ODLUKAO USLOVIMA I NAČINU POVERAVANJA AKTIVNOSTI U VEZI SA INFORMACIONIM SISTEMOM FINANSIJSKE INSTITUCIJE TREĆIM LICIMA("Sl. glasnik RS", br. 100/2023) |
1. Ovom odlukom uređuju se uslovi i način poveravanja aktivnosti u vezi sa informacionim sistemom finansijske institucije trećim licima, kao i način upravljanja poverenim aktivnostima, u cilju stabilnog i sigurnog poslovanja koje se odnosi na upravljanje informacionim sistemima u bankama, društvima za osiguranje, davaocima finansijskog lizinga, društvima za upravljanje dobrovoljnim penzijskim fondovima, kao i platnim institucijama, institucijama elektronskog novca i javnom poštanskom operatoru u delu njegovog poslovanja koji se odnosi na pružanje platnih usluga i/ili izdavanje elektronskog novca (u daljem tekstu: finansijska institucija).
Ova odluka primenjuje se na sve finansijske institucije iz stava 1. ove tačke, ako pojedinim njenim odredbama nije drukčije utvrđeno.
2. Pojedini pojmovi, u smislu ove odluke, imaju sledeće značenje:
1) informacioni sistem, resursi informacionog sistema, softverske komponente, hardverske komponente, informaciona dobra,rizik informacionog sistema,incident,bezbednost informacionog sistema,poverljivost,integritet i raspoloživost imaju značenja utvrđena odlukom kojom se uređuju minimalni standardi upravljanja informacionim sistemom finansijske institucije;
2) kritični/ključni poslovni procesi su poslovni procesi ili funkcije čije neadekvatno funkcionisanje može značajnije ugroziti stabilnost i kontinuitet poslovanja finansijske institucije ili prouzrokovati izostanak pružanja usluga finansijske institucije utvrđenih zakonom;
3) poveravanje aktivnosti označava skup aktivnosti koje preduzima finansijska institucija radi odabira pružaoca usluga i zaključenja ugovora na osnovu kog taj pružalac usluga obavlja aktivnosti/usluge u vezi sa informacionim sistemom;
4) pružalac usluga je pravno lice ili preduzetnik kome je finansijska institucija poverila obavljanje aktivnosti ili dela aktivnosti u vezi s njenim informacionim sistemom;
5) potpoveravanje aktivnosti označava skup aktivnosti koje se preduzimaju radi zaključenja ugovora između pružaoca usluga i potpružaoca usluga, na osnovu kog pružalac usluga dalje poverava određene aktivnosti u okviru aktivnosti koje je njemu (pružaocu usluge) poverila finansijska institucija u vezi s njenim informacionim sistemom, pri čemu te aktivnosti obavezno uključuju davanje prethodne saglasnosti finansijske institucije na zaključenje tog ugovora;
6) potpružalac usluga je pravno lice ili preduzetnik kome je pružalac usluga poverio aktivnosti ili deo aktivnosti u vezi sa informacionim sistemom finansijske institucije;
7) klaud usluge (eng. cloud services) su usluge kod kojih se na zahtev omogućava široko rasprostranjen i pogodan mrežni pristup zajedničkom skupu prilagodljivih resursa informacionog sistema (npr. mreže, serveri, uređaji za skladištenje podataka, aplikacije, usluge i dr.), a koje se mogu lako obezbediti (eng. provisioned) i otkazati (eng. released) uz minimalnu angažovanost pružaoca usluga.
Pojam i obim poveravanja aktivnosti u vezi sa informacionim sistemom trećim licima
3. Poveravanje aktivnosti obavlja se u skladu s propisima kojima se uređuje poslovanje finansijskih institucija, ako ovom odlukom nije drukčije propisano.
4. Aktivnosti koje finansijska institucija može da poveri pružaocu usluga, a na koje se primenjuju odredbe ove odluke, naročito obuhvataju sledeće:
1) razvoj, održavanje i upravljanje resursima informacionog sistema;
2) razvoj i održavanje poslovnih aplikacija koje utiču na kritične/ključne poslovne procese;
3) obradu i/ili čuvanje podataka kojima finansijska institucija raspolaže a koji se odnose se na njeno poslovanje i/ili pristup tim podacima;
4) usluge provere bezbednosti informacionog sistema (testiranja ranjivosti i slabosti informacionog sistema, penetraciono testiranje i sl.);
5) poslove obavljanja unutrašnje revizije informacionog sistema.
Odredbe ove odluke ne primenjuju se na nabavku i korišćenje:
1) usluga globalnih servisa za finansijsku komunikaciju (npr. SWIFT) ako se ključni resursi informacionog sistema potrebni za pružanje te usluge nalaze unutar finansijske institucije;
2) usluga pružanja informacija o finansijskim tržištima (Bloomberg, Reuters i dr.);
3) usluga globalne mrežne infrastrukture (Visa, MasterCard i dr.) i telekomunikacionih usluga;
4) softvera koji je kao gotovo rešenje komercijalno dostupan na tržištu i ne zahteva prilagođavanja (eng. customization) tog rešenja (off-the-shelf);
5) drugih usluga sličnih uslugama iz odredaba pod 1) do 4) ovog stava ako je prethodno o tome pribavljeno mišljenje Narodne banke Srbije da se na korišćenje tih usluga ne primenjuju odredbe ove odluke.
