарушением конфиденциальности и безопасности Участников Оператора системы, предоставление конфиденциальной информации третьей стороне в целях исполнения Правил и иных соглашений Участников Оператора системы, предоставление конфиденциальной информации по законному требованию правоохранительных и иных уполномоченных государственных органов, а также в других предусмотренных действующим законодательством Республики Кыргызстан случаях.
10.3. Доступ к электронному кошельку и совершение особых операций с использованием электронного кошелька возможно исключительно после аутентификации Владельца ЭД.
10.4. Аутентификация Владельца ЭД при доступе к электронному кошельку осуществляется программным обеспечением Платежной организации с использованием- авторизационных данных Владельца ЭД: логина, пароля, номера сотового телефона и, при необходимости, специальных SМS-сообщений.
10.5. Оператор обеспечивает бесперебойное функционирование системы Freedompay.money в режиме 24/7/365 (24 часа в день, 7 дней в неделю, 365 дней в году), за исключением времени проведения профилактических работ.
10.6. Оператор обеспечивает защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством Республики Кыргызстан, которая может стать ему известной в ходе осуществления деятельности: в Платежной организации ЭД.
10.7. Участники Оператора системы, обязуются принимать все необходимые меры для обеспечения безопасности и по защите информации и документов, обмен которыми осуществляется в Платежной организации или которые доступны Участникам Оператора системы, в связи с использованием Оператора системы, а также с целью выявления (предотвращения) мошенничества и противодействия легализации доходов, полученных преступным путем, и финансированию терроризма.
10.8. Средства и меры предотвращения несанкционированного доступа к программно- техническим средствам, применяемые Оператором системы, включая программно- технические средства защиты, должны обеспечивать уровень защиты информации и сохранение ее конфиденциальности в соответствии с требованиями. установленными законодательством Республики Кыргызстан. Участники Оператора системы обязуются принимать все необходимые меры по сохранению конфиденциальности, предотвращению несанкционированного использования и защите идентификационных данных от несанкционированного доступа со стороны третьих лиц.
10.9. В случае утраты авторизационных данных Участником, Оператор системы предоставляет Участнику возможность восстановления доступа к электронному кошельку путем подачи Участником соответствующего заявления по установленной Оператором форме на интернет-ресурс Оператора.
10.10. При этом неидентифицированный Владелец электронных денег физическое лицо для восстановления доступа к электронному кошельку подает соответствующее заявление по установленной Оператором форме в любой из офисов Оператора, а также предоставлением доказательств владения и пользования электронным кошельком, доступ к которому восстанавливается: (например, предоставлением перечня последних операций с использованием кошелька), при этом достаточность указанных доказательств определяется по исключительному усмотрению Оператора.
10.10. Серверная структура:
Сервис разработан на серверной -технологии РНР, и использует для работы РНР версии 5.6, запущенный в режиме Fast CGI. В качестве системы хранения данных используется

MySQL Server версии 5,5. Серверная структура Freedompay.money состоит из брандмауэра, двух идентичных нод для обработки транзакций, сервера баз данных и резервного сервера баз данных, который также обеспечивает создание и хранение бекапов; Все серверы работают под управлением CentOS 7.
10.11. Отказоустойчивость.
Отказоустойчивость сервиса обеспечивается за счет распределения нагрузки между двумя серверами приложений. Эту функцию выполняет программное обеспечения Nginx версии 1.8, которое выступает в роли frontend-cepвepa, проксирующего запросы к серверам приложений в режиме round-robin. В случае недоступности одного из серверов (падение канала связи, высокая текущая нагрузка, выход сервера из строя) все запросы автоматически и без задержек на переключение перенаправляются на сервер, оставшийся в онлайн-режиме. Таким образом достигается баланс производительности серверов в базовом режиме работы и обеспечение бесперебойной обработки транзакций в случае непредвиденных обстоятельств, когда один из серверов по каким-либо причинам временно выходит из строя. Сервер баз данных работает в режиме репликации Master- Slave с резервным сервером, и в случае отказа работы основного сервера ноды обработки транзакций автоматически переключаются на резервный.
10.12. Резервное копирование:
Резервное копирование сервера баз данных осуществляется встроенными средствами MySQL с сохранением бекапов на резервном сервере баз данных в течение одного месяца. Схема копирования такова: каждый час + финальное в 1:00 с удалением ежечасных копий. Бекапы старше одного месяца удаляются в целях недопущения переполнения хранилища данных. Актуальность и сохранение кодовой базы системы обработки: транзакций обеспечивается системой управления версиями на базе Git. Непосредственно репозитории кода хранятся на сервисе BitBucket.com, деплоймент с которого, в случае отказа серверов, может быть произведен в кратчайшие сроки.
10.13. Безопасность доступа к серверной инфраструктуре:
Административный доступ к любо у из серверов возможен только при наличии 2048- битного SSH2-RSA-ключa. Получить доступ к серверной инфраструктуре перебором паролей или любым· другим несанкционированным способом невозможно. Доступ клиента в личный кабинет, как и доступ администратора в кабинет управления транзакциями, осуществляется только посредством двухфакторной авторизации, которая предоставляется сервисом teddyid.com. Для прохождения авторизации с помощью данного сервиса необходимо иметь установленное в браузер расширение, либо мобильное приложение. Авторизация на этом участке при помощи других, менее защищенных методов невозможна.
10.14. Безопасность проведения транзакций:
PCIDSS
Система «РауBох» сертифицирована по стандарту PCI DSS и проводит все транзакции согласно этому сертификату, что соответствует требованиям к обеспечению безопасности данных о держателях платежных карт, которые хранит и обрабатывает компания.
В рамках данного сертификата Платежная организация «Digital Management>> выполняет следующие требования:
Построение и сопровождение защищённой сети:
• Установка и обеспечение функционирования межсетевых экранов для защиты данных держателей карт;
• Неиспользование выставленных по умолчанию производителями системных паролей и других параметров безопасности.

Защита данных держателей карт
• Обеспечение защиты данных держателей карт в ходе их хранения;
• Обеспечение шифрования данных держателей карт при их передаче через общедоступные сети.
Поддержка программы управления уязвимости
• Использование и регулярное обновление антивирусного программного обеспечения;
• Разработка и поддержка безопасных систем и приложений.
Реализация мер по строгому контролю доступа
• Ограничение доступа к данным держателей карт в соответствии со служебной необходимостью;
• Присвоение уникального идентификатора каждому лицу, имеющему доступ к информационной инфраструктуре;
• Ограничение физического доступа к данным держателей карт.
Регулярный мониторинг и тестирование сети
• Контроль и отслеживание всех сеансов доступа к сетевым ресурсам и данным держателей карт;
• Регулярное тестирование систем и процессов обеспечения безопасности.
Поддержка noлumuкu информационной безопасности
• Разработка, поддержка и исполнение политики информационной безопасности.
CyberSource
Каждая транзакция в сервисе РауBох проходит через фильтр CyberSource. Данный фильтр является высокоэффективной мерой защиты безопасности транзакций и обеспечивает высокий уровень защиты от мошенничества. Через сервис CyberSource ежегодно проходит более 68 миллиардов транзакций. Основываясь на этих данных, а также на алгоритмах машинного обучения сервис принимает решение о том, является ли транзакция мошеннической или нет. CyberSource не требует наличия включенного ЗD-Secure или другого метода защиты безопасности транзакций, что позволяет сервису РауBох значительно расширить пользовательскую базу плательщиков за счет абонентов, не имеющих или не включающих 3D- Secure.
Trustkeeper
Серверная инфраструктура РауBох периодически подвергается сканированию на уязвимости при помощи сервиса Trustkeeper. Во время тестирования серверы подвергаются эмуляции современных видов атак, использования ·новых уязвимостей и методов проникновения. Данная процедура позволяет своевременно выявлять и устранять проблемы с обеспечением безопасности.
Антифрод
Все транзакции по платежным картам после передачи из сервиса РауBох в платежную систему банка подвергаются обработке антифрод-фильтром. На основе набора правил, таких как наличие маски карты в продаже на черном рынке, степень благонадежности IР­ адреса, с которого совершается транзакция, использование ТОR-клиента и пр., фильтр рассчитывает степень риска транзакции и присваивает ей определенный рейтинг. В зависимости от установленного у мерчанта уровня надежности транзакций, система банка обрабатывает или отвергает транзакцию.
11. Порядок урегулирования спорных ситуаций и разрешения споров.
11.1. При наличии норм законодательства, действующего на территории государства, исключающих применение договорных условий в отношениях, связанных с осуществлением деятельности Оператора Системы, указанные императивные нормы имеют приоритет надо условиями настоящих Правил.

