H O T Ă R Â R E
pentru aprobarea Regulamentului cu privire la externalizarea funcţiilor
de către prestatorii de servicii de plată nebancari
nr. 28 din 12.02.2025
Monitorul Oficial nr.62-65/130 din 20.02.2025
* * *
UE
În temeiul art.28 alin.(5) şi art.30 alin.(11) din Legea nr.114/2012 cu privire la serviciile de plată şi moneda electronică (Monitorul Oficial al Republicii Moldova, 2012, nr.193-197, art.661), cu modificările ulterioare, Comitetul executiv al Băncii Naţionale a Moldovei
HOTĂRĂŞTE:
1. Se aprobă Regulamentul cu privire la externalizarea funcţiilor de către prestatorii de servicii de plată nebancari (se anexează).
2. Prezenta hotărâre intră în vigoare la data publicării în Monitorul Oficial al Republicii Moldova.
3. În termen de 6 luni de la data intrării în vigoare a prezentei hotărâri, societăţile de plată/furnizorii de servicii poştale/societăţile emitente de monedă electronică vor actualiza şi prezenta Băncii Naţionale a Moldovei contractele de externalizare în conformitate cu prevederile regulamentului menţionat la punctul 1 şi vor revizui şi prezenta Băncii Naţionale a Moldovei reglementările interne privind evaluarea, gestionarea şi controlul funcţiilor externalizate.
4. Notificările, cererile şi documentele prezentate la Banca Naţională a Moldovei şi nesoluţionate la data intrării în vigoare a prezentei hotărâri se examinează şi se soluţionează în conformitate cu prevederile regulamentului indicat la punctul 1, cu condiţia completării acestora de către prestatorii de servicii de plată nebancari în termen de cel mult 30 zile de la data intrării în vigoare a prezentei hotărâri. Notificările, cererile şi documentele se examinează în conformitate cu termenul stabilit în punctul 19 din regulamentul indicat la punctul 1, calculat de la prezentarea setului complet de documente. În cazul în care notificările, cererile şi documentele anexate nu sunt completate în termenul specificat, Banca Naţională a Moldovei informează solicitantul despre încetarea procedurii administrative.
| PREŞEDINTELE | |
| COMITETULUI EXECUTIV | Anca-Dana DRAGU
|
| Nr.28. Chişinău, 12 februarie 2025. |
Anexă
la Hotărârea Comitetului executiv
al Bănci Naţionale a Moldovei
nr.28 din 12 februarie 2025
REGULAMENT
cu privire la externalizarea funcţiilor de către prestatorii de servicii de plată nebancari
Prezentul Regulament transpune Ghidul EBA/GL/2019/02 privind externalizarea,
aprobat de Autoritatea Bancară Europeană.
Capitolul I
DISPOZIŢII GENERALE
1. Regulamentul cu privire la externalizarea funcţiilor de către prestatorii de servicii de plată nebancari (în continuare – Regulament) se aplică societăţilor de plată, furnizorilor de servicii poştale care activează în conformitate cu Legea comunicaţiilor poştale nr.36/2016 (în continuare – furnizorii de servicii poştale) şi societăţilor emitente de monedă electronică, având ca obiect reglementarea cerinţelor minime faţă de contractul de externalizare, modul de administrare a riscurilor asociate externalizării şi de desfăşurare a auditului funcţiilor externalizate.
2. Termenii şi expresiile utilizate în prezentul Regulament au semnificaţiile prevăzute în Legea nr.114/2012 cu privire la serviciile de plată şi moneda electronică (în continuare – Legea nr.114/2012). Suplimentar, în sensul prezentului Regulament sunt utilizate următoarele abrevieri şi noţiuni:
CISA (Certified Information Systems Auditor) – auditor certificat în domeniul sistemelor informaţionale, certificare emisă de către Asociaţia de Audit şi Control al Sistemelor Informaţionale (ISACA), asociaţie profesională internaţională axată pe guvernarea IT.
CISSP – certificare emisă de către Consorţiul internaţional de certificare a securităţii sistemelor informaţionale (ISC).
Externalizare – acord dintre o societate de plată/furnizor de servicii poştale/societate emitentă de monedă electronică şi un furnizor de servicii, în baza căruia furnizorul de servicii efectuează un proces, prestează un serviciu sau desfăşoară o activitate care altfel ar fi realizată de către societatea de plată/furnizorul de servicii poştale/societatea emitentă de monedă electronică.
Externalizare în lanţ (subcontractarea) – situaţie în care furnizorul de servicii în cadrul unui contract de externalizare transferă o funcţie externalizată către un alt furnizor de servicii.
Funcţie – orice procese, servicii sau activităţi.
Furnizor de servicii – o entitate terţă care efectuează un proces, prestează un serviciu sau desfăşoară o activitate externalizată, sau părţi ale acestuia/acesteia, în cadrul unui contract de externalizare.
Prestator de servicii de plată nebancar – societatea de plată, furnizorul de servicii poştale sau societatea emitentă de monedă electronică, care au dreptul de a presta servicii de plată în conformitate cu art.4 şi 7 din Legea nr.114/2012.
QSA (Qualified Security Assessor) – certificare emisă de Consiliul pentru standardele de securitate a industriei cu carduri de plată (PCI SSC).
3. Externalizarea se efectuează cu respectarea inclusiv a actelor normative conexe procesului de externalizare, legislaţiei civile, prevederilor legislaţiei în domeniul protecţiei datelor cu caracter personal, concurenţei, prevenirii şi combaterii spălării banilor şi finanţării terorismului.
4. Externalizarea se realizează cu respectarea principiului proporţionalităţii, conform căruia se garantează că mecanismele de administrare a activităţii, inclusiv cele legate de externalizare, sunt consecvente cu profilul individual de risc, cu natura şi modelul de afaceri ale prestatorilor de servicii de plată nebancari, precum şi cu amploarea şi complexitatea activităţilor lor, astfel încât obiectivele cerinţelor ce decurg din cadrul normativ să fie îndeplinite în mod eficace.
5. La aplicarea prevederilor prezentului Regulament, prestatorii de servicii de plată nebancari trebuie să ia în considerare complexitatea funcţiilor externalizate, riscurile care decurg din contractul de externalizare, caracterul semnificativ al funcţiei externalizate şi impactul potenţial al externalizării asupra continuităţii activităţilor lor.
6. Nu se consideră a fi externalizare:
6.1. funcţia care, potrivit actelor normative, trebuie să fie exercitată de un furnizor de servicii, inclusiv auditul extern;
6.2. serviciile de informaţii despre piaţă, inclusiv furnizarea informaţiei de către Bloomberg, Moody’s, Standard & Poor’s etc.;
6.3. activităţile efectuate prin infrastructurile de reţea globale ale sistemelor de plăţi cu carduri de plată (de ex.: Visa, MasterCard);
6.4. serviciile sistemelor de compensare şi decontare sau ale altor structuri similare în vederea asigurării serviciilor de compensare şi decontare între casele de compensare, contrapărţile centrale (parteneri) şi instituţiile de decontare, pe de o parte, şi membrii acestora, pe de altă parte;
6.5. activităţile efectuate prin infrastructurile globale de mesagerie financiară care sunt supuse supravegherii de către autorităţile relevante, inclusiv SWIFT-ul;
6.6. serviciile bancare corespondente;
6.7. achiziţionarea de servicii care altfel nu ar fi desfăşurate de prestatorul de servicii de plată nebancar (de exemplu, consiliere din partea unui arhitect, furnizarea de opinii juridice şi reprezentarea în faţa instanţei judecătoreşti şi a organelor administrative, servicii de curăţenie, de grădinărit şi de întreţinere a sediilor, servicii medicale, servicii de întreţinere a maşinilor de serviciu, servicii de catering, servicii de distribuire automată de produse, servicii administrative, servicii ale agenţiei de voiaj, servicii de registratură, recepţionişti, secretar şi operatori de centrale telefonice), de bunuri (de exemplu, carduri de plată, cititoare de carduri de plată, rechizite de birou, calculatoare personale, mobilier) sau de utilităţi (de exemplu, energie electrică, gaze, apă, telefonie);
6.8. activităţile/operaţiunile care nu implică accesul furnizorilor de servicii la informaţiile despre clienţii prestatorului de servicii de plată nebancar, ce constituie informaţie confidenţială referitoare la clienţi şi activităţile acestora sau la informaţiile cu privire la activităţile desfăşurate de către prestatorul de servicii de plată nebancar.
7. O funcţie aferentă serviciului de plată se consideră semnificativă dacă apariţia unei dificultăţi sau a unui eşec în procesul de realizare a ei:
7.1. ar prejudicia semnificativ capacitatea prestatorului de servicii de plată nebancar de a se conforma condiţiilor de licenţiere ori altor obligaţii care îi revin în conformitate cu Legea nr.114/2012;
7.2. ar afecta semnificativ performanţele financiare, stabilitatea prestatorului de servicii de plată nebancar sau continuitatea prestării serviciilor de plată/desfăşurării activităţii de emitere a monedei electronice.
Funcţie semnificativă se consideră inclusiv funcţia de gestionare a sistemelor informaţionale.
8. Notificaţia privind externalizarea funcţiilor aferente serviciului de plată către un furnizor de servicii este însoţită de următoarea informaţie:
8.1. descrierea funcţiilor care urmează a fi externalizate;
8.2. datele de identificare şi datele de contact ale furnizorilor de servicii externalizate;
8.3. descrierea politicilor prestatorului de servicii de plată nebancar în domeniul externalizării, a aranjamentelor pentru externalizarea funcţiilor aferente serviciilor de plată, descrierea caracteristicilor acestora, modul în care funcţiile externalizate sunt monitorizate şi controlate pentru a nu prejudicia calitatea funcţiilor de control intern ale prestatorului de servicii de plată nebancar, precum şi o analiză a riscurilor asociate externalizării, inclusiv riscul de faliment a furnizorului către care a fost externalizată o funcţie;
8.4. proiecte ale contractelor de externalizare care să includă şi clauze privind obligaţia furnizorului de a coopera cu autoritatea de supraveghere a prestatorului de servicii de plată nebancar.
9. Notificaţia, documentele şi informaţiile menţionate la punctul 8 se întocmesc în limba română şi se semnează de către organul de conducere/membrul organului de conducere al prestatorului de servicii de plată nebancar sau de persoana împuternicită de către acesta.
10. În cazul în care documentele şi/sau informaţiile specificate la punctul 8 sunt incomplete, Banca Naţională a Moldovei înştiinţează în scris prestatorul de servicii de plată nebancar despre acest fapt în termen de 10 zile de la data depunerii notificaţiei. Prestatorul de servicii de plată nebancar, în termen de 5 zile de la data recepţionării scrisorii Băncii Naţionale a Moldovei, completează şi prezintă la Banca Naţională a Moldovei documentele şi/sau informaţiile care lipsesc.
11. Urmare a examinării notificaţiei şi informaţiilor prezentate, Banca Naţională a Moldovei poate emite recomandări cu privire la externalizarea funcţiilor aferente serviciului de plată.
12. Prestatorul de servicii de plată nebancar are dreptul de a externaliza funcţii semnificative după obţinerea aprobării prealabile a Băncii Naţionale a Moldovei, prin depunerea unei cereri în acest sens.
