Právní předpis byl sestaven k datu 30.01.2025.
Zobrazené znění právního předpisu je účinné od 01.07.2022.
Vyhláška, kterou se mění vyhláška č. 7/2018 Sb., o některých podmínkách výkonu činnosti platební instituce, správce informací o platebním účtu, poskytovatele platebních služeb malého rozsahu, instituce elektronických peněz a vydavatele elektronických peněz malého rozsahu
2/2022 Sb.
Účinnost Čl. II
2
XXXXXXXX
xx dne 22. xxxxxxxx 2021,
xxxxxx xx xxxx vyhláška č. 7/2018 Xx., x xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxxx x xxxxxxxxx účtu, xxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx xxxxxxx, xxxxxxxxx xxxxxxxxxxxxxx xxxxx x vydavatele xxxxxxxxxxxxxx peněz xxxxxx xxxxxxx
&xxxx;
Xxxxx xxxxxxx banka xxxxxxx xxxxx §263 xxxxxx x. 370/2017 Xx., o xxxxxxxxx xxxxx, k xxxxxxxxx §16 odst. 5, §17 odst. 3, §20 odst. 4, §46 odst. 2, §48 xxxx. 4, §59 xxxx. 4, §65x xxxx. 2, §74 xxxx. 6, §75 xxxx. 3, §78 xxxx. 4 x §100 odst. 4 xxxxxx zákona:
Xx. X
Xxxxxxxx č. 7/2018 Sb., x některých xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxxx x xxxxxxxxx účtu, xxxxxxxxxxxxx xxxxxxxxxx služeb xxxxxx xxxxxxx, instituce xxxxxxxxxxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxxxx xxxxxxx, se xxxx takto:
1. §1 xxxxxx xxxxxxx a xxxxxxxx pod xxxxx x. 1 xxx:
"§1
Xxxxxxx xxxxxx
Xxxx vyhláška zapracovává xxxxxxxxx předpisy Xxxxxxxx xxxx1) x xxxxxxxx
x) xxxxxx xxxxxx xxxxxxxxx xxxxxxxxx xx řídicí x xxxxxxxxx xxxxxx xxxxxxxx instituce, instituce xxxxxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxx o xxxxxxxxx účtu,
b) způsob xxxxxx xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxx x systém xxxxxxxxxx xxxxxxxxx x xxxxxxxxx x poskytovatele xxxxxxxxxx xxxxxx malého xxxxxxx x vydavatele elektronických xxxxx xxxxxx xxxxxxx,
x) xxxxxxxx xxx xxxxxxx xxxx kapitálu a xxxxxxxxxx xxxxxxxxxxxx platební xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xx mohou xxx xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxx limit xxxxxxxxxx xxxxxx x xxxxxxxxx a xxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx xxxxxxxxx, xxxxxxxxx xxxxxxxxxxxxxx peněz x xxxxxxx xxxxxxxxx x platebním účtu.
1) Xx. 4 xxx 46, xx. 8 xxxx. 2, xx. 9, xx. 9 xxxx. 1 /xxxx/ x xx. 9 xxxx. 2 xxxxxxxx Xxxxxxxxxx xxxxxxxxxx a Xxxx (XX) 2015/2366 xx xxx 25. xxxxxxxxx 2015 x xxxxxxxxxx xxxxxxxx xx xxxxxxxx xxxx, xxxxxx xx mění směrnice 2002/65/XX, 2009/110/ES x 2013/36/XX a xxxxxxxx (XX) č. 1093/2010 x xxxxxxx xxxxxxxx 2007/64/XX.
Xx. 5 xxxx. 2, xx. 5 xxxx. 3, čl. 5 odst. 4 x čl. 5 xxxx. 6 xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Xxxx 2009/110/XX ze xxx 16. září 2009 o xxxxxxxx x xxxxxxxx institucí xxxxxxxxxxxxxx peněz, x xxxxx výkonu a x xxxxxxxxxxxxxx xxxxxxx xxx xxxxx xxxxxxxx, x xxxxx xxxxxxx 2005/60/XX x 2006/48/XX x x xxxxxxx xxxxxxxx 2000/46/XX.".
2. Xxxx xxxxx xxxxxx nadpisu xxx:
"XXXX XXXXX
XXXXXX XXXXXX XXXXXXXXX POŽADAVKŮ
HLAVA I
ZPŮSOB XXXXXX XXXXXXXXX POŽADAVKŮ XX XXXXXX X XXXXXXXXX XXXXXX XXXXXXXX XXXXXXXXX
(X §20 xxxx. 4 xxxxxx)
§2
Xxxxxxx xxxxxxxx
(1) Xxxxxxxx instituce xxxxxxxxx xxxxxxxxx stanovené xx xxxxxx a kontrolní xxxxxx a xxxxxxx x xxxxxx naplňování xx xxxxx xxxxxxxxx xxxxxxxx, xxxxxxx se xxxxxx xxxxxxxxx, xxxxxxxxxxx xxx, xxxxx x xxxxx xxxxxxx stanovené xxxxxx a postupy xxxxxxxx instituce.
(2) Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxx xxx xxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx x xxxxxxx, xxx vnitřní xxxxxxxx byly pravidelně xxxxxxxxxxxxx x případně xxxxxxxxxx.
(3) Platební xxxxxxxxx xxxxxxx, xxx xxxxxxx xxxxxxxx byly v xxxxxxx s xxxxx xxxxxxxxx v žádosti x udělení xxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxx nebo xxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxx xxxx xxxxxxxx x xxxxxxxx xxxxxxx, xxxxxxxx změněnými podle §11 xxxxxx.
(4) Xxxxxxxx xxxxxxxxx xxxxxxxx xx xxxxxxxxx předpisech xxxxxx xxxxxx x doporučení xxxxxx Xxxxxxxxx xxxxxxx xxx xxxxxxxxxxxx, Xxxxxxxxx xxxxxxx xxx xxxxx xxxxxx x trhy, Xxxxxxxxx xxxxxxx pro xxxxxxxxxxxxxx x zaměstnanecké xxxxxxxx pojištění xxxx Xxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxxxxx poskytovatelům platebních xxxxxx.
(5) Xxxxxxxx xxxxxxxxx xxxxxxx, xxx všichni xxxxxxxxxx byli x xxxxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx případnými xxxxxxx x potřebném xxxxxxx seznámeni a xxxxxxxxxxx x souladu x nimi.
§3
Schvalovací x xxxxxxxxxxx procesy
Platební xxxxxxxxx xxxxxxx, xxx byla xxxxxxxxxxxx stanovena xxxxxxxxx xx xxxxxxxxxxx x xxxxxxxxxxxx dokumentů v xxxxx xxxxxxxx platební xxxxxxxxx x aby xxxxxxx xxxxxxxxxx xxxxxxxxxxx x rozhodovací procesy x kontrolní činnosti xxxxxx souvisejících působností x pravomocí x xxxxx činnosti xxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxx xxxxxxxx bylo xxxxx zaznamenávat, xxxxxxxxx x xxxxxx xxxxxxxxxx x xxxxxxxxxxxxx. Xx xxxxx xxxxxx vhodně xxxxxx také xxx xxxxxxxxxx a xxxxxxxxxxx xxxxxxx.
§4
Xxxxxx xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxx
(1) Xxxxxxxx xxxxxxxxx zavede x xxxxxx xxxxxxxxxxxxxx x provozních xxxxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxxx, xxxxxxxx xxx xxxxxxxx xxxxxx rizik x xxxxxxxxx xxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx, a xx x xxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx incidentů.
(2) Xxxxxxxx xxxxxxxxx x rámci xxxxxxx xxxxxx xxxxxxxxxxxxxx x provozních rizik xxxx vždy také xxxxxx x oblasti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx
x) xxxxxx xxxxxx x xxxxxxxx xxxxxxxx důvěrnosti xxx, xxxxxxxxx xxxxxxx x dat xxxx xxxxxxxxxxx systémů x xxx nebo x xxxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxx v přiměřeném xxxx x x xxxxxxxxxxx náklady, xxxxx xx mění xxxxxxxxx xxxx činnosti,
b) xxxxxxxxxxxx xxxxxx xxxxxxxxxxx z xxxxxxxxxxxxxxx nebo xxxxxxx xxxxxxxxx xxxxxxx xxxx x xxxxxxxx xxxxxxxx xxxxxx kybernetických xxxxx xxxx x xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx.
(3) Xxxxxxxxxxx x xxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií x xxxxxxxxxxx, xxxxxx xxxxxxxx xxxxxxxxx je xxxx by mohla xxx xxxxxxxxx x xxxxxxxxxxx s jí xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx, xxxx uvedeny x xxxxxxx x xxxx xxxxxxxx.
(4) Xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx bezpečnosti xxxxxxxxx, xxxxx xxxxxxxx xxxxxx a xxxxxxxx xx ochranu xxxxxxxxxx, xxxxxxxxx x dostupnosti xxx a xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxxx služeb. Xxxxxxxx instituce xxxxxx xx xxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x souladu x xxxxxxxxxxxx x řízení xxxxx podle xxxxxxx x této vyhlášce.
§5
Systém xxxxxxxxxx xxxxxxxxx a xxxxxxxxx
(1) Platební xxxxxxxxx xxxxxx x xxxxxxxxx xxxxxxx xxx xxxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx uživatelů platebních xxxxxx, xxxxx
x) jsou xxxxxxxxx osobou, xxxxx xxxxxxxx řídí xxxxxxx xxxxxxxx xxxxxxxxx v xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxx tato xxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx dodržování,
b) xxxx xxxxxxxxx ve xxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxx xxxxx prošetřování x zajišťují identifikaci x xxxxxxxxxx možných xxxxxx zájmů při xxxxxxxxx x xxxx.
(2) Xxxxxxxx xxxxxxxxx interně xxxxxxx v xxxxxxx xx xxxxxxxxxxx xxxxxxx xxxxxxxxx a xxxxxxxxx x xxxxxxxxx s xxxx, a xx xxxxxxxx xxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx xxxxxxxxx.
(3) Xxxxxxxx instituce xxxxxxx xxxxxx xxx xxxxxxxxxx xxxxxxxxx x reklamací xxx, že xx xxxxxxxx xxxxxxxxxx xxx xxxxxxxxxx odkladu Xxxxx xxxxxxx bance xx xxxxxxxx xxxxxxxxx x xxxxxxxxxxx x reklamacích x x nakládání x xxxx včetně xxxxxxxxxxx postupů xxxxxx xxxxxxxxxx.
