Forskrift om systemer for betalingstjenester

DatoFOR-2015-12-17-1731
DepartementFinansdepartementet
PublisertI 2015 hefte 16
Ikrafttredelse01.01.2016
Sist endret
Endrer
Gjelder forNorge
HjemmelLOV-1999-12-17-95-§3-3
Kunngjort29.12.2015   kl. 16.15
KorttittelForskrift om systemer for betalingstjenester

Hjemmel: Fastsatt av Finanstilsynet 17. desember 2015 hjemmel i lov 17. desember 1999 nr. 95 om betalingssystemer m.v. § 3-3.

§ 1.Virkeområde

Forskriften gjelder for banker, kredittinstitusjoner, e-pengeforetak, betalingsforetak og filialer av slike foretak med hovedsete i annen stat som omfattes av Det europeiske økonomiske samarbeidsområde (EØS).

§ 2.Risikovurdering og etterlevelse av regelverk

Foretak som tilbyr elektroniske betalingstjenester skal gjennomføre risiko- og sårbarhetsanalyser som en del av beslutningsgrunnlaget før en ny betalingstjeneste lanseres og ved hendelser eller endringer av betydning for sikkerhetsnivået og minst en gang årlig.

Foretaket skal etablere system for å sikre etterlevelse av regelverk, avtaler og interne rutiner.

§ 3.Sikkerhetskrav

Foretaket som tilbyr elektroniske betalingstjenester skal etablere tiltak for å sikre nødvendig konfidensialitet, integritet og tilgjengelighet for tjenestene. Gjeldende nasjonale standarder og internasjonalt anerkjente standarder skal følges.

Foretaket er ansvarlig for at tjenesten i sin helhet (ende til ende) er beskyttet gjennom logiske og fysiske sikringstiltak. Kommunikasjon over åpne nett, herunder internett og telenett, skal være kryptert. Kunden skal autentiseres gjennom en sikker påloggingsmekanisme.

Foretaket skal sikre at utlevering av identitetskjennetegn skjer på betryggende måte. Videre skal foretaket sikre at kunden på en hensiktsmessig måte kan beskytte sine identitetskjennetegn, og foretaket skal etablere løsninger som gjør at kunden kan sperre videre bruk av identitetskjennetegnene.

Foretaket skal sikre at datatrafikk i elektroniske betalingstjenester overvåkes for å sikre tilstrekkelig sikkerhetsnivå og kunne avdekke og hindre uautorisert bruk av tjenesten.

Foretakets risiko- og sårbarhetsvurdering skal legges til grunn for å avklare behov for sikkerhetstiltak.

§ 4.Ikrafttredelse

Forskriften trer i kraft 1. januar 2016.