ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
ПИСЬМО
от 23 октября 2009 г. N 128-Т
О РЕКОМЕНДАЦИЯХ ПО ИНФОРМАЦИОННОМУ СОДЕРЖАНИЮ И ОРГАНИЗАЦИИ
WEB-САЙТОВ КРЕДИТНЫХ ОРГАНИЗАЦИЙ В СЕТИ ИНТЕРНЕТ
Центральный банк Российской Федерации направляет Рекомендации по информационному содержанию и организации Web-сайтов кредитных организаций в сети Интернет.
Со дня опубликования настоящего письма отменить: Указание оперативного характера Банка России от 3 февраля 2004 года N 16-Т "О Рекомендациях по информационному содержанию и организации WEB-сайтов кредитных организаций в сети Интернет" ("Вестник Банка России" от 11 февраля 2004 года N 11), Письмо Банка России от 19 января 2005 года N 8-Т "О сведениях, рекомендуемых для размещения на Web-сайтах кредитных организаций в сети Интернет" ("Вестник Банка России" от 26 января 2005 года N 4), Письмо Банка России от 22 сентября 2006 года N 122-Т "О размещении информации на WEB-сайтах уполномоченных банков (филиалов уполномоченных банков) в сети Интернет о приостановлении деятельности и закрытии обменных пунктов уполномоченных банков (филиалов уполномоченных банков)" ("Вестник Банка России" от 27 сентября 2006 года N 53).
Настоящее письмо подлежит опубликованию в "Вестнике Банка России".
Доведите содержание настоящего письма до сведения кредитных организаций.
Первый заместитель
Председателя Банка России
Г.Г.МЕЛИКЬЯН
Приложение
к Письму Банка России
от 23.10.2009 N 128-Т
"О Рекомендациях по информационному
содержанию и организации Web-сайтов
кредитных организаций в сети Интернет"
РЕКОМЕНДАЦИИ
ПО ИНФОРМАЦИОННОМУ СОДЕРЖАНИЮ И ОРГАНИЗАЦИИ WEB-САЙТОВ
КРЕДИТНЫХ ОРГАНИЗАЦИЙ В СЕТИ ИНТЕРНЕТ
Глава 1. Общие положения
1.1. Настоящие Рекомендации по информационному содержанию и организации Web-сайтов кредитных организаций в сети Интернет (далее - Рекомендации) разработаны в целях:
- упорядочения процессов создания, организации и функционирования Web-сайтов кредитных организаций в сети Интернет (далее - Web-сайт);
- снижения банковских рисков, связанных с применением интернет-технологий;
- повышения доступности информации о кредитных организациях и их деятельности;
- расширения возможностей для более полного информирования клиентов кредитных организаций (в том числе потенциальных);
- повышения доверия к банковской системе в целом.
Рекомендации предназначены для кредитных организаций, зарегистрированных в Российской Федерации и использующих Web-сайты или аналогичные по назначению средства (операционные, информационные и Web-порталы, WAP-сайты и другие) в решении задач:
- распространения среди пользователей сети Интернет информации, в том числе рекламной, характеризующей кредитную организацию и ее деятельность;
- дистанционного банковского обслуживания клиентов;
- информационного обмена с пользователями сети Интернет (включая фактических и потенциальных клиентов).
Глава 2. Состав сведений, размещаемых на информационных Web-сайтах
2.1. Банк России рекомендует размещать на используемых кредитными организациями информационных Web-сайтах (собственных, арендуемых, используемых совместно со сторонними организациями и других) следующие сведения о кредитной организации <*>:
--------------------------------
<*> Сведения, отнесенные к персональным данным в соответствии со статьей 3 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", размещаются на Web-сайтах с учетом требований указанного Федерального закона.