Finansijska institucija ne može pružaocu usluga poveriti proces upravljanja informacionim sistemom koji obuhvata sledeće:
1) proces donošenja strategije razvoja informacionog sistema;
2) uspostavljanje politika i procedura za upravljanje informacionim sistemom, kao i za njegovo revidiranje i unapređenje;
3) ključne kontrolne funkcije organa upravljanja u vezi s njenim informacionim sistemom.
Finansijska institucija ne može da prenese ovlašćenja i odgovornosti svojih organa upravljanja i nadzora na pružaoca usluga.
5. Poveravanje aktivnosti uključuje svakog pružaoca usluga koji ima odvojeni pravni subjektivitet u odnosu na finansijsku instituciju koja poverava aktivnosti.
Poveravanje aktivnosti iz stava 1. ove tačke uključuje i lica povezana s finansijskom institucijom imovinskim i/ili upravljačkim odnosima (lica sa učešćem, članice grupe društava kojoj ta institucija pripada i dr.) koja posluju u Republici Srbiji ili u inostranstvu.
Odgovornost za upravljanje poverenim aktivnostima
6. Finansijska institucija je dužna da obezbedi da poveravanje aktivnosti iz tačke 4. stav 1. ove odluke ne dovodi do umanjenja odgovornosti nadležnih organa upravljanja te institucije, kao ni zaposlenih odgovornih za upravljanje njenim informacionim sistemom.
7. Nadležni organ upravljanja finansijske institucije odgovoran je za efikasnu primenu ove odluke, usklađenost i primenu regulatornih zahteva, upravljanje rizicima povezanim sa poverenim aktivnostima, kao i za praćenje poverenih aktivnosti i nadzor nad njima.
8. Kako bi obezbedila primereno upravljanje poverenim aktivnostima, praćenje tih aktivnosti i nadzor nad njima, finansijska institucija je dužna da, u skladu s prirodom, obimom i složenošću poslovanja, kao i složenošću informacionog sistema, obezbedi odgovarajuću organizacionu strukturu, s jasno utvrđenom podelom poslova i dužnosti zaposlenih, radi stabilnog i sigurnog funkcionisanja tog sistema.
Okvir za upravljanje poverenim aktivnostima
9. Finansijska institucija je dužna da unutrašnjim aktima uredi postupak poveravanja aktivnosti tako da obuhvati:
1) proces odlučivanja o poveravanju aktivnosti koji sadrži linije odgovornosti u donošenju te odluke;
2) kriterijume na osnovu kojih se donosi odluka o poveravanju aktivnosti;
3) kriterijume za odabir pružaoca usluga;
4) procenu rizika koncentracije izloženosti prema jednom pružaocu usluga (zavisnost od jednog pružaoca usluga) i utvrđivanje mera unutrašnje kontrole kojima se smanjuje taj rizik;
5) procenu očekivane koristi i troškova koji proizlaze iz postupka poveravanja pojedinačnih aktivnosti;
6) način uključivanja poverenih aktivnosti u proces upravljanja rizicima, naročito rizikom informacionog sistema, kao i u sistem internog izveštavanja o rizicima;
7) način na koji se vrši potpoveravanje aktivnosti potpružaocu usluga;
8) način na koji finansijska institucija obezbeđuje kontinuitet obavljanja poverenih aktivnosti i mere koje preduzima u slučaju raskida ugovornog odnosa s pružaocem usluga, kao i u slučaju privremenog zastoja ili prestanka pružanja tih usluga, odnosno mogućnost ponovnog samostalnog obavljanja poverenih aktivnosti u finansijskoj instituciji ili mogućnost prenosa tih aktivnosti drugom pružaocu usluga ("zamenljivost pružaoca usluga");
9) način vođenja evidencije poverenih aktivnosti;
10) način praćenja primene ugovora o poveravanju aktivnosti, koji obuhvata i postupak obaveštavanja o promenama ugovora i postupak obnavljanja (produženja važenja) ugovora;
11) uticaj poverenih aktivnosti na kritične/ključne poslovne procese;
12) postupke u vezi sa zaštitom podataka kojima raspolaže finansijska institucija a odnose se na njeno poslovanje (povrede poverljivosti, integriteta i dostupnosti podataka).
