«ANNEXE IV BIS

SERVICE TIPS POUR LES SYSTÈMES EXOGÈNES EFFECTUANT DES PAIEMENTS INSTANTANÉS

1.   Définitions

Aux fins de la présente annexe et conformément aux définitions figurant à l’article 1er de l’annexe II ter, on entend par:

1)	“banque centrale du système exogène (BCSE)”: la BC de l’Eurosystème avec laquelle le système exogène concerné réglant des opérations de paiement instantané dans ses propres livres a conclu un contrat bilatéral pour le règlement des paiements instantanés du système exogène;

2)

“volume brut sous-jacent”: le nombre d’opérations de paiement instantané réglées dans les livres du système exogène et rendues possibles par les fonds détenus sur le compte technique SE TIPS. Il ne comprend pas les paiements instantanés vers ou en provenance de DCA TIPS ou d’autres comptes techniques SE TIPS;

3)

“partie traitant les ordres (instructing party)”: une entité qui a été désignée en tant que telle par un système exogène et qui est autorisée à envoyer des ordres de paiement à la plate-forme TIPS et/ou à recevoir des ordres de paiement de la plate-forme TIPS au nom de ce système exogène ou d’une partie joignable de celui-ci.

2.   Introduction des ordres de paiement dans le système et irrévocabilité de ceux-ci

L’application de l’article 20 de l’annexe II ter, concernant le moment de l’introduction des ordres de paiement instantané, des réponses positives à une demande de rappel et des ordres de transfert de liquidité DCA TIPS à compte technique SE TIPS et des ordres de transfert de liquidité de compte technique SE TIPS à DCA TIPS dans le système composant de TARGET2 concerné, n’a aucun effet sur les règles des systèmes exogènes qui prévoient un moment d’introduction dans le système exogène et/ou d’irrévocabilité des ordres de transfert présentés à ce système à un moment antérieur au moment de l’introduction de l’ordre de paiement considéré dans le système composant de TARGET2 concerné.

3.   Comptes utilisés pour soutenir le règlement des paiements instantanés dans les livres des systèmes exogènes

1)	Un compte technique SE TIPS est ouvert pour soutenir le règlement des paiements instantanés liés à des systèmes exogènes dans TIPS.

2)

Un compte technique SE TIPS est identifié par un numéro de compte unique à 34 caractères maximum, dont la structure est celle indiquée dans le tableau suivant:   Nom Format Contenu Partie A Type de compte 1 caractère exactement “A” pour AS technical account (compte technique d’un système exogène) Code pays de la banque centrale 2 caractères exactement Code pays ISO 3166-1 Code monnaie 3 caractères exactement EUR Partie B Titulaire du compte 11 caractères exactement BIC Partie C Sous-classification du compte 17 caractères maximum Texte libre (alphanumérique) à fournir par le titulaire du compte.

3)

Les comptes techniques SE TIPS peuvent seulement présenter un solde nul ou positif au cours de la journée et garder un solde positif au jour le jour. Le solde du compte au jour le jour est soumis aux mêmes règles de rémunération que celles qui s’appliquent aux fonds de garantie conformément à l’article 11 de la présente orientation.

4.   Procédure de règlement

1)	Le système exogène utilise un compte technique SE TIPS pour collecter les liquidités nécessaires réservées par ses membres compensateurs pour financer leurs positions.

2)	Sur demande, le système exogène est informé du crédit et du débit de son compte technique SE TIPS.

3)

Un système exogène peut envoyer des ordres de paiement instantané et des réponses positives à une demande de rappel à tout titulaire d’un DCA TIPS ou système exogène TIPS. Un système exogène reçoit et traite les ordres de paiement instantané, les demandes de rappel et les réponses positives à une demande de rappel provenant de tout titulaire d’un DCA TIPS ou de tout système exogène TIPS.

5.   Interface utilisateur

1)	Le titulaire d’un compte technique SE TIPS accède à la plate-forme TIPS en mode A2A et peut également se connecter en mode U2A soit directement, soit par l’intermédiaire d’une ou plusieurs parties traitant les ordres.

