Wytyczne EBC/2021/30 (2021/1759) zmieniające wytyczne EBC/2012/27 w sprawie transeuropejskiego zautomatyzowanego błyskawicznego systemu rozrachunku brutto w czasie rzeczywistym (TARGET2)

"ZAŁĄCZNIK IVa

USŁUGA TIPS DLA SYSTEMÓW ZEWNĘTRZNYCH DOKONUJĄCYCH ROZRACHUNKU PŁATNOŚCI NATYCHMIASTOWYCH

1. Definicje

W uzupełnieniu definicji zawartych w art. 1 załącznika IIb użyte w niniejszym załączniku terminy oznaczają:

1) »bank centralny systemu zewnętrznego« (ancillary system central bank, ASCB) - BC Eurosystemu, z którym dany system zewnętrzny dokonujący rozrachunku płatności natychmiastowych we własnych księgach zawarł porozumienie dwustronne w sprawie rozrachunku płatności natychmiastowych systemu zewnętrznego;

2) »wolumen bazowy brutto« (underlying gross volume) - liczbę płatności natychmiastowych poddanych rozrachunkowi we własnych księgach systemu zewnętrznego i zrealizowanych ze środków utrzymywanych na rachunku technicznym TIPS AS. Nie obejmuje on płatności natychmiastowych na rachunki techniczne TIPS DCA lub inne rachunki techniczne TIPS AS ani dokonywanych z takich rachunków;

3) »podmiot przekazujący« (instructing party) - podmiot, który został wskazany jako taki przez system zewnętrzny i który ma prawo wysyłać zlecenia płatnicze na platformę TIPS lub otrzymywać zlecenia płatnicze z platformy TIPS w imieniu tego systemu zewnętrznego lub podmiotu osiągalnego tego systemu zewnętrznego.

2. Wprowadzenie zleceń płatniczych do sytemu i ich nieodwołalność

Stosowanie postanowień art. 20 załącznika IIb w odniesieniu do chwili wprowadzenia do odpowiedniego systemu będącego komponentem systemu TARGET2 zleceń płatniczych dotyczących płatności natychmiastowych, pozytywnych odpowiedzi na żądanie zwrotu płatności, zleceń przekazania płynności z TIPS DCA na rachunek techniczny TIPS AS oraz zleceń przekazania płynności z rachunku technicznego TIPS AS do TIPS DCA nie uchybia regulaminom systemów zewnętrznych przewidującym jako chwilę wprowadzenia poleceń przelewu do systemu lub chwilę ich nieodwołalności moment wcześniejszy niż chwila wprowadzenia odpowiedniego zlecenia płatniczego do odpowiedniego systemu będącego komponentem systemu TARGET2.

3. Rachunki wspierające rozrachunek płatności natychmiastowych we własnych księgach systemów zewnętrznych

1) W celu wspierania rozrachunku płatności natychmiastowych związanych z systemami zewnętrznymi w TIPS, otwiera się jeden rachunek techniczny TIPS AS.

2) Rachunek techniczny TIPS AS jest identyfikowalny za pomocą niepowtarzalnego numeru rachunku o długości do 34 znaków i ma strukturę określoną w tabeli:

3) Saldo rachunków technicznych TIPS AS może w czasie dnia wynosić zero lub być dodatnie oraz może być dodatnie do następnego dnia. Saldo pozostające na rachunku do kolejnego dnia podlega zasadom w zakresie oprocentowania mającym zastosowanie do środków gwarancyjnych zgodnie z art. 11 niniejszych wytycznych.

4. Procedura rozrachunkowa

1) System zewnętrzny korzysta z rachunku technicznego TIPS AS do gromadzenia niezbędnej płynności przez jego członków rozliczających na potrzeby zasilenia ich pozycji.

2) Na żądanie system zewnętrzny otrzymuje informację o uznaniu i obciążeniu jego rachunku technicznego TIPS AS.

3) System zewnętrzny może wysyłać zlecenia płatnicze dotyczące płatności natychmiastowych i pozytywne odpowiedzi na żądanie zwrotu płatności do każdego posiadacza rachunku TIPS DCA lub systemu zewnętrznego TIPS. System zewnętrzny odbiera i przetwarza zlecenia płatnicze dotyczące płatności natychmiastowych, żądania zwrotu płatności i pozytywne odpowiedzi na żądanie zwrotu płatności od każdego posiadacza rachunku TIPS DCA lub systemu zewnętrznego TIPS.

