„PŘÍLOHA IVa

SLUŽBA TIPS PRO PŘIDRUŽENÉ SYSTÉMY, KTERÉ PROVÁDĚJÍ ZÚČTOVÁNÍ OKAMŽITÝCH PLATEB

1.   Definice

V návaznosti na definice uvedené v článku 1 přílohy IIb se pro účely této přílohy rozumí:

1)	„centrální bankou přidruženého systému“ centrální banka Eurosystému, s níž příslušný přidružený systém, který provádí zúčtování okamžitých plateb ve svém účetnictví, uzavřel dvoustranné ujednání o zúčtování okamžitých plateb přidruženého systému;

2)

„podkladovým hrubým objemem“ se rozumí počet okamžitých plateb, k jejichž zúčtování dochází v účetnictví přidruženého systému a které jsou umožněny díky prostředkům drženým na technickém účtu TIPS AS. Nezahrnuje okamžité platby ve prospěch TIPS DCA nebo jiných technických účtů TIPS AS nebo na jejich vrub;

3)

„stranou, která dává platební příkaz“ subjekt, který byl jako strana, která dává platební příkaz, určen přidruženým systémem a který může jménem tohoto přidruženého systému nebo dostupné strany tohoto přidruženého systému zasílat platební příkazy do platformy TIPS a/nebo přijímat platební příkazy z platformy TIPS.

2.   Vložení platebních příkazů do systému a jejich neodvolatelnost

Použitím článku 20 přílohy IIb, pokud jde o okamžik vložení příkazů k okamžité platbě, realizací storna a příkazů k převodu likvidity z TIPS DCA na technický účet TIPS AS a příkazů k převodu likvidity z technického účtu TIPS AS na TIPS DCA v příslušném systému, který je součástí TARGET2, nejsou dotčena pravidla jednotlivých přidružených systémů, která stanoví okamžik vložení převodních příkazů do přidruženého systému nebo neodvolatelnost převodních příkazů zadaných do těchto přidružených systémů dříve než k okamžiku vložení daného platebního příkazu do příslušného systému, který je součástí TARGET2.

3.   Účty na podporu zúčtování okamžitých plateb ve vlastním účetnictví přidružených systémů

1)	Na podporu zúčtování okamžitých plateb souvisejících s přidruženými systémy v TIPS je veden jeden technický účet TIPS AS.

2)

Technický účet TIPS AS je identifikován jedinečným číslem účtu, které se skládá maximálně ze 34 znaků a je strukturováno, jak je uvedeno v následující tabulce:   Název Formát Obsah Část A Typ účtu přesně 1 znak „A“ pro technický účet AS Kód země centrální banky přesně 2 znaky ISO kód země 3166-1 Kód měny přesně 3 znaky EUR Část B Majitel účtu přesně 11 znaků Kód BIC Část C Dílčí klasifikace účtu až 17 znaků Volný text (alfanumerický), který poskytne majitel účtu.

3)	Na technických účtech AS může být během dne jen nulový nebo kladný zůstatek a přes noc na nich může být kladný zůstatek. Na zůstatek na účtu přes noc se vztahují stejná pravidla pro úročení, která platí pro garanční fond podle článku 11 těchto obecných zásad.

4.   Zúčtovací postup

1)	Přidružený systém používá technický účet TIPS AS k shromažďování nezbytné likvidity, kterou členové jeho clearingového systému vyčlenili k financování svých pozic.

2)	Přidružený systém je na požádání informován o připsání a odepsání prostředků z technického účtu TIPS AS.

3)

Přidružený systém může zaslat příkazy k okamžité platbě a realizace storna kterémukoli majiteli TIPS DCA nebo přidruženému systému TIPS. Přidružený systém přijímá a zpracovává příkazy k okamžité platbě, žádosti o storno a realizace storna od kteréhokoli majitele TIPS DCA nebo přidruženého systému TIPS.

5.   Uživatelské rozhraní

1)	Majitel technického účtu TIPS AS má přístup k platformě TIPS v režimu A2A a může se rovněž připojit v režimu U2A, a to buď přímo, nebo prostřednictvím jedné či více stran, které dávají platební příkaz.