13. La cererea prevăzută la punctul 12, prestatorul de servicii de plată nebancar anexează cel puţin următoarele documente şi informaţii:
13.1. hotărârea privind externalizarea funcţiei semnificative emisă de către organul de conducere/membrul organului de conducere abilitat prin lege sau statut;
13.2. rezultatele evaluării furnizorului de servicii potrivit punctelor 86-93;
13.3. rezultatele evaluării respectării condiţiilor minime prevăzute la art.28 alin.(4) din Legea nr.114/2012;
13.4. fundamentarea economică a externalizării funcţiei semnificative şi descrierea detaliată a funcţiei semnificative externalizate şi a motivelor pentru care această activitate a fost calificată drept una semnificativă;
13.5. planul de analiză şi gestiune a riscurilor asociate externalizării funcţiei semnificative, inclusiv măsurile ce urmează a fi implementate de către prestatorul de servicii de plată nebancar în scopul asigurării stabilităţii, performanţei şi continuităţii la nivelul activităţii în cauză;
13.6. impactul estimat asupra situaţiei şi performanţei financiare a prestatorului de servicii de plată nebancar urmare externalizării;
13.7. prezentarea informaţiei despre furnizorul de servicii, care să cuprindă cel puţin: denumirea, sediul, genurile de activitate, resursele, inclusiv umane, IT şi financiare, piaţa de operare şi poziţia de piaţă a acestuia, structura organizatorică, date privind experienţa relevantă a angajaţilor responsabili de desfăşurarea funcţiei semnificative externalizate cu anexarea certificatului/calificărilor de performanţă, dacă există, modelul de afacere a furnizorului de servicii, natura, amploarea şi complexitatea activităţii acestuia, situaţiile financiare pe cel puţin ultimii 3 ani de activitate, indicarea apartenenţei furnizorului de servicii la grupul din care face parte şi precizarea includerii sau neincluderii acestuia în supravegherea consolidată la nivel de grup;
13.8. proiectul contractului de externalizare;
13.9. reglementările interne ale prestatorului de servicii de plată nebancar privind externalizarea funcţiei semnificative, aprobate de organul de conducere abilitat prin statut sau lege, care conţin cel puţin informaţiile expuse în prezentul Regulament;
13.10. copia, semnată de către prestatorul de servicii de plată nebancar, a licenţei sau a autorizaţiei furnizorului de servicii pentru desfăşurarea activităţii care urmează a fi externalizată, valabilă la data depunerii cererii, în măsura în care îndeplinirea funcţiei respective necesită autorizarea sau înregistrarea din partea unei autorităţi competente, cu excepţia cazului în care potenţialul furnizor de servicii este o bancă din Republica Moldova sau un alt prestator de servicii de plată nebancar, licenţiat conform Legii nr.114/2012.
14. Determinarea caracterului semnificativ al funcţiei externalizate se efectuează potrivit prevederilor art.28 din Legea nr.114/2012.
15. Cererea, documentele şi informaţiile menţionate la punctele 12 şi 13 se întocmesc în limba română şi se semnează de către organul de conducere/membrul organului de conducere al prestatorului de servicii de plată nebancar sau de persoana împuternicită de către acesta.
16. În cazul în care documentele şi/sau informaţiile specificate la punctul 13 sunt incomplete, Banca Naţională a Moldovei înştiinţează în scris prestatorul de servicii de plată nebancar despre acest fapt în termen de 10 zile lucrătoare de la data depunerii cererii. Prestatorul de servicii de plată nebancar, în termen de maximum 20 zile lucrătoare de la data recepţionării scrisorii Băncii Naţionale a Moldovei, completează şi prezintă la Banca Naţională a Moldovei documentele şi/sau informaţiile care lipsesc.
17. În cazul în care prestatorul de servicii de plată nebancar nu completează integral setul de documente şi informaţii în termenul prevăzut la punctul 16, Banca Naţională a Moldovei constată renunţarea tacită la cerere, precum şi notifică prestatorul de servicii de plată nebancar în termen de 3 zile lucrătoare de la expirarea termenului prevăzut la punctul 16, fapt care duce la încetarea procedurii administrative şi la restituirea documentelor şi informaţiilor anexate.
18. În cazul în care documentele şi informaţiile prezentate conform prezentului capitol sunt insuficiente pentru obţinerea aprobării prealabile pentru externalizarea funcţiei semnificative, Banca Naţională a Moldovei este în drept să solicite prezentarea unor documente sau informaţii suplimentare, care vor fi prezentate în termenul stabilit de Banca Naţională a Moldovei.
19. În termen de 30 de zile de la data primirii setului complet de documente în conformitate cu prezentul capitol, Banca Naţională a Moldovei eliberează aprobarea prealabilă privind externalizarea funcţiei semnificative sau respinge cererea, informând în scris prestatorul de servicii de plată nebancar despre decizia sa. Banca Naţională a Moldovei poate stabili un termen mai mare pentru eliberarea aprobării prealabile, care nu poate depăşi 90 de zile în condiţiile Codului administrativ al Republicii Moldova nr.116/2018, cu informarea corespunzătoare a prestatorului de servicii de plată nebancar.
20. În caz de respingere a cererii pentru obţinerea aprobării prealabile a Băncii Naţionale a Moldovei privind externalizarea funcţiei semnificative, se vor indica temeiurile în baza cărora se respinge cererea. Drept temei de respingere a cererii pentru obţinerea aprobării prealabile a Băncii Naţionale a Moldovei privind externalizarea funcţiei semnificative sunt considerate următoarele:
20.1. prezentarea la Banca Naţională a Moldovei a informaţiei eronate pentru luarea deciziei cu privire la eliberarea aprobării prealabile privind externalizarea funcţiei semnificative;
20.2. cazul în care informaţia de care dispune Banca Naţională a Moldovei, inclusiv rezultatele evaluării menţionate la punctele 86-93 şi/sau orice fapte sau circumstanţe cunoscute Băncii Naţionale a Moldovei denotă faptul că furnizorul nu dispune de o reputaţie de afacere bună;
20.3. necorespunderea proiectului contractului de externalizare cu cerinţele minime specificate la Capitolul II;
20.4. nerespectarea condiţiilor minime prevăzute la art.28 alin.(4) din Legea nr.114/2012;
20.5. necorespunderea activităţii prestatorului de servicii de plată nebancar cu prevederile Legii nr.114/2012 şi ale actelor normative adoptate întru executarea acesteia ca urmare a externalizării funcţiei respective;
20.6. constatarea disproporţionalităţii, inclusiv a insuficienţei măsurilor de control ale prestatorului de servicii de plată nebancar raportate la riscurile asociate externalizării sau constatarea unor riscuri semnificative disproporţionale beneficiilor invocate de către prestatorul de servicii de plată nebancar.
Capitolul II
CERINŢE MINIME FAŢĂ DE CONTRACTUL DE EXTERNALIZARE
Secţiunea 1
Etapa precontractuală
21. Prestatorul de servicii de plată nebancar trebuie să evalueze dacă un contract cu o terţă parte se încadrează sau nu în noţiunea de externalizare. În cadrul acestei evaluări, trebuie să se ia în considerare dacă:
21.1. funcţia (sau o parte a acesteia) care este externalizată unui furnizor de servicii este îndeplinită în mod regulat sau continuu de către acest furnizor de servicii;
21.2. dacă această funcţie (sau o parte a acesteia) se încadrează în mod normal în categoria funcţiilor care sunt sau ar putea fi îndeplinite de către prestatorul de servicii de plată nebancar, chiar dacă acesta nu a îndeplinit funcţia respectivă în trecut.
22. Înainte de a încheia orice contract de externalizare, prestatorul de servicii de plată nebancar trebuie cel puţin:
22.1. să evalueze dacă contractul de externalizare vizează o funcţie semnificativă, astfel cum se prevede la art.28 alin.(3) din Legea nr.114/2012 şi la punctul 7;
22.2. să evalueze şi să asigure, în cazul externalizării funcţiilor semnificative, respectarea condiţiilor minime prevăzute la art.28 alin.(4) din Legea nr.114/2012;
22.3. să identifice şi să evalueze toate riscurile relevante ale contractului de externalizare, în conformitate cu Capitolul VII Secţiunea 1;
22.4. să respecte obligaţia de diligenţă corespunzătoare cu privire la furnizorul de servicii potenţial, în conformitate cu punctele 86-93;
22.5. să identifice şi să evalueze conflictele de interese pe care le poate cauza externalizarea, în conformitate cu Capitolul VII Secţiunea 2.
23. Atunci când evaluează dacă un contract de externalizare se referă la o funcţie semnificativă, prestatorul de servicii de plată nebancar ar trebui să ţină seama, împreună cu rezultatul evaluării riscurilor prezentate în Capitolul VII Secţiunea 1, de cel puţin următorii factori:
23.1. dacă contractul de externalizare este direct legat de prestarea serviciilor de plată pentru care prestatorul de servicii de plată nebancar este licenţiat;
23.2. impactul potenţial al oricărei perturbări a funcţiei externalizate sau a eşecului furnizorului de servicii de a presta serviciul în mod continuu la nivelurile de servicii convenite, asupra:
23.2.1. rezistenţei şi viabilităţii financiare pe termen scurt şi pe termen lung, inclusiv, dacă este cazul, asupra activelor, capitalului, costurilor, finanţării, lichidităţii, profiturilor şi pierderilor sale;
23.2.2. continuităţii activităţii şi a rezilienţei operaţionale;
23.2.3. riscului operaţional, inclusiv asupra riscului de conduită, riscului aferent tehnologiei informaţiei şi comunicaţiilor (în continuare – TIC) şi a riscurilor legale;
23.2.4. riscurilor de reputaţie;
23.3. impactul potenţial al contractului de externalizare asupra capacităţii prestatorului de servicii de plată nebancar de:
23.3.1. identificare, monitorizare şi gestionare a tuturor riscurilor;
23.3.2. respectare a tuturor cerinţelor actelor normative;
23.3.3. efectuare de audituri adecvate privind funcţia externalizată;
23.4. impactul potenţial asupra serviciilor furnizate clienţilor săi;
23.5. toate contractele de externalizare, expunerea totală a prestatorului de servicii de plată nebancar la acelaşi furnizor de servicii şi impactul cumulativ potenţial al contractelor de externalizare în aceeaşi zonă de afaceri;
23.6. dimensiunea şi complexitatea oricărei zone de afaceri afectate;
23.7. posibilitatea ca contractul de externalizare propus să poată fi extins fără a înlocui sau revizui contractul de bază;
23.8. capacitatea de a transfera contractul de externalizare propus către un alt furnizor de servicii, dacă este necesar sau dorit, atât din punct de vedere contractual, cât şi în practică, inclusiv riscurile estimate, impedimentele pentru continuitatea activităţii, costurile şi intervalul de timp pentru realizarea transferului („substituibilitate”);
23.9. capacitatea de reintegrare a funcţiei externalizate în prestatorul de servicii de plată nebancar, dacă este necesar sau dorit;
23.10. protecţia datelor şi impactul potenţial al unei încălcări de confidenţialitate sau eşecul asigurării disponibilităţii şi integrităţii datelor asupra prestatorului de servicii de plată nebancar şi a clienţilor acestuia, inclusiv, asupra respectării Legii nr.133/2011 privind protecţia datelor cu caracter personal, dar fără a se limita la aceasta.