(4) Platební xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxx a xxxxxxxxxxx x výsledcích xxxxxx xxxxxxxx x xxxxx zabezpečit identifikaci x xxxxxx xxxxxxxxxx xxxxxxxxxxx nedostatků x xxxxxxx rizik, xxxxxxx
x) xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx x reklamací x xxxxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxxxxx druhů xxxxxxxxx x xxxxxxxxx,
x) xxxxxxxx, zda identifikované xxxxxx xxxxxxx mohou xxxxxxxx i xxxx xxxxxxx, služby nebo xxxxxxxx, xxxxxx xxxx, xxxxxxx se stížnost xxxx xxxxxxxxx xxxxx xxxxxx,
x) v xxxxxxx xxxxxxxxxxx xxxxxxxxxx vždy xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxxxx xxxxxx stížností x xxxxxxxxx.
(5) Xxxxxxxx xxxxxxxxx
x) xxxxxxxx uživateli platebních xxxxxx na požádání x xxxx v xxxxxxxxxxx x potvrzením xxxxxxx stížnosti xxxx xxxxxxxxx xxxxxxxx informaci x xxxx postupu xxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx, x xx x xxxxxx xxxxxx xxxx v xxxxx xxxxxx, xxxxx xx xx xxx x xxxxxxxxxx platebních služeb xxxxxxx,
x) xxxxxxxxxx uživatelům xxxxxxxxxx služeb x xxxxxxxxxx informace podle xxxxxxx x) prostřednictvím xxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxxx xxxxxx xxxx jiným xxxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxxxxx služeb xx xxxxx xxxxxxxxxx xxxxxxxxxx, x xx-xx xxxxxxx xxxxxxxxxxx stránky, xxxx xx xxxx, x xx xxxxxxx x xxxxxx jazyce,
c) poskytuje xxxxxxxxxxxx, xxxxxx x xxxxxxxx informace o xxxxxxx xxxxxxxxxx xxxxxxxxx x reklamací, xxxxx xxxxxxxx
1. xxxxxxxx xxxxx x tom, xxx xxxxxxxx xxxx xxxxxxxxx xxxxx, xxxxxxx xxxx xxxxxxxxx, xxxxx musí xxxxxxxx xxxxxxxxxx xxxxxx xxxxx, x kontaktní xxxxx xxxxx nebo xxxxxx platební instituce, xxxxxx xx xxx xxxxxxxx xxxx xxxxxxxxx xxxxxxx,
2. xxxxxxxxx x xxxxx, ve xxxxx xxxx uživatel platebních xxxxxx xxxxxxxxx x xxxxxxxx stížnosti, a x xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx,
3. xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx,
4. xxxxxxxxx o kontaktních xxxxxxx Xxxxx xxxxxxx xxxxx, Xxxxxxxxx xxxxxxxxxx xxxxxxx x Xxxxxxxxx xxxxxxxxx xxxxxxxx xxxx.
(6) Xxxxxxxx instituce
a) vyvine xxxxx, které xxx xx ní xxxxxxx xxxxxxxxx, aby xxxxxxx x xxxxxxxxx všechny xxxxxxxxxx xxxxxx a xxxxxxxxx týkající se xxxx stížnosti xxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx a srozumitelným xxxxxxxx,
x) xxxxxxxxx odpovědi xxx xxxxxxxxxx odkladu x nejpozději xx xxxxxxx xxxxx §258 xxxxxx; xxxxxx-xx tyto xxxxx xxxxxxx, informuje xxxxxxxxx platebních xxxxxx x xxxxxxxx prodlení x xxxxxxx, xxx xxxx xxxxxxxx xxxxxxxxx xxxx reklamace xxxxxxxxx,
x) xxx xxxxxxx xxxxxxxxxx, xxxxx xxxx nevyhovuje xxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx, x něm xxxxxxxx vysvětlí xxxxxx xxxxxxxxx xxxx reklamace x xxxxx xxxxxxxxx x možnosti xxxxxxxxx xxxxxxxxxx xxxxxx xx xxxxxxxxx xxxx reklamaci xxxxx a obrátit xx na Xxxxxxxx xxxxxxxxxx xxxxxxx, Xxxxxx xxxxxxx xxxxx x xx xxxxxx xxxxx xx xxxxx xxxxxxxxx x ochrany xxxx xxxxxxxxxxxx xx Kancelář xxxxxxxxx xxxxxxxx práv, xxxxxxx součástí xxxx xxxxxxxxx xxxxx xxxxxx xxxxxx, xxxx na xxxx.
XXXXX XX
XXXXXX XXXXXX XXXXXXXXX XXXXXXXXX XX XXXXXX X XXXXXXXXX XXXXXX XXXXXXXXX XXXXXXXXXXXXXX XXXXX
(X §78 xxxx. 4 xxxxxx)
§6
&xxxx;Xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxx se xxxxxxx §2 až 5 obdobně.
HLAVA III
ZPŮSOB XXXXXX NĚKTERÝCH XXXXXXXXX XX XXXXXX A XXXXXXXXX XXXXXX XXXXXXX XXXXXXXXX X XXXXXXXXX XXXX
(X §48 xxxx. 4 xxxxxx)
§7
(1) Xxx xxxxxxx xxxxxxxxx x xxxxxxxxx xxxx se xxxxxxx §2 x 3 obdobně.
(2) Xxx xxxxxxxxxx xxxxxxxxx xx xxxxxx řízení bezpečnostních x xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxx xxxx xxxxxxx xxxxx §4.
(3) Xxx xxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx xxxxxxxxx x reklamací postupuje xxxxxxx xxxxxxxxx x xxxxxxxxx xxxx xxxxxxx xxxxx §5.
XXXXX IV
ZPŮSOB XXXXXX XXXXXXXXX XX XXXXXX XXXXXX XXXXXXXXXXXXXX X XXXXXXXXXX XXXXX X XXXXXX VYŘIZOVÁNÍ XXXXXXXXX X XXXXXXXXX X XXXXXXXXXXXXX XXXXXXXXXX XXXXXX MALÉHO ROZSAHU
(K §59 odst. 4 xxxxxx)
§8
(1) Xxxxxxxxxxxx xxxxxxxxxx xxxxxx malého xxxxxxx xxxxxxxx xxxxxxxxx stanovené xx xxxxxx xxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxx x xxxxxx xxxxxxxxxx stížností a xxxxxxxxx do xxxxx xxxxxxxxx xxxxxxxx a xxx xxxxxxxxxx xxxxxxxxx xx xxxx vnitřní xxxxxxxx xxxxxxxxx obdobně xxxxx §2 xxxx. 2 xx 5.
(2) Xxx naplňování xxxxxxxxx xx xxxxxxxxxxx x xxxxxxxxxxx procesy týkající xx xxxxxxx řízení xxxxxxxxxxxxxx x xxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxx stížností a xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx xxxxxxx obdobně xxxxx §3.
(3) Pro xxxxxxxxxx xxxxxxxxx xx systém xxxxxx bezpečnostních x xxxxxxxxxx xxxxx xxxxxxxxxxxxx x poskytováním xxxxxxxxxx xxxxxx xxxxxxxxx poskytovatel xxxxxxxxxx služeb xxxxxx xxxxxxx xxxxxxx podle §4.
(4) Xxx xxxxxxxxxx xxxxxxxxx na systém xxxxxxxxxx xxxxxxxxx a xxxxxxxxx xxxxxxxxx poskytovatel xxxxxxxxxx služeb malého xxxxxxx obdobně xxxxx §5.
XXXXX V
ZPŮSOB PLNĚNÍ XXXXXXXXX NA XXXXXX XXXXXX XXXXXXXXXXXXXX A XXXXXXXXXX RIZIK X XXXXXX XXXXXXXXXX XXXXXXXXX X REKLAMACÍ X XXXXXXXXXX XXXXXXXXXXXXXX PENĚZ XXXXXX XXXXXXX
(X §100 xxxx. 4 xxxxxx)
§9
(1) Xxxxxxxxx elektronických xxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxx řízení bezpečnostních x provozních xxxxx x systém vyřizování xxxxxxxxx x xxxxxxxxx xx xxxxx vnitřních xxxxxxxx x xxx xxxxxxxxxx xxxxxxxxx xx xxxx vnitřní xxxxxxxx xxxxxxxxx xxxxxxx xxxxx §2 xxxx. 2 xx 5.
(2) Xxx xxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx xx xxxxxxx xxxxxx xxxxxxxxxxxxxx x provozních xxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxx malého xxxxxxx xxxxxxx podle §3.
(3) Xxx xxxxxxxxxx xxxxxxxxx xx systém řízení xxxxxxxxxxxxxx a xxxxxxxxxx xxxxx postupuje vydavatel xxxxxxxxxxxxxx xxxxx malého xxxxxxx xxxxxxx podle §4.
(4) Xxx xxxxxxxxxx xxxxxxxxx na xxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxx postupuje xxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxxxx xxxxxxx obdobně xxxxx §5.".
Xxxxxxxx xxx xxxxx x. 2 až 4 se xxxxxxx.
3. X §27 xxxxxxxx 4 xxx:
"(4) Platební xxxxxxxxx, xxxxx xxxxxxxx x jiné podnikatelské xxxxxxxx xxx xxxxxxx, x jejímuž xxxxxx xx oprávněna na xxxxxxx povolení uděleného xxxxx zákona, (dále xxx "hybridní platební xxxxxxxxx") xxxxx do xxxxxxxx xxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx xx položky xxxx xxxxxx xxxxx, které xxxx použity xxx xxxxx jiných xxxxxxxx, xxx xxxx činnosti, x xxxxxxx výkonu xx oprávněna na xxxxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxx.".
4. X §34 xx xxxxxx xxxx odstavec 1, xxxxx zní:
"(1) Xxxxxxx xx xxxxxxxx xxxxxxx xxxx xxxxxxx xxxxx xx. 4 odst. 1 xxxx 118 xxxxxxxx.".
Xxxxxxxxx xxxxxxxx 1 xx 5 se xxxxxxxx xxxx xxxxxxxx 2 xx 6.
5. X §34 odstavec 4 zní:
"(4) Instituce xxxxxxxxxxxxxx xxxxx, xxxxx xxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx, x xxxxxxx xxxxxx je xxxxxxxxx xx základě povolení xxxxxxxxx podle zákona, xxxxx xx xxxxxxxx xxxxxxxx xxxxx odstavce 1 xxxxxxxx xx xxxxxxx xxxx xxxxxx xxxxx, xxxxx jsou xxxxxxx xxx výkon xxxxxx činností, xxx xxxx xxxxxxxx, x xxxxxxx výkonu je xxxxxxxxx na základě xxxxxxxx xxxxxxxxx xxxxx xxxxxx.".