2)	Přístup k platformě TIPS umožňuje majitelům technického účtu TIPS AS: a) přístup k informacím, které se týkají jejich účtů, a správu stanovených kreditních zůstatků; b) zadávat příkazy k převodu likvidity z technického účtu TIPS AS na TIPS DCA; a c) spravovat určité statické údaje.

6.   Sazebník poplatků a fakturace

1)

Na přidružený systém v TIPS se vztahují tyto poplatky: a) transakční poplatek vypočtený na stejném základě jako sazebník stanovený pro majitele TIPS DCA v dodatku VI k příloze IIb; b) poplatek založený na podkladovém hrubém objemu okamžitých plateb, které se zúčtovávají na vlastní platformě přidruženého systému a které jsou umožněny díky předfinancovaným pozicím na technickém účtu TIPS AS. Poplatek činí 0,005 EUR za okamžitou platbu.

2)

Podkladový hrubý objem okamžitých plateb přidruženého systému vypočítává centrální banka přidruženého systému každý měsíc na základě hrubého podkladového objemu během předchozího měsíce, který se zaokrouhlí dolů na nejbližších deset tisíc a který přidružený systém oznámil nejpozději do třetího pracovního dne následujícího měsíce. Vypočtený hrubý objem se použije pro výpočet poplatku v průběhu následujícího měsíce.

3)

Každý přidružený systém obdrží od své centrální banky přidruženého systému fakturu za předchozí měsíc, jež vychází z poplatků uvedených v bodě 1 tohoto odstavce, nejpozději v devátý pracovní den následujícího měsíce. Platby se uhradí nejpozději ve čtrnáctý pracovní den měsíce, ve kterém je faktura vystavena, na účet, který určí centrální banka přidruženého systému, nebo se odepíšou z účtu, který určí přidružený systém.

4)

Pro účely sazebníku poplatků a fakturace podle této přílohy: a) přidružený systém, který byl označen za systém podle směrnice 98/26/ES, se považuje za samostatný přidružený systém bez ohledu na to, zda je provozován právním subjektem, který provozuje jiný přidružený systém; b) přidružený systém, který nebyl označen za systém podle směrnice 98/26/ES, se považuje za samostatný přidružený systém, pokud splňuje tato kritéria: i) jedná se o formální ujednání ve formě smlouvy nebo právního nástroje; ii) má více než jednoho [člena] [účastníka] [kromě provozovatele tohoto systému]; iii) je zřízen pro účely zúčtování, vzájemného započtení a/nebo vypořádání plateb a/nebo cenných papírů mezi účastníky; a iv) uplatňuje obecná pravidla a standardizované postupy pro vzájemné zúčtování, započtení a vypořádání plateb a cenných papírů mezi účastníky.

5)	Poplatky pro účely fakturace podle tohoto článku za období od 1. prosince 2021 do 28. února 2022 činí průměr celkových fakturovaných poplatků za měsíce září, říjen a listopad 2021.

„Dodatek VIII

Požadavky na řízení bezpečnosti informací a řízení kontinuity provozu

Řízení bezpečnosti informací

Tyto požadavky se vztahují na každého účastníka, pokud účastník neprokáže, že se na něj konkrétní požadavek nevztahuje. Při zjišťování oblasti působnosti požadavků v rámci své infrastruktury by měl účastník určit prvky, které jsou součástí řetězce platebních transakcí. Řetězec platebních transakcí konkrétně začíná v místě vstupu, tj. v systému, který se podílí na vytváření transakcí (např. pracovní stanice, aplikace front office a back-office, middleware) a končí v systému odpovědném za zaslání zprávy do SWIFT (např. SWIFT VPN Box) nebo do internetu (posledně uvedené platí v případě internetového přístupu).

Požadavek 1.1: Politika bezpečnosti informací

Vedení stanoví jasný směr politiky v souladu s obchodními cíli a prokáže podporu a odhodlání v oblasti bezpečnosti informací prostřednictvím vydávání, schvalování a udržování politiky bezpečnosti informací zaměřené na řízení bezpečnosti informací a kybernetické odolnosti v celé organizaci, pokud jde o identifikaci, posuzování a řešení rizik v oblasti bezpečnosti informací a kybernetické odolnosti. Tato politika by měla obsahovat alespoň tyto oddíly: cíle, oblast působnosti (včetně oblastí, jako je organizace, lidské zdroje, správa aktiv atd.), zásady a rozdělení odpovědnosti.