24. Contractul de externalizare a funcţiilor semnificative trebuie să conţină cel puţin:
24.1. o descriere clară a funcţiei externalizate care urmează să fie furnizată;
24.2. data de începere şi data de încetare a contractului, după caz, şi perioadele de preaviz pentru furnizorul de servicii şi prestatorul de servicii de plată nebancar;
24.3. legea aplicabilă contractului;
24.4. obligaţiile financiare ale părţilor;
24.5. dacă este permisă subcontractarea unei funcţii semnificative sau a unor părţi semnificative ale acesteia şi, dacă da, condiţiile specificate în punctele 25-27 şi 29 cărora li se supune subcontractarea;
24.6. locaţia (locaţiile) unde este furnizată funcţia semnificativă şi/sau unde sunt păstrate şi prelucrate date relevante, inclusiv eventuala locaţie de stocare, precum şi condiţiile care trebuie îndeplinite, inclusiv cerinţa de a notifica prestatorul de servicii de plată nebancar în cazul în care furnizorul de servicii propune schimbarea locaţiei (locaţiilor);
24.7. dacă este cazul, dispoziţiile privind accesibilitatea, disponibilitatea, integritatea, confidenţialitatea şi siguranţa datelor relevante, astfel cum se specifică în punctele 30-32;
24.8. dreptul prestatorului de servicii de plată nebancar de a monitoriza/supraveghea permanent performanţele furnizorului de servicii, inclusiv de a solicita orice informaţii privind activitatea externalizată ori de câte ori este necesar;
24.9. nivelurile serviciilor convenite, care trebuie să includă obiective de performanţă cantitative şi calitative precise pentru funcţia externalizată, pentru a permite o monitorizare în timp util, astfel încât, dacă nu sunt respectate nivelurile serviciilor convenite, să se poată lua măsuri corective adecvate, fără întârzieri nejustificate;
24.10. obligaţiile de raportare ale furnizorului de servicii către prestatorul de servicii de plată nebancar, inclusiv informarea de către furnizorul de servicii cu privire la orice evoluţie care ar putea avea un impact semnificativ asupra capacităţii sale de a îndeplini eficace funcţia semnificativă în conformitate cu nivelurile serviciilor convenite şi în conformitate cu legislaţia şi cu cerinţele aplicabile ce decurg din reglementările tehnice, şi, după caz, obligaţiile de a prezenta rapoarte privind funcţia de audit intern a furnizorului de servicii;
24.11. dacă furnizorul de servicii trebuie să încheie o asigurare obligatorie împotriva anumitor riscuri şi, dacă este cazul, nivelul asigurării necesare;
24.12. cerinţele de punere în aplicare şi de testare a planurilor pentru situaţii neprevăzute pentru continuitatea activităţii;
24.13. dispoziţii care garantează că informaţiile deţinute referitor la prestatorul de servicii de plată nebancar pot fi accesate în cazul insolvabilităţii, a rezoluţiei sau a întreruperii operaţiunilor economice ale furnizorului de servicii;
24.14. obligaţia furnizorului de servicii de a coopera cu Banca Naţională a Moldovei, inclusiv cu alte persoane desemnate de aceasta;
24.15. dreptul nerestricţionat al prestatorului de servicii de plată nebancar şi al Băncii Naţionale a Moldovei de a inspecta şi de a audita furnizorul de servicii în ceea ce priveşte, în special, funcţia semnificativă externalizată, astfel cum se specifică în punctele 33-39;
24.16. drepturile de încetare, astfel cum se specifică în punctele 40 şi 41.
25. Dacă este permisă subcontractarea funcţiilor semnificative, prestatorul de servicii de plată nebancar trebuie să stabilească dacă partea funcţiei care urmează să fie subcontractată este în sine semnificativă (şi anume, o parte majoră a funcţiei semnificative) şi, în caz afirmativ, trebuie să o înregistreze în registru conform punctului 45.
26. Dacă este permisă subcontractarea funcţiilor semnificative, contractul trebuie:
26.1. să precizeze tipurile de activităţi care sunt excluse de la subcontractare;
26.2. să precizeze condiţiile care trebuie îndeplinite în cazul subcontractării;
26.3. să precizeze că furnizorul de servicii are obligaţia să supravegheze serviciile pe care le-a subcontractat pentru a se asigura că toate obligaţiile contractuale dintre furnizorul de servicii şi prestatorul de servicii de plată nebancar sunt îndeplinite în permanenţă;
26.4. să solicite furnizorului de servicii să obţină în prealabil o autorizaţie, specifică sau generală, din partea prestatorului de servicii de plată nebancar, înainte de subcontractarea datelor;
26.5. să includă o obligaţie a furnizorului de servicii de a informa prestatorul de servicii de plată nebancar cu privire la orice subcontractare planificată sau la orice modificare semnificativă a acesteia, în special în cazul în care acest lucru ar putea afecta capacitatea furnizorului de servicii de a-şi îndeplini responsabilităţile în conformitate cu contractul de externalizare. Aceasta include modificările semnificative planificate ale subcontractanţilor şi perioada de notificare, în special, perioada de notificare care urmează să fie stabilită trebuie să permită prestatorului de servicii de plată nebancar care externalizează o funcţie semnificativă să efectueze cel puţin o evaluare a riscurilor legate de modificările propuse şi să se opună modificărilor înainte de intrarea în vigoare a subcontractării planificate sau a modificărilor semnificative ale acesteia;
26.6. să se asigure, dacă este cazul, că prestatorul de servicii de plată nebancar are dreptul de a se opune subcontractării planificate sau modificărilor substanţiale ale acesteia sau că este necesară o aprobare explicită;
26.7. să se asigure că prestatorul de servicii de plată nebancar are dreptul contractual de a înceta contractul în cazul subcontractării nejustificate, de exemplu în cazul în care subcontractarea creşte în mod semnificativ riscurile pentru prestatorul de servicii de plată nebancar, în cazul în care furnizorul de servicii subcontractează, fără a notifica prestatorul de servicii de plată nebancar sau în cazul în care încetarea contractului este prescrisă de Banca Naţională a Moldovei.
27. Prestatorul de servicii de plată nebancar poate să fie de acord cu subcontractarea doar dacă subcontractantul se angajează:
27.1. să respecte prevederile Legii nr.114/2012, prezentului regulament şi alte acte normative aplicabile;
27.2. să acorde prestatorului de servicii de plată nebancar şi Băncii Naţionale a Moldovei aceleaşi drepturi contractuale de acces şi de audit ca şi cele acordate de către furnizorul de servicii.
28. În cazul în care prestatorul de servicii de plată nebancar are încheiate contracte de externalizare cu furnizorii de servicii din cadrul grupului din care face parte, prestatorul de servicii de plată nebancar urmează să se asigure că:
28.1. organele de conducere îşi păstrează întreaga responsabilitate pentru respectarea tuturor cerinţelor actelor normative şi va fi informat corespunzător cu privire la modificările relevante privind furnizorii de servicii;
28.2. monitorizarea şi auditarea contractelor de externalizare este realizată în mod eficient, inclusiv prin primirea de rapoarte anuale adecvate, care vor conţine cel puţin un rezumat al evaluării riscurilor şi al monitorizării performanţei;
28.3. obţine registrul individual al tuturor contractelor de externalizare existente fără întârzieri nejustificate;
28.4. obţine planul de ieşire pentru funcţiile semnificative, în cazul în care planul a fost stabilit la nivel de grup.
Secţiunea 2
Etapa contractuală
29. Prestatorul de servicii de plată nebancar trebuie să se asigure că furnizorul de servicii supraveghează corespunzător furnizorii de servicii subcontractaţi, în conformitate cu politica definită de prestatorul de servicii de plată nebancar. Dacă subcontractarea propusă ar putea avea efecte negative asupra contractului de externalizare a unei funcţii semnificative sau ar duce la o creştere a riscului, inclusiv atunci când condiţiile de la punctul 27 nu ar fi îndeplinite, prestatorul de servicii de plată nebancar trebuie să-şi exercite dreptul de a se opune subcontractării, dacă a fost convenit un astfel de drept şi/sau să aplice rezoluţiunea contractului.
30. Prestatorul de servicii de plată nebancar trebuie să se asigure că furnizorii de servicii respectă standarde de securitate a informaţiei sau privind protecţia informaţiei.
31. Dacă este cazul (de exemplu, în contextul externalizării serviciilor TIC), prestatorul de servicii de plată nebancar trebuie să definească cerinţe în materie de securitate a datelor şi a sistemelor în cadrul contractului de externalizare şi să monitorizeze în permanenţă respectarea acestor cerinţe.
32. Fără a aduce atingere cerinţelor prevăzute în actele normative ce vizează domeniul prelucrării şi protecţiei datelor cu caracter personal, prestatorul de servicii de plată nebancar, atunci când externalizează (în special în străinătate), trebuie să ia în considerare diferenţele dintre dispoziţiile naţionale privind protecţia datelor şi dispoziţiile respective din celălalt stat. Prestatorul de servicii de plată nebancar trebuie să se asigure că contractul de externalizare include obligaţia ca furnizorul de servicii să protejeze informaţiile confidenţiale, cu caracter personal sau considerate sensibile şi să respecte toate cerinţele legale privind protecţia datelor care se aplică prestatorului de servicii de plată nebancar (de exemplu, protecţia datelor cu caracter personal şi alte obligaţii de confidenţialitate similare cu privire la informaţiile clienţilor, dacă este cazul).
33. Prestatorii de servicii de plată nebancari trebuie să se asigure, în cadrul derulării relaţiilor ce ţin de contractul de externalizare, că funcţia de audit intern a acestora are capacitatea să analizeze funcţia externalizată, utilizând o abordare bazată pe riscuri.
34. În ceea ce priveşte externalizarea unor funcţii semnificative, prestatorul de servicii de plată nebancar trebuie să se asigure, prin intermediul contractului de externalizare, că furnizorul de servicii îi acordă acestuia, Băncii Naţionale a Moldovei sau oricărei alte persoane desemnate de acestea, următoarele:
34.1. acces deplin la toate sediile operaţionale relevante (de exemplu, sedii centrale şi centre operaţionale), inclusiv la întreaga gamă de dispozitive, sisteme, reţele, informaţii şi date relevante utilizate pentru furnizarea funcţiei externalizate, inclusiv la informaţiile financiare conexe, personalul şi auditorii externi ai furnizorului de servicii („drepturi de acces şi de informare”);
34.2. drepturi nelimitate de inspecţie şi de audit legate de contractul de externalizare („drepturi de audit”), pentru a permite să monitorizeze contractul de externalizare şi pentru a asigura respectarea tuturor cerinţelor contractuale şi a celor aplicabile ce decurg din legislaţie.
35. Pentru externalizarea funcţiilor care nu sunt semnificative, prestatorul de servicii de plată nebancar trebuie să asigure drepturile de acces şi de audit, astfel cum se prevede la punctele 33-39, pe baza unei abordări bazate pe riscuri, având în vedere natura funcţiei externalizate şi riscurile operaţionale şi reputaţionale conexe, scalabilitatea funcţiei externalizate, impactul potenţial asupra desfăşurării continue a activităţilor sale şi perioada contractuală. Prestatorul de servicii de plată nebancar trebuie să ia în considerare faptul că funcţiile externalizate pot deveni semnificative în timp.
36. Fără a aduce atingere responsabilităţii lor finale privind contractele de externalizare, prestatorii de servicii de plată nebancari pot utiliza:
36.1. audituri centralizate, organizate în comun cu alţi clienţi ai aceluiaşi furnizor de servicii şi realizate de prestatorii de servicii de plată şi de aceşti clienţi sau de o terţă parte numită de aceştia, pentru a utiliza mai eficient resursele de audit şi a reduce sarcina organizatorică atât pentru clienţi, cât şi pentru furnizorul de servicii;
36.2. certificări acordate de părţi terţe şi rapoarte de audit intern sau rapoarte efectuate de părţi terţe, puse la dispoziţie de furnizorul de servicii.
37. Pentru externalizarea unor funcţii semnificative, prestatorii de servicii de plată nebancari trebuie să evalueze dacă certificările şi rapoartele părţilor terţe menţionate la subpunctul 36.2 sunt adecvate şi suficiente pentru a respecta obligaţiile care le revin potrivit legislaţiei şi nu trebuie să se bazeze exclusiv pe aceste rapoarte de-a lungul timpului.
