9.1. Участники Платежной организации обязуются соблюдать конфиденциальность в отношении не являющихся общедоступными сведений о других Участниках Платежной организации, ставших известными Участникам Платежной организации в связи с присоединением к настоящим Правилам, за исключением случаев, когда информация:
- раскрыта по требованию или с разрешения Участника Платежной организации, являющегося Владельцем данной информации;
- подлежит предоставлению третьим лицам в объеме, необходимом для исполнения обязательств, предусмотренных настоящими Правилами;
- требует раскрытия по основаниям, предусмотренным законодательством Республики Узбекистан.
9.2. Не является нарушением конфиденциальности и безопасности Участников Платежной организации предоставление конфиденциальной информации третьей стороне в целях исполнения Правил и иных соглашений Участников Платежной организации; предоставление конфиденциальной информации по законному требованию правоохранительных и иных уполномоченных государственных органов, а также в других предусмотренных действующим законодательством Республики Узбекистан случаях.
9.3. Оператор обеспечивает бесперебойное функционирование системы «PayBox.money» в режиме 24/7/365 (24 часа в день, 7 дней в неделю, 365 дней в году), за исключением времени проведения профилактических работ.
9.4. Участники Платежной организации обязуются принимать все необходимые меры для обеспечения безопасности и по защите информации и документов, обмен которыми осуществляется в Платежной организации или которые доступны Участникам Платежной организации в связи с использованием Платежной организации, а также с целью выявления (предотвращения) мошенничества и противодействия легализации доходов, полученных от преступной деятельности, финансированию терроризма и финансированию распространению оружия массового уничтожения.
9.5. Средства и меры предотвращения несанкционированного доступа к программно- техническим средствам, применяемые в Платежной организации, включая программно-технические средства защиты, должны обеспечивать уровень защиты информации и сохранение ее конфиденциальности в соответствии с требованиями, установленными законодательством Республики Узбекистан. Участники Платежной организации обязуются принимать все необходимые меры по сохранению конфиденциальности, предотвращению несанкционированного использования и защите идентификационных данных от несанкционированного доступа со стороны третьих лиц.
9.6. Отказоустойчивость:
Отказоустойчивость сервиса обеспечивается за счет распределения нагрузки между двумя серверами приложений. В случае недоступности одного из серверов (падение канала связи, высокая текущая нагрузка, выход сервера из строя) все запросы автоматически и без задержек на переключение перенаправляются на сервер, оставшийся в онлайн-режиме. Таким образом достигается баланс производительности серверов в базовом режиме работы и обеспечение бесперебойной обработки транзакций в случае непредвиденных обстоятельств, когда один из серверов по каким-либо причинам временно выходит из строя. Сервер баз данных работает в режиме репликации Master-Slave c резервным сервером, и в случае отказа работы основного сервера ноды обработки транзакций автоматически переключаются на резервный.
9.7. Резервное копирование:
Резервное копирование сервера баз данных осуществляется встроенными средствами MySQL. Схема копирования такова: каждый час + финальное в 1:00 с удалением ежечасных копий. Бекапы старше одного месяца удаляются в целях недопущения переполнения хранилища данных. Актуальность и сохранение кодовой базы системы обработки транзакций обеспечивается системой управления версиями.
9.8. Использование криптографических методов защиты информации:
Платежная организация использует криптографические методы защиты информации при хранении конфиденциальной информации в базах данных, при передаче конфиденциальной информации в каналах связи, при верификации платежных операций на предмет целостности и аутентичности.
Все средства криптографической защиты являются встроенными модулями соответствующих компонентов информационной системы и полностью повторяют жизненный цикл компонента.
Ключевая информация генерируется в составе комиссии. Резервное хранение ключевой информации, в случае необходимости, производится в соответствии с инструкциями производителя криптографического средства с соблюдение лучших практик в области криптографических средств защиты.
9.9. Безопасность доступа к серверной инфраструктуре:
Административный доступ к любому из серверов возможен только при наличии 2048-битного SSH2-RSA-ключа. Получить доступ к серверной инфраструктуре перебором паролей или любым другим несанкционированным способом невозможно. Доступ клиента в личный кабинет, как и доступ администратора PAYBOX в кабинет управления транзакциями, осуществляется только посредством двухфакторной авторизации.
9.10. Антифрод:
Все транзакции по платежным картам после передачи из сервиса PAYBOX в платежную систему банка подвергаются обработке антифрод-фильтром. На основе набора правил, таких как наличие маски карты в продаже на черном рынке, степень благонадежности IP-адреса, с которого совершается транзакция, использование TOR-клиента и пр., фильтр рассчитывает степень риска транзакции и присваивает ей определенный рейтинг. В зависимости от установленного у мерчанта уровня надежности транзакций, система банка обрабатывает или отвергает транзакцию.