Публичная оферта

1. Общие положения

Настоящие Правила осуществления деятельности платежной организации ТОО «Cron Payments (Крон Пэйментс)» (БИН 240240026564, юридический и фактический адрес: Республика Казахстан, город Алматы, Бостандыкский район, улица Абиша Кекилбайулы, здание 34, почтовый индекс 050060)  (далее – Правила) определяют единые условия и процедуры, обеспечивающие осуществление операций в системе ТОО «Cron Payments (Крон Пэйментс)», и устанавливают общие требования к порядку оказания следующих платежных услуг:

• услуги по обработке платежей, инициированных клиентом в электронной форме, и передаче необходимой информации банку, организации, осуществляющей отдельные виды банковских операций, для осуществления платежа и (или) перевода либо принятия денег по данным платежам;

1. Правила разработаны в соответствии с Законом РК «О Национальном Банке Республики Казахстан», Законом РК «О платежах и платежных системах» (далее – Закон о платежах), Правилами организации деятельности платежных организаций, утвержденными постановлением Правления Национального Банка Республики Казахстан от 31.08.2016 года № 215, и другими нормативно - правовыми актами Республики Казахстан.
2. Настоящие Правила обязательны для исполнения всеми Участниками платежной организации ТОО «Cron Payments (Крон Пэйментс)». Каждый из Участников гарантирует другим Участникам, что обладает необходимой правоспособностью (правосубъектностью), а равно всеми правами и полномочиями, необходимыми и достаточными для присоединения к настоящим Правилам и исполнения обязательств в соответствии со всеми их условиями.
3. Заключение физическими лицами договоров на обслуживание в платежной организации ТОО «Cron Payments (Крон Пэйментс)» осуществляется в соответствии с Гражданским кодексом Республики Казахстан. При этом, договор считается заключенным и приобретает силу с момента совершения физическим лицом действий, предусмотренных в Публичной оферте об оказании услуг в рамках системы ТОО «Cron Payments (Крон Пэйментс)», размещенной по адресу: https://cronpayments.kz/

 

2. Термины и определения

В Правилах используются понятия, предусмотренные с Законом Республики Казахстан от 16 июля 2016 года «О платежах и платежных системах», Законом Республики Казахстан от 7 января 2003 года «Об электронном документе и электронной цифровой подписи»,  Законом Республики Казахстан от 28 августа 2009 года «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»

3. Описание платежных услуг, оказываемых Платежной организацией

 

3.1.  Услуги по обработке платежей, инициированных клиентом в электронной форме, и передаче необходимой информации банку, организации, осуществляющей отдельные виды банковских операций, для осуществления платежа и (или) перевода либо принятия денег по данным платежам.

Платежная организация оказывает услуги по обработке платежей, инициированных клиентом в электронной форме, и передаче необходимой информации банку, организации, осуществляющей отдельные виды банковских операций, для осуществления платежа и (или) перевода либо принятия денег по данным платежам с соблюдением требований действующего законодательства Республики Казахстан.

4. Участники системы и условия их участия
1. 4.1.Оператор - участник системы, юридическое лицо, осуществляющее деятельность по обеспечению функционирования системы и выполняющее установленные Законом «О платежах и Платежных системах» обязанности, относящиеся к такой деятельности.

Оператор определяет порядок/ правила функционирования системы, порядок участия в системе других лиц, заключает договора с поставщиками услуг (получателями денег/ бенефициарами), осуществляет сбор и обработку платежей от участников системы с последующим перечислением данных платежей в пользу соответствующих получателей/ бенефициаров соответствующих платежей. Оператор самостоятельно и от своего имени заключает договора с участниками системы, определяет порядок их работы в системе.

Оператор системы:

1) устанавливает правила системы и осуществляет контроль за их соблюдением участниками системы;

2) осуществляет обработку и выдачу платежных и информационных сообщений участников (участникам) системы, индивидуальное исполнение указаний или клиринг;

3) заключает договора с участниками системы об участии в системе;

4) определяет систему управления рисками;

5) обеспечивает функционирование инфраструктуры системы;

6) обеспечивает соблюдение мер информационной безопасности и непрерывности деятельности;

7) обеспечивает равный и открытый доступ участников системы к оказываемым им услугам;

8) утверждает внутренние документы по управлению деятельностью оператора системы;

9) выполняет иные обязанности на основании договоров, заключенных с участниками системы.

 

Поставщик/ Мерчант (бенефициар платежа) – юридические лица, индивидуальные предприниматели, лица, в пользу которых осуществляются платеж и (или) перевод денег.

Клиент - физическое   лицо/ юридическое лицо (представитель), оплачивающее платежи через систему Оператора;

 

5. Взаимодействие с третьими лицами, обеспечивающими технологическое 

обеспечение платежных услуг

5.1. Технологическое обеспечение платежных услуг и других операций, осуществляется Оператором самостоятельно, без привлечения третьих лиц.

 

6. Порядок и сроки оказания платежных услуг клиентам Платежной организации

 

6.1. Порядок оказания услуги по обработке платежей, инициированных клиентом в электронной форме, и передаче необходимой информации банку, организации, осуществляющей отдельные виды банковских операций, для осуществления платежа и (или) перевода либо принятия денег по данным платежам

Услуга по обработке платежей, инициированных Клиентом в электронной форме, и передаче необходимой информации банку, организации, осуществляющей отдельные виды банковских операций, для осуществления платежа и (или) перевода либо принятия денег по данным платежам (далее - «Банк», «Платежная услуга») осуществляется следующим образом:

1) Платежная организация в рамках договора, заключенного с Банком, обеспечивает обработку платежей, инициированных с использованием банковских карт с указанием реквизитов назначения соответствующего платежа и бенефициара соответствующего платежа с последующим обеспечением передачи реквизитов по платежу для его исполнения в пользу соответствующего Банка, а Банк в свою очередь исполняет указание Клиента, переданное через Платежную организацию в электронной форме.