38. Prestatorii de servicii de plată nebancari trebuie să utilizeze metoda menţionată la subpunctul 36.2 numai dacă aceştia:
38.1. sunt de acord cu planul de audit pentru funcţia externalizată;
38.2. se asigură că obiectul certificării sau al raportului de audit acoperă sistemele (şi anume, procesele, aplicaţiile, infrastructura, centrele de date etc.) şi controalele-cheie identificate de prestatorul de servicii de plată nebancar, precum şi respectarea cerinţelor ce decug din legislaţie;
38.3. evaluează temeinic şi permanent conţinutul certificărilor sau al rapoartelor de audit şi verifică ca rapoartele sau certificările respective să nu fie caduce;
38.4. se asigură că sistemele-cheie şi controalele-cheie sunt incluse în viitoarele versiuni ale certificării sau ale raportului de audit;
38.5. sunt de acord cu aptitudinea părţii care realizează certificarea sau auditul (de exemplu, cu privire la rotaţia societăţii care acordă certificarea sau a entităţii de audit, calificările, expertiza, reevaluarea/verificarea dovezilor din dosarul de audit de bază);
38.6. sunt de acord că acordarea certificărilor şi efectuarea auditurilor se realizează în conformitate cu standardele profesionale relevante recunoscute pe scară largă şi că includ un test de eficacitate operaţională a controalelor-cheie implementate;
38.7. au dreptul contractual de a solicita extinderea domeniului de aplicare al certificărilor sau al rapoartelor de audit la alte sisteme şi controale relevante; numărul şi frecvenţa acestor cereri de modificare a domeniului de aplicare trebuie să fie rezonabile şi legitime din perspectiva administrării riscurilor;
38.8. îşi păstrează dreptul contractual de a efectua audituri individuale, la aprecierea proprie, în ceea ce priveşte externalizarea funcţiilor semnificative.
39. Înaintea unui control planificat, prestatorul de servicii de plată nebancar, Banca Naţională a Moldovei şi auditorii sau părţile terţe care acţionează în numele prestatorului de servicii de plată nebancar sau a Băncii Naţionale a Moldovei trebuie să informeze furnizorul de servicii în mod adecvat şi într-un termen rezonabil, cu excepţia cazului în care acest lucru nu este posibil din cauza unei situaţii de urgenţă sau de criză sau ar duce la o situaţie în care auditul nu ar mai fi eficace.
40. Contractul de externalizare trebuie să permită expres prestatorului de servicii de plată nebancar să înceteze contractul, inclusiv în următoarele situaţii:
40.1. dacă furnizorul de servicii a funcţiilor externalizate încalcă legislaţia sau prevederile contractuale aplicabile;
40.2. în cazul în care sunt identificate obstacole care au modificat sau pot modifica performanţa funcţiei externalizate;
40.3. în cazul în care există modificări semnificative care afectează contractul de externalizare sau furnizorul de servicii (de exemplu, subcontractarea sau modificări ale subcontractanţilor, modificări în structura organizatorică, structura de proprietate sau situaţia financiară a furnizorului de servicii);
40.4. în cazul în care există deficienţe în ceea ce priveşte gestionarea şi securitatea datelor sau informaţiilor confidenţiale, cu caracter personal sau considerate sensibile; şi
40.5. în cazul măsurilor de remediere dispuse de Banca Naţională a Moldovei în temeiul art.99 alin.(2) lit.d1) din Legea nr.114/2012.
41. Contractul de externalizare trebuie să faciliteze transferul funcţiei externalizate către un alt furnizor de servicii sau reintegrarea acesteia în cadrul prestatorului de servicii de plată nebancar. În acest scop, contractul de externalizare trebuie:
41.1. să prevadă clar obligaţiile furnizorului de servicii existent, în cazul unui transfer al funcţiei externalizate către un alt furnizor de servicii sau în cazul reintegrării acesteia în cadrul prestatorului de servicii de plată nebancar, inclusiv în ceea ce priveşte prelucrarea datelor;
41.2. să stabilească o perioadă de tranziţie adecvată, pe parcursul căreia furnizorul de servicii, după încetarea contractului de externalizare, să furnizeze în continuare funcţia externalizată pentru a reduce riscul de întreruperi;
41.3. să includă o obligaţie a furnizorului de servicii de a sprijini prestatorul de servicii de plată nebancar în vederea transferului ordonat al funcţiei în cazul încetării contractului de externalizare.
42. Prestatorii de servicii de plată nebancari trebuie să aibă implementate, să menţină şi să testeze periodic sau cel puţin o dată pe an planuri adecvate de asigurare a continuităţii activităţii în ceea ce priveşte funcţiile semnificative. Prestatorii de servicii de plată nebancari din cadrul unui grup sau al unui sistem instituţional de protecţie se pot baza pe planuri de asigurare a continuităţii activităţii stabilite la nivel central în ceea ce priveşte funcţiile externalizate.
43. Planurile de asigurare a continuităţii activităţii trebuie să ia în considerare eventualitatea în care calitatea furnizării funcţiilor semnificative externalizate se deteriorează până la un nivel inacceptabil sau devine neconformă. Planurile respective trebuie să ia în considerare şi impactul potenţial al insolvabilităţii furnizorilor de servicii şi, dacă este cazul, al riscurilor politice din jurisdicţia furnizorului de servicii.
Secţiunea 3
Cerinţe privind evidenţa contractelor de externalizare
44. Ca parte a cadrului de administrare a riscurilor, prestatorii de servicii de plată nebancari trebuie să ţină un registru actualizat al informaţiilor privind contractele de externalizare şi să documenteze toate contractele de externalizare actuale, făcând distincţie între externalizarea funcţiilor semnificative şi alte contracte de externalizare. Prestatorii de servicii de plată nebancari care fac parte din cadrul unui grup pot ţine registrul la nivel central.
45. Registrul trebuie să includă cel puţin următoarele informaţii pentru toate contractele de externalizare existente:
45.1. un număr de referinţă pentru fiecare contract de externalizare;
45.2. data de începere şi, după caz, următoarea dată de reînnoire a contractului, data de încetare şi/sau perioadele de preaviz pentru furnizorul de servicii şi pentru prestatorul de servicii de plată nebancar;
45.3. o descriere succintă a funcţiilor externalizate, inclusiv a datelor care sunt externalizate şi dacă au fost transferate sau nu date cu caracter personal (de exemplu, răspunzând cu da sau nu într-un câmp de date separat) sau dacă prelucrarea lor este externalizată către un furnizor de servicii;
45.4. o categorie atribuită de prestatorul de servicii de plată nebancar care reflectă natura funcţiei, astfel cum se menţionează la subpunctul 45.3 (de exemplu, tehnologia informaţiei, funcţie de control etc.), care trebuie să faciliteze identificarea diferitelor tipuri de contracte;
45.5. denumirea furnizorului de servicii, numărul de identificare de stat (dacă este disponibil), adresa sediului şi alte date de contact relevante, precum şi denumirea societăţii-mamă (dacă este cazul);
45.6. ţara sau ţările în care serviciul urmează să fie prestat, inclusiv locaţia datelor (şi anume, ţara sau regiunea);
45.7. dacă funcţia externalizată este considerată sau nu (da/nu) semnificativă, inclusiv, dacă este cazul, o expunere a considerentelor pentru care funcţia externalizată este considerată semnificativă;
45.8. data celei mai recente evaluări a caracterului semnificativ al funcţiei externalizate;
45.9. alte informaţii relevante (contracte încheiate, clauze modificate etc.).
46. Pentru externalizarea funcţiilor semnificative, registrul trebuie să includă cel puţin următoarele informaţii suplimentare:
46.1. dacă furnizorul de servicii sau furnizorul de servicii subcontractant face parte sau nu din grup, dacă este sau nu deţinut de prestatorii de servicii de plată nebancari din cadrul grupului;
46.2. data celei mai recente evaluări a riscurilor şi un rezumat succint al principalelor rezultate;
46.3. persoana sau organul de decizie (de exemplu, organul de conducere) al prestatorului de servicii de plată nebancar care a aprobat contractul de externalizare;
46.4. legislaţia aplicabilă contractului de externalizare;
46.5. data celui mai recent audit şi data următoarelor audituri programate, dacă este cazul;
46.6. după caz, denumirea subcontractanţilor cărora le sunt subcontractate părţi importante ale unei funcţii semnificative, inclusiv ţara în care sunt înregistraţi subcontractanţii, în care se prestează serviciul şi, dacă este cazul, locaţia (şi anume, ţara sau regiunea) unde vor fi stocate datele;
46.7. un rezultat al evaluării substituibilităţii furnizorului de servicii (de exemplu, simplu, dificil sau imposibil), posibilitatea de reintegrare a unei funcţii semnificative în cadrul prestatorului de servicii de plată nebancar sau impactul întreruperii funcţiei semnificative;
46.8. identificarea furnizorilor de servicii alternativi în conformitate cu subpunctul 46.7;
46.9. dacă funcţia semnificativă externalizată sprijină operaţiuni economice care sunt critice din punct de vedere al timpului;
46.10. costul bugetului anual estimat.
47. Prestatorii de servicii de plată nebancari trebuie să pună la dispoziţia Băncii Naţionale a Moldovei, la cerere, fie registrul complet al tuturor contractelor de externalizare existente, fie părţi specifice din acesta, de exemplu informaţii privind toate contractele de externalizare care se încadrează în una dintre categoriile stabilite potrivit subpunctului 45.4. Prestatorii de servicii de plată nebancari trebuie să furnizeze informaţiile respective într-o formă electronică care poate fi procesată (de exemplu, un format de baze de date utilizat în mod obişnuit, valori separate prin virgulă).
48. Prestatorii de servicii de plată nebancari trebuie să pună la dispoziţia Băncii Naţionale a Moldovei, la cerere, toate informaţiile necesare pentru a permite acesteia să execute supravegherea efectivă a prestatorului de servicii de plată nebancar, inclusiv, dacă este cazul, o copie a contractului de externalizare.
49. Fără a aduce atingere art.28 alin.(1) din Legea nr.114/2012, prestatorii de servicii de plată nebancari trebuie să informeze Banca Naţională a Moldovei în mod corespunzător şi în timp util sau să se angajeze într-un dialog de supraveghere cu Banca Naţională a Moldovei cu privire la externalizarea planificată a unor funcţii semnificative şi/sau dacă o funcţie externalizată a devenit semnificativă şi trebuie să furnizeze cel puţin informaţiile menţionate la punctul 45, precum şi să solicite aprobarea prealabilă a Băncii Naţionale a Moldovei prin depunerea unei cereri conform prevederilor punctului 12.
50. Prestatorii de servicii de plată nebancari trebuie să informeze Banca Naţională a Moldovei în termen de 10 zile lucrătoare cu privire la modificări semnificative şi/sau evenimente grave legate de contractele lor de externalizare care ar putea avea un impact major asupra performanţei prestării serviciilor de plată sau asupra continuităţii activităţii prestatorilor de servicii de plată nebancari.
51. Prestatorii de servicii de plată nebancari trebuie să documenteze evaluările efectuate în temeiul prezentului Regulament şi rezultatele monitorizării lor continue (de exemplu, performanţa furnizorului de servicii, respectarea nivelurilor serviciilor convenite, alte cerinţe contractuale şi normative, actualizări ale evaluării riscurilor).
52. Prestatorii de servicii de plată nebancari trebuie să informeze Banca Naţională a Moldovei, în termen de cel mult 5 zile lucrătoare, despre orice incident, evoluţie semnificativă înregistrată la nivelul riscurilor asociate activităţii/operaţiunii externalizate, care reprezintă o situaţie sau un efect din perspectiva administrării riscurilor aferente activităţii prestatorului de servicii de plată nebancar ce ar putea conduce la întreruperea activităţii/operaţiunii externalizate şi la incapacitatea prestatorului de servicii de plată nebancar de a se conforma cu legislaţia de domeniu.