5. Interfejs użytkownika

1) Posiadacz rachunku technicznego TIPS AS ma dostęp do platformy TIPS w trybie A2A i może również połączyć się w trybie U2A bezpośrednio lub za pośrednictwem jednego lub większej liczby podmiotów przekazujących.

2) Dostęp do platformy TIPS umożliwia posiadaczom rachunków technicznych TIPS AS:

a) dostęp do informacji dotyczących ich rachunków oraz zarządzanie limitem wykorzystania salda;

b) inicjowanie zleceń przekazania płynności z rachunku technicznego TIPS AS do TIPS DCA; oraz

c) zarządzanie określonymi danymi statycznymi.

6. Taryfa opłat i fakturowanie

1) System zewnętrzny w TIPS podlega łącznie:

a) opłacie za transakcje, obliczonej na tej samej podstawie, co zestawienie opłat dla posiadaczy rachunków TIPS DCA zawarte w dodatku IV do załącznika IIb;

b) opłacie opartej na wolumenie bazowym brutto płatności natychmiastowych poddawanych rozrachunkowi na własnej platformie systemu zewnętrznego i realizowanych z zasilonych wcześniej pozycji na rachunku technicznym TIPS AS. Opłata wynosi 0,0005 EUR za płatność natychmiastową.

2) Wolumen bazowy brutto płatności natychmiastowych systemu zewnętrznego jest obliczany przez bank centralny systemu zewnętrznego każdego miesiąca na podstawie wolumenu bazowego brutto w poprzednim miesiącu, zaokrąglonego w dół do nabliższych dziesięciu tysięcy i zgłoszonego przez system zewnętrzny najpóźniej do trzeciego dnia operacyjnego następnego miesiąca. Obliczony wolumen brutto stosuje się do obliczenia opłaty w następnym miesiącu.

3) Systemy zewnętrzne otrzymują od swoich banków centralnych systemów zewnętrznych faktury za poprzedni miesiąc obliczone na podstawie opłat określonych w ppkt 1 niniejszego punktu nie później niż dziewiątego dnia operacyjnego kolejnego miesiąca. Płatności realizowane są nie później niż czternastego dnia operacyjnego miesiąca, w którym wystawiona została faktura, na rachunek wskazany przez bank centralny systemu zewnętrznego, albo kwotami takich opłat obciąża się rachunek wskazany przez system zewnętrzny.

4) Do celów taryf opłat i fakturowania na podstawie niniejszego załącznika:

a) system zewnętrzny, który został wskazany jako system na mocy dyrektywy 98/26/WE, traktuje się jako oddzielny system zewnętrzny, niezależnie od tego, czy jest on prowadzony przez podmiot prawny, który jest operatorem innego systemu zewnętrznego;

b) system zewnętrzny, który nie został wskazany jako system na mocy dyrektywy 98/26/WE, traktuje się jako oddzielny system zewnętrzny, jeżeli spełnia on następujące kryteria:

(i) jest to formalne porozumienie w formie umowy lub aktu prawnego;

(ii) posiada więcej niż jednego [członka] [uczestnika] [z wyłączeniem operatora tego systemu];

(iii) jest on ustanowiony dla celów działalności polegającej na rozliczaniu, nettingu lub rozrachunku płatności lub transakcji papierami wartościowymi między uczestnikami; oraz

(iv) stosuje on wspólne zasady i standardowe umowy w odniesieniu do rozliczania, nettingu i rozrachunku płatności i papierów wartościowych między uczestnikami.

5) Opłaty do celów fakturowania na podstawie niniejszego artykułu za okres od dnia 1 grudnia 2021 r. do dnia 28 lutego 2022 r., są równe średniej całkowitej kwoty opłat uwzględnionych w fakturach za wrzesień, październik i listopad 2021 r.".

