← Retour vers "Arrêté royal portant approbation du règlement de la Banque nationale de Belgique du 20 novembre 2018 précisant les modalités de certaines obligations de la loi du 24 mars 2017 relative à la surveillance des processeurs d'opérations de paiement "
| Arrêté royal portant approbation du règlement de la Banque nationale de Belgique du 20 novembre 2018 précisant les modalités de certaines obligations de la loi du 24 mars 2017 relative à la surveillance des processeurs d'opérations de paiement | Arrêté royal portant approbation du règlement de la Banque nationale de Belgique du 20 novembre 2018 précisant les modalités de certaines obligations de la loi du 24 mars 2017 relative à la surveillance des processeurs d'opérations de paiement |
|---|---|
| SERVICE PUBLIC FEDERAL FINANCES | SERVICE PUBLIC FEDERAL FINANCES |
| 25 JANVIER 2019. - Arrêté royal portant approbation du règlement de la | 25 JANVIER 2019. - Arrêté royal portant approbation du règlement de la |
| Banque nationale de Belgique du 20 novembre 2018 précisant les | Banque nationale de Belgique du 20 novembre 2018 précisant les |
| modalités de certaines obligations de la loi du 24 mars 2017 relative | modalités de certaines obligations de la loi du 24 mars 2017 relative |
| à la surveillance des processeurs d'opérations de paiement | à la surveillance des processeurs d'opérations de paiement |
| PHILIPPE, Roi des Belges, | PHILIPPE, Roi des Belges, |
| A tous, présents et à venir, Salut. | A tous, présents et à venir, Salut. |
| Vu la loi du 22 février 1998 fixant le statut organique de la Banque | Vu la loi du 22 février 1998 fixant le statut organique de la Banque |
| nationale de Belgique, l'article 8, § 2 ; | nationale de Belgique, l'article 8, § 2 ; |
| Vu la loi du 24 mars 2017 relative à la surveillance des processeurs | Vu la loi du 24 mars 2017 relative à la surveillance des processeurs |
| d'opérations de paiement, les articles 8, alinéa 2, 11, § 5, 12, § 6 | d'opérations de paiement, les articles 8, alinéa 2, 11, § 5, 12, § 6 |
| et 13, § 3 et § 4 ; | et 13, § 3 et § 4 ; |
| Sur la proposition du Ministre des Finances, | Sur la proposition du Ministre des Finances, |
| Nous avons arrêté et arrêtons : | Nous avons arrêté et arrêtons : |
Article 1er.Le règlement de la Banque nationale de Belgique du 20 |
Article 1er.Le règlement de la Banque nationale de Belgique du 20 |
| novembre 2018 précisant les modalités de certaines obligations de la | novembre 2018 précisant les modalités de certaines obligations de la |
| loi du 24 mars 2017 relative à la surveillance des processeurs | loi du 24 mars 2017 relative à la surveillance des processeurs |
| d'opérations de paiement, annexé au présent arrêté, est approuvé. | d'opérations de paiement, annexé au présent arrêté, est approuvé. |
Art. 2.Le présent arrêté entre en vigueur le jour de sa publication |
Art. 2.Le présent arrêté entre en vigueur le jour de sa publication |
| au Moniteur belge. | au Moniteur belge. |
Art. 3.Le ministre qui a les Finances dans ses attributions est |
Art. 3.Le ministre qui a les Finances dans ses attributions est |
| chargé de l'exécution du présent arrêté. | chargé de l'exécution du présent arrêté. |
| Donné à Bruxelles, le 25 janvier 2019. | Donné à Bruxelles, le 25 janvier 2019. |
| PHILIPPE | PHILIPPE |
| Par le Roi : | Par le Roi : |
| Le Vice-Premier Ministre et Ministre des Finances, | Le Vice-Premier Ministre et Ministre des Finances, |
| A. DE CROO | A. DE CROO |
| Annexe à l'arrêté royal du 25 janvier 2019 portant approbation du | Annexe à l'arrêté royal du 25 janvier 2019 portant approbation du |
| règlement de la Banque nationale de Belgique du 20 novembre 2018 | règlement de la Banque nationale de Belgique du 20 novembre 2018 |
| précisant les modalités de certaines obligations de la loi du 24 mars | précisant les modalités de certaines obligations de la loi du 24 mars |
| 2017 relative à la surveillance des processeurs d'opérations de | 2017 relative à la surveillance des processeurs d'opérations de |
| paiement | paiement |
| La Banque nationale de Belgique, | La Banque nationale de Belgique, |
| Vu la loi du 22 février 1998 fixant le statut organique de la Banque | Vu la loi du 22 février 1998 fixant le statut organique de la Banque |
| nationale de Belgique, l'article 8 ; | nationale de Belgique, l'article 8 ; |
| Vu la loi du 24 mars 2017 relative à la surveillance des processeurs | Vu la loi du 24 mars 2017 relative à la surveillance des processeurs |
| d'opérations de paiement, les articles 8, alinéa 2, 11, § 5, 12, § 6 | d'opérations de paiement, les articles 8, alinéa 2, 11, § 5, 12, § 6 |
| et 13, §§ 3 et 4, | et 13, §§ 3 et 4, |
| Arrête : | Arrête : |
| CHAPITRE 1er. - Définitions | CHAPITRE 1er. - Définitions |
Article 1er.Pour l'application du présent règlement, il y a lieu |
Article 1er.Pour l'application du présent règlement, il y a lieu |
| d'entendre par : | d'entendre par : |
| 1° "la loi" : la loi du 24 mars 2017 relative à la surveillance des | 1° "la loi" : la loi du 24 mars 2017 relative à la surveillance des |
| processeurs d'opérations de paiement ; | processeurs d'opérations de paiement ; |
| 2° "processeur" : tout processeur d'importance systémique tel que visé | 2° "processeur" : tout processeur d'importance systémique tel que visé |
| par la loi. | par la loi. |
| Pour le reste, les définitions de l'article 3 de la loi sont | Pour le reste, les définitions de l'article 3 de la loi sont |
| applicables pour l'application du présent règlement. | applicables pour l'application du présent règlement. |
| CHAPITRE 2. - Obligations de l'exploitant d'un schéma de paiement | CHAPITRE 2. - Obligations de l'exploitant d'un schéma de paiement |
Art. 2.Les dispositions de ce Chapitre précisent les modalités des |
Art. 2.Les dispositions de ce Chapitre précisent les modalités des |
| obligations visées à l'article 8 de la loi. | obligations visées à l'article 8 de la loi. |
Art. 3.§ 1er. Lorsqu'il existe une relation contractuelle entre |
Art. 3.§ 1er. Lorsqu'il existe une relation contractuelle entre |
| l'exploitant d'un schéma de paiement et un processeur ou que | l'exploitant d'un schéma de paiement et un processeur ou que |
| l'exploitant d'un schéma de paiement impose au processeur d'obtenir | l'exploitant d'un schéma de paiement impose au processeur d'obtenir |
| son agrément (licence ou équivalent) pour traiter ses opérations, | son agrément (licence ou équivalent) pour traiter ses opérations, |
| l'exploitant du schéma de paiement devra disposer d'une procédure | l'exploitant du schéma de paiement devra disposer d'une procédure |
| visant à s'assurer de la capacité du processeur de se conformer aux | visant à s'assurer de la capacité du processeur de se conformer aux |
| dispositions du Chapitre 3 de la loi, et prend spécifiquement en | dispositions du Chapitre 3 de la loi, et prend spécifiquement en |
| compte la capacité du processeur à implémenter les développements et | compte la capacité du processeur à implémenter les développements et |
| les adaptations qu'il doit apporter à ses systèmes afin de traiter les | les adaptations qu'il doit apporter à ses systèmes afin de traiter les |
| opérations du schéma de paiement. | opérations du schéma de paiement. |
| § 2. La diligence requise de l'exploitant du schéma de paiement | § 2. La diligence requise de l'exploitant du schéma de paiement |
| s'exerce : | s'exerce : |
| 1° lorsqu'un processeur non-systémique utilisé par le schéma devient | 1° lorsqu'un processeur non-systémique utilisé par le schéma devient |
| systémique et que notification en est faite par la Banque au | systémique et que notification en est faite par la Banque au |
| processeur ; | processeur ; |
| 2° préalablement à l'établissement de la relation entre l'exploitant | 2° préalablement à l'établissement de la relation entre l'exploitant |
| du schéma de paiement et le processeur. L'exploitant du schéma de | du schéma de paiement et le processeur. L'exploitant du schéma de |
| paiement s'abstient d'entrer en relation contractuelle avec un | paiement s'abstient d'entrer en relation contractuelle avec un |
| processeur qu'il estime, après analyse, incapable de se conformer au | processeur qu'il estime, après analyse, incapable de se conformer au |
| Chapitre 3 de la loi ; | Chapitre 3 de la loi ; |
| 3° durant la relation entre l'exploitant du schéma de paiement et le | 3° durant la relation entre l'exploitant du schéma de paiement et le |
| processeur. A cette fin l'exploitant du schéma de paiement obtient | processeur. A cette fin l'exploitant du schéma de paiement obtient |
| annuellement du processeur la confirmation qu'il est toujours en | annuellement du processeur la confirmation qu'il est toujours en |
| conformité avec le Chapitre 3 de la loi. Cette confirmation est | conformité avec le Chapitre 3 de la loi. Cette confirmation est |
| réalisée ou validée par un auditeur interne du processeur ou externe. | réalisée ou validée par un auditeur interne du processeur ou externe. |
| § 3. L'exploitant du schéma de paiement tient à la disposition de la | § 3. L'exploitant du schéma de paiement tient à la disposition de la |
| Banque la documentation de la procédure visée au paragraphe premier, | Banque la documentation de la procédure visée au paragraphe premier, |
| ainsi que les analyses qu'il a effectuées ou fait effectuer en vertu | ainsi que les analyses qu'il a effectuées ou fait effectuer en vertu |
| de cette procédure et les attestations annuelles obtenues des | de cette procédure et les attestations annuelles obtenues des |
| processeurs avec lesquels l'exploitant du schéma travaille sur une | processeurs avec lesquels l'exploitant du schéma travaille sur une |
| base contractuelle. | base contractuelle. |
| CHAPITRE 3. - Identification et gestion des risques | CHAPITRE 3. - Identification et gestion des risques |
| Section 1re. - Conception des systèmes | Section 1re. - Conception des systèmes |