Capitolul III
RESPONSABILITĂŢILE ORGANULUI DE CONDUCERE
53. Organul de conducere al prestatorului de servicii de plată nebancar este în orice moment pe deplin responsabil şi răspunde, cel puţin pentru:
53.1. asigurarea că prestatorul de servicii de plată nebancar îndeplineşte permanent condiţiile pe care trebuie să le respecte pentru a rămâne licenţiat, inclusiv orice alte condiţii impuse de Banca Naţională a Moldovei;
53.2. organizarea internă a prestatorului de servicii de plată nebancar;
53.3. identificarea, evaluarea şi gestionarea conflictelor de interese;
53.4. stabilirea strategiilor şi politicilor prestatorului de servicii de plată nebancar (de exemplu, modelul de afaceri, apetitul de risc, cadrul de gestionare a riscurilor);
53.5. monitorizarea supravegherii zilnice a activităţii externalizate şi a performanţei furnizorului de servicii de către prestatorul de servicii de plată nebancar, inclusiv gestionarea tuturor riscurilor asociate externalizării.
54. Prestatorul de servicii de plată nebancar trebuie:
54.1. să atribuie clar responsabilităţile pentru documentarea, gestionarea şi controlul contractelor de externalizare;
54.2. să aloce resurse suficiente pentru a asigura respectarea tuturor cerinţelor prevăzute de cadrul normativ, documentarea şi monitorizarea tuturor contractelor de externalizare;
54.3. ţinând cont de principiul proporţionalităţii astfel cum este prevăzut la punctul 4, să stabilească o funcţie de externalizare sau să desemneze o persoană care deţine funcţie-cheie, care să fie direct responsabilă faţă de organul de conducere pentru gestionarea şi supravegherea riscurilor aferente contractelor de externalizare ca parte a cadrului de control intern al prestatorului de servicii de plată nebancar şi supravegherea documentaţiei contractelor de externalizare. Prestatorul de servicii de plată nebancar ar trebui să asigure cel puţin o divizare clară a sarcinilor şi responsabilităţilor pentru gestionarea şi controlul contractelor de externalizare.
55. Prestatorii de servicii de plată nebancari trebuie să menţină în permanenţă capacitatea de desfăşurare a activităţii lor de bază. În acest scop, aceştia trebuie:
55.1. să îndeplinească în permanenţă toate condiţiile de licenţiere a acestora, inclusiv organul de conducere să-şi onoreze în mod efectiv responsabilităţile prevăzute la punctul 53;
55.2. să menţină un cadru şi o structură organizatorică clară şi transparentă, care să le permită să asigure respectarea cerinţelor cadrului normativ;
55.3. în cazul în care sarcinile operaţionale ale funcţiilor de control intern sunt externalizate (de exemplu, în cazul externalizării intragrup), să exercite o supraveghere adecvată şi să fie capabili să gestioneze riscurile generate de externalizarea funcţiilor semnificative;
55.4. să dispună de resurse şi capacităţi suficiente pentru a asigura respectarea prevederilor subpunctelor 55.1-55.3.
56. Organul de conducere al unui prestator de servicii de plată nebancar care are în aplicare contracte de externalizare sau intenţionează să încheie astfel de contract trebuie să aprobe, să pună în aplicare şi să actualizeze periodic (perioada între actualizări nu va depăşi 12 luni), o politică de externalizare care să acopere cel puţin aspectele expuse la punctul 58.
57. Atunci când externalizează, prestatorii de servicii de plată nebancari trebuie să se asigure cel puţin că:
57.1. pot lua şi pune în aplicare decizii legate de activităţile lor de afaceri şi funcţiile semnificative, inclusiv în ceea ce priveşte cele care au fost externalizate;
57.2. menţin ordinea desfăşurării activităţii şi a serviciilor de plată pe care le prestează;
57.3. riscurile legate de contractele de externalizare actuale şi planificate sunt identificate, evaluate, gestionate şi atenuate în mod adecvat, inclusiv riscurile legate de TIC şi tehnologia financiară;
57.4. sunt instituite aranjamente adecvate de confidenţialitate cu privire la date şi alte informaţii;
57.5. se menţine un flux adecvat de informaţii relevante cu furnizorii de servicii;
57.6. în ceea ce priveşte externalizarea funcţiilor semnificative, sunt capabili să întreprindă cel puţin una dintre următoarele acţiuni, într-un interval de timp adecvat:
57.6.1 transferul funcţiei către furnizorii alternativi de servicii;
57.6.2 reintegrarea funcţiei;
57.6.3 întreruperea activităţilor de afaceri care depind de funcţia respectivă.
57.7. în cazul în care datele cu caracter personal sunt prelucrate de furnizorii de servicii aflaţi în afara Republicii Moldova, sunt implementate măsuri adecvate şi datele sunt prelucrate în conformitate cu legislaţia Republicii Moldova ce vizează domeniul prelucrării şi protecţiei datelor cu caracter personal.
Capitolul IV
POLITICA DE EXTERNALIZARE
58. Politica de externalizare trebuie să definească principiile, responsabilităţile şi procesele legate de externalizare şi trebuie să vizeze cel puţin:
58.1. responsabilităţile organului de conducere în conformitate cu punctul 53, inclusiv implicarea acestuia, după caz, în luarea deciziilor privind externalizarea funcţiilor semnificative;
58.2. implicarea persoanelor responsabile de liniile de activitate, a funcţiilor de control intern şi a altor persoane în ceea ce priveşte contractele de externalizare;
58.3. planificarea contractelor de externalizare, inclusiv:
58.3.1 definirea cerinţelor de afaceri privind contractele de externalizare;
58.3.2 criteriile, inclusiv cele menţionate la punctele 7 şi 23 şi procesele de identificare a funcţiilor semnificative;
58.3.3 identificarea, evaluarea şi gestionarea riscurilor în conformitate cu Capitolul VII Secţiunea 1;
58.3.4 verificarea furnizorilor de servicii potenţiali în temeiul obligaţiei de diligenţă a prestatorului de servicii de plată nebancar, inclusiv măsurile cerute conform punctelor 91-93;
58.3.5 procedurile de identificare, evaluare, gestionare şi atenuare a potenţialelor conflicte de interes, în conformitate cu Capitolul VII Secţiunea 2;
58.3.6 planificarea continuităţii activităţii în conformitate cu punctele 42 şi 43;
58.3.7 procesul de aprobare a noilor contracte de externalizare;
58.4. implementarea, monitorizarea şi gestionarea contractelor de externalizare, inclusiv:
58.4.1 evaluarea continuă a performanţei furnizorului de servicii în conformitate cu Capitolul VIII Secţiunea 1;
58.4.2 procedurile de notificare şi răspuns la modificările aduse unui contract de
externalizare sau furnizor de servicii (de exemplu, situaţia financiară, structurile organizatorice sau de proprietate, subcontractare);
58.4.3 evaluarea independentă şi auditul respectării cerinţelor cadrului legal;
58.4.4 procesele de reînnoire;
58.5. documentarea şi păstrarea evidenţei, ţinând cont de cerinţele din Capitolul II Secţiunea 3;
58.6. strategiile de ieşire şi procesele de încetare, inclusiv o cerinţă pentru un plan de ieşire documentat pentru fiecare funcţie semnificativă care va fi externalizată în cazul în care o astfel de ieşire este considerată posibilă, luând în considerare posibile întreruperi ale serviciului sau rezoluţiunea neaşteptată a unui contract de externalizare.
59. Politica de externalizare trebuie să diferenţieze următoarele:
59.1. externalizarea funcţiilor semnificative şi alte contracte de externalizare;
59.2. externalizarea către furnizorii de servicii care sunt licenţiaţi/autorizaţi de o autoritate competentă şi către cei care nu sunt licenţiaţi/autorizaţi;
59.3. contracte de externalizare intra-grup şi externalizare către entităţi din afara grupului;
59.4. externalizarea către furnizorii de servicii situaţi în Republica Moldova şi în străinătate.
60. Prestatorii de servicii de plată nebancari trebuie să se asigure că politica acoperă identificarea următoarelor efecte potenţiale ale contractelor de externalizare a funcţiilor semnificative şi că acestea sunt luate în considerare în procesul decizional:
60.1. profilul de risc al prestatorului de servicii de plată nebancar;
60.2. capacitatea de a supraveghea furnizorul de servicii şi de a gestiona riscurile;
60.3. măsurile de asigurare a continuităţii activităţii;
60.4. desfăşurarea activităţilor lor de afaceri.
Capitolul V
CERINŢE FAŢĂ DE AUDIT
Secţiunea 1
Auditul activităţilor externalizate
61. Activităţile funcţiei de audit trebuie să acopere, în urma unei abordări bazate pe riscuri, examinarea independentă a activităţilor externalizate. Planul şi programul de audit trebuie să includă, în special, contractele de externalizare a funcţiilor semnificative.
62. În cazul auditării serviciilor/sistemelor tehnologiilor informaţiei şi comunicaţiilor (în continuare – externalizare TIC) considerate semnificative, cel puţin un auditor dispune de certificat/certificate de audit în sisteme informaţionale CISA.
63. În ceea ce priveşte procesul de externalizare, funcţia de audit trebuie să confirme cel puţin:
63.1. implementarea corectă şi eficace a cadrului de externalizare al prestatorului de servicii de plată nebancar, inclusiv a politicii de externalizare, şi în conformitate cu legislaţia aplicabilă, cu strategia de risc şi cu deciziile organului de conducere;
63.2. caracterul adecvat, calitatea şi eficacitatea evaluării caracterului semnificativ al funcţiilor;
63.3. caracterul adecvat, calitatea şi eficacitatea evaluării riscurilor pentru contractele de externalizare şi păstrarea conformităţii riscurilor cu strategia de risc a instituţiei;
63.4. implicarea corespunzătoare a organelor de conducere;
63.5. monitorizarea şi administrarea contractelor de externalizare în mod corespunzător.
Secţiunea 2
Cerinţe faţă de entitatea de audit care efectuează auditul extern
64. Banca Naţională a Moldovei aprobă entitatea de audit care efectuează auditul extern al funcţiilor externalizate. Prestatorul de servicii de plată nebancar efectuează anual auditul extern al funcţiilor externalizate.
65. Banca Naţională a Moldovei aprobă entitatea de audit care întruneşte cumulativ următoarele criterii:
65.1. dispune de minimum 3 ani de experienţă în domeniul auditului;
65.2. experienţa entităţii de audit include proiecte de audit similare celui care urmează a fi desfăşurat în legătură cu auditul extern al funcţiilor externalizate;
65.3. entitatea de audit, precum şi echipa entităţii de audit desemnată pentru misiunea de audit extern al funcţiilor externalizate respectă cele mai bune standarde şi practici în domeniul auditului;
65.4. în cazul auditului extern al funcţiilor externalizate ce ţine de procesarea plăţilor cu carduri de plată:
65.4.1 entitatea de audit deţine calificarea QSA, în cazul în care furnizorul nu este supus unui audit anual efectuat de către o entitate de audit ce deţine calificarea QSA, sau
65.4.2 cel puţin un membru din echipa de audit al entităţii de audit contractate de către prestatorul de servicii de plată nebancar deţine calificarea CISA sau CISSP, în cazul în care furnizorul este supus unui audit anual efectuat de către o entitate de audit ce deţine calificarea QSA, iar raportul acesteia este disponibil pentru prestatorul de servicii de plată nebancar şi pentru Banca Naţională a Moldovei;
65.5. în cazul auditării serviciilor/sistemelor tehnologiilor informaţiei şi comunicaţiilor externalizate (în continuare – externalizare TIC) cu funcţii semnificative, cel puţin un membru din echipa de audit dispune de certificat/certificate de audit în sisteme informaţionale CISA.