10. Finansijska institucija je dužna da uspostavi kontinuirani nadzor nad obavljanjem poverenih aktivnosti koji uključuje sledeće:
1) utvrđivanje zaposlenih koji su odgovorni za praćenje nivoa i kvaliteta pruženih usluga (eng. service-level agreement - SLA) i utvrđivanje da li se usluge u potpunosti pružaju u skladu sa ugovorom;
2) analizu zadovoljstva pruženim uslugama, koja, između ostalog, uzima u obzir prekide u pružanju usluga, redovnost i sadržajnost izveštaja pružaoca usluga o poverenim aktivnostima, kao i odgovore na incidente koji su uticali na poslovne procese finansijske institucije;
3) blagovremeno praćenje i obaveštavanje nadležnih organa finansijske institucije o datumu isteka ugovora;
4) redovno testiranje planova kontinuiteta poslovanja za kritične/ključne poslovne procese sa pružaocima usluga;
5) proveru usklađenosti poverenih aktivnosti s propisima, dobrim poslovnim običajima i opšteprihvaćenim standardima iz odgovarajuće oblasti i dr.
11. U slučaju poveravanja aktivnosti licima iz tačke 5. stav 2. ove odluke, finansijska institucija je dužna da posebno uredi način vršenja nadzora nad poverenim aktivnostima, kao i da utvrdi vrste i dinamiku izveštaja o poverenim aktivnostima koje će dobijati od tih lica. Kada nadzor nad poverenim aktivnostima za sve članice vrši grupa kojoj finansijska institucija pripada (centralizovano), finansijska institucija je dužna da obezbedi da joj grupa redovno dostavlja izveštaje o sprovedenom nadzoru, kao i da za kritične/ključne poslovne procese, bez obzira na izvršen nadzor grupe, obezbedi potpuno samostalan nadzor nad poverenim aktivnostima.
12. Banka koja namerava da trećem licu poveri aktivnosti čije je izvršenje značajno za obezbeđivanje kontinuiteta njenih kritičnih funkcija dužna je da obezbedi kontinuitet tih funkcija za slučaj primene instrumenata i/ili mera restrukturiranja, i to na jedan od sledećih načina:
1) obavezivanjem tog trećeg lica da obavlja poverene aktivnosti u svim situacijama u kojima je potrebno obezbediti kontinuitet kritičnih funkcija banke u restrukturiranju, odnosno banke za posebne namene;
2) ugovorom sa alternativnim pružaocem usluga koji bi mogao da obezbedi kontinuitet obavljanja kritičnih funkcija banke u restrukturiranju, odnosno banke za posebne namene;
3) detaljnim planom obezbeđivanja kontinuiteta obavljanja kritičnih funkcija upotrebom interno raspoloživih resursa banke u restrukturiranju, odnosno banke za posebne namene.
Upravljanje rizicima koji proizlaze iz poverenih aktivnosti
13. Finansijska institucija je dužna da adekvatno upravlja rizicima informacionog sistema i drugim rizicima koji proizlaze iz poverenih aktivnosti.
Finansijska institucija je dužna da upravljanje rizicima koji proizlaze iz poverenih aktivnosti uspostavi kao kontinuirani proces.
Finansijska institucija je dužna da u okviru procene rizika koji proizlaze iz poverenih aktivnosti identifikuje resurse informacionog sistema na koje te aktivnosti utiču, potencijalne pretnje bezbednosti informacionog sistema i štete koje bi mogle da nastanu ako bi se te pretnje ostvarile, odnosno da identifikuje, proceni i prati rizike informacionog sistema i da utvrdi i redovno preispituje kontrole kojima bi se ti rizici umanjili.
Finansijska institucija je dužna da prilikom procene rizika uzme u obzir očekivane koristi i troškove koji proizlaze iz postupka poveravanja konkretnih aktivnosti, rizike koji proističu iz poveravanja aktivnosti pružaocu usluga koga nije jednostavno zameniti, rizike koji su povezani s većim brojem ugovora zaključenih sa istim pružaocem usluga ili s njim povezanim licima i rizike povezane sa potpoveravanjem aktivnosti, kao i da, s tim u vezi, preduzme mere u cilju upravljanja tim rizicima, odnosno njihovog smanjenja.
Postupak poveravanja aktivnosti
14. Poveravanje aktivnosti vrši se na osnovu ugovora zaključenog između finansijske institucije i pružaoca usluge, na osnovu kog pružalac usluga obavlja određene aktivnosti, odnosno pruža određene usluge u vezi sa informacionim sistemom finansijske institucije, a koje bi u suprotnom obavljala finansijska institucija.
Finansijska institucija koja poverava aktivnosti licima iz tačke 5. stav 2. ove odluke dužna je da obezbedi da su zaključeni ugovori iz stava 1. ove tačke usklađeni sa zakonima i drugim propisima Republike Srbije.