2)	L’accès à la plate-forme TIPS permet aux titulaires de comptes techniques SE TIPS: a) d’accéder aux informations relatives à leurs comptes et de gérer les CMB; b) d’initier des ordres de transfert de liquidité de compte technique SE TIPS à DCA TIPS; et c) de gérer certaines données statiques.

6.   Tarifs et facturation

1)

Un système exogène dans TIPS est soumis aux deux redevances suivantes: a) un montant par opération calculé sur la même base que le tarif établi pour les titulaires de DCA TIPS à l’appendice IV de l’annexe II ter; b) une redevance calculée sur le volume brut sous-jacent des opérations de paiement instantané réglées sur la plate-forme du système exogène et rendues possibles par les positions préfinancées sur le compte technique SE TIPS. La redevance est de 0,0005 EUR par paiement instantané.

2)

Le volume brut sous-jacent des paiements instantanés du système exogène est calculé chaque mois par la BCSE à partir du volume brut sous-jacent du mois précédent, arrondi à la baisse à la dizaine de milliers la plus proche, et déclaré par le système exogène au plus tard le troisième jour ouvré du mois suivant. Le volume brut calculé est appliqué pour le calcul de la redevance au cours du mois suivant.

3)

Chaque système exogène reçoit de sa BCSE une facture concernant le mois précédent, fondée sur les redevances visées au point 1) du présent paragraphe, au plus tard le neuvième jour ouvré du mois suivant. Les paiements sont effectués au plus tard le quatorzième jour ouvré du mois au cours duquel la facture est émise sur le compte indiqué par la BCSE ou sont débités d’un compte indiqué par le système exogène.

4)

Aux fins de la tarification et de la facturation conformément à la présente annexe: a) un système exogène qui a été désigné comme un système en application de la directive 98/26/CE est traité comme un système exogène distinct, même s’il est géré par une entité juridique qui gère un autre système exogène; b) un système exogène qui n’a pas été désigné comme un système en application de la directive 98/26/CE est traité comme un système exogène distinct s’il remplit les critères suivants: i) il s’agit d’un accord formel, sous la forme d’un instrument de nature contractuelle ou législative; ii) il compte plus d’un [membre] [participant] [à l’exclusion de l’opérateur de ce système]; iii) il est établi aux fins de la compensation et/ou du règlement des paiements et/ou des opérations sur titres entre les participants; et iv) il applique des règles communes et des accords standardisés à la compensation et au règlement des paiements et des opérations sur titres entre les participants.

5)	Les redevances, aux fins de la facturation en vertu du présent article pour la période du 1er décembre 2021 au 28 février 2022, correspondent à la moyenne du total des redevances facturées pour les mois de septembre, octobre et novembre 2021.

«Appendice VIII

Exigences en matière de gestion de la sécurité de l’information et de gestion de la continuité des opérations

Gestion de la sécurité des informations

Ces exigences sont applicables à chaque participant, à moins qu’un participant démontre qu’une exigence particulière ne lui est pas applicable. En définissant le champ d’application de ces exigences au sein de son infrastructure, il convient que le participant identifie les éléments faisant partie de la chaîne d’opérations de paiement (Payment Transaction Chain — PTC). Plus précisément, la chaîne d’opérations de paiement commence à un point d’entrée (Point of Entry — PoE), c’est-à-dire un système participant à la création des opérations (par exemple une station de travail, une application de front-office ou de back-office, un intergiciel) et se termine au système chargé de l’envoi du message à SWIFT (par exemple le boîtier VPN SWIFT) ou à Internet (ce dernier s’appliquant en cas d’accès par l’internet).

Exigence 1.1: Politique de sécurité de l’information

La direction établit une orientation politique claire conforme aux objectifs opérationnels; elle apporte son concours à la sécurité de l’information et manifeste son engagement envers celle-ci à travers l’instauration, l’approbation et le maintien d’une politique de sécurité de l’information, destinée à gérer cette sécurité ainsi que la cyberrésilience au sein de l’organisation sur le plan de l’identification, de l’évaluation et du traitement des risques liés à la sécurité de l’information et à la cyberrésilience. Cette politique devrait comporter au moins les éléments suivants: objectifs, portée (comprenant des domaines tels que l’organisation, les ressources humaines, la gestion des actifs, etc.), principes et répartition des responsabilités.