2.1.1. Установочные сведения:
полное фирменное наименование кредитной организации на русском языке, включенное в Единый государственный реестр юридических лиц; регистрационный номер, присвоенный Банком России и внесенный в Книгу государственной регистрации кредитных организаций (далее - КГРКО);
сокращенное фирменное наименование на русском языке (в соответствии с данными КГРКО);
полное фирменное наименование и (или) сокращенное фирменное наименование на языках народов Российской Федерации и (или) иностранных языках (при наличии такого наименования оно указывается в соответствии с уставом кредитной организации);
основной государственный регистрационный номер кредитной организации; дата внесения в Единый государственный реестр юридических лиц записи о государственной регистрации кредитной организации;
идентификационный номер налогоплательщика (ИНН);
данные об участии банка в системе обязательного страхования вкладов физических лиц в банках Российской Федерации;
платежные реквизиты кредитной организации (ее филиалов);
сведения о лицензиях, на основании которых кредитная организация осуществляет свою деятельность, даты их выдачи;
сведения о местонахождении (адресе) органов управления кредитной организации (соответствует адресу, указанному в уставе кредитной организации) и сведения о фактическом местонахождении (адресе) кредитной организации (до момента государственной регистрации изменений, вносимых в устав кредитной организации, связанных с изменением местонахождения);
сведения о местонахождении (адресе) филиалов и представительств, а также внутренних структурных подразделений кредитной организации (дополнительных офисов, кредитно-кассовых офисов, операционных офисов, операционных касс вне кассового узла, обменных пунктов, а также иных внутренних структурных подразделений, предусмотренных нормативными актами Банка России);
контактная информация службы технической поддержки Web-сайта (телефоны, адреса электронной почты);
адреса Web-сайтов (при использовании кредитной организацией более одного Web-сайта рекомендуется указывать также их функциональное назначение);
наименование и контактная информация (почтовый адрес, телефон, факс, адрес электронной почты) территориальных учреждений Банка России, осуществляющих надзор за деятельностью кредитной организации и ее филиалов;
режим работы кредитной организации по обслуживанию юридических и физических лиц;
сведения об учредителях (участниках) кредитной организации;
руководители (единоличный исполнительный орган, его заместители, члены коллегиального исполнительного органа, члены совета директоров (наблюдательного совета), главный бухгалтер, заместители главного бухгалтера) с указанием должности, фамилии, имени, отчества (полностью);
информацию о лицах, оказывающих существенное (прямое или косвенное) влияние на решения, принимаемые органами управления кредитной организации;
сведения об аудиторской организации, проводившей последнюю аудиторскую проверку (наименование, местонахождение, номер лицензии, дата выдачи и срок действия лицензии, дата последней проверки кредитной организации);
сведения о размере указанного в уставе кредитной организации уставного капитала;
информация о принятии решения о реорганизации (орган, принявший решение, форма реорганизации, срок ее проведения) и/или об изменении величины уставного капитала;
сведения об участии и размере участия Российской Федерации (субъектов Российской Федерации) в уставном капитале кредитной организации;
сообщения об аннулировании лицензии на осуществление банковских операций (указанные сообщения рекомендуется размещать в течение пяти рабочих дней с даты принятия Банком России решения об аннулировании лицензии на осуществление банковских операций на стартовых (главных) страницах Web-сайтов);
информация об обменных пунктах, деятельность которых приостановлена, срок приостановления деятельности которых продлен либо по которым уполномоченным банком принято решение об их закрытии с указанием даты приостановления, даты продления срока приостановления и даты возобновления их деятельности либо даты закрытия обменного пункта (указанную информацию рекомендуется размещать в день принятия соответствующего решения);
лицо, ответственное за полноту, достоверность и актуальность публикуемых на Web-сайте сведений (фамилия, имя и отчество (полностью), номера телефонов, адреса электронной почты и иные сведения);
хронология изменений в указанных выше установочных сведениях о кредитной организации.