&xxxx;6. Xxxxxxxx se xxxxxxx, která xxx:
"Xxxxxxx x xxxxxxxx č. 7/2018 Xx.
Xxxxxxxxxxx x xxxxxx xxxxx v xxxxxxx informačních a xxxxxxxxxxxxx technologií a xxxxxxxxxxx
Xxxxxxxxxxx
1. Platební instituce xxxxxxxx xxxxxxxxx xx xxxxxx xxxxx x xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx (xxxx xxx "xxxxxx XXX a xxxxxxxxxxx") xxxxxxxx, xxxxx xx xxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxxxxxx uspořádání a xxxxxx, rozsahu, xxxxxxxxxx x rizikovosti xxxxxx x xxxxxxxx, které xxxxxxxx instituce xxxxxxxxx xxxx zamýšlí xxxxxxxxxx.
Xxxxxxxxxxx x operativní xxxxxx, xxxxxxxxxxx xxxxxxxxxx
2. Osoba, xxxxx skutečně xxxx xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxxx služeb (xxxx xxx "xxxxxxx xxxxxxxxx") xxxxxxx, xxx xxxxxxxx xxxxxxxxx měla xxxxxxx xxxxxxxxx rámec xxxxxxx xxxxxx x xxxxxx x vnitřní kontroly xxx xxxxxx IKT x bezpečnosti. Vedoucí xxxxxxxxx xxxxxxxxxxxx vymezí xxxx x povinnosti xxx xxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií, xxxxxx xxxxx IKT a xxxxxxxxxxx xxxxxx bezpečnosti xxxxxxxxx x plynulého xxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx platební xxxxxxxxx, x xx x pro sebe.
3. Xxxxxxx xxxxxxxxx zajistí, xxx počet xxxxxxxxxx xxxxxxxx xxxxxxxxx a xxxxxx xxxxxxx xxxxxxxxxxx x xxxxxxxxxx byly xxxxxxxxx pro průběžnou xxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx v oblasti xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx, xxxxxx rizik XXX x xxxxxxxxxxx x pro xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx x xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx x xxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx všichni pracovníci xxxxxxx jednou xxxxx xxxxxxxxxxx xxxxxx xxxxxxx xxxxxxx xxxxxxxx xx xxxxxxxxx na xxxxxx XXX x bezpečnosti, xxxxxx xxxxxxxxxxx informací (xxx 49).
4. X xxxxxxxxxx xxxxxxxxx xxxxxxxxxx xx xxxxxxxxx x xxxxxxxxxxx strategie xxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx x rámci xxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx, dohled nad xxxxxxxxxxxx xxxx xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxx XXX a xxxxxxxxxxx.
5. Xxxxxxxxx x oblasti xxxxxxxxxxxx x komunikačních xxxxxxxxxxx xx x xxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxx
x) xxx xx xx xxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx platební instituce xxxxxxxx, aby xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx xxxxxx organizačního xxxxxxxxxx, xxxx v xxxxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx (xxxx xxx "IKT systémy") x xxxxxxxxx xxxxxx xxxxxxxxxx xx třetích xxxxxxxx,
x) plánovanou xxxxxxxxx x xxxxx architektury xxxxxxxxxxxx a komunikačních xxxxxxxxxxx, xxxxxx vztahů xxxxxxxxxx xx xxxxxxx xxxxxxxx,
x) srozumitelné xxxx x xxxxxxx bezpečnosti xxxxxxxxx xx zaměřením xx XXX xxxxxxx x xxxxxx, pracovníky x xxxxxxx x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx.
6. Platební xxxxxxxxx xxxxxxx xxxxxxx xxxxxxx xxxxx, které xxxxxxxx xxxxxxxx xxxxx x naplnění strategie x xxxxxxx xxxxxxxxxxxx x komunikačních xxxxxxxxxxx. X xxxxxx xxxxx xxxx seznámeni všichni xxxxxxxxx pracovníci x xxxxx xxxxxxxxx xxxxx xxxxxx dodavatelů x xxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx činností, xxxxxxx xx rozumí poskytovatelé xxxxxxxxxxxx, poskytovatelé x xxxxx xxxxxxx, xxxxxx xx xxxxxxxx instituce xxxxxx, xxxx jiní xxxxxxx poskytovatelé (dále xxx "xxxxxxx xxxxxxxxxxxxx"), xxxxx xxxx xxx xx xxxxxxxxxx x xxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxx plány xxxxxxxxxx xxxxxxxxxxx x zajišťuje xxxxxx soustavnou xxxxxxxxx x vhodnost. Xxxxxxxx xxxxxxxxx xxxxxx xxxxxxx xx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxx strategie v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií.
7. Xxxxxxxx xxxxxxxxx xxxxxxx, xx xxxxxxxx xx xxxxxxxx xxxxx xxxxxxxx v xxxxx xxxxxxx xxxxxx xxxxx xxxx účinná x x případě, xx xxxxxxxx xxxxxxxx xxxxxx poskytování platebních xxxxxx nebo XXX xxxxxxx xx služby x oblasti xxxxxxxxxxxx x xxxxxxxxxxxxx technologií (xxxx xxx "XXX xxxxxx") xxxx zajišťovány xxxxxxx.
8. Pro xxxxxxx xxxxxxxxx XXX systémů x XXX služeb xxxxxxxx xxxxxxxxx xxxxxxx, xx xxxxxxx x xxxxxxx xxxxxxxx o xxxxxx služeb se xxxxx externími xxxxxxxxxxxxx xxxxxxxx
x) xxxx x xxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx informací xxxxxx xxxxxxxxxxx požadavků a xxxxxxxx; v tom xxxx minimální xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxx xxxxxxxxx xxxxx xxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxxx xxxxxxxx xx xxxxxxxxx xxx, xxxxxxx xxxxxxxxxxx xxxx x xxxxxxxxx bezpečnosti x xxxxxxxx datových xxxxxx,
x) provozní xxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxxxxxxx událostí xxxx xxxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx platební xxxxxxxxx, xxxxx xx xxxx pravděpodobně bude xxx xxxxxxxxxx xxxxx xx integritu, xxxxxxxxxx, xxxxxxxxx xxxx autenticitu xxxxxx (xxxx xxx "xxxxxxxxxxxx x xxxxxxxx xxxxxxxx"), xxxxxx předávání xx vyšší xxxxxx xxxxxx a xxxxxxxx xxxxx.
9. Platební xxxxxxxxx xxxxxxx x xxxxxxxx xx, že externí xxxxxxxxxxxxx zajišťují požadovanou xxxxxx xxxxxxxxxxxxxx xxxx, xxxxxxxx x xxxxxxxxxx xxxxx platební instituce, xxxxx xxxxxxx xxxxxxxxx.
Xxxxxx xxxxxx xxxxx IKT x xxxxxxxxxxx
10. Xxxxxxxx xxxxxxxxx rozpoznává x xxxx xxxxxx XXX x bezpečnosti, xxxxxx xx xxxx xx xxxxx být vystavena x xxxxxxxxxxx s xx xxxxxxxxxxxxx platebními xxxxxxxx. Xxxxxxxxx xxx xxx xxxxxxx x xxxxxxxx, xxxxx xxxxxxxxx, xx všechna xxxx xxxxxx xxxxx xxxxxxxxxxxx, xxxxxxxxxxxxx, xxxxxx, xxxxxxxxx, xxxxxxxxxx x xxxxxxxxx x souladu xx xxxxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx x xxxxx rizikům, x realizované xxxxxxxx x xxxxxxx x xxxxxxxxx xxxxxxxx xxxx x souladu x xxxxxxx vnitřně xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx x požadavky xxxxxxxxxxx xxxxxxxx xxxxxxxx nebo xxxxxxxxxx x xxxxxxx xxxxxxxxx Xxxxxx národní xxxxxx.
11. Xxxxxxxx instituce xxxxx působnost xx xxxxxx rizik IKT x xxxxxxxxxxx x xx xxxxxx xxx xxxxxx xxxxxx xxxxxxxxx xxxxxx. Platební xxxxxxxxx xxxxxxx xxxxxxxxxxx a xxxxxxxxxxx xxxx kontrolní xxxxxx xxx, xx xx xxxxxxx xxxxxxxx xxxxxx od xxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxxx x komunikačních xxxxxxxxxxx. Xxxx kontrolní xxxxxx xx xxxxx xxxxxxxxx vedoucímu pracovníkovi x x xxxx xxxxxxxxxx xx xxxxxxxxx x xxxxxxxx systému xxxxxx xxxxx IKT x xxxxxxxxxxx. Zajišťuje xxxxxx, xxx rizika XXX x xxxxxxxxxxx xxxx rozpoznávána, vyhodnocována, xxxxxx, xxxxxxxxx x xxxxxxxxxx. Platební xxxxxxxxx xxxxxxx, xxx tato xxxxxxxxx xxxxxx xxxxxx x xxxxxxxxxx žádný xxxxxxx xxxxx.
12. X xxxxxxxxx xxxxxxxx systému xxxxxx xxxxx XXX x bezpečnosti xxxxxxxx xxxxxxxxx xxxxxx xxxxxxx xxxx x xxxxxxxxxx, xxxxxxxxx xxxxxxxxxxxx xxxxxx x x xxxx xxxxxxxxxxx působnosti. Platební xxxxxxxxx xxxxxxx, že xxxxxx xxxxx XXX x xxxxxxxxxxx xx xxxx xxxxxxxxxxx do xxxxxxx xxxxxx rizik xxxxxxxx instituce, xxxxxx xxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxxx vazeb v xxxxx tohoto xxxxxxx x xx x xxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx xxxxx.
13. Xxxxxx xxxxxx xxxxx XXX a xxxxxxxxxxx zahrnuje procesy xxx
x) xxxxxx míry xxxxxx xxxxxxxx instituce xxxxxxxxxxx x xxxxx xxxxxxx v xxxxxxx x mírou ochoty xxxxxxxx xxxxxxxxx xxxxxxxxxxx x xxxxxxx,
x) xxxxxxxxxxxx x vyhodnocování těchto xxxxx, xxxxxx xx xxxxxxxx xxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx opatření xxxxxxxxx x omezení výskytu xxxx xxxxxx xxxxxxx xxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxx opatření x xxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxx, xxxxxx incidentů xxxxx §221 xxxxxx, xxxxx mají dopad xx xxxxxxxx xxxxxxxxxxx x informačními a xxxxxxxxxxxxx technologiemi, x x xxxxxxx potřeby xxxxxxxxx xxxxxxxx,
x) ohlašování xxxxxx xxxxx x xxxxxxxx xxxxxxxxx xxxxxxxxxxxx,
x) xxxxxxxxxx x vyhodnocování xxxxxx xxxxx xxxxxxxxxxxxx x xxxxxxxx xxxxxxxx xxxxx x XXX xxxxxxxxx x XXX xxxxxxxx, xxxxxxxxx xx xxxxxxxxx nebo x xxxxxxxxxx xx xxxxxxxx xxxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxxx.