Exigence 1.2: Organisation interne

Un cadre pour la sécurité de l’information est mis en place afin de mettre en œuvre la politique de sécurité de l’information au sein de l’organisation. La direction coordonne et vérifie la mise en place de ce cadre afin de garantir la mise en œuvre de la politique de sécurité de l’information (conformément à l’exigence 1.1) dans toute l’organisation, y compris l’attribution de ressources suffisantes et la désignation des personnes responsables en matière de sécurité à cette fin.

Exigence 1.3: Parties externes

Le recours à une ou plusieurs parties externes ou aux produits/services qu’elles proposent, ou la dépendance à l’égard de celles-ci ou de leurs produits/services, ne devrait pas compromettre la sécurité de l’information de l’organisation et de ses installations de traitement des informations. Tout accès, par des parties externes, aux installations de traitement des informations de l’organisation doit être contrôlé. Lorsque des parties externes ou des produits/services de parties externes doivent accéder aux installations de traitement des informations de l’organisation, il est procédé à une évaluation des risques afin de déterminer les implications en matière de sécurité et les exigences de contrôle. Les contrôles sont convenus et définis dans un accord passé avec chaque partie externe concernée.

Exigence 1.4: Gestion des actifs

Tous les actifs informationnels, les processus opérationnels et les systèmes d’information sous-jacents de la chaîne d’opérations de paiement, tels que les systèmes d’exploitation, les infrastructures, les applications opérationnelles, les produits standards, les services et les applications développées à l’intention des utilisateurs, sont comptabilisés et ont un propriétaire désigné. Les personnes responsables de la maintenance et de l’exécution des contrôles appropriés dans les processus opérationnels, d’une part, et des composants informatiques associés destinés à protéger les actifs informationnels, d’autre part, sont désignées. Note: Le propriétaire peut, s’il y a lieu, déléguer la mise en œuvre de certains contrôles, mais demeure responsable de la protection adéquate des actifs.

Exigence 1.5: Classement des actifs informationnels

Les actifs informationnels sont classés selon leur niveau de criticité pour la bonne réalisation de la prestation du service par le participant. Le classement indique le besoin, la priorité et le degré de protection requis lors du traitement de l’actif informationnel dans les processus opérationnels concernés, et tient également compte des composants informatiques sous-jacents. Un dispositif de classement des actifs informationnels, approuvé par la direction, est utilisé afin de définir un ensemble approprié de contrôles de la protection tout au long du cycle de vie des actifs informationnels (y compris la suppression et la destruction de ces éléments) et de signaler la nécessité de mesures de traitement particulières.

Exigence 1.6: Sécurité liée aux ressources humaines

Les responsabilités en matière de sécurité sont abordées, préalablement au recrutement, dans une description appropriée du poste ainsi que dans les conditions d’emploi. Tous les candidats à l’emploi, les cocontractants et les utilisateurs tiers font l’objet d’un contrôle adéquat, particulièrement en ce qui concerne les postes sensibles. Les employés, les cocontractants et les utilisateurs tiers d’installations de traitement des informations signent un accord sur leurs rôles et responsabilités en matière de sécurité. Il est veillé à ce que tous les employés, les cocontractants et les utilisateurs tiers acquièrent un niveau de sensibilisation adéquat; des enseignements et formations sur les procédures de sécurité et l’utilisation correcte des installations de traitement des informations leur sont dispensés afin de minimiser les risques potentiels liés à la sécurité. Il est mis en place une procédure disciplinaire formelle pour les employés en cas de manquements à la sécurité. Les responsabilités sont attribuées de manière à assurer la gestion du départ ou du changement d’affectation, au sein de l’organisation, d’un employé, d’un cocontractant ou d’un utilisateur tiers ainsi que la restitution de l’ensemble de l’équipement et la suppression de tous les droits d’accès.

Exigence 1.7: Sécurité physique et environnementale

Les installations de traitement des informations critiques ou sensibles sont hébergées en lieu sûr et protégées par un périmètre de sécurité défini, des barrières de sécurité appropriées et des contrôles d’accès. Ces installations sont physiquement protégées de tout accès non autorisé, de tout dommage et de toute perturbation. Leur accès n’est accordé qu’aux personnes physiques relevant de l’exigence 1.6. Des procédures et des normes sont mises en place afin de protéger, lors d’un transport, les supports physiques contenant des actifs informationnels.

