3.1. Банковские платежные агенты (субагенты), за исключением банковских платежных агентов, осуществляющих операции платежного агрегатора, должны обеспечивать защиту информации при участии в осуществлении переводов денежных средств в отношении следующих операций:
принятие от физического лица наличных денежных средств, в том числе с применением банкоматов;
выдача физическому лицу наличных денежных средств, в том числе с применением банкоматов;
принятие от юридического лица, индивидуального предпринимателя и иных лиц, указанных в части 12 статьи 14 Федерального закона от 27 июня 2011 года N 161-ФЗ, наличных денежных средств с применением банкоматов в целях зачисления принятых наличных денежных средств на открытые им банковские счета.
3.2. Банковские платежные агенты, осуществляющие операции платежного агрегатора, должны обеспечивать защиту информации в процессе формирования (подготовки) электронных сообщений при приеме электронных средств платежа юридическими лицами, индивидуальными предпринимателями и иными лицами, указанными в части 13 статьи 14_1 Федерального закона от 27 июня 2011 года N 161-ФЗ, при участии в переводе денежных средств в пользу юридических лиц, индивидуальных предпринимателей и иных лиц, указанных в части 13 статьи 14_1 Федерального закона от 27 июня 2011 года N 161-ФЗ, по операциям с использованием электронных средств платежа.
3.3. Банковские платежные агенты (субагенты), за исключением банковских платежных агентов, осуществляющих операции платежного агрегатора, при совершении операций, указанных в пункте 3.1 настоящего Положения, в целях реализации требований к обеспечению защиты информации должны обеспечить защиту защищаемой информации, указанной в графе 3 строк 1 и 2 приложения 2 к настоящему Положению.
3.4. Банковские платежные агенты, осуществляющие операции платежного агрегатора, при совершении операций, указанных в пункте 3.2 настоящего Положения, в целях реализации требований к обеспечению защиты информации должны обеспечить защиту защищаемой информации, указанной в графе 3 строки 3 приложения 2 к настоящему Положению.
3.5. Банковские платежные агенты (субагенты) должны обеспечить реализацию минимального уровня защиты информации для объектов информационной инфраструктуры, предусмотренного пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017.
По решению банковских платежных агентов (субагентов) уровень защиты информации для объектов информационной инфраструктуры, предусмотренный пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017, может быть повышен на основе анализа рисков.
3.6. Банковские платежные агенты, осуществляющие операции платежного агрегатора, должны проводить оценку соответствия защиты информации не реже одного раза в два года.
3.7. Банковские платежные агенты, осуществляющие операции платежного агрегатора, должны реализовывать уровень соответствия защиты информации не ниже четвертого, предусмотренного подпунктом "д" пункта 6.9 раздела 6 ГОСТ Р 57580.2-2018.
3.8. Банковские платежные агенты (субагенты), за исключением банковских платежных агентов, осуществляющих операции платежного агрегатора, должны на основе критериев, установленных операторами по переводу денежных средств, проводить тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры, оценку соответствия защиты информации, сертификацию или оценку соответствия прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения.
3.9. Банковские платежные агенты, осуществляющие операции платежного агрегатора, должны на основе критериев, установленных операторами по переводу денежных средств, проводить тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры, сертификацию или оценку соответствия прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения.
3.10. В случае принятия решения о необходимости проведения сертификации прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения банковские платежные агенты (субагенты) должны обеспечить сертификацию прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения не ниже 6 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 76.