11.2. Разногласия между Участниками Оператора Системы, связанные с осуществлением деятельности Оператора Системы, или расчетов между Участниками, могущие служить основанием для возникновения необходимости судебного рассмотрения споров между Участниками, рассматриваются Оператором системы, в претензионном порядке.
11.3. Претензия Участника Оператора системы, изложенная в письменной форме на официальном бланке за подписью его уполномоченного должностного лица, направляется другой стороне заказной почтой или иным способом, подтверждающим вручение претензии адресату. Претензия должна быть заявлена в 10 (десяти) рабочих дней после возникновения основания для претензии, и содержать указание на обстоятельства, служащие основанием для ее предъявления, а также на дату возникновения указанных обстоятельств. Претензии, поступившие по истечении указанного срока, не рассматриваются.
11.4. Рассмотрение претензий включает в себя изучение обстоятельств, позволяющих установить исполнение (неисполнение) Участниками Оператора системы своих функций и обязательств, вытекающих из настоящих Правил и договоров, заключенных с ними. Оператор системы вправе запрашивать у Участников Оператора системы любую информацию, необходимую для выяснения указанных обстоятельств.
11.5. Решение о претензии должно быть принято в течение 15 календарных дней после получения претензии и доводится до отправившего ее Участника в письменной форме.
11.6. При невозможности урегулирования разногласий в претензионном порядке споры решаются Арбитражным судом по месту нахождения Оператора системы в соответствии с законодательством Кыргызской Республики.
12. Порядок действия участников при возникновении нештатных ситуаций в системе
12.1. В рамках настоящего раздела определен порядок действий сотрудников Оператора Системы при возникновении нештатных ситуаций (далее – Регламент).
12.2. Объектом влияния, контроля и управления при возникновении нештатных ситуаций является бесперебойное функционирование Системы, включая:
- программное обеспечение;
- аппаратные средства.
12.3. Характер нештатной ситуации в Системе выражается в следующем:
- сбой в работе (приостановление либо некорректное функционирование);
- обнаружение факта или попытки несанкционированного доступа.
12.4. К факторам возникновения нештатных ситуаций относятся:
- умышленные действия или бездействия (сотрудников, посторонних лиц);
- стихийные явления (землетрясение, пожар, наводнение, ураган и др.);
- иные факторы (халатное отношение, преждевременный износ, случайность и др.).

12.5. Сотрудники в связи с возникновением нештатных ситуаций подразделяются на:
- обнаружившее лицо;
- координатор;
- ответственное лицо;
- остальные сотрудники.
13. Порядок действий в случае возникновения нештатной ситуации
13.1. Общий порядок
a. Обнаружившее лицо любым доступным образом информирует координатора о возникновении внештатной ситуации. В случае невозможности такого информирования обнаружившее лицо самостоятельно действует в качестве координатора.
b. Координатор на основании полученной информации определяет объект влияния, характер и фактор возникновения нештатной ситуации. В зависимости от данных параметров координатор любым доступным образом связывается с остальными сотрудниками, назначает и инструктирует ответственных лиц. В случае возникновения нештатной ситуации порядок действий при которой не регламентирован, координатор вырабатывает конкретный план действий с учетом текущей ситуации.
c. Ответственные лица действуют согласно полученным инструкциям и информируют координатора о результатах устранения нештатной ситуации.
d. Остальные сотрудники обязаны оказать необходимое содействие координатору и ответственным лицам.
e. В случае приостановления функционирования Системы, координатор обязан обеспечить направление ответственным лицом уведомления пользователям/клиентам Системы с указанием причин и сроков приостановления.
f. Координатор обеспечивает фиксацию ответственным лицом в журнале эксплуатации Системы всех сведений о возникших внештатных ситуациях, работах, проведенных для их устранения и факт устранения нештатной ситуации.
g. При необходимости, проводится служебное расследование по факту возникновения нештатной ситуации и выяснению ее причины.
13. 2. Особенности действий при возникновении различных нештатных ситуаций.
a. С бой в работе программного обеспечения (ПО)
Координатор совместно с ответственным лицом (сотрудником отдела, у которого произошла нештатная ситуация) выясняют причину сбоя. Если исправить ошибку своими силами не удалось, разработчику ПО направляется информационное сообщение с сопроводительными материалами о возникшей ситуации.

b. Перебои или отсутствие энергопитания.
В случае отключения энергопитания, периодических перебоях или скачках в энергопитании серверное оборудование должно переводиться на резервные источники питания. Координатор совместно с ответственным лицом (сотрудником отдела, у которого произошла нештатная ситуация) проводят анализ на наличие потери данных и/или нарушение целостности данных и ПО, а также проверяют работоспособность оборудования. В случае необходимости производится восстановление ПО и данных из последней резервной копии.
c. Отсутствие доступа в локальную сеть.
Координатор совместно с ответственным лицом (сотрудником отдела, у которого произошла нештатная ситуация) проводят анализ на наличие потери данных и/или нарушение целостности данных и ПО, а также проверяют работоспособность оборудования. В случае необходимости производится восстановление ПО и данных из последней резервной копии.
d. Выход из строя сервера.
Координатор совместно с ответственным лицом (сотрудником отдела, у которого произошла нештатная ситуация) принимают меры по немедленному вводу в действие резервного сервера для обеспечения непрерывной работы. При необходимости производятся работы по восстановлению ПО и данных из резервных копий.
e. Потеря данных и/или нарушение целостности данных
При обнаружении потери данных координатор совместно с ответственным лицом проводит мероприятия по поиску и устранению причин потери данных (антивирусная проверка, целостность и работоспособность ПО, целостность и работоспособность оборудования и др.). При необходимости производится восстановление ПО и данных из резервных копий.
f. Атака программных вирусов
При обнаружении вируса производится локализация вируса с целью предотвращения его дальнейшего распространения, для чего следует физически отсоединить «зараженный» компьютер от локальной сети и провести анализ состояния компьютера. Анализ проводится компетентным в этой области сотрудником. Результатом анализа может быть попытка сохранения данных, так как после перезагрузки компьютера данные могут быть уже потеряны. После успешной ликвидации вируса, сохраненные данные также необходимо подвергнуть проверке на наличие вируса. После ликвидации вируса необходимо провести внеочередную антивирусную проверку на всех компьютерах с применением обновленных антивирусных баз. При необходимости производится восстановление ПО и данных и резервных копий. Проводится служебное расследование по факту появления вируса в компьютере (локальной сети).
g. Утечка информации
Координатор совместно с ответственным лицом проводят служебное расследование. Если утечка информации произошла по техническим причинам, проводится анализ защищенности системы и, если необходимо, принимаются меры по устранению уязвимости и предотвращению их возникновения.
h. Взлом системы
При обнаружении взлома сервера ставится в известность координатор и ответственное лицо. Проводится, по возможности, временное отключение сервера от сети для проверки на вирусы и троянских закладок. Возможен временный переход на резервный сервер. Учитывая, что программные закладки могут быть не обнаружены антивирусным ПО, следует особо тщательно проверить целостность исполняемых файлов в соответствии с хэш-функциями эталонного программного обеспечения, а также проанализировать состояние файлов-скриптов и журналы сервера. Необходимо сменить все пароли, которые имели отношение к данному серверу. В случае необходимости производится восстановление ПО и данных их эталонного