Požadavek 1.2: Vnitřní organizace

Pro provádění politiky bezpečnosti informací v rámci organizace se zavede rámec pro bezpečnost informací. Vedení koordinuje a přezkoumává zavedení rámce pro bezpečnost informací s cílem zajistit provádění politiky bezpečnosti informací (ve smyslu požadavku 1.1) v celé organizaci, včetně poskytnutí dostatečných zdrojů a přidělení povinností za tímto účelem v oblasti bezpečnosti.

Požadavek 1.3: Externí subjekty

Bezpečnost informací organizace a jejích zařízení pro zpracování informací by neměla být snížena zapojením externích subjektů nebo zavedením produktů/služeb, které tyto externí subjekty poskytují, a/nebo závislostí na nich. Veškerý přístup externích subjektů do zařízení organizace pro zpracování informací podléhá kontrole. Vyžadují-li externí subjekty nebo jejich produkty či služby přístup k zařízením organizace pro zpracování informací, provede se posouzení rizik s cílem určit bezpečnostní důsledky a požadavky na kontrolu. Kontroly musí být dohodnuty a vymezeny v dohodě s každým příslušným externím subjektem.

Požadavek 1.4: Správa aktiv

Veškerá informační aktiva, obchodní procesy a související informační systémy – např. operační systémy, infrastruktury, obchodní aplikace, běžně dostupné produkty, služby a aplikace vyvinuté uživateli - v rámci řetězce platebních transakcí musí být evidovány a musí mít určeného vlastníka. Je zapotřebí stanovit odpovědnost za údržbu a provoz vhodných kontrol v obchodních postupech a souvisejících složek informačních technologií za účelem ochrany informačních aktiv. Poznámka: Vlastník může případně delegovat provádění konkrétních kontrol, ale zůstává odpovědný za řádnou ochranu aktiv.

Požadavek 1.5: Klasifikace informačních aktiv

Informační aktiva jsou klasifikována z hlediska jejich zásadního významu pro hladké poskytování služby účastníkem. V rámci klasifikace se uvede potřeba, priority a požadovaná úroveň ochrany při nakládání s informačním aktivem v příslušných obchodních postupech a zohlední se i příslušné složky IT. Systém klasifikace informačních aktiv, který schválí vedení, se použije k vymezení vhodného souboru ochranných kontrolních mechanismů v průběhu celého životního cyklu informačního aktiva (včetně odstranění a zničení informačních aktiv) a ke sdělení potřeby specifických opatření pro nakládání s informačními aktivy.

Požadavek 1.6: Bezpečnost lidských zdrojů

Povinnosti v oblasti bezpečnosti jsou před nástupem do zaměstnání upraveny v odpovídajících popisech pracovní náplně a v pracovních podmínkách. Všichni uchazeči o zaměstnání, dodavatelé a uživatelé, kteří jsou třetími stranami, musí být náležitě prověřeni, zejména v případě citlivých pracovních míst. Zaměstnanci, dodavatelé a uživatelé zařízení pro zpracování informací, kteří jsou třetími stranami, podepíší dohodu o svých rolích a povinnostech v oblasti bezpečnosti. Zajistí se odpovídající úroveň informovanosti všech zaměstnanců, dodavatelů a uživatelů, kteří jsou třetími stranami, jakož i jejich vzdělávání a odborná příprava v oblasti bezpečnostních postupů a správného používání zařízení pro zpracování informací s cílem minimalizovat možná bezpečnostní rizika. Pro zaměstnance se zavede formální disciplinární řízení pro řešení případů porušení bezpečnosti. Musí být zavedena odpovědnost za to, aby byl zajištěn řádný odchod zaměstnance, dodavatele nebo uživatele, který je třetí stranou, z organizace nebo jeho přeřazení v rámci organizace a aby bylo zajištěno vrácení veškerého vybavení a zrušení všech přístupových práv.

