← Retour vers "Arrêté royal portant approbation du règlement de la Banque nationale de Belgique du 20 novembre 2018 précisant les modalités de certaines obligations de la loi du 24 mars 2017 relative à la surveillance des processeurs d'opérations de paiement "
| Arrêté royal portant approbation du règlement de la Banque nationale de Belgique du 20 novembre 2018 précisant les modalités de certaines obligations de la loi du 24 mars 2017 relative à la surveillance des processeurs d'opérations de paiement | Koninklijk besluit tot goedkeuring van het reglement van de Nationale Bank van België van 20 november 2018 tot vaststelling van de modaliteiten van bepaalde verplichtingen van de wet van 24 maart 2017 houdende het toezicht op verwerkers van betalingstransacties |
|---|---|
| SERVICE PUBLIC FEDERAL FINANCES | FEDERALE OVERHEIDSDIENST FINANCIEN |
| 25 JANVIER 2019. - Arrêté royal portant approbation du règlement de la | 25 JANUARI 2019. - Koninklijk besluit tot goedkeuring van het |
| Banque nationale de Belgique du 20 novembre 2018 précisant les | reglement van de Nationale Bank van België van 20 november 2018 tot |
| vaststelling van de modaliteiten van bepaalde verplichtingen van de | |
| modalités de certaines obligations de la loi du 24 mars 2017 relative | wet van 24 maart 2017 houdende het toezicht op verwerkers van |
| à la surveillance des processeurs d'opérations de paiement | betalingstransacties |
| PHILIPPE, Roi des Belges, | FILIP, Koning der Belgen, |
| A tous, présents et à venir, Salut. | Aan allen die nu zijn en hierna wezen zullen, Onze Groet. |
| Vu la loi du 22 février 1998 fixant le statut organique de la Banque | Gelet op de wet van 22 februari 1998 tot vaststelling van het organiek |
| nationale de Belgique, l'article 8, § 2 ; | statuut van de Nationale Bank van België, artikel 8, § 2; |
| Vu la loi du 24 mars 2017 relative à la surveillance des processeurs | Gelet op de wet van 24 maart 2017 houdende het toezicht op verwerkers |
| d'opérations de paiement, les articles 8, alinéa 2, 11, § 5, 12, § 6 | van betalingstransacties, de artikelen 8, tweede lid, 11, § 5, 12, § 6 |
| et 13, § 3 et § 4 ; | en 13, § 3 en § 4; |
| Sur la proposition du Ministre des Finances, | Op de voordracht van de Minister van Financiën, |
| Nous avons arrêté et arrêtons : | Hebben Wij besloten en besluiten Wij : |
Article 1er.Le règlement de la Banque nationale de Belgique du 20 |
Artikel 1.Het bij dit besluit gevoegde reglement van de Nationale |
| novembre 2018 précisant les modalités de certaines obligations de la | Bank van België van 20 november 2018 tot vaststelling van de |
| loi du 24 mars 2017 relative à la surveillance des processeurs | modaliteiten van bepaalde verplichtingen van de wet van 24 maart 2017 |
| d'opérations de paiement, annexé au présent arrêté, est approuvé. | houdende het toezicht op verwerkers van betalingstransacties wordt |
Art. 2.Le présent arrêté entre en vigueur le jour de sa publication |
goedgekeurd. Art. 2.Dit besluit treedt in werking op de dag dat het in het |
| au Moniteur belge. | Belgisch Staatsblad wordt bekendgemaakt. |
Art. 3.Le ministre qui a les Finances dans ses attributions est |
Art. 3.De minister bevoegd voor Financiën is belast met de uitvoering |
| chargé de l'exécution du présent arrêté. | van dit besluit. |
| Donné à Bruxelles, le 25 janvier 2019. | Gegeven te Brussel 25 januari 2019. |
| PHILIPPE | FILIP |
| Par le Roi : | Van Koningswege : |
| Le Vice-Premier Ministre et Ministre des Finances, | De Vice-Eerste Minister en Minister van Financiën, |
| A. DE CROO | A. DE CROO |
| Annexe à l'arrêté royal du 25 janvier 2019 portant approbation du | Bijlage bij het koninklijk besluit van 25 januari 2019 tot goedkeuring |
| règlement de la Banque nationale de Belgique du 20 novembre 2018 | van het reglement van de Nationale Bank van België van 20 november |