"Dodatek VIII

Wymogi dotyczące zarządzania bezpieczeństwem informacji i zarządzania ciągłością działania

Zarządzanie bezpieczeństwem informacji

Niniejsze wymogi mają zastosowanie do każdego uczestnika, chyba że uczestnik wykaże, że dany wymóg nie ma do niego zastosowania. Określając zakres stosowania niniejszych wymogów w ramach swojej infrastruktury, uczestnik powinien zidentyfikować elementy wchodzące w skład łańcucha transakcji płatniczych (Payment Transaction Chain, PTC). W szczególności łańcuch transakcji płatniczych rozpoczyna się w punkcie wejścia (Point of Entry, PoE), tj. w systemie odpowiedzialnym za tworzenie transakcji (np. stacje robocze, aplikacje związane z obsługą klienta, aplikacje związane z zapleczem administracyjnym, oprogramowanie pośredniczące), a kończy się w systemie odpowiedzialnym za wysyłanie wiadomości do SWIFT (np. SWIFT VPN Box) lub do internetu (w przypadku dostępu za pośrednictwem internetu).

Wymóg 1.1: Polityka bezpieczeństwa informacji

Kadra kierownicza określa jasny kierunek polityki zgodny z celami biznesowymi oraz wykazuje wsparcie i zaangażowanie na rzecz bezpieczeństwa informacji poprzez stanowienie, zatwierdzenie i utrzymywanie polityki bezpieczeństwa informacji mającej na celu zarządzanie bezpieczeństwem informacji i odpornością cybernetyczną w całej organizacji w zakresie identyfikacji, oceny i ograniczania zagrożeń dla bezpieczeństwa informacji i cyberodporności. Polityka ta powinna obejmować co najmniej następujące sekcje: cele, zakres (w tym takie obszary jak organizacja, kadry, zarządzanie aktywami itp.) oraz zasady i podział obowiązków.

Wymóg 1.2: Organizacja wewnętrzna

W celu wdrożenia polityki bezpieczeństwa informacji w ramach organizacji należy ustanowić zasady dotyczące bezpieczeństwa informacji. Kadra kierownicza koordynuje proces ustanawiania zasad dotyczących bezpieczeństwa informacji oraz dokonuje przeglądu tego procesu w celu zapewnienia wdrożenia polityki bezpieczeństwa informacji w całej organizacji (zgodnie z wymogiem 1.1), w tym przeznaczenia na ten cel wystarczających zasobów i rozdzielenia w tym celu obowiązków w zakresie bezpieczeństwa.

Wymóg 1.3: Podmioty zewnętrzne

Bezpieczeństwo informacji i infrastruktury przetwarzania informacji w organizacji nie powinno być ograniczone przez wprowadzanie podmiotu zewnętrznego/podmiotów zewnętrznych lub dostarczanych przez nie produktów lub usług, ani też przez poleganie na takich podmiotach, produktach lub usługach. Dostęp podmiotów zewnętrznych do infrastruktury przetwarzania informacji w organizacji musi podlegać kontroli. W przypadku gdy podmioty zewnętrzne albo produkty lub usługi osób trzecich wymagają dostępu do infrastruktury przetwarzania informacji w organizacji, przeprowadza się ocenę ryzyka w celu określenia skutków dla bezpieczeństwa i wymogów w zakresie kontroli. Kontrole uzgadnia się i określa w umowie z każdym odpowiednim podmiotem zewnętrznym.

Wymóg 1.4: Zarządzanie aktywami

Wszystkie aktywa informacyjne, procesy biznesowe i bazowe systemy informacyjne, takie jak systemy operacyjne, infrastruktura, aplikacje biznesowe, gotowe produkty, usługi i aplikacje opracowane przez użytkownika, wchodzące w zakres łańcucha transakcji płatniczych, muszą być ewidencjonowane i mieć wyznaczonego właściciela. Wyznacza się podmioty odpowiedzialne za utrzymanie i funkcjonowanie odpowiednich kontroli procesów biznesowych i powiązanych komponentów informatycznych w celu zabezpieczenia zasobów informacyjnych. Uwaga: właściciel może w stosownych przypadkach zalecać prowadzenie konkretnych kontroli, ale pozostaje odpowiedzialny za właściwą ochronę aktywów.

Wymóg 1.5: Klasyfikacja aktywów informacyjnych

Aktywa informacyjne klasyfikuje się pod względem ich znaczenia dla sprawnego świadczenia usługi przez uczestnika. Klasyfikacja wskazuje potrzebę, priorytety oraz stopień ochrony wymagane przy posługiwaniu się aktywami informacyjnymi w odpowiednich procesach biznesowych, a także uwzględnia bazowe komponenty informatyczne. Schemat klasyfikacji aktywów informacyjnych zatwierdzony przez kadrę kierowniczą stosuje się w celu określenia odpowiedniego zestawu ochronnych środków kontroli przez cały cykl istnienia aktywów informacyjnych (w tym w odniesieniu do usuwania i niszczenia aktywów informacyjnych) oraz w celu informowania o potrzebie przyjęcia konkretnych sposobów postępowania.