2) Инициация Клиентом операций/ платежей производится посредствам WEB - приложений, online - приложений, мобильных приложений (приложений для мобильных устройств), программного обеспечения терминалов самообслуживания, виджетов и прочих приложений - обеспечивающих возможность инициации клиентом в электронной форме распоряжений на списание денег с банковской карты клиента, с их зачислением в пользу Банка с целью последующего исполнения поручения/ распоряжения Клиента полученного Платежной организацией от Клиента и переданного Платежной организацией в Банк.

3) При оказании платежной услуги Платежная организация обеспечивает следующий алгоритм действий:

• Клиент посредством сети интернет/ мобильного телефона, терминала самообслуживания заходит в соответствующее приложение Платежной организации;
• Клиент знакомится с тарифом/ размером комиссии за предоставление Платежной организации соответствующей услуги;
• Клиент знакомится с условиями предоставления платежной услуги и соглашается с условиями договора - оферты размещенными в соответствующем приложении;
• Клиент в приложении инициирует платеж в пользу Поставщика услуг;
• Клиент вводит в электронное приложение реквизиты для исполнения платежа Банком;
• Для оплаты платежа клиент вводит реквизиты банковской карты, банковского счета;
• Платежная организация посредством запроса в Банк инициирует распоряжение Клиента, полученного в электронной форме;
• Банк, получив подтверждение от Платежной организации и клиента, производит списание с банковской карты сумму инициируемой клиентом операции с учетом комиссионного вознаграждения Платежной организации;
• Платежная организация получает от Банка подтверждение исполнения Операции;
• Платежная организация выдает клиенту документ, подтверждающий совершение клиентом операции и списание с клиента комиссии Платежной организации;
• Банк, на основании данных, полученных в электронной форме во время транзакции, производит перевод денег по транзакциям на транзитный счет.
• Комиссионное вознаграждение Платежной организации перечисляется на текущий счет организации.
• Перевод Банком на текущий счет Поставщика услуг по совершенным транзакциям производится Банком в национальной валюте Республики Казахстан.
• Схема движения денег и информационных потоков
• По операциям прием платежей:
• Клиент взаимодействует с ТОО «Cron Payments (Крон Пэйментс)», осуществляя выбор необходимой ему услуги из перечня услуг, предоставляемых Интернет-магазином, с учетом Способа Платежа.
• Для осуществления оплаты проводится Авторизация в зависимости от выбранного Клиентом Способа Платежа.
• Авторизация может быть Одностадийной и Двустадийной: 
• 1) Одностадийная Авторизация – Операция оплаты, при которой вся сумма платежа сразу списывается со счета Клиента.
• 2) Двустадийная Авторизация – Операция оплаты, при которой сумма платежа на первой стадии резервируется (холдируется) на счете, к которому выпущена Карта Клиента, а на второй стадии, после подтверждения Авторизации Мерчантом, списывается с указанной карты Клиента.
• Мерчант по согласованию с ТОО «Cron Payments (Крон Пэйментс)» выбирает наиболее удобный для себя вариант, если иное не устанавливается ТОО «Cron Payments (Крон Пэйментс)» для данного конкретного Мерчанта. В случае проведения Двустадийной Авторизации операции Мерчант должен осуществить завершение второй стадии в течение 15 календарных дней со дня проведения первой стадии Авторизации.
• Перевод Банком денег Мерчанту или на специальный (транзитный) счет Платежной организации осуществляется после Обработки Операций ТОО «Cron Payments (Крон Пэйментс)» в срок, не позднее 3 (трех) рабочих дней от даты обработки ТОО «Cron Payments (Крон Пэйментс)» Авторизации операций. При этом Процессинг Двустадийной Авторизации проходит только после успешного завершения обеих стадий. При зачислении денежных средств на специальный (транзитный) счет Платежной организации, Платежная организация передает в Банк, в котором открыт специальный (транзитный) счет, реестры с суммами перечисления в пользу Мерчантов, Банк осуществляет перевод в пользу Мерчантов в течении 3 (трех) рабочих дней с момента получения реестров от Платежной организации. 
• Порядок проведения Авторизации:
• 1) Клиент в специальной электронной форме с использованием имеющегося у него компьютера/мобильного телефона/иного электронного устройства вводит реквизиты Карты, используемой для Операции оплаты.
• 2) По запросу ТОО «Cron Payments (Крон Пэйментс)» Клиент вводит дополнительные данные в зависимости от используемой технологии повышения безопасности платежей, в соответствии с правилами МПС.
• 3) ТОО «Cron Payments (Крон Пэйментс)» осуществляет Авторизацию с предоставленными Клиентом реквизитами – в соответствии с Правилами МПС.
• 4) ТОО «Cron Payments (Крон Пэйментс)» информирует Мерчанта о результате Авторизации – согласии с проведением Операции или отказе в проведении Операции.
• В случае возврата/отказа Клиентом от Услуги, либо необходимости проведения отмены ранее осуществленной Операции оплаты, Мерчант инициирует проведение таких операций в личном кабинете. 
• Фиксация совершения операций осуществляется ТОО «Cron Payments (Крон Пэйментс)» в электронном виде и хранится в АПК ТОО «Cron Payments (Крон Пэйментс)». Выписки из АПК ТОО «Cron Payments (Крон Пэйментс)» могут использоваться в качестве доказательств при рассмотрении споров, в том числе в судебном порядке.
• ТОО «Cron Payments (Крон Пэйментс)» на периодической основе - один раз в сутки, и в соответствии с Правилами МПС осуществляет Обработку Операций, совершенных с момента предыдущего цикла Обработки Операций. При этом в случае, если для совершения Авторизации был использован Способ Платежа – Двустадийная Авторизация, ТОО «Cron Payments (Крон Пэйментс)» осуществляет Обработку Операций в отношении таких Авторизаций только после получения ТОО «Cron Payments (Крон Пэйментс)» от Мерчанта запроса (так называемое «завершение авторизации»), подтверждающего необходимость Обработки Операции.
• По результатам Обработки Операций ТОО «Cron Payments (Крон Пэйментс)» направляет Мерчанту Отчет по успешно прошедшим транзакциям.
• По операциям выплаты:
• ТОО «Cron Payments (Крон Пэйментс)» в ежедневном круглосуточном режиме реального времени принимает от Мерчанта запросы на оказание услуг по выплате клиентам на карты Visa, MasterCard и других МПС (далее услуги «Процессинга»).
• По факту получения такого запроса и при условии возможности оказания услуги Процессинга в соответствии Правилами МПС:
• ТОО «Cron Payments (Крон Пэйментс)» осуществляет списание денег с текущего счета Мерчанта в сумме проведения операции по Карте.
• ТОО «Cron Payments (Крон Пэйментс)» осуществляет обработку операций, обмен расчетными (клиринговыми) файлами с МПС и расчеты по таким операциям в сроки и в соответствии с Правилами МПС.
• ТОО «Cron Payments (Крон Пэйментс)» в режиме реального времени информирует Мерчанта о результате оказания услуги Процессинга в отношении каждой конкретной операции. При этом возможны следующие варианты:
• 1) Мерчант получил от ТОО «Cron Payments (Крон Пэйментс)» сообщение с кодом ответа, указывающим на успешное совершение операции по Карте: услуга Процессинга в этом случае считается оказанной и подлежит оплате.
• 2) Мерчант получил от ТОО «Cron Payments (Крон Пэйментс)» сообщение с кодом ответа, указывающим на не успешность совершение операции по Карте: услуга Процессинга в этом случае считается не оказанной и не подлежит оплате.
• 3) Мерчант не получил от ТОО «Cron Payments (Крон Пэйментс)» сообщение с результатом совершения операции по Карте (к примеру, в результате коммуникационного сбоя и т.п.). В этом случае окончательный статус операции подлежит проверке и установлению в процессе проведения ежедневной сверки (в соответствии с далее описанным порядком). По итогам такой сверки Мерчант и ТОО «Cron Payments (Крон Пэйментс)» устанавливают факт успешного проведения операции по Карте, и, если такой факт установлен, услуга Процессинга в этом случае считается успешно оказанной и подлежит оплате. В противном случае услуга Процессинга считается не оказанной и не подлежит оплате.
• «ТОО «Cron Payments (Крон Пэйментс)», в рабочие дни с 11:00 часов до 12:00 часов по времени г. Нур-Султан направляет Мерчанту Реестр, содержащий операции, в отношении которых оказаны услуги Процессинга за предыдущий рабочий и нерабочие/праздничные дни.
• ТОО «Cron Payments (Крон Пэйментс)» по рабочим дням по запросу Мерчанта, полученному в электронном виде, осуществляет в ручном режиме расследование и обработку операций в исключительных/нештатных ситуациях, возникших по ранее оказанным услугам Процессинга (в результате сбоев в работе систем, мошенничества, нештатных ситуаций) при условии, если ТОО «Cron Payments (Крон Пэйментс)» обладает техническими возможностями такой обработки, и она допустима по Правилам МПС. Мерчант поручает ТОО «Cron Payments (Крон Пэйментс)» списывать сумму денег с текущего счета или осуществлять зачисление денег на его текущий счет по результатам такого расследования и обработки операций. ТОО «Cron Payments (Крон Пэйментс)» уведомляет Мерчанта в электронном виде о результатах такой обработки и произведенных расчетах.