| précisant les modalités de certaines obligations de la loi du 24 mars | 2018 tot vaststelling van de modaliteiten van bepaalde verplichtingen |
| 2017 relative à la surveillance des processeurs d'opérations de | van de wet van 24 maart 2017 houdende het toezicht op verwerkers van |
| paiement | betalingstransacties |
| La Banque nationale de Belgique, | De Nationale Bank van België, |
| Vu la loi du 22 février 1998 fixant le statut organique de la Banque | Gelet op de wet van 22 februari 1998 tot vaststelling van het organiek |
| nationale de Belgique, l'article 8 ; | statuut van de Nationale Bank van België, artikel 8; |
| Vu la loi du 24 mars 2017 relative à la surveillance des processeurs | Gelet op de wet van 24 maart 2017 houdende het toezicht op verwerkers |
| d'opérations de paiement, les articles 8, alinéa 2, 11, § 5, 12, § 6 | van betalingstransacties, de artikelen 8, tweede lid, 11, § 5, 12, § 6 |
| et 13, §§ 3 et 4, | en 13, §§ 3 en 4, |
| Arrête : | Besluit : |
| CHAPITRE 1er. - Définitions | HOOFDSTUK 1. - Definities |
Article 1er.Pour l'application du présent règlement, il y a lieu d'entendre par : |
Artikel 1.Voor de toepassing van dit reglement wordt verstaan onder: |
| 1° "la loi" : la loi du 24 mars 2017 relative à la surveillance des | 1° "de wet": de wet van 24 maart 2017 houdende het toezicht op |
| processeurs d'opérations de paiement ; | verwerkers van betalingstransacties; |
| 2° "processeur" : tout processeur d'importance systémique tel que visé | 2° "verwerker": iedere systeemrelevante verwerker als bedoeld in de |
| par la loi. | wet. |
| Pour le reste, les définitions de l'article 3 de la loi sont | Voor het overige gelden de definities van artikel 3 van de wet voor de |
| applicables pour l'application du présent règlement. | toepassing van dit reglement. |
| CHAPITRE 2. - Obligations de l'exploitant d'un schéma de paiement | HOOFDSTUK 2. - Verplichtingen van de uitbater van een betalingsschema |
Art. 2.Les dispositions de ce Chapitre précisent les modalités des obligations visées à l'article 8 de la loi. |
Art. 2.Dit hoofdstuk legt de modaliteiten vast van de in artikel 8 van de wet bedoelde verplichtingen. |
Art. 3.§ 1er. Lorsqu'il existe une relation contractuelle entre |
Art. 3.§ 1. Wanneer er een contractuele relatie bestaat tussen de |
| l'exploitant d'un schéma de paiement et un processeur ou que | uitbater van een betalingsschema en een verwerker, of wanneer de |
| l'exploitant d'un schéma de paiement impose au processeur d'obtenir | uitbater van een betalingsschema de verwerker verplicht een vergunning |
| son agrément (licence ou équivalent) pour traiter ses opérations, | (een licentie of een gelijkwaardig document) te verkrijgen voor de |
| l'exploitant du schéma de paiement devra disposer d'une procédure | verwerking van zijn transacties, moet de uitbater van het |
| betalingsschema over een procedure beschikken om zich ervan te | |
| visant à s'assurer de la capacité du processeur de se conformer aux | vergewissen dat de verwerker kan voldoen aan de bepalingen van |
| dispositions du Chapitre 3 de la loi, et prend spécifiquement en compte la capacité du processeur à implémenter les développements et les adaptations qu'il doit apporter à ses systèmes afin de traiter les opérations du schéma de paiement. § 2. La diligence requise de l'exploitant du schéma de paiement s'exerce : 1° lorsqu'un processeur non-systémique utilisé par le schéma devient systémique et que notification en est faite par la Banque au processeur ; 2° préalablement à l'établissement de la relation entre l'exploitant du schéma de paiement et le processeur. L'exploitant du schéma de | Hoofdstuk 3 van de wet, waarbij in het bijzonder rekening wordt gehouden met het vermogen van de verwerker om de wijzigingen en aanpassingen die hij in zijn systemen moet aanbrengen om de via het betalingsschema uit te voeren transacties te verwerken, te implementeren. § 2. De zorgvuldigheid die van de uitbater van het betalingsschema wordt vereist, dient in acht te worden genomen: 1° wanneer een niet-systeemrelevante verwerker waarop een beroep wordt gedaan door het schema, systeemrelevant wordt en de verwerker daarvan in kennis wordt gesteld door de Bank; 2° vóór de relatie met de verwerker wordt aangegaan. De uitbater van |