Požadavek 1.7: Fyzická a environmentální bezpečnost

Zařízení na zpracování kritických nebo citlivých informací musí být umístěna na bezpečných místech chráněných vymezenými bezpečnostními obvody s vhodnými bezpečnostními překážkami a vstupními kontrolami. Musí být fyzicky chráněna před neoprávněným přístupem, poškozením a narušením. Přístup se umožní pouze osobám, které spadají do oblasti působnosti požadavku 1.6. Zavedou se postupy a normy na ochranu fyzických nosičů, které obsahují informační aktiva, při tranzitu.

Vybavení musí být chráněno před fyzickými a environmentálními hrozbami. Ochrana vybavení (včetně vybavení používaného mimo prostory organizace) a ochrana před odcizením majetku je nezbytná k omezení rizika neoprávněného přístupu k informacím a k ochraně vybavení či informací před ztrátou nebo poškozením. Na ochranu před fyzickými hrozbami a na zabezpečení podpůrných zařízení, jako je infrastruktura na dodávky elektrické energie a kabelová infrastruktura, mohou být zapotřebí zvláštní opatření.

Požadavek 1.8: Řízení provozu

Zavede se odpovědnost a postupy pro řízení a provoz zařízení pro zpracování informací, které se budou vztahovat na všechny základní systémy v rámci celého řetězce platebních transakcí.

Pokud jde o provozní postupy, včetně technické správy informačních systémů, provede v případě potřeby oddělení funkcí, aby se snížilo riziko nedbalostního nebo úmyslného zneužití systému. Nelze-li z prokázaných objektivních důvodů oddělení funkcí provést, provedou se kompenzační kontroly na základě formální analýzy rizik. Zavedou se kontroly s cílem zabránit zavedení škodlivých kódů do systémů v řetězci platebních transakcí a odhalovat je. Rovněž se zavedou kontroly (včetně informovanosti uživatelů) za účelem prevence, odhalování a odstraňování škodlivých kódů. Mobilní kód lze použít pouze z důvěryhodných zdrojů (např. podepsané komponenty Microsoft COM a Java Applets). Konfigurace prohlížeče (např. použití rozšíření a plug-inů) musí být přísně kontrolována.

Vedení zavede postupy pro zálohování údajů a jejich obnovu; tyto postupy pro obnovu údajů zahrnují plán obnovení, který se v pravidelných intervalech testuje alespoň jednou ročně.

Monitorují se systémy, které mají zásadní význam pro bezpečnost plateb, a zaznamenávají se události týkající se bezpečnosti informací. K zajištění toho, aby byly zjištěny problémy s informačním systémem, se použijí protokoly provozovatele. Protokoly provozovatele se pravidelně přezkoumávají ve formě vzorku, a to podle zásadního významu provozních operací. Sledování systému se použije ke kontrole účinnosti kontrol, které jsou označeny za zásadní pro bezpečnost plateb, a k ověření shody s modelem politiky přístupu.

Výměna informací mezi organizacemi je založena na formální politice výměny prováděné v souladu s dohodami o výměně informací mezi zúčastněnými stranami a musí být v souladu s příslušnými právními předpisy. Softwarové komponenty třetích stran, které se používají při výměně informací s TARGET2 (např. software přijatý od Service Bureau ve scénáři 2 oddílu o oblasti působnosti dokumentu o autocertifikaci pro TARGET2), musí být používány na základě formální dohody se třetí stranou.

Požadavek 1.9: Kontrola přístupu

Přístup k informačním aktivům musí být odůvodněn na základě obchodních požadavků (potřeba znát (1)) a v souladu se zavedeným rámcem podnikových politik (včetně politiky bezpečnosti informací). Jasná pravidla kontroly přístupu se vymezí na základě zásady minimálních práv (2) tak, aby věrně odrážela potřeby odpovídajících obchodních a informačních procesů. V příslušných případech (např. v případě správy zálohování) by měla být kontrola logického přístupu v souladu s kontrolou fyzického přístupu, pokud neexistují odpovídající kompenzační kontroly (např. šifrování, anonymizace osobních údajů).