архива и резервных копий. По результатам анализа ситуации следует проверить вероятность проникновения несанкционированных программ в локальную сеть, после сего провести аналогичные работы по проверке и восстановлению ПО и данных на других компьютерах. По факту взлома сервера проводится служебное расследование.
i. Компрометация пароля
При обнаружении утечки информации в известность ставится координатор и ответственное лицо (начальник отдела). При компрометации пароля необходимо немедленно сменить пароль, проанализировать ситуацию на наличие последствий компрометации и принять необходимые меры по минимизации возможного (или нанесенного) ущерба (блокирование счетов пользователей и т.д.). При необходимости проводится служебное расследование.
j. Выход из строя линий телекоммуникаций
Ставится в известность Координатор. Определяется причина повреждения локальной сети или линий телекоммуникаций и возможные угрозы безопасности информации. В случае возникновения подозрения на целенаправленный вывод оборудования их строя проводится служебное расследование, проводится проверка ПО на наличие вредоносных программ- закладок, целостность ПО и данных. Проводится анализ электронных журналов. При необходимости проводятся меры по восстановлению ПО и данных их резервных копий.
Настоящий раздел обязателен для исполнения всеми сотрудниками и доводятся координатором до сотрудников под роспись.
Координатор периодически, но не реже 1 раза в год должен проводить анализ зарегистрированных внештатных ситуаций для выработки мер по их предотвращению.
По результатам служебных расследований, анализа зарегистрированных нештатных ситуаций, проведения тренировок и проверок в случае выработки новых либо повышения эффективности существующих мер по предотвращению и реагированию на возникновение нештатных ситуаций, координатором проводится обновление Регламента.
Настоящие правила внутреннего контроля (далее «Правила») разработаны с учетом требований законодательства Кыргызской Республики в области противодействия легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма.
13.3. Основная задача правил внутреннего контроля:
a) обеспечить выполнение требований закона КР «О противодействии легализации (отмыванию) преступных доходов и финансированию террористической или экстремистской деятельности»;
b) поддерживать эффективность системы внутреннего контроля на уровне, достаточном для управления рисками легализации (отмыванию) доходов, полученных преступным путем и финансирование терроризма, и сопряженными рисками;
c) исключение прямого или косвенного участия/вовлечения в проведении платежных и иных операций, связанных с легализацией (отмыванием) доходов, полученных преступным путем, а также с финансированием терроризма.

14. Программа организации внутреннего контроля в целях ПФТ/ЛПД.
14.1. Для обеспечения реализации программы внутреннего контроля в Обществе назначен комплаенс-офицер (далее «Ответственный сотрудник») подразделения ПФТ/ЛПД для выполнения следующих функций:
a) Обеспечение наличия разработанных и согласованных с исполнительным коллегиальным органом правил внутреннего контроля и/или изменений (дополнений) к ним, а также мониторинга за их соблюдением в организации;

b) Организация представление и контроль за предоставлением сообщений в уполномоченный орган по финансовому мониторингу в соответствии с законодательством Кыргызской Республики о ПФТ/ЛПД;
c) Принятие решений о признании операций клиентов в качестве подозрительных и необходимости направления сообщений в уполномоченный орган по финансовому мониторингу в порядке, предусмотренном внутренними документами организации;
d) Принятие либо согласование с уполномоченным органом или должностным лицом об отказе от проведения операций клиентов в случаях, предусмотренных законом о ПФТ/ЛПД, и в порядке, предусмотрено внутренними документами организации;
e) Направление запросов исполнительному органу для принятия решения об установлении, продолжении либо прекращении деловых отношений с клиентами в случаях и порядке, предусмотренных законом о ПФТ/ЛПД и/или внутренними документами организации;
f) Информирование уполномоченных органов и должностных лиц о выявленных нарушениях правил внутреннего контроля в порядке, предусмотренном внутренними документами организации;
g) Подготовка и согласования с исполнительным органом информации о результатах реализации правил внутреннего контроля ей рекомендуемых мерах по улучшению систем управления рисками и внутреннего контроля в целях ПФТ/ЛПД для формирования отчетов уполномоченным органам организации.
14.2. Ответственный работник подразделения по ПФТ/ЛПД наделен следующими полномочиями:
a) Получение доступа ко всем помещениям, информационным системам, средствам телекоммуникаций, документам и файлам, в пределах, позволяющих осуществлять свои функции в полном объеме, и в порядке, предусмотренном внутренними документами организации;
b) Обеспечение конфиденциальности информации, полученной при осуществлении своих функций;
c) Обеспечение сохранности получаемых от подразделений документов и файлов.
14.3. Функции Ответственного работника не совмещаются с функциями службы внутреннего аудита либо иного органа, уполномоченного на проведение внутреннего аудита, а также функциями подразделений, осуществляющих операционную (текущую) деятельность организации.
14.4. В целях ПФТ/ЛПД используются автоматизированные системы, которые позволяют:
a) Вести досье (анкет) клиентов, включая вносимую в них изменения (дополнения);
b) Выявлять пороговые и подозрительные операции по заранее заданным критериям с учетом требований законодательства КР о ПФТ/ЛПД, а также результаты оценки степени подверженности услуг, предоставляемых риском легализации (отмывания) доходов, полученных преступным путем и финансирования терроризма;
c) Исключить удаления информации из базы данных досье (анкетам) клиентов, проведенным операциям, отправленным сообщениям в уполномоченный орган по финансовому мониторингу;
d) Поддерживать систему резервного копирования и хранения информации;
e) Вести протокола работы каждого пользователя, защищенного от модификации.
15. Программа управления рисками легализации (отмывания) доходов, полученных преступным путем и финансирования терроризма.

15.1. На ежегодной основе необходимо осуществлять оценку степени подверженности предоставляемых услуг следующим видам рисков легализации (отмывания) доходов, полученных преступным путем и финансирования терроризма, включая, но не ограничиваясь:
a) Риск по типу клиентов
b) Страновой (географический) риск
c) Риск услуги и/или способа ее предоставления
15.2. Ключевые типы клиентов, чей статус и/или чья деятельность повышают риск легализации (отмывания) доходов, полученных преступным путем и финансирования терроризма, включают:
a) Иностранцы, включая иностранных публичных должностных лиц, их близких родственников и представителей;
b) Иностранные финансовые организации.
c) Юридические лица и индивидуальные предприниматели, деятельность которых связана с интенсивным оборотом наличных денег, в том числе:
i. Организаторы игорного бизнеса, а также лица, предоставляющие услуги либо получающие доходы от деятельности онлайн-казино за пределами Кыргызской Республики;
ii. Лица, предоставляющие туристические услуги, а также иные услуги, связанные с интенсивным оборотом наличных денег;
d) Страховые (перестраховочные) организации, страховые брокеры, осуществляющие деятельность по отрасли «страхование жизни» (за исключением дочерних организаций банка, которые соблюдают требования по ПОДФТ, установленные банком);
e) Лица, осуществляющие деятельность в качестве страховых агентов;
f) Лица, осуществляющие посредническую деятельность во купле-продаже недвижимости;
g) Некоммерческие организации, в организационно-правовой форме фондов, религиозных объединений;
h) Лица, расположенные (зарегистрированные) в иностранных государствах, указанных в пункте 15 Требований, а также расположенные в Кыргызской Республике филиалы и представительства таких лиц.
15.3. Необходимо осуществлять оценку странового (географического) риска, связанного с предоставлением услуг клиентам их иностранных государств. Иностранными государствами, операции с которыми повышают писк легализации (отмывания) доходов, полученных преступным путем и финансированием терроризма, являются:
a. Иностранные государства (территории), включенные в перечень государств (территорий), не выполняющих либо недостаточно выполняющих рекомендации Группы разработки финансовых мер борьбы с отмыванием денег (ФАТФ), составляемый уполномоченным органом по финансовому мониторингу;
b. Иностранные государства (территории), в отношении которых применяются международные санкции (эмбарго), принятые резолюциями Совета Безопасности Организации Объединенных Наций;
c. Иностранные государства (территории), включенные в перечень оффшорных зон для целей Закона о ПОДФТ;
d. Иностранные государства (территории), определенные организацией в качестве представляющих высокий риск легализации (отмывания) доходов, полученных преступным путем и финансирования терроризма на основе других факторов (сведения об уровне коррупции, незаконного производства, оборота и/или транзита наркотиков, сведения о поддержке международного терроризма и другое).

