2) блокировку функционала по предоставлению микрокредитов электронным способом организации, осуществляющей микрофинансовую деятельность, в случае обнаружения признаков нарушения целостности и (или) обхода защитных механизмов операционной системы, обнаружения процессов удаленного управления;
3) уведомление клиента о наличии обновлений мобильного приложения;
4) возможность принудительной установки обновлений мобильного приложения или блокировки функционала мобильного приложения до их установки в случаях необходимости устранения критичных уязвимостей;
5) хранение конфиденциальных данных в защищенном контейнере мобильного приложения или хранилище системных учетных данных;
6) исключение кэширования конфиденциальных данных;
7) исключение из резервных копий мобильного приложения конфиденциальных данных;
8) информирование клиента о действенных методах обеспечения кибергигиены, которым рекомендуется следовать при использовании мобильного приложения;
9) информирование клиента о событиях авторизации под его учетной записью, изменения и (или) восстановления пароля, изменения, зарегистрированного организацией, осуществляющей микрофинансовую деятельность, номера мобильного телефона;
10) в ходе осуществления операций с денежными средствами - передачу в серверное ППО организации, осуществляющей микрофинансовую деятельность, геолокационных данных мобильного устройства при наличии разрешения от клиента, либо передачу информации об отсутствии такого разрешения.
26. Организация, осуществляющая микрофинансовую деятельность, обеспечивает на своей стороне:
1) обработку ошибок и исключений безопасным способом, не допуская в ответе раскрытия конфиденциальных данных, предоставляя минимально достаточную информацию для диагностики проблемы;
2) идентификацию и аутентификацию мобильных приложений и связанных с ними устройств;
3) проверку данных на валидность для предотвращения атак с подделкой запросов и инъекций.
27. Доступ к информации в автоматизированной информационной системе предоставляется работникам организации, осуществляющей микрофинансовую деятельность, в объеме, необходимом для исполнения их функциональных обязанностей.
28. Доступ к автоматизированной информационной системе осуществляется путем идентификации и аутентификации работников организации, осуществляющей микрофинансовую деятельность.
29. В автоматизированной информационной системе применяются функции по управлению учетными записями и паролями, а также блокировке учетных записей пользователей, определяемые внутренним документом организации, осуществляющей микрофинансовую деятельность.
30. Автоматизированная информационная система обеспечивается технической поддержкой, в состав которой входят услуги по предоставлению обновлений автоматизированной информационной системы, в том числе обновлений безопасности.
31. Автоматизированная информационная система обеспечивает резервное хранение данных, файлов и настроек, которое обеспечивает восстановление ее работоспособной копии.
32. В организации, осуществляющей микрофинансовую деятельность, обеспечивается ведение и неизменность аудиторского следа автоматизированной информационной системы, как на организационном, так и на техническом уровне.
33. Для защиты автоматизированной информационной системы используется лицензионное антивирусное программное обеспечение или системы, обеспечивающие целостность или контроль неизменности программной среды на рабочих станциях, ноутбуках и мобильных устройствах.
Пункт 34 изложен в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.24 г. № 58 (введено в действие со 2 сентября 2024 г.) (см. стар. ред.)
34. Организация, осуществляющая микрофинансовую деятельность, обеспечивает безопасное хранение электронных сообщений и иных документов, предоставленных клиенту и полученных от него, а также полученных в ходе биометрической идентификации клиента данных с соблюдением их целостности и конфиденциальности в течение не менее пяти лет после прекращения обязательств сторон по договору о предоставлении микрокредита.
Хранение электронных сообщений, данных и иных документов осуществляется в том формате, в котором они были сформированы, отправлены клиенту или получены от него.
Пункт 35 изложен в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.24 г. № 58 (введено в действие со 2 сентября 2024 г.) (см. стар. ред.)
35. При биометрической идентификации обеспечивается защита от использования статичного изображения или видеозаписи для подделки биометрических данных клиента путем проверки выполнения клиентом в ходе биометрической идентификации неповторяющихся последовательностей контрольных движений.
Правила дополнены пунктом 36 в соответствии с постановлением Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.24 г. № 58 (введено в действие со 2 сентября 2024 г.); внесены изменения в соответствии с постановлением Правления Агентства РК по регулированию и развитию финансового рынка от 29.08.25 г. № 53 (введено в действие с 31 августа 2025 г.) (см. стар. ред.)
36. В случае наличия у организации, осуществляющей микрофинансовую деятельность, информации о незаконном распространении персональных данных клиента, организация, осуществляющая микрофинансовую деятельность, реализует дополнительные меры безопасности, включая, но не ограничиваясь:
1) повторную биометрическую идентификацию клиента;
2) проверку принадлежности клиенту его абонентского номера путем сверки индивидуального идентификационного номера клиента с индивидуальным идентификационным номером владельца абонентского номера в базе данных оператора мобильной связи или получения информации о принадлежности клиенту данного абонентского номера путем сверки индивидуального идентификационного номера клиента в базе номеров мобильных телефонов клиентов посредством веб-портала «электронного правительства»;
3) проверочный звонок на указанный клиентом абонентский номер устройства сотовой связи клиента с информированием клиента о похищении его персональных данных и рекомендацией по установлению клиентом добровольного отказа на оформление кредитов.
Правила дополнены пунктом 37 в соответствии с постановлением Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.24 г. № 58 (введено в действие со 2 сентября 2024 г.)
37. В случае предоставления доступа третьим лицам к автоматизированной информационной системе или размещения серверных мощностей организации, осуществляющей микрофинансовую деятельность, в сторонних центрах обработки данных (использования внешних сервисов обработки и(или) хранения данных) организацией, осуществляющей микрофинансовую деятельность, предпринимаются следующие меры обеспечения информационной безопасности:
1) отражение в соответствующем соглашении, договоре с третьим лицом требований по защите автоматизированных информационных систем организации, осуществляющей микрофинансовую деятельность, и права проверки организацией, осуществляющей микрофинансовую деятельность исполнения таких требований, а также условий о возмещении ущерба, возникшего вследствие нарушения информационной безопасности и работоспособности автоматизированных информационных систем;
2) исключение возможности доступа третьих лиц к информации, передача которой третьим лицам не допускается в соответствии с гражданским, банковским законодательством Республики Казахстан, законодательством Республики Казахстан о микрофинансовой деятельности, законодательством Республики Казахстан о персональных данных и их защите. Для этих целей применяется метод хранения информации в зашифрованном виде с раскрытием информации на стороне организации, осуществляющей микрофинансовую деятельность. При этом ключ шифрования хранится в организации, осуществляющей микрофинансовую деятельность.