 

Сроки оказания платежной услуги - в течении 1- 4 рабочих дней со дня следующего, после дня приема платежа.

 

 

7. Стоимость платежных услуг (тарифов), оказываемых Платежной организацией

 

Тарифы Платежной организации ТОО «Cron Payments (Крон Пэйментс)» по платежным услугам:

1. Услуги по обработке платежей, инициированных клиентом в электронной форме, и передаче необходимой информации банку, организации, осуществляющей отдельные виды банковских операций, для осуществления платежа и (или) перевода либо принятия денег по данным платежам:

 

№	Наименование категорий сервисов, предоставляемых Поставщиками услуг	Дополнительная плата (допустимая дополнительная комиссия), взимаемая с Клиента.	Примечание
1.	Игровые сервисы	от 0 % до 5% от суммы операции	Окончательный размер комиссии по соответствующему платежу, инициируемому клиентом в денежном выражении, доводится до сведения Клиента до момента подтверждения им соответствующей операции.
2.	Букмекеры	от 0 % до 15% от суммы операции
3.	Социальные сети	от 0 % до 5% от суммы операции
4.	Сотовые операторы	от 0 % до 5% от суммы операции
5.	Подарочные карты, купоны	от 0 % до 5% от суммы операции
6.	ЖКХ	от 0 % до 5% от суммы операции
7.	MLM	от 0 % до 5% от суммы операции
8.	Интернет и телефония	от 0 % до 5% от суммы операции
9.	Хостинг	от 0 % до 5% от суммы операции
10.	Благотворительность	Не взимается
11.	Реклама	от 0 % до 5% от суммы операции
12.	Страхование	Не взимается
13.	Интернет - магазины	от 0 % до 5% от суммы операции
14.	Билеты (авиа, ж/д)	от 0 % до 5% от суммы операции
15.	МКО	от 0 % до 10% от суммы операции
16.	Прочие виды сервисов, не включенные в отдельные категории	от 0 % до 5% от суммы операции

• Стоимость дополнительной платы (допустимой дополнительной комиссии), взимаемой с Клиента/Партнера устанавливается в соответствии с договорными условиями, указанными в договорах, заключенных между ТОО «Cron Payments (Крон Пэйментс)» и поставщиками услуг и иными лицами, предоставляющими услуги Клиентам.

• Ценовая политика по взимаемой дополнительной комиссии с плательщика устанавливается Платежной организацией самостоятельно в рамках допустимых значений, указываемых в договорах.

Приведенный выше список сервисов не является исчерпывающим и может дополняться по мере заключения новых договоров с поставщиками услуг.

8. Порядок взаимодействия с третьими лицами, обеспечивающими технологическое обеспечение платежных услуг, оказываемых платежной организацией
1. Технологическое обеспечение операций по обработке платежей, инициированных клиентов в электронной форме, и передаче необходимой информации банку, организации, осуществляющей отдельные виды банковских операций, для осуществления платежа и (или) перевода либо принятия денег по данным платежам производятся через банки второго уровня, с которыми у ТОО «Cron Payments (Крон Пэйментс)» заключен договор.