15.4. Ниже приведены услуги, предоставление которых, подверженные высокому риску легализации (отмывания) доходов, полученных преступным путем и финансирования терроризма:
a. Дистанционное обслуживание клиентов, включая обслуживание посредством электронных терминалов;
b. Услуги по реализации (распространению) электронных денег и платежных карточек;
c. Услуги по приему и обработке платежей, совершаемых с использованием электронных денег превышающую сумму, равную стократному размеру месячного расчетного показателя, установленного на соответствующий финансовый год законом о республиканском бюджете;
d. Услуги по обработке платежей, инициированных клиентом в электронной форме, и передаче необходимой информации банку, организации, осуществляющей отдельные виды банковских операций, для осуществления платежа и/или перевода либо принятия денег по данным платежам.
15.5. Необходимо установить уровень риска клиента (группы клиентов) по результатам анализа сведений о клиенте (клиентах), полученных в рамках процедур по идентификации и мониторингу операций клиентов, и оценивать по шкале определения уровня риска, которая состоит их трех уровней: низкий, средний и высокий.
16. Программа идентификации клиентов
16.1. В целях проведения мероприятий по фиксированию и проверке достоверности сведений о клиенте (его представителе), выявлению бенефициарного собственника и фиксированию сведений о нем, установлению и фиксированию предполагаемой цели деловых отношений или разовой операции (сделки), необходимо идентифицировать клиентов и их бенефициарных собственников.
16.2. Степень проводимых мероприятий, глубина и детализация идентификации зависит от уровня риска клиента.
16.3. В процессе идентификации клиента (выявления бенефициарного собственника) необходимо провести проверку на наличие такого клиента (бенефициарного собственника) в перечне лиц и организаций, связанных с финансированием терроризма и экстремизма, получаемом в соответствии с Законом о ПФТ/ЛПД (далее – Перечень).
17. Программа мониторинга и изучения операций клиентов
17.1. Необходимо регулярно проводить мероприятия по обновлению и/или получению дополнительных сведений о клиентах (их представителях) и бенефициарных собственниках, а также по изучению операций клиентов и выявлению пороговых и подозрительных операций.
17.2. Результаты мониторинга и изучению операций клиентов должны быть использованы для ежегодной оценки степени подверженности услуг организации рискам легализации (отмывания) доходов, полученных преступным путем и финансирования терроризма, а также для пересмотра уровней рисков клиентов.
17.3. Программа мониторинга и изучения операций клиентов включает:
a. Перечень признаков необычных и подозрительных операций;
b. Распределение обязанностей между работниками по обновлению ранее полученных и/или получению дополнительных сведений о клиенте (его представителе) и бенефициарном собственнике;
c. Распределение обязанностей между работниками организации по выявлению и передаче между работниками сведений о пороговых, необычных и подозрительных операциях;
d. Описание механизма взаимодействия подразделений при выявлении пороговых, необычных и подозрительных операций;

e. Процедуру, основания и срок принятия ответственным работником решения о квалификации операции клиента;
f. Процедуру взаимодействия работников по принятию решения об отказе в проведении операции клиента, а также о прекращении деловых отношений с клиентом;
g. Процедуру взаимодействия подразделений (работников) организации по выявлению клиентов и бенефициарных собственников, находящихся в Перечне, а также по незамедлительному замораживанию операций с деньгами и/или иным имуществом таких клиентов;
h. Процедуру фиксирования (в том числе способы фиксирования) и хранения сведений о результатах изучения необычных операций, а также сведений о пороговых и подозрительных операциях (в том числе суммы операции, валюты операции);
i. Процедуру представления в уполномоченный орган по финансовому мониторингу сообщений о пороговых и подозрительных операциях;
j. Процедуру информирования (при необходимости) уполномоченных органов и должностных лиц организации о выявлении пороговой и подозрительной операции;
k. Процедуру принятия и описание мер, принимаемых в отношении клиента и его операций в случае осуществления клиентом систематически и/или в значительных объемах необычных и/или подозрительных операций.
17.4. При возникновении сомнений в части правомерности квалификации операции в качестве пороговой, а также при выявлении необычной или подозрительной операции, работник, выявивший указанную операцию, обязан направить сообщение о такой операции Ответственному работнику в порядке, в форме и в сроки, установленные внутренними документами организации.
18. Программа подготовки и обучения сотрудников по вопросам ПФТ/ЛПД
18.1. На регулярной основе, с периодичностью установленной действующим законодательством КР, необходимо проводить программу подготовки и обучения сотрудников по вопросам ПФТ/ЛПД, чтобы обеспечить соответствие знаний и навыков сотрудников компании требуемому уровню.

19. Права, обязанности и ответственность участников Платежной Системы
19.1. Права и обязанности Оператора Системы (далее по тексту Оператор) при взаимодействии с Мерчантами:
19.1.1. Оператор вправе:
• Оператор по поручению и за счет Мерчанта вправе принимать платежи Плательщиков, с использованием платежных карт, электронных кошельков и электронных денег, в том числе с использованием МПА, наличных и безналичных средств, и обязуется принятую оплату перечислять Мерчанту (или иным законным способом осуществлять расчеты) в порядке, предусмотренном настоящими Правилами, в свою очередь Мерчант обязуется выплачивать Оператору вознаграждение, в порядке, предусмотренном настоящими Правилами. Размер вознаграждения определяется Договором/или Анкетой на присоединение;
• Оператор вправе принимать платежи лично или поручить принятие платежей третьим лицам - Агентам Оператора;
• Оператор и/или Агенты Оператора вправе осуществлять прием (получение) платежей Плательщиков любыми, не запрещенными законодательством способами (наличными деньгами; безналичными средствами); а также посредством иных платежных систем и инструментов, не запрещенных законодательством Кыргызской Республики);
19.1.2. Обязанности Оператора:
• Зарегистрировать Мерчанта в своей электронной базе и присвоить ему

соответствующий ID;
• Обеспечить перечисление Платежей, принятых Оператором и/или Агентами Оператора в порядке исполнения Договора оферты/Анкеты на присоединение к Системе, принятых Оператором и/или Агентами Оператора Платежей, на условиях и в сроки, предусмотренные Договором оферты/Анкеты на присоединение к Системе. При этом обязательства Оператора по перечислению Мерчанту, принятых в его пользу платежей считаются исполненными с момента списания соответствующей суммы денежных средств с банковского счета Оператора;
• Оператор и Поставщик подписывают Акт сверки расчетов за отчетный период. Порядок и срок предоставления Акта, рассмотрения Акта и его подписания, определяются Договором оферты/Анкетой на присоединение, подписанного с Мерчантом;
19.2. Права и обязанности Поставщика товаров/услуг.
19.2.1. Мерчант обязан:
• Для целей регистрации Поставщика товаров/услуг в электронной базе данных Оператора и корректного проведения платежей, а также для целей взаимодействия сторон в порядке исполнения Договора с Мерчантом, сообщить Оператору сведения и предоставить документы, предусмотренные п.4.2.3.- 4.2.4. настоящих Правил;
• Уведомлять Оператора об изменениях в параметрах Платежей, которые могут повлиять на идентификацию Плательщика и в целом на корректность проведения Платежа;
• В случае ошибочного перечисления Оператором в пользу Мерчанта денежных средств, перечисленных Оператором в порядке исполнения обязательств Оператора перед ним, которые возникли в результате любой технической ошибки, возвратить Оператору по его письменному заявлению ошибочно перечисленные денежные средства в течение трех (3) банковских дней с момента получения соответствующего требования;
• В случае совершения ошибочного платежа по вине (в том числе, неосторожной) Плательщика (неверное указание номера лицевого счета, неверное указание суммы платежа, неверное указание номера телефона и т.п.), по письменному заявлению Оператора, возвратить Оператору ошибочно перечисленные денежные средства, либо изменить параметры платежа, если такой возврат и такое изменение параметров платежа возможны и имеется такая возможность;
• Согласовывать ежемесячный Акт сверки расчетов за соответствующий отчетный месяц путем его подписания. Порядок и срок получения ежемесячного Акта определяется Договором оферты/Анкетой на присоединение с Мерчантом;
• Выплачивать Оператору вознаграждение в порядке и размере, установленном в Договоре оферты/Анкеты на присоединение с Мерчантом;
19.2.3. Права Мерчанта товаров/услуг:
• Требовать от Оператора своевременного исполнения финансовых обязательств, возникших у Оператора за прием Оператором и/или его Агентами Платежей Мерчанта;
• Требовать от Оператора выполнения надлежащим образом обязательств, предусмотренных настоящими Правилами и Договором оферты/Анкеты на присоединение с Мерчантом;
19.3. Права Оператора
19.3.1. Требовать от Мерчанта выполнения надлежащим образом обязательств, предусмотренных настоящими Правилами и Договором оферты/Анкеты на присоединение;
19.3.2. Требовать от Мерчанта выплаты причитающегося Оператору вознаграждения в порядке и в сроки, определенные Договором оферты/Анкеты на присоединение с Мерчантом за принятые Оператором и/или Агентами Оператора Платежи;