Musí být zavedeny formální a dokumenty podložené postupy pro kontrolu přidělování přístupových práv k informačním systémům a službám, které spadají do oblasti působnosti řetězce platebních transakcí. Postupy se vztahují na všechny fáze životního cyklu uživatelského přístupu, od počáteční registrace nových uživatelů až po konečné zrušení registrace uživatelů, kteří již přístup nepotřebují.

Zvláštní pozornost se v příslušných případech věnuje přidělení přístupových práv tak zásadního významu, že by jejich zneužití mohlo mít závažný nepříznivý dopad na operace účastníka (např. přístupová práva umožňující správu systému, nerespektování systémových kontrol, přímý přístup k obchodním údajům).

Zavedou se vhodné kontroly za účelem identifikace, ověření a autorizace uživatelů v konkrétních místech sítě organizace, např. pro místní a vzdálený přístup k systémům v řetězci platebních transakcí. S cílem zajistit odpovědnost se osobní účty nesdílejí.

Pokud jde o hesla, musí být stanovena pravidla, která se prosazují zvláštními kontrolami, aby se zajistilo, že hesla nelze snadno odhadnout, např. pravidla týkající se složitosti a časově omezená platnost. Vytvoří se protokol pro bezpečné obnovení a/nebo opětovné nastavení hesel.

V zájmu ochrany důvěrnosti, pravosti a integrity informací musí být vypracován a prováděn postup pro používání kryptografických kontrol. Na podporu používání kryptografických kontrol musí být stanovena politika správy klíčů.

Musí existovat pravidla pro prohlížení důvěrných informací na obrazovce nebo v tištěné podobě (např. pravidla prázdné obrazovky a čistého stolu), aby se snížilo riziko neoprávněného přístupu.

Při práci na dálku musí být zohledněna rizika práce v nechráněném prostředí a zajištěny vhodné technické a organizační kontroly.

Požadavek 1.10: Pořízení, vývoj a údržba informačních systémů

Před vývojem a/nebo zaváděním informačních systémů musí být určeny a dohodnuty bezpečnostní požadavky.

Do aplikací, včetně aplikací vyvinutých uživateli, musí být zabudovány vhodné kontroly, aby bylo zajištěno správné zpracování. Tyto kontroly zahrnují validaci vstupních údajů, interní zpracování a výstupní údaje. U systémů, které zpracovávají citlivé, cenné nebo kritické informace nebo na ně mají dopad, mohou být požadovány dodatečné kontroly. Tyto kontroly se stanoví na základě bezpečnostních požadavků a posouzení rizik v souladu se zavedenými politikami (např. politikou bezpečnosti informací, politikou kryptografických kontrol).

Před tím, než budou přijaty a používány, se provozní požadavky nových systémů stanoví, zdokumentují a vyzkouší. Pokud jde o bezpečnost sítí, měly by být zavedeny vhodné kontroly, včetně segmentace a bezpečného řízení, na základě kritičnosti datových toků a úrovně rizika zón sítě v organizaci. Musí existovat zvláštní kontroly na ochranu citlivých informací přenášených prostřednictvím veřejných sítí.

Přístup k systémovým souborům a zdrojovému kódu programu se kontroluje a projekty IT a podpůrné činnosti se provádějí zabezpečeným způsobem. Je třeba dbát na to, aby se zabránilo expozici citlivých údajů ve zkušebním prostředí. Musí být přísně kontrolováno prostředí pro projekty a podporu. Musí být přísně kontrolováno zavádění změn ve výrobě. Provede se posouzení rizik významných změn, které mají být zavedeny ve výrobě.

Rovněž se provádí pravidelné testování bezpečnosti vyvíjených systémů , a to podle předem vymezeného plánu na základě výsledku posouzení rizik, přičemž testování bezpečnosti zahrnuje alespoň posouzení zranitelnosti. Posoudí se všechny nedostatky, které byly zjištěny během testování bezpečnosti, a vypracují se a včas realizují akční plány pro odstranění zjištěných nedostatků.

Požadavek 1.11: Bezpečnost informací v dodavatelských (3) vztazích

Aby byla zajištěna ochrana interních informačních systémů účastníka, k nimž mají přístup dodavatelé, musí být požadavky na bezpečnost informací pro zmírnění rizik spojených s přístupem dodavatele zdokumentovány a formálně dohodnuty s dodavatelem.