15. Pre donošenja odluke o svakom pojedinačnom poveravanju aktivnosti, odnosno o promeni pružaoca usluga - finansijska institucija je dužna da:
1) istraži tržište predmetnih usluga i prikupi ponude više potencijalnih pružalaca usluga;
2) izvrši detaljnu uporednu analizu svih potencijalnih pružalaca usluga koja se odnosi na kvalitet njihovih usluga, cenu pružanja usluga, njihovu sposobnost obavljanja tih aktivnosti, adekvatne resurse informacionog sistema koji mogu podržati poverene aktivnosti, dovoljan broj zaposlenih opredeljenih za obavljanje poverene aktivnosti, finansijsko stanje i poslovnu reputaciju;
3) proceni da li prekidi u pružanju ili neodgovarajući nivo pružene usluge mogu imati negativan uticaj na kontinuitet poslovanja finansijske institucije i usluge koje ona pruža, odnosno da li aktivnost koju poverava utiče na kritični/ključni poslovni proces;
4) utvrdi da li postoji zavisnost od jednog pružaoca usluga;
5) utvrdi da li propisi države ili država u kojima potencijalni pružalac usluga posluje omogućuju Narodnoj banci Srbije nesmetano vršenje neposredne kontrole tog poslovanja u delu koji se odnosi na obavljanje poverenih aktivnosti ili je u vezi s tim aktivnostima;
6) proceni moguće poteškoće i vreme potrebno za izbor drugog pružaoca usluga ili mogućnost nastavka obavljanja tih aktivnosti unutar finansijske institucije u slučaju prestanka pružanja ugovorenih usluga, kao i da, s tim u vezi, utvrdi odgovarajuću izlaznu strategiju;
7) kada je to moguće, izvrši analizu uspešnosti prethodne saradnje sa određenim pružaocem usluga.
Pri donošenju odluke iz stava 1. ove tačke ili prilikom bitne izmene poverene aktivnosti (npr. dodavanje/ukidanje servisa, aplikativnih rešenja i dr.) finansijska institucija naročito procenjuje uticaj poveravanja aktivnosti na:
1) kontinuitet poslovanja i reputaciju finansijske institucije;
2) troškove, finansijski rezultat, likvidnost i solventnost finansijske institucije;
3) rizični profil finansijske institucije;
4) rizik informacionog sistema finansijske institucije;
5) kvalitet usluga koje finansijska institucija pruža klijentima.
16. Prilikom poveravanja aktivnosti licima iz tačke 5. stav 2. ove odluke finansijska institucija je dužna da cenu usluga utvrdi po tržišnim uslovima, kao i da uzme u obzir da na cenu usluge utiče okolnost da se ista usluga obavlja za više institucija povezanih imovinskim i/ili upravljačkim odnosima.
17. Finansijska institucija je dužna da, u skladu s tačkom 15. stav 1. odredba pod 6) ove odluke, donese izlaznu strategiju u slučaju prestanka pružanja ugovorenih usluga, koja naročito sadrži:
1) kriterijume na osnovu kojih se donosi odluka za sprovođenje ove strategije;
2) odgovornost nadležnih organa finansijske institucije za sprovođenje te strategije;
3) spisak mera i aktivnosti koje je potrebno preduzeti od trenutka prestanka pružanja ugovorenih usluga do izbora drugog pružaoca usluga ili potpunog uspostavljanja procesa obavljanja tih aktivnosti unutar finansijske institucije, kao i dinamiku njihovog sprovođenja;
4) analizu finansijskih i ljudskih resursa potrebnih za sprovođenja ove strategije, uključujući i obavljanje aktivnosti unutar finansijske institucije;
5) obezbeđenje uslova da obavljanje poverenih aktivnosti nastavi drugi pružalac usluga ili sama finansijska institucija (nabavka softverskih komponenti, hardverskih komponenti, licence i dr.).
18. Finansijska institucija je dužna da obezbedi da svaki ugovor zaključen s pružaocem usluga naročito sadrži odredbe kojima se:
1) detaljno i precizno opisuje poverena aktivnost koja je predmet ugovora;
2) utvrđuju obaveze pružaoca usluga iz tačke 19. st. 2. i 4. ove odluke;
3) omogućava da finansijska institucija jednostrano raskine ugovor ako to naloži Narodna banka Srbije;
4) uređuje mogućnost potpoveravanja aktivnosti uz navođenje neophodnih uslova za potpoveravanje;
5) određuje rok na koji se ugovor zaključuje, odnosno završetak pružanja usluga;
6) utvrđuju lokacije na kojima će se obavljati poverena aktivnost i lokacije na kojima će se obrađivati i čuvati podaci finansijske institucije u vezi s poverenom aktivnošću, kao i obaveza pružaoca usluga da obavesti finansijsku instituciju o promeni tih lokacija;
7) uređuje način pristupa informacionom sistemu finansijske institucije, odnosno način upravljanja pravima pristupa kada je to neophodno za pružanje usluge;
8) uređuje način na koji će finansijska institucija kontinuirano pratiti kvalitet i nivo pruženih usluga (kvantitativni i kvalitativni), kao i vrste i dinamika izveštaja koje će finansijska institucija dobijati od pružaoca usluga;
9) definiše upravljanje incidentima tako da se utvrde postupci i uloge za rešavanje incidenta, kao i način izveštavanja o nastalom incidentu i njegovim posledicama po finansijsku instituciju u skladu sa odredbama odluke kojom se uređuju minimalni standardi upravljanja informacionim sistemom finansijske institucije;
10) uređuje način saradnje s pružaocem usluga u vezi sa zahtevima za promene hardverskih/softverskih komponenti, za otklanjanje uočenih nedostataka ili za hitne intervencije u slučaju incidenta;
11) utvrđuju uslovi na osnovu kojih može doći do prestanka ugovora;
12) utvrđuje obaveza pružaoca usluge iz tačke 31. st. 1. i 2. ove odluke;
13) utvrđuje obaveza pružaoca usluga da pri pružanju usluga u potpunosti postupa u skladu sa propisima Republike Srbije.