66. Pentru obţinerea aprobării Băncii Naţionale a Moldovei, prestatorul de servicii de plată nebancar va înainta o cerere cu anexarea următoarelor documente şi informaţii:
66.1. extrasul din procesul-verbal al şedinţei adunării generale a acţionarilor/ asociaţilor prestatorului de servicii de plată nebancar sau, după caz, a organului de conducere/membrului organului de conducere abilitat prin statut al prestatorului de servicii de plată nebancar, la care a fost luată decizia privind confirmarea/numirea entităţii de audit pentru desfăşurarea auditului extern a funcţiilor externalizate;
66.2. o descriere cu privire la calendarul activităţilor planificate a entităţii de audit privind auditul extern a funcţiilor externalizate pentru perioada de gestiune;
66.3. o declaraţie pe propria răspundere cu privire la lipsa legăturilor strînse a entităţii de audit cu prestatorul de servicii de plată nebancar, semnată de către persoana responsabilă/conducătorul entităţii de audit;
66.4. o declaraţie pe propria răspundere cu privire la independenţa auditorilor din echipa entităţii de audit, conform legislaţiei din domeniul auditului, semnată de către persoana responsabilă/conducătorul entităţii de audit;
66.5. proiectul agreat al contractului de audit, care va fi încheiat între prestatorul de servicii de plată nebancar şi entitatea de audit, care include cel puţin următoarele:
66.5.1 obiectivul şi sfera de aplicare a auditului;
66.5.2 obligaţia entităţii de audit de a elabora raportul auditorului conform standardelor de audit, precum şi scrisoarea adresată conducerii, pe care entitatea de audit este responsabilă să le prezinte organului de conducere/membrului organului de conducere al prestatorului de servicii de plată nebancar şi Băncii Naţionale a Moldovei, în termen de 120 de zile de la ultima zi a perioadei de gestiune;
66.5.3 perioada de gestiune pentru care se efectuează auditul conform Legii contabilităţii şi raportării financiare nr.287/2017;
66.5.4 obligaţia entităţii de audit de a comunica prestatorului de servicii de plată nebancar despre modificarea informaţiei aferente criteriilor specificate la punctul 65 în termen de 5 zile lucrătoare de la data modificării;
66.5.5 obligaţia entităţii de audit de a transmite Băncii Naţionale a Moldovei informaţia obţinută în cadrul misiunii de audit în situaţiile prevăzute la art.30 alin.(2) din Legea nr.114/2012 şi faptul că aceasta nu constituie o încălcare a obligaţiei de respectare a confidenţialităţii informaţiei referitoare la activitatea prestatorului de servicii de plătă nebancari, care revine societăţii de audit potrivit legislaţiei sau clauzelor contractuale, şi nu poate atrage răspunderea de orice natură a acesteia.
66.6. informaţiile privind studiile/formarea profesională şi experienţa membrilor echipei entităţii de audit în domeniul auditului extern a funcţiilor externalizate auditate, potrivit punctului 65, cu ataşarea copiilor documentelor justificative, confirmate prin semnătura persoanei responsabile a prestatorului de servicii de plată nebancar.
Informaţia respectivă va conţine cel puţin: nume, prenume; funcţia deţinută în cadrul societăţii de audit; aria de responsabilităţi în cadrul echipei entităţii de audit; informaţii cu privire la studii/certificări (denumirea instituţiei, anul, seria şi numărul diplomei/certificatului); informaţii cu privire la experienţa în domeniul auditului (denumirea entităţii, anul participării, aria de responsabilităţi în cadrul echipei entităţii de audit).
67. Cererea, precum şi documentele şi informaţiile anexate, specificate la punctul 66, se întocmesc în limba română şi se prezintă la Banca Naţională a Moldovei în termen de 10 zile lucrătoare de la confirmarea/numirea entităţii de audit de către adunarea generală a acţionarilor/asociaţilor prestatorului de servicii de plată nebancar sau, după caz, de către organul de conducere/membrul organului de conducere abilitat prin statut al prestatorulului de servicii de plată nebancar. Banca Naţională a Moldovei, în termen de 30 de zile de la data primirii setului complet de documente şi informaţii, aprobă sau refuză să aprobe entitatea de audit nominalizată, informând în scris prestatorul de servicii de plată nebancar despre decizia sa.
68. Banca Naţională a Moldovei verifică plenitudinea informaţiilor şi documentelor specificate în punctul 66 în termen de 10 zile de la data recepţionării acestora.
69. În cazul în care, în urma verificării plenitudinii se constată că documentele prezentate sunt incomplete, Banca Naţională a Moldovei informează în scris prestatorul de servicii de plată nebancar despre neajunsurile pe care acesta urmează să le înlăture, precum şi asupra documentelor şi informaţiilor necesare a fi prezentate. Prestatorul de servicii de plată nebancar, în termen de 15 zile de la data recepţionării scrisorii Băncii Naţionale a Moldovei, completează şi prezintă Băncii Naţionale a Moldovei documentele şi/sau informaţiile care lipsesc. Termenul de 30 de zile specificat la punctul 67 începe să curgă după constatarea de către Banca Naţională a Moldovei a prezentării de către prestatorul de servicii de plată nebancar a setului complet de documente şi informaţii.
70. În situaţia în care prestatorul de servicii de plată nebancar nu înlătură neajunsurile şi/sau nu prezintă documentele şi informaţiile solicitate în termenul prevăzut la punctul 69, Banca Naţională a Moldovei informează prestatorul de servicii de plată nebancar despre încetarea procedurii administrative.
71. Decizia Băncii Naţionale a Moldovei privind refuzul de aprobare a entităţii de audit va conţine temeiurile în baza cărora se refuză aprobarea entităţii de audit, solicitată de către prestatorul de servicii de plată nebancar. Drept temei de refuz sunt considerate următoarele:
71.1. prezentarea la Banca Naţională a Moldovei a informaţiei eronate;
71.2. necorespunderea entităţii de audit cu cel puţin unui din criteriile specificate la punctul 65.
72. În cadrul auditului extern al funcţiilor externalizate de prestatorul de servicii de plată nebancar, entitatea de audit verifică şi evaluează cel puţin următoarele aspecte, fără a se limita la acestea:
72.1. adecvarea şi implementarea reglementărilor interne ale prestatorilor de servicii de plată nebancari în domeniul externalizării;
72.2. corespunderea regelementărilor interne ale furnizorului naturii funcţiilor semnificative externalizate;
72.3. capacitatea furnizorului de servicii (financiară, tehnologică, organizatorică etc.) pentru desfăşurarea calitativă, sigură şi continuă a funcţiilor externalizate;
72.4. modul de gestionare a riscurilor şi a incidentelor aferente externalizării;
72.5. respectarea cadrului contractual al externalizării.
73. Banca Naţională a Moldovei poate solicita iniţierea unui audit extern al funcţiilor externalizate, înaintând cerinţele privind modul, forma, perioada, condiţiile de desfăşurare a verificării şi evaluării, inclusiv cerinţele faţă de echipa de audit, şi data-limită de prezentare a raportului auditorului extern al funcţiilor externalizate.
74. Auditul extern al funcţiilor externalizate poate fi desfăşurat la iniţiativa şi pe seama furnizorului de servicii, cu condiţia respectării cerinţelor prevăzute la punctele 64-73, precum şi a prezentării de către furnizor a raportului auditorului extern al funcţiilor externalizate.
75. Raportul auditului extern al funcţiilor externalizate se prezintă la Banca Naţională a Moldovei în termen de 10 zile de la data semnării raportului de către conducătorul entităţii de audit şi şeful echipei entităţii de audit.
Capitolul VI
EXTERNALIZAREA TEHNOLOGIEI INFORMAŢIEI ŞI COMUNICAŢIILOR
76. Prezentul capitol se aplică prestatorilor de servicii de plată nebancari care intenţionează să externalizeze TIC, inclusiv gestionarea sistemelor informaţionale.
77. În cazul externalizării TIC, prestatorul de servicii de plată nebancar întocmeşte proiectul contractului de externalizare TIC care va include cel puţin:
77.1. obligativitatea furnizorului de servicii, la necesitate, de a încheia un contract de asigurare obligatorie aferentă unor riscuri specifice identificate ce au o probabilitate mică de materializare însă cu un impact major;
77.2. clauze privind securitatea informaţiei şi continuitatea activităţii, care vor conţine cel puţin următoarele:
77.2.1 obligativitatea furnizorului de servicii de a se conforma cu reglementările TIC şi standardele de securitate a informaţiei şi continuitate a activităţii aplicabile prestatorului de servicii de plată nebancar;
77.2.2 cerinţe specifice de securitate şi continuitate înaintate de prestatorul de servicii de plată nebancar pentru TIC externalizate ce stochează sau conţin date cu caracter personal;
77.2.3 cerinţe cu privire la asigurarea accesibilităţii, disponibilităţii, integrităţii şi confidenţialităţii datelor prestatorului de servicii de plată nebancar în cadrul sistemului informaţional al furnizorului de servicii;
77.2.4 obligativitatea furnizorului de servicii de a stoca datele prestatorului de servicii de plată nebancar în cadrul sistemelor informatice şi bazelor de date într-o manieră care să permită identificarea, exportul/extragerea şi ştergerea datelor la solicitarea prestatorului de servicii de plată nebancar;
77.2.5 cerinţe faţă de furnizorul de servicii cu privire la timpul de restabilire a serviciilor de externalizare TIC considerate semnificative în cazul producerii unor incidente;
77.3. prevederi cu privire la dreptul de acces al prestatorului de servicii de plată nebancar la TIC şi la informaţie, care vor conţine cel puţin următoarele:
77.3.1 dreptul prestatorului de servicii de plată nebancar şi a Băncii Naţionale a Moldovei de a cere şi de a primi de la furnizorul de servicii, fără întârzieri nejustificate, rapoarte de audit şi copii de rezervă aferente, ca urmare a unor investigaţii, misiuni de audit sau în cazul întreruperii relaţiei cu furnizorul de servicii din orice motive;
77.3.2 dreptul prestatorului de servicii de plată nebancar la auditul TIC externalizate cu utilizarea în acest scop a rapoartelor de control ale autorităţilor de supraveghere a furnizorului de servicii. După caz, unde este relevant, prestatorul de servicii de plată nebancar se va asigura cu posibilitatea efectuării testelor de penetrare a serviciilor TIC externalizate, prestate prestatorului de servicii de plată nebancar de către furnizorul de servicii.
78. Prestatorul de servicii de plată nebancar, pentru a se asigura că gestionează eficient riscurile asociate reintegrării TIC externalizate, în legătură cu întreruperea relaţiei cu furnizorul de servicii va întreprinde cel puţin următoarele măsuri:
78.1. va elabora o strategie de reintegrare a TIC externalizate, care va asigura continuitatea activităţilor prestatorului de servicii de plată nebancar , conformarea cu cerinţele cadrului de reglementare şi evitarea impactului asupra calităţii deservirii clienţilor în cazul întreruperii relaţiei cu furnizorul de servicii;
78.2. va asigura că strategia prevăzută la subpunctul 78.1 din prezentul punct va conţine cel puţin următoarele:
78.2.1 obiectivele strategiei;
78.2.2 analiza de impact şi analiza de riscuri aferente procesului de reintegrare a serviciilor TIC externalizate;
78.2.3 identificarea resurselor tehnico-organizatorice, umane şi financiare, inclusiv a perioadei necesare implementării strategiei;
78.2.4 alocarea rolurilor şi responsabilităţilor pentru gestiunea strategiei;
78.2.5 factorii critici de succes în procesul de reintegrare;
78.2.6 indicatorii de performanţă şi calitate ai serviciilor externalizate ce urmează a fi monitorizaţi de către prestatorul de servicii de plată nebancar şi care vor declanşa aplicarea strategiei;
78.3. va revizui, cel puţin o dată pe an, strategia de reintegrare a serviciilor TIC externalizate pentru a asigura viabilitatea ei.