 

9. Сведения о системе управления рисками, используемой Платежной организацией

 

1. Под системой управления рисками в Платежной организации понимается комплекс мероприятий, принятых Платежной организацией с целью своевременного выявления, измерения, контроля и мониторинга рисков для обеспечения финансовой устойчивости и бесперебойного функционирования. 

В целях организации деятельности по управлению рисками Платежная организация разработала политику, которая детализирует принципы, мероприятия и способы управления рисками. 

9.2. Основная задача регулирования рисков в Платежной организации - это поддержание приемлемых соотношений прибыльности с показателями безопасности и ликвидности в процессе управления активами и пассивами Платежной организации, т.е. минимизация потерь. Процесс управления рисками в Платежной организации включает в себя:

• предвидение рисков, определение их вероятных размеров и последствий;
• разработка и реализация мероприятий по предотвращению или минимизации связанных с ними потерь.

9.3. Система управления рисками характеризуется такими элементами как мероприятия и способы управления. 

Мероприятия по управлению рисками: 

• доведение до органов управления Платежной организации соответствующей информации о рисках; 
• определение показателей и порядка обеспечения бесперебойности функционирования Платежной организации; 
• определение методик анализа рисков; 
• определение порядка обмена информацией, необходимой для управления рисками; 
• определение порядка взаимодействия в спорных, нестандартных и чрезвычайных ситуациях, включая случаи системных сбоев; 
• определение порядка изменения операционных и технологических средств и процедур; 
• определение порядка обеспечения защиты информации в Платежной организации.

9.4. Платежная организация принимает все предусмотренные законодательством меры по противодействию легализации и отмыванию доходов, полученных преступным путем, и финансированию терроризма, а также вправе устанавливать дополнительные меры и применять дополнительные санкции в отношении Участников Платежной организации в случае наличия подозрений, что осуществляемая операция может быть связана с легализацией доходов и/или финансированием терроризма.

Платежная организация вправе отказать в оказании услуги любому лицу, если в отношении такого лица имеются данные, что оно связано и/или подозревается в связи с лицами, осуществляющими действия по легализации доходов, полученных преступным путем и/или финансированию терроризма, и/или осуществляет и/или подозревается в осуществлении деятельности, направленной на легализацию доходов и/или финансирование терроризма.

10. Порядок урегулирования спорных ситуаций и разрешения споров с клиентами

10.1. При наличии императивных норм законодательства, действующего на территории государства, исключающих применение договорных условий в отношениях, связанных с осуществлением деятельности Платежной организации, указанные императивные нормы имеют приоритет над условиями Правил.

10.2. Разногласия между Участниками Платежной организации, связанные с осуществлением деятельности Платежной организации или расчетов между Участниками, которые могут служить основанием для возникновения необходимости судебного рассмотрения споров между Участниками, рассматриваются Платежной организацией в претензионном порядке.

10.3. Претензия Участника Платежной организации, изложенная в письменной форме на официальном бланке за подписью его уполномоченного должностного лица, направляется другой стороне заказной почтой или иным способом, подтверждающим вручение претензии адресату. Претензия должна быть заявлена в течении 10 (десяти) рабочих дней после возникновения основания для претензии, и содержать указание на обстоятельства, служащие основанием для ее предъявления, а также на дату возникновения указанных обстоятельств. Претензии, поступившие по истечению указанного срока, не рассматриваются.

10.4. Рассмотрение претензий включает в себя изучение обстоятельств, позволяющих установить исполнение (неисполнение) Участниками Платежной организации своих функций и обязательств, вытекающих из настоящих Правил и договоров, заключенных с ними. Платежная организация вправе запрашивать у Участников Платежной организации любую информацию, необходимую для выяснения указанных обстоятельств.

10.5. Решение по претензии должно быть принято в течение 15 календарных дней после получения претензии и направлено Участнику в письменной форме.

10.6. При невозможности урегулирования разногласий в претензионном порядке споры разрешаются судом по месту нахождения Платежной организации в соответствии с законодательством Республики Казахстан.

11. Порядок соблюдения мер информационной безопасности

11.1. Платежная организация обеспечивает создание и функционирование системы управления информационной безопасностью, являющейся частью общей системы управления платежной организации, предназначенной для управления процессом обеспечения информационной безопасности.

11.2. Основы обеспечения информационной безопасности

Система управления информационной безопасностью (СУИБ) - часть системы управления Платежной организации, основанная на подходе бизнес-рисков по созданию, внедрению, функционированию, мониторингу, поддержке и улучшению информационной безопасности.

Информационная безопасность - сохранение конфиденциальности, целостности и доступности информации.

Конфиденциальность - свойство информации, предполагающее обеспечение секретности и не доступности информации для не авторизованных на ее получение субъектов, включая процессы Платежной организации.

Доступность - свойство информации, быть доступной и готовой к использованию для авторизованных на это субъектов.

Целостность - свойство сохранения достоверности, неизменности и полноты информации.

Основной целью СУИБ минимизация ущерба в следствии нарушения целостности, конфиденциальности и доступности информации.

11.3. Система управления информационной безопасностью обеспечивает защиту информационных активов платежной организации, допускающую минимальный уровень потенциального ущерба для бизнес-процессов платежной организации. Платежная организация обеспечивает надлежащий уровень системы управления информационной безопасностью, ее развитие и улучшение.

 

В рамках деятельности по построению системы управлению информационной безопасности, Платежной организацией обеспечивается функционирование следующих процессов:

• Определения целей и задач системы управления информационной безопасностью;
• Определение направлений развития системы управления информационной безопасностью;
• Оценка рисков и угроз информационной безопасности Платежной организации;
• Разработки и применения компенсирующих мер по результатам оценки рисков и угроз информационной безопасности.

 

В рамках реализации системы управлению информационной безопасностью, Платежная организация проводит следующие мероприятия, но не ограничиваясь ими:

• выявление и реагирование на атаки в реальном времени;
• разрешение и анализ причин возникновения инцидентов информационной безопасности;
• управление доступом к активам;
• антивирусная защита;
• резервирование информационных систем и данных платежной организации;
• управление непрерывностью деятельности;
• регистрация, анализ и контроль событий информационной безопасности;
• выявление уязвимостей в информационных системах платежной организации, с использованием которых могут быть реализованы угрозы информационной безопасности;
• использование средств криптографической защиты информации;
• обеспечение физической безопасности активов;
• защита сетевого периметра;
• соблюдение условий всех программных лицензий, авторских прав и законов, касающихся интеллектуальной собственности.

