Opis systemu zarządzania ryzykiem i kontroli wewnętrznej, o którym mowa w art. 61 ust. 1 pkt 6 ustawy, obejmuje:
1) w zakresie rozwiązań organizacyjnych:
a) opis organizacji wnioskodawcy wraz ze wskazaniem jego struktury, jednostek, komórek organizacyjnych, funk- cji, hierarchii, podległości i zasad obiegu informacji,
b) zatwierdzone procedury podejmowania decyzji obejmujące pełen zakres prowadzonej działalności,
c) zasady i procedury wypełniania obowiązków instytucji obowiązanych w rozumieniu ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2020 r. poz. 971, 875 i 1086);
2) w zakresie zasad zarządzania ryzykiem – określenie rodzajów ryzyka zidentyfikowanych przez wnioskodawcę, opis sposobów ich identyfikacji, pomiaru, szacowania, monitorowania, kontroli i ograniczania oraz zatwierdzone procedu- ry w tym zakresie;
3) w zakresie kontroli wewnętrznej:
a) zasady badania i oceny w sposób niezależny i obiektywny adekwatności i skuteczności systemu zarządzania ry- zykiem i kontroli wewnętrznej wraz z zatwierdzonymi procedurami w tym zakresie,
b) zasady identyfikacji, oceny, kontroli i monitorowania zgodności prowadzonej działalności z ustawą, przepisami ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, regulacjami wewnętrznymi i standardami obowiązującymi na rynku usług płatniczych;
4) opis zasad postępowania ze środkami pieniężnymi przyjmowanymi w celu wykonania transakcji płatniczych, zgodnie z art. 78 ustawy, wraz z zatwierdzonymi regulacjami wewnętrznymi w tym zakresie;
5) procedurę monitorowania incydentów związanych z bezpieczeństwem oraz monitorowania i rozpatrywania skarg użytkowników, w tym skarg związanych z bezpieczeństwem, oraz podejmowania działań następczych w tym zakresie obejmującą:
a) definicje podstawowych pojęć zawartych w procedurze,
b) środki organizacyjne i narzędzia zapobiegające oszustwom,
c) szczegółowe informacje o osobach lub organach odpowiedzialnych za pomoc klientom w przypadku oszustw lub problemów technicznych lub za zarządzanie roszczeniami,
d) kanały, za pośrednictwem których należy zgłaszać przypadki oszustwa,
e) dane punktu kontaktowego dla klientów, w tym numer telefonu i adres e-mail,
f) procedury zgłaszania incydentów, w tym przekazywania zgłoszeń organom wewnętrznym wnioskodawcy i podmio- tom zewnętrznym, w tym powiadamiania Komisji Nadzoru Finansowego o poważnych incydentach i oszustwach zgodnie z art. 32g ust. 1 i art. 32h ust. 1 ustawy,
g) wykorzystywane narzędzia monitorowania oraz środki i procedury następcze stosowane w celu ograniczenia ry- zyka w zakresie bezpieczeństwa;
6) system komunikacji wewnętrznej obejmujący zasady przekazywania informacji istotnych z punktu widzenia organiza- cji i działania wnioskodawcy;
7) procedurę lub procedury dotyczące przeprowadzania kontroli okresowych i stałych, w tym informacje na temat czę- stotliwości ich przeprowadzania oraz liczby osób wykonujących zadania w tym zakresie;
8) procedurę lub procedury księgowe, zgodnie z którymi wnioskodawca będzie rejestrował i raportował swoje informa- cje finansowe;
9) dane pozwalające na ustalenie tożsamości osoby odpowiedzialnej lub osób odpowiedzialnych za funkcje kontroli wewnętrznej, w tym kontrole okresowe, stałe i kontrole zgodności, jak również aktualne życiorysy takiej osoby lub takich osób;
10) dane pozwalające na ustalenie osoby biegłego rewidenta oraz identyfikację firm audytorskich; Dziennik Ustaw –6– Poz. 2225
11) opis sposobu monitorowania i kontrolowania czynności, działań i zadań zleconych w ramach powierzenia innemu przedsiębiorcy wykonywania określonych czynności operacyjnych związanych ze świadczeniem usług płatniczych w celu uniknięcia pogorszenia jakości kontroli wewnętrznej wnioskodawcy;
12) opis sposobu monitorowania i kontroli agentów i oddziałów w ramach kontroli wewnętrznej;
13) opis zarządzania grupą, w przypadku gdy wnioskodawca jest jednostką zależną podmiotu posiadającego zezwolenie lub rejestrację właściwych organów sprawujących nadzór uprawniające do prowadzenia działalności na rynku finan- sowym;
14) procedurę dokumentowania, monitorowania, śledzenia i ograniczania dostępu do danych szczególnie chronionych dotyczących płatności zawierającą:
a) definicje podstawowych pojęć zawartych w procedurze,
b) opis przepływu danych sklasyfikowanych jako dane szczególnie chronione dotyczące płatności w kontekście mo- delu działalności wnioskodawcy,
c) opis narzędzi monitorowania,
