Audit măsuri referitoare la riscurile operaţionale şi de securitate

Prestatorii de servicii de plată trebuie să prevadă într-un document formal măsuri de securitate adecvate pentru gestionarea riscurilor TIC şi de securitate, legate de serviciile de plată pe care le oferă.

Nivelul de detaliu al descrierii măsurilor de securitate trebuie să fie proporţional cu dimensiunea, organizarea internă a prestatorului de servicii de plată, precum şi cu natura, scopul, extinderea, complexitatea şi gradul de risc asociat serviciilor de plată şi produselor pe care prestatorul de servicii de plată le oferă sau intenționează să le ofere.

Măsurile de securitate trebuie să adreseze în mod corespunzător riscurile TIC şi de securitate pentru următoarele domenii:

• Guvernanţa şi strategia
• Cadrul de gestionare a riscurilor TIC şi de securitate
• Gestionarea proiectelor şi modificărilor TIC
• Măsurile de securitate preventive
• Gestionarea operaţiunilor TIC
• Gestionarea continuităţii activităţii de prestare a serviciilor aferente plăţilor
• Gestionarea relaţiei cu utilizatorul serviciilor de plată

Măsurile de securitate trebuie comunicate Băncii Naţionale a României până cel târziu la data de 31 martie sau mai des la solicitarea acesteia.