| paiement s'abstient d'entrer en relation contractuelle avec un | het betalingsschema gaat geen contractuele relatie aan met een |
| processeur qu'il estime, après analyse, incapable de se conformer au | verwerker die hij na analyse niet in staat acht te voldoen aan |
| Chapitre 3 de la loi ; | Hoofdstuk 3 van de wet; |
| 3° durant la relation entre l'exploitant du schéma de paiement et le | 3° tijdens de relatie met de verwerker. De uitbater van het |
| processeur. A cette fin l'exploitant du schéma de paiement obtient | betalingsschema dient van de verwerker jaarlijks bevestiging te |
| annuellement du processeur la confirmation qu'il est toujours en | |
| conformité avec le Chapitre 3 de la loi. Cette confirmation est | krijgen dat hij nog steeds voldoet aan Hoofdstuk 3 van de wet. Die |
| réalisée ou validée par un auditeur interne du processeur ou externe. | bevestiging wordt door een interne auditor van de verwerker of door |
| een externe auditor gegeven of gevalideerd. | |
| § 3. L'exploitant du schéma de paiement tient à la disposition de la | § 3. De uitbater van het betalingsschema houdt de documentatie van de |
| Banque la documentation de la procédure visée au paragraphe premier, | in de eerste paragraaf bedoelde procedure, evenals de analyses die hij |
| ainsi que les analyses qu'il a effectuées ou fait effectuer en vertu | op grond van die procedure heeft uitgevoerd of laat uitvoeren en de |
| de cette procédure et les attestations annuelles obtenues des | jaarlijkse attesten van de verwerkers met wie hij op contractuele |
| processeurs avec lesquels l'exploitant du schéma travaille sur une | basis samenwerkt, ter beschikking van de Bank. |
| base contractuelle. | |
| CHAPITRE 3. - Identification et gestion des risques | HOOFDSTUK 3. - Risico-identificatie en -beheer |
| Section 1re. - Conception des systèmes | Afdeling 1. - Ontwerp van de systemen |
Art. 4.Les dispositions de cette Section précisent les modalités des |
Art. 4.Deze afdeling legt de modaliteiten vast van de in artikel 11, |
| obligations visées à l'article 11, § 2 de la loi. | § 2, van de wet bedoelde verplichtingen. |
Art. 5.Tout processeur met en place, préventivement, toute mesure |
Art. 5.Elke verwerker neemt preventief alle redelijke maatregelen om |
| raisonnable de réduction des risques opérationnels et de sécurité | de door hem geïdentificeerde operationele en veiligheidsrisico's te |
| qu'il a identifiés. | beperken. |
Art. 6.Tout processeur prend les dispositions nécessaires en matière |
Art. 6.Elke verwerker neemt de nodige cyberveiligheidsmaatregelen en |
| de cybersécurité et assure la confidentialité, l'intégrité et la | waarborgt de vertrouwelijkheid, integriteit en beschikbaarheid van al |
| disponibilité de l'ensemble de ses ressources physiques et logiques, | zijn fysieke en logische middelen en van gevoelige betalingsgegevens, |
| ainsi que celles des données de paiement sensibles qu'elles soient | ongeacht of deze zijn opgeslagen of worden verstuurd of verwerkt. De |
| stockées, en transit ou en cours de traitement. Le processeur met | verwerker past met name, maar niet uitsluitend, de volgende principes |
| notamment, mais pas exclusivement, en oeuvre les principes suivants : | toe: |
| 1° une approche de type "défense en profondeur" (defence in depth), | 1° een benadering van het type "verdediging in de diepte" (defence in |
