Определены минимальные требования по удаленной идентификации и верификации клиентов МФО, - НБКР

Подробнее: www.tazabek.kg/news:1650562?f=cp

Правление Национального банка 30 сентября 2020 года приняло постановление «О порядке идентификации и верификации клиентов микрофинансовых организаций в удаленном режиме». Такое сообщение размещено на сайте НБКР.

В соответствии с данным постановлением определены минимальные требования по удаленной идентификации и верификации клиентов для предоставления микрофинансовых услуг.

Постановление принято в рамках мер по снижению эпидемиологических угроз и в целях повышения доступности микрофинансовых услуг.

Порядок идентификации и верификации клиентов микрофинансовых организаций в удаленном режиме

Глава 1. Общие положения

1. Настоящий Порядок идентификации и верификации клиентов микрофинансовых организаций в удаленном режиме (далее – Порядок) определяет порядок проведения микрофинансовыми организациями (далее – МФО) идентификации и верификации физических лиц-граждан Кыргызской Республики с использованием данных клиента, полученных в электронной форме без личного присутствия.

2. Порядок не распространяется на клиентов, в отношении которых ранее уже проведена процедура по надлежащей проверке клиентов и находящихся на обслуживании МФО.

3. Порядок может использоваться для дополнительного подтверждения личности физического лица при удаленном предоставлении доступа к системам дистанционного обслуживания клиентам, ранее прошедшим процедуру идентификации в личном присутствии.

При этом МФО должны использовать надежные алгоритмы предоставления доступа, в том числе применение соответствующих технологий идентификации и верификации клиентов посредством видеосвязи и определение мер от несанкционированного доступа от имени клиента.

4. При идентификации и верификации клиентов в удаленном режиме МФО должны:

- обеспечить адекватную систему внутреннего контроля, включая описание процедур, связанных с применением новых технологий (новых продуктов), предполагающих идентификацию клиента без личного присутствия, наличие внутренних нормативных документов по управлению рисками, в том числе мер по управлению операционным риском, риском финансирования террористической деятельности и легализации (отмывания) преступных доходов (далее – ФТД/ЛПД), комплаенс-риском;

- обучить персонал, ответственный за идентификацию и верификацию клиентов и управление рисками ФТД/ЛПД, вышеуказанным процедурам и надлежащему применению настоящего Порядка;

- использовать информационные системы, программное обеспечение, достаточные для соответствия требованиям настоящего Порядка;

- раскрывать информацию об условиях и требованиях удаленной идентификации (на своем официальном интернет-сайте либо посредством используемого программного обеспечения);

- верифицировать данные клиента с использованием сведений из соответствующих государственных регистрационных систем Кыргызской Республики;

- фиксировать результаты идентификации и верификации клиентов и вести реестр клиентов, прошедших удаленную идентификацию;

- принимать меры по ограничению рисков ФТД/ЛПД по клиентам, идентифицированным в удаленном режиме в соответствии с Приложением 1 к настоящему Порядку;

- выявлять и документировать риски ФТД/ЛПД до запуска процедур идентификации и верификации клиентов в удаленном режиме, принимая за основу требования настоящего Порядка. МФО вправе вводить дополнительные критерии по ограничению рисков.

5. МФО обязаны получить согласие клиента на обработку его персональных данных через государственные информационные системы или доступные источники данных, а также проинформировать его о последствиях за предоставление неполной информации и недостоверных сведений при удаленной идентификации и верификации.

Глава 2. Удаленная идентификация и верификация клиентов посредством сверки фото

6. До начала идентификации МФО должны провести регистрацию клиента в собственных информационных системах посредством электронных каналов взаимодействия (веб-сайт, мобильное приложение, специализированное программное обеспечение, мессенджеры, специализированные устройства, терминалы и посредством иных каналов, использование которых не противоречит законодательству Кыргызской Республики) с указанием номера телефона клиента и данных для заполнения анкеты клиента.

7. МФО также осуществляют проверку номера мобильного телефона (зарегистрированного на территории Кыргызской Республики), указанного клиентом, путем направления информации по каналу связи, независимому от того, что используется для регистрации (путем отправки кодов, паролей в SMS-сообщении на указанный клиентом номер мобильного телефона или иным способом).

