Ödəniş təşkilatları və elektron pul təşkilatları tərəfindən fəaliyyətin təşkili və həyata keçirilməsi Qaydası
Ödəniş xidmətləri və ödəniş sistemləri haqqında sual-cavab - VİDEO
1. Ümumi müddəalar
1.1. Bu Qayda “Ödəniş xidmətləri və ödəniş sistemləri haqqında” Azərbaycan Respublikası Qanununun (bundan sonra – Qanun) 3.2.9-cu, 4.2-ci, 5.1.1-ci, 5.1.2-ci, 7.1.1-ci, 10.1-ci, 49.2.11-ci, 49.3-cü, 59.2.3-cü, 62.3.1-ci, 62.4-cü maddələrinə uyğun olaraq hazırlanmışdır.
1.2. Bu Qayda ödəniş təşkilatının və elektron pul təşkilatının minimum nizamnamə kapitalına və məcmu kapitalın minimum miqdarına dair tələbləri, məcmu kapitalın hesablanması qaydasını, strukturunu və tərkibini, valyuta mübadiləsi fəaliyyətinin həyata keçirilməsi və ödəniş xidməti istifadəçilərinə kreditlərin verilməsi qaydasını, elektron pul təşkilatı tərəfindən qəbul edilmiş pul vəsaitinin investisiya edilə biləcəyi aşağı riskli likvid aktivləri, əməliyyat və ya təhlükəsizlik insidentləri barədə məlumat verilməsi hallarını və qaydasını, həssas ödəniş məlumatları ilə prosedurlara dair tələbləri müəyyən edir. Hazırki Qayda həmçinin, ödəniş təşkilatı və elektron pul təşkilatının fəaliyyət proqramı və biznes-planına, daxili nəzarət və risklərin idarəetmə sistemlərinə, o cümlədən ödəniş xidmətlərinin göstərilməsi üzrə təhlükəsizlik tədbirlərinə, fövqəladə hallarda fəaliyyətinin davamlılığına və bərpa planına dair tələbləri, müstəsna olaraq hesab üzrə məlumat xidməti göstərmək istəyən ödəniş təşkilatı üçün mülki məsuliyyətinin sığortasının (qarantiyanın) minimum miqdarını, informasiyanın mühafizəsinin təmin edilməsinə dair tələbləri, habelə ödəniş təşkilatı və elektron pul təşkilatının fəaliyyətinə dair hеsаbаtların formasını, məzmununu və təqdim edilməsi qaydasını müəyyən edir.
1.3. Qanunun 3.2.9-cu maddəsinə uyğun olaraq mobil rabitə operatoru tərəfindən rəqəmsal kontentin və səs əsaslı xidmətlərin alınması üzrə təqdim edilən bir ödəniş əməliyyatının maksimal məbləği 50 (əlli) manatdan, bir abunəçi üzrə bu növ ödəniş əməliyyatlarının bir ay ərzində həcmi isə 250 (iki yüz əlli) manatdan yuxarı olduqda, habelə xeyriyyə fəaliyyəti çərçivəsində bir abunəçi üzrə həyata keçirilən bu növ ödəniş əməliyyatlarının bir ay ərzində həcmi 500 (beş yüz) manatdan yuxarı olduqda, müvafiq ödəniş əməliyyatları Qanunun məqsədləri üçün ödəniş xidməti hesab olunur.
1.4. Bu Qaydada “təşkilat” dedikdə ödəniş təşkilatı və elektron pul təşkilatı nəzərdə tutulur.
1.5. Təşkilatda kassa əməliyyatları, nağd pulun saxlanması və inkassasiyası Azərbaycan Respublikası Mərkəzi Bankının (bundan sonra – Mərkəzi Bank) İdarə Heyətinin 14 sentyabr 2021-ci il tarixli, 24/1 nömrəli Qərarı ilə təsdiq edilmiş “Kredit təşkilatlarında kassa əməliyyatlarının aparılması, nağd pul və digər qiymətlilərin saxlanması və inkassasiyası Qaydası”na uyğun olaraq aparılır.
1.6. Təşkilat tərəfindən maliyyə vəsaitlərinin elektron köçürülməsi Mərkəzi Bankın İdarə Heyətinin 22 fevral 2023-cü il tarixli, 09/1 nömrəli Qərarı ilə təsdiq edilmiş “Maliyyə vəsaitlərinin elektron köçürülməsi zamanı müştəri uyğunluğu tədbirlərinin tətbiq edilməsi Qaydası”na uyğun olaraq aparılır.
1.7. Təşkilat tərəfindən ödəniş hesablarının açılması, aparılması və bağlanması qaydası Qanunun tələbləri nəzərə alınmaqla Mərkəzi Bankın İdarə Heyətinin 4 fevral 2022-ci il tarixli 04/2 nömrəli Qərarı ilə təsdiq edilmiş “Bank hesablarının açılması, aparılması və bağlanması Qaydası” ilə tənzimlənir.
2. Anlayışlar
2.1. Bu Qaydada istifadə olunan anlayışlar aşağıdakı mənaları ifadə edir:
2.1.1. likvidlik riski - planlaşdırılmış və gözlənilməyən öhdəliklərin vaxtında və effektiv yerinə yetirilə bilməməsi nəticəsində yaranan risk;
2.1.2. əməliyyat riski - təşkilatın əməkdaşları tərəfindən yol verilmiş nöqsan və səhvlər, informasiya sistemi və texnologiyalarda baş vermiş problem və çatışmazlıqlar, habelə təşkilatdan kənar hadisələrlə əlaqədar yaranan risk;
2.1.3. kredit riski - ödəniş xidməti istifadəçisinin təşkilatdan aldığı kreditlə bağlı öhdəliyinin təşkilat qarşısında vaxtında və ya tam icra olunmaması nəticəsində yaranan risk;
2.1.4. komplayens riski - təşkilatın qanunvericiliyə və maliyyə bazarlarını tənzimləyən hüquqi aktların tələblərinə riayət etməməsi nəticəsində üzləşə biləcəyi təsir tədbirləri və sanksiyalar, maliyyə itkiləri və ya nüfuzunun itirilməsi riski;
2.1.5. elektron pulun orta qalıq dəyərinin həcmi - elektron pulun emissiyası məqsədilə son 6 (altı) ay ərzində istifadəçilərdən cəlb edilmiş vəsaitlərin hər ayın son təqvim gününə olan qalıqları əsasında hesablanmış orta məbləğ.