 

В целях совершенствования системы управления информационной безопасностью периодически осуществляется анализ результатов функционирования системы.

11.4. Платежная организация в целях обеспечения конфиденциальности, целостности и доступности информации платежной организации осуществляет следующие функции:

• организует систему управления информационной безопасностью, осуществляет координацию и контроль деятельности по обеспечению информационной безопасности и мероприятий по выявлению и анализу угроз, противодействию атакам и расследованию инцидентов информационной безопасности;
• обеспечивает методологическую поддержку процесса обеспечения информационной безопасности;
• осуществляет выбор, внедрение и применение методов, средств и механизмов управления, обеспечения и контроля информационной безопасности в рамках своих полномочий;
• осуществляет сбор, консолидацию, хранение и обработку информации об инцидентах информационной безопасности;
• осуществляет анализ информации об инцидентах информационной безопасности;
• обеспечивает внедрение, надлежащее функционирование программно-технических средств, автоматизирующих процесс обеспечения информационной безопасности, а также предоставление доступа к ним;
• определяет ограничения по использованию привилегированных учетных записей;
• организует и проводит мероприятия по обеспечению осведомленности работников платежной организации в вопросах информационной безопасности;
• осуществляет мониторинг состояния системы управления информационной безопасностью платежной организации;
• периодически (но не реже одного раза в год) осуществляет информирование руководства платежной организации о состоянии системы управления информационной безопасностью платежной организации.

11.5. Программное обеспечение обеспечивает:

• надежное хранение информации, защиту от несанкционированного доступа, целостность баз данных и полную сохранность информации в электронных архивах и базах данных при полном или частичном отключении электропитания в любое время на любом участке оборудования;
• многоуровневый доступ к входным данным, функциям, операциям, отчетам, реализованным в программном обеспечении, предусматривающим как минимум, два уровня доступа: администратор и пользователь;
• контроль полноты вводимых данных полей обязательных к заполнению, необходимых для проведения и регистрации операций (при выполнении функций или операций без полного заполнения всех полей программа обеспечивает выдачу соответствующего уведомления);
• поиск информации по критериям и параметрам, определенным для данной информационной системы, с сохранением запроса, а также сортировку информации по любым параметрам (определенным для данной информационной системы) и возможность просмотра информации за предыдущие даты, если такая информация подлежит хранению в информационной системе;
• обработку информации и ее хранение по дате и времени;
• автоматизированное формирование форм отчетов, представляемых платежными организациями в Национальный Банк, а также отчетов о проведенных операциях;
• ведение и автоматизированное формирование журналов системы внутреннего учета. Программное обеспечение формирует журнал полностью, а также частично (на указанный диапазон дат, определенную дату);
• возможность резервирования и восстановления данных, хранящихся в учетных системах;
• возможность вывода выходных документов на экран, принтер или в файл;
• возможность обмена электронными документами;
• регистрацию и идентификацию происходящих в информационной системе событий с сохранением следующих атрибутов: дата и время начала события, наименование события, пользователь, производивший действие, идентификатор записи, дата и время окончания события, результат выполнения события.

11.6. Процедуры безопасности

11.6.1. В целях обеспечения безопасности предоставления Услуг, проведения Операций возможны только на карты, эмитированные банками на территории Республики Казахстан.

11.6.2. Предоставление Услуг производится в соответствии с процедурами безопасности, установленными настоящими Правилами и Договором.

11.6.3. ТОО «Cron Payments (Крон Пэйментс)» при оказании Услуг осуществляет сбор и обработку персональных данных с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом Республики Казахстан “О персональных данных и их защите”.

11.6.4. Процедуры безопасности обеспечивают:

• Достоверную идентификацию клиента и его право на получение соответствующих Услуг;
• Выявление наличия искажений и (или) изменений в содержании электронных документов, на основании которых клиенту предоставляются услуги;
• Защиту от несанкционированного доступа к информации, составляющей банковскую тайну, и целостность данной информации.

11.6.5. Платеж является санкционированным, если он произведен лицом, которое имело полномочие совершить данный платеж, и не противоречит законодательству Республики Казахстан, а также при условии, если указание принято банком отправителя денег с соблюдением установленного порядка защиты действий от несанкционированных платежей.

11.6.6. Предоставление Услуг является санкционированным в случае выполнения клиентом процедур безопасности, установленных настоящими Правилами и Договором.

11.6.7. Несанкционированным является платеж, осуществленный без соблюдения требований, установленных законодательством, а также с использованием поддельных платежных инструментов.

11.6.8. В качестве элементов защиты действий используются идентификационные коды, шифрование и иные способы защиты, не противоречащие законодательству Республики Казахстан.

11.6.9. ТОО «Cron Payments (Крон Пэйментс)» осуществляет мониторинг за соблюдением клиентами требований к защите информации, определенных Договором и настоящими Правилами.

11.7. Платежная организация управляет рисками информационной безопасности с указанием критериев приемлемого уровня по отношению к информационным активам. При реализации рисков информационной безопасности разрабатывается план мероприятий, направленный на минимизацию возникновения подобных рисков.

11.8. Информация об инцидентах информационной безопасности, полученная в ходе мониторинга деятельности по обеспечению информационной безопасности, подлежит консолидации, систематизации и хранению.

        Срок хранения информации об инцидентах информационной безопасности составляет не менее 5 (пяти) лет.

       Платежной организацией определяется порядок принятия неотложных мер к устранению инцидента информационной безопасности, его причин и последствий. В платежной организации ведется журнал учета инцидентов информационной безопасности с отражением всей информации об инциденте информационной безопасности, принятых мерах и предлагаемых корректирующих мерах.