8. В ходе идентификации МФО должны получить фотографию лицевой и оборотной сторон документа, удостоверяющего личность, и фотографию клиента с документом по электронным каналам взаимодействия в соответствии с установленными требованиями МФО.

9. Если качество фотографий не позволяет четко определить принадлежность фотографий одному и тому же лицу, МФО могут направить дополнительный запрос клиенту на получение фотографий.

10. МФО проводят проверку клиента на наличие или отсутствие в санкционных перечнях и Перечне лиц, групп и организаций, в отношении которых имеются сведения об их участии в легализации (отмывании) преступных доходов, в соответствии с законодательством Кыргызской Республики.

11. Документ, удостоверяющий личность, должен быть проверен на подлинность путем запроса или направления на проверку данных о документе в соответствующие государственные информационные системы.

12. Если данные, полученные от клиента, а также фотографии клиента соответствуют изображению на документе, удостоверяющем личность, МФО направляют уведомление об успешной идентификации и верификации.

13. Полученные сведения фиксируются в анкете клиента, хранятся в электронном виде с отметкой об идентификации в удаленном режиме посредством сверки фото.

14. МФО вправе использовать программные решения, которые позволят обеспечить соблюдение условий и процедур, предусмотренных настоящим Порядком и законодательством Кыргызской Республики, в автоматическом режиме. Такое программное обеспечение должно как минимум обеспечивать автоматическое сличение фотографии в документе, удостоверяющем личность, и изображения клиента, а также предусматривать защиту от подмены данных.

Глава 3. Удаленная идентификация и верификация клиентов с использованием видеосвязи

§ 1. Организация идентификации и верификации клиентов по видеосвязи

15. До проведения сеанса видеосвязи МФО должны провести регистрацию клиента в собственных информационных системах посредством электронных каналов взаимодействия (веб-сайт, мобильное приложение, специализированное программное обеспечение, мессенджеры и т.д.) с указанием номера телефона клиента и данных для заполнения анкеты клиента.

16. МФО также осуществляют проверку номера мобильного телефона (зарегистрированного на территории Кыргызской Республики), указанного клиентом, путем направления информации по каналу связи, независимому от того, что используется для регистрации (путем отправки кодов, паролей в SMS-сообщении на указанный клиентом номер мобильного телефона или иным способом).

17. МФО проводят проверку клиента на наличие или отсутствие в санкционных перечнях и Перечне лиц, групп и организаций, в отношении которых имеются сведения об их участии в легализации (отмывании) преступных доходов.

18. Для проведения идентификации и верификации клиента по видеосвязи МФО запрашивают данные о клиенте из соответствующих государственных регистрационных систем.

19. Допускается получение фотографий документа, удостоверяющего личность, и фотографии клиента заранее согласованным способом с проверкой путем запроса или направления на проверку данных о документе в соответствующие государственные информационные системы.

20. МФО для целей проведения идентификации с использованием видеосвязи могут использовать собственное программное обеспечение или программное обеспечение, предоставленное третьими сторонами, которые позволят обеспечить соблюдение условий и процедур, предусмотренных настоящим Порядком и законодательством Кыргызской Республики. При этом удаленная идентификация с использованием видеосвязи должна проводиться сотрудником МФО.

21. Если данные, полученные от клиента, а также фотографии и видеозапись дают возможность идентифицировать и верифицировать клиента, МФО должны направить уведомление клиенту об успешной идентификации и верификации.

22. Полученные сведения о клиенте фиксируются в анкете клиента и хранятся в электронном виде с отметкой об удаленной идентификации и верификации с использованием видеосвязи.

§ 2. Требования к видеоизображению

23. Сеанс видеосвязи должен выполняться в режиме реального времени без перерывов. Видео- и аудиопоток должны быть синхронизированы. Изображение должно быть цветным.