2.2. Bu Qaydada istifadə edilən digər anlayışlar Qanunda müəyyən edilmiş mənaları ifadə edir.
3. Təşkilatın nizamnamə kapitalı
3.1. Ödəniş təşkilatının nizamnamə kapitalının (xarici ödəniş təşkilatının yerli filialına ayrılmış vəsaitin) minimum miqdarı göstərdiyi ödəniş xidmətindən asılı olaraq aşağıdakı qaydada müəyyən olunur:
3.1.1. Qanunun 3.1.1-ci, 3.1.2-ci, 3.1.3-cü maddələrində nəzərdə tutulan ödəniş xidmətlərini birlikdə və ya onlardan hər hansı birini göstərdikdə 500 (beş yüz) min manat məbləğində;
3.1.2. Qanunun 3.1.4-cü maddəsində nəzərdə tutulan ödəniş xidmətini göstərdikdə 100 (bir yüz) min manat məbləğində;
3.1.3. Qanunun 3.1.6-cı maddəsində nəzərdə tutulan ödəniş xidmətini göstərdikdə 100 (bir yüz) min manat məbləğində;
3.1.4. bu Qaydanın 3.1.1-ci, 3.1.2-ci, 3.1.3-cü yarımbəndlərində göstərilən ödəniş xidmətlərinin hamısını və ya bir neçəsini həyata keçirdikdə müvafiq bəndlərdə müəyyənləşdirilən ən yuxarı məbləğdə.
3.2. Elektron pul təşkilatının nizamnamə kapitalının (xarici elektron pul təşkilatının yerli filialına ayrılmış vəsaitin) minimum miqdarı 750 (yeddi yüz əlli) min manat məbləğində müəyyən olunur.
3.3. Müstəsna olaraq Qanunun 3.1.7-ci maddəsində nəzərdə tutulan ödəniş xidmətini göstərən ödəniş təşkilatından nizamnamə kapitalı tələb edilmir. Bu təşkilat hər 100 (bir yüz) minə qədər ödəniş xidməti istifadəçisinə görə özünə aidiyyəti şəxs olmayan və eyni maliyyə qrupuna aid olmayan sığortaçıda 50 (əlli) min manatdan az olmayan məbləğdə mülki məsuliyyətini sığortalamalı və ya özünə aidiyyəti şəxs olmayan və eyni maliyyə qrupuna aid olmayan kredit təşkilatından və ya sığortaçıdan 50 (əlli) min manatdan az olmayan məbləğdə qarantiya almalıdır. Mülki məsuliyyət sığortasının və ya qarantiyanın məbləği hər 6 (altı) ayın orta istifadəçi sayına əsasən ildə iki dəfə, iyun və dekabr aylarının son iş gününə yenidən hesablanır və tələb olunduqda 10 (on) iş günü ərzində yenilənir. Təşkilat mülki məsuliyyət sığortasının və ya aldığı qarantiyanın minimal məbləğinin hesablanması haqqında hesabatı bu Qaydanın 1 nömrəli Əlavəsinə uyğun olaraq hər il iyul və yanvar aylarının ilk 5 (beş) iş günündən gec olmayaraq Mərkəzi Banka təqdim edir.
4. Təşkilatın məcmu kapitalı
4.1. Müstəsna olaraq Qanunun 3.1.6-cı və 3.1.7-ci maddələrində nəzərdə tutulan ödəniş xidmətlərinin göstərilməsi halları istisna olmaqla, təşkilat minimum məcmu kapitala malik olmalıdır. Təşkilatın məcmu kapitalının əsas məqsədi təşkilatın biznes strategiyasının dəstəklənməsi, daxili və xarici mühitdə baş verən əlverişsiz dəyişikliklər zamanı təşkilatın maliyyə dayanıqlığının təmin edilməsidir.
4.2. Təşkilatın məcmu kapitalının minimum miqdarı nizamnamə kapitalının bu Qayda ilə müəyyənləşdirilmiş minimum miqdarından və aşağıdakı qaydada hesablanan məbləğdən az olmamalıdır:
4.2.1. ödəniş təşkilatının son 12 (on iki) ay ərzində icra olunmuş ödəniş əməliyyatlarının 1/12 (on ikidə bir) hissəsinə bərabər olan orta aylıq ödəniş həcmi (ÖH) hesablanır və ÖH-yə aşağıdakı cədvələ uyğun əmsallar tətbiq edilir:
4.2.2. bu Qaydanın 4.2.1-ci yarımbəndinə uyğun olaraq hesablanmış cəmi məbləğə əlavə olaraq bu Qaydanın 4.2.3-cü yarımbəndində nəzərdə tutulmuş əmsallar tətbiq edilir;
4.2.3. ödəniş təşkilatı Qanunun 3.1.1-ci, 3.1.2-ci, 3.1.3-cü və 3.1.4-cü maddələrində nəzərdə tutulan ödəniş xidmətlərini birlikdə və ya onlardan hər hansı birini (Qanunun 3.1.4-cü maddəsi istisna olmaqla) göstərdikdə əmsal 1-ə, yalnız müstəsna olaraq Qanunun 3.1.4-cü maddəsində nəzərdə tutulan ödəniş xidmətini göstərdikdə isə əmsal 0.5-ə bərabər olur.