11.9. Платежная организация предоставляет в Национальный Банк информацию о следующих выявленных инцидентах информационной безопасности:

• эксплуатация уязвимостей в прикладном и системном программном обеспечении;
• несанкционированный доступ в информационную систему;
• атака «отказ в обслуживании» на информационную систему или сеть передачи данных;
• заражение сервера вредоносной программой или кодом;
• совершение несанкционированного перевода денежных средств вследствие нарушения контролей информационной безопасности;
• инцидентах информационной безопасности, несущих угрозу стабильности деятельности платежной организации.

11.10. Информация об инцидентах информационной безопасности, указанных в пункте 11.9. настоящей главы, предоставляется платежной организацией в возможно короткий срок, но не позднее 48 часов с момента выявления, в виде карты инцидента информационной безопасности по форме согласно приложению 7 к Правилам №215.

       Информация по обработанным инцидентам информационной безопасности представляется в электронном формате с использованием платформы Национального Банка для обмена событиями и инцидентами информационной безопасности.

       На каждый инцидент информационной безопасности заполняется отдельная карта инцидента информационной безопасности.

11.11. Обязательства по обеспечению общей безопасности платежных услуг, защиты передаваемых данных и информации несет ТОО «Cron Payments (Крон Пэйментс)».

11.12. ТОО «Cron Payments (Крон Пэйментс)» обязуется соблюдать конфиденциальность в отношении всех переданных ему Мерчантами данных, а также данных, ставших ему известными в ходе использования ТОО «Cron Payments (Крон Пэйментс)» Покупателями/Клиентами, за исключением случаев предусмотренных Правилами и/или законодательством Республики Казахстан, а также случаев, когда такая информация является общеизвестной или раскрыта по требованию или с разрешения Мерчанта/Покупателя.

18.13. Мерчант обязуется незамедлительно уведомлять ТОО «Cron Payments (Крон Пэйментс)» о любых операциях, произведенных без его согласия. В случае непредоставления соответствующего уведомления в течении календарных суток с момента осуществления операции и направления ТОО «Cron Payments (Крон Пэйментс)» соответствующего уведомления, операция считается осуществленной Мерчантом.

11.14. Стороны признают сочетание аутентификационных данных (уникального идентификатора пользователя и пароля) аналогом собственноручной подписи, являющимся необходимым и достаточным условием подтверждения права Мерчанта на проведение Транзакций.

 

12. Описание программно-технических средств и оборудования, необходимого для осуществления услуг  
1. Техническое описание сервиса и используемые технологии:

• Платежный агрегатор работает на облачной платформе amazon aws;
• Гео-резервирование инфраструктуры достигается за счет использования основного региона (франкфурт) и резервного (ирландия), процесс деплоя приложения проходит на оба региона, репликация данных между регионами осуществляется по защищенным TLSv1.2 каналам связи;
• Сервис в каждом из регионов представлен набором сервисов, для отказоустойчивости распределенным по трем датацентрам в каждом регионе. в каждом из датацентров в отдельных виртуальных машинах работают сервер приложения (nginx+phpfpm), сервер базы данных (percona xtradb cluster на основе mysql), сервер базы данных аналитики (clickhouse), сервер очередей сообщений rabbitmq. обмен данными между серверами (репликация) осуществляется по защищенным каналам связи (amazon vps vlan + шифрование на базе TLSv1.2);
• Приложение платежного агрегатора использует версию фреймворка Symfony 5.2, работает на php8;
• Управление инфраструктурой осуществляется согласно принципам Infrastructure as Code, для управления виртуальными машинами amazon aws используется hashicorp terraform, для управления сервисами внутри виртуальных машин – ansible;
• Защита от ddos осуществляется через Qrator;
• Инфраструктура полностью соответствует требованиям стандарта PCI DSS, что подтверждается ежегодной успешной сертификацией аудитором Compliance Control.

2. Составляющие сервиса

Система представляет собой платформу для реализации платежей, обеспечения безопасности платежей, сбора и предоставления информации. Можно выделить отдельные логические блоки внутри сервиса:

• Администратор;
• Личный кабинет;
• Интерфейс пользователя (UI);
• Авторизация;
• API;
• Платежная форма;
• Финансовая маршрутизация (провод денег через банки);
• Антифрод;
• Исторические данные;
• Логи.

3. Администратор

Сервис реализует управление платформой администраторами платформы и службой технической поддержки из графического интерфейса.

Он предоставляет возможность:

• Подключить / отключить пользователя;
• Задать / изменить настройки пользователя (набор сервисов, например, с каких платежных систем принимает деньги, нужны ли сервисы гаранта, бронирования товара, рассрочки, кредитования, рекомендаций и т. д.);
• Просмотреть данные клиента: реквизиты (ИИН, БИН, адрес, расчетный счет и т. д.), договор, паспортные данные руководителя, соответствие параметров площадки клиента требованиям платформы (настоящие, а не тестовые товары на сайте, настоящие, а не тестовые материалы на сайте, контакты и реквизиты на сайте и т.д.), результат проверки клиента службой безопасности, способ ведения документооборота (бумажный / ЭДО), отметка о выпуске API ключа для проведения реальных платежей, в каких банках эквайерах клиент зарегистрирован, какие дополнительные платежные методы у клиента авторизованы, перечень запрошенных документов для расширения платежных методов (то, что запросили партнеры для авторизации);
• Просмотреть / изменить тариф клиента;
• Просмотреть активность и статистику клиента;
• Просмотреть / изменить настройки шлюза клиента;
• Просмотреть / изменить размещение контейнеров платформы по серверам;
• Просмотреть / изменить выделение ресурсов контейнерам платформы;
• Просмотреть логи и историю ошибок;
• Просмотреть / изменить настройки API-интеграций с партнерскими информационными системами (ИС);
• Просмотреть / изменить параметры маршрутизации;
• Просмотреть / изменить параметры антифрод системы.