19.3.3. В случае совершения ошибочных платежей, корректировка и аннулирование (отмена) платежей производится в соответствии с процедурами (порядком), предусмотренными настоящими Правилами;
19.3.5. Стороны вправе размещать товарные знаки друг друга посредством использования собственных информационных ресурсов исключительно в целях рекламирования товаров (работ, услуг) владельцев товарных знаков;
19.4. Ответственность Сторон при взаимодействии Оператора с Мерчантом
19.4.1. Стороны несут ответственность за ненадлежащее исполнение своих обязательств в соответствии с положениями настоящих Правил, а также Договора оферты/Анкеты на присоединение с Мерчантом, а в случаях, не предусмотренных Правилами и Договором оферты/Анкеты на присоединение - в соответствии с законодательством Кыргызской Республики;
19.4.2. В случае нарушения Оператором обязательств по перечислению Мерчанту, принятых в порядке исполнения Договора оферты/Анкеты на присоединение с Мерчантом Платежей, Оператор обязуется уплатить Мерчанту неустойку в размере, порядке и сроки, определенные в Договоре с Мерчантом;
19.4.3. В случае нарушения Мерчантом порядка выплаты вознаграждения, предусмотренного в Договоре оферты/Анкеты на присоединение с Мерчантом и/или в его соответствующих приложениях (сумма, сроки), Мерчант обязуется выплатить Оператору штрафную неустойку в размере, порядке и сроки, определенные в Договоре оферты/Анкеты на присоединение;
19.4.4. В случае временного приостановления или прекращения приема Платежей Оператором, том числе, в связи с прекращением действия Договора оферты/Анкеты на присоединение с Мерчантом, последний не вправе требовать, а Оператор не обязан возмещать Мерчанту какой- либо косвенный ущерб (упущенную выгоду, недополученные доходы (прибыль) и т.п.), если иное не предусмотрено Договором оферты/Анкеты на присоединение;
19.4.5. Оператор не несет ответственности за несвоевременное перечисление Мерчанту принятых Платежей при несвоевременном сообщении Мерчантом об изменении своих реквизитов, а также в случае сбоя в работе электронных систем обслуживающего банка;
19.4.6. Оператор не несет ответственности за ошибки, допущенные Плательщиком при совершении Платежа;
20. Тарифная политика.
20.1. Тарифная политика отражает общие цели Оператора, которые он стремится достичь, формируя цены предоставляемых услуг.
20.2. При формировании цен на товары учитываются общеэкономические критерии, определяющие отклонения цен в ту или иную сторону от потребительной стоимости платежных услуг.
20.3. Эти критерии можно подразделить на внутренние (зависящие от руководства и различных служб предприятия) и внешние (не зависящие от самого предприятия и находящиеся за его пределами).
К критериям внутреннего характера можно отнести:
 качество сервиса;
 имидж Оператора.
Внешние критерии выглядят следующим образом:
 социальная значимость сервиса;
 наличие и расширение рынка платежных услуг;
 Участники и их требования к рынку платежных услуг;
 нормативное регулирование;
 политическая стабильность государства;

 наличие и уровень конкуренции;
 другие факторы.
20.4. Используется метод определения цен с ориентацией на спрос, уровень конкуренции и требования Участников. Оператор использует комбинированной системы методов определения цены одновременно с решением задачи развития сети платежных услуг, сети точек и способов приема платежей. Структура тарифов, комиссий и вознаграждений должна удовлетворять цели достижения уровня рентабельности, установленной Оператором.
20.5. В определённых случаях, продиктованных требованиями поставщиков услуг и товаров (в том числе, государственных и бюджетных предприятий), спросом и уровнем цен на тарифы, комиссии и вознаграждения, в отношении услуг, оказываемых платежными организациями и операторами платежных систем Кыргызской Республики, а также решениями Общества - структура тарифов, комиссий и вознаграждений может отличаться от установленного уровня рентабельности.
20.6. Перед определением тарифов, комиссий и вознаграждения проводится рыночный анализ спроса и уровня цен на тарифы, комиссии и вознаграждения, оказываемые платежными организациями и операторами платежных систем Кыргызской Республики Уведомление
20.7. Участников и пользователей о применяемых тарифах, комиссиях и вознаграждениях осуществляется согласно настоящим Правилам, договору Участника.
20.8. Оператор платежной системы один раз в год с момента получения лицензии предоставляет в Национальный банк сведения об утвержденных и действующих тарифах. Оператор платежной системы должен в течение 10 (десяти) рабочих дней после изменения тарифов уведомлять Национальный банк обо всех изменениях действующих тарифов.

21. Описание механизмов по управлению справочниками отправителей и получателей по проверке клиентов по международному и национальному перечням лиц, причастных к террористической и экстремисткой деятельности или распространению оружия массового уничтожения.
21.1. Отдел по работе с поставщиками/агентами проводит надлежащую проверку клиентов в любом из следующих случаев:
21.1.1. установлении деловых отношений с поставщиками товаров/услуг, агентами и контрагентами;
21.1.2. при наличии подозрения у сотрудников Отдела по работе с поставщиками/агентами и юриста Общества о наличии в деятельности с поставщика товаров/услуг, агента и контрагента осуществления финансирования террористической деятельности и легализации (отмывания) преступных доходов, а также других противоправной деятельности.
Идентификация
21.2. При осуществлении надлежащей проверки поставщиков товаров/услуг, агентов и контрагентов, Отдел по работе с поставщиками/агентами проводит идентификацию партнеров путем сбора идентификационных данных. Сбор идентификационных данных обеспечивается путем заполнения и подписание партнером Анкеты клиента и бенефициарного владельца. Верификация
21.3. Верификация партнеров проводится Менеджером отдела по работе с поставщиками/агентами (Начальником отдела по работе с поставщиками/агентами) путем проверки идентификационных сведений, указанных в анкете клиента. Отдел по работе с поставщиками/агентами запрашивает следующую информацию:
● в случае если это юридическое лицо - наименование организации (полное, сокращенное), сведения о регистрации юридического лица, юридический адрес, контакты,

идентификационный номер налогоплательщика (для резидента), регистрационный номер Социального фонда Кыргызской Республики, вид деятельности;
● в случае если это индивидуальный предприниматель – свидетельство о регистрации в качестве индивидуального предпринимателя (вместе с копией паспорта предпринимателя), данные патента (дата выдачи и номер патента, кем выдан патент, срок действия патента), удостоверяющий статус клиента как индивидуального предпринимателя; если физическое лицо – ФИО, данные удостоверения личности (паспорт), место проживания, гражданство, адрес расположения точки, контакты).
21.4. Отдел по работе с поставщиками/агентами устанавливает бенефициарных собственников и сведения об органах управления субагентов в случаях, когда субагент является юридическим лицом (структура и персональный состав).
21.5. Отдел по работе с поставщиками/агентами до заключения договоров с поставщиками товаров и услуг предпринимает всевозможные меры (телефонный звонок, письмо, эл.почта) по установлению и идентификации бенефициарного собственника (выгодоприобретателя) поставщика товаров и услуг. Формировать юридическое досье поставщиков товаров и услуг, состоящее как минимум из следующих документов:
− копия свидетельства о государственной регистрации (перерегистрации) юридического лица в уполномоченном государственном органе Кыргызской Республики. Для нерезидентов: копия выписка из торгового реестра страны происхождения о регистрации клиента в качестве юридического лица или иной документ, подтверждающий регистрацию клиента в качестве юридического лица в соответствии с требованиями законодательства страны происхождения (копии заверяются печатью юридического лица и подписью руководителя);
− копия учредительных документов в зависимости от организационно - правовой формы организации, с изменениями и дополнениями, заверенная нотариально или печатью юридического лица и подписью руководителя;
− в случаях осуществления юридическим лицом деятельности, подлежащей обязательному лицензированию в соответствии с законодательством страны происхождения – копию лицензии (копия заверяются печатью юридического лица и подписью руководителя);
− для нерезидентов КР - справка органа налоговой службы о факте налоговой регистрации налогоплательщика;
− сведения об услугах и товарах поставщика. Для индивидуальных предпринимателей:
− свидетельство о регистрации в качестве индивидуального предпринимателя;
− патент, удостоверяющий статус клиента как индивидуального предпринимателя
21.6. В случае непредоставления поставщиком, агентом, субагентом и контрагентом сведений и (или) документов, необходимых для проведения надлежащей проверки клиента, Начальник отдела по работе с поставщиками/агентами вносит на рассмотрение Генерального директора и должностного лицо по ПФТД/ЛПД одно из следующих решений:
21.6.1. Не устанавливают деловые отношения с клиентом (отказывают в принятии на обслуживание или открытии счета);
21.6.2. приостанавливают или прекращают установленное деловое отношение с клиентом (отказ в обслуживании) и расторгают заключенный договор с клиентом;
21.6.3. не осуществляют платеж и не направлять средства на расчетный счет получателя.
При принятии решения в данном случае Должностное лицо по ПФТД/ЛПД обязано направить соответствующее сообщение в орган финансовой разведки в течение одного рабочего дня со дня принятия такого решения.