| impliquant des contrôles en couches multiples et successives qui couvrent tant le personnel, les processus et la technologie utilisée ; 2° l'application de la ségrégation tant au niveau des environnements IT (développement, intégration, production) qu'au niveau des tâches à effectuer par le personnel. Le personnel est dûment formé et surveillé et dispose des accès aux fonctionnalités et aux données sur une base "besoin d'en connaître" (need-to-know). En outre, les membres du personnel se voient accorder les accès aux seules ressources indispensables à l'exercice de leurs tâches et responsabilités (principe du "moindre privilège" (least privilege)). L'allocation des privilèges d'accès fait l'objet d'une révision à intervalles réguliers, au minimum une fois par an, et dans tous les cas (a) lors d'un changement d'affectation à l'intérieur de l'entreprise, (b) lors de la mise en production de nouveaux services, (c) lors de toute modification affectant une prestation de service et (d) à la suite de tout incident trouvant sa cause, même partiellement, dans un accès | depth), waarbij gelaagde en opeenvolgende controles van het personeel, de processen en de gebruikte technologie worden uitgevoerd; 2° segregatie in de IT-omgevingen (ontwikkeling, integratie, productie) en in de door het personeel uit te voeren taken. Het personeel wordt terdege opgeleid en gecontroleerd en heeft toegang tot de functies en de gegevens op "need-to-know"-basis. Voorts krijgen de personeelsleden enkel toegang tot de middelen die noodzakelijk zijn om hun taken uit te voeren en hun verantwoordelijkheden uit te oefenen ("least privilege"-beginsel). De toewijzing van toegangsprivileges wordt regelmatig en minstens eenmaal per jaar herzien en in elk geval (a) bij een overplaatsing binnen de onderneming, (b) bij de lancering van nieuwe diensten, (c) bij elke wijziging die invloed heeft op een dienstverlening en (d) bij incidenten die, zelfs gedeeltelijk, worden |
| inadéquat à une ou plusieurs ressources. Des "journaux/historiques | veroorzaakt door ongepaste toegang tot een of meerdere middelen. Over |
| d'événements" (loggings) relatifs aux accès sont réalisés et conservés | |
| pendant une période corrélée à la criticité de la fonctionnalité, du | de toegangen worden er logs gecreëerd, die bewaard worden gedurende |
| processus ou de "l'actif du système d'information" (information | een periode die gecorreleerd is aan de kritikaliteit van de functie, |
| asset). Ces "journaux/historiques d'événements" sont notamment | het proces of de informatiemiddelen (information asset). Die logs |
| utilisés afin de faciliter l'identification et l'examen de toute | worden met name gebruikt om de identificatie en het onderzoek van bij |
| activité anormale détectée dans l'exercice de la fourniture de | het verlenen van diensten vastgestelde abnormale activiteiten te |
| services. | vergemakkelijken. |
Art. 7.Tout processeur dispose de mesures de sécurité physique |
Art. 7.Elke verwerker beschikt over passende fysieke |
| adéquates afin de protéger notamment l'ensemble des données qui font | veiligheidsmaatregelen om met name alle gegevens die door hem worden |
| l'objet des services de traitement, ainsi que les systèmes ICT | verwerkt, en de voor die diensten gebruikte ICT-systemen te |
| utilisés pour prester ces services. | beveiligen. |
Art. 8.Tout processeur dispose d'un processus formel de gestion des |
Art. 8.Elke verwerker beschikt over een formeel proces voor het |
| changements, assurant que ceux-ci soient correctement planifiés, | beheer van de wijzigingen, dat ervoor zorgt dat deze wijzigingen naar |
| testés, documentés et autorisés. En fonction des menaces observées en | behoren gepland, getest, gedocumenteerd en goedgekeurd worden. |
| matière de sécurité ainsi que des modifications envisagées, lesdits | Afhankelijk van de vastgestelde veiligheidsdreigingen en van de |
| tests incorporent des scénarios impliquant notamment des attaques déjà | geplande wijzigingen omvatten die tests scenario's waarin met name |
| connues ou vraisemblables. Le processeur détermine si les changements | wordt uitgegaan van bekende of plausibele aanvallen. De verwerker |