4.3. Elektron pul təşkilatı bu Qayda ilə müəyyən edilmiş minimum nizamnamə kapitalından az olmamaq şərtilə, emissiya etdiyi elektron pulun orta qalıq dəyəri həcminin ən azı 2 (iki) faizinə bərabər məbləğdə məcmu kapitala malik olmalıdır. Elektron pul təşkilatı Qanunun 3.1.5-ci maddəsində nəzərdə tutulan ödəniş xidmətindən başqa digər ödəniş xidmətlərini göstərdikdə onun məcmu kapitalının minimum miqdarı bu bəndə əsasən hesablanan məbləğlə bu Qaydanın 4.2-ci bəndinə uyğun olaraq hesablanan məbləğin cəminə bərabər olmalıdır.
4.4. Təşkilatın məcmu kapitalı üzrə hesablama il ərzində 4 (dörd) dəfə - hər rübün son iş günündə aparılır. Xarici valyutada olan göstəricilər hesablama tarixinə Mərkəzi Bankın rəsmi məzənnəsi ilə manat ekvivalentində əks etdirilir.
4.5. Təşkilatın məcmu kapitalının strukturu aşağıdakı komponentlərdən ibarətdir:
4.5.1. tam ödənilmiş nizamnamə kapitalı (səhmdar cəmiyyətə münasibətdə dövriyyəyə buraxılıb tam ödənilmiş adi səhmlər) təşkilatın geri aldığı adi səhmlər və paylar çıxılmaqla;
4.5.2. kapital artıqlığı - səhmlərin (payların) satış dəyəri ilə nominal dəyəri arasında yaranmış fərq;
4.5.3. keçmiş illərin bölüşdürülməmiş xalis mənfəəti (zərəri):
4.5.3.1. keçmiş illərin bölüşdürülməmiş mənfəəti (zərəri);
4.5.3.2. kapital ehtiyatları, yəni keçmiş illərin bölüşdürülməmiş mənfəəti hesabına yaradılmış fondlar.
4.6. Qanunun 7.1.2-ci maddəsinin məqsədləri çərçivəsində qarantiyanın təminatı olan aktivlər təşkilatın məcmu kapitalının hesablanmasına daxil edilmir.
4.7. Təşkilatın məcmu kapitalı hesablanmazdan əvvəl kapitaldan aşağıda göstərilənlər çıxılır:
4.7.1. qeyri-maddi aktivlərin xalis dəyəri (amortizasiya nəzərə alınmaqla);
4.7.2. Maliyyə Hesabatlarının Beynəlxalq Standartları ilə müəyyən olunmuş təxirə salınmış vergi aktivlərinin məbləği;
4.7.3. təşkilatın törəmə cəmiyyətləri, habelə digər hüquqi şəxslərin kapitalına vəsait qoyuluşları.
4.8. Təşkilat məcmu kapitalın komponentləri üzrə hesabatı bu Qaydanın müvafiq olaraq 2 və 3 nömrəli Əlavələrinə uyğun olaraq rüblük əsasda növbəti rübün ilk 5 (beş) iş günündən gec olmayaraq, fəaliyyəti ilə bağlı digər hesabatı isə bu Qaydanın 11 nömrəli Əlavəsinə uyğun olaraq aylıq əsasda növbəti ayın ilk 5 (beş) iş günündən gec olmayaraq Mərkəzi Banka təqdim edir.
5. Ödəniş xidmətlərinin göstərilməsi üzrə fəaliyyət proqramı və biznes-plan
5.1. Ödəniş xidmətlərinin göstərilməsi üzrə fəaliyyət proqramında ən azı aşağıdakılar əks olunur:
5.1.1. ödəniş xidmətlərinin növü və təqdim edilmə üsullarına dair ətraflı açıqlama, ödəniş xidmətlərinin izahlı təsviri (əməliyyat axınının və vəsaitlərin hərəkətinin diaqramı və açıqlanması, əməliyyat zəncirində iştirak edən tərəflər və onların funksiyaları, habelə hesablaşmaların aparılması qaydası aydın göstərilməklə);
5.1.2. ödəniş xidmətlərinin göstərilməsi ilə yanaşı Qanunun 5.1-ci maddəsinə uyğun olaraq həyata keçiriləcək fəaliyyət növlərinə dair ətraflı açıqlama;
5.1.3. ödəniş xidməti istifadəçilərinin pul vəsaitlərinin təhlükəsizliyinin təmin olunması üzrə tətbiq ediləcək tədbirlərin açıqlanması (Qanunun 7.1.2-ci maddəsi üzrə müəyyən edilmiş üsul seçildikdə sığorta və qarantiya məbləğinin hesablanması qaydası ayrıca göstərilməklə);
5.1.4. ödəniş hesablarının açılması qaydası, tətbiq edilən unikal eyniləşdiricinin strukturunun təsviri;
5.1.5. ödəniş xidmətlərinin filial, ödəniş agentləri, ödəniş terminalları vasitəsilə göstərilməsi nəzərdə tutulduqda, onlara dair məlumat;
5.1.6. üçüncü tərəf təchizatçıların xidmətlərindən istifadə edildikdə həmin təchizatçılar və onların təqdim etdiyi xidmətlər, habelə vəzifə və öhdəlikləri barədə ətraflı məlumat;
5.1.7. ödəniş xidmətlərinin göstərilməsi zamanı yerli və xarici ödəniş xidməti təchizatçıları ilə qarşılıqlı əməkdaşlıq nəzərdə tutulduqda inteqrasiya modeli və ödəniş xidmətlərinin təqdimetmə üsuluna dair ətraflı açıqlama.
5.2. Təşkilatın ilk 3 (üç) il üçün tərtib edilmiş biznes-planında ən azı aşağıdakı məlumatlar əks olunur:
5.2.1. təşkilatın ödəniş xidmətləri bazarında rəqabət mövqeyinin təhlilini və ödəniş xidməti istifadəçilərinə ödəniş xidmətlərinin göstərilməsi kanallarının açıqlamasını əks etdirən marketinq strategiyası;
5.2.2. təşkilatın sabit fəaliyyət göstərməsini təmin edəcək müvafiq sistemlərə, resurslara və prosedurlara malik olduğunu müəyyənləşdirməyə imkan verən və aşağıdakıları əks etdirən ilk 3 (üç) il üzrə maliyyə proqnozları:
5.2.2.1. proqnozlaşdırılan mənfəət və zərər hesabatı, balans hesabatı, pul vəsaitlərinin hərəkəti haqqında hesabat;
5.2.2.2. ehtimal olunan əməliyyat həcmi və sayı, tətbiq olunacaq xidmət haqları;
5.2.3. təşkilatın proqnozlaşdırılan məcmu kapitalına dair məlumat.