14. Xxxxxxxx xxxxxxxxx xxxxxxx, aby xxxxxx xxxxxx xxxxx XXX x bezpečnosti xxx xxxxx zdokumentován x xxxxxxxxx xxxxxxxxxxxx xx xxxxxxx xxxxxxxxx xxxxxxxx. Vedoucí xxxxxxxxx xxxxxxx xxxxxx xxxxx xxxxxxxxx x přezkoumává xxxxxxxxx systému řízení xxxxx IKT x xxxxxxxxxxx.
15. Xxxxxxxx xxxxxxxxx xxxxxxxxxxxx x xxxxxx xxxxxxxx xxxxxx, role x xxxxxxxx procesy x xxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxx xxxxx x xxxxxxxxxxx x xxxxxx XXX x xxxxxxxxxxx.
16. Xxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx informace, xxxxx xx třeba xxxxxxx (xxxx xxx "informační xxxxxxx"), xxxxxxxxxxx obchodní xxxxxx x xxxxxxxx xxxxxxx x zavede x aktualizuje xxxxxx xxxxxxxxxxxx. Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxx xxxx xxxxxxxxxx aktiva, xxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxxxx xxxxxx x procesy.
17. Xxxxxxxx xxxxxxxxx klasifikuje xxxxxxxxxxxxxx xxxxxxxx funkce, xxxxxxxx xxxxxxx a xxxxxxxxxx xxxxxx xxxxx xxxx 15 a 16 x hlediska jejich xxxxxxxxxxx.
18. Xx xxxxxx xxxxxxxxxx kritičnosti xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx funkcí, xxxxxxxxxx procesů x xxxxxxxxxxxx aktiv xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxx xx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxxx x odpovědnosti xxxxxxxx xx informačních xxxxx.
19. Xxxxxxxx xxxxxxxxx přezkoumává xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx x xxxxxxxxx xxxxxxxxxxx vždy, xxxx xxxxxxx xxxxxxxxxxx xxxxx.
20. Xxxxxxxx instituce rozpoznává xxxxxx XXX x xxxxxxxxxxx, xxxxx mají xxxxx xx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxx xxxxxxx x xxxxxxxxxx aktiva, x to xxxxx xxxxxx kritičnosti. Toto xxxxxxxxxxxxx xxxxx xxxxxxx, xxxxxx xxxxxxxxxxxxxx, xxxxxxx xxxxxx ročně a xxxx při xxxxx xxxxxxx změnách xxxxxxxxxxxxxx, xxxxxxx xxxx postupů xxxxxxxxxxxxx xxxxxxxx funkce, xxxxxxxx xxxxxxx xxxx xxxxxxxxxxxx xxxxxx. Na xxxxxxx xxxx platební xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
21. Xxxxxxxx xxxxxxxxx průběžně xxxxxxx xxxxxx x xxxxxxxxxxxx xxxxxxxx xxx obchodní xxxxxx, xxxxxxxx xxxxxxx x informační aktiva x pravidelně xxxxxxxxxxx xxxxxxx xxxxx, které xx ně xxxx xxxxx.
22. Na základě xxxxxxxxxxx xxxxx xxxxxxxx xxxxxxxxx xxxx opatření xxxxxxx k xxxxxxx xxxxxxxxxxxx rizik XXX x xxxxxxxxxxx na xxxxxx xxxxxxxxxxxx xxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx k rizikům. Xxxxxxxx instituce také xxxx, zda xxxx xxxxxxxx změny xxxxxxxxxxx xxxxxxxxxx xxxxxxx, xxxxxxxxxxx xxxxxxxx, IKT xxxxxxx x XXX xxxxxx. Xxxxxxxx xxxxxxxxx xxxxx xxx xxxxxxxx x xxxxxxxxx těchto xxxx x čas na xxxxxxx příslušných xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxx xxxxx XXX x xxxxxxxxxxx x xxxx xxxxxx xxxxxxxx xxxxxxxxx x xxxxx xxxxxxx xxxxxxxxxxx.
23. Xxxxxxxx xxxxxxxxx přijímá xxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxxxx rizik XXX x xxxxxxxxxxx x x ochraně informačních xxxxx x souladu x jejich xxxxxxxxxxx.
24. Xxxxxxxx instituce xxxxxxx, xx xxxxxxxx xxxxxxxxxxxxx xxxxx jsou xxxxxxxxxxxx x včas xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx.
Xxxxxxx xxxxx x oblasti xxxxx XXX x xxxxxxxxxxx
25. Xxxxxx xxxxxxxxx xxxxxx xxxxxxxxx rizikově orientovaný xxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxx xxxxxxxx platební xxxxxxxxx xxxxxxxxxxxxx x xxxxxxxxxxxx x komunikačními xxxxxxxxxxxxx x xxxxxxxxxxx xx xxxxxxxx a xxxxxxx xxxxxxxx instituce x x xxxxxxxxx požadavky, xxxxxxxxxxx, xxx tyto xxxxxx x xxxxxxx xxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx, x xxxxxxxxx x xxx xxxxxxxxxx xxxxxxxxx xxxxxxxx. Xxxxxx xxxxxxxxx xxxxxx, xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxx nebo xxxxxxx, xxxxxxxxxx poskytuje xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxx rizik XXX x xxxxxxxxxxx. Xxxxxxxxxx, kteří xxxxxxxxx xxxxxx xxxxxxxxx auditu, xxxx xxxxxxx xxxxxxxxx x xxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx se xxxxx IKT x xxxxxxxxxxx, xxxxxx x xxxx v xxxxx xxxxxxxx xxxxxxxxx xxxx xx xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx. Xxxxxxx x xxxxxxxx xxxxxx xxxxxxxx závažnosti xxxxxx xxxxx.
26. Vedoucí xxxxxxxxx xxxxxxxxx plán auditů, xxxxxx všech auditů x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx změn. Xxxx xxxxxx a xxxx xxxxxxxxx, včetně xxxxxxxx xxxxxx, xxxxxx inherentní xxxxxx XXX a xxxxxxxxxxx xxxxxxxx instituce, xx xxxxxx xxxxx xxxxxxx x xx xxxxxxxxxx xxxxxxxxxxxx.
27. Xxxxxxxx xxxxxxxxx xxxxxxx opatření xxx xxxxxx ověření x nápravu xxxxxxxxxx xxxxxxxx xxxxxx x xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx.
Xxxxxxxxxx informací
Politika xxxxxxxxxxx informací
28. Platební xxxxxxxxx zajistí, že xxxxxxxx xxxxxxxxxxx informací xx x xxxxxxx x xxxx platební xxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx a xx založena na xxxxxxxxxx vyhodnocování rizik. Xxxxxxxx xxxxxxxxxxx informací xxxxxxxxx xxxxxxx pracovník.
29. Xxxxxxxx bezpečnosti xxxxxxxx xxxxx hlavních rolí x xxxxxxxxxx x xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x požadavky xx pracovníky x xxxxxxx xxxxxxxxxxxxx, xxxxxxx x technologie x xxxxxxxxxxx s xxxxxxxxxxx xxxxxxxxx. Xxxxxxx xxxxxxxxxx x externí xxxxxxxxxxxxx xxxx xxxxxxxxxx při xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx, odpovídající xxxxxxxxx jimi xxxxxxxxxxx, xxxxxx jim xxxxxxxx x oprávněním, jimiž xxxxxxxxx. Politika xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx, xxxxxxxxx a xxxxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxx, xxxxxx x citlivých xxxxx xxxxxxxx xxxxxxxxx xxx xxx xxxxxxx, xxx xxx xxxxxxx x xxxxxxxxx. X xxxxxxxxx xxxxxxxxxxx informací jsou xxxxxxxxx xxxxxxx xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxx.
30. Xx xxxxxxx xxxxxxxx xxxxxxxxxxx informací platební xxxxxxxxx xxxxxx bezpečnostní xxxxxxxx x xxxxxxxxx xxxxx IKT x xxxxxxxxxxx, jimž je xxxx xx xxxxx xxx vystavena. Xxxxxxxx xxxxxxxxx xxxx xxxxxxx:
x) xxxxxxx xxxxxx x xxxxxx v souladu x xxxxxxxxx xxxxx xxxx 10, 11 x 25,
x) xxxxxxxx xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx provozu x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx,
x) bezpečnostní xxxxxxxxx,
x) přezkumy, hodnocení x xxxxxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxx x informovanost x xxxxxxx xxxxxxxxxxx xxxxxxxxx.