L’équipement est protégé des menaces physiques et environnementales. La protection de l’équipement (y compris de l’équipement utilisé hors site) et la protection contre le vol de biens sont nécessaires afin de réduire le risque d’accès non autorisé aux informations et de préserver les informations ou l’équipement de toute perte ou dommage. Des mesures spéciales peuvent être nécessaires pour préserver les installations auxiliaires, telles que l’alimentation électrique et l’infrastructure de câblage, et les protéger des menaces physiques.

Exigence 1.8: Gestion de l’exploitation

Des responsabilités et des procédures sont définies pour la gestion et le fonctionnement des installations de traitement des informations couvrant de bout en bout tous les systèmes sous-jacents de la chaîne d’opérations de paiement.

En ce qui concerne les modalités de fonctionnement, y compris l’administration technique des systèmes informatiques, une séparation des tâches est mise en œuvre, lorsque cela est nécessaire, afin de réduire le risque d’utilisation abusive des systèmes, que ce soit par négligence ou de façon délibérée. Lorsque la séparation des tâches ne peut être mise en œuvre pour des raisons objectives et dûment étayées, des contrôles compensatoires sont mis en œuvre à la suite d’une analyse formelle des risques. Des contrôles sont mis en place afin de détecter et d’empêcher l’introduction de codes malveillants dans les systèmes de la chaîne d’opérations de paiement. Des contrôles sont également mis en place (y compris relatifs à la sensibilisation des utilisateurs) pour détecter, empêcher et supprimer les codes malveillants. Les codes mobiles ne sont utilisés que depuis des sources sûres (par exemple, des composants COM signés de Microsoft ou des applets Java). La configuration du navigateur (par exemple l’utilisation d’extensions et de modules d’extension) est strictement contrôlée.

La direction met en œuvre des politiques de sauvegarde et de récupération des données; ces politiques de récupération comprennent un plan du processus de récupération, qui fait l’objet de tests à intervalles réguliers, au moins une fois par an.

Les systèmes critiques pour la sécurité des paiements sont surveillés et les évènements concernant la sécurité de l’information sont enregistrés. Des journaux d’opérateur sont utilisés afin de garantir l’identification de problèmes relatifs au système d’information. Ces journaux sont régulièrement examinés sur la base d’échantillons, en se fondant sur la criticité des opérations. Un suivi du système est effectué afin de s’assurer du caractère effectif des contrôles repérés comme étant critiques pour la sécurité des paiements et de vérifier la conformité à un modèle de politique d’accès.

Les échanges d’informations entre les organisations s’appuient sur une politique d’échange formalisée, menée conformément aux accords d’échange existant entre les parties concernées, et respectent la législation en la matière. Les composants de logiciels de tiers utilisés pour échanger des informations avec TARGET2 (tels que des logiciels fournis par un “service bureau” mentionné au scénario 2 de la section relative au champ d’application dans le document portant sur le mécanisme d’autocertification TARGET2) font l’objet d’un accord formel passé avec le tiers.

Exigence 1.9: Contrôle d’accès

L’accès aux actifs informationnels est justifié par les exigences opérationnelles [besoin de connaître (1)] et se fait conformément au dispositif de politiques d’entreprise mis en place (y compris la politique de sécurité de l’information). Des règles claires en matière de contrôle d’accès sont définies sur la base du principe du droit d’accès minimal (2), afin de refléter étroitement les besoins des processus opérationnels et informatiques correspondants. Le cas échéant (par exemple pour la gestion des sauvegardes), il convient que le contrôle d’accès logique soit compatible avec le contrôle d’accès physique, à moins que des contrôles compensatoires adéquats ne soient en place (par exemple chiffrement, anonymisation des données à caractère personnel).

Des procédures formalisées et documentées sont mises en place afin de contrôler l’attribution des droits d’accès aux systèmes et services d’information qui relèvent de la chaîne d’opérations de paiement. Ces procédures concernent toutes les étapes du cycle de vie de l’accès utilisateur, de l’inscription initiale de nouveaux utilisateurs à la désinscription finale des utilisateurs qui n’ont plus besoin d’accès.

