BWBR0020420
Geldig vanaf 2016-01-01
Artikel 26c
Besluit prudentiële regels Wft
1. Een betaalinstelling beschikt over een beveiligingsbeleid om betaaldienstgebruikers te beschermen tegen beveiligingsrisico’s, zoals fraude en illegaal gebruik van gevoelige betaalgegevens en persoonsgegevens.
2. Het beveiligingsbeleid omvat ten minste:
a. maatregelen op het gebied van beveiliging en risicobescherming, met inbegrip van een risicoanalyse met betrekking tot de aangeboden betaaldiensten onder meer in relatie tot digitale operationele veiligheid als bedoeld in de verordening digitale operationele weerbaarheid;
b. procedures voor het registreren en afhandelen van veiligheidsincidenten en veiligheidsgerelateerde klachten van cliënten en de nabehandeling ervan, met inbegrip van een mechanisme voor het melden van incidenten die rekening houden met de kennisgevingsverplichtingen voor betaalinstellingen die zijn vastgelegd in hoofdstuk III van de verordening digitale operatonele weerbaarheid;
c. procedures voor het opslaan, monitoren, traceren en beperken van de toegang tot gevoelige betaalgegevens; en
d. uitgangspunten en standaarden die worden toegepast bij het verzamelen van statistische gegevens over prestaties, transacties en fraude.
3. Indien de betaalinstelling uitsluitend betaaldiensten verleent als bedoeld onder 8 van de bijlage bij de richtlijn betaaldiensten, is het tweede lid, onderdeel d, niet van toepassing.
4. Het eerste en tweede lid zijn van overeenkomstige toepassing op elektronischgeldinstellingen.
2. Het beveiligingsbeleid omvat ten minste:
a. maatregelen op het gebied van beveiliging en risicobescherming, met inbegrip van een risicoanalyse met betrekking tot de aangeboden betaaldiensten onder meer in relatie tot digitale operationele veiligheid als bedoeld in de verordening digitale operationele weerbaarheid;
b. procedures voor het registreren en afhandelen van veiligheidsincidenten en veiligheidsgerelateerde klachten van cliënten en de nabehandeling ervan, met inbegrip van een mechanisme voor het melden van incidenten die rekening houden met de kennisgevingsverplichtingen voor betaalinstellingen die zijn vastgelegd in hoofdstuk III van de verordening digitale operatonele weerbaarheid;
c. procedures voor het opslaan, monitoren, traceren en beperken van de toegang tot gevoelige betaalgegevens; en
d. uitgangspunten en standaarden die worden toegepast bij het verzamelen van statistische gegevens over prestaties, transacties en fraude.
3. Indien de betaalinstelling uitsluitend betaaldiensten verleent als bedoeld onder 8 van de bijlage bij de richtlijn betaaldiensten, is het tweede lid, onderdeel d, niet van toepassing.
4. Het eerste en tweede lid zijn van overeenkomstige toepassing op elektronischgeldinstellingen.