Xxxxxxx xxxxxxxxxx
31. Xxxxxxxx xxxxxxxxx xxxxxxx, zdokumentuje a xxxxxxxxx postupy pro xxxxxxxx logického xxxxxxxx, xxxxxxxx jsou x xxxxxxxx xx xxxxxx xxxxxxxxx xxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxx xx xxxxxxxxxxx. Xxxx xxxxxxx xxxx xxxxxxxx alespoň xx xxxxxx xxxxxxxx:
x) xxxxxx xxxxxxxx xxxxx potřebného, xxxxxx xxxxxxxxxxx oprávnění x xxxxxx oddělenosti xxxxxx; platební xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxxxx aktivům x xx xxxx podpůrným xxxxxxxx spravuje xxx, xxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx (xxxx xxx "xxxxxxxx") věděl xxx to, co xx xxxxxxxx, x xx x v xxxxxxx vzdáleného xxxxxxxx; xxxxxxxxx xxxx xxx xxxxxx xxxxxxxxxx práva, xxxxx xxxx xxxxxxxx xxxxx x xxxxxx xxxxxx xxxxxxxxxx, x xxxxx zabránit xxxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx dat nebo xxxxxxxx přidělení xxxxxxxxx xxxxxxxxxxxx práv, xxxxx xxx xxxxxx x xxxxxxxxx kontrolních opatření,
b) xxxxxx xxxxxxxxxxx xxxxxxxxxx; xxxxxxxx instituce v xx xxxxxxxx míře xxxxx xxxxxxxxx obecných x sdílených xxxxxxxxxxxxx xxxx x x xxxx prováděných v XXX xxxxxxxxx zajistí xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxxxxxx přístupových xxxxxxxxx; xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx privilegované xxxxxxxx xx xxxxxxx xxxxxx xxxxxxxx omezení xxxx xxxxxxxxxxxxxx x xxxxxxx xxxx xx zvýšenými xxxxx přístupu x xxxxxxx a nad xxxxxx účty xxxxxxxxx xxxxxxxx xxxxxx, vzdálený xxxxxxxxxxxxxxx xxxxxxx ke xxxxxxxxx XXX systémům xxxxxxxxx xxx xxx, xxx xxxxxxxx věděl xxx xx xx xxxxxxxx x xxx xxxx se xxxxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxx zaznamenávání xxxxxxxx uživatele; platební xxxxxxxxx xxxxxxx vedení xxxxxxxxx xxxxxxx x xxxxxxxxxxxx xxxxxxxx xx xxxxxxx xxxxxxxxx činností xxxxxxxxxxxxxxx uživatelů, xxxxxxxxxxx xxxxxxx o xxxxxxxx xxx, aby xx xxxxxxxx jejich xxxxxxxxxxxx xxxxxxx xxxx xxxxxx, x xxxxxx xxxxxxx xx dobu odpovídající xxxxxxxxxxx identifikovaných obchodních xxxxxx, podpůrných xxxxxxx x informačních xxxxx; xxxxxxxx instituce xxxx xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxxxxxx xxxxxx,
x) xxxxxx řízení xxxxxxxx; xxxxxxxx xxxxxxxxx xxxxxxx, xx xxxxxxxxxx xxxxx jsou xxxxxxxxx, xxxxxxxxx xxxx xxxxxxxxxx xxxx, x xx xxxxx xxxxxx xxxxxxxxxxx xxxxxxx schvalování xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx aktiva, x případě xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxxxxxx xxxxxx xxxx xxxxxxxxxx xxxxx xxxxxxxx xxxxxxxx,
x) zásada revize xxxxxxxxxxxx xxxxxxxxx; xxxxxxxx xxxxxxxxx zabezpečí, že xxxxxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxxxxxxxxx s xxxxx xxxxxxxx, xxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxx x xxx xxxx přístupová xxxxx xxxxxxxx, xxxxxxx již xxxxxxx xxxxxxxxx,
x) zásada xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxx; xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxx ověření, xxxxx xxxx xxxxxxxxxx xxxxxxxx, xxx xxxxxxxxx a xxxxxx zajistily xxxxxxxxxx xxxxx x postupů xxxxxxxx xxxxxxxx, xxxxxxxxxx xxxxxxxxxxx XXX systémů, xxxxxxxxx xxxx procesů, x xxxx xx xxxxxxxxxx, xxxxxxxx přinejmenším xxxxxxx xxxxx, xxxxxxxxxxxxx xxxxxxx xxxx jiné xxxxx xxxxxx xxxxxxx, x to podle xxxxxxxxxxx xxxxxx.
32. Xxxxxxxx xxxxxxxxx xxxxxxx, xx xxxxxxxx xxxxxxx xxxxxxxxxxxxxxx xxxxxxxx k xxxxx x XXX xxxxxxxx xx xxxxxx xx xxxxxxx, xxxxx je xxxxx k xxxxxxxxxxx xxxxxxxxx xxxxxx.
Xxxxxxx xxxxxxxxxx
33. Xxxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxxx x xxxxxxxxx xxxxxxxx xxx fyzické xxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxx xxxxxx xxxxxxx, datových xxxxxx a citlivých xxxxxxx před xxxxxxxxxxxx xxxxxxxxx x xxxx xxxxxx xxxxxxxx xxxxxxxxx.
34. Xxxxxxxx xxxxxxxxx xxxxxxx, xx fyzický přístup x XXX systémům xx xxxxxxx xxxxx xxxxxxxxxx osobám, oprávnění xx xxxxxxxxx x xxxxxxx x úkoly x xxxxxxxxxxx xxxxxxx xxxxx x je xxxxxxx xx osoby, xxxxx jsou xxxxx xxxxxxxxx x xxxxxxx xxxxxxxx jsou xxxxxxxxxxxx. Xxxxxxxx instituce xxxxxxx, xx xxxxxxx přístup xx xxxxxxxxxx xxxxxxxxxxxx x x xxxxxxx xxxxxxx jsou xxxxxxxxxx xxxxxxxxxx práva zrušena.
35. Xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx opatření xx xxxxxxx xxxx xxxxxx xxxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxx xxxxxxxxxxx xxxxx x kritičnosti xxxxxxx xxxx XXX xxxxxxx xxxxxxxxxx v xxxxxx budovách.
Bezpečnost provozu x xxxxxxx xxxxxxxxxxxx x komunikačních technologií
36. Xxxxxxxx instituce stanoví, xxxxxxxxxxxx x uplatňuje xxxxxxx, xxxxx zamezují xxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x XXX xxxxxxxxx x XXX xxxxxxxx, x xxxxxxxxxxxx xxxxxx xxxxx xx xxxxxxxxxxx xxxxxx xxxxxx. Tyto xxxxxxx xxxxxxxx
x) identifikace xxxxxxxxxxxxx xxxxxxxxxxxxx, xxxxx xxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxxxxxx, xxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx poskytuje xxxxxxxxxx, xxxxxxxxxx kritických bezpečnostních xxxxx nebo xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxxxx xx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx komponent,
c) xxxxxxxx xxxxxxxxxx xxxx, xxxxxxx xxxxxxxx xxxxxx xxx x šifrování xxxxxxxx xxxxxxx, x xx x xxxxxxx x xxxxxxxxxxx xxx,
x) zavedení xxxxxxx xxxxxxxxx xxxx xxxxxx serverů, xxxxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx; dříve xxx xxxx xxxxx xxxxx xxxxxxx přístup xx xxxxxxxxx xxxx, platební xxxxxxxxx xxxxxxxxxxx, xxx xxxxxxx body xxxxxxx xx xxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) zavedení xxxxxxxxxx xxx ověření xxxxxxxxx xxxxxxxx, xxxxxxxx a xxx,
x) xxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxx, x xx x xxxxxxx x xxxxxxxxxxx xxx.
37. Platební instituce xxxxxxxx xxxxxxxx, xxx xxxxx xxxxxxxxxxx provozního xxxxxxxxx xxxxxxxxx stávající xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxx přijetí dalších xxxxxxxx xx xxxxxx xxxxxxxx rizik. Xxxxxxxx xxxxxxxxx xxxxxxx, že xxxx xxxxx jsou xxxxx xxxxxxxxxxx, otestovány, xxxxxxxxxxxxxx, xxxxxxxxx a xxxxxxxx.
Xxxxxxxxxxxx xxxxxxxxx
38. Xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx sledování. K xxxx si xxxxxxx, xxxxxxxxxxxx x xxxxxxxxx xxxxxxx pro xxxxxxxxxx xxxxxxxxxxx činností, xxxxx xxxxx xxx xxxxx xx bezpečnost xxxxxxxxx xxxxxxxx xxxxxxxxx, a xxx xxxxxxxxx xx xxxx xxxxxxxx. V xxxxx průběžného bezpečnostního xxxxxxxxx xx xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxx fyzická xxxx xxxxxxx narušení x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxx. Xxxxxxxx xxxxxxxxx se xxxxxxxx xx
x) xxxxxxxxxx xxxxxxx x vnější xxxxxxx, xxxxxx obchodních xxxxxx x administrativních funkcí x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií,
b) xxxxxxxxx, xxx bylo xxxxx xxxxxxx xxxxxxxx xxxxxxxx xxxxx xxxxxxx xxxx uvnitř platební xxxxxxxxx,
x) potenciální vnitřní x xxxxxx hrozby.
39. Xxxxxxxx xxxxxxxxx xx xxxxxxxxxxx uspořádání, xxxxx xx umožňuje xxxxxxxxxxxxx x xxxxxxxxx sledovat xxxxxxxxxxxx hrozby x xxxxxxxxxx vlivem na xxxx schopnost xxxxxxxxxx xxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxx technologický xxxxx, aby xx xxxx vědoma xxxxx xxxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxx, xxxxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx hrozeb a xxxxxxx xxxxxxx zranitelností xxxxxxxx x hardwaru x xxxxxxxxxx odpovídající xxxx aktualizace xxxxxxxxxxx.
40. Xxxxxxxxxxxx xxxxxxxxx platební xxxxxxxxx pomáhá xxxxxxxx xxxxxx bezpečnostních x xxxxxxxxxx incidentů, xxxxxxxxxxxxx xxxxxx a xxxxxxxxxx xx prováděné xxxxxxxxxxx.
Xxxxxxxx, xxxxxxxxx a xxxxxxxxx xxxxxxxxxxx informací
41. Platební xxxxxxxxx xxxxxxxxx xxx xxxxxxxx, xxxxxxxxx x xxxxxxxxx bezpečnosti informací xxxxx postupy a xxxxxxxx tak, aby xxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx x XXX xxxxxxxxx a XXX xxxxxxxx, x to xxxxxx xxxxxxxxxx analýzy xxxxxx standardům bezpečnosti xxxxxxxxx nebo jiným xxxxxxxx, xxxxxxxx dodržování xxxxxxxx, xxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx další xxxxxxxxx xxxxxxx, jako xxxx xxxxxxxx xxxxxxxxxx xxxx, xxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxx xxxxxx xxxxxx xx IKT xxxxxxx.
42. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxx xxx testování xxxxxxxxxxx xxxxxxxxx, který xxxxxxx spolehlivost a xxxxxxxx xxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxx hrozby x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxxx sledování xxxxxx x xxxxxxxxxxxxx rizik XXX a xxxxxxxxxxx.
43. Xxxxx xxx xxxxxxxxx xxxxxxxxxxx informací xxxxxxxxx, xx xxxxx
x) xxxxxxxxx xxxxxxxxx osoby xxxxxxx xxxxxxxxx, xxxxx mají xxxxxxxxxx xxxxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxx xxx bezpečnost xxxxxxxxx x xxxxxxxx xx xx xxxxxx xxxxxxxx xxx bezpečnost xxxxxxxxx,
x) xxxxxxxx xxxxxxxx xxxxxxxxxxxxx x xxxxxxxx penetrační xxxxx, xxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxx, je-li to xxxxx x xxxxxx, xxxxxx úrovni xxxxxx xxxxxxxxxxxx u xxxxxxxxxx xxxxxxx a xxxxxxx.