79. Prestatorul de servicii de plată nebancar, pentru a asigura continuitatea activităţii în cazuri excepţionale, pentru TIC externalizate ce sunt considerate semnificative, se va conforma cel puţin cu următoarele aspecte:
79.1. alocarea de suficiente resurse tehnice pentru a asigura, în conformitate cu planul de continuitate, la sediul prestatorului de servicii de plată nebancar continuitatea TIC externalizate şi abilitatea de recuperare sau acomodare rapidă la situaţii nefavorabile sau schimbări în cazul unui incident major/situaţie excepţională la furnizorul de servicii;
79.2. deţinerea de resurse umane ce posedă cunoştinţe suficiente pentru a asigura la necesitate reintegrarea/substituirea/continuitatea în conformitate cu planul de continuitate al prestatorului de servicii de plată nebancar, a TIC externalizate;
79.3. dezvoltarea planurilor de continuitate care să permită, în timp optim, reluarea integrală la sediul prestatorului de servicii de plată nebancar a oricărei TIC externalizate considerate semnificative;
79.4. organizarea, în comun cu furnizorul de servicii, a testării planurilor de continuitate a TIC externalizate considerate semnificative cu restabilirea acestora la sediul prestatorului de servicii de plată nebancar.
Capitolul VII
GESTIONAREA RISCURILOR ŞI A CONFLICTELOR DE INTERESE
ASOCIATE EXTERNALIZĂRII
Secţiunea 1
Gestionarea riscurilor
80. La elaborarea contractului de externalizare, prestatorul de servicii de plată nebancar va lua în considerare profilul individual de risc, natura şi modelul de afaceri, amploarea şi complexitatea activităţii prestatorului de servicii de plată nebancar, astfel încât obiectivele cerinţelor prevăzute în cadrul normativ să fie îndeplinite în mod eficace.
81. Prestatorii de servicii de plată nebancari trebuie să evalueze anual impactul potenţial al contractelor de externalizare asupra riscului lor operaţional, trebuie să ia în considerare rezultatele evaluării atunci când decid dacă funcţia trebuie externalizată către un furnizor de servicii şi trebuie să ia măsuri corespunzătoare pentru a evita riscuri operaţionale suplimentare nejustificate înainte de încheierea unor contracte de externalizare. Perioada între evaluări nu va depăşi 12 luni.
82. Evaluarea trebuie să includă, după caz, scenarii privind posibile evenimente de risc, inclusiv evenimente de risc operaţional foarte grave. În cadrul analizei scenariilor, prestatorii de servicii de plată nebancari trebuie să evalueze impactul potenţial al serviciilor deficiente sau inadecvate, inclusiv riscurile generate de procese, sisteme, persoane sau evenimente externe. Prestatorii de servicii de plată nebancari, luând în considerare principiul proporţionalităţii menţionat la punctul 4, trebuie să documenteze analiza efectuată şi rezultatele obţinute şi să estimeze măsura în care contractul de externalizare ar creşte sau ar diminua riscul lor operaţional.
83. În cadrul evaluării riscurilor, prestatorii de servicii de plată nebancari trebuie, de asemenea, să ia în considerare beneficiile şi costurile preconizate ale contractului de externalizare propus, inclusiv ponderarea oricărui risc care poate fi redus sau administrat mai bine în raport cu orice risc care ar putea apărea ca urmare a contractului de externalizare propus, luând în considerare cel puţin:
83.1. riscuri de concentrare, inclusiv din:
83.1.1 externalizarea către un furnizor de servicii dominant, care nu poate fi substituit cu uşurinţă;
83.1.2 contracte de externalizare multiple cu acelaşi furnizor de servicii sau cu furnizori de servicii aflaţi în strânsă legătură;
83.2. riscurile agregate care rezultă din externalizarea mai multor funcţii din cadrul prestatorului de servicii de plată nebancar şi, în cazul grupurilor de entităţi, riscurile agregate pe bază consolidată;
83.3. măsurile puse în aplicare de prestatorul de servicii de plată nebancar şi de furnizorul de servicii pentru a administra şi a atenua riscurile.
84. În cazul în care contractul de externalizare include posibilitatea ca furnizorul de servicii să subcontracteze funcţii semnificative altor furnizori de servicii, prestatorul de servicii de plată nebancar trebuie să ia în considerare:
84.1. riscurile asociate subcontractării, inclusiv riscurile suplimentare care pot apărea în cazul în care subcontractantul este situat în străinătate sau într-o altă ţară decât furnizorul de servicii;
84.2. riscul ca lanţurile lungi şi complexe de subcontractare să diminueze capacitatea prestatorului de servicii de plată nebancar de a supraveghea funcţia semnificativă externalizată şi capacitatea Băncii Naţionale a Moldovei de a-i supraveghea în mod eficace.
85. Atunci când efectuează evaluarea riscurilor înainte de externalizare şi pe parcursul monitorizării continue a performanţei furnizorului de servicii, prestatorul de servicii de plată nebancar trebuie cel puţin:
85.1. să identifice şi să clasifice funcţiile relevante şi datele şi sistemele asociate în ceea ce priveşte sensibilitatea şi măsurile de securitate necesare;
85.2. să efectueze o analiză aprofundată, bazată pe riscuri, a funcţiilor, a datelor şi a sistemelor asociate care sunt luate în considerare pentru externalizare sau care au fost externalizate şi să abordeze riscurile potenţiale, în special riscurile operaţionale, inclusiv riscurile de natură juridică, TIC, de conformitate şi reputaţional, precum şi limitările de supraveghere aferente ţărilor în care sunt sau pot fi furnizate serviciile externalizate şi în care datele sunt stocate sau este posibil să fie stocate;
85.3. să ia în considerare consecinţele locaţiei în care se află furnizorul de servicii (în interiorul sau în afara Republicii Moldova);
85.4. să ia în considerare stabilitatea politică şi situaţia în materie de securitate din jurisdicţiile în cauză, inclusiv:
85.4.1 legislaţia, inclusiv legislaţia privind protecţia datelor;
85.4.2 dispoziţiile din legislaţia privind insolvabilitatea care s-ar aplica în cazul incapacităţii unui furnizor de servicii şi orice constrângeri care ar putea apărea cu privire la recuperarea urgentă, în special a datelor prestatorului de servicii de plată nebancar;
85.5. să stabilească şi să decidă cu privire la nivelul adecvat de protecţie a confidenţialităţii datelor, asupra continuităţii activităţilor externalizate şi asupra integrităţii şi trasabilităţii datelor şi sistemelor în contextul externalizării vizate. De asemenea, prestatorul de servicii de plată nebancar trebuie să ia în considerare măsuri specifice, atunci când este necesar, pentru datele aflate în tranzit, datele din memorie şi datele în repaus, cum ar fi utilizarea tehnologiilor de criptare în combinaţie cu o arhitectură de management adecvat al cheilor.
86. Înainte de a încheia un contract de externalizare şi de a lua în considerare riscurile operaţionale legate de funcţia care urmează să fie externalizată, prestatorul de servicii de plată nebancar trebuie să se asigure, în cadrul procesului lor de selecţie şi de evaluare, că furnizorul de servicii este adecvat. Se consideră că furnizorul este adecvat, dacă nu există informaţii negative în ceea ce priveşte competenţa profesională în desfăşurarea funcţiilor externalizate şi integritatea acestuia.
87. Prestatorul de servicii de plată nebancar, la evaluarea furnizorului potrivit punctul 86, va lua în consideraţie cel puţin următoarele:
87.1. modelul de afacere a furnizorului şi poziţionarea acestuia pe piaţă (natura, amploarea, complexitatea afacerii acestuia, situaţia sa financiară, inclusiv principalii indicatori de performanţă, structura organizatorică şi structura de proprietate a furnizorului, şi structura grupului, dacă există);
87.2. rezultatele evaluărilor şi revizuirilor reflectate în ultimul raport de evaluare, în cazul în care furnizorul este supravegheat de către o autoritate competentă;
87.3. rapoartele auditului intern şi/sau auditului extern pentru ultimul an al furnizorului înainte de a externaliza funcţiile operaţionale semnificative, dacă există;
87.4. informaţia cu privire la antecedentele penale şi aflarea sub urmărire penală, sancţiunile aplicate furnizorului potrivit legislaţiei fiscale, vamale, precum şi cu privire la măsurile şi sancţiunile aplicate de orice autoritate de supraveghere sau organism profesional în domeniul economic în raport cu furnizorul;
87.5. informaţia privind dispunerea de politici ce ţin de confidenţialitatea şi securitatea datelor deţinute ca urmare a externalizării.
88. Modalitatea de solicitare şi evaluare a informaţiei, în baza căreia va fi efectuată evaluarea furnizorului potrivit punctelor 86 şi 87, forma în care aceasta este prezentată prestatorului de servicii de plată nebancar (declaraţii pe proprie răspundere, certificate sau alte acte emise de autorităţi publice sau alte entităţi) este stabilită în reglementările interne ale prestatorului de servicii de plată nebancar.
89. Prestatorul de servicii de plată nebancar consemnează în scris rezultatele evaluării menţionate la punctele 86 şi 87, inclusiv concluzia finală privind corespunderea furnizorului criteriilor stabilite în reglementările interne ale prestatorului de servicii de plată nebancar cu privire la externalizarea funcţiilor acestuia şi cerinţelor prezentului regulament.
90. În ceea ce priveşte funcţiile semnificative, suplimentar la cerinţele stabilite la punctele 86-89, prestatorii de servicii de plată nebancari trebuie să se asigure că furnizorul de servicii are o bună reputaţie de afaceri, abilităţi adecvate şi suficiente, experienţă, expertiza, capacitatea de a desfăşura funcţiile semnificative externalizate, resursele (de exemplu, resurse umane, informatice, financiare), structura organizatorică şi, dacă este cazul, licenţa sau înregistrarea necesară pentru a îndeplini fiabil şi profesional funcţia semnificativă cu scopul de a-şi onora obligaţiile pe toată durata proiectului de contract. Se consideră că furnizorul are o reputaţie bună de afaceri, dacă nu există informaţii negative în ceea ce priveşte competenţa profesională în desfăşurarea activităţii/operaţiunii externalizate şi integritatea acestuia.
91. Factorii suplimentari care trebuie avuţi în vedere de către prestatorul de servicii de plată nebancar la evaluarea reputaţiei de afaceri a unui potenţial furnizor de servicii vor include includ, fără a se limita la:
91.1. modelul său de afaceri, natura, amploarea, complexitatea afacerii sale, situaţia sa financiară, structura de proprietate şi, dacă este cazul, structura grupului;
91.2. relaţiile pe termen lung cu furnizorii de servicii care au fost deja evaluaţi şi care furnizează servicii prestatorului de servicii de plată nebancar;
91.3. dacă furnizorul de servicii este o întreprindere-mamă sau o filială a prestatorului de servicii de plată nebancar;
91.4. dacă furnizorul de servicii este sau nu supravegheat de autorităţi competente;
91.5. informaţia privind dispunerea de politici ce ţin de confidenţialitatea şi securitatea datelor, deţinute sau care urmează a fi deţinute urmare a externalizării.
92. În cazul în care externalizarea implică prelucrarea de date cu caracter personal sau confidenţiale, prestatorul de servicii de plată nebancar trebuie să se asigure că furnizorul de servicii pune în aplicare măsuri tehnice şi organizatorice adecvate pentru protejarea datelor.