| apportés à son environnement opérationnel affectent d'une manière ou | bepaalt of de wijzigingen in zijn operationele omgeving op enigerlei |
| d'une autre les mesures de sécurité en place, ou requièrent l'adoption | wijze gevolgen hebben voor de bestaande veiligheidsmaatregelen, dan |
| de mesures supplémentaires de réduction des risques. | wel de invoering van bijkomende risicobeperkende maatregelen vereisen. |
Art. 9.Tout processeur s'assure de manière régulière que l'ensemble |
Art. 9.Elke verwerker controleert regelmatig of alle programma's die |
| des programmes utilisés pour la prestation de ses services soient en | hij voor zijn dienstverlening gebruikt, permanent worden bijgewerkt en |
| permanence mis à jour, et que les patches et correctifs critiques, et | dat de kritieke patches (correcties) en in het bijzonder die welke |
| singulièrement ceux relatifs à la sécurité, soient déployés sans | verband houden met de beveiliging, onverwijld worden toegepast. |
| retard. Des mécanismes de contrôle d'intégrité vérifient en permanence | Mechanismen voor integriteitscontrole verifiëren voortdurend de |
| l'intégrité des applications, des "microprogrammes/micrologiciels" | integriteit van de toepassingen, van de |
| (firmware) ainsi que des données utilisées dans la prestation des | "microprogramma's/microsoftware" (firmware), en van de gegevens die |
| services de traitement. | bij het verrichten van de verwerkingsdiensten worden gebruikt. |
Art. 10.Tout processeur contrôle en permanence le degré d'utilisation |
Art. 10.Elke verwerker controleert voortdurend het niveau van |
| des ressources informatiques mises en oeuvre, et veille à disposer à | benutting van de gebruikte informaticamiddelen en zorgt ervoor dat hij |
| tout moment des réserves de capacités adéquates pour faire face à des | te allen tijde over voldoende reservecapaciteit beschikt om |
| variations imprévues d'activités. Ce contrôle s'effectue également sur | onverwachte schommelingen in de activiteiten te kunnen opvangen. Die |
| longues périodes afin de détecter les évolutions à l'oeuvre et afin de | controle wordt ook over lange periodes uitgevoerd om ontwikkelingen te |
| pouvoir prévoir, le cas échéant, suffisamment à l'avance les | kunnen opsporen en, in voorkomend geval, belangrijke |
| adaptations majeures d'infrastructure à réaliser. | infrastructuuraanpassingen voldoende van tevoren te kunnen plannen. |
| La Banque peut émettre des directives pour déterminer quelles | De Bank kan richtlijnen uitvaardigen om te bepalen welke aanpassingen |
| adaptations sont majeures. Le processeur consulte la Banque en cas de | belangrijk zijn. In geval van twijfel over het belang van de |
| doute sur l'importance de l'adaptation. | aanpassingen raadpleegt de verwerker de Bank. |
Art. 11.Tout processeur choisit son infrastructure et les |
Art. 11.Elke verwerker houdt rekening met het waarschijnlijke verloop |
| technologies utilisées en tenant compte de l'évolution probable de ses | van zijn activiteiten bij de keuze van de door hem gebruikte |
| activités. | infrastructuur en technologieën. |
Art. 12.Tout processeur évalue et implémente les mesures |
Art. 12.Elke verwerker evalueert en implementeert maatregelen ter |
| complémentaires à celles visées aux articles 5 à 11, qu'il convient de | aanvulling van de in de artikelen 5 tot 11 bedoelde maatregelen, die |
| mettre en place pour atteindre les objectifs repris à l'article 11, § | moeten worden genomen om de in artikel 11, § 2, van de wet vermelde |
| 2, de la loi. | doelstellingen te bereiken. |
| Section 2. - Continuité des activités | Afdeling 2. - Bedrijfscontinuïteit |
Art. 13.Les dispositions de cette Section précisent les modalités des |
Art. 13.Deze afdeling legt de modaliteiten vast van de in artikel 11, |
| obligations visées à l'article 11, § 3, de la loi. | § 3, van de wet bedoelde verplichtingen. |
Art. 14.§ 1er. La gestion efficace de la continuité des activités |