6. Daxili nəzarət və risklərin idarə edilməsi sistemləri
6.1. Ödəniş xidmətlərinin etibarlı və təhlükəsiz göstərilməsini təmin etmək üçün təşkilat müvafiq təşkilati struktura, risklərin idarəetmə sisteminə və fəaliyyətinin bütün sahələrini əhatə edən daxili nəzarət sisteminə malik olmalıdır.
6.2. Təşkilatın struktur bölmələrinin funksiyalarını, səlahiyyətlərini, tabelik və hesabat vermə qaydalarını müəyyən edən və təşkilatın səlahiyyətli idarəetmə orqanı tərəfindən təsdiq edilən reqlament sənədləri (əsasnamə, qayda, prosedur və s.) olmalıdır.
6.3. Təşkilatın daxili nəzarət sistemi ən azı aşağıdakıları təmin etməlidir:
6.3.1. təşkilat daxilində qərarların qəbul edilməsində səlahiyyət bölgüsünün dəqiq müəyyən edilməsini;
6.3.2. idarəetmə orqanlarının fəaliyyəti üçün tələb olunan məlumatların tam, düzgün və vaxtında hazırlanması və çatdırılmasını;
6.3.3. təşkilatın fəaliyyətinin qanunvericiliyə, maliyyə bazarlarını tənzimləyən hüquqi aktlara və daxili reqlament sənədlərinə uyğun olmasını;
6.3.4. filiallarda həyata keçirilən əməliyyatların təşkilatın avtomatlaşdırılmış əməliyyat sistemində real vaxt rejimində əks olunmasını;
6.3.5. struktur bölmələr arasında maraqlar münaqişəsinin olmamasını, maraqlar münaqişəsinin baş verə biləcəyi halların və sahələrin vaxtında müəyyən edilməsi və qarşısının alınması üzrə müvafiq prosedurların olmasını;
6.3.6. aparılan ödəniş əməliyyatlarının təşkilatın mühasibat uçotu və maliyyə hesabatlığında əks olunmasını;
6.3.7. təşkilatın informasiya sistemlərinin daxili reqlament sənədlərinə uyğun etibarlı, davamlı və təhlükəsiz idarə olunmasını;
6.3.8. təşkilatda informasiyanın konfidensiallığının və tamlığının təmin olunmasını;
6.3.9. daxili auditin həyata keçirilməsini;
6.3.10. təşkilatın fəaliyyətində və daxili nəzarət sistemində kənar və ya daxili audit nəticəsində aşkar edilmiş pozuntu və çatışmazlıqlar haqqında təşkilatın idarəetmə orqanlarının vaxtında məlumatlandırılmasını, onların aradan qaldırılması üzrə həyata keçirilən tədbirlərin nəzarətdə saxlanılmasını;
6.3.11. qanunvericiliyin və maliyyə bazarlarını tənzimləyən hüquqi aktların tələblərinə uyğun olaraq məlumat və hesabatların vaxtında, tam və düzgün tərtib və təqdim edilməsini;
6.3.12. Qanunun 11-ci maddəsinin tələbləri nəzərə alınmaqla, ödəniş xidməti istifadəçilərinin müraciətlərinə baxılması üzrə daxili reqlament sənədlərinin mövcudluğunu;
6.3.13. təşkilat üçüncü tərəf təchizatçıların xidmətlərindən istifadə etdikdə, həmin təchizatçılar tərəfindən Qanunla və bu Qayda ilə müəyyən edilmiş müvafiq tələblərin gözlənilməsini, habelə informasiyanın saxlanılması və ötürülməsi üzrə təhlükəsizlik tədbirlərinin görülməsini;
6.3.14. müstəsna olaraq Qanunun 3.1.6-cı və (və ya) 3.1.7-ci maddələrində nəzərdə tutulan ödəniş xidmətlərinin göstərilməsi halları istisna olmaqla, “Cinayət yolu ilə əldə edilmiş əmlakın leqallaşdırılmasına və terrorçuluğun maliyyələşdirilməsinə qarşı mübarizə haqqında” Azərbaycan Respublikasının Qanununa (ƏL/TMM Qanunu) müvafiq olaraq ƏL/TMM üzrə daxili nəzarət proqramının mövcud olmasını;
6.3.15. cəlb edilmiş ödəniş agentləri tərəfindən ödəniş xidmətləri sahəsində qanunvericiliyin, habelə ƏL/TMM Qanununun tələblərinə əməl olunmaqla göstərilməsinə nəzarətin həyata keçirilməsi ilə bağlı təşkilatın daxili qayda və prosedurlara malik olmasını.
6.4. Təşkilat daxili auditlə bağlı aşağıdakı tələblərə əməl etməlidir:
6.4.1. təşkilatın səlahiyyətli idarəetmə orqanı daxili audit planlarını təsdiq etməli, audit fəaliyyətinin həyata keçirilməsi üçün lazımi şərait yaratmalı və daxili audit xidmətinin aşkar etdiyi pozuntu və çatışmazlıqların aradan qaldırılması üçün müvafiq tədbirlər görməlidir;
6.4.2. təşkilatın daxili audit xidməti gündəlik əməliyyat və nəzarət funksiyalarından ayrı olmalıdır;
6.4.3. təşkilatın daxili audit xidməti ən azı ildə bir dəfə təşkilatın idarəetmə orqanlarına həyata keçirilmiş yoxlamalar, aşkar edilmiş pozuntu və çatışmazlıqlar, verilən tövsiyələr və onların icra vəziyyəti barədə hesabat verməlidir.
6.5. Təşkilatın bütün fəaliyyət sahələri (kənar şəxslərin xidmətlərindən istifadə edilməklə həyata keçirilən fəaliyyətlər də daxil olmaqla) audit funksiyasının əhatə dairəsinə daxildir.
6.6. Təşkilatda daxili auditin təşkili və fəaliyyətinin həyata keçirilməsi zamanı “Daxili audit haqqında” Azərbaycan Respublikası Qanununun tələblərinə əməl edilməlidir.
6.7. Təşkilat ödəniş xidmətlərinin növünə, həcminə, fəaliyyətinin xüsusiyyətlərinə, üzləşdiyi risklərə adekvat risklərin effektiv idarə edilməsi sisteminə malik olmalıdır.
6.8. Risklərin idarə edilməsi sistemi ən azı aşağıdakı qayda və prosedurları əhatə etməlidir:
6.8.1. təşkilatın bütün mövcud və potensial risklərinin, o cümlədən likvidlik, əməliyyat, komplayens, kredit və digər risklərin müəyyənləşdirilməsi, qiymətləndirilməsi, idarə olunması, monitorinqi və nəzarəti də daxil olmaqla risklərin idarə edilməsi qaydasını;
6.8.2. ödəniş xidmətləri ödəniş agentləri vasitəsilə göstərildiyi halda bununla bağlı yarana biləcək risklərin idarə edilməsi qaydasını;
6.8.3. üçüncü tərəf təchizatçıların xidmətlərindən istifadə edilməsi ilə bağlı yarana biləcək risklərin monitorinqi və idarə edilməsi prosedurunu;
6.8.4. təşkilatın struktur bölmələri arasında risklər üzrə səlahiyyət bölgüsünü, risklərin idarə edilməsi üzrə qarşılıqlı fəaliyyətini və məlumat mübadiləsinin təsvirini;
6.8.5. risklərin idarə edilməsi üzrə hesabatlılıq sistemini.
6.9. Risklərin idarəedilməsi üzrə daxili qayda və prosedurlara ildə azı 1 (bir) dəfə baxılır və zərurət olduqda müvafiq dəyişikliklər edilir.
6.10. Təşkilat tərəfindən yeni ödəniş xidmətləri göstərildikdə, yeni məhsul təqdim edildikdə, informasiya sistemləri və texnologiyalarında əsaslı dəyişikliklər aparıldıqda, ödəniş xidmətlərinin ödəniş agentləri və ya filiallar vasitəsilə göstərilməsinə başlandıqda, habelə ödəniş xidmətlərinin təhlükəsiz göstərilməsinə təsir edən əməliyyat və ya təhlükəsizlik insidentləri baş verdikdə risklərin idarəedilməsi üzrə daxili qayda və prosedurlara yenidən baxılır və zərurət olduqda müvafiq dəyişikliklər edilir.
7. Ödəniş xidmətlərinin göstərilməsi üzrə təhlükəsizlik tədbirləri
7.1. Təşkilatın informasiya təhlükəsizliyinin idarə edilməsi sisteminin yaradılması, tətbiq edilməsi, dəstəklənməsi və davamlı inkişaf etdirilməsi məqsədilə informasiya təhlükəsizliyi siyasəti mövcud olmalı və ən azı aşağıdakıları özündə ehtiva etməlidir:
7.1.1. təşkilat daxilində informasiya təhlükəsizliyinə cavabdeh struktur bölmənin (bölmələrin) mövcudluğu və səlahiyyətlərinin müəyyənləşdirilməsini;
7.1.2. informasiya sistemlərinə və texnologiyalarına girişlərə nəzarətlə bağlı tədbirləri;
7.1.3. ödəniş xidməti istifadəçisinin və ödəniş alətinin autentifikasiyası üçün tətbiq olunan prosedurları;
7.1.4. fiziki token, PİN kod və digər autentifikasiya faktorlarının (vasitələrinin) ilkin qeydiyyatı və yenilənməsi zamanı onların ödəniş xidməti istifadəçisinə təhlükəsiz çatdırılması prosedurunu;
7.1.5. informasiyanın mühafizəsi məqsədi ilə kriptoqrafik vasitələrdən istifadə qaydasını;
7.1.6. kənardan təşkilatın informasiya sistemləri və texnologiyaları ilə əlaqəsi olan kontragentlər, o cümlədən xidmət təchizatçıları, təşkilatın olduğu yerdən kənarda işləyən əməkdaşları ilə informasiya mübadiləsinin təşkili zamanı tətbiq edilən informasiya təhlükəsizliyi tədbirlərini;
7.1.7. informasiya, habelə informasiyanın işlənməsi vasitələri ilə bağlı aktivlərin müəyyənləşdirilməsi, bu aktivlərin inventarizasiyası və aktuallığının təmin edilməsi qaydasını;
7.1.8. texniki zəifliklərin analizi və aradan qaldırılması məqsədi ilə ildə ən azı 1 (bir) dəfə müdaxilə sınaqlarının keçirilməsi və nəticələrinin rəsmiləşdirilməsi prosesini;
7.1.9. autentifikasiya prosesinin, zərərverici proqram təminatlarından müdafiə vasitələrinin, loqların qeydə alınması və onlar üzərində monitorinqin həyata keçirilməsi, həmçinin ehtiyat nüsxələrin yaradılması, saxlanılması və bərpası qaydasını;
7.1.10. təşkilatın ərazisi və informasiyanın işlənməsi mərkəzi (server otağı) üzrə fiziki təhlükəsizlik tədbirləri, o cümlədən girişə nəzarət və ətraf mühit təhdidlərinin yaratdığı risklərin azaldılması tədbirlərini.
7.2. Təşkilat bu Qaydanın 7.1.8-ci yarımbəndində nəzərdə tutulmuş müdaxilə sınaqlarının rəsmiləşdirilmiş nəticələri barədə məlumatı 7 (yeddi) iş günü müddətində Mərkəzi Banka təqdim etməlidir.
7.3. Təşkilatda informasiya təhlükəsizliyi hadisələri, xətalar, habelə istifadəçilərin fəaliyyəti barədə məlumatları qeydə alan hadisə loqlarının qeydiyyatı aparılmalı və saxlanılmalıdır. Hadisə loqlarının saxlanma müddəti 1 (bir) ildən az olmamalıdır.
7.4. Təşkilatın fırıldaqçılıq hallarına qarşı təhlükəsizlik siyasəti mövcud olmalı və ən azı aşağıdakıları özündə ehtiva etməlidir:
7.4.1. fırıldaqçılıq hallarının qarşısının alınması üzrə tədbirləri və istifadə edilən alətləri;
7.4.2. fırıldaqçılıq halları ilə bağlı şikayətlərə baxılması üzrə məsul əməkdaşlar və ya struktur bölmə haqqında məlumatları;
7.4.3. fırıldaqçılıq halı baş verdikdə aidiyyəti struktur bölmələrin məlumatlandırılması qaydasını;
7.4.4. istifadəçilər tərəfindən aidiyyəti müraciətlərin edilməsi üçün əlaqə vasitələrini (elektron poçt ünvanı, əlaqə telefonu və s.).
7.5. Həssas ödəniş məlumatlarının yazılması, monitorinqi, izlənilməsi və bu məlumatlara girişin məhdudlaşdırılması üzrə prosedurları müəyyən edən təşkilatın daxili qaydalarında ən azı aşağıdakılar əks etdirilməlidir:
7.5.1. göstərilən ödəniş xidmətləri üzrə həssas ödəniş məlumatı hesab olunan məlumatların axınının təsviri;
7.5.2. həssas ödəniş məlumatlarına giriş hüququ olan subyektlərin müəyyən edilməsi qaydası;
7.5.3. müvafiq infrastruktur komponentlərinə və sistemlərə, o cümlədən verilənlər bazasına giriş hüququ olan şəxslər barədə məlumatı;
7.5.4. həssas ödəniş məlumatlarının saxlanılması qaydası;
7.5.5. həssas ödəniş məlumatlarından istifadə edilməsi halları;
7.5.6. informasiya sistemləri və texnologiyaları, şifrələmə və (və ya) tokenizasiya daxil olmaqla həssas ödəniş məlumatlarının təhlükəsizliyi üçün tətbiq edilən texniki təhlükəsizlik tədbirləri, habelə monitorinq alətləri;
7.5.7. həssas ödəniş məlumatlarına səlahiyyətsiz müdaxilələrin və onlarla bağlı boşluqların müəyyən edilməsi və qarşısının alınması prosedurları.
7.6. Təşkilat tərəfindən fərdi məlumatların işlənilməsi və mühafizəsi əlavə olaraq “Fərdi məlumatlar haqqında” Azərbaycan Respublikası Qanununun tələbləri nəzərə alınmaqla həyata keçirilir.
7.7. Təşkilat əməliyyat və ya təhlükəsizlik insidentlərinin davamlı və effektiv idarə edilməsi məqsədilə aşağıdakı tədbirləri həyata keçirməlidir:
7.7.1. informasiya təhlükəsizliyinə təsir göstərə biləcək hərəkətlərin və sanksiya edilməmiş müdaxilələrin aşkarlanması məqsədilə davamlı monitorinq aparmalıdır;
7.7.2. insidentlərə adekvat reaksiyanın verilməsi məqsədilə aydın səlahiyyət bölgüsünü və zəruri kommunikasiya kanallarını müəyyən etməlidir;
7.7.3. informasiya sistemlərindən istifadə edən işçilər və kontragentlər tərəfindən informasiya sistemlərində aşkar edilən və ya şübhələnən zəifliklərin qeydiyyatının aparılması və onlar barədə məlumatın verilməsi prosedurunu müəyyən etməlidir;
7.7.4. insidentlər ilə bağlı daxili qaydalarda aşağıdakılar nəzərə alınmalıdır:
7.7.4.1. insident baş verdiyi andan dəlillərin yığılmasının təmin olunması;
7.7.4.2. insidentin qeydiyyatının aparılması və risk səviyyəsi üzrə qiymətləndirilməsi;
7.7.4.3. insidentlə bağlı kommunikasiyanın təmin edilməsi;
7.7.5. insidentin aradan qaldırılması məqsədilə görüləcək tədbirlərin siyahısını formalaşdırmalı və icrasına nəzarəti həyata keçirməlidir;
7.7.6. insident aradan qaldırıldıqdan sonra insidentın bağlanılmasını və hesabatlığın aparılmasını təmin etməlidir;
7.7.7. insidentlər barədə istifadəçilərin məlumatlandırılması posedurunu müəyyən etməlidir.
7.8. Elektron pul təşkilatı pul vəsaitlərinin təhlükəsizliyinin təmin edilməsi məqsədilə ödəniş xidməti istifadəçilərinin pul vəsaitini bankda açılan hesabda saxladıqda, həmin vəsaitlərin uçotunu istifadəçiləri müəyyən etməyə imkan verən formada aparmalı, uçot məlumatlarını hər iş gününün sonu bank hesabı çıxarışı ilə üzləşdirməlidir. Elektron pul təşkilatı ödəniş xidməti istifadəçilərinin pul vəsaitlərinin saxlandığı bank hesabları barədə məlumatı aylıq əsasda növbəti ayın ilk 5 (beş) iş günündən gec olmayaraq bu Qaydanın 4 nömrəli Əlavəsinə uyğun olaraq Mərkəzi Banka təqdim edir.
7.9. Bu Qaydanın 7.8-ci bəndində göstərilən hesab ödəniş xidməti istifadəçilərinin pul vəsaitləri ilə yanaşı ödəniş xidmətlərinə və onlarla əlaqəli olan digər xidmətlərə görə xidmət haqları və digər ödənişlər daxil olduqda, elektron pul təşkilatı həmin vəsaiti növbəti iş günündən gec olmayaraq öz vəsaitlərinin saxlandığı ödəniş hesabına köçürməlidir.
7.10. Qanunun 7.1.1-ci maddəsində nəzərdə tutulduğu hallarda elektron pul təşkilatı ödəniş əməliyyatlarının aparılması üçün qəbul edilmiş pul vəsaitlərinin valyutasında aşağıdakı aşağı riskli likvid aktivlərə investisiya edə bilər:
7.10.1. dövlət qiymətli kağızlarına;
7.10.2. minimum “AA” ölkə (suveren) borc reytinqinə (və ya buna ekvivalent digər reytinq dərəcəsinə) malik ölkələrin hökumətlərinin və ya mərkəzi banklarının buraxdıqları qiymətli kağızlara;
7.10.3. beynəlxalq reytinq agentlikləri tərəfindən verilmiş “AAA” kredit reytinqinə (və ya buna ekvivalent digər reytinq dərəcəsinə) malik çoxtərəfli inkişaf banklarının buraxdıqları qiymətli kağızlara.
7.11. Elektron pul təşkilatı fəaliyyətə başladıqdan sonra 5 (beş) iş günü ərzində ödəniş xidməti istifadəçilərinin pul vəsaitlərinin təhlükəsizliyi üçün istifadə etdiyi üsullar barədə təsdiqedici sənədlərin surətini Mərkəzi Banka təqdim edir.
7.12. Elektron pul təşkilatı ödəniş xidməti istifadəçilərinin pul vəsaitlərinin saxlandığı bankı, habelə ödəniş xidməti istifadəçilərinin pul vəsaitlərinin təhlükəsizliyi üçün istifadə etdiyi digər üsulları dəyişdikdə, bu barədə 5 (beş) iş günü ərzində Mərkəzi Banka məlumat verməli və təsdiqedici sənədlərin surətini təqdim etməlidir.
8. Fövqəladə hallarda fəaliyyətin davamlılığı və bərpa planı
8.1. Təşkilatın fövqəladə hallarda fəaliyyətinin davamlılığı və bərpası planı ən azı aşağıdakıları özündə əks etdirməlidir:
8.1.1. fövqəladə halların kritiklik səviyyəsi üzrə təsnifləşdirilməsi;
8.1.2. fövqəladə hallar zamanı fəaliyyətin bərpa edilməsi üçün məsul şəxslərin siyahısı və səlahiyyətləri;
8.1.3. fövqəladə hallarda informasiya mübadiləsinin təşkilində istifadə olunan kritik informasiya sistemləri və texnologiyaların siyahısı, onlar arasında əlaqə üzrə məntiqi və fiziki topoloji diaqramlar;
8.1.4. biznesə təsir analizi çərçivəsində müəyyən edilən biznes proseslərin kritiklik səviyyəsi üzrə təsnifləşdirilməsi;
8.1.5. fövqәladә halın baş vermәsi nәticәsindә informasiya sistemindә bәrpa edilmәsi mümkün olmayan mәlumat itkisinin mәqbul hesab edilәn zaman göstәricisi;
8.1.6. fövqәladә halın baş vermәsindәn sonra biznes prosesә xidmәt edәn informasiya sisteminin bәrpa edilməsi üçün tәlәb olunan müddәt;
8.1.7. mümkün ssenarilər əsasında fövqəladə hallarda yarana biləcək dayanma zamanı mövcud olacaq risklərin qarşısının alınması üzrə tədbirlər;
8.1.8. fövqəladə hallar zamanı kommunikasiya tədbirləri;
8.1.9. informasiya sistemləri və (və ya) ehtiyatlarının saxlanılması üçün üçüncü tərəf xidmət təchizatçılarının xidmətlərindən istifadə edildiyi halda fəaliyyətin davamlılığının təmin edilməsi üzrə tədbirlər.
8.2. Təşkilat fövqəlaqə hallarda fəaliyyətinin davamlılığını təmin etmək məqsədilə informasiya sistemi və (və ya) ehtiyatlarının etibarlı, təhlükəsiz və davamlı fəaliyyətini ehtiyat mərkəzdən təmin etməlidir. Ehtiyat mərkəz təşkilatın yerləşdiyi yerdən kənarda olmalıdır.
8.3. Fövqəladə hallarda fəaliyyətin davamlılığı və bərpası planı müxtəlif ssenarilər əsasında ən azı ildə 2 (iki) dəfə sınaqdan keçirilməli və nəticələri rəsmiləşdirilməlidir. Sınağın nəticəsi uğursuz olduqda təşkilat növbəti 2 (iki) ay ərzində yenidən ehtiyat mərkəz vasitəsilə sınaq yoxlamasını aparmalıdır.
8.4. Təşkilat bu Qaydanın 8.3-cü bəndinə müvafiq olaraq sınağı həyata keçirməmişdən 5 (beş) iş günü əvvəl Mərkəzi Bankı bu barədə məlumatlandırmalı, sınaq başa çatdıqdan sonra isə 7 (yeddi) iş günü müddətində nəticəsi barədə bu Qaydaya 5 nömrəli Əlavədə göstərilən hesabatı təqdim etməlidir.
8.5. Təşkilat fövqəladə hallarda fəaliyyətinin davamlılığının təmin olunması üçün sorğuların cavablandırılması və məlumat mübadiləsinin aparılmasına məsul olan əməkdaşları (əsas və əvəzedici şəxslər) təyin edərək onları təlimatlandırmalı, həmçinin bu əməkdaşlar haqqında hər ilin fevral ayının 25-dən gec olmayaraq Mərkəzi Banka yazılı məlumat (soyadı, adı, atasının adı, vəzifəsi və əlaqə məlumatları) verməlidir. Məsul əməkdaşlar dəyişdirildikdə yeni təyin edilmiş şəxslər haqqında yazılı məlumat 5 (beş) iş günü ərzində Mərkəzi Banka təqdim edilir.
