בהמשך למזכרינו הקודמים בנוגע לפרסומי רשות ניירות ערך ("הרשות") בעניין טיוטות הוראות שפורסמו על ידי הרשות ועתידות לחול על חברות תשלומים ויוזמי תשלום מכוח חוק הסדרת העיסוק בשירותי תשלום וייזום תשלום, התשפ"ג-2023 ("החוק") אשר עתיד להיכנס לתוקף בחודש יוני השנה, פרסמה הרשות ביום 26.2.2024 הצעת כללי בקשת רישיון שירותי תשלום או שירות ייזום בסיסי, וכן הצעת הוראה לבעלי רישיון או אישור שירותי תשלום או ייזום בסיסי בעניין אמצעים טכנולוגיים ואבטחת מידע.
הצעת כללי בקשת רישיון שירותי תשלום או שירות ייזום בסיסי: בהמשך למזכרנו הקודם מיום 4.12.2023, נזכיר כי החוק הסמיך את הרשות להעניק רישיונות ולפקח על חברות שעיסוקן במתן שירותי תשלום חוץ-בנקאיים, וכן לקבוע כללים לעניין הפרטים, המסמכים והדוחות שיידרשו ממבקשי רישיון שירותי תשלום כולל שירותי ניהול חשבון תשלום, הנפקה של אמצעי תשלום, סליקה של פעולת תשלום או שירות ייזום מורחב או ממבקש רישיון ייזום בסיסי, תוך הבחנה בין הדרישות החלות ביחס לסוג הרישיון המבוקש.
הכללים המוצעים מפרטים את הפרטים והמסמכים שמבקש רישיון יצרף לבקשתו שתוגש באמצעות אתר הרשות, לצד דרישה לפרטים הנוגעים למהימנות המבקש, התייחסות לאמצעים הטכנולוגיים והתקשרות עם ספקים במיקור חוץ, תכנית עסקית וכן דרישות ספציפיות בהתאם לסוג הרישיון המבוקש. רמת הפירוט המבוקשת היא רחבה יחסית, וכוללת גם תיאור מפורט של השירותים המתוכננים, זרימת הכספים, קישוריות למערכות תשלומים והסדרי סליקה, תכנית עסקית ותחזית תקציב ל- 3 שנים, פרטים לגבי הון עצמי/ ביטוח/ פיקדון, אופן שמירת הכספים, פרטים לגבי נושאי משרה, ממשל תאגידי ובקרה פנימית כולל ניהול סיכונים, מבנה תאגידי, הסדרי מיקור חוץ, שימוש בסניפים, סוגי התקשרויות עסקיות, פירוט אמצעים טכנולוגיים ומערכות מידע (כולל חוו"ד של מבקר טכנולוגי), תכנית שיווק, פרטים לגבי העמדת אשראי (ככל שמתוכננת) ועוד.
דבר זה מחייב הכנה של בקשת הרישיון, מראש, באמצעות אנשי מקצוע מהתחומים השונים: IT, חשבונאות, משפטים, תפעול, ניהול סיכונים וכיו"ב.
בנוסף ובהמשך למזכרינו הקודמים, נזכיר כי החוק הסמיך את הרשות לתת רישיון לנותן שירות זר (קרי – חברה העוסקת במתן שירותי תשלום או במתן שירותי ייזום בסיסי מחוץ לישראל וזאת מכוח דין זר המסדיר את עיסוקה כאמור) על סמך רישיון קיים, גם כאשר לא מתקיימים בו דרישות מסוימות מבין התנאים הנדרשים לקבלת רישיון. בהמשך לכך, הצעת הכללים מחייבת מבקש רישיון שהוא נותן שירות זר המעוניין בפטור מאחת (או יותר) מהדרישות בחוק למסור פרטים לגבי הרשיונות שבידו, הדין החל עליהם, זהות המאסדר הזר ולפרט את ההקלות המבוקשות במסגרת בקשתו לקבלת רישיון.