Art. 14.§ 1. Het doeltreffend bedrijfscontinuïteitsmanagement dat |
| door de verwerker wordt toegepast, moet tot doel hebben hem in staat | |
| telle que mise en place doit avoir pour objectif de permettre au | te stellen te allen tijde en onder alle omstandigheden de van hem |
| processeur d'être en toute circonstance et à tout moment capable de | verwachte verwerkingsdiensten te leveren en de duur van de |
| prester les services de traitement qui lui incombent et à limiter au | onderbrekingen zoveel mogelijk te beperken. Dit sluit niet uit dat de |
| maximum la durée des interruptions. Cette disposition n'exclut toutefois pas pour le processeur la possibilité de planifier des interruptions de services pour réaliser la maintenance de ses systèmes. § 2. Le processeur priorise les actions à entreprendre en matière de continuité des opérations, en analysant notamment les fonctions, processus, systèmes et transactions identifiés et classifiés comme critiques, et en adoptant une approche qui est notamment, mais pas exclusivement, basée sur les risques. Cette analyse permet au processeur de développer et d'activer à tout moment des procédures de continuité des activités afin de réagir de façon appropriée aux urgences, tout en continuant à prester ses activités critiques. Art. 15.§ 1er. Le processeur dispose d'un plan de continuité visant à : 1° limiter au maximum la durée des interruptions d'activités et 2° protéger et, si besoin, rétablir l'intégrité et la disponibilité des opérations et de la confidentialité des données. Le plan de continuité est bien documenté, disponible et directement accessible au personnel des services opérationnels et de support. Ce plan se focalise sur le rétablissement rapide de l'exercice et du traitement des fonctions, processus, systèmes et transactions critiques. § 2. Le plan de continuité est testé au moins annuellement. Les tests considèrent un ensemble adéquat de scénarios plausibles, et incluent |
verwerker onderbrekingen van de dienstverlening kan plannen om zijn systemen te onderhouden. § 2. De verwerker prioriteert de maatregelen die moeten worden genomen op het gebied van bedrijfscontinuïteit door met name de als kritiek aangemerkte functies, processen, systemen en transacties te analyseren en een benadering te hanteren die met name, maar niet uitsluitend, risicogebaseerd is. Op grond van die analyse kan de verwerker op elk ogenblik bedrijfscontinuïteitsprocedures ontwikkelen en activeren om passend te reageren op noodgevallen, zonder zijn kritieke activiteiten stop te zetten. Art. 15.§ 1. De verwerker beschikt over een bedrijfscontinuïteitsplan dat ertoe strekt: 1° de duur van de onderbrekingen van de bedrijfsactiviteiten zoveel mogelijk te beperken en 2° de integriteit en de beschikbaarheid van de verrichtingen en de vertrouwelijkheid van de gegevens te beschermen en, zo nodig, te herstellen. Het bedrijfscontinuïteitsplan is goed gedocumenteerd, beschikbaar en rechtstreeks toegankelijk voor het personeel van de operationele en ondersteunende diensten. Dit plan spitst zich toe op het snelle herstel van de bedrijfsactiviteiten en van de verwerking van de kritieke functies, processen, systemen en transacties. § 2. Het bedrijfscontinuïteitsplan wordt minstens jaarlijks getest. De tests gaan uit van een adequate reeks plausibele scenario's en omvatten procedures om te controleren of het personeel (ook op het |
| des procédures pour vérifier la capacité du personnel (y compris en | gebied van besluitvorming) en de processen passend kunnen reageren op |
| matière de prise de décision) et des processus de faire face | de voorgestelde scenario's. De plannen worden als volgt bijgewerkt: |
| adéquatement aux scénarios proposés. Les plans sont tenus à jour : | 1° regelmatig, om rekening te houden met de resultaten van de tests, |
| 1° régulièrement pour tenir compte des résultats des tests, des | de nieuw vastgestelde dreigingen en de uit eerdere incidenten |