93. Prestatorul de servicii de plată nebancar trebuie să ia măsurile necesare pentru a se asigura că furnizorii de servicii acţionează în conformitate cu valorile şi codul de conduită a prestatorului de servicii de plată nebancar. În special, în ceea ce priveşte furnizorii de servicii situaţi în străinătate şi, dacă este cazul, subcontractanţii acestora, prestatorii de servicii de plată nebancari trebuie să se asigure că furnizorul de servicii acţionează într-o manieră etică şi responsabilă din punct de vedere social.
Secţiunea 2
Gestionarea conflictelor de interese
94. Prestatorii de servicii de plată nebancari trebuie să identifice, să evalueze şi să gestioneze conflictele de interese în ceea ce priveşte contractele lor de externalizare.
95. În cazul în care externalizarea creează conflicte de interese semnificative, inclusiv între entităţi din cadrul aceluiaşi grup, prestatorul de servicii de plată nebancar trebuie să ia măsuri adecvate pentru a gestiona conflictele de interese respective.
96. În cazul în care funcţiile sunt furnizate de un furnizor de servicii care face parte dintr-un grup sau care este deţinut de prestatorul de servicii de plată nebancar, de grup, condiţiile, inclusiv condiţiile financiare pentru serviciul externalizat trebuie stabilite în mod obiectiv. Cu toate acestea, la stabilirea preţurilor pentru servicii, ar putea fi luate în considerare sinergiile care rezultă din furnizarea aceloraşi servicii sau a unor servicii similare mai multor entităţi din cadrul unui grup, atât timp cât furnizorul de servicii rămâne viabil în mod autonom; în cadrul unui grup, acest lucru nu trebuie să fie afectat de incapacitatea altei entităţi din grup.
Capitolul VIII
SUPRAVEGHEREA FURNIZORULUI DE SERVICII, STRATEGII DE IEŞIRE
Secţiunea 1
Supravegherea funcţiilor externalizate de către prestatorul de
servicii de plată nebancar
97. Prestatorul de servicii de plată nebancar trebuie să monitorizeze permanent performanţa furnizorilor de servicii în ceea ce priveşte toate contractele de externalizare, pe baza unei abordări bazate pe riscuri şi cu accent principal pe externalizarea funcţiilor semnificative, inclusiv asigurarea disponibilităţii, integrităţii şi securităţii datelor şi informaţiilor. În cazul în care riscul, natura sau amploarea unei funcţii externalizate s-a modificat semnificativ, prestatorul de servicii de plată nebancar trebuie să reevalueze caracterul semnificativ al funcţiei respective în conformitate cu punctele 7 şi 23.
98. Prestatorul de servicii de plată nebancar trebuie să dea dovadă de competenţa, precauţia şi diligenţa necesară atunci când monitorizează şi gestionează contractele de externalizare.
99. Prestatorii de servicii de plată nebancari trebuie să-şi monitorizeze şi să-şi administreze riscurile interne de concentrare cauzate de contractele de externalizare, luând în considerare prevederile capitolului VII secţiunea 1.
100. Prestatorii de servicii de plată nebancari trebuie să se asigure permanent, cu accent principal pe funcţiile semnificative externalizate, că contractele de externalizare îndeplinesc standardele corespunzătoare de performanţă şi de calitate, în conformitate cu politicile lor, prin:
100.1. asigurarea primirii periodice de rapoarte adecvate de la furnizorii de servicii;
100.2. evaluarea performanţei furnizorilor de servicii, care presupune utilizarea de instrumente precum indicatori-cheie de performanţă, indicatori de control-cheie, rapoarte privind livrarea serviciilor, autocertificare şi evaluări independente;
100.3. examinarea tuturor celorlalte informaţii relevante primite din partea furnizorului de servicii, inclusiv a rapoartelor privind măsurile de asigurare şi testare a continuităţii activităţii.
101. Prestatorii de servicii de plată nebancari trebuie să analizeze toate indiciile potrivit cărora furnizorii de servicii sunt susceptibili să nu execute funcţia semnificativă externalizată în mod eficace sau în conformitate cu cerinţele aplicabile ce decurg din cadrul normativ. Dacă sunt identificate deficienţe, prestatorii de servicii de plată nebancari trebuie să ia măsuri corective sau de remediere corespunzătoare. Astfel de măsuri pot include încetarea contractului de externalizare, cu efect imediat, dacă este necesar.
Secţiunea 2
Strategiile de ieşire
102. Atunci când externalizează funcţii semnificative, prestatorii de servicii de plată nebancari trebuie să aibă o strategie de ieşire documentată, conformă cu politica lor de externalizare şi cu planurile lor de asigurare a continuităţii activităţii, luând în considerare cel puţin următoarele posibilităţi:
102.1. încetarea contractelor de externalizare;
102.2. incapacitatea furnizorului de servicii;
102.3. deteriorarea calităţii funcţiei furnizate şi întreruperi efective sau potenţiale ale activităţii cauzate de furnizarea inadecvată a funcţiei sau de nefurnizarea acesteia;
102.4. riscurile semnificative care decurg din aplicarea corespunzătoare şi continuă a funcţiei.
103. Prestatorii de servicii de plată nebancari trebuie să se asigure că pot ieşi din contractele de externalizare fără a-şi perturba nejustificat activităţile comerciale, fără a limita respectarea cerinţelor ce decurg din cadrul normativ şi fără a prejudicia în niciun fel continuitatea şi calitatea serviciilor lor furnizate clienţilor. În acest scop, aceştia trebuie:
103.1. să elaboreze şi să pună în aplicare planuri de ieşire exhaustive, documentate şi, după caz, testate suficient (de exemplu, prin efectuarea unei analize a costurilor potenţiale, a impactului, a resurselor şi a implicaţiilor temporale ale transferului unui serviciu externalizat către un furnizor de servicii alternativ);
103.2. să identifice soluţii alternative şi să elaboreze planuri de tranziţie pentru a permite prestatorului de servicii de plată nebancar să extragă funcţiile şi datele externalizate de la furnizorul de servicii şi să le transfere către furnizori de servicii alternativi sau către prestatorul de servicii de plată nebancar, sau să ia alte măsuri care să asigure furnizarea continuă a funcţiei semnificative într-un mod controlat şi testat suficient, luând în considerare provocările care pot apărea din cauza locaţiei datelor şi aplicând măsurile necesare pentru a asigura continuitatea activităţii în etapa de tranziţie.
104. Atunci când elaborează strategii de ieşire, prestatorul de servicii de plată nebancar trebuie:
104.1. să definească obiectivele strategiei de ieşire;
104.2. să efectueze o analiză a impactului economic proporţională cu riscurile aferente proceselor, serviciilor sau activităţilor externalizate, pentru a identifica resursele umane şi financiare necesare pentru a implementa planul de ieşire, precum şi timpul necesar;
104.3. să aloce roluri, responsabilităţi concrete şi resurse suficiente pentru a gestiona planurile de ieşire şi tranziţia activităţilor;
104.4. să definească criteriile de succes pentru tranziţia funcţiilor şi a datelor externalizate;
104.5. să definească indicatorii care trebuie utilizaţi pentru monitorizarea contractului de externalizare (astfel cum este prevăzut în Capitolul VIII Secţiunea 1), inclusiv indicatorii bazaţi pe niveluri inacceptabile ale serviciilor care trebuie să declanşeze ieşirea.
Secţiunea 3
Supravegherea de către Banca Naţională a Moldovei
105. Atunci când stabileşte metodele adecvate de monitorizare a conformităţii prestatorului de servicii de plată nebancar cu condiţiile pentru licenţiere, Banca Naţională a Moldovei va identifica dacă contractele de externalizare reprezintă o modificare semnificativă a condiţiilor şi a obligaţiilor aferente licenţierii prestatorului de servicii de plată nebancar.
106. Banca Naţională a Moldovei trebuie să se încredinţeze că poate supraveghea într-un mod eficient prestatorul de servicii de plată nebancar, inclusiv faptul că prestatorul de servicii de plată nebancar s-a asigurat, în cadrul contractului de externalizare, că furnizorii de servicii au obligaţia să acorde drepturi de audit şi de acces prestatorilor de servicii de plată nebancari şi Băncii Naţionale a Moldovei, în conformitate cu punctele 33-39.
107. Analiza riscurilor de externalizare ale prestatorului de servicii de plată nebancar va fi efectuată de către Banca Naţională a Moldovei ca parte a altor procese de supraveghere, inclusiv a cererilor ad-hoc sau pe parcursul controalelor.
108. Suplimentar informaţiilor înregistrate în registru, astfel cum se menţionează în Capitolul II Secţiunea 3, Banca Naţională a Moldovei poate solicita informaţii suplimentare din partea prestatorilor de servicii de plată nebancari, în special pentru contractele de externalizare a funcţiilor semnificative, inclusiv, dar fără a se limita la acestea:
108.1. analiza detaliată a riscurilor;
108.2. existenţa unui plan de asigurare a continuităţii activităţii potrivit pentru serviciile furnizate prestatorului de servicii de plată nebancar;
108.3. strategia de ieşire care trebuie utilizată dacă contractul de externalizare este rezolvit de oricare dintre părţi sau dacă există o perturbare în prestarea serviciilor externalizate;
108.4. resursele şi măsurile existente pentru monitorizarea continuă şi adecvată a activităţilor externalizate.
109. Suplimentar informaţiilor solicitate în temeiul Secţiunii 3 din prezentul capitol, Banca Naţională a Moldovei poate solicita prestatorului de servicii de plată nebancar să furnizeze informaţii detaliate cu privire la orice contract de externalizare, chiar dacă funcţia în cauză nu este considerată semnificativă.
110. Banca Naţională a Moldovei evaluează, pe baza unei abordări bazate pe risc, dacă prestatorul de servicii de plată nebancar:
110.1. monitorizează şi administrează corespunzător în special contractele de externalizare a funcţiilor semnificative;
110.2. dispune de resurse suficiente efective pentru a monitoriza şi a administra contractele de externalizare;
110.3. identifică şi administrează toate riscurile relevante;
110.4. identifică, evaluează şi gestionează corespunzător conflictele de interese în ceea ce priveşte contractele de externalizare, de exemplu, în cazul externalizării în cadrul grupului;
110.5. respectă prevederile actelor normative aferente procesului de externalizare, inclusiv a actelor interne adoptate în acest sens, precum şi asigură supravegherea activităţilor/operaţiunilor externalizate.
111. Banca Naţională a Moldovei se asigură că prestatorii de servicii de plată nebancari au implementat un cadru de administrare a activităţii şi de administrare a riscurilor adecvate pentru a-şi identifica şi a-şi administra riscurile.
112. În cazul în care sunt identificate riscuri de concentrare, Banca Naţională a Moldovei trebuie să monitorizeze evoluţia unor astfel de riscuri şi să evalueze impactul potenţial al acestora atât asupra altor prestatori de servicii de plată nebancari, cât şi asupra stabilităţii pieţei financiare.
113. În cazul în care se identifică motive care duc la concluzia că un prestator de servicii de plată nebancar nu mai are instituit un cadru solid de administrare a activităţii sau nu mai respectă cerinţele ce decurg din cadrul normativ, Banca Naţională a Moldovei poate aplica măsuri, care pot cuprinde limitarea sau restrângerea domeniului de aplicare al funcţiilor externalizate sau impunerea rezoluţiunii unuia sau mai multor contracte de externalizare.
114. Banca Naţională a Moldovei trebuie să aibă certitudinea că poate asigura o supraveghere eficientă, în special atunci când prestatorul de servicii de plată nebancar externalizează funcţii semnificative care sunt desfăşurate în străinătate.