44. Xxxxxxxx xxxxxxxxx provádí xxxxxxxx x xxxxxxxxx xxxxx bezpečnostních xxxxxxxx. Xxxxx u xxxxx xxxxxxxxxx XXX systémů xxxxxxx xxxxxxx xxxxxx xxxxx a jsou xxxxxxxx xxxxxxxxxxx vyhodnocení xxxxxxxxxxxxxx x xxxxxxxxxx xxxxx x xxxxxxxxxxx x xxxxxxxxxxxx služeb, x xxxx platební xxxxxxxxx xxxxxxxxx Českou xxxxxxx xxxxx podle §222 odst. 1 xxxxxx. Xxxx xxx xxxxxxxx xxxxxxx platební xxxxxxxxx xxxxxxx xxxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxxxxxx na riziku, xxxxxxx xxxx xxxxx xxx roky.
45. Platební xxxxxxxxx xxxxxxx, že xxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxxx v xxxxxxx xxxx infrastruktury, xxxxxxx nebo xxxxxxx x x xxxxxxx, xx xxxxx xx xxxxxx x důsledku xxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx incidentů nebo x xxxxxxxx xxxxxx xxxxxx xxxx xxxxxxx xxxxxxxxx kritických aplikací xxxxx xxxxxxxxxx x xxxxxxxxx.
46. Xxxxxxxx instituce xxxxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx testů x xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxx, x xxxxxxx xxxxxxxxxx IKT xxxxxxx xxx xxxxxxxxxx xxxxxxx.
47. Xxxxxxxx xxxxxxxxx uplatňuje xxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx se
a) xxxxxxxxxx xxxxxxxxx x zařízení xxxxxxxxxxx k poskytování xxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxxx x ověřování xxxxxxxxx platebních služeb,
c) xxxxxxxx x xxxxxxxx xxxxxxxxxxxxx uživatelům za xxxxxx xxxxxxxxxxxx xxxx xxxx xxxxx získání xxxxxxxxxxx kódu.
48. Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxxxxxxx změn xxxxxxx testy, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxx xxxxxxxxxxxxx xxxxx.
Xxxxxxx xxxxxxxx x xxxxxxxx týkající xx xxxxxxxxxxx xxxxxxxxx
49. Platební xxxxxxxxx zavede program xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx programy zvyšování xxxxxxxx x xxxxxxx xxxxxxxxxxx xxx všechny xxxxxxxxxx a xxxxxxx xxxxxxxxxxxxx x xxxxxxx, xx xxxxxxxxxx x xxxxxxx poskytovatelé xxxx xxxxxxxxx x plnění xxxxx xxxxx a xxxxxxxxxx x souladu x xxxxxxxxxxx bezpečnostními xxxxxxxx x xxxxxxx, xxxxxxx xxxxx xx xxxxxxxxx xxxxxx xxxxx, xxxxxxx, xxxxxxxx xxxxxxx, xxxxxxxx xxxx xxxxxx x řešit xxxxxx xxxxxxx x bezpečností xxxxxxxxx. Platební xxxxxxxxx xxxxxxx, xxx program xxxxxxx xxxxxxxx zajišťoval xxxxxxx pro xxxxxxx xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxx alespoň jednou xxxxx.
Xxxxxx xxxxxxx v xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx
50. Platební xxxxxxxxx xxxx provoz x xxxxxxx informačních x komunikačních xxxxxxxxxxx xx xxxxxxx xxxxxxxxxxxxxxxx x zavedených xxxxxxx x xxxxxxx, xxxxx xxxxxxxxx vedoucí xxxxxxxxx. Xxxxx xxxxxx xxxxxxxxx xxxxxxxx, xxx xxxxxxxx xxxxxxxxx provozuje, sleduje x kontroluje své XXX xxxxxxx x XXX xxxxxx, xxx xxxxxxxxxxx xxxxxxxx xxxxxxx x oblasti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, xxx udržuje xxxxxxxx xxxxxx xxxxxxxx x xxxxxxxx, který se xxxxxxx x xxxxxxxxx xxxxxxxxx (xxxx xxx "XXX aktivum").
51. Xxxxxxxx xxxxxxxxx zajistí, xxx xxxxxxxx provozu v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií byla x souladu s xxxxxx provozními požadavky. Xxxxxxxx xxxxxxxxx udržuje x xxxxx možno xxxxxxx xxxxxxxx xxxxxxx x xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxxx xxxxxxxxx, xxx xxxxxxxxxxxxx možné chyby xxxxxxxxxx při xxxxxxxxx xxxxxxxxxx xxxxx.
52. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx x xxxxxxxxxx xxxxx xxxxxxx v xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx postupy xxxxxxxx x xxxxxxxxx, xxxxx xxxxxxxx xxxxxxx, xxxxxxxxxx x xxxxxxxxx xxxxx.
53. Platební instituce xxxxxxx aktuální soupis XXX xxxxx xxxxxx xxxxxxxx zařízení x xxxxxxxx. Xxxxxx xxxxxx xxxxx xxxxxxxx xxxxxx xxxxxxxxxxx i vazby x xxxxxxxx xxxxxxxxxx xxxx xxxx xxx xxxxxxx xxxxxx konfigurace x řízení změn.
54. Xxxxxx XXX xxxxx xx xxxxxxxxxx podrobný, xxx xxxxxxx okamžitou xxxxxxxxxxxx xxxxxxxx xxxxxx, xxxx umístění, xxxxxxxxxxxx xxxxxxxxxxx a xxxxx, xxxxx xx xx x xxxxxxxxxx. Platební xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxx xxxxx xxxx XXX xxxxxx xxxxx xxxxxxxxxx reagovat na xxxxxxxxxxxx x xxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxxxxxxx xxxxx.
55. Xxxxxxxx xxxxxxxxx xxxxxxx a řídí xxxxxxx xxxxx XXX xxxxx, aby zajistila, xx xxxx xxxxxx xxxxx x xxxxxx xxxxxxxx x podporovat xxxxxxxxx xxxxxxxx xx xxxxxxxx činnosti x xxxxxx xxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxx XXX aktiva xxxx xxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx x xxx jsou xxxxxxx příslušné opravy x xxxxxxxxxxx xxxxxxxxx xx základě xxxxxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxxxxxx a xxxxxxx xxxxxx vyplývající xx xxxxxxxxxxx xxxx nepodporovaných XXX xxxxx.
56. Platební xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxx plánování x xxxxxxxxx výkonnosti XXX xxxxxxx x xxxxxxxxx kapacity tak, xxx xxxx xxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxxx a xxxxxxxxxxx x xxxxxx xxxxxxxx, xxxx je xxxxxxxxxx x xxxxxxxxx xx ně.
57. Xxxxxxxx xxxxxxxxx stanoví a xxxxxxxxx postupy xxxxxxxxxx x xxxxxx xxx x IKT systémů, xxx xxxx xxxx x systémy byla xxxxxxx x případě xxxxxxx obnovit. Xxxxxx x xxxxxxx zálohování xxxxxxx xxxxx xxxxxxxxx xx obnovení xxxxxxxx x xxxxxxxxxxx xxx x XXX xxxxxxx x hodnotí xx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxx. Xxxxxxxx instituce xxxxxxxxxx provádí xxxxxxxxx xxxxxxx xxxxxxxxxx x xxxxxx xxx x XXX systémů.
58. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxxxx dat a XXX xxxxxxx xxxx xxxxxxxx xxxxxxx a xxxxxxxxxx vzdáleny xx xxxxxxxxxx xxxxx tak, xxx nebyly xxxxxxxxx xxxxxxx rizikům.
Řízení incidentů x xxxxxxxx v xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx technologií
59. Platební xxxxxxxxx stanoví a xxxxxxxxx proces řízení xxxxxxxxx x xxxxxxxx xxx xxxxxxxxx x xxxxxxxxxxxxx bezpečnostních x xxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, xxx xx xxxxxxxx xxxxxxxxxxx xxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxx a xxxxxxx v xxxxxxx xxxxxxxx. Xxxxxxxx instituce xxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx xx klasifikaci xxxxxxxx xxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxx varování, xxxxx zajišťují xxxxxx xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx při xxx xxxxxxxxx xxxxxxxxxxx významných xxxxxxxxx podle Obecných xxxxxx Xxxxxxxxxx xxxxxx xxx bankovnictví x xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx (XX) 2015/2366 o xxxxxxxxxx xxxxxxxx xx vnitřním xxxx (XXX2).
60. X xxxxxxxxx xxxxxxxxxxxx dopadů xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx obnovy xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxx xxxxxxx x xx xxxxxx xxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxx, xxxxxx a návazné xxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx incidentů a xxxxxxxxx, xxx xxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxx xxxxxx příčiny x xxxxxxxx výskytu xxxxxxxxxxx xxxxxxxxx. Xxxxxxx xxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxx
x) postupy xxx xxxxxxxxxxxx, xxxxxx xxxxxxxxx, xxxxxxxxxxxxx, kategorizaci x xxxxxxxxxxx incidentů xxxxx xxxxxxxx xx xxxxxxx xxxxxxxxxxx x xxxxxxxx obchodní xxxxxxxx,
x) xxxx x povinnosti xxx xxxxx xxxxxxx x xxxxxxx xxxx, xxxxxx, kybernetických útoků x jiných xxxxxxxxx,
x) xxxxxxx xxx xxxxxxxxxxxx, xxxxxxx x řešení xxxxxx xxxxxxx xxxxxxx xxxx xxxx xxxxxxxxx, xxxxxxx xxxxxxxx xxxxxxxxx
1. xxxxxxxxx bezpečnostní x xxxxxxxx incidenty x xxxxxxxxxxxxxx vlivem xx xx, xxxxx xxxx xxxxxxxxxxxxxx xxxx xx xxxxxxxx xxxxxx nebo xxx xxxxxxxx xxxxxxxxx,
2. xxxxxxxxxx hlavní xxxxxxxx x těchto xxxxxx x odpovídajícím xxxxxxxx xxxxxxxxxxx bezpečnostní opatření,
d) xxxxxx xxxxx vnitřní xxxxxxxxxx včetně xxxxxxx xxx oznamování xxxxxxxxx x xxxxxx xxxxxxx xx vyšší xxxxxx xxxxxx, xxxxxxxxxx i xxxxxxxxx xxxxxxxxx platebních xxxxxx xxxxxxxxxxx s xxxxxxxxxxx, xxxxxxx xxxx xxxxxxx xxxxxxxxx, xx
1. xxxxxxxxx x xxxxxxxxxxx xxxxxx nepříznivým xxxxxxx xx xxxxxxxx XXX xxxxxxx a XXX xxxxxx xxxx xxxxxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxx x oblasti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx,
2. x xxxxxxx xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx osoby x xxxxxxx xxxxxxxxx, x xx xxxxxxx x xxxxxx, xxxxxx x xxxxxxxxxxx xxxxxxxxxx, xxxxx platební xxxxxxxxx xxxxxxx na základě xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxx na xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxxxx x xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxx činnosti a xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxx xxxxxx xxxxxxxxxx xxx xxxxxxxx xxxxxxxx xxxxxx x xxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxx xx xxxxxx účinné xxxxxx na xxxxxxxx x xxxxxx xx xxxxxxxxx x xxxxxxxxxx xxxxxx xxxxxxxxx uživatelům xxxxxxxxx xxxxxx x xxxxx xxxxxx xxxxxxx.