| menaces nouvellement identifiées et des leçons tirées des incidents | getrokken lessen en de aangepaste doelstellingen inzake het herstel |
| antérieurs et des objectifs adaptés de rétablissement des activités ; | van de bedrijfsactiviteiten; |
| 2° après tout changement apporté aux systèmes et processus. | 2° na elke wijziging in de systemen en processen. |
Art. 16.En situation d'urgence ou d'interruption des activités, le |
Art. 16.In noodsituaties of bij onderbreking van de |
| processeur dispose de et utilise des procédures de communication de | bedrijfsactiviteiten beschikt de verwerker over procedures voor |
| crise afin d'informer rapidement et de manière appropriée toutes les | crisiscommunicatie waarvan hij gebruikmaakt om alle betrokkenen, |
| parties prenantes qu'elles soient internes (direction, équipes | ongeacht of ze intern (directie, technische teams, enz.) of extern |
| techniques, etc.) ou externes (schémas de paiement, marchands, | (betalingsschema's, handelaars, kaarthouders, regulatoren, enz.) zijn, |
| détenteurs de cartes, régulateurs, etc.). | snel en op passende wijze in te lichten. |
| Section 3. - Politique de gestion des risques opérationnels et de | Afdeling 3. - Beleid inzake het beheer van operationele en |
| sécurité | veiligheidsrisico's |
Art. 17.Les dispositions de cette Section précisent les modalités des |
Art. 17.Deze afdeling legt de modaliteiten vast van de in artikel 11, |
| obligations visées à l'article 11, §§ 1er et 4 de la loi. | §§ 1 en 4, van de wet bedoelde verplichtingen. |
Art. 18.§ 1er. Tout processeur conçoit, développe et met en oeuvre |
Art. 18.§ 1. Elke verwerker ontwerpt, ontwikkelt en implementeert |
| sur une base permanente un cadre global de gestion des risques | voortdurend een algemeen kader voor het beheer van operationele |
| opérationnels. Ce cadre est présenté par la direction au conseil | risico's. De directie legt dit kader voor aan de raad van bestuur die: |
| d'administration qui : | |
| 1° l'approuve formellement ; | 1° het formeel goedkeurt; |
| 2° veille à soutenir effectivement sa mise en oeuvre et son évolution, | 2° zorgt voor een doeltreffende ondersteuning bij de uitvoering en de |
| ontwikkeling van het kader, door passende beslissingen te nemen met | |
| en prenant les décisions adéquates en termes de moyens tant humains | betrekking tot de personele en technische middelen die hiervoor moeten |
| que techniques à y consacrer ; | worden ingezet; |
| 3° est impliqué de façon active, notamment au moyen de rapports qui | 3° actief betrokken is, met name via de door de directie geleverde |
| lui sont fournis par la direction, dans la définition du niveau de | verslagen, bij de vaststelling van het risicotolerantieniveau van de |
| tolérance aux risques de l'entreprise, ainsi que dans la validation | onderneming, en bij de validatie van de richtsnoeren die moeten worden |
| des orientations à suivre dans la mise en oeuvre effective des mesures | gevolgd bij de effectieve tenuitvoerlegging van de risicobeperkende |
| de réduction de risques. | maatregelen. |
| § 2. Le cadre global de gestion des risques opérationnels est documenté en détails et doit notamment, mais pas exclusivement : 1° détailler la politique globale de gestion des risques opérationnels pour l'ensemble de l'entreprise. A cette fin le processeur établit un inventaire complet, ainsi qu'une classification selon leur criticité respective (a) des fonctions opérationnelles, rôles clés et processus sous-jacents, ainsi que leurs interdépendances éventuelles et (b) des "actifs du système d'information", tels que les systèmes ICT, leurs configurations et leurs interconnexions avec d'autres systèmes internes et externes ; | § 2. Het algemeen kader voor het beheer van de operationele risico's wordt uitvoerig gedocumenteerd en moet in het bijzonder, maar niet uitsluitend: 1° het algemeen beleid inzake het beheer van operationele risico's op het niveau van de onderneming uitvoerig beschrijven. Met het oog hierop stelt de verwerker een volledige inventaris op, en maakt hij een indeling op basis van de respectieve kritikaliteit (a) van de operationele functies, sleutelrollen en onderliggende processen, alsook van hun eventuele interdependenties en (b) van de informatiemiddelen, zoals de ICT-systemen, hun configuratie en hun interconnecties met andere interne en externe systemen; |