19. Finansijska institucija je dužna da obezbedi da se poveravanjem aktivnosti ne ugrozi bezbednost ili funkcionalnost njenog informacionog sistema, kao i da podaci finansijske institucije ostanu u njenom posedu, odnosno pod njenom kontrolom.
Finansijska institucija je dužna da obezbedi da pružalac usluga poverene aktivnosti obavlja u skladu s politikom bezbednosti informacionog sistema i drugim aktima finansijske institucije kojima se uređuje bezbednost njenog informacionog sistema.
Finansijska institucija je dužna da obezbedi održavanje i redovno testiranje svojih planova kontinuiteta poslovanja s pružaocima usluga za sve poverene kritične/ključne poslovne procese.
Finansijska institucija i pružalac usluga dužni su da pri poveravanju aktivnosti, odnosno tokom obavljanja poverenih aktivnosti postupaju u skladu sa zakonom kojim se uređuje zaštita podataka o ličnosti, kao i drugim propisima kojima se uređuje čuvanje tajne nastale u poslovanju finansijskih institucija.
20. Finansijska institucija može određene aktivnosti da poveri i zaključi ugovor o poveravanju aktivnosti, da bitno izmeni ugovor o poveravanju aktivnosti (dodavanjem/ukidanjem poverenih aktivnosti) i da promeni pružaoca usluga, odnosno izabere novog pružaoca usluga - samo ako o tome obavesti Narodnu banku Srbije najkasnije 30 dana pre zaključenja ugovora o poveravanju aktivnosti ili aneksa tog ugovora, i to na obrascu iz Priloga 1, koji je odštampan uz ovu odluku i njen je sastavni deo.
Uz obaveštenje iz stava 1. ove tačke, finansijska institucija dostavlja:
1) odluku nadležnog organa upravljanja finansijskom institucijom o poveravanju aktivnosti, bitnoj izmeni ugovora o poveravanju aktivnosti ili promeni pružaoca usluga, odnosno izboru novog pružaoca usluga;
2) nacrt ugovora o poveravanju aktivnosti u skladu s tačkom 18. ove odluke, odnosno nacrt aneksa tog ugovora, uključujući sve prateće ugovore (npr. koji se odnose na nivo pruženih usluga i zaštitu podataka);
3) detaljnu analizu pružaoca usluga, uslove koje treba da ispuni i kriterijume na osnovu kojih je odabran;
4) rezultate procene iz tačke 15. stav 2. ove odluke;
5) izlaznu strategiju iz tačke 17. ove odluke;
6) dokaz o tome da propisi države, odnosno država u kojima pružalac usluga posluje omogućavaju Narodnoj banci Srbije da nesmetano vrši neposrednu kontrolu poslovanja u delu koji se odnosi na obavljanje poverenih aktivnosti ili je u vezi s njima - ako pružalac usluga ima sedište izvan Republike Srbije ili je ugovoreno da poverene aktivnosti obavlja izvan Republike Srbije.
Ako na osnovu obaveštenja, dokumentacije i dokaza iz stava 2. ove tačke nije moguće utvrditi sve činjenice značajne za postupanje po tom obaveštenju, Narodna banka Srbije može od finansijske institucije tražiti da joj dostavi i drugu dokumentaciju za koju oceni da joj je potrebna.
Ako se ugovor iz stava 1. ove tačke menja tako da se izmene odnose na trajanje tog ugovora, finansijske uslove (cena usluga) ili na izmene odredaba koje ne utiču na obavljanje poverenih aktivnosti - finansijska institucija je dužna da najkasnije 15 dana pre zaključenja aneksa tog ugovora o tome obavesti Narodnu banku Srbije na obrascu koji je utvrđen u Prilogu 1 i dostavi joj nacrt tog aneksa.
Rokovi iz st. 1. i 4. ove tačke računaju se od dana dostavljanja uredne dokumentacije iz ove tačke.
21. Narodna banka Srbije posebno ceni da li poveravanje aktivnosti pružaocu usluga može dovesti do koncentracije učesnika na tržištu usluga informacionih tehnologija koje se pružaju finansijskim institucijama ili do dominantnog položaja pružaoca usluga na tom tržištu, koji bi se mogao negativno odraziti na ovo tržište ili na nesmetano funkcionisanje platnog sistema ili na stabilnost finansijskog sistema.