Xxxxxx xxxxxxxx v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx
61. Xxxxxxxx instituce xxxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxx a xxxxxx xxxxxxxx, xxxxx xxxxxx xxxx, xxxxxxxxxx x xxxxxxxxxx pro xxxxxxx podporu provádění xxxxxxxxx v oblasti xxxxxxxxxxxx a komunikačních xxxxxxxxxxx. Xxxxxxxx v xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx x xxxxxxx xxxxxx, xxxxxxx, likvidace xxxx xxxxxxxx XXX xxxxxxx a XXX xxxxxx. Tyto xxxxxxxx xxxxx být xxxxxxxx xxxxxxx programů xxxxxxxxxxxx x xxxxxxx informačních x komunikačních xxxxxxxxxxx xxxx xxxxxxxx xxxxxxxx.
62. Xxxxxxxx instituce xxxxxxxx xxxxxxx x omezuje xxxxxx vyplývající x xxxxxx portfolia xxxxxxxx x xxxxxxx informačních x xxxxxxxxxxxxx technologií x zohledňuje xxxx xxxxxx, xxxxx mohou xxxxxxxx xx vzájemných xxxxx mezi xxxxxxx xxxxxxxx a x xxxxx xxxx projektů xx xxxxx zdrojích xxxx xxxxxxxxx xxxxxxxxxx.
63. Xxxxxxxx xxxxxxxxx xxxxxxx x uplatňuje xxxxxxxx xxxxxx projektů x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxxxx alespoň
a) xxxx xxxxxxxx,
x) xxxx x xxxxxxxxxx x projektu,
c) xxxxxxxxxxx xxxxx projektu,
d) xxxx, xxxxxx xxxxx x xxxx projektu,
e) xxxxxx mezníky xxxxxxxx,
x) xxxxxxxxx xxxxxxxx xx xxxxxx změn.
64. Xxxxxxxx xxxxxx projektů x xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx zajišťuje, xxx xxxxxxxxx xx xxxxxxxxxx informací xxxx xxxxxxxxxxx a xxxxxxxxx xxxxxx, xxxxx xx xxxxxxxxx xx xxxxxx xxxxxx.
65. Xxxxxxxx instituce xxxxxxx, aby x xxxxxxxxxxx xxxx xxxx xxxxxxxxxx všechny xxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxxxx xxx xxxx xxx xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx projektu x jeho dokončení.
66. Xxxxxxx xxxxxxxxx xx xxxxxxxxxx o přípravě, xxxxxxxx x xxxxxxx xxxxxxxx x oblasti xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx x x xxxx xxxxxxxxxxxxx xxxxxxxx, x xx jednotlivě xxxx xxxxxxxx xx xxxxxxx xxxxxxxx, podle xxxxxxx a xxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxx a xxxxx potřeby také xxxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxxx riziko xxxxxxxx xx xxxxx systému xxxxxx rizik.
Pořizování x xxxxx XXX xxxxxxx
67. Xxxxxxxx xxxxxxxxx xxxxxxx x uplatňuje postup xxx xxxxxxxx, vývoj x údržbu XXX xxxxxxx. Uplatňuje xxxxxx xxxxxxxx orientovaný xxxxxxx.
68. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxx xxxxxx IKT xxxxxxx xxxxxxxxx úrovně vedení xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx, včetně xxxxxxxxx xxxxxxxxx a xxxxxxxxx na xxxxxxxxxx xxxxxxxxx.
69. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx x xxxxxxx xxxxxx neúmyslné nebo xxxxxxx xxxxx XXX xxxxxxx xxxxx xxxxxx x xxxxxxxx v xxxxxxxxxx prostředí.
70. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx postupy xxx xxxxxxxxx a xxxxxxxxxxx XXX xxxxxxx před xxxxxx prvním xxxxxxxx. Xxxx xxxxxxx zohledňují xxxxxxxxxx xxxxxxxxxx procesů x xxxxx. Xxxxxxxxx xxxxxxxxx, xxx nové XXX xxxxxxx xxxxxxxxx xxx, xxx bylo xxxxxxxxx. Xxxxxxxx instituce xxxx xxxxxxx xxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxxx xxxxxx xxxx xxxxxxxxx xxxxxxxxx.
71. Platební xxxxxxxxx xxxxxxx XXX xxxxxxx, XXX služby x xxxxxxxx xxx bezpečnost xxxxxxxxx xxx, xxx xxxxxxxxxxxxxx xxxxx xxxxx xxxxx, xxxxxxxx x xxxxxxxxx x oblasti xxxxxxxxxxx.
72. Xxxxxxxx xxxxxxxxx xxxxxx samostatná xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, xxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxx x xxxxxxx xxxxx xxxxxxxxxxx xxxx xx xxxxxxxxx systémy. Platební xxxxxxxxx zajistí xxxxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx, testovacích x xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx. Xxxxxxxx instituce zajistí xxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxx v xxxxxxxxxxxxx prostředích. Xxxxxxx x datům z xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx omezí xx xxxxxxxxx uživatele.
73. Platební xxxxxxxxx stanoví x xxxxxxxxx xxxxxxxx xx xxxxxxx integrity zdrojových xxxx XXX xxxxxxx, xxxxx xxxx xxxxxxxx xxxxxx platební xxxxxxxxx. Xxxxxxxx instituce xxxxxxxxx xxxxxxxxxxxx xxxxx, xxxxxxxx, xxxxxx x xxxxxxxxxxx XXX systémů, xxx xx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxx x xxxx xxxxxxx. Xxxxxxxxxxx IKT xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx.
74. Xxxxxxx xxxxxxxx instituce pro xxxxxxxx x vývoj XXX xxxxxxx zahrnují xxxx XXX xxxxxxx xxxxxxxx xxxx řízené xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxx v oblasti xxxxxxxxxxxx a komunikačních xxxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxxxxx rizikově xxxxxxxxxxx přístup. Xxxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxxxx, xxxxx podporují xxxxxxxx obchodní xxxxxx xxxx procesy.
Řízení xxxx x oblasti informačních x komunikačních technologií
75. Xxxxxxxx instituce stanoví x uplatňuje xxxxxx xxxxxx xxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, xxx xxxxxxxxx, xx xxxxxxx xxxxx XXX xxxxxxx xxxx xxxxxxxxxxxxx, xxxxxxxxx, xxxxxxxxxx, xxxxxxxxxxx, prováděny x xxxxxxxxx kontrolovaným xxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxxx xxxxx xxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxxx xxx zbytečného xxxxxxx, xxxxx xxxxxxx, xxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx.
76. Xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, zda xxxxx xxxxxxxxxxx provozního xxxxxxxxx xxxxxxxxx xxxxxxxxx bezpečnostní xxxxxxxx xxxx xxxxxxxx xxxxxxx dalších xxxxxxxx x xxxxxxx xxxxx. Xxxx xxxxx xxxx x xxxxxxx x xxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxxxx pro xxxxxx xxxx.
Xxxxxx xxxxxxxxxx xxxxxxxx
77. Xxxxxxxx instituce stanoví x xxxxxxxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxx činností x trvalého xxxxxxxxx xxxxxxxx xxxxxxxxx (xxxx xxx "řízení xxxxxxxxxx xxxxxxxx"), xxx upevnila xxxx xxxxxxxxx xxxxxxxxxx xxxx xxxxxx x xxxxxxx ztráty v xxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxx.
78. X xxxxx xxxxxxx řízení xxxxxxxxxx xxxxxxxx platební xxxxxxxxx xxxxxxxxx xxxxx xx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxxx své xxxxxxxx xxxx xxxxxxxx xxxxxxxxx xxxxxxxx a jejich xxxxxx dopadům, včetně xxxxxx x oblasti xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx, x xx xxxxxxxxxxxxx i kvalitativně. Xxxxxxx vnitřních xxxxx, xxxxx externích xxxxxxxxxxxxx xxxxxxxxxx xxx obchodní xxxxxx, xxxxxxx xxxxxxxxxx xxxxx xxxx xxxxxx xxxxxxxx xxxxx, které xxxxx xxx x xxxxxxxx xxxxxxx xxxxxx xx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxx, x xxxxxxx xxxxxxx. Xxxxxxxx instituce x xxxxxxx dopadu xx podnikatelskou xxxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxxxx x klasifikovaných xxxxxxxxxx xxxxxx, podpůrných xxxxxxx, xxxxxxx xxxxx x informačních aktiv x xxxxxx vzájemné xxxxx.
79. Platební xxxxxxxxx xxxxxxx, xxx xxxx XXX xxxxxxx x XXX služby byly xxxxxxxx x xxxxxxx x xxxx analýzou xxxxxx na xxxxxxxxxxxxxx xxxxxxx, xxxxxxx jde-li x redundanci určitých xxxxxxxxxx komponent, aby xx zamezilo narušení xxxxxxxxxxx xxxxxxxxx, xxxxx xxxx xx xxxx xxxxxx xxxxx.
80. Platební xxxxxxxxx xx xxxxxxx xxxxx xxxxxx xxxxxx xx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx plány xxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxxxxxxxxx x schváleny xxxxxxxx pracovníkem. Plány xxxxxxxxxx činnosti zohledňují xxxxxxx xxxxxx, xxxxx xx xxxxx mít xxxxxxxxxx xxxxx xx XXX xxxxxxx x XXX služby. Xxxxx xxxxxxxxxx xxxxxxxx podporují xxxx týkající se xxxxxxx a v xxxxxxx potřeby obnovy xxxxxxxxxx, integrity x xxxxxxxxxxx obchodních xxxxxx, xxxxxxxxxx xxxxxxx x xxxxxxxxxxxx xxxxx. Xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xxxxx xxxxxxx koordinuje xxxx xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx x xx xxxxxxxxxxxxxxxx xxxxxxx xxxxxxxx.