Art. 4.Les dispositions de cette Section précisent les modalités des |
Art. 4.Les dispositions de cette Section précisent les modalités des |
| obligations visées à l'article 11, § 2 de la loi. | obligations visées à l'article 11, § 2 de la loi. |
Art. 5.Tout processeur met en place, préventivement, toute mesure |
Art. 5.Tout processeur met en place, préventivement, toute mesure |
| raisonnable de réduction des risques opérationnels et de sécurité | raisonnable de réduction des risques opérationnels et de sécurité |
| qu'il a identifiés. | qu'il a identifiés. |
Art. 6.Tout processeur prend les dispositions nécessaires en matière |
Art. 6.Tout processeur prend les dispositions nécessaires en matière |
| de cybersécurité et assure la confidentialité, l'intégrité et la | de cybersécurité et assure la confidentialité, l'intégrité et la |
| disponibilité de l'ensemble de ses ressources physiques et logiques, | disponibilité de l'ensemble de ses ressources physiques et logiques, |
| ainsi que celles des données de paiement sensibles qu'elles soient | ainsi que celles des données de paiement sensibles qu'elles soient |
| stockées, en transit ou en cours de traitement. Le processeur met | stockées, en transit ou en cours de traitement. Le processeur met |
| notamment, mais pas exclusivement, en oeuvre les principes suivants : | notamment, mais pas exclusivement, en oeuvre les principes suivants : |
| 1° une approche de type "défense en profondeur" (defence in depth), | 1° une approche de type "défense en profondeur" (defence in depth), |
| impliquant des contrôles en couches multiples et successives qui | impliquant des contrôles en couches multiples et successives qui |
| couvrent tant le personnel, les processus et la technologie utilisée ; | couvrent tant le personnel, les processus et la technologie utilisée ; |
| 2° l'application de la ségrégation tant au niveau des environnements | 2° l'application de la ségrégation tant au niveau des environnements |
| IT (développement, intégration, production) qu'au niveau des tâches à | IT (développement, intégration, production) qu'au niveau des tâches à |
| effectuer par le personnel. Le personnel est dûment formé et surveillé | effectuer par le personnel. Le personnel est dûment formé et surveillé |
| et dispose des accès aux fonctionnalités et aux données sur une base | et dispose des accès aux fonctionnalités et aux données sur une base |
| "besoin d'en connaître" (need-to-know). En outre, les membres du | "besoin d'en connaître" (need-to-know). En outre, les membres du |
| personnel se voient accorder les accès aux seules ressources | personnel se voient accorder les accès aux seules ressources |
| indispensables à l'exercice de leurs tâches et responsabilités | indispensables à l'exercice de leurs tâches et responsabilités |
| (principe du "moindre privilège" (least privilege)). L'allocation des | (principe du "moindre privilège" (least privilege)). L'allocation des |
| privilèges d'accès fait l'objet d'une révision à intervalles | privilèges d'accès fait l'objet d'une révision à intervalles |
| réguliers, au minimum une fois par an, et dans tous les cas (a) lors | réguliers, au minimum une fois par an, et dans tous les cas (a) lors |
| d'un changement d'affectation à l'intérieur de l'entreprise, (b) lors | d'un changement d'affectation à l'intérieur de l'entreprise, (b) lors |
| de la mise en production de nouveaux services, (c) lors de toute | de la mise en production de nouveaux services, (c) lors de toute |
| modification affectant une prestation de service et (d) à la suite de | modification affectant une prestation de service et (d) à la suite de |
| tout incident trouvant sa cause, même partiellement, dans un accès | tout incident trouvant sa cause, même partiellement, dans un accès |
| inadéquat à une ou plusieurs ressources. Des "journaux/historiques | inadéquat à une ou plusieurs ressources. Des "journaux/historiques |
| d'événements" (loggings) relatifs aux accès sont réalisés et conservés | d'événements" (loggings) relatifs aux accès sont réalisés et conservés |
| pendant une période corrélée à la criticité de la fonctionnalité, du | pendant une période corrélée à la criticité de la fonctionnalité, du |
| processus ou de "l'actif du système d'information" (information | processus ou de "l'actif du système d'information" (information |
| asset). Ces "journaux/historiques d'événements" sont notamment | asset). Ces "journaux/historiques d'événements" sont notamment |
| utilisés afin de faciliter l'identification et l'examen de toute | utilisés afin de faciliter l'identification et l'examen de toute |
| activité anormale détectée dans l'exercice de la fourniture de | activité anormale détectée dans l'exercice de la fourniture de |
| services. | services. |
Art. 7.Tout processeur dispose de mesures de sécurité physique |
Art. 7.Tout processeur dispose de mesures de sécurité physique |
| adéquates afin de protéger notamment l'ensemble des données qui font | adéquates afin de protéger notamment l'ensemble des données qui font |
| l'objet des services de traitement, ainsi que les systèmes ICT | l'objet des services de traitement, ainsi que les systèmes ICT |
| utilisés pour prester ces services. | utilisés pour prester ces services. |
Art. 8.Tout processeur dispose d'un processus formel de gestion des |
Art. 8.Tout processeur dispose d'un processus formel de gestion des |
| changements, assurant que ceux-ci soient correctement planifiés, | changements, assurant que ceux-ci soient correctement planifiés, |
| testés, documentés et autorisés. En fonction des menaces observées en | testés, documentés et autorisés. En fonction des menaces observées en |
| matière de sécurité ainsi que des modifications envisagées, lesdits | matière de sécurité ainsi que des modifications envisagées, lesdits |
| tests incorporent des scénarios impliquant notamment des attaques déjà | tests incorporent des scénarios impliquant notamment des attaques déjà |
| connues ou vraisemblables. Le processeur détermine si les changements | connues ou vraisemblables. Le processeur détermine si les changements |
| apportés à son environnement opérationnel affectent d'une manière ou | apportés à son environnement opérationnel affectent d'une manière ou |
| d'une autre les mesures de sécurité en place, ou requièrent l'adoption | d'une autre les mesures de sécurité en place, ou requièrent l'adoption |
| de mesures supplémentaires de réduction des risques. | de mesures supplémentaires de réduction des risques. |
Art. 9.Tout processeur s'assure de manière régulière que l'ensemble |
Art. 9.Tout processeur s'assure de manière régulière que l'ensemble |
| des programmes utilisés pour la prestation de ses services soient en | des programmes utilisés pour la prestation de ses services soient en |
| permanence mis à jour, et que les patches et correctifs critiques, et | permanence mis à jour, et que les patches et correctifs critiques, et |
| singulièrement ceux relatifs à la sécurité, soient déployés sans | singulièrement ceux relatifs à la sécurité, soient déployés sans |
| retard. Des mécanismes de contrôle d'intégrité vérifient en permanence | retard. Des mécanismes de contrôle d'intégrité vérifient en permanence |
| l'intégrité des applications, des "microprogrammes/micrologiciels" | l'intégrité des applications, des "microprogrammes/micrologiciels" |
| (firmware) ainsi que des données utilisées dans la prestation des | (firmware) ainsi que des données utilisées dans la prestation des |
| services de traitement. | services de traitement. |
Art. 10.Tout processeur contrôle en permanence le degré d'utilisation |
Art. 10.Tout processeur contrôle en permanence le degré d'utilisation |
| des ressources informatiques mises en oeuvre, et veille à disposer à | des ressources informatiques mises en oeuvre, et veille à disposer à |
| tout moment des réserves de capacités adéquates pour faire face à des | tout moment des réserves de capacités adéquates pour faire face à des |
| variations imprévues d'activités. Ce contrôle s'effectue également sur | variations imprévues d'activités. Ce contrôle s'effectue également sur |
| longues périodes afin de détecter les évolutions à l'oeuvre et afin de | longues périodes afin de détecter les évolutions à l'oeuvre et afin de |
| pouvoir prévoir, le cas échéant, suffisamment à l'avance les | pouvoir prévoir, le cas échéant, suffisamment à l'avance les |
| adaptations majeures d'infrastructure à réaliser. | adaptations majeures d'infrastructure à réaliser. |
| La Banque peut émettre des directives pour déterminer quelles | La Banque peut émettre des directives pour déterminer quelles |
| adaptations sont majeures. Le processeur consulte la Banque en cas de | adaptations sont majeures. Le processeur consulte la Banque en cas de |
| doute sur l'importance de l'adaptation. | doute sur l'importance de l'adaptation. |
Art. 11.Tout processeur choisit son infrastructure et les |
Art. 11.Tout processeur choisit son infrastructure et les |
| technologies utilisées en tenant compte de l'évolution probable de ses | technologies utilisées en tenant compte de l'évolution probable de ses |
| activités. | activités. |
Art. 12.Tout processeur évalue et implémente les mesures |
Art. 12.Tout processeur évalue et implémente les mesures |
| complémentaires à celles visées aux articles 5 à 11, qu'il convient de | complémentaires à celles visées aux articles 5 à 11, qu'il convient de |
| mettre en place pour atteindre les objectifs repris à l'article 11, § | mettre en place pour atteindre les objectifs repris à l'article 11, § |
| 2, de la loi. | 2, de la loi. |
| Section 2. - Continuité des activités | Section 2. - Continuité des activités |
Art. 13.Les dispositions de cette Section précisent les modalités des |
Art. 13.Les dispositions de cette Section précisent les modalités des |
| obligations visées à l'article 11, § 3, de la loi. | obligations visées à l'article 11, § 3, de la loi. |
Art. 14.§ 1er. La gestion efficace de la continuité des activités |