Narodna banka Srbije ocenu iz stava 1. ove tačke može dati nakon dostavljanja obaveštenja sa urednom dokumentacijom iz tačke 20. ove odluke, i to pre ili nakon poveravanja aktivnosti u bilo kom trenutku.
Ako oceni da poveravanje aktivnosti pružaocu usluga može dovesti do koncentracije učesnika na tržištu usluga informacionih tehnologija koje se pružaju finansijskim institucijama ili do dominantnog položaja pružaoca usluga na tom tržištu, koji bi se mogao negativno odraziti na ovo tržište ili na nesmetano funkcionisanje platnog sistema ili na stabilnost finansijskog sistema - Narodna banka Srbije o tome obaveštava finansijsku instituciju, na osnovu čega ta institucija ne može poveriti aktivnosti pružaocu usluga iz stava 1. ove tačke. Ako je obaveštenje iz ovog stava primila nakon poveravanja aktivnosti - finansijska institucija je dužna da ugovor o poveravanju aktivnosti raskine u roku koji je utvrdila Narodna banka Srbije, a koji ne može biti kraći od tri meseca od dana prijema tog obaveštenja.
22. Finansijska institucija je dužna da Narodnoj banci Srbije dostavi ugovor iz tačke 20. stav 1. ove odluke, uključujući i anekse tog ugovora - u roku od 15 dana od dana zaključenja tog ugovora, odnosno aneksa. U slučaju da se zaključeni ugovor razlikuje od nacrta ugovora koji je finansijska institucija dostavila uz obaveštenje iz tačke 20. stav 1. ove odluke, neophodno je da se pri dostavljanju ugovora iz ove tačke naznači u kojem delu su izvršene izmene.
U slučaju raskida ugovora iz stava 1. ove tačke, finansijska institucija je dužna da o tome bez odlaganja obavesti Narodnu banku Srbije.
Postupak potpoveravanja aktivnosti
23. Pružalac usluga može potpružaocu usluga poveriti aktivnosti koje je finansijska institucija poverila njemu ili druge poslove koji su u vezi s tim aktivnostima - samo uz prethodnu saglasnost finansijske institucije, koju ona daje u svakom pojedinačnom slučaju.
U slučaju kritičnih/ključnih poslovnih procesa, finansijska institucija dužna je da pre davanja saglasnosti iz stava 1. ove tačke proceni rizike povezane s potpoveravanjem aktivnosti i rizike koji mogu nastati kada jedan pružalac usluga za realizaciju poverenih aktivnosti angažuje više potpružalaca usluga (složeni lanci poveravanja aktivnosti).
24. Finansijska institucija je dužna da obezbedi da svaki ugovor zaključen s potpružaocem usluga naročito sadrži odredbe kojima se:
1) detaljno i precizno opisuju potpoverene aktivnosti koje su predmet ugovora;
2) utvrđuju obaveze za potpružaoca usluga iz tačke 19. st. 2. i 4. ove odluke;
3) pružalac usluga obavezuje da vrši nadzor nad kvalitetom, kvantitetom i kontinuitetom obavljanja poverenih aktivnosti;
4) finansijskoj instituciji omogućava pravo prigovora na kvalitet i nivo pruženih usluga, kao i eventualni raskid ugovora s pružaocem usluga ili pravo da od pružaoca usluga zahteva da raskine ugovor s potpružaocem usluga;
5) definišu lokacije na kojima će se obavljati potpoverene aktivnosti i lokacije na kojima će se obrađivati i čuvati podaci;
6) uređuje način pristupa informacionom sistemu finansijske institucije, odnosno način upravljanja pravima pristupa kada je to neophodno za pružanje usluge;
7) utvrđuje obaveza potpružaoca usluga da pri pružanju usluga u potpunosti postupa u skladu s propisima Republike Srbije.
25. Finansijska institucija može dati saglasnost iz tačke 23. stav 1. ove odluke samo ako je najkasnije 30 dana pre davanja te saglasnosti obavestila Narodnu banku Srbije o nameravanom potpoveravanju aktivnosti na obrascu koji je utvrđen u Prilogu 1.
Uz obaveštenje iz stava 1. ove tačke, finansijska institucija dostavlja:
1) nacrt odluke nadležnog organa upravljanja finansijskom institucijom o davanju saglasnosti iz tačke 23. stav 1. ove odluke;
2) nacrt ugovora o potpoveravanju aktivnosti u skladu s tačkom 24. ove odluke;
3) rezultate procene rizika iz tačke 23. stav 2. ove odluke;
4) rezultate revidirane procene iz tačke 15. stav 2. ove odluke;
5) revidiranu izlaznu strategiju iz tačke 17. ove odluke;
6) dokaz o tome da propisi države, odnosno država u kojima potpružalac usluga posluje omogućavaju Narodnoj banci Srbije nesmetano vršenje neposredne kontrole poslovanja u delu koji se odnosi na obavljanje poverenih aktivnosti ili je u vezi s njima - ako potpružalac usluga ima sedište izvan Republike Srbije ili je ugovoreno da poverene aktivnosti obavlja izvan Republike Srbije.