4. Личный кабинет

Сервис обеспечивает управление подключением и личными настройками клиента:

• Регистрация на платформе;
• Предоставление материалов (документов) для регистрации и активации платежного сервиса;
• Управление настройками: перечень подключенных сервисов;
• Реквизит: (ИИН, БИН, адрес, расчетный счет и т. д.);
• Перечень предоставленных документов: договор, паспортные данные руководителя, выписки и справки;
• Соответствие собственного ресурса требованиям платформы и регуляторов;
• API ключ для проведения реальных платежей;
• Перечень запрошенных документов для расширения платежных методов;
• Тариф;
• История активности и статистика по платежам;
• Настройки шлюза;
• Выбор виджета для подключения к своему сайту. Платформа содержит более 100 готовых модулей для самых популярных CMS. Клиент может выбрать наиболее подходящую форму для себя.

5. Авторизация

Этот сервис реализует полный протокол авторизации владельца карты или кошелька с эмитентом:

• Запрос авторизации сессии;
• Обмен авторотационными данными;
• Подтверждение авторизации.

6. API

Сервис содержит набор интерфейсов взаимодействия для всех ИС, с которыми установлены партнерские отношения, выполняет следующий функционал:

• Проверка к какому сервису будет проходить обращение;
• Проверка наличия всех необходимых данных для работы с выбранным сервисом;
• Сбор необходимых данных через форму взаимодействия с покупателем;
• Формирование запроса к выбранному сервису;
• Проведение выбранных операций: транзакций, запроса кредита, проверка платежеспособности и т.д;
• Возврат результат выполнения операции.

7. Платежная форма

Сервис предоставляет более 100 платежных формы для разных клиентских CMS. Формы можно разделить 2 два отдельных кластера:

• Платежная форма (при оплате плательщик переходит на сайт агрегатора и там производит оплату);
• Платежный виджет (форма встраивается в сайт продавца, посредством iframe, плательщик не переходит на сайт агрегатора, но все данные вводятся и хранятся только на стороне агрегатора).

8. Финансовая маршрутизация (провод денег через банки)

Сервис обеспечивает маршрутизацию платежей. Так как платформа работает с большим пулом банков и имеет большое количество ежеминутных платежей, то это позволяет платформе собирать статистику о времени прохождения транзакций по разным маршрутам.

При совершении транзакции платформа оценивает следующие параметры:

• Текущие маршруты проведения платежа;
• Скорость прохождения платежа по каждому из доступных маршрутов;
• Текущие очереди по каждому из маршрутов;
• Стоимость каждого маршрута.

На основании этих данных формируется маршрут с учетом времени прохождения платежа и его стоимости (комиссий всех участников цепочки).

Сервис выполняет следующие проверки:

• Проверка карты / кошелька;
• Проверка наличия денежных средств на карте / кошельке;
• Проверка возможности совершения платежа.

Сервис выполняет следующие действия:

• Подтверждает платеж;
• Регистрирует платеж;
• Формирует чек;
• Регистрирует платеж в платежной системе;
• Обновляет статус платежа.

9. Антифрод

Сервис антифрода базируется на собранной статистике за 7 лет проведения транзакций.

На основе этой статистики сформированы следующие паттерны:

• Мошеннических платежей - эти платежи должны быть запрещены;
• Подозрительный платежей - эти платежи должны быть подтверждены дополнительными способами;
• Доверенных платежей - эти платежи можно пропускать быстро, с минимальной проверкой.

12.10. Исторические данные

Сервис собирает и хранит данные платежные данные по покупателям. Это позволяет покупателю в следующий раз провести оплату, не вводя весь набор платежных данных.

На основании этих данных накапливается информация об интересах покупателя:

• Торговые категории;
• Суммы покупок;
• Минимальные суммы по категориям;
• Максимальные суммы по категориям;
• Средние чеки по категориям;
• Частота покупок по категориям;
• Распределение покупок по времени (год, квартал, месяц, сутки).

12.11.  Логи

Сервис собирает логи обо всех действиях системы.

Это позволяет:

• Оперативно выявлять и устранять отказы;
• Выявлять причины отказа;
• Повышать отказоустойчивость системы;
• Прогнозировать причины отказа;
• Моделировать состояние системы при ее масштабировании и развитии.

 

12. Основными Системами Управления Базами Данных (СУБД) в зависимости от потребностей выбраны и используются следующие:

 

• Microsoft SQL Server 2008 Enterprise
• Microsoft SQL Server 2012 Enterprise
• PortageSQL
• MySQL 5.1
• Elastic

 

В качестве программного обеспечения для обработки сетевых запросов используются следующие:

 

• Nginx

 

Для разработки клиентского программного обеспечения используются следующие языки программирования, запросов, SDK и Framework:

 

• .NET с#
• .NET Java
• Java
• С++
• Java Mobile
• Android SDK
• iOS SDK
• РНР
• ASP.NET
• Kohana
• Ajax
• Язык программирования lc
• T-SQL

 

Прочее программное обеспечение, используемое в работе систем для улучшения работоспособности и увеличения производительности, а так же удовлетворения тех или иных потребностей пользователей систем:

• HA кластер Proxmox v7.2
• Система распределенного хранения данных Ceph 16 Pacific хранение данных
• Программная ATC Asterisk PBX
• Система хранения и обработки логов GraylLog
• He реляционная СУБД Redis
• Система контроля версий ПО SVN server

 

 

13. Хранение данных

 

Для организации высоконадежного хранилища данных в компании используется файловая система Ceph обеспечивающая как файловое, так и облачное хранение данных.

 

Одно из базовых свойств Ceph — масштабируемость до петабайтных размеров (на примере корпорации Yahoo! Которая использует у себя данную технологию). Ceph предоставляет на выбор три различных абстракции для работы с хранилищем: абстракцию объектного хранилища (RADOS Gateway), блочного устройства (RADOS Block Device) или РОS1Х-совместимой файловой системы (CephFS).

 

В отличие от таких распределённых файловых систем, как GFS, OCFS2 и СРFS, в Ceph обработка данных и метаданных разделена на различные группы узлов в кластере, примерно как это сделано в Lustre, с тем различием, что обработка производится на уровне пользователя, HE требуя никакой особой поддержки от ядра операционных систем узлов. Ceph может работать поверх блочных устройств, внутри одного файла или используя существующую файловую систему узла 

(например, XFS).