Wymóg 1.6: Bezpieczeństwo kadrowe

Obowiązki w zakresie bezpieczeństwa określa się przed zatrudnieniem w odpowiednim opisie stanowiska pracy oraz w warunkach zatrudnienia. Wszyscy kandydaci na pracowników, wykonawcy i użytkownicy będący osobami trzecimi podlegają odpowiedniemu sprawdzeniu, zwłaszcza w przypadku stanowisk pracy o newralgicznym charakterze. Pracownicy, wykonawcy i osoby trzecie korzystające z infrastruktury przetwarzania informacji podpisują umowę dotyczącą ich roli i obowiązków w zakresie bezpieczeństwa. Zapewnia się, aby wszyscy pracownicy, wykonawcy i użytkownicy będący osobami trzecimi mieli odpowiedni poziom świadomości, a także zapewnia się im kształcenie i szkolenia w zakresie procedur bezpieczeństwa oraz właściwego korzystania z infrastruktury przetwarzania informacji w celu zminimalizowania ewentualnych zagrożeń dla bezpieczeństwa. W odniesieniu do pracowników ustanawia się formalną procedurę dyscyplinarną dotyczącą postępowania w przypadku naruszenia zasad bezpieczeństwa. Należy wprowadzić wymogi gwarantujące zarządzanie procesem odejścia z organizacji lub przeniesienia w ramach organizacji pracownika, wykonawcy lub użytkownika będącego osobą trzecią, a także zapewniające kompletny zwrot całego sprzętu i odebranie wszystkich praw dostępu.

Wymóg 1.7: Bezpieczeństwo fizyczne i środowiskowe

Infrastruktura służąca przetwarzaniu informacji krytycznych lub wrażliwych musi być zlokalizowana w strefach bezpiecznych, chronionych środkami bezpieczeństwa o określonych parametrach, z odpowiednimi zabezpieczeniami i kontrolą dostępu. Infrastruktura taka musi być fizycznie zabezpieczona przed nieuprawnionym dostępem, uszkodzeniem i nieuprawnioną ingerencją. Dostęp do niej może być przyznawany wyłącznie osobom objętych zakresem wymogu 1.6. Należy ustanowić procedury i normy w celu ochrony fizycznych nośników zawierających zasoby informacyjne w trakcie ich przenoszenia.

Sprzęt musi być chroniony przed zagrożeniami fizycznymi i środowiskowymi. Ochrona sprzętu (w tym sprzętu używanego poza obiektem) oraz ochrona przed usunięciem mienia jest konieczna w celu zmniejszenia ryzyka nieuprawnionego dostępu do informacji oraz zabezpieczenia informacji lub sprzętu przed utratą lub uszkodzeniem. Szczególne środki mogą być wymagane w celu ochrony przed zagrożeniami fizycznymi oraz zabezpieczenia urządzeń pomocniczych, takich jak infrastruktura zasilania elektrycznego i okablowanie.

Wymóg 1.8: Zarządzanie operacyjne

Ustanawia się obowiązki i procedury dotyczące zarządzania infrastrukturą przetwarzania informacji i korzystania z niej obejmujące wszystkie systemy bazowe w każdym ogniwie łańcucha transakcji płatniczych.

W odniesieniu do procedur operacyjnych, w tym technicznego zarządzania systemami informatycznymi, w stosownych przypadkach wprowadza się podział obowiązków w celu zmniejszenia ryzyka niewłaściwego wykorzystania systemu w wyniku niedbalstwa lub działania umyślnego. W przypadku gdy podział obowiązków nie może zostać wprowadzony z powodu udokumentowanych obiektywnych przyczyn, po przeprowadzeniu formalnej analizy ryzyka przeprowadza się dodatkowe kontrole. Należy wprowadzić kontrole w celu zapobiegania wprowadzaniu oraz wykrywania złośliwych kodów dla systemów w ramach łańcucha transakcji płatniczych. Należy również wprowadzić kontrole (w tym uświadamiać użytkowników) mające na celu zapobieganie złośliwym kodom, ich wykrywanie i usuwanie. Stosowane mogą być wyłącznie kody przenośne pochodzące z zaufanych źródeł (np. podpisane komponenty Microsoft COM i aplety Java). Konfiguracja przeglądarki (np. stosowanie rozszerzeń i wtyczek) podlega ścisłej kontroli.