d) zasady oraz procedury uzyskiwania praw dostępu do danych szczególnie chronionych dotyczących płatności, z wyszczególnieniem prawa dostępu do wszystkich stosownych komponentów i systemów infrastruktury, w tym baz danych i kopii zapasowych,
e) opis sposobu dokumentowania i przechowywania gromadzonych danych,
f) informacje na temat zakładanego wewnętrznego lub zewnętrznego sposobu wykorzystania zgromadzonych da- nych, w tym również przez podmioty współpracujące z wnioskodawcą,
g) opis wprowadzonego systemu informatycznego i środków ochrony technicznej, w tym szyfrowania lub genero- wania odpowiedników cyfrowych,
h) zasady identyfikacji osób i organów lub innych jednostek organizacyjnych wnioskodawcy posiadających dostęp do danych szczególnie chronionych dotyczących płatności,
i) wyjaśnienia sposobu wykrywania naruszeń i podejmowania działań następczych,
j) informacje na temat corocznego programu kontroli wewnętrznej w zakresie bezpieczeństwa systemów informa- tycznych;
15) rozwiązania zapewniające ciągłość działania wnioskodawcy obejmujące:
a) analizę wpływu poważnego zdarzenia na działalność, mogącego spowodować jej zakłócenie lub przerwanie, obejmującą określenie:
– parametrów czasu odtworzenia (Recovery Time Objective),
– akceptowalnego poziomu utraconych danych wyrażonego w czasie (Recovery Point Objective),
– aktywów chronionych,
b) identyfikację awaryjnego systemu zapasowego oraz jego umiejscowienia, wskazanie zasad dostępu do infrastruk- tury informatycznej oraz określenie kluczowego oprogramowania i danych, które zostaną odzyskane po awarii lub zakłóceniu funkcjonowania systemu,
c) wyjaśnienie, jakie działania zostaną podjęte w przypadku wystąpienia poważnego zdarzenia lub zakłócenia funk- cjonowania mającego wpływ na ciągłość działania, takiego jak awaria kluczowych systemów, utrata kluczowych danych, brak dostępu do pomieszczeń lub utrata kluczowych osób,
d) wskazanie częstotliwości, z jaką wnioskodawca zamierza weryfikować rozwiązania zapewniające ciągłość dzia- łania i plany odtworzeniowe, w tym sposób rejestrowania wyników weryfikacji,
e) opis przyjętych przez wnioskodawcę środków zapewniających wykonanie niezrealizowanych transakcji płatni- czych oraz wygaśnięcie istniejących umów w przypadku zakończenia świadczenia usług płatniczych;
16) zasady gromadzenia danych statystycznych dotyczących wyników działalności, transakcji i oszustw obejmujące doku- menty uzupełniające, takie jak instrukcje, metodyki i opis systemu wdrożonego w celu gromadzenia danych i określające:
a) definicje podstawowych pojęć zawartych w zasadach,
b) rodzaj gromadzonych danych dotyczących klientów, rodzaju usług płatniczych, kanałów dystrybucji usług, in- strumentów płatniczych, obszarów działania i walut, w jakich dokonywane będą transakcje płatnicze, Dziennik Ustaw –7– Poz. 2225
c) zakres gromadzonych danych w odniesieniu do określonych działań i podmiotów, w tym oddziałów i agentów, o ile wnioskodawca zamierza prowadzić działalność przez oddziały lub za pośrednictwem agentów,
d) środki i sposoby gromadzenia danych,
e) cel gromadzenia danych,
f) częstotliwość gromadzenia danych;
17) politykę bezpieczeństwa zawierającą:
a) szczegółową analizę i ocenę ryzyka w odniesieniu do usług płatniczych, jakie wnioskodawca zamierza świad- czyć, z uwzględnieniem środków kontroli, bezpieczeństwa i ograniczania ryzyka podjętych w celu odpowiedniej ochrony klientów wnioskodawcy przed zidentyfikowanym ryzykiem wskazanym w dokumentacji dołączanej do wniosku, uwzględniającą wszystkie rodzaje ryzyka,
b) opis systemów informatycznych zawierający:
– wskazanie systemów informatycznych i elementów ich sieci,
– opis biznesowych systemów informatycznych wspierających planowaną działalność, takich jak witryny inter- netowe, moduły i mechanizmy płatności, mechanizmy zarządzania ryzykiem i przeciwdziałania oszustwom oraz rozliczania przyjętych środków pieniężnych,
– opis wspierających systemów informatycznych wykorzystywanych do organizacji i zarządzania wnioskodaw- cy, takich jak systemy księgowe, sprawozdawcze, kadrowe, zarządzania stosunkami z klientami, poczty elek- tronicznej i udostępniania plików wewnętrznych,
– informacje, czy systemy informatyczne są już używane przez wnioskodawcę lub grupę, do której należy, albo planowany termin ich wdrożenia,
c) rodzaj autoryzowanych połączeń zewnętrznych, w szczególności z partnerami biznesowymi, dostawcami usług, podmiotami z grupy i pracownikami świadczącymi pracę na odległość, wraz z uzasadnieniem dla takich połączeń,
d) dla każdego połączenia, o którym mowa w lit. c – mechanizmy i środki bezpieczeństwa logicznego, obejmujące:
– rodzaj kontroli, jaką wnioskodawca będzie miał nad danym połączeniem, w szczególności wskazujące, czy będzie to kontrola techniczna, organizacyjna, prewencyjna czy wykrywcza, wykonywana w czasie rzeczywi- stym czy w formie przeglądów okresowych,
– charakter i częstotliwość poszczególnych rodzajów kontroli nad danym połączeniem przy uwzględnieniu czynników, takich jak usługa katalogowa, otwieranie lub zamykanie linii komunikacyjnych, konfiguracja sprzętu bezpieczeństwa, generowanie kluczy lub certyfikatów uwierzytelniania klienta, monitorowanie syste- mu, uwierzytelnianie, poufność komunikacji, wykrywanie włamań, systemy antywirusowe i dzienniki,
e) środki i mechanizmy bezpieczeństwa logicznego regulujące dostęp wewnętrzny do systemów informatycznych, uwzględniające:
– informacje na temat technicznego i organizacyjnego charakteru oraz częstotliwość stosowania każdego środka bezpieczeństwa, w szczególności czy jest on prewencyjny, czy wykrywczy oraz czy jest wykonywany w czasie rzeczywistym,
– sposób postępowania z rozdzieleniem środowisk informatycznych klientów, w przypadku gdy wnioskodawca współdzieli zasoby informatyczne,
f) fizyczne środki i mechanizmy bezpieczeństwa pomieszczeń oraz centrum danych wnioskodawcy, takie jak kon- trole dostępu i bezpieczeństwo środowiskowe,
g) rozwiązania w zakresie bezpieczeństwa w zakresie świadczenia usług płatniczych zawierające:
– procedurę uwierzytelniania klienta stosowaną w przypadku dostępu zarówno w celach informacyjnych, jak i w celach transakcyjnych wobec wszystkich dostępnych instrumentów płatniczych,
– wyjaśnienie sposobu zapewnienia bezpiecznego przesyłania środków pieniężnych do odbiorcy oraz informa- cję na temat integralności elementów uwierzytelniania, w szczególności tokenów sprzętowych i aplikacji mo- bilnych, zarówno w momencie rejestracji tych elementów dla danego użytkownika, jak i przedłużenia ich ważności lub ich odnowienia w przypadku utraty przez nie ważności,
– opis systemów i procedur, które wnioskodawca wprowadził w celu analizy transakcji i identyfikacji transakcji podejrzanych lub nietypowych,
h) wykaz głównych procedur w odniesieniu do systemów informatycznych wnioskodawcy lub, w przypadku proce- dur, które nie zostały jeszcze wdrożone, planowany termin ich wdrożenia; Dziennik Ustaw –8– Poz. 2225
18) mechanizmy kontroli wewnętrznej zgodne z obowiązkami związanymi z zapobieganiem praniu pieniędzy i finansowaniu terroryzmu obejmujące:
a) ocenę ryzyka prania pieniędzy i finansowania terroryzmu, w tym ryzyka związanego z bazą klientów wniosko- dawcy, udostępnionymi produktami i świadczonymi usługami, używanymi kanałami dystrybucji oraz geograficz- nymi obszarami działania wnioskodawcy,
b) środki, które wnioskodawca wprowadził lub wprowadzi w celu zmniejszenia ryzyka i wypełnienia obowiązków związanych z zapobieganiem praniu pieniędzy i finansowaniu terroryzmu, w tym stosowane procedury oceny ry- zyka, zasady i procedury stosowania środków bezpieczeństwa finansowego wobec klientów oraz zasady i procedury wykrywania i zgłaszania podejrzanych transakcji, czynności lub innych działań,
c) systemy i zasady dotyczące kontroli, które wnioskodawca wprowadził lub wprowadzi w celu zapewnienia, że od- działy i agenci przestrzegają obowiązujących przepisów w zakresie przeciwdziałania praniu pieniędzy i finansowa- niu terroryzmu, w tym w przypadku, gdy agent lub oddział prowadzi działalność w innym państwie członkowskim,
d) rozwiązania, które wnioskodawca wprowadził lub wprowadzi, aby zapewnić, że pracownicy i agenci zostali właści- wie przeszkoleni w zakresie spraw związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu,
e) dane pozwalające na ustalenie tożsamości osoby odpowiedzialnej za zapewnienie wypełniania przez wniosko- dawcę obowiązków związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu oraz dowód po- twierdzający, że jej kompetencje w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu są wy- starczające, aby zapewnić skuteczne wykonywanie tych obowiązków,
f) systemy i zasady dotyczące kontroli, które wnioskodawca wprowadził lub wprowadzi, aby zapewnić:
– aktualność i skuteczność polityki i procedur dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu,
– że agenci nie narażą wnioskodawcy na zwiększone ryzyko związane z praniem pieniędzy oraz finansowaniem terroryzmu,
g) podręcznik dla pracowników wnioskodawcy w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terro- ryzmu.