 

Благодаря подобной архитектуре достигается высокая надежность хранения из-за TOTO, что потеря из вида одной из копий объекта приводит к переходу объекта и содержащей его плейсмент - группы в состояние degraded и выпуску новой карты OSD (osdmap). Новая карта содержит новое расположение потерянной копии объекта и, если через заданное время утраченная копия не вернется, недостающая копия будет восстановлена в другом месте, чтобы сохранить число копий, определяемое фактором репликации. Операции, выполнявшиеся в момент подобной ошибки, автоматически переключатся на одну из доступных копий. В худшем случае их задержка будет измеряться единицами секунд.

 

Важным свойством Ceph является то, что все операции по перебалансировке кластера происходят в фоновом режиме одновременно © пользовательским МО. Если клиент обращается к объекту, который находится в recovering состоянии, Ceph вне очереди восстановит объект и его копии, а затем выполнит запрос клиента. Такой подход обеспечивает минимальное латенси I/O даже тогда, когда восстановление кластера идет полным ходом.

 

Преимущество Ceph перед прочими кластерными системами хранения данных состоит В отсутствии единых точек отказа и в практически нулевой стоимости обслуживания при минимально и зависит только OT объема виртуальной памяти, которую требуется перенести на новый физический сервер кластера).

 

Использование высокопроизводительных не реляционных Баз Данных в работе систем.

 

Для ускорения обработки информации требующихся в работе систем (например хранение логов запросов или одноразовых кодов доступа к системе) и снижения нагрузки на основные СУБД обеспечивающих хранение и обработку основных объемов информации применяются следующие системы:

 

• Redis
• Graylog

 

Radis - сетевое журналируемое хранилище данных типа «ключ — значение» с открытым исходным кодом. Хранит базу данных в оперативной памяти, снабжена механизмами снимков и журналирования для обеспечения постоянного хранения (на диске). Также предоставляет операции для реализации механизма обмена сообщениями в паттерне издатель-подписчик. С его помощью приложения могут создавать каналы, подписываться на них и помещать в каналы сообщения, которые будут получены всеми подписчиками (как ТВ С-чат). Поддерживает репликацию данных C основных узлов на несколько подчинённых. Также Redis поддерживает транзакции и пакетную обработку команд (выполнение пакета команд, получение пакета результатов).

 

Redis поддерживает репликацию типа master-slave. Данные с любого сервера Redis могут реплицироваться произвольное количество раз. Репликация полезна для масштабирования чтения или при очень больших объёмах данных. Все данные, которые попадают на основной узел Redis будут попадать также на второстепенные узлы. 

 

Репликация помогает защитить данные, копируя их на другие сервера. Репликация также может быть использована для увеличения производительности, так как запросы на чтение могут обслуживаться slave-узлами.

 

GrayLog — централизованная система хранения логов. Основана на использовании Elasticsearch.

Основные преимущества системы:

 

• Быстрая обработка большого объема информации

 

• Предоставление доступа к хранимой информации как посредством встроенного Web-интерфейса, так и через API

 

• Поддержка работы с многочисленным список операционных систем

 

• Возможность внутренней предобработки запрашиваемой информации

 

• Возможность использования в поиске граничных значений, не охватываемых параметрами
• запроса

 

• Автоматическое архивирование неиспользуемой информации и практически мгновенное развертывание архивной информации при необходимости доступа к ней.

 

• Оповещение технического персонала при получении информации о сбоях в работе оборудования или программного обеспечения при достижении настраиваемых параметров (например информирование о превышении лимита входящих запросов на один из web-серверов)

 

Благодаря использованию Graylog значительно ускоряется поиск и анализ информации в логах работы систем. Так же значительно упрощается поиск различного рода информации (например, при поиске информации по 1р-адресу источника будет выведена информация не одного конкретного сервера, а вся цепочка прохождения запроса и результаты его выполнения «Front-end»-«Back-end»-СУБД-«результат обработки»-«ответ»)

 

14. 12.14.Репликация данных в основных СУБД

 

Для обеспечения высокой доступности данных на всех основных СУБД применяется технология репликации данных.

Репликация —— это набор технологий, позволяющий копировать, распространять и синхронизировать определенные типы объектов базы данных и связанных с ними данных и зависимостей между ними из одной базы данных в одну или несколько других баз данных в одном и том же экземпляре или в разных экземплярах SQL Server.

 

Преимущества, получаемые от применения данной технологии:

 

• Реплика основной базы данных (БД) всегда содержит актуальный набор данных хранящийся в основной БД

 

• Возможность использования Реплики для организации обработки информации тем самым снижая нагрузку на основную БД

 

• Возможность переключения использования Реплики в качестве основной БД в случае выхода из строя основной БД

 

• Возможность использования Реплик в качестве основных БД (при использовании технологии репликации слиянием) тем самым организуя аналог SQL-knacTepa, при этом не зависящего OT сдиного хранилища данных как в случае использования ЗО! -кластера (хотя и уступающее кластеру В производительности, но позволяющие организовать разнессение основной БД по различным дата центрам).

 

• Возможность репликации не полной БД, а только необходимого для выполняемых задач набора таблиц и функций

 

Особо следует выделить следующие пункты из вышеперечисленных:

 

• Реплика всегда содержит актуальный набор данных. Т.е. при выходе из строя основной БД no какой-либо причине (и невозможностью её быстрого восстановления), имеется возможность перенастроить систему на любую из полных реплик за очень короткое время несопоставимое с восстановлением из backup.

 

• Использование реплик для получения и обработки информации. Таким образом для получения какой-либо информации снижается нагрузка на основную БД повышая производительность системы в целом, поскольку основной БД нет необходимости отвлекаться на обработку запросов, которые могут быть обработаны репликами.

13. Порядок внесения изменений в настоящие Правила

13.1. Изменения и/или дополнения в Правила могут вноситься как путем утверждения новой редакции Правил, так и путем подготовки текста изменений и/или дополнений к Правилам.

13.2. В случае несогласия Участника с изменениями и/или дополнениями в Правила или тарифами, Участник вправе отказаться от дальнейшего использования услуг Платежной организации.

13.3. Дальнейшее использование услуг Платежной организации после вступления в силу любых изменений и/или дополнений в Правила означает согласие Участников с такими изменениями и/или дополнениями.