2.1.2. Функциональные сведения:
перечень совершаемых кредитной организацией банковских операций и других сделок, а также всех оказываемых юридическим и физическим лицам услуг с указанием их подробных характеристик, стоимости (тарифов) и правил установления договорных отношений с клиентами (если услуги и тарифы на обслуживание юридических и физических лиц в филиалах и внутренних структурных подразделениях кредитной организации (ее филиала) различаются, то сведения о них рекомендуется приводить отдельно);
текст Памятки заемщика по потребительскому кредиту <*>, а также иная информация по вопросам потребительского кредитования;
--------------------------------
<*> Письмо Банка России от 5 мая 2008 года N 52-Т "О Памятке заемщика по потребительскому кредиту" ("Вестник Банка России" от 14 мая 2008 года N 21).
формы договоров на оказание всех видов предлагаемых клиентам банковских услуг, используемые кредитной организацией;
описание вариантов и условий страхования банковских услуг, которые гарантируются клиентам кредитной организации при совершении банковских операций и других сделок по поручению и на основании ордера клиента <*> с использованием информационно-телекоммуникационных сетей - дистанционного банковского обслуживания (далее - ДБО);
--------------------------------
<*> Определение понятия "ордер клиента" приведено в Письме Банка России от 31 марта 2008 года N 36-Т "О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга" ("Вестник Банка России" от 9 апреля 2008 года, N 16).
описания применяемых систем ДБО, работающих через сеть Интернет, и демонстрационные версии интерфейсов таких систем, позволяющие пользователям изучать их функционирование или имитировать проведение предусмотренных в рамках ДБО банковских операций и других сделок на тестовых данных;
краткое описание технологий и средств обеспечения информационной безопасности применяемых систем ДБО (с указанием реквизитов лицензий уполномоченного органа на используемые средства защиты сведений об операциях, счетах и вкладах клиента, передаваемых в рамках ДБО по информационно-телекоммуникационным сетям, средств и способов аутентификации клиента <*>), а также перечень законодательных и иных актов, регламентирующих использование этих технологий и средств;
--------------------------------
<*> Под аутентификацией клиента понимается процедура проверки соответствия клиента предъявленному им идентификатору при сеансе дистанционного банковского обслуживания.
режим работы, номера телефонов и адреса электронной почты сервис-центра (подразделения кредитной организации или организации, осуществляющей консультирование клиентов кредитной организации по вопросам использования интернет-технологий).
2.1.3. Сведения о бухгалтерской и финансовой отчетности:
финансовая отчетность за два последних года, составляемая по международным стандартам финансовой отчетности (МСФО) в соответствии с Указанием Банка России от 25 декабря 2003 года N 1363-У "О составлении и представлении финансовой отчетности кредитными организациями";
бухгалтерская и финансовая отчетность за два последних года, составляемая в соответствии с Положением Банка России от 26 марта 2007 года N 302-П "О Правилах ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации", включая:
Годовой и квартальный отчеты кредитной организации в составе:
бухгалтерского баланса (публикуемой формы) по форме 0409806, установленной Указанием Банка России от 16 января 2004 года N 1376-У "О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации" (далее - Указание N 1376-У);
отчета о прибылях и убытках (публикуемой формы) по форме 0409807, установленной Указанием N 1376-У;
отчета об уровне достаточности капитала, величине резервов на покрытие сомнительных ссуд и иных активов по форме 0409808, установленной Указанием N 1376-У;
сведения об эмиссии ценных бумаг;
сведения об эмиссии и эквайринге платежных карт.
Годовой консолидированный отчет в составе, определяемом в соответствии с пунктом 1.2 Указания Банка России от 20 января 2009 года N 2172-У "Об опубликовании и представлении информации о деятельности кредитных организаций и банковских (консолидированных) групп".
2.1.4. Дополнительная информация:
правила доступа клиентов кредитной организации к услугам ДБО с указанием мер информационной безопасности;
полученная по результатам внешней оценки и (или) самооценки информация об уровне соответствия информационной безопасности кредитной организации требованиям стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения. СТО БР ИББС-1.0-2008" (далее - стандарт СТО БР ИББС-1.0-2008), а также информация о проведении аудита по иным стандартам (например, ISO 17799, ISO/IEC 27001-27005, COBIT) с указанием организации, проводившей оценку соответствия или аудит.