Une attention particulière est accordée, le cas échéant, à l’attribution des droits d’accès dont la criticité est telle qu’une utilisation abusive de ces droits d’accès pourrait avoir de graves répercussions sur les opérations du participant (par exemple les droits d’accès permettant l’administration du système, la neutralisation des systèmes de contrôle, l’accès direct aux données des opérations).

Des contrôles appropriés sont mis en place pour identifier, authentifier et autoriser les utilisateurs à des points précis dans le réseau de l’organisation, par exemple pour l’accès sur place et à distance aux systèmes de la chaîne d’opérations de paiement. Afin de garantir la responsabilisation, les comptes personnels ne sont pas partagés.

En ce qui concerne les mots de passe, des règles sont mises en place et exécutées au moyen de contrôles spécifiques visant à s’assurer qu’ils ne peuvent être devinés aisément, par exemple des règles en matière de complexité et une validité limitée dans le temps. Un protocole sécurisé de récupération et/ou de réinitialisation du mot de passe est mis en place.

Une politique est élaborée et mise en œuvre, concernant l’utilisation de contrôles cryptographiques, afin de protéger la confidentialité, l’authenticité et l’intégrité des informations. Une politique de gestion des clés est élaborée pour favoriser l’utilisation de contrôles cryptographiques.

Une politique est mise en place en matière de visualisation des informations confidentielles à l’écran ou sur papier (par exemple la politique de l’écran vide et du bureau propre), afin de réduire les risques d’accès non autorisé.

En cas de travail à distance, les risques liés au travail dans un environnement non protégé sont pris en compte et des contrôles techniques et organisationnels appropriés sont mis en œuvre.

Exigence 1.10: Acquisition, développement et maintenance des systèmes d’information

Les exigences de sécurité sont identifiées et convenues préalablement au développement et/ou à la mise en œuvre des systèmes d’information.

Des contrôles appropriés sont intégrés dans les applications, y compris les applications développées à l’intention des utilisateurs, afin de garantir un traitement adéquat. Ces contrôles comprennent la validation des données d’entrée, du traitement interne et des données de sortie. Des contrôles supplémentaires peuvent être requis pour des systèmes traitant ou ayant une incidence sur des informations sensibles, précieuses ou critiques. De tels contrôles sont définis compte tenu des exigences de sécurité et de l’évaluation des risques conformément aux politiques adoptées (par exemple, la politique de sécurité de l’information, la politique de contrôle cryptographique).

Les exigences opérationnelles des nouveaux systèmes sont déterminées, documentées et testées préalablement à leur acceptation et leur utilisation. En ce qui concerne la sécurité du réseau, il convient de mettre en œuvre des contrôles appropriés, y compris en matière de segmentation et de gestion sécurisée, en fonction de la criticité des flux de données et du niveau de risque des zones réseau dans l’organisation. Des contrôles spécifiques sont mis en place pour protéger les informations sensibles transitant sur des réseaux publics.

L’accès aux fichiers système et au code source du programme fait l’objet de contrôles, et les projets informatiques ainsi que les activités de support sont réalisés de manière sécurisée. Il est pris soin d’éviter la divulgation de données sensibles dans des environnements de test. Les environnements de projet et de support sont contrôlés de manière stricte. La mise en œuvre de modifications en environnement de production fait également l’objet d’un contrôle strict. Une évaluation des risques est effectuée en cas de modifications majeures à mettre en œuvre en environnement de production.

Les systèmes en environnement de production font également l’objet de tests réguliers de sécurité conformément à un plan prédéfini, en se fondant sur le résultat d’une évaluation des risques, et les tests de sécurité comprennent au moins des évaluations de la vulnérabilité. Toutes les insuffisances mises en lumière lors des tests de sécurité sont évaluées, et des plans d’action sont élaborés en vue de combler les lacunes identifiées et font l’objet d’un suivi en temps utile.

Exigence 1.11: Sécurité de l’information dans les relations avec les fournisseurs (3)

Afin de garantir la protection des systèmes d’information internes des participants accessibles aux fournisseurs, il convient de documenter les exigences de sécurité de l’information visant à atténuer les risques liés à l’accès accordé au fournisseur, ces exigences faisant l’objet d’un accord formel avec le fournisseur.