Art. 14.§ 1er. La gestion efficace de la continuité des activités |
| telle que mise en place doit avoir pour objectif de permettre au | telle que mise en place doit avoir pour objectif de permettre au |
| processeur d'être en toute circonstance et à tout moment capable de | processeur d'être en toute circonstance et à tout moment capable de |
| prester les services de traitement qui lui incombent et à limiter au | prester les services de traitement qui lui incombent et à limiter au |
| maximum la durée des interruptions. Cette disposition n'exclut | maximum la durée des interruptions. Cette disposition n'exclut |
| toutefois pas pour le processeur la possibilité de planifier des | toutefois pas pour le processeur la possibilité de planifier des |
| interruptions de services pour réaliser la maintenance de ses | interruptions de services pour réaliser la maintenance de ses |
| systèmes. | systèmes. |
| § 2. Le processeur priorise les actions à entreprendre en matière de | § 2. Le processeur priorise les actions à entreprendre en matière de |
| continuité des opérations, en analysant notamment les fonctions, | continuité des opérations, en analysant notamment les fonctions, |
| processus, systèmes et transactions identifiés et classifiés comme | processus, systèmes et transactions identifiés et classifiés comme |
| critiques, et en adoptant une approche qui est notamment, mais pas | critiques, et en adoptant une approche qui est notamment, mais pas |
| exclusivement, basée sur les risques. Cette analyse permet au | exclusivement, basée sur les risques. Cette analyse permet au |
| processeur de développer et d'activer à tout moment des procédures de | processeur de développer et d'activer à tout moment des procédures de |
| continuité des activités afin de réagir de façon appropriée aux | continuité des activités afin de réagir de façon appropriée aux |
| urgences, tout en continuant à prester ses activités critiques. | urgences, tout en continuant à prester ses activités critiques. |
Art. 15.§ 1er. Le processeur dispose d'un plan de continuité visant à |
Art. 15.§ 1er. Le processeur dispose d'un plan de continuité visant à |
| : | : |
| 1° limiter au maximum la durée des interruptions d'activités et | 1° limiter au maximum la durée des interruptions d'activités et |
| 2° protéger et, si besoin, rétablir l'intégrité et la disponibilité | 2° protéger et, si besoin, rétablir l'intégrité et la disponibilité |
| des opérations et de la confidentialité des données. | des opérations et de la confidentialité des données. |
| Le plan de continuité est bien documenté, disponible et directement | Le plan de continuité est bien documenté, disponible et directement |
| accessible au personnel des services opérationnels et de support. Ce | accessible au personnel des services opérationnels et de support. Ce |
| plan se focalise sur le rétablissement rapide de l'exercice et du | plan se focalise sur le rétablissement rapide de l'exercice et du |
| traitement des fonctions, processus, systèmes et transactions | traitement des fonctions, processus, systèmes et transactions |
| critiques. | critiques. |
| § 2. Le plan de continuité est testé au moins annuellement. Les tests | § 2. Le plan de continuité est testé au moins annuellement. Les tests |
| considèrent un ensemble adéquat de scénarios plausibles, et incluent | considèrent un ensemble adéquat de scénarios plausibles, et incluent |
| des procédures pour vérifier la capacité du personnel (y compris en | des procédures pour vérifier la capacité du personnel (y compris en |
| matière de prise de décision) et des processus de faire face | matière de prise de décision) et des processus de faire face |
| adéquatement aux scénarios proposés. Les plans sont tenus à jour : | adéquatement aux scénarios proposés. Les plans sont tenus à jour : |
| 1° régulièrement pour tenir compte des résultats des tests, des | 1° régulièrement pour tenir compte des résultats des tests, des |
| menaces nouvellement identifiées et des leçons tirées des incidents | menaces nouvellement identifiées et des leçons tirées des incidents |
| antérieurs et des objectifs adaptés de rétablissement des activités ; | antérieurs et des objectifs adaptés de rétablissement des activités ; |
| 2° après tout changement apporté aux systèmes et processus. | 2° après tout changement apporté aux systèmes et processus. |
Art. 16.En situation d'urgence ou d'interruption des activités, le |
Art. 16.En situation d'urgence ou d'interruption des activités, le |
| processeur dispose de et utilise des procédures de communication de | processeur dispose de et utilise des procédures de communication de |
| crise afin d'informer rapidement et de manière appropriée toutes les | crise afin d'informer rapidement et de manière appropriée toutes les |
| parties prenantes qu'elles soient internes (direction, équipes | parties prenantes qu'elles soient internes (direction, équipes |
| techniques, etc.) ou externes (schémas de paiement, marchands, | techniques, etc.) ou externes (schémas de paiement, marchands, |
| détenteurs de cartes, régulateurs, etc.). | détenteurs de cartes, régulateurs, etc.). |
| Section 3. - Politique de gestion des risques opérationnels et de | Section 3. - Politique de gestion des risques opérationnels et de |
| sécurité | sécurité |
Art. 17.Les dispositions de cette Section précisent les modalités des |
Art. 17.Les dispositions de cette Section précisent les modalités des |
| obligations visées à l'article 11, §§ 1er et 4 de la loi. | obligations visées à l'article 11, §§ 1er et 4 de la loi. |
Art. 18.§ 1er. Tout processeur conçoit, développe et met en oeuvre |
Art. 18.§ 1er. Tout processeur conçoit, développe et met en oeuvre |
| sur une base permanente un cadre global de gestion des risques | sur une base permanente un cadre global de gestion des risques |
| opérationnels. Ce cadre est présenté par la direction au conseil | opérationnels. Ce cadre est présenté par la direction au conseil |
| d'administration qui : | d'administration qui : |
| 1° l'approuve formellement ; | 1° l'approuve formellement ; |
| 2° veille à soutenir effectivement sa mise en oeuvre et son évolution, | 2° veille à soutenir effectivement sa mise en oeuvre et son évolution, |
| en prenant les décisions adéquates en termes de moyens tant humains | en prenant les décisions adéquates en termes de moyens tant humains |
| que techniques à y consacrer ; | que techniques à y consacrer ; |
| 3° est impliqué de façon active, notamment au moyen de rapports qui | 3° est impliqué de façon active, notamment au moyen de rapports qui |
| lui sont fournis par la direction, dans la définition du niveau de | lui sont fournis par la direction, dans la définition du niveau de |
| tolérance aux risques de l'entreprise, ainsi que dans la validation | tolérance aux risques de l'entreprise, ainsi que dans la validation |
| des orientations à suivre dans la mise en oeuvre effective des mesures | des orientations à suivre dans la mise en oeuvre effective des mesures |
| de réduction de risques. | de réduction de risques. |
| § 2. Le cadre global de gestion des risques opérationnels est | § 2. Le cadre global de gestion des risques opérationnels est |
| documenté en détails et doit notamment, mais pas exclusivement : | documenté en détails et doit notamment, mais pas exclusivement : |
| 1° détailler la politique globale de gestion des risques opérationnels | 1° détailler la politique globale de gestion des risques opérationnels |
| pour l'ensemble de l'entreprise. A cette fin le processeur établit un | pour l'ensemble de l'entreprise. A cette fin le processeur établit un |
| inventaire complet, ainsi qu'une classification selon leur criticité | inventaire complet, ainsi qu'une classification selon leur criticité |
| respective (a) des fonctions opérationnelles, rôles clés et processus | respective (a) des fonctions opérationnelles, rôles clés et processus |
| sous-jacents, ainsi que leurs interdépendances éventuelles et (b) des | sous-jacents, ainsi que leurs interdépendances éventuelles et (b) des |
| "actifs du système d'information", tels que les systèmes ICT, leurs | "actifs du système d'information", tels que les systèmes ICT, leurs |
| configurations et leurs interconnexions avec d'autres systèmes | configurations et leurs interconnexions avec d'autres systèmes |
| internes et externes ; | internes et externes ; |
| 2° prévoir la mise en oeuvre de politiques spécifiques visant à | 2° prévoir la mise en oeuvre de politiques spécifiques visant à |
| disposer à tout moment des ressources humaines expérimentées, ainsi | disposer à tout moment des ressources humaines expérimentées, ainsi |
| que des procédures et systèmes indispensables afin d'identifier, | que des procédures et systèmes indispensables afin d'identifier, |
| mesurer et gérer l'ensemble des risques opérationnels liés à la | mesurer et gérer l'ensemble des risques opérationnels liés à la |
| prestation de services de processing. A cet effet, le processeur | prestation de services de processing. A cet effet, le processeur |
| veille à définir clairement les responsabilités incombant à chaque | veille à définir clairement les responsabilités incombant à chaque |
| membre du personnel en matière de gestion des risques opérationnels, | membre du personnel en matière de gestion des risques opérationnels, |
| avec une attention particulière pour l'existence d'un processus clair | avec une attention particulière pour l'existence d'un processus clair |
| et efficace de prise de décision en situation d'urgence et/ou période | et efficace de prise de décision en situation d'urgence et/ou période |
| de crise. | de crise. |
| § 3. Le cadre global de gestion des risques opérationnels est revu | § 3. Le cadre global de gestion des risques opérationnels est revu |
| selon une fréquence adéquate, au minimum une fois par an, de sorte que | selon une fréquence adéquate, au minimum une fois par an, de sorte que |