21.7. Взаимоотношения между Обществом и поставщиками товаров и услуг, субагентами, их ответственность, права и обязанности отражаются в соответствующих договорах, заключенных между ними после идентификации поставщика товаров и услуг и субагента.
21.8. При проведении надлежащей проверки поставщиков товаров/услуг, агентов, субагентов, выявлении их бенефициарных собственников, Отдел по работе с поставщиками/ агентами проверяет на наличие должностных лицо, учредителей и выгодоприобретателей в Санкционном перечне Кыргызской Республики.
21.9. При наличии ФИО должностных лиц, учредителей и выгодоприобретателей в перечне, на основании заявления должностного лица по ПФТД/ЛПД Генеральный директор принимает решение об отказывает в оказании любых видов услуг и должностное лицо по ПФТД/ЛПД незамедлительно сообщает информацию ГСФР при Правительстве Кыргызской Республики. Надлежащая проверка плательщиков
21.10. Общество обеспечивает проверку идентификационных данных плательщиков поступающие в автоматизированную системы Общества.
21.11. При проведении электронного денежного перевода Общество:
1) формирует требуемые сведения об отправителе и получателе денежного перевода;
2) обеспечивает, чтобы требуемые сведения об отправителе и получателе денежного перевода являлись неотъемлемыми частями электронного денежного перевода и сопровождали электронный денежный перевод в ходе проведения платежа;
3) осуществляет мониторинг электронных денежных переводов и выявляет электронные денежные переводы, в которых отсутствует информация об отправителе и (или) получателе, и принимать соответствующие меры надлежащей проверки клиента;
4) проверяет отправителя и получателя денежного перевода на наличие или отсутствие в Санкционных перечнях;
21.12. ИТ отдел Общества обеспечивает программно-аппаратный комплекс Общества, в том числе интерфейс платежных терминалов функциями по вводу идентификационных данных, в случаях если платежи проводятся:
21.12.1. при совершении разовой операции (платежи) или нескольких взаимосвязанных разовых операций (сделок) на сумму, равную или превышающую 70 000 сомов;
21.12.2. при совершении разового электронного денежного перевода на сумму, равную или превышающую 70 000 сомов;
21.13. Общество проводит идентификацию плательщика при обнаружении оплаты в пользу поставщиков услуг - нерезидентов КР (зарубежные поставщики услуг с расчетными счетами в иностранных банках и лицевыми счетами в иностранной валюте), с которыми у Общества заключен прямой агентский договор выводя на экран платежного устройства поля для заполнения ФИО и паспортных данных (ИНН, дату выдачи и окончания, орган выдачи).
При этом сумма совершаемой операции (платежи) не должна превышать 60 000 сомов либо эквивалента в иностранной валюте.
В случае превышения суммы оплаты более 60 000 сомов, платеж не должен проводиться на счет получателя. Плательщик должен прийти к Общество с паспортными данными, написать заявление на возврат остатка суммы. Общество устанавливает Порядок обращения клиентов по спорным вопросам.
21.14. ИТ отдел обеспечивает наличие в Системе соответствующих программных решений, позволяющие вводить идентификационные данные плательщика. ИТ отдел обеспечивает сохранение в Системе информации по трансграничным платежам, в том числе:
● идентификационные данные плательщика;
● время и место совершения платежа;
● сумму платежа;

● наименование получателя платежа;
● иные данные.
21.15. Общество устанавливает лимиты на проведение транзакций в соответствии с законодательством КР. Лимит на разовую транзакцию в пользу поставщика услуг – резидентов КР – не более «70 000 сомов» (тридцать тысяч сомов) (ограниченный лимит на все услуги), а в пользу поставщика услуг – нерезидентов КР – не более 60 000 (шестьдесят тысяч) разовый платеж.
Повторная идентификации клиентов
21.16. Повторная идентификация клиентов производится не реже одного раза в год в случае, если операции клиентов отнесены к высокой степени (уровню) риска, раз в три года – к средней и низкой степени рисков. Обязанность по проведению повторной идентификации возлагается на сотрудника, ответственного за проведение первичной идентификации.
21.17. Повторная идентификация клиента, его представителя, установление и идентификация бенефициарного владельца не проводится, если такой клиент, его представитель, бенефициарный владелец уже были идентифицированы Обществом в соответствии с Законом о ПФТД/ЛПД и настоящими Правилами. К сведениям об этом клиенте, его представителе или бенефициарном владельце обеспечен оперативный доступ в постоянном режиме.
21.18. Повторная идентификация клиента, его представителя, установление и идентификацию бенефициарного владельца проводится, если:
- возникают сомнения в достоверности сведений, полученных ранее в результате реализации данной процедуры;
- операция (платеж) имеет запутанный или необычный характер, свидетельствующий об отсутствии очевидного экономического смысла или очевидной законной цели, или совершение указанной операции (платежи) дает основания полагать, что целью ее осуществления является уклонение от процедур обязательного контроля, предусмотренных Законом о ПФТД/ЛПД.
Порядок ведения анкет клиентов.
21.19. Данные о клиенте и о его бенефициарном владельце фиксируются в соответствующих анкетах, которые хранятся в досье клиента. Заполнение анкеты осуществляется непосредственно клиентом, контроль заполнения анкеты возлагается на сотрудника, ответственного за идентификацию клиента. Часть анкеты, содержащая информацию об уровне риска, проверяется ответственным сотрудником Общества, проводящим верификацию.
21.20. В анкету клиента подлежат внесению следующие сведения:
● сведения, полученные в результате идентификации клиента;
● сведения о принадлежности клиента Общества к категории ПДЛ;
● сведения о степени (уровне) риска, включая обоснование оценки риска;
● дата начала отношений с клиентом;
● дата заполнения и обновления анкеты клиента;
● причины и дата смены уровня риска;
● иные сведения.
21.21. Анкета клиента заполняется клиентом и сотрудником Общества в электронном виде и на бумажном носителе, с применением технических средств и подписывается со стороны с клиента.
21.22. В случае изменения сведений, содержащихся в анкете клиента и (или) бенефициарного владельца, клиент обязан предоставить Обществу обновленную информацию и документы. Сотрудник Общества ответственный за идентификацию клиента вносит обновленные сведения в анкету клиента в день их получения.
21.23. Анкета клиента подлежит хранению в Общества не менее пяти лет со дня прекращения отношений с клиентом.