Rok iz stava 1. ove tačke računa se od dana dostavljanja uredne dokumentacije iz ove tačke.
Poveravanje aktivnosti korišćenjem klaud usluga
26. Poveravanje aktivnosti korišćenjem klaud usluga vrši se u skladu sa odredbama ove odluke.
27. U slučaju poveravanja aktivnosti iz tačke 26. ove odluke, finansijska institucija dužna je da dodatno utvrdi:
1) jasne uloge i odgovornost za informacionu bezbednost pružaoca klaud usluga prema finansijskoj instituciji;
2) odgovornosti za održavanje hardverskih i softverskih komponenti prema zahtevima proizvođača, testiranja i primene bezbednosnih zakrpa (eng. "patch");
3) način upravljanja incidentima tako da se utvrde postupci i uloge za rešavanje incidenta, kao i način izveštavanja o nastalom incidentu i njegovim posledicama po finansijsku instituciju;
4) bezbedan mehanizam autentifikacije, odnosno kontrolu pristupa podacima i servisima korišćenjem višestruke autentifikacije;
5) postupke kojima se obezbeđuje adekvatna enkripcija podataka u prenosu, pri skladištenju i pril izradi rezervnih kopija podataka.
28. Finansijska institucija koja namerava da poveri aktivnosti korišćenjem klaud usluga dužna je da prilikom procene rizika tog poveravanja dodatno uzme u obzir sledeće:
1) model implementacije klaud usluga (javni, privatni, zajednički, hibridni i dr.);
2) tip klaud usluga (infrastruktura kao usluga - IaaS, platforma kao usluga - PaaS i softver kao usluga - SaaS i dr.);
3) uticaj migracije podatka i implementacije resursa u izabrani tip klaud usluga;
4) kapacitete mreže za jednostavan i bezbedan prenos podataka (prenosivost podataka);
5) zaštitu podataka pri prenosu i čuvanju u klaudu.
29. Kod poveravanja aktivnosti korišćenjem klaud usluga finansijska institucija je dužna da, u skladu s tačkom 17. ove odluke, izradi adekvatnu izlaznu strategiju u slučaju prestanka pružanja tih usluga, koja dodatno uključuje postupke kojima se uređuju ukidanje i ponovno uspostavljanje klaud usluga ili njihovo prenošenje na drugog pružaoca usluga ili na tu finansijsku instituciju, kao i detaljne planove za migraciju podataka i/ili resursa informacionih sistema u zavisnosti od tipa klaud usluga.
30. Finansijska institucija je dužna da obezbedi da svaki ugovor kojim se poveravaju aktivnosti korišćenjem klaud usluga, pored odredaba iz tačke 18. ove odluke, sadrži i odredbe kojima se uređuju vlasništvo nad podacima, način pristupa podacima i servisima, kao i preuzimanje podataka finansijske institucije u čitljivom obliku nakon prestanka pružanja te usluge i njihovo adekvatno brisanje kod pružaoca usluga.
Nadzor nad poverenim aktivnostima
31. Finansijska institucija je dužna da obezbedi da pružalac usluga njoj, spoljnom revizoru i Narodnoj banci Srbije omogući blagovremen i neograničen pristup dokumentaciji i podacima u vezi s poverenim aktivnostima.
Finansijska institucija je dužna da Narodnoj banci Srbije omogući i nesmetano vršenje neposredne kontrole obavljanja poverenih aktivnosti u prostorijama pružaoca ili potpružaoca usluga, odnosno na lokaciji na kojoj se poverene aktivnosti obavljaju.
Ako u postupku kontrole, odnosno nadzora utvrdi da finansijska institucija, zbog propusta u radu pružaoca usluga ili potpružaoca usluga, ne postupa u skladu sa ovom odlukom i drugim propisima - Narodna banka Srbije može finansijskoj instituciji naložiti da raskine ugovor o poveravanju aktivnosti zaključen s pružaocem usluga.
32. Finansijska institucija odgovara u celini za aktivnosti koje je poverila pružaocima usluga.
33. Finansijska institucija je dužna da preduzme odgovarajuće mere, uključujući i raskid ugovora, ako pružalac usluga ili potpružalac usluga ne postupa u skladu sa ugovorom, propisima ili profesionalnim standardima ili ako su utvrđeni značajni propusti u vezi sa očuvanjem poverljivosti, integriteta, raspoloživosti, autentičnosti, dokazivosti, neporecivosti i pouzdanosti u informacionom sistemu.