| ses mises à jour intègrent les leçons tirées de sa mise en oeuvre | ses mises à jour intègrent les leçons tirées de sa mise en oeuvre |
| quotidienne. Une mise à jour est également effectuée : | quotidienne. Une mise à jour est également effectuée : |
| 1° à l'issue de chaque incident majeur, de nature opérationnelle ou | 1° à l'issue de chaque incident majeur, de nature opérationnelle ou |
| relatif à la sécurité des services presté ; | relatif à la sécurité des services presté ; |
| 2° préalablement à la mise en production de changements majeurs | 2° préalablement à la mise en production de changements majeurs |
| relatifs à l'infrastructure, aux processus et procédures. | relatifs à l'infrastructure, aux processus et procédures. |
| La Banque peut émettre des directives pour déterminer quels incidents | La Banque peut émettre des directives pour déterminer quels incidents |
| ou changements sont majeurs. Le processeur consulte la Banque en cas | ou changements sont majeurs. Le processeur consulte la Banque en cas |
| de doute sur l'importance de l'incident ou du changement. | de doute sur l'importance de l'incident ou du changement. |
Art. 19.§ 1er. Le processeur s'organise de manière telle qu'il |
Art. 19.§ 1er. Le processeur s'organise de manière telle qu'il |
| surveille de près, sur une base permanente, les menaces et | surveille de près, sur une base permanente, les menaces et |
| vulnérabilités. Il adapte régulièrement les scénarios de risques | vulnérabilités. Il adapte régulièrement les scénarios de risques |
| susceptibles d'impacter ses fonctions opérationnelles, processus et | susceptibles d'impacter ses fonctions opérationnelles, processus et |
| "actifs du système d'information" critiques. | "actifs du système d'information" critiques. |
| § 2. Pour atteindre l'objectif visé au paragraphe premier, le | § 2. Pour atteindre l'objectif visé au paragraphe premier, le |
| processeur effectue et documente des études et évaluations de risques, | processeur effectue et documente des études et évaluations de risques, |
| à une fréquence annuelle ou plus courte si la Banque l'exige, pour | à une fréquence annuelle ou plus courte si la Banque l'exige, pour |
| chaque fonction opérationnelle, processus et "actif du système | chaque fonction opérationnelle, processus et "actif du système |
| d'information" tel qu'identifié et classé par niveau de criticité, | d'information" tel qu'identifié et classé par niveau de criticité, |
| ainsi que préalablement à toute modification majeure apportée à son | ainsi que préalablement à toute modification majeure apportée à son |
| infrastructure, ses processus et ses procédures. Les conclusions des | infrastructure, ses processus et ses procédures. Les conclusions des |
| études et évaluations de risques sont également utilisées afin de | études et évaluations de risques sont également utilisées afin de |
| déterminer dans quelle mesure des adaptations doivent être apportées | déterminer dans quelle mesure des adaptations doivent être apportées |
| aux technologies utilisées, aux mesures de sécurité et aux procédures | aux technologies utilisées, aux mesures de sécurité et aux procédures |
| en place, ainsi qu'aux prestations offertes. Les études et évaluations | en place, ainsi qu'aux prestations offertes. Les études et évaluations |
| de risques, ainsi que leurs conclusions sont tenues à la disposition | de risques, ainsi que leurs conclusions sont tenues à la disposition |
| de la Banque. | de la Banque. |
| La Banque peut émettre des directives pour déterminer quels | La Banque peut émettre des directives pour déterminer quels |
| changements sont majeurs. Le processeur consulte la Banque en cas de | changements sont majeurs. Le processeur consulte la Banque en cas de |
| doute sur l'importance du changement. | doute sur l'importance du changement. |
| § 3. L'identification et la gestion sur le terrain des risques | § 3. L'identification et la gestion sur le terrain des risques |
| opérationnels et de sécurité s'opère à l'aide d'un modèle interne de | opérationnels et de sécurité s'opère à l'aide d'un modèle interne de |
| contrôle et de gestion des risques, tel que celui des trois lignes de | contrôle et de gestion des risques, tel que celui des trois lignes de |
| défense. Ce modèle interne dispose de l'autorité, de l'indépendance et | défense. Ce modèle interne dispose de l'autorité, de l'indépendance et |
| des ressources requises, ainsi que d'un canal de rapportage direct | des ressources requises, ainsi que d'un canal de rapportage direct |
| vers la direction et le conseil d'administration. | vers la direction et le conseil d'administration. |
| Les mesures mises en place pour gérer les risques opérationnels et de | Les mesures mises en place pour gérer les risques opérationnels et de |
| sécurité font l'objet d'un audit régulier, selon une fréquence | sécurité font l'objet d'un audit régulier, selon une fréquence |
| adéquate mené par des auditeurs spécialisés en matière IT et de | adéquate mené par des auditeurs spécialisés en matière IT et de |
| sécurité IT. L'audit est mené par des auditeurs internes mais | sécurité IT. L'audit est mené par des auditeurs internes mais |
| indépendants des fonctions business, ou par des auditeurs externes du | indépendants des fonctions business, ou par des auditeurs externes du |
| processeur. | processeur. |
| CHAPITRE 4. - Continuité des services de traitement des opérations de | CHAPITRE 4. - Continuité des services de traitement des opérations de |
| paiement | paiement |
| Section 1re. - Conformité de l'organisation du processeur | Section 1re. - Conformité de l'organisation du processeur |
Art. 20.Les dispositions de cette Section précisent les modalités des |
Art. 20.Les dispositions de cette Section précisent les modalités des |
| obligations visées à l'article 12, §§ 1er et 2 de la loi. | obligations visées à l'article 12, §§ 1er et 2 de la loi. |
Art. 21.§ 1er. Le processeur fait évaluer par un auditeur interne ou |
Art. 21.§ 1er. Le processeur fait évaluer par un auditeur interne ou |
| externe la conformité de son organisation avec les dispositions de | externe la conformité de son organisation avec les dispositions de |
| l'article 12, §§ 1er et 2 de la loi. La Banque peut si elle l'estime | l'article 12, §§ 1er et 2 de la loi. La Banque peut si elle l'estime |
| nécessaire demander expressément que le processeur fasse réaliser | nécessaire demander expressément que le processeur fasse réaliser |
| cette évaluation par un organisme indépendant (c'est-à-dire qui ne | cette évaluation par un organisme indépendant (c'est-à-dire qui ne |
| fait pas partie de la même entité juridique que le processeur, ni du | fait pas partie de la même entité juridique que le processeur, ni du |
| groupe auquel le processeur appartient) L'organisme indépendant devra | groupe auquel le processeur appartient) L'organisme indépendant devra |
| jouir d'un degré élevé d'expertise et de compétence dans le domaine | jouir d'un degré élevé d'expertise et de compétence dans le domaine |
| concerné et est reconnu comme tel par l'industrie concernée. | concerné et est reconnu comme tel par l'industrie concernée. |
| § 2. Le rapport de conformité est actualisé au minimum tous les trois | § 2. Le rapport de conformité est actualisé au minimum tous les trois |
| ans, ou après chaque adaptation majeure des infrastructures et/ou des | ans, ou après chaque adaptation majeure des infrastructures et/ou des |
| processus du processeur. | processus du processeur. |
| La Banque peut émettre des directives pour déterminer quelles | La Banque peut émettre des directives pour déterminer quelles |
| adaptations sont majeures. Le processeur consulte la Banque en cas de | adaptations sont majeures. Le processeur consulte la Banque en cas de |
| doute sur l'importance de l'adaptation. | doute sur l'importance de l'adaptation. |
| Section 2. - Communication | Section 2. - Communication |
Art. 22.Les dispositions de cette Section précisent les modalités des |
Art. 22.Les dispositions de cette Section précisent les modalités des |
| obligations visées à l'article 12, § 5, de la loi. | obligations visées à l'article 12, § 5, de la loi. |
Art. 23.§ 1er. Le processeur met en place un canal de communication |
Art. 23.§ 1er. Le processeur met en place un canal de communication |
| permettant d'informer les prestataires de services de paiement, les | permettant d'informer les prestataires de services de paiement, les |
| schémas de paiement et les utilisateurs des services de paiement | schémas de paiement et les utilisateurs des services de paiement |
| concernés des indisponibilités de service de traitement des opérations | concernés des indisponibilités de service de traitement des opérations |
| de paiement visées par la loi. Ce canal de communication peut | de paiement visées par la loi. Ce canal de communication peut |
| notamment comprendre une page sur le site internet du processeur | notamment comprendre une page sur le site internet du processeur |
| indiquant entre autres l'état du réseau. | indiquant entre autres l'état du réseau. |
| Les informations transmises peuvent être différenciées en fonction de | Les informations transmises peuvent être différenciées en fonction de |
| leurs destinataires et des besoins de ceux-ci en la matière : | leurs destinataires et des besoins de ceux-ci en la matière : |
| 1° pour les prestataires de services de paiement et pour les schémas | 1° pour les prestataires de services de paiement et pour les schémas |
| de paiement il s'agira notamment des causes et conséquences, ainsi que | de paiement il s'agira notamment des causes et conséquences, ainsi que |
| la durée prévue de la perturbation et le délai de rétablissement total | la durée prévue de la perturbation et le délai de rétablissement total |
| estimé ; | estimé ; |
| 2° pour les utilisateurs des services de paiement, ces informations | 2° pour les utilisateurs des services de paiement, ces informations |