21.24. Риск-ориентированный подход при проведении надлежащей проверки клиента.
21.24.1. Отдел по работе с поставщиками/агентами и отдел комплаенс контроля при проведении надлежащей проверки клиента применяют усиленные или упрощенные меры надлежащей проверки клиента, с использованием риск-ориентированного подхода.
21.24.2. Общества классифицирует своих клиентов с учетом критериев риска (высокий, средний и низкий).
21.24.3. В случае установления высокого риска применяются следующие усиленные меры надлежащей проверки клиента:
- сбор дополнительных идентификационных сведений и документов в отношении клиента из доступных и надежных источников информации, а также использование данных сведений при оценке риска, связанного с клиентом;
- сбор дополнительной информации о клиенте и бенефициарном владельце для глубокого понимания риска возможной вовлеченности такого клиента и бенефициарного владельца в преступную деятельность;
- запрос дополнительной информации у клиента относительно цели и предполагаемого характера деловых отношений, а также источника денежных средств клиента;
- проверка источников денежных средств клиента, используемых в рамках установления деловых отношений, для того чтобы убедиться, что денежные средства не являются доходами от преступной деятельности;
- регулярное обновление идентификационных данных клиента и бенефициарного владельца, но не реже одного раза в год;
- запрос у клиента дополнительной информации, разъясняющей причину или экономический смысл запланированных или проведенных операций (сделок);
21.24.4. В случае установления среднего риска Отдел комплаенс-контроля устанавливает меры по своему усмотрению с согласования Генерального директора.
21.24.5. В случае установления низкого риска применяются следующие упрощенные меры надлежащей проверки клиента:
- получение общей информации о цели и предполагаемом характере деловых отношений;
- верификация клиента и бенефициарного владельца после установления деловых отношений;
- сокращение частоты обновления идентификационных данных клиента и бенефициарного владельца;
Процедура применения мер в отношении высокорискованных стран
21.25. Должностное лицо по ПФТД/ЛПД Общества осуществляет мониторинг списка высокорискованных страны, составляемый и публикуемый органом финансовой разведки, и проверяет реестр поставщиков товаров/услуг и агентов, на наличие их места регистрации в высокорискованных юрисдикциях.
21.26 Отдел по работе с поставщиками/агентами при установлении деловых отношений с клиентами осуществляет проверку на наличие места регистрации в высокорискованных юрисдикциях.
21.27 В случае выявления совпадения места регистрации поставщика товаров/услуг и агентов в высокорискованных странах должностное лицо по ПФТД/ЛПД вносит предложение о применении усиленных меры надлежащей проверки клиента, в том числе запрос дополнительной информации.
21.28 Должностное лицо по ПФТД/ЛПД также вносит предложение Генеральному директору Общества следующие меры:
21.28.1. представление в орган финансовой разведки сообщений о любых платежах с физическими или юридическими лицами из высокорискованных стран (физические или

юридические лица, зарегистрированные или действующие в высокорискованных странах), независимо от суммы совершенной операции (платежа);
21.28.2. отказ в установлении деловых отношений и проведении платежей с физическими или юридическими лицами из высокорискованных стран;
21.28.3. Прекращение применения усиленных мер надлежащей проверки клиента или иных мер (санкций) в отношении высокорискованных стран производится при исключении страны из Перечня высокорискованных стран или на основании решения Комиссии по вопросам противодействия финансированию террористической деятельности и легализации (отмыванию) преступных доходов при Правительстве Кыргызской Республики.
Процедура выявления платежей, подлежащих контролю и сообщению
21.29. В целях выявления платежей, подлежащих контролю и сообщению в орган финансовой разведки, Общество обеспечивает постоянный мониторинг, проводимых через платежную систему Общества, платежей путем предоставления доступа к Системе должностном лицу по ПФТД/ЛПД.
21.30. Должностное лицо по ПФТД/ЛПД осуществляется постоянный мониторинг следующих видов платежей, подлежащих обязательному контролю и сообщению:
− подозрительные платежи;
− платежи в пользу физических или юридических лиц из высокорискованных стран;
− платежи с физическими лицами, отбывшими наказание за осуществление легализации (отмывания) преступных доходов, террористической или экстремистской деятельности;
− безналичные платежи свыше установленной пороговой суммы.
21.31. Должностное лицо по ПФТД/ЛПД обеспечивает направление сообщения в орган финансовой разведки по платежам, подлежащим обязательному контролю и сообщению, в порядке установленным Положением о порядке представления информации и документов в орган финансовой разведки Кыргызской Республики, утвержденным постановлением Правительства КР от 25 декабря 2018 года № 606.
Для направления сообщений в орган финансовой разведки должностное лицо проводит регистрацию на информационном ресурсе органа финансовой разведки. ИТ отдел обеспечивает установления АРМ – специализированного программного обеспечения, позволяющее в автоматизированном режиме формировать и направлять сообщения об операциях (платежах) в орган финансовой разведки.
Формирование и направление электронного сообщения осуществляется комплаенс-офицером в орган финансовой разведки с помощью АРМ. Последовательность действий по формированию электронного сообщения с помощью АРМ, формат и структура электронного сообщения, а также порядок использования средств криптографической защиты электронного сообщения, предусматриваются в инструктивных материалах, находящихся в комплекте АРМ, и дополнительно размещаются на официальном сайте (www.fiu.gov.kg)
21.32. Должностное лицо по ПФТД/ЛПД осуществляется постоянный мониторинг платежей посредством:
− программного решения, обеспечивающего защиту от мошеннических действий, выявление подозрительных и сомнительных транзакций (операций) с возможностью автоматической блокировки;
− выгрузки отчетов с автоматической проверкой на наличие подозрительных транзакций;
− службы поддержки клиентов, осуществляющей мониторинг поступающих обращений на наличие признаков подозрительных транзакций;
− ручная проверка операций, имеющих признаки подозрительных транзакций.

21.33. Должностное лицо по ПФТД/ЛПД совместно с сотрудниками Отдела поддержки клиентов осуществляет выявление подозрительных операций путем мониторинга проводимых платежей и с учетом следующих критериев:
− если имеются подозрение или достаточные основания подозревать, что средства являются доходом, полученным преступным путем, в том числе от предикатных преступлений, или связаны с легализацией (отмыванием) преступных доходов;
− если имеются подозрение или достаточные основания подозревать, что средства связаны с финансированием:
− а) террористов и экстремистов;
− б) террористических и экстремистских организаций (групп);
− в) террористической и экстремистской деятельности
21.34. Должностное лицо по ПФТД/ЛПД и сотрудники Отдела поддержки клиентов применяют методические указания по выявлению подозрительных операций (сделок), разрабатываемый и публикуемый органом финансовой разведки.
Должностное лицо по ПФТД/ЛПД обеспечивает ознакомление сотрудников Отдела по поддержке клиентов с методическими указаниями по выявлению подозрительных операций (сделок).

21.35. Должностное лицо по ПФТД/ЛПД совместно с сотрудниками Отдела поддержки клиентов осуществляет выявление платежей в пользу физических или юридических лиц из высокорискованных стран, с использование перечня операций (сделок) с физическими или юридическими лицами из высокорискованных стран, разрабатываемый органом финансовой разведки по результатам национальной оценки рисков финансирования террористической деятельности и легализации (отмывания) преступных доходов, имеющихся в Кыргызской Республике.
21.36. ИТ отдел обеспечивает интеграцию списка лиц, отбывших наказание за осуществление легализации (отмывания) преступных доходов, террористической или экстремистской деятельности, а также за финансирование такой деятельности.
При выявлении платежей с лицами, отбывшими наказание за осуществление легализации (отмывания) преступных доходов, террористической или экстремистской деятельности, а также за финансирование такой деятельности, Система уведомляет Должностное лицо по ПФТД/ЛПД, для направления сообщений в орган финансовой разведки.
21.37. Должностное лицо по ПФТД/ЛПД совместно с сотрудниками Отдела поддержки клиентов осуществляет выявление безналичных платежей свыше установленной пороговой суммы.
Список операций (сделок) с пороговыми суммами устанавливается органом финансовой разведки. Должностное лицо на постоянной основе осуществляет мониторинг информационных ресурсов органа финансовой разведки для установления изменений или дополнений в перечень операций с пороговыми суммами, подлежащие обязательному контролю.
21.38. Должностное лицо совместно с сотрудниками Отдела поддержки клиентов осуществляет выявление следующих платежей:
− платежи, осуществляемые более трех раз с суммой более 30 000 сом в сутки;
− многократный рост объемов платежей услуг за короткий период по поставщику услуг, по которому наблюдался устойчивый объем платежей;
− согласие поставщика услуг выплачивать непомерно высокое вознаграждение за прием платежей за его услуги (выше 20 %).