| 2° prévoir la mise en oeuvre de politiques spécifiques visant à | 2° voorzien in de uitvoering van specifieke beleidslijnen om te allen |
| disposer à tout moment des ressources humaines expérimentées, ainsi | tijde over ervaren personeel te beschikken, en over de procedures en |
| que des procédures et systèmes indispensables afin d'identifier, | systemen die nodig zijn om alle operationele risico's in verband met |
| mesurer et gérer l'ensemble des risques opérationnels liés à la | het verlenen van de verwerkingsdiensten te identificeren, meten en |
| prestation de services de processing. A cet effet, le processeur | beheren. Daartoe geeft de verwerker een duidelijke omschrijving van de |
| veille à définir clairement les responsabilités incombant à chaque | verantwoordelijkheden van elk personeelslid op het vlak van het beheer |
| membre du personnel en matière de gestion des risques opérationnels, | van de operationele risico's, met bijzondere aandacht voor het bestaan |
| avec une attention particulière pour l'existence d'un processus clair et efficace de prise de décision en situation d'urgence et/ou période de crise. § 3. Le cadre global de gestion des risques opérationnels est revu selon une fréquence adéquate, au minimum une fois par an, de sorte que ses mises à jour intègrent les leçons tirées de sa mise en oeuvre quotidienne. Une mise à jour est également effectuée : 1° à l'issue de chaque incident majeur, de nature opérationnelle ou relatif à la sécurité des services presté ; | van een duidelijk en doeltreffend besluitvormingsproces in noodsituaties en/of crisisperiodes. § 3. Het algemeen kader voor het beheer van de operationele risico's wordt met een passende frequentie en minstens eenmaal per jaar herzien, zodat bij de bijwerking ervan rekening gehouden kan worden met de lessen die uit de dagelijkse uitvoering ervan zijn getrokken. Voorts wordt het kader ook bijgewerkt: 1° na elk ernstig incident dat van operationele aard is of betrekking heeft op de veiligheid van de geleverde diensten; 2° vóór de invoering van belangrijke wijzigingen in de infrastructuur, |
| 2° préalablement à la mise en production de changements majeurs | de processen en procedures. |
| relatifs à l'infrastructure, aux processus et procédures. | De Bank kan richtlijnen uitvaardigen om te bepalen welke incidenten |
| La Banque peut émettre des directives pour déterminer quels incidents | ernstig of welke wijzigingen belangrijk zijn. In geval van twijfel |
| ou changements sont majeurs. Le processeur consulte la Banque en cas | over de ernst van het incident of het belang van de wijzigingen |
| de doute sur l'importance de l'incident ou du changement. | raadpleegt de verwerker de Bank. |
Art. 19.§ 1er. Le processeur s'organise de manière telle qu'il |
Art. 19.§ 1. De verwerker organiseert zich op een zodanige wijze dat |
| surveille de près, sur une base permanente, les menaces et | hij de dreigingen en kwetsbaarheden voortdurend nauwgezet kan |
| vulnérabilités. Il adapte régulièrement les scénarios de risques | opvolgen. Hij past de scenario's met risico's die een impact kunnen |
| susceptibles d'impacter ses fonctions opérationnelles, processus et | hebben op zijn kritieke operationele functies, processen en |
| "actifs du système d'information" critiques. | informatiemiddelen, regelmatig aan. |
| § 2. Pour atteindre l'objectif visé au paragraphe premier, le | § 2. Om de in de paragraaf 1 bