7) Система должна обеспечивать высокий уровень безопасности и операционной надежности и иметь резервные механизмы своевременного завершения обработки платежей в течение операционного дня.
Необходимо постоянно анализировать риски, угрожающие безопасности системы. Оператор системы должен постоянно следить за технологическим прогрессом, чтобы проводить анализ риска безопасности системы на современном уровне.
Система должна иметь достаточные мощности, контролировать их наличие и заранее наращивать их в преддверии возможных изменений в поставленных перед ней задачах.
Механизмами обеспечения непрерывности работы системы являются:
– использование надежного или дублирующего компьютерного оборудования;
– регулярный профилактический техосмотр всех компьютерных и телекоммуникационных компонентов;
– наличие запасных частей для оборудования и телекоммуникационных компонентов;
– автономное или непрерывное энергоснабжение и независимое водоснабжение;
– системы пожарной охраны и пожаротушения;
– наличие четкой и актуальной технологической и технической документации в первом и любом резервном центрах;
– регулярное тестирование всех резервных центров;
– процедуры регулярного копирования данных и программного обеспечения при его изменении и хранение важнейших компонентов за пределами основного процессингового центра;
– процедуры обмена данными на физических носителях (дискеты, пленка, бумага) в случае отказа телекоммуникаций;
– процедуры исключения определенных системных функций или участников, внеочередного инициирования или завершения определенных процессов;
– при внедрении новых компонентов программного обеспечения, оборудования или телекоммуникаций сохранение на короткий период возможности вернуться к старой технологии.
8) Система должна предоставлять удобные для пользователей и эффективные для экономики способы совершения платежей.
9) Система должна иметь объективные и публично объявленные критерии участия, обеспечивающие справедливый и открытый доступ.
Риск является одним из критериев доступа на рынок платежных услуг. Критерии доступа могут базироваться на таких показателях риска, как уровень достаточности капитала, рейтинги рисков или другие показатели. Критерии доступа следует применять постоянно, а не только в момент вхождения учреждения в систему, существует необходимость в критериях выхода. В системах, где критерии доступа связаны с уровнем риска, например, основаны на рейтингах риска, критерии выхода обычно допускают падение рейтинга участников несколько ниже уровня, требующегося для первоначального доступа. Это отражает признание того факта, что финансовое состояние участников с течением времени может меняться и что исключение участника, временно не отвечающего критериям доступа, может вызвать ненужный кризис доверия. В то же время необходима осторожность, чтобы не увеличивать общий риск в системе. Если подобная ситуация все же происходит, необходимо принимать меры по ограничению риска, например, созданием пула обеспечения. Обычно следует заранее четко определить спектр возможных мер в правилах системы.
10) Механизмы управления системой должны быть эффективными, подотчетными и прозрачными.
Этот принцип устанавливает независимость подразделений по управлению рисками и аудиту от тех, кто отвечает за текущие операции. Указанные подразделения должны заниматься правовыми, финансовыми, операционными рисками и риском безопасности.