הצעת הוראה לבעלי רישיון או אישור שירותי תשלום או ייזום בסיסי בעניין אמצעים טכנולוגיים ואבטחת מידע: אחד התנאים לקבלת רישיון שירותים או שירות ייזום בסיסי הוא קיומם של אמצעים טכנולוגיים מתאימים, כאשר החוק מסמיך את הרשות לקבוע הוראות בעניין קיום מנגנונים נאותים לאבטחת מידע, ניהול סיכונים, הגנת סייבר, ובעניין חברת תשלומים – גם הוראות הנוגעות להמשכיות עסקית.
הרשות מציעה להתבסס על שלושה מעגלי בקרה שמטרתם לצמצם את סיכוני טכנולוגיית המידע של בעל רישיון:
- מינוי בעלי תפקידים העוסקים בתחום טכנולוגיית המידע ואמונים על המערכות, התהליכים ופעילויות אבטחת המידע;
- מינוי של ממונה אבטחת מידע והגנת סייבר, עצמאי ואובייקטיבי, אשר יהיה אחראי למכלול הנושאים הקשורים לניהול סיכוני אבטחת המידע;
- מינוי מבקר (שאינו הממונה על אבטחת המידע והגנת הסייבר) בעל ניסיון והסמכה כנדרש בהוראה, אשר יהיה אחראי על עריכת ביקורת עצמאית ואובייקטיבית על פעילות בעל הרישיון, המבוססת על תכנית ביקורת שנתית של בעל הרישיון. יש לשים לב כי מדובר למעשה במבקר חיצוני שאינו תלוי בבעל הרישיון למעט בקבלת השכר בעבור ביצוע הביקורת.
הצעת ההוראה מבחינה בין אחריות הדירקטוריון ובין אחריות בעל הרישיון ביישומה, כך שעל הדירקטוריון של בעל הרישיון מוטלת האחריות לפקח על הממשל התאגידי, לגבש אסטרטגיית טכנולוגיית מידע, תכניות ומסמכי מדיניות ולוודא את יישומם, וכן את האחריות להגדרת בעלי התפקידים וחלוקת האחריות בתחום טכנולוגיית המידע, ניהול ההמשכיות העסקית, מינוי ממונה אבטחת מידע ואת אישור ההתקשרות עם המבקר, כאמור לעיל.
בעל הרישיון הוא הגורם האחראי על זיהוי לסיכוני טכנולוגיית המידע וניהולם, במסגרתם נמצאים בסמכויותיו כלל הנושאים הבאים: (א) מינוי בעלי התפקידים הרלוונטיים להבטחת אפקטיביות ניהול סיכוני טכנולוגיית המידע; (ב) קביעת מסגרת ניהול סיכוני טכנולוגיית המידע אשר תכלול את כלל הנושאים הנדרשים בהוראה; (ג) זיהוי, גיבוש ותחזוקת תהליכים עסקיים שעשויים להיות מושפעים מסיכוני טכנולוגיית מידע ושל נכסי המידע התומכים בתהליכים עסקיים, וסיווגם בהתאם לחיוניות; (ד) זיהוי והערכת סיכוני טכנולוגיית מידע, תוך ביצוע ניטור שוטף של אלו; (ה) התקשרות עם ספקים במיקור חוץ בהתאם למסגרת ניהול הסיכונים; (ו) גיבוש מסמך מדיניות אבטחת מידע, המסדיר את העקרונות והכללים לשמירה על סודיות, אמינות וזמינות המידע בהתאם, והכל כפי שמפורט בהרחבה בהוראה. לצד זאת, ההוראה קובעת דרישות אופרטיביות החלות על בעל הרישיון המסדירות את אופן יישום ניהול סיכוני טכנולוגיית המידע וניהולם, הפעולות, אמצעי האבטחה והבקרה שיש לנקוט.
הצעת הכללים והצעת ההוראה פתוחות להערות הציבור עד ליום 31.3.2024.