4.1. Операторы услуг информационного обмена должны обеспечивать защиту информации при оказании операторам по переводу денежных средств услуг информационного обмена на основании договоров в отношении следующих операций:
осуществление переводов денежных средств с использованием электронных средств платежа на основании электронных сообщений клиентов операторов по переводу денежных средств;
осуществление переводов денежных средств с использованием электронных средств платежа на основании электронных сообщений иностранных поставщиков платежных услуг.
4.2. К защищаемой информации при осуществлении операторами услуг информационного обмена операций, указанных в пункте 4.1 настоящего Положения, относится информация в соответствии с графой "Защищаемая информация" строк 4 и 5 приложения 2 к настоящему Положению.
4.3. Операторы услуг информационного обмена должны обеспечить реализацию стандартного уровня защиты информации для объектов информационной инфраструктуры в соответствии с ГОСТ Р 57580.1-2017.
По решению операторов услуг информационного обмена уровень защиты информации для объектов информационной инфраструктуры в соответствии с ГОСТ Р 57580.1-2017 может быть повышен на основе анализа рисков.
4.4. Операторы услуг информационного обмена должны обеспечить проведение оценки соответствия защиты информации не реже одного раза в два года.
4.5. Операторы услуг информационного обмена должны обеспечить уровень соответствия не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018.
4.6. В случае принятия решения о проведении сертификации прикладного программного обеспечения автоматизированных систем и приложений операторы услуг информационного обмена должны обеспечить сертификацию не ниже 5 уровня доверия в соответствии с приказом ФСТЭК России N 131.
4.7. Операторы услуг информационного обмена должны обеспечить при осуществлении операций, указанных в пункте 4.1 настоящего Положения, реализацию технологических мер по обеспечению защиты информации в соответствии с приложениями 1 и 2 к настоящему Положению.