Kadra kierownicza wdraża politykę tworzenia kopii zapasowych i odzyskiwania danych; polityka odzyskiwania danych obejmuje plan procesu przywracania danych, który podlega testowaniu w regularnych odstępach czasu, co najmniej raz w roku.

Monitoruje się systemy, które mają kluczowe znaczenie dla bezpieczeństwa płatności, a zdarzenia istotne dla bezpieczeństwa informacji są rejestrowane. W celu zapewnienia identyfikacji problemów z systemem informatycznym wykorzystuje się rejestry operatora. Rejestry operatora są poddawane regularnym przeglądom na zasadzie próby, w oparciu o znaczenie operacji. Monitorowanie systemu stosuje się w celu sprawdzania skuteczności kontroli, które zostały zidentyfikowane jako kluczowe dla bezpieczeństwa płatności, oraz w celu weryfikacji zgodności z modelem polityki dostępu.

Wymiana informacji między organizacjami opiera się na formalnej polityce wymiany informacji, odbywa się zgodnie z porozumieniami o wymianie informacji między zaangażowanymi stronami i musi być zgodna z mającymi zastosowanie przepisami prawa. Komponenty oprogramowania osób trzecich wykorzystywane do wymiany informacji z systemem TARGET2 (takie jak oprogramowanie otrzymane z biura serwisowego (Service Bureau) w scenariuszu 2 sekcji określającej zakres dokumentu zawierającego ustalenia w sprawie samocertyfikacji dotyczącej systemu TARGET2) mogą być wykorzystywane tylko na podstawie formalnej umowy z osobą trzecią.

Wymóg 1.9: Kontrola dostępu

Dostęp do aktywów informacyjnych musi być uzasadniony potrzebami biznesowymi (na zasadzie wiedzy koniecznej 3 ) oraz być zgodny z ustanowionymi ramami polityki korporacyjnej (w tym polityką bezpieczeństwa informacji). Określa się jasne zasady kontroli dostępu w oparciu o zasadę najmniejszego uprzywilejowania 4 , w celu dokładnego odzwierciedlenia potrzeb wynikających z odpowiednich procesów biznesowych i informatycznych. W stosownych przypadkach (np. w przypadku zarządzania kopiami zapasowymi) logiczna kontrola dostępu powinna być spójna z fizyczną kontrolą dostępu, chyba że stosowane są odpowiednie kontrole dodatkowe (np. szyfrowanie, anonimizacja danych osobowych).

Należy wprowadzić formalne i udokumentowane procedury kontroli przyznawania praw dostępu do systemów i usług informatycznych, które wchodzą w zakres łańcucha transakcji płatniczych. Procedury te muszą obejmować wszystkie etapy przyznawania dostępu, od pierwszej rejestracji nowych użytkowników po końcowe wyrejestrowanie użytkowników, którym dostęp nie jest już potrzebny.

W szczególny sposób należy traktować przypadki, w których udzielane są prawa dostępu o znaczeniu na tyle krytycznym, że ich nadużycie może mieć poważny niekorzystny wpływ na działalność uczestnika (np. prawa dostępu umożliwiające administrowanie systemem, obchodzenie kontroli systemu lub bezpośredni dostęp do danych biznesowych).

Należy wprowadzić odpowiednie kontrole w celu identyfikacji, uwierzytelniania i upoważniania użytkowników w określonych punktach w ramach sieci danej organizacji, np. w odniesieniu do stacjonarnego i zdalnego dostępu do systemów w ramach łańcucha transakcji płatniczych. W celu zapewnienia możliwości pociągania do odpowiedzialności niedozwolone jest udostępnianie innym kont osobistych.

W odniesieniu do haseł ustanawia się i wdraża szczególne kontrole mające na celu zapewnienie, aby hasła nie mogły być łatwo odgadnięte, np. zasady dotyczące ich złożoności i ograniczonego okresu, przez który pozostają one ważne. Należy wprowadzić protokół bezpiecznego odzyskiwania lub resetowania hasła.

