3.1. Банковские платежные агенты (субагенты) должны обеспечивать защиту информации при участии в осуществлении переводов денежных средств в отношении следующих операций:
принятие от физического лица наличных денежных средств, в том числе с применением платежных терминалов и банкоматов;
выдача физическому лицу наличных денежных средств, в том числе с применением платежных терминалов и банкоматов.
3.2. Банковские платежные агенты, осуществляющие операции платежного агрегатора, должны обеспечивать защиту информации в процессе формирования (подготовки) электронных сообщений при обеспечении приема электронных средств платежа юридическими лицами, индивидуальными предпринимателями и иными лицами, указанными в части 13 статьи 14_1 Федерального закона N 161-ФЗ (Собрание законодательства Российской Федерации, 2011, N 27, ст.3872; 2019, N 27, ст.3538), при участии в переводе денежных средств в пользу юридических лиц, индивидуальных предпринимателей и иных лиц, указанных в части 13 статьи 14_1 Федерального закона N 161-ФЗ, по операциям с использованием электронных средств платежа.
3.3. К защищаемой информации при совершении банковскими платежными агентами (субагентами) операций, указанных в пункте 3.1 настоящего Положения, относится информация в соответствии с графой "Защищаемая информация" строк 1 и 2 приложения 2 к настоящему Положению.
3.4. К защищаемой информации при совершении банковскими платежными агентами (субагентами), осуществляющими операции платежного агрегатора, указанные в пункте 3.2 настоящего Положения, относится информация в соответствии с графой "Защищаемая информация" строки 3 приложения 2 к настоящему Положению.
3.5. Банковские платежные агенты (субагенты) должны обеспечить реализацию минимального уровня защиты информации для объектов информационной инфраструктуры в соответствии с ГОСТ Р 57580.1-2017.
По решению банковских платежных агентов (субагентов) уровень защиты информации для объектов информационной инфраструктуры в соответствии с ГОСТ Р 57580.1-2017 может быть повышен на основе анализа рисков.
3.6. Банковские платежные агенты, осуществляющие операции платежного агрегатора, должны обеспечить проведение оценки соответствия защиты информации не реже одного раза в два года.
3.7. Банковские платежные агенты, осуществляющие операции платежного агрегатора, должны обеспечить уровень соответствия не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018.
3.8. Банковские платежные агенты (субагенты), за исключением банковских платежных агентов, осуществляющих операции платежного агрегатора, должны на основе критериев, установленных операторами по переводу денежных средств, проводить тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры, оценку соответствия защиты информации, сертификацию или оценку соответствия прикладного программного обеспечения автоматизированных систем и приложений.
3.9. Банковские платежные агенты (субагенты), осуществляющие операции платежного агрегатора, должны на основе критериев, установленных операторами по переводу денежных средств, проводить тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры, сертификацию или оценку соответствия прикладного программного обеспечения автоматизированных систем и приложений.
3.10. В случае принятия решения о необходимости проведения сертификации прикладного программного обеспечения автоматизированных систем и приложений банковские платежные агенты (субагенты) должны обеспечить сертификацию не ниже 6 уровня доверия в соответствии с приказом ФСТЭК России N 131.
3.11. По решению банковских платежных агентов (субагентов) оценка соответствия прикладного программного обеспечения автоматизированных систем и приложений проводится самостоятельно или с привлечением проверяющей организации.
3.12. Банковские платежные агенты (субагенты) должны обеспечить при осуществлении операций, указанных в пунктах 3.1 и 3.2 настоящего Положения, реализацию технологических мер по обеспечению защиты информации в соответствии с приложениями 1 и 2 к настоящему Положению.