21.39. При выявлении в деятельности клиента необычной операции или ее признаков должностное лицо по ПФТД/ЛПД совместно Отделом по работе с поставщиками/агентами может предпринять следующие действия:
а) обратиться к клиенту с просьбой о предоставлении необходимых объяснений, в том числе дополнительных сведений, разъясняющих экономический смысл необычной операции (сделки);
б) обеспечить повышенное внимание (мониторинг) в соответствии с настоящими правилами и требованиями законодательства в сфере противодействия финансированию террористической деятельности и легализации (отмыванию) преступных доходов, ко всем операциям (сделкам) этого клиента;
в) предпринять иные необходимые действия при условии соблюдения законодательства Кыргызской Республики.
21.40. По итогам изучения платежей Генеральный директор по представлению должностного лица по ПФТД/ЛПД принимает решение:
а) о признании платежей клиента подлежащей обязательному контролю и сообщению;
б) о признании выявленной необычного платежа подозрительной операцией (платеже), осуществление которой может быть направлено на легализацию (отмывание) доходов, полученных преступным путем, или финансирование терроризма;
в) о необходимости принятия дополнительных мер по изучению необычных платежей клиента; г) о представлении информации о платежах в орган финансовой разведки.
Порядок хранения сведений и документов об операциях (платежах), а также информации, полученной по результатам надлежащей проверки клиентов
21.41. ИТ отдел совместно с должностным лицом по ПФТД/ЛПД обеспечивают сохранение в системе в течение пяти лет информации о платежах, подлежащих обязательному контролю и сообщению:
21.41.1. подозрительные платежи;
21.41.2. платежи в пользу физических или юридических лиц из высокорискованных стран;
21.41.3. платежи с физическими лицами, отбывшими наказание за осуществление легализации (отмывания) преступных доходов, террористической или экстремистской деятельности;
21.41.4. безналичные платежи свыше установленной пороговой суммы.
21.42. На основании результатов процедуры выявления операций должностное лицо по ПФТД/ЛПД совместно с Техническим директором документально фиксирует и сохраняет конфиденциальный характер информации при выявлении признаков совершения клиентом.
21.43. Технический директор Общества является ответственным за сохранение информации о платежах в системе.
21.44. Должностное лицо по ПФТД/ЛПД осуществляет сохранение информации о направленных сообщениях в орган финансовой разведки на бумажных носителях в специальных бокс файлах.
21.45. Отдел по работе с поставщиками/агентами обеспечивает хранение документов и сведений, полученные в результате надлежащей проверки поставщиков товаров/услуг, агентов, субагентов и контрагентов в течение всего периода деловых отношений с ними, а также в течение пяти лет после прекращения деловых отношений.
21.46. Менеджер по работе с поставщиками/агентами обеспечивает учет срока действия договорных отношений с поставщиками и агентами в соответствующем реестре, а также обеспечивает хранение документов и файлов в специальных бокс файлах. Менеджер по работе с поставщиками/агентами обеспечивает классификацию и сортировку, позволяющую своевременно обеспечить нахождение документов и сведений.

21.47. Должностное лицо по ПФТД/ЛПД обязано документально фиксировать и обеспечить сохранение на бумажных носителях документы и сведения, подготовленные на рассмотрение Правления Общества, в том числе предложения о прекращении деловых отношений, результаты оценки рисков в Обществе и отчеты о результатах исполнения программы внутреннего контроля по ПФТД/ЛПД.
21.48. Должностное лицо по ПФТД/ЛПД обеспечивает хранение в течение не менее 5 лет со дня прекращения отношений с клиентом:
21.48.1. документов по операциям, по которым составлялись внутренние сообщения;
21.48.2. документов внутренних сообщений;
21.48.3. результатов изучения оснований и целей выявленных необычных операций (сделок);
21.48.4. документов, относящихся к деятельности клиента (в объеме, определяемом организацией), в том числе деловой переписки и иных документов по усмотрению Общества;
21.48.5. иных документов, полученных в результате применения правил внутреннего контроля.
21.49. Должностное лицо по ПФТД/ЛПД обеспечивает хранение вышеуказанных документов таким образом, чтобы данные могли быть своевременно доступны органу финансовой разведки, а также иным органам государственной власти в соответствии с их компетенцией в случаях, установленных законодательством Кыргызской Республики.
Порядок организации в Обществе системы
21.50. Генеральный директор Общества обеспечивает организацию в Обществе системы внутреннего контроля в целях ПФТД/ЛПД путем утверждения Правил внутреннего контроля и делегирования функций по исполнению требований законодательства КР в сфере ПФТД/ЛПД на специально назначаемое должностное лицо по ПФТД/ЛПД, которое возглавляет отдел комплаенс-контроля.
21.51. Должностное лицо по ПФТД/ЛПД исполняет следующие функции:
− разработка и представление Генеральному директору проектов правил внутреннего контроля и иных внутренних документов в сфере ПФТД/ЛПД, в том числе методологии оценки рисков и процедур управления рисками;
− организация реализации правил внутреннего контроля;
− мониторинг проведения надлежащей проверки клиента и иных участников операций (сделок);
− мониторинг и анализ операций (платежей) клиента;
− принятие решения о признании операции (платежа) подозрительной и направлении сообщения о подозрительной операции (платеже) в орган финансовой разведки, с последующим уведомлением исполнительного органа;
− представление в орган финансовой разведки сообщений об операциях (платежах), подлежащих контролю и сообщению, в соответствии с законодательством Кыргызской Республики в сфере ПФТД/ЛПД;
− оказание содействия уполномоченным представителям проверяющих органов при проведении ими проверки деятельности Общества по вопросам соблюдения законодательства Кыргызской Республики в сфере ПФТД/ЛПД;
− Подготовка методических материалов (при необходимости), консультирование сотрудников Общества по вопросам, возникающим при реализации программ внутреннего контроля.
− Проведение вводного и внепланового обучения сотрудников Общества по вопросам противодействия финансированию террористической деятельности и легализации (отмыванию) преступных доходов.
− Представление Генеральному директору в сроки, установленные Генеральным директором, но не реже 1 раза в полугодие, письменного отчета о результатах реализации

правил и процедур внутреннего контроля в целях противодействия финансированию террористической деятельности и легализации (отмыванию) преступных доходов.
− Принятие решения по переданным ему сотрудниками Общества сообщениям об операциях, о целесообразности их представления Генеральному директору.
− Обеспечение конфиденциальности информации, полученной при осуществлении возложенных на него функций.
− Обеспечение соответствующего режима защиты и хранения фиксируемой информации.
− Иные функции в соответствии с настоящими правилами и документами Общества о внутреннем контроле.
−
21.52. Должностное лицо по ПФТД/ЛПД либо иное уполномоченное руководителем лицо систематически, но не реже 1 раза в полугодие:
− проводит внутренние проверки выполнения в Обществе правил внутреннего контроля, требований законодательства КР и иных нормативных правовых актов
− представляет Генеральному директору Общества по результатам проверок письменный отчет, содержащий сведения обо всех выявленных нарушениях законодательства КР о противодействии финансированию террористической деятельности и легализации (отмыванию) преступных доходов, правил внутреннего контроля и иных организационно- распорядительных документов Общества, принятых в целях организации и осуществления внутреннего контроля.
21.53. Для выполнения указанных функций должностному лицу по ПФТД/ЛПД предоставляется право:
− Получать от руководителей и сотрудников подразделений Общества необходимую информацию и документы, в том числе организационно-распорядительные документы Общества, бухгалтерские и денежно-расчетные документы в установленном в Обществе порядке.
− Снимать копии с полученных документов, в том числе получать и хранить копии файлов, копии любых записей, хранящихся в локальных информационных сетях и автономных компьютерных системах Общества в установленном в Обществе порядке.
− Получать объяснения от сотрудников, касающиеся реализации правил.
− Осуществлять иные права в соответствии с документами Общества о внутреннем контроле.
21.54. В целях снижения рисков, связанных со случаями мошенничества Должностное лицо по ПФТД/ЛПД необходимо проведение следующих мероприятий:
− Мероприятия по определению и оценке рисков отмывания денег или финансирования терроризма, которые могут возникнуть в связи с разработкой новых продуктов и новой деловой практики, включая новые механизмы передачи, и использованием новых или развивающихся технологий как для новых, так и для уже существующих продуктов.
− Мероприятия по проверки действующих систем на предмет уязвимости и риску возникновения мошенничества с использованием технической, технологической, программной и других уязвимостей АПК.
− Мероприятия по разработки новых методов борьбы, с мошенничеством включая, но не ограничиваясь:
− Разработка дополнительных методов, систем, правил по идентификации пользователей систем АПК;
− Разработка методов мониторинга, раннего выявления транзакций мошеннического характера с использованием алгоритмов и масок поиска.