Należy opracować i wdrożyć politykę stosowania kontroli kryptograficznych w celu ochrony poufności, autentyczności i integralności informacji. Należy ustanowić politykę zarządzania kluczami w celu umożliwienia stosowania kontroli kryptograficznych.

Należy stosować zasady wyświetlania informacji poufnych na ekranie lub w druku (np. politykę "czystego ekranu" i "czys- czystego biurka") w celu ograniczenia ryzyka nieuprawnionego dostępu do nich.

Należy uwzględniać ryzyko pracy w środowisku niezabezpieczonym w ramach pracy zdalnej i stosować odpowiednie kontrole techniczne i organizacyjne.

Wymóg 1.10: Zakup, rozwój i utrzymanie systemów informatycznych

Przed opracowaniem lub wdrożeniem systemów informatycznych należy określić i uzgodnić wymogi bezpieczeństwa.

W aplikacje, w tym aplikacje opracowane przez użytkowników, muszą być wbudowane odpowiednie narzędzia kontroli w celu zapewnienia prawidłowego ich stosowania. Kontrole te muszą obejmować walidację danych wejściowych, przetwarzania wewnętrznego i danych wyjściowych. Dodatkowe kontrole mogą być wymagane w przypadku systemów przetwarzających lub mających wpływ na informacje wrażliwe, informacje o dużej wartości lub informacje krytyczne. Kontrole takie określa się na podstawie wymogów bezpieczeństwa i oceny ryzyka zgodnie z ustalonymi politykami (np. polityką bezpieczeństwa informacji, polityką kontroli kryptograficznych).

Przed akceptacją i użyciem nowych systemów należy ustanowić, udokumentować i przetestować wymogi operacyjne dla tych systemów. Należy wprowadzić odpowiednie kontrole w odniesieniu do bezpieczeństwa sieciowego, w tym segmentację i bezpieczne zarządzanie, w oparciu o stopień krytyczności przepływu danych i poziom ryzyka poszczególnych stref sieci w organizacji. Należy prowadzić specjalne kontrole w celu ochrony informacji szczególnie wrażliwych przekazywanych za pośrednictwem sieci publicznych.

Dostęp do plików systemowych i kodu źródłowego programu musi być kontrolowany, a projekty informatyczne i czynności wspierające należy prowadzić w bezpieczny sposób. Należy zachować ostrożność, aby uniknąć narażenia danych wrażliwych w środowiskach testowych. Środowisko projektowe i wspierające podlegają ścisłej kontroli. Wprowadzanie zmian w produkcji podlega ścisłej kontroli. Przeprowadza się ocenę ryzyka głównych zmian, które mają zostać wprowadzone w produkcji.

Regularne badania bezpieczeństwa systemów będących w produkcji przeprowadza się również zgodnie z wcześniej określonym planem opartym na wynikach oceny ryzyka, a testy bezpieczeństwa obejmują co najmniej oceny podatności na zagrożenia. Wszystkie kwestie problematyczne uwidocznione podczas testów bezpieczeństwa należy poddać ocenie oraz należy przygotować i regularnie monitorować plany działania mające na celu usunięcie wszelkich zidentyfikowanych luk.

Wymóg 1.11: Bezpieczeństwo informacji w relacjach z dostawcami 5

Aby zapewnić ochronę wewnętrznych systemów informatycznych uczestnika dostępnych dla dostawców, wymogi w zakresie bezpieczeństwa informacji służące ograniczeniu ryzyka związanego z dostępem udzielonym dostawcom muszą być udokumentowane i formalnie uzgadniane z dostawcami.

Wymóg 1.12: Zarządzanie zdarzeniami związanymi z naruszeniem bezpieczeństwa informacji i usprawnienia w tym zakresie

W celu zapewnienia spójnego i skutecznego podejścia do zarządzania zdarzeniami związanymi z naruszeniem bezpieczeństwa informacji, w tym komunikacji na temat zdarzeń i słabych punktów związanych z bezpieczeństwem, należy ustanowić i testować stanowiska, zadania i procedury, na poziomie biznesowym i technicznym, zapewniające szybką, skuteczną, uporządkowaną i bezpieczną reakcję na zdarzenia związane z naruszeniem bezpieczeństwa informacji, w tym zdarzenia, których przyczyny związane są z cyberprzestrzenią (np. oszustwa popełniane przez podmioty zewnętrzne lub działające w ramach organizacji). Personel zaangażowany w te procedury musi być odpowiednio przeszkolony.