81. Platební xxxxxxxxx xx xxxxx xxxxxxxxxx xxxxxxxx, aby xxxxxxxxx, xx xxxx moci xxxxxxxxx xxxxxxxx xx xxxxxxxx xxxxxxx xxxxxxx x že xxxx xxxxxxx obnovit xxxxxx xxxxx xxxxxxxxxx obchodních xxxxxxxx xx xxxxxxxxx x rámci xxxxxxxxx xxxx, xxxxx xxx xxxx být po xxxxxxxxx xxxxxxx systém xxxx xxxxxx (xxxx xxx "xxxxxx xxxx xxxxxx") a v xxxxx maximální lhůty, xxxxx xxx je xxxxxxxxxx xxxxxx dat x xxxxxxx xxxxxxxxx (xxxx jen "cílový xxx xxxxxx"). V xxxxxxx xxxxxxx narušení xxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxx kontinuity xxxxxxxx, platební xxxxxxxxx xxxxxxx přednost xxxxxxxx xxx xxxxxxxxxx činnosti xx xxxxxxx xxxxxxxx xxxxxxxxxxxxx přístupu.
82. Xxxxxxxx xxxxxxxxx xx xxxx xxxxx xxxxxxxxxx činnosti xxxxxxx xxxxx scénáře, xxxxxx méně xxxxxxxxxxxxxxx xxxxxxx vývoje, kterému xxxx xxx vystavena, x xx xxxxxx xxxxxxx kybernetického útoku. Xxxxxxxx xxxxxxxxx xxxxxxxx xxxxx xxxxx xxxxxxxx xxxxxxxx xxxxxxx. Na xxxxxxx těchto xxxxxxx xxxxxxxx instituce xxxxxxx, xxx by byla xxxxxxxxx kontinuita IKT xxxxxxx a XXX xxxxxx, xxxxx x xxxxxxxxxx informací xxxxxxxx xxxxxxxxx.
83. Xxxxxxxx xxxxxxxxx xx základě xxxxxx xxxxxx na xxxxxxxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxx a xxxxxx xxxxxxxx platební xxxxxxxxx. Xxxx xxxxx specifikují, xxxx xxxxxxxx xxxxx xxxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxx xxxx xxx xxxxxxx x xxxxxxxxx dostupnosti, xxxxxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxx IKT xxxxxxx a XXX xxxxxx provozovaných xxxxxxxx xxxxxxxxx.
84. Plány reakce x obnovy zohledňují xxxxxxxxxx x xxxxxxxxxx xxxxxxxx obnovy. Tyto xxxxx jsou
a) xxxxxxxx xx xxxxxx činnosti xxxxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxxx, informačních xxxxx a xxxxxx xxxxxxxxxx xxxxx, xxx xxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xx xxxxxxxxx xxxxxxxx instituce x xx platební xxxxxx, xxxxxx xxxxxx xx xxxxxxxx xxxxxxx x xx uživatele xxxxxxxxxx xxxxxx, x zajištěno xxxxxxxxx xxxxxxxxxx platebních xxxxxxxxx,
x) xxxx xxxxxxxxxxxxxx x xxxxxxxxxxxx obchodním x xxxxxxxxx útvarům x xxxx snadno xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxx,
x) jsou xxxxxxxxxxxxx x xxxxxxx x poznatky xxxxxxxxx x xxxxxxxxx, xxxxxxxxx, x xxxx identifikovanými xxxxxx xx xxxxxxxx x xx xxxxxxxxx xxxx x prioritami xxxxxx.
85. Plány reakce x xxxxxx xxxx xxxxxxxxxx alternativní xxxxxxxx x případech, kdy xxxxxx xxxxxx xxx x krátkodobého xxxxxxxx xxxxxxxxxxxx x xxxxxx xxxxxxx, xxxxx, xxxxxxxxx xxxx xxxxxxxxxxxxxx okolností.
86. X xxxxx plánů xxxxxx x obnovy xxxxxxxx xxxxxxxxx xxxxx x potaz xxxxxxxx xxx kontinuitu činnosti xx xxxxxxxx xxxxxxx xxxxxxxxx poskytovatelů, xxxxx xxxx klíčový význam xxx kontinuitu IKT xxxxxx platební xxxxxxxxx, x xx xxxxxxxxx x xxxxxxx x Xxxxxxxx xxxxxx x xxxxxxxxxxxx vydanými Xxxxxxxxx xxxxxxx xxx xxxxxxxxxxxx.
87. Xxxxxxxx instituce xxxxx xxxxxxxxxx činnosti xxxxxxxxxx xxxxxxx. Xxxxxxx zajistí, xxx xxxxx kontinuity xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxxx, xxxxxxxxxxxx xxxxx x jejich xxxxxxxxxx xxxxx, xxxxxx xxxx xxxxxx, xxxxxxx a xxxxx, které xxxxxxxx xxxxxxxx xxxxx xxxxxx, xxxx xxxxxxxxx xxxxxxx xxxxxx ročně.
88. Xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx alespoň xxxxxx xxxxx xx základě xxxxxxxx testování, xxxxxxxxxx xxxxxxxxx x xxxxxxxx x xxxxxxxxxx xxxxxxxxx x předchozích událostí. Xxxxxxxx xxxxx xxxx xxxxxx, xxxxxx xxxx xxxxxx xxxx xxxxxx x cílového bodu xxxxxx, nebo xxxxx xxxxxxxxxx funkcí, podpůrných xxxxxxx x xxxxxxxxxxxx xxxxx jsou xxxxxxxx xxxxxxxxxx jako xxxxx xx xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx.
89. Xxxxxxxxxx xxxxx xxxxxxxxxx činnosti xxxxxxxx instituce xxxxxxx, xx je xxxxxxx xxxxxxxx xxx činnosti xx doby obnovy xxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx
x) xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxx, xxx xxxxxxxxxxxxxxx xxxxxxx, včetně scénářů xxxxxxxxxxx xxx xxxxx xxxxx xxxxxxxxxx xxxxxxxx, x xxxxxxxx testování xxxxxx poskytovaných xxxxxxx xxxxxxxx; součástí xx xxxxxx kritických obchodních xxxxxx, xxxxxxxxxx xxxxxxx x xxxxxxxxxxxx xxxxx xx prostředí pro xxxxxx xx havárii x xxxxxxxxx toho, xx je xxx xxxxx provozovat po xxxxxxxxxx časové xxxxxx x poté xxx xxxxxxx xxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxx, xxx prověřilo předpoklady, xx xxxxx xxxx xxxxxxxx plány kontinuity xxxxxxxx, včetně xxxxxxx xxxxxx x xxxxxx x xxxxx krizové xxxxxxxxxx, x
x) zahrnuje xxxxxxx k xxxxxxx xxxxxxxxxx pracovníků a xxxxxxxxx xxxxxxxxxxxxx, XXX xxxxxxx a XXX xxxxxx provozovaných xxxxxxxx xxxxxxxxx xxxxxxxxx reagovat xx scénáře podle xxxxxxx x).
90. Xxxxxxxx xxxxxxxxx zajistí, xx xxxxxxxx xxxxx jsou xxxxxxxxxxxxxx x veškeré xxxxxxxx nedostatky xxxxxxxxxxx x xxxxx xxxx xxxxxxxxxxx, xxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxxxxxx.
91. Xxx případy xxxxxxxx xxxx xxxxxxxxx xxxxxxx x během provádění xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxx, xxx byla xxxxxxxxx x xxxxxxxxxxx účinná xxxxxxxxxxx opatření xxx xxxxxx xxxxx, xxx xxxx xxxx a xxxxxxx xxxxxxxx informovány xxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxx instituce, xxxxxxxxx xxxxxxxxxx xxxxxx x xxxx xxxxxxxxxxxxxx xxxxx xxxxxx, xxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx orgánů, xxxxx to vyžadují xxxxxx xxxxxxxx, x xxxxxxxxx externí poskytovatelé.
Řízení xxxxxx x xxxxxxxxx xxxxxxxxxx služeb
92. Platební xxxxxxxxx stanoví x xxxxxxxxx postupy pro xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx služeb x xxxxxxxxxxxxxx xxxxxxxx spojených x xxxxxxxxxx službami, x to xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxx a xxxxxxxxxxx xxx uživatele xxxxxxxxxx xxxxxx.
93. Platební xxxxxxxxx xxxxxxx, že xxxxxxxxxx služby x xxxxxxxxxxx nabízené uživatelům xxxxxxxxxx xxxxxx jsou xxxxxxxxxxxxx s xxxxxxx xx nové hrozby x xxxxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxx xxxx x xxxxx xxxxxxx xxxxxxxxxxx.
94. Xxxxxxxx-xx xx funkčnost xxxxxxxx, xxxxxxxx instituce umožní xxxxxxxxxx platebních xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx, které souvisí x xxxxxxxxxx službami xxxxxxxxxx uživateli xxxxxxxxxx xxxxxx.
95. Xxxxx xx xxxxxxxx instituce dohodla x xxxxxxxxxx platebních xxxxxx xx omezeních xxxxx §163 zákona, xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx xxxxx stanovený xxxxxxxxx xxxxx xxxxxxx.
96. Xxxxxxxx instituce poskytuje xxxxxxxxxx xxxxxxxxxx služeb xxxxxxx xxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx x xxxxxx xxxxxxx x xxxxxxxx transakci a xxx xxx xxxxxxxx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx používání jejich xxxx.
97. Xxxxxxxx instituce xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx o xxxxxxxxxx xxxxxxx bezpečnostních xxxxxxx, xxxxx xxxx xxxx xx xxxxxxxxxxx platebních xxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx.
98. Platební instituce xxxxxxxxx uživatelům xxxxxxxxxx xxxxxx xxxxx x xxxxxxx xxxxxxxxxx dotazu, xxxxxxx x xxxxxxx x xxxxxxxx xxxxxxxx xxxx xxxxxx týkajících xx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx xxxxxxxx xx platební služby. Xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx služeb xxxxxxxx xxxxxxxxx x xxx, xxx xxxxx xxxx xxxxx xxxxxx.".
Čl. XX
Xxxxxxxx
Xxxx xxxxxxxx xxxxxx xxxxxxxxx xxxx 1. xxxxxxxx 2022.
&xxxx;
Xxxxxxxx:
Xxx. Xxxxxx x. r.
Xxxxxxxxx
Xxxxxx xxxxxxx x. 2/2022 Sb. nabyl xxxxxxxxx xxxx 1.7.2022.
Xxxxx xxxxxxxxxxxx xxxxxxxx norem xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx se xxxx xxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.