Exigence 1.12: Gestion des incidents liés à la sécurité de l’information et améliorations à cet égard

Afin de garantir une approche cohérente et efficace en matière de gestion des incidents liés à la sécurité de l’information, y compris en matière de communication relative aux évènements et failles de sécurité, sont mises en place et testées, aux niveaux opérationnel et technique, les fonctions, responsabilités et procédures permettant de remédier rapidement, efficacement, méthodiquement et de manière sécurisée aux incidents liés à la sécurité de l’information, y compris aux scénarios relatifs à des incidents de cybersécurité (par exemple, une fraude commise par un agresseur externe ou par un initié). Le personnel impliqué dans ces procédures est formé de manière adéquate.

Exigence 1.13: Évaluation de la conformité technique

Les systèmes d’information internes d’un participant (par exemple les systèmes de back-office, les réseaux internes et la connectivité du réseau externe) font l’objet d’évaluations régulières pour s’assurer de leur conformité avec le cadre des politiques instaurées par l’organisation (par exemple la politique de sécurité de l’information et la politique de contrôle cryptographique).

Exigence 1.14: Virtualisation

Les machines virtuelles invitées respectent l’ensemble des contrôles de sécurité mis en place pour le matériel et les systèmes physiques (par exemple le durcissement et la journalisation). Les contrôles ayant trait aux hyperviseurs doivent comprendre: le durcissement de l’hyperviseur et du système d’exploitation hôte, l’application régulière de correctifs et une stricte séparation des différents environnements (par exemple de la production et du développement). La gestion centralisée, la journalisation et le suivi ainsi que la gestion des droits d’accès, en particulier pour les comptes privilégiés, sont mis en œuvre sur la base d’une évaluation des risques. Les machines virtuelles invitées administrées par le même hyperviseur ont un profil de risque similaire.

Exigence 1.15: Solutions d’informatique en nuage (cloud computing)

L’utilisation de solutions d’informatique en nuage publiques et/ou hybrides dans la chaîne d’opérations de paiement doit être fondée sur une évaluation formelle des risques, en tenant compte des contrôles techniques et des clauses contractuelles relatives à la solution d’informatique en nuage.

En cas d’utilisation de solutions d’informatique en nuage hybrides, il est entendu que le niveau de criticité de l’ensemble du système correspond à celui du système connecté ayant le niveau de criticité le plus élevé. Tous les composants sur site des solutions hybrides doivent être séparés des autres systèmes sur site.

Gestion de la continuité des opérations (seulement applicable aux participants critiques)

Les exigences suivantes (2.1 à 2.6) concernent la gestion de la continuité des opérations. Chaque participant à TARGET2 considéré par l’Eurosystème comme étant critique pour le bon fonctionnement du système de TARGET2 met en place une stratégie de continuité des opérations comprenant les éléments suivants.

Exigence 2.1	:	Des plans de continuité des opérations sont élaborés et des procédures destinées à la mise à jour de ces plans sont mises en place.
Exigence 2.2	:	Un site opérationnel de substitution est disponible.
Exigence 2.3	:	Le profil de risque du site de substitution est différent de celui du site principal afin d’éviter que les deux sites ne soient touchés par le même évènement au même moment. Par exemple, le site de substitution est alimenté par un réseau électrique et un circuit central de télécommunication différents de ceux du site principal.
Exigence 2.4	:	Si une perturbation majeure des opérations rend inaccessible le site principal et/ou rend indisponibles des membres du personnel occupant des fonctions critiques, le participant critique est en mesure de reprendre une activité normale depuis le site de substitution, où il est possible de procéder à la clôture du jour ouvré et à l’ouverture du ou des jours ouvrés suivants.
Exigence 2.5	:	Des procédures sont mises en place pour garantir que le traitement des opérations reprend depuis le site de substitution dans un délai raisonnable après le dysfonctionnement initial du service, et proportionné à la criticité des opérations qui ont été perturbées.
Exigence 2.6	:	La capacité de faire face aux perturbations opérationnelles fait l’objet de tests au moins une fois par an et les membres du personnel exerçant des fonctions critiques sont formés de façon appropriée. La période maximale s’écoulant entre les tests n’excède pas un an.