34. Finansijska institucija je dužna da redovno vrši nadzor nad pruženim uslugama, odnosno da najmanje jednom godišnje izvrši:
1) detaljnu analizu svakog pružaoca usluga koja se odnosi na njegovu sposobnost pružanja usluga, mogućnost njegovog informacionog sistema da podrži poverene aktivnosti, broj zaposlenih kod pružaoca usluga opredeljenih za obavljanje poverene aktivnosti, finansijsko stanje, poslovnu reputaciju i dr.;
2) procenu rizika informacionog sistema u odnosu na poverene aktivnosti;
3) procenu da li prekidi u pružanju usluge ili neodgovarajući nivo pružene usluge mogu imati negativan uticaj na kontinuitet poslovanja finansijske institucije i usluge koje ona pruža, odnosno da li aktivnost koju poverava utiče na kritičan/ključni poslovni proces;
4) analizu uspešnosti prethodne saradnje sa određenim pružaocem usluga i mogućnost njegove zamene.
Evidencija poverenih aktivnosti
35. Finansijska institucija je dužna da vodi ažurnu evidenciju o poverenim aktivnostima u vezi sa informacionim sistemom koja sadrži:
1) broj ugovora o poveravanju aktivnosti;
2) datume zaključenja, eventualne izmene i prestanka važenja ugovora;
3) podatke o pružaocu usluga - poslovno ime, sedište pružaoca usluga, matični broj i druge relevantne podatke;
4) informaciju o tome da li je pružalac usluga povezan s finansijskom institucijom imovinskim i/ili upravljačkim odnosima;
5) klasifikaciju poverene aktivnosti koja treba da olakša njenu identifikaciju (npr. održavanje hardverske opreme, implementacija softverskih komponenti, penetraciono testiranje, održavanje glavne poslovne aplikacije i dr.);
6) kratak opis aktivnosti koja se poverava;
7) opis podataka kojima pružalac usluga ima pristup ili se kod njega nalaze, odnosno informaciju o tome da li je došlo do prenosa podataka na drugog pružaoca usluga;
8) informaciju o tome da li je poverena aktivnost kritična/ključna ili utiče na kritične/ključne poslovne procese;
9) naziv države ili država u kojima se obavlja poverena aktivnost i države ili država u kojima se nalaze podaci;
10) informaciju o modelu i tipu klaud usluge;
11) datum poslednje procene nivoa pružene usluge i procene rizika informacionog sistema u vezi s poverenim aktivnostima;
12) informacije o potpoverenim uslugama (kratak opis usluge, osnovne podatke o potpružaocu usluga i dr.).
Banka je dužna da izvod iz evidencije koji sadrži pregled svih poverenih aktivnosti dostavlja Narodnoj banci Srbije u skladu sa odlukom kojom se uređuje poveravanje aktivnosti banke trećem licu.
36. Finansijska institucija je dužna da svoje unutrašnje akte uskladi sa odredbama ove odluke u roku od šest meseci od dana njenog stupanja na snagu.
37. Finansijska institucija je dužna da postojeće ugovore o poveravanju aktivnosti koji su zaključeni u skladu sa Odlukom o minimalnim standardima upravljanja informacionim sistemom finansijske institucije ("Službeni glasnik RS", br. 23/13, 113/13, 2/17, 88/19 i 37/21) uskladi sa odredbama ove odluke pri prvoj izmeni ugovora, a najkasnije 31. decembra 2024. godine.
38. Danom početka primene ove odluke prestaju da važe tač. 40. do 48a. Odluke o minimalnim standardima upravljanja informacionim sistemom finansijske institucije ("Službeni glasnik RS", br. 23/13, 113/13, 2/17, 88/19 i 37/21).
39. Ova odluka stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije", a primenjuje se od 1. marta 2024. godine.
|
|
|
Matični broj |
|
Poslovno ime finansijske institucije |
OBAVEŠTENJE
O POVERAVANJU/POTPOVERAVANJU AKTIVNOSTI U VEZI SA
INFORMACIONIM SISTEMOM
AKTIVNOST KOJA SE POVERAVA/POTPOVERAVA
Kratak opis aktivnosti |
|
||
Kritični/ključni poslovni proces |
|
||
Aktivnost uključuje klaud usluge |
|
||
Tip klaud usluga |
|
||
Model implementacije klaud usluga |
|
||
Rok na koji se aktivnost poverava |
|
||
Država/e u kojoj/kojima se obavlja poverena/potpoverena aktivnost |
|
||
Država/e u kojoj/kojima se nalaze podaci |
|
OSNOVNI PODACI O PRUŽAOCU USLUGE
Matični broj |
|
Poslovno ime |
|
Sedište (država) |
|
Grad |
|
Adresa |
|
Internet adresa |
|
Za strano pravno lice identifikacioni broj ili broj iz odgovarajućeg registra |
|
OSNOVNI PODACI O POTPRUŽAOCU USLUGE
Matični broj |
|
Poslovno ime |
|
Sedište (država) |
|
Grad |
|
Adresa |
|
Internet adresa |
|
Za strano pravno lice identifikacioni broj ili broj iz odgovarajućeg registra |
|
Spisak dostavljene dokumentacije uz obaveštenje o poveravanju/potpoveravanju aktivnosti:
Kontakt osoba za pružanje informacija o dostavljenom obaveštenju i poverenim aktivnostima |
|
Ime i prezime |
|
Broj telefona |
|
Datum |
|
Ovlašćeno lice |