24. В ходе сеанса связи должны быть четко видны лицо и плечи клиента. Лицо клиента должно быть полностью открыто, не допускается ношение солнцезащитных очков или иных аксессуаров, закрывающих лицо, а также попадание тени на лицо клиента.

25. Сотрудники МФО могут проинструктировать клиента о том, каким образом обеспечить качество изображения, соответствующее требованиям настоящего Порядка.

26. В ходе проведения сеанса видеосвязи клиент должен находиться в достаточно освещенном помещении.

27. Не допускается участие в процессе идентификации третьих лиц, за исключением случаев, когда клиенту требуется содействие третьего лица в силу ограниченных возможностей здоровья.

§ 3. Интервью во время сеанса видеосвязи

28. В ходе сеанса видеосвязи сотрудник МФО, прошедший соответствующий инструктаж по удаленной идентификации клиентов, должен провести интервью с клиентом.

29. Сотрудник МФО должен представить себя, указав свое имя, фамилию, занимаемую должность и наименование МФО.

30. В ходе сеанса видеосвязи МФО должны сделать фотографию лица клиента и его документа, удостоверяющего личность, в одном кадре, эта фотография должна храниться вместе с видеозаписью.

31. Если качество видеоизображения или звука не позволяют успешно провести идентификацию, и наблюдается вероятность возникновения рисков, либо возникают какие-либо сомнения в отношении документа, удостоверяющего личность клиента, МФО должны предпринять меры для устранения препятствий либо с указанием причин завершить сеанс видеосвязи.

32. Для проведения интервью используется опросник, разработанный в соответствии с программой внутреннего контроля МФО. Опросник используется для получения или проверки сведений, необходимых для внесения в анкету клиента, при этом МФО должны провести верификацию иных сведений о клиенте.

33. В ходе интервью сотрудник МФО не должен использовать одну и ту же очередность вопросов.

Глава 4. Признание идентификации клиента неуспешной

34. Идентификация клиента при дистанционном обслуживании признается неуспешной в следующих случаях:

- информация, предоставленная клиентом, не может быть проверена, или результаты проверки отрицательны;

- если качество фото, видео и аудио не соответствует требованиям и правилам внутреннего контроля МФО;

- непредставление необходимых документов;

- несоблюдение требований и указаний МФО, установленных во внутренних нормативных документах;

- если клиент в ходе проведения идентификации посредством видеосвязи использует помощь третьего лица, за исключением случаев, предусмотренных в настоящем Порядке;

- если есть подозрения, что клиент действует не по своей воле и/или под давлением других лиц;

- в случае наличия признаков, что идентификация инициирована в целях финансирования террористической деятельности и легализации (отмывания) преступных доходов.

Глава 5. Требования к информационно-телекоммуникационным технологиям и хранению информации

35. МФО должны использовать информационные системы и методы, обеспечивающие защиту от неавторизованного доступа третьих сторон к процедуре и результатам идентификации.

36. МФО должны использовать программное обеспечение, обеспечивающее сквозное шифрование сеанса видеосвязи и канала передачи фотографий.

37. Фото, видео- и аудиозапись должны быть качественными, а также быть недоступными для использования информации посторонним лицом.

38. Фото, видео- и аудиозаписи хранятся без потери качества.

39. Файлы фото- и видеозаписи должны также содержать информацию о времени и дате записи, имени, фамилии, отчестве клиента, а также прочие метаданные. Программное обеспечение должно фиксировать любые изменения, вносимые в видеозапись впоследствии.

40. Запись сеанса видеосвязи, а также фото клиента должны храниться МФО в досье клиента вместе с иной информацией, предусмотренной нормативными правовыми актами Кыргызской Республики, в целях противодействия ФТД/ЛПД.

41. В ходе деловых отношений МФО обновляют данные в порядке, установленном правовыми актами Кыргызской Республики, в целях противодействия ФТД/ЛПД.

42. МФО должны обеспечить надлежащий контроль за сохранением конфиденциальных сведений о клиентах, полученных ими в результате процедуры удаленной идентификации, путем непрерывного совершенствования процессов внутреннего контроля, улучшения механизмов и требований по информационной безопасности своих информационных ресурсов.