Wymóg 1.13: Przegląd zgodności z wymogami technicznymi

Wewnętrzne systemy informatyczne uczestnika (np. systemy zaplecza administracyjnego, sieci wewnętrzne i zewnętrzne połączenia sieciowe) podlegają regularnej ocenie pod kątem zgodności z polityką ustanowioną przez organizację (np. polityką bezpieczeństwa informacji, polityką kontroli kryptograficznej).

Wymóg 1.14: Wirtualizacja

Maszyny wirtualne w roli gościa (guest virtual machines) muszą spełniać wszystkie kontrole bezpieczeństwa ustanowione dla sprzętu i systemów fizycznych (np. utwardzanie (hardening), logowanie). Procedury kontrolne dotyczące hiperwizorów muszą obejmować: hardening hiperwizora i hosting systemu operacyjnego, regularne dokonywanie poprawek (patching), ścisłe rozdzielenie różnych środowisk (np. produkcji i środowiska rozwojowego). Scentralizowane zarządzanie, logowanie i monitorowanie, a także zarządzanie prawami dostępu, w szczególności w przypadku kont uprzywilejowanych, należy wprowadzać na podstawie oceny ryzyka. Maszyny wirtualne w roli gości zarządzane przez tego samego hiperwizora muszą mieć podobny profil ryzyka.

Wymóg 1.15: Przetwarzanie w chmurze

Wykorzystanie w łańcuchu transakcji płatniczych publicznych lub hybrydowych rozwiązań związanych z przetwarzaniem w chmurze musi opierać się na formalnej ocenie ryzyka, z uwzględnieniem kontroli technicznych i klauzul umownych związanych z przetwarzaniem w chmurze.

W przypadku zastosowania hybrydowych rozwiązań przewidujących przetwarzanie w chmurze, uznaje się, że poziom kry- tyczności całego systemu jest taki, jak najwyższy poziom krytyczności wśród połączonych systemów. Wszystkie składniki rozwiązań hybrydowych znajdujące się na terenie obiektu muszą być oddzielone od innych systemów znajdujących się na terenie obiektu.

Zarządzanie ciągłością działania (dotyczy tylko krytycznych uczestników)

Poniższe wymogi (2.1-2.6) odnoszą się do zarządzania ciągłością działania. Każdy uczestnik TARGET2 zaklasyfikowany przez Eurosystem jako krytyczny dla sprawnego funkcjonowania systemu TARGET2 ma obowiązek posiadać strategię ciągłości działania obejmującą następujące elementy.

Wymóg 2.1: Opracowane muszą być plany ciągłości działania i wdrożone procedury ich utrzymania.

Wymóg 2.2: Dostępne musi być zastępcze miejsce prowadzenia działalności.

Wymóg 2.3: Profil ryzyka zastępczego miejsca prowadzenia działalności musi różnić się od profilu pierwotnego obiektu, aby uniknąć sytuacji, w której oba obiekty będą dotknięte tym samym zdarzeniem w tym samym czasie. Na przykład zastępcze miejsce prowadzenia działalności musi być podłączone do innej sieci elektroenergetycznej i innego centralnego obwodu telekomunikacyjnego niż obiekt pierwotny.

Wymóg 2.4: W przypadku poważnych zakłóceń operacyjnych powodujących niedostępność głównego obiektu lub kluczowego personelu, krytyczny uczestnik musi mieć możliwość wznowienia normalnej działalności z zastępczego miejsca prowadzenia działalności, gdzie musi istnieć możliwość właściwego zamknięcia dnia operacyjnego i otwarcia następnego dnia operacyjnego (następnych dni operacyjnych).

Wymóg 2.5: Wdrożone muszą być procedury zapewniające ponowne przetwarzanie transakcji z zastępczego miejsca prowadzenia działalności w rozsądnym terminie po początkowym zakłóceniu świadczenia usług i współmiernym do stopnia istotności działań, które zostały zakłócone.

Wymóg 2.6: Zdolność do przeciwdziałania skutkom zakłóceń operacyjnych musi być testowana co najmniej raz w roku, a kluczowy personel musi być odpowiednio przeszkolony. Maksymalny okres między testami nie może przekraczać roku.".