Požadavek 1.12: Řízení incidentů v oblasti bezpečnosti informací a zlepšení

Aby byl zajištěn jednotný a účinný přístup k řízení incidentů v oblasti bezpečnosti informací, včetně komunikace o bezpečnostních událostech a slabinách, musí být na provozní i technické úrovni zavedeny a testovány úlohy, povinnosti a postupy s cílem zajistit rychlou, účinnou, řádnou a bezpečnou nápravu incidentů v oblasti bezpečnosti informací, včetně scénářů souvisejících s kybernetickou příčinou (např. podvody, kterých se dopouští externí útočník nebo zasvěcená osoba). Zaměstnanci, kteří jsou zapojeni do těchto postupů, musí být odpovídajícím způsobem vyškoleni.

Požadavek 1.13: Přezkum technické shody

Interní informační systémy účastníka (např. systémy back-office, interní sítě a externí síťové propojení) jsou pravidelně posuzovány z hlediska souladu se zavedeným rámcem politik organizace (např. politika bezpečnosti informací, politika kryptografických kontrol).

Požadavek 1.14: Virtualizace

Hostované virtuální stroje musí splňovat všechny bezpečnostní kontroly, které jsou stanoveny pro fyzický hardware a systémy (např. bezpečnostní konfigurace, vedení protokolů). Kontroly týkající se hypervizorů musí zahrnovat: bezpečnostní konfiguraci hypervizoru a hostitelského operačního systému, pravidelný patching, důsledné oddělení různých prostředí (např. produkčního a vývojového). Na základě posouzení rizik se zavede centralizované řízení, vedení protokolů a monitorování, jakož i správa přístupových práv, zejména v případě vysoce privilegovaných účtů. Hostované virtuální stroje spravované stejným hypervizorem musí mít podobný rizikový profil.

Požadavek 1.15: Využívání technologie „cloud computing“

Využívání veřejných a/nebo hybridních cloudových řešení v řetězci platebních transakcí musí být založeno na formálním posouzení rizik s přihlédnutím k technickým kontrolám a smluvním ustanovením týkajícím se cloudového řešení.

Pokud se používají hybridní cloudová řešení, vychází se z toho, že úroveň kritičnosti celkového systému je nejvyšší z propojených systémů. Všechny lokální komponenty hybridních řešení musí být odděleny od ostatních lokálních systémů.

Řízení kontinuity provozu (vztahuje se pouze na kritické účastníky)

Následující požadavky (2.1 až 2.6) se týkají řízení kontinuity provozu. Každý účastník TARGET2, kterého Eurosystém klasifikoval jako kritického pro hladké fungování systému TARGET2, musí mít zavedenu strategii kontinuity provozu, která zahrnuje tyto prvky:

Požadavek 2.1	:	Musí být vypracovány plány kontinuity provozu a zavedeny postupy pro jejich udržování.
Požadavek 2.2	:	Musí být k dispozici náhradní provozní místo.
Požadavek 2.3	:	Rizikový profil náhradního místa se musí lišit od profilu hlavního místa, aby se zabránilo tomu, že obě místa budou zasažena stejnou událostí současně. Náhradní místo musí být například napojeno na jinou elektrickou síť a ústřední telekomunikační obvod než hlavní provozovna.
Požadavek 2.4	:	V případě závažného narušení provozu, které způsobuje nedostupnost hlavního místa a/nebo kritických zaměstnanců, musí být kritický účastník schopen obnovit normální provoz z náhradního místa, kde musí být možné řádně ukončit pracovní den a zahájit následující pracovní den.
Požadavek 2.5	:	Musí být zavedeny postupy, které zajistí, že zpracování transakcí z náhradního místa bude obnoveno v přiměřené lhůtě po počátečním přerušení služby a úměrně kritickému významu činnosti, která byla narušena.
Požadavek 2.6	:	Schopnost zvládat provozní poruchy musí být přezkoušena nejméně jednou ročně a kritičtí zaměstnanci musí být náležitě vyškoleni. Maximální doba mezi těmito testy nesmí překročit jeden rok.