9. Kreditin verilməsi
9.1. Kredit köçürməsi (ödəniş tapşırığı), birbaşa debitləşmə, ödəniş kartı və ya digər oxşar ödəniş alətləri ilə ödəniş əməliyyatlarının aparılması üçün ödəniş əməliyyatını aparan təşkilat tərəfindən təşkilatın ödəniş xidmətindən istifadə edən ödəniş xidməti istifadəçisinə kredit verilə bilər. Kredit Azərbaycan Respublikasının Mülki Məcəlləsinə uyğun olaraq, aşağıdakı tələblər gözlənilməklə verilir:
9.1.1. bu Qaydanın 9.1.2-ci yarımbəndinin tələbi nəzərə alınmaqla, kredit bir ödəniş əməliyyatı üzrə 50 (əlli) manatdan çox olmamaqla yalnız milli valyutada 2 (iki) aydan çox olmayan müddətə verilir;
9.1.2. alınan kredit tam geri qaytarılmayanadək həmin ödəniş xidməti istifadəçisinə yeni kredit verilmir;
9.1.3. təşkilatın məcmu kapitalı bu Qayda ilə müəyyən edilən tələblərdən aşağı olduqda kredit verilmir;
9.1.4. verilmiş kreditlərin ümumi məbləği təşkilatın məcmu kapitalının 10%-dən çox ola bilməz;
9.1.5. kredit verildiyi tarixdən 2 (iki) ay ərzində qaytarılmadıqda ümidsiz aktiv hesab edilir və belə kreditlərin həcmi verilmiş kreditlərin ümumi məbləğinin 10%-ni aşdıqda təşkilat tərəfindən kredit verilmir.
9.2. Bu Qaydanın 9.1-ci bəndində müəyyən edilən tələblər çərçivəsində ödəniş xidməti istifadəçilərinə verilən kreditlər yalnız təşkilatın öz vəsaitləri hesabına maliyyələşdirilir. Təşkilat ödəniş xidməti istifadəçilərindən qəbul edilən vəsait hesabına kredit verə bilməz.
9.3. Təşkilat verilmiş kreditlər barədə hesabatı aylıq əsasda növbəti ayın ilk 5 (beş) iş günündən gec olmayaraq bu Qaydanın 6 nömrəli Əlavəsinə uyğun olaraq Mərkəzi Banka təqdim edir.
10. Valyuta mübadiləsi və valyuta əməliyyatları
10.1. Təşkilat (müstəsna olaraq bu Qanunun 3.1.6-cı və (və ya) 3.1.7-ci maddələrində göstərilən ödəniş xidmətlərini göstərən ödəniş təşkilatları istisna olmaqla) ödəniş sərəncamının icrası üçün valyuta mübadiləsi fəaliyyətini həyata keçirə bilər. Bu zaman valyuta mübadiləsi əməliyyatı ödəniş sərəncamının icrası ilə eyni vaxtda aparılmalı, ödəniş sərəncamının məbləğindən çox olmamalıdır.
10.2. Ödəniş xidməti istifadəçilərinin ölkədaxili ödəniş əməliyyatları üzrə təşkilat tərəfindən valyuta mübadiləsi əməliyyatı həyata keçirilə bilməz.
10.3. Valyuta mübadiləsi və valyuta əməliyyatları aparılarkən “Valyuta tənzimi haqqında” Azərbaycan Respublikası Qanununa və ona uyğun olaraq qəbul olunan normativ xarakterli aktların tələblərinə əməl edilməlidir.
10.4. Təşkilat valyuta əməliyyatları barədə hesabatı aylıq əsasda növbəti ayın ilk 5 (beş) iş günündən gec olmayaraq bu Qaydanın 7 nömrəli Əlavəsinə uyğun olaraq Mərkəzi Banka təqdim edir.
11. Əməliyyat və ya təhlükəsizlik insidentləri barədə məlumatlandırma
11.1. İnsidentin risk səviyyəsi aşağıdakı meyarlara uyğun olaraq bu Qaydanın 8 nömrəli Əlavəsinə əsasən müəyyən edilir:
11.1.1. ödəniş əməliyyatlarına təsiri;
11.1.2. ödəniş xidməti istifadəçilərinə təsiri;
11.1.3. xidmətin əlçatanlılığına təsiri;
11.1.4. iqtisadi təsir (maliyyə itkiləri);
11.1.5. digər ödəniş xidməti təchizatçıları və müvafiq ödəniş xidməti infrastrukturuna təsiri;
11.1.6. reputasiyaya təsiri.
11.2. Təşkilatda bu Qaydanın 11.1-ci bəndi ilə müəyyən edilmiş iki və daha artıq meyar üzrə aşağı risk səviyyəli və ya bir və daha artıq meyar üzrə yüksək risk səviyyəli insident baş verdikdə insident kritik hesab edilir. Təşkilat kritik hesab edilən insident barədə dərhal Mərkəzi Banka yazılı formada məlumat verməlidir.
11.3. Təşkilat kritik hesab edilən insident barədə bu Qaydaya 9 nömrəli Əlavədə göstərilən ilkin hesabatı xüsusi təyinatlı informasiya mübadilə sistemi vasitəsilə Mərkəzi Banka insident baş verdiyi və ya aşkar olunduğu andan etibarən 4 (dörd) saat ərzində təqdim etməlidir. Bu müddət qeyri-iş saatlarına təsadüf etdikdə, məlumat növbəti iş gününün ilk iş saatı ərzində Mərkəzi Banka təqdim edilir.
11.4. Təşkilat insident tam aradan qaldırıldığı vaxtdan 5 (beş) iş günü ərzində bu Qaydaya 10 nömrəli Əlavədə göstərilən yekun hesabatı xüsusi təyinatlı informasiya mübadilə sistemi vasitəsilə Mərkəzi Banka təqdim edir.
12. Hesabatlılıq
Bu Qayda ilə müəyyən edilmiş hesabatlar təşkilatın icra orqanının rəhbərinin və ya onun tərəfindən səlahiyyətləndirilmiş vəzifəli şəxsin (şəxslərin) gücləndirilmiş elektron imzası ilə təsdiq edilir və Mərkəzi Bankın elektron informasiya sistemi vasitəsilə təqdim edilir.