2.2. При наличии актуальной бухгалтерской, финансовой и статистической отчетной информации, размещенной на представительстве Банка России в сети Интернет, допускается размещение на Web-сайте гипертекстовых ссылок на соответствующие страницы представительства Банка России в сети Интернет.
2.3. В случае использования кредитной организацией нескольких Web-сайтов рекомендуется сведения, перечисленные в подпунктах 2.1.1 - 2.1.4 настоящих Рекомендаций, размещать в полном объеме на одном из указанных Web-сайтов.
2.4. В случае размещения на Web-сайтах рекламных материалов организаций, не являющихся деловыми партнерами кредитной организации, а также гипертекстовых ссылок на Web-сайты таких организаций целесообразно принимать меры, обеспечивающие разграничение информации, относящейся к самой кредитной организации, и прочей (например, с использованием выделенных фрагментов экранных форм, снабженных комментариями, обособленных Web-страниц и тому подобных элементов Web-сайта).
Глава 3. Организация работы Web-сайтов
3.1. Создание, модернизацию, замену, изменение порядка использования, закрытие Web-сайтов рекомендуется оформлять внутренними документами, определяющими основные мероприятия по реализации решений, сроки их выполнения и ответственных лиц за ведение и сопровождение Web-сайтов.
3.2. Обеспечение информационной безопасности использования кредитной организацией Web-сайтов целесообразно организовывать и осуществлять в соответствии с законодательством Российской Федерации, нормативными актами Банка России, стандартом СТО БР ИББС-1.0-2008, а также внутренними документами кредитной организации, определяющими состав, содержание и порядок реализации соответствующих защитных мер.
3.3. Целесообразно оснащать информационные Web-сайты средствами интерактивного информационного взаимодействия, посредством которых клиенты имели бы возможность оперативно получать от кредитной организации ответы на интересующие их вопросы, высказывать имеющиеся жалобы (претензии), пожелания и предложения.
3.4. Особенности организации операционных Web-сайтов.
3.4.1. Кредитным организациям рекомендуется принимать внутренние документы, регламентирующие состав и содержание операций, совершаемых с использованием операционных Web-сайтов, а также перечни и характеристики используемых при этом технических и программных средств, включая средства обеспечения информационной безопасности.
3.4.2. Для доступа зарегистрированных клиентов к операционным Web-сайтам кредитным организациям рекомендуется использовать регламентируемые внутренними документами кредитной организации процедуры идентификации клиентов <*>, а также аутентификации их электронных сообщений <**>.
--------------------------------
<*> Под идентификацией клиента понимается процедура установления его личности.
<**> Под аутентификацией электронного сообщения понимается процедура контроля целостности и подтверждения его подлинности.
3.4.3. Документооборот между кредитной организацией и ее клиентами через операционные Web-сайты рекомендуется осуществлять с использованием шифровальных (криптографических) средств, а также средств аутентификации электронных сообщений (в том числе аналогов собственноручной подписи).
3.4.4. При организации в кредитной организации межсетевого информационного взаимодействия банковской автоматизированной системы с сетью Интернет целесообразно применять не менее двух защитных межсетевых экранов (брандмауэров).
3.4.5. Кредитной организации рекомендуется поддерживать размещаемую на своих Web-сайтах информацию в актуальном состоянии.
В целях организации надлежащей работы Web-сайтов кредитных организаций рекомендуется утвердить внутренние документы, в соответствии с которыми будут назначены лица, отвечающие за разработку, эксплуатацию, информационное наполнение, мониторинг и обеспечение безопасности функционирования Web-сайтов, а также распределяющие права и полномочия между ответственными лицами и устанавливающие их подотчетность и подконтрольность органам управления кредитной организации.