| pourront se limiter à une estimation de la durée prévue de la | pourront se limiter à une estimation de la durée prévue de la |
| perturbation et du délai de rétablissement total. | perturbation et du délai de rétablissement total. |
| Ces informations seront communiquées sans délai dès qu'elles seront | Ces informations seront communiquées sans délai dès qu'elles seront |
| connues du processeur et seront mises à jour régulièrement. | connues du processeur et seront mises à jour régulièrement. |
| Si le processeur est dans l'impossibilité de communiquer ces | Si le processeur est dans l'impossibilité de communiquer ces |
| informations, l'exploitant du schéma de paiement visé à l'article 5 de | informations, l'exploitant du schéma de paiement visé à l'article 5 de |
| la loi se chargera de communiquer aux prestataires de services de | la loi se chargera de communiquer aux prestataires de services de |
| paiement et aux utilisateurs finaux les informations dont il dispose | paiement et aux utilisateurs finaux les informations dont il dispose |
| concernant notamment la durée prévue de la perturbation dans le | concernant notamment la durée prévue de la perturbation dans le |
| traitement de ses opérations et le délai de rétablissement total | traitement de ses opérations et le délai de rétablissement total |
| estimé. | estimé. |
| § 2. Le processeur informe au préalable les prestataires de services | § 2. Le processeur informe au préalable les prestataires de services |
| de paiement, les schémas de paiement et les utilisateurs de services | de paiement, les schémas de paiement et les utilisateurs de services |
| de paiement, du canal de communication qui sera utilisé en priorité | de paiement, du canal de communication qui sera utilisé en priorité |
| aux fins visées au paragraphe premier, ainsi que d'un éventuel canal | aux fins visées au paragraphe premier, ainsi que d'un éventuel canal |
| de réserve ou de secours. | de réserve ou de secours. |
| CHAPITRE 5. - Notification des incidents et communication de l'analyse | CHAPITRE 5. - Notification des incidents et communication de l'analyse |
| approfondie | approfondie |
| Section 1re. - Modalités de notification des incidents et informations | Section 1re. - Modalités de notification des incidents et informations |
| à fournir | à fournir |
Art. 24.Les dispositions de cette Section précisent les modalités des |
Art. 24.Les dispositions de cette Section précisent les modalités des |
| obligations visées à l'article 13, §§ 1er et 2, de la loi. | obligations visées à l'article 13, §§ 1er et 2, de la loi. |
Art. 25.§ 1er. Le processeur notifie la Banque de toute |
Art. 25.§ 1er. Le processeur notifie la Banque de toute |
| indisponibilité (au sens de la loi) des services de traitement des | indisponibilité (au sens de la loi) des services de traitement des |
| opérations de paiement. Cette notification peut être communiquée par | opérations de paiement. Cette notification peut être communiquée par |
| téléphone ou par courrier électronique dans les délais prévus à | téléphone ou par courrier électronique dans les délais prévus à |
| l'article 13, § 1er, de la loi, et est en tout cas suivie par une | l'article 13, § 1er, de la loi, et est en tout cas suivie par une |
| deuxième notification par courrier électronique pour confirmation dans | deuxième notification par courrier électronique pour confirmation dans |
| les 24 heures ouvrables après la première notification. Une liste de | les 24 heures ouvrables après la première notification. Une liste de |
| personnes de contact est convenue avec la Banque et fait l'objet d'une | personnes de contact est convenue avec la Banque et fait l'objet d'une |
| mise à jour à chaque changement de personne de contact. | mise à jour à chaque changement de personne de contact. |
| § 2. Les informations à transmettre lors des notifications de | § 2. Les informations à transmettre lors des notifications de |
| l'indisponibilité visées au paragraphe premier, comprennent au minimum | l'indisponibilité visées au paragraphe premier, comprennent au minimum |
| : | : |
| 1° la date et l'heure de détection et de début de l'indisponibilité ; | 1° la date et l'heure de détection et de début de l'indisponibilité ; |
| 2° la description de l'incident ayant conduit à l'indisponibilité ; | 2° la description de l'incident ayant conduit à l'indisponibilité ; |
| 3° le ou les schéma(s) de paiement concerné(s) ; | 3° le ou les schéma(s) de paiement concerné(s) ; |
| 4° le volume de transactions concerné ; | 4° le volume de transactions concerné ; |
| 5° la durée estimée ou mesurée, si l'indisponibilité a pris fin avant | 5° la durée estimée ou mesurée, si l'indisponibilité a pris fin avant |
| sa notification. | sa notification. |
| Si certaines de ces informations ne sont pas disponibles au moment de | Si certaines de ces informations ne sont pas disponibles au moment de |
| la notification, elles sont transmises dès qu'elles seront connues du | la notification, elles sont transmises dès qu'elles seront connues du |
| processeur. | processeur. |
| Section 2. - Communication de l'analyse approfondie d'un incident | Section 2. - Communication de l'analyse approfondie d'un incident |
Art. 26.Les dispositions de cette Section précisent les modalités des |
Art. 26.Les dispositions de cette Section précisent les modalités des |
| obligations visées à l'article 13, § 4, de la loi. | obligations visées à l'article 13, § 4, de la loi. |
Art. 27.§ 1er. L'analyse approfondie d'un incident qui constitue une |
Art. 27.§ 1er. L'analyse approfondie d'un incident qui constitue une |
| infraction aux dispositions des articles 11 et 12 de la loi, est | infraction aux dispositions des articles 11 et 12 de la loi, est |
| transmise à la Banque dès qu'elle est réalisée et validée par le | transmise à la Banque dès qu'elle est réalisée et validée par le |
| processeur et au plus tard dans les deux semaines après la résolution | processeur et au plus tard dans les deux semaines après la résolution |
| de l'incident. | de l'incident. |
| Si la nature et la complexité de l'incident ne permettent pas d'en | Si la nature et la complexité de l'incident ne permettent pas d'en |
| réaliser une analyse suffisamment détaillée dans le délai visé à | réaliser une analyse suffisamment détaillée dans le délai visé à |
| l'alinéa précédent, la Banque et le processeur peuvent convenir d'un | l'alinéa précédent, la Banque et le processeur peuvent convenir d'un |
| délai supplémentaire, après communication d'une analyse intermédiaire. | délai supplémentaire, après communication d'une analyse intermédiaire. |
| § 2. L'analyse approfondie indique également les mesures que le | § 2. L'analyse approfondie indique également les mesures que le |
| processeur envisage de prendre pour éviter que l'incident ne se | processeur envisage de prendre pour éviter que l'incident ne se |
| reproduise et le délai endéans lequel elles seront mises en place. | reproduise et le délai endéans lequel elles seront mises en place. |
| § 3. Le rapportage de l'analyse approfondie peut, le cas échéant et | § 3. Le rapportage de l'analyse approfondie peut, le cas échéant et |
| après accord de la Banque, être aligné avec d'autres rapportages | après accord de la Banque, être aligné avec d'autres rapportages |
| d'incidents qui s'imposent au processeur en vertu d'autres | d'incidents qui s'imposent au processeur en vertu d'autres |
| législations. | législations. |
| CHAPITRE 6. - Dispositions diverses | CHAPITRE 6. - Dispositions diverses |
Art. 28.Tout processeur examine et répond aux questions reprises dans |
Art. 28.Tout processeur examine et répond aux questions reprises dans |
| l'annexe, pour valider sa conformité avec les Chapitres 3 et 4 de ce | l'annexe, pour valider sa conformité avec les Chapitres 3 et 4 de ce |
| règlement. Ces questions sont fournies à titre de guidance. | règlement. Ces questions sont fournies à titre de guidance. |
Art. 29.Le présent règlement entre en vigueur à la date d'entrée en |
Art. 29.Le présent règlement entre en vigueur à la date d'entrée en |
| vigueur de l'arrêté royal qui l'approuve. | vigueur de l'arrêté royal qui l'approuve. |
| Bruxelles, le 20 novembre 2018. | Bruxelles, le 20 novembre 2018. |
| Le Gouverneur, | Le Gouverneur, |
| J. SMETS | J. SMETS |
| Annexe | Annexe |
| Afin d'évaluer sa conformité aux Chapitres 3 et 4 de ce règlement, le | Afin d'évaluer sa conformité aux Chapitres 3 et 4 de ce règlement, le |
| processeur examine et répond aux questions suivantes : | processeur examine et répond aux questions suivantes : |
| 1. DETECTION ET GESTION DES RISQUES | 1. DETECTION ET GESTION DES RISQUES |
| Cadre de gestion des risques à l'échelle de l'entreprise | Cadre de gestion des risques à l'échelle de l'entreprise |
| - Quels sont les processus et les systèmes du processeur pour recenser | - Quels sont les processus et les systèmes du processeur pour recenser |
| et documenter ses risques, y compris les risques opérationnels, | et documenter ses risques, y compris les risques opérationnels, |
| financiers et de ressources humaines pertinents ? Quels risques le | financiers et de ressources humaines pertinents ? Quels risques le |
| processeur a-t-il recensés et documentés à l'aide de ses processus et | processeur a-t-il recensés et documentés à l'aide de ses processus et |
| de ses systèmes ? | de ses systèmes ? |
| - Quels sont les processus et les systèmes du processeur pour gérer | - Quels sont les processus et les systèmes du processeur pour gérer |
| ces risques ? Comment le processeur décide-t-il d'accepter les risques | ces risques ? Comment le processeur décide-t-il d'accepter les risques |
| résiduels ? | résiduels ? |
| - Comment le processeur réévalue-t-il ses risques et le caractère | - Comment le processeur réévalue-t-il ses risques et le caractère |
| adéquat de son cadre de gestion des risques pour faire face aux | adéquat de son cadre de gestion des risques pour faire face aux |
| risques recensés ? A quelle fréquence cette réévaluation est-elle | risques recensés ? A quelle fréquence cette réévaluation est-elle |
| effectuée ? | effectuée ? |
| - Comment le processeur répond-il aux exigences légales ou | - Comment le processeur répond-il aux exigences légales ou |
| réglementaires ou aux changements d'exigences ? | réglementaires ou aux changements d'exigences ? |
| - Comment le processeur évalue-t-il les risques liés à ses relations | - Comment le processeur évalue-t-il les risques liés à ses relations |
| avec les utilisateurs ? | avec les utilisateurs ? |
| - Comment le processeur intègre-t-il la gestion des risques dans son | - Comment le processeur intègre-t-il la gestion des risques dans son |
| processus décisionnel stratégique, y compris l'évaluation des risques | processus décisionnel stratégique, y compris l'évaluation des risques |
| commerciaux généraux et de la situation financière ? | commerciaux généraux et de la situation financière ? |
| Dépendances à l'égard des tiers | Dépendances à l'égard des tiers |
| - Comment le processeur recense-t-il et surveille-t-il les risques que | - Comment le processeur recense-t-il et surveille-t-il les risques que |
| les dépendances à l'égard de fournisseurs tiers pourraient poser pour | les dépendances à l'égard de fournisseurs tiers pourraient poser pour |
| ses activités ? | ses activités ? |
| - Comment le processeur évalue-t-il que la sécurité, la fiabilité et | - Comment le processeur évalue-t-il que la sécurité, la fiabilité et |
| la résilience de ses activités ne sont pas réduites par les | la résilience de ses activités ne sont pas réduites par les |
| dépendances à l'égard de tiers ? | dépendances à l'égard de tiers ? |
| - Comment le processeur gère-t-il et traite-t-il toute réduction non | - Comment le processeur gère-t-il et traite-t-il toute réduction non |
| acceptée en matière de sécurité, de fiabilité et de résilience de ses | acceptée en matière de sécurité, de fiabilité et de résilience de ses |
| activités découlant de ses dépendances à l'égard de tiers ? | activités découlant de ses dépendances à l'égard de tiers ? |
| Gouvernance du cadre de gestion des risques à l'échelle de | Gouvernance du cadre de gestion des risques à l'échelle de |
| l'entreprise | l'entreprise |
| - Quelles sont les modalités de gouvernance du processeur pour le | - Quelles sont les modalités de gouvernance du processeur pour le |
| recensement et la gestion des risques ? Quelles sont les chaînes de | recensement et la gestion des risques ? Quelles sont les chaînes de |
| responsabilité au sein du processeur en matière de gestion des risques | responsabilité au sein du processeur en matière de gestion des risques |
| ? A quelle fréquence l'efficacité de la fonction d'audit interne fait | ? A quelle fréquence l'efficacité de la fonction d'audit interne fait |
| - elle l'objet d'un examen ? | - elle l'objet d'un examen ? |
| - Comment le conseil d'administration du processeur examine-t-il et | - Comment le conseil d'administration du processeur examine-t-il et |
| approuve-t-il explicitement le cadre de gestion des risques à | approuve-t-il explicitement le cadre de gestion des risques à |
| l'échelle de l'entreprise ? | l'échelle de l'entreprise ? |
| Fonction d'audit interne | Fonction d'audit interne |
| - Comment le processeur assure-t-il l'indépendance et le | - Comment le processeur assure-t-il l'indépendance et le |
| professionnalisme de la fonction d'audit ? A quelles pratiques | professionnalisme de la fonction d'audit ? A quelles pratiques |
| acceptées à l'échelle internationale qui régissent la profession | acceptées à l'échelle internationale qui régissent la profession |
| d'auditeur la fonction d'audit interne adhère-t-elle ? | d'auditeur la fonction d'audit interne adhère-t-elle ? |
| - Quels sont les mécanismes de reporting permettant à la fonction | - Quels sont les mécanismes de reporting permettant à la fonction |
| d'audit interne de communiquer ses constatations au conseil | d'audit interne de communiquer ses constatations au conseil |
| d'administration et, le cas échéant, à son autorité de contrôle ou | d'administration et, le cas échéant, à son autorité de contrôle ou |
| d'oversight ? | d'oversight ? |
| 2. SECURITE DE L'INFORMATION | 2. SECURITE DE L'INFORMATION |
| Cadre de sécurité de l'information | Cadre de sécurité de l'information |
| - Quel est le cadre de sécurité de l'information du processeur à | - Quel est le cadre de sécurité de l'information du processeur à |
| l'échelle de l'entreprise permettant de fournir une orientation | l'échelle de l'entreprise permettant de fournir une orientation |
| générale et globale sur les solutions et les pratiques destinées à | générale et globale sur les solutions et les pratiques destinées à |
| faire face aux risques de sécurité physique et de cybersécurité ? | faire face aux risques de sécurité physique et de cybersécurité ? |
| Comment ce cadre englobe-t-il les politiques et les procédures | Comment ce cadre englobe-t-il les politiques et les procédures |
| destinées à : | destinées à : |
| 1° la catégorisation des actifs (systèmes et services) selon la | 1° la catégorisation des actifs (systèmes et services) selon la |
| confidentialité, l'intégrité et la disponibilité ; | confidentialité, l'intégrité et la disponibilité ; |
| 2° le recensement continu des menaces internes et externes ; | 2° le recensement continu des menaces internes et externes ; |
| 3° la sélection, la mise en oeuvre et la documentation des contrôles | 3° la sélection, la mise en oeuvre et la documentation des contrôles |
| de sécurité afin d'atténuer les risques et les vulnérabilités recensés | de sécurité afin d'atténuer les risques et les vulnérabilités recensés |
| ; et | ; et |
| 4° la gouvernance adéquate de toutes les activités de gestion des | 4° la gouvernance adéquate de toutes les activités de gestion des |
| risques en matière de sécurité ? | risques en matière de sécurité ? |
| - Comment le processeur intègre-t-il les normes internationales, | - Comment le processeur intègre-t-il les normes internationales, |
| nationales et sectorielles pertinentes dans ses politiques et ses | nationales et sectorielles pertinentes dans ses politiques et ses |
| procédures ? | procédures ? |
| - Quelles sources de risques liés à la sécurité de l'information le | - Quelles sources de risques liés à la sécurité de l'information le |
| processeur a-t-il recensées en ce qui concerne ses services critiques | processeur a-t-il recensées en ce qui concerne ses services critiques |
| ? Comment le processeur a-t-il traité ces risques ? | ? Comment le processeur a-t-il traité ces risques ? |
| - Quel est le rôle joué par le conseil d'administration dans le cadre | - Quel est le rôle joué par le conseil d'administration dans le cadre |
| de sécurité de l'information du processeur ? Le conseil | de sécurité de l'information du processeur ? Le conseil |
| d'administration examine-t-il et approuve-t-il explicitement ce cadre | d'administration examine-t-il et approuve-t-il explicitement ce cadre |
| ? A quelle fréquence le conseil d'administration révise-t-il ce cadre | ? A quelle fréquence le conseil d'administration révise-t-il ce cadre |
| ? | ? |
| - Comment le conseil d'administration du processeur a-t-il approuvé | - Comment le conseil d'administration du processeur a-t-il approuvé |
| les rôles et les responsabilités clés de la haute direction en matière | les rôles et les responsabilités clés de la haute direction en matière |
| de sécurité de l'information ? | de sécurité de l'information ? |
| Politiques et procédures de sécurité de l'information | Politiques et procédures de sécurité de l'information |
| - Quelles sont les politiques et procédures utilisées pour prévenir | - Quelles sont les politiques et procédures utilisées pour prévenir |
| l'accès non autorisé et la divulgation non autorisée de l'information | l'accès non autorisé et la divulgation non autorisée de l'information |
| ? En particulier, quelles sont les politiques et les procédures | ? En particulier, quelles sont les politiques et les procédures |
| concernant les aspects suivants : | concernant les aspects suivants : |
| 1° l'octroi et la suppression d'autorisations aux utilisateurs, y | 1° l'octroi et la suppression d'autorisations aux utilisateurs, y |
| compris l'accès logique et l'accès physique ; | compris l'accès logique et l'accès physique ; |
| 2° la recertification périodique des privilèges d'utilisateur ; | 2° la recertification périodique des privilèges d'utilisateur ; |
| 3° l'octroi, l'utilisation et le contrôle des comptes administrateurs | 3° l'octroi, l'utilisation et le contrôle des comptes administrateurs |
| (ou hautement privilégiés) ; | (ou hautement privilégiés) ; |
| 4° la prévention des atteintes à la confidentialité des données ; | 4° la prévention des atteintes à la confidentialité des données ; |
| 5° la protection de l'intégrité des systèmes contre les attaques | 5° la protection de l'intégrité des systèmes contre les attaques |
| logiques ou physiques ; et | logiques ou physiques ; et |
| 6° l'intégration de contrôles dans des applications fournies au schéma | 6° l'intégration de contrôles dans des applications fournies au schéma |
| de paiement pour prévenir les erreurs, la perte, la modification non | de paiement pour prévenir les erreurs, la perte, la modification non |
| autorisée ou l'utilisation abusive de l'information ? | autorisée ou l'utilisation abusive de l'information ? |
| - Comment le processeur s'assure-t-il que tous les employés et toutes | - Comment le processeur s'assure-t-il que tous les employés et toutes |
| les tierces parties concernées sont informés de leurs responsabilités, | les tierces parties concernées sont informés de leurs responsabilités, |
| ainsi que des menaces à la sécurité, telles que définies dans le cadre | ainsi que des menaces à la sécurité, telles que définies dans le cadre |
| de sécurité de l'information ? | de sécurité de l'information ? |
| - Quelles sont les politiques et procédures utilisées pour assurer la | - Quelles sont les politiques et procédures utilisées pour assurer la |
| confidentialité, l'intégrité et la non-répudiation des données, y | confidentialité, l'intégrité et la non-répudiation des données, y |
| compris lorsqu'elles sont en transit sur les réseaux et stockées chez | compris lorsqu'elles sont en transit sur les réseaux et stockées chez |
| le processeur ? | le processeur ? |
| - Quelles sont les politiques et procédures utilisées pour détecter | - Quelles sont les politiques et procédures utilisées pour détecter |
| les incidents liés à la sécurité de l'information, y réagir et | les incidents liés à la sécurité de l'information, y réagir et |
| rétablir la situation ? | rétablir la situation ? |
| Suivi de la conformité à la sécurité | Suivi de la conformité à la sécurité |
| - Comment le processeur vérifie-t-il la conformité à son cadre de | - Comment le processeur vérifie-t-il la conformité à son cadre de |
| sécurité de l'information et surveille-t-il l'efficacité des contrôles | sécurité de l'information et surveille-t-il l'efficacité des contrôles |
| de sécurité ? Plus précisément, ces politiques et procédures | de sécurité ? Plus précisément, ces politiques et procédures |
| comprennent-elles une analyse de vulnérabilité et des tests de | comprennent-elles une analyse de vulnérabilité et des tests de |
| pénétration au niveau de l'infrastructure et des applications ? | pénétration au niveau de l'infrastructure et des applications ? |
| - Dans quelle mesure le cadre de sécurité de l'information du | - Dans quelle mesure le cadre de sécurité de l'information du |
| processeur est-il assujetti à un audit interne et externe ? | processeur est-il assujetti à un audit interne et externe ? |
| - Comment et à quelle fréquence le conseil d'administration du | - Comment et à quelle fréquence le conseil d'administration du |
| processeur est-il informé des principales constatations des activités | processeur est-il informé des principales constatations des activités |
| de suivi de la conformité en matière de sécurité ? | de suivi de la conformité en matière de sécurité ? |
| Planification des capacités | Planification des capacités |
| - Quelles sont les politiques du processeur en matière de | - Quelles sont les politiques du processeur en matière de |
| planification des capacités ? Comment le processeur surveille-t-il et | planification des capacités ? Comment le processeur surveille-t-il et |
| ajuste-t-il l'utilisation des ressources pour répondre aux besoins du | ajuste-t-il l'utilisation des ressources pour répondre aux besoins du |
| schéma de paiement et, le cas échéant, de ses participants, même au | schéma de paiement et, le cas échéant, de ses participants, même au |
| cours de périodes de tensions sur les marchés ? Comment le processeur | cours de périodes de tensions sur les marchés ? Comment le processeur |
| aborde-t-il les situations où les besoins du schéma de paiement ou des | aborde-t-il les situations où les besoins du schéma de paiement ou des |
| participants dépassent la capacité opérationnelle ? | participants dépassent la capacité opérationnelle ? |
| - Comment le processeur examine-t-il, audite-t-il et teste-t-il | - Comment le processeur examine-t-il, audite-t-il et teste-t-il |
| l'évolutivité et l'adéquation de sa capacité à gérer, à tout le moins, | l'évolutivité et l'adéquation de sa capacité à gérer, à tout le moins, |
| les volumes de tension projetés qui sont recensés par un schéma de | les volumes de tension projetés qui sont recensés par un schéma de |
| paiement donnée et, le cas échéant, les volumes de tension projetés | paiement donnée et, le cas échéant, les volumes de tension projetés |
| concomitants lorsqu'il agit pour plusieurs schémas de paiement ? A | concomitants lorsqu'il agit pour plusieurs schémas de paiement ? A |
| quelle fréquence le processeur effectue-t-il ces examens, audits et | quelle fréquence le processeur effectue-t-il ces examens, audits et |
| tests ? | tests ? |
| Gestion du changement | Gestion du changement |
| - Comment les politiques et procédures du processeur en matière de | - Comment les politiques et procédures du processeur en matière de |
| gestion du changement et de gestion de projet atténuent-elles les | gestion du changement et de gestion de projet atténuent-elles les |
| risques que des changements nuisent fortuitement à la sécurité et à la | risques que des changements nuisent fortuitement à la sécurité et à la |
| fiabilité des activités du processeur ? | fiabilité des activités du processeur ? |
| - Comment les politiques de gestion du changement élaborées par le | - Comment les politiques de gestion du changement élaborées par le |
| processeur définissent-elles les responsabilités et procédures | processeur définissent-elles les responsabilités et procédures |
| officielles de gestion pour la planification et les tests des | officielles de gestion pour la planification et les tests des |
| changements, y compris en matière de tests de régression, de | changements, y compris en matière de tests de régression, de |
| performance et de sécurité ? | performance et de sécurité ? |
| - Dans quelle mesure les changements ayant une incidence sur les | - Dans quelle mesure les changements ayant une incidence sur les |
| utilisateurs sont-ils soumis à la consultation du schéma de paiement | utilisateurs sont-ils soumis à la consultation du schéma de paiement |
| et testés avec la participation de ce dernier et, le cas échéant, de | et testés avec la participation de ce dernier et, le cas échéant, de |
| ses participants ? | ses participants ? |
| 3. FIABILITE ET RESILIENCE | 3. FIABILITE ET RESILIENCE |
| Des activités disponibles, fiables et résilientes | Des activités disponibles, fiables et résilientes |
| - Quels sont les objectifs de disponibilité, de fiabilité et de | - Quels sont les objectifs de disponibilité, de fiabilité et de |
| résilience opérationnelles du processeur et comment sont-ils | résilience opérationnelles du processeur et comment sont-ils |
| documentés ? Comment ces objectifs répondent-ils aux besoins du schéma | documentés ? Comment ces objectifs répondent-ils aux besoins du schéma |
| de paiement et, le cas échéant, de ses participants ou les | de paiement et, le cas échéant, de ses participants ou les |
| dépassent-ils ? | dépassent-ils ? |
| - Comment les politiques et les procédures du processeur étayent-elles | - Comment les politiques et les procédures du processeur étayent-elles |
| ses objectifs de disponibilité, de fiabilité et de résilience ? | ses objectifs de disponibilité, de fiabilité et de résilience ? |
| - Comment le processeur s'assure-t-il qu'il fournit des activités | - Comment le processeur s'assure-t-il qu'il fournit des activités |
| fiables et résilientes au schéma de paiement et, le cas échéant, à ses | fiables et résilientes au schéma de paiement et, le cas échéant, à ses |
| participants ? En particulier, comment s'assure-t-il que ses | participants ? En particulier, comment s'assure-t-il que ses |
| différents sites d'exploitation présentent des profils de risque | différents sites d'exploitation présentent des profils de risque |
| suffisamment différents ? Comment s'assure-t-il que ses sites | suffisamment différents ? Comment s'assure-t-il que ses sites |
| d'exploitation sont adéquatement protégés contre les catastrophes | d'exploitation sont adéquatement protégés contre les catastrophes |
| naturelles, les pannes d'électricité et les actions humaines | naturelles, les pannes d'électricité et les actions humaines |
| préjudiciables ? Comment s'assure-t-il que ses sites de sauvegarde | préjudiciables ? Comment s'assure-t-il que ses sites de sauvegarde |
| disposent d'une capacité suffisante pour traiter les services | disposent d'une capacité suffisante pour traiter les services |
| critiques pendant une période prolongée ? | critiques pendant une période prolongée ? |
| Suivi des activités et gestion des incidents | Suivi des activités et gestion des incidents |
| - Comment le processeur surveille-t-il ses activités ? Comment | - Comment le processeur surveille-t-il ses activités ? Comment |
| vérifie-t-il s'il atteint les objectifs de fiabilité et de résilience | vérifie-t-il s'il atteint les objectifs de fiabilité et de résilience |
| du schéma de paiement ? Comment ce processus est-il documenté et | du schéma de paiement ? Comment ce processus est-il documenté et |
| comment le maintien de sa mise en oeuvre est-il assuré ? | comment le maintien de sa mise en oeuvre est-il assuré ? |
| - Comment le processeur recense-t-il, enregistre-t-il, | - Comment le processeur recense-t-il, enregistre-t-il, |
| catégorise-t-il, analyse-t-il et gère-t-il les incidents opérationnels | catégorise-t-il, analyse-t-il et gère-t-il les incidents opérationnels |
| ? Comment ces incidents sont-ils signalés à la haute direction ? | ? Comment ces incidents sont-ils signalés à la haute direction ? |
| Comment le processeur informe-t-il le schéma de paiement et, le cas | Comment le processeur informe-t-il le schéma de paiement et, le cas |
| échéant, les autorités compétentes de ces incidents ? Quel est le | échéant, les autorités compétentes de ces incidents ? Quel est le |
| processus permettant de faire passer un incident au statut de crise ? | processus permettant de faire passer un incident au statut de crise ? |
| - Quel est le processus d'analyse post mortem des incidents et comment | - Quel est le processus d'analyse post mortem des incidents et comment |
| ce processus est-il conçu pour assurer la détermination de la cause | ce processus est-il conçu pour assurer la détermination de la cause |
| profonde des incidents et pour éviter qu'ils ne se reproduisent ? | profonde des incidents et pour éviter qu'ils ne se reproduisent ? |
| Quelle est la contribution du schéma de paiement à cette analyse post | Quelle est la contribution du schéma de paiement à cette analyse post |
| mortem ? | mortem ? |
| Continuité des activités | Continuité des activités |
| - Quels sont les objectifs du processeur en matière de continuité des | - Quels sont les objectifs du processeur en matière de continuité des |
| activités et de reprise après sinistre ? Comment ces objectifs | activités et de reprise après sinistre ? Comment ces objectifs |
| sont-ils fixés par le conseil d'administration et la haute direction ? | sont-ils fixés par le conseil d'administration et la haute direction ? |
| A quelle fréquence ces objectifs sont-ils réexaminés par le conseil | A quelle fréquence ces objectifs sont-ils réexaminés par le conseil |
| d'administration et la haute direction ? | d'administration et la haute direction ? |
| - Comment les plans de continuité des activités et de reprise après | - Comment les plans de continuité des activités et de reprise après |
| sinistre élaborés par le processeur garantissent-ils la reprise en | sinistre élaborés par le processeur garantissent-ils la reprise en |
| temps opportun de ses services critiques en cas d'interruption de | temps opportun de ses services critiques en cas d'interruption de |
| service, y compris en cas de perturbation à grande échelle ? Que | service, y compris en cas de perturbation à grande échelle ? Que |
| prévoient ces plans en matière de perte potentielle de données à la | prévoient ces plans en matière de perte potentielle de données à la |
| suite d'une interruption de service ? | suite d'une interruption de service ? |
| - Comment le processeur détermine-t-il les scénarios de perturbation | - Comment le processeur détermine-t-il les scénarios de perturbation |
| potentielle du service et comment le schéma de paiement participe-t-il | potentielle du service et comment le schéma de paiement participe-t-il |
| à ce processus ? | à ce processus ? |
| - Que prévoient les plans du processeur en matière de continuité des | - Que prévoient les plans du processeur en matière de continuité des |
| activités et de reprise après sinistre pour ce qui concerne les | activités et de reprise après sinistre pour ce qui concerne les |
| cyberattaques ? Comment ces plans garantissent-ils que le processeur | cyberattaques ? Comment ces plans garantissent-ils que le processeur |
| aura la capacité de déterminer et de gérer l'incidence d'une | aura la capacité de déterminer et de gérer l'incidence d'une |
| cyberattaque, y compris en matière de rétablissement des systèmes | cyberattaque, y compris en matière de rétablissement des systèmes |
| après un compromis ? | après un compromis ? |
| - Quel est le plan de communication de crise du processeur pour faire | - Quel est le plan de communication de crise du processeur pour faire |
| face aux interruptions de service ? En particulier, comment le plan | face aux interruptions de service ? En particulier, comment le plan |
| aborde-t-il les communications et l'échange d'informations avec le | aborde-t-il les communications et l'échange d'informations avec le |
| schéma de paiement et les autorités compétentes ? | schéma de paiement et les autorités compétentes ? |
| - Comment les plans de continuité des activités et de reprise après | - Comment les plans de continuité des activités et de reprise après |
| sinistre sont-ils testés et à quelle fréquence ? Quels sont les | sinistre sont-ils testés et à quelle fréquence ? Quels sont les |
| scénarios testés, et incluent-ils des cyberattaques ? Comment les | scénarios testés, et incluent-ils des cyberattaques ? Comment les |
| résultats de ces tests sont-ils évalués et audités ? Comment le schéma | résultats de ces tests sont-ils évalués et audités ? Comment le schéma |
| de paiement et, le cas échéant, ses participants, contribuent-ils aux | de paiement et, le cas échéant, ses participants, contribuent-ils aux |
| tests de simulation de continuité des activités ? | tests de simulation de continuité des activités ? |
| - Qu'est-il prévu pour l'évaluation régulière, en fonction des | - Qu'est-il prévu pour l'évaluation régulière, en fonction des |
| attentes du schéma de paiement, des plans du processeur en matière de | attentes du schéma de paiement, des plans du processeur en matière de |
| continuité des activités et de reprise après sinistre ? | continuité des activités et de reprise après sinistre ? |
| 4. PLANIFICATION TECHNOLOGIQUE | 4. PLANIFICATION TECHNOLOGIQUE |
| Politiques, procédures et modalités de gouvernance en matière de | Politiques, procédures et modalités de gouvernance en matière de |
| planification technologique | planification technologique |
| - Quelles sont les politiques, les procédures et les modalités de | - Quelles sont les politiques, les procédures et les modalités de |
| gouvernance du processeur en matière de planification technologique ? | gouvernance du processeur en matière de planification technologique ? |
| Que prévoient ces politiques, procédures et modalités de gouvernance | Que prévoient ces politiques, procédures et modalités de gouvernance |
| concernant le cycle de vie en matière d'utilisation des technologies | concernant le cycle de vie en matière d'utilisation des technologies |
| et de choix des normes technologiques ? | et de choix des normes technologiques ? |
| - A quelle fréquence le processeur évalue-t-il ses risques | - A quelle fréquence le processeur évalue-t-il ses risques |
| technologiques ? Comment ces évaluations tiennent-elles compte de la | technologiques ? Comment ces évaluations tiennent-elles compte de la |
| fiabilité et de la résilience, des risques d'obsolescence et des | fiabilité et de la résilience, des risques d'obsolescence et des |
| risques de sécurité de l'information liés à l'utilisation de sa | risques de sécurité de l'information liés à l'utilisation de sa |
| technologie ? Comment ces évaluations tiennent-elles compte des | technologie ? Comment ces évaluations tiennent-elles compte des |
| risques technologiques susceptibles de nuire au schéma de paiement et, | risques technologiques susceptibles de nuire au schéma de paiement et, |
| le cas échéant, à ses participants ? | le cas échéant, à ses participants ? |
| Politiques, procédures et modalités de gouvernance en matière de | Politiques, procédures et modalités de gouvernance en matière de |
| gestion des changements technologiques | gestion des changements technologiques |
| - Quelles sont les politiques, les procédures et les modalités de | - Quelles sont les politiques, les procédures et les modalités de |
| gouvernance du processeur en matière de mise en oeuvre des changements | gouvernance du processeur en matière de mise en oeuvre des changements |
| à apporter aux technologies utilisées ? Comment ces politiques et ces | à apporter aux technologies utilisées ? Comment ces politiques et ces |
| procédures abordent-elles la gestion des versions, l'utilisation | procédures abordent-elles la gestion des versions, l'utilisation |
| cohérente de la technologie et le maintien de la sécurité et de la | cohérente de la technologie et le maintien de la sécurité et de la |
| stabilité de la technologie ? | stabilité de la technologie ? |
| - Comment ces politiques, ces procédures et ces modalités de | - Comment ces politiques, ces procédures et ces modalités de |
| gouvernance garantissent-elles que les risques liés aux changements | gouvernance garantissent-elles que les risques liés aux changements |
| technologiques sont recensés et atténués de façon adéquate, afin | technologiques sont recensés et atténués de façon adéquate, afin |
| d'éviter que ces changements puissent nuire à la fiabilité et à la | d'éviter que ces changements puissent nuire à la fiabilité et à la |
| résilience des services critiques du fournisseur ? Comment et à quelle | résilience des services critiques du fournisseur ? Comment et à quelle |
| fréquence le processeur évalue-t-il et teste-t-il les processus | fréquence le processeur évalue-t-il et teste-t-il les processus |
| utilisés pour mettre en oeuvre les changements technologiques ? | utilisés pour mettre en oeuvre les changements technologiques ? |
| - Comment le processeur consulte-t-il le schéma de paiement et, le cas | - Comment le processeur consulte-t-il le schéma de paiement et, le cas |
| échéant, ses participants, au sujet de toute proposition de changement | échéant, ses participants, au sujet de toute proposition de changement |
| important à apporter à sa technologie qui pourrait avoir une incidence | important à apporter à sa technologie qui pourrait avoir une incidence |
| importante sur le schéma de paiement ? | importante sur le schéma de paiement ? |
| - Comment le service critique fait-il intervenir le schéma de paiement | - Comment le service critique fait-il intervenir le schéma de paiement |
| lorsque cela est opportun lors de la mise en oeuvre d'un changement | lorsque cela est opportun lors de la mise en oeuvre d'un changement |
| technologique ? Par exemple, le schéma de paiement participe-t-il aux | technologique ? Par exemple, le schéma de paiement participe-t-il aux |
| tests des changements technologiques de façon appropriée ? | tests des changements technologiques de façon appropriée ? |
| Vu pour être annexé à Notre arrêté du 25 janvier 2019 portant | Vu pour être annexé à Notre arrêté du 25 janvier 2019 portant |
| approbation du règlement de la Banque nationale de Belgique du 20 | approbation du règlement de la Banque nationale de Belgique du 20 |
| novembre 2018 précisant les modalités de certaines obligations de la | novembre 2018 précisant les modalités de certaines obligations de la |
| loi du 24 mars 2017 relative à la surveillance des processeurs | loi du 24 mars 2017 relative à la surveillance des processeurs |
| d'opérations de paiement. | d'opérations de paiement. |
| PHILIPPE | PHILIPPE |
| Par le Roi : | Par le Roi : |
| Le Vice-Premier Ministre et Ministre des Finances, | Le Vice-Premier Ministre et Ministre des Finances, |
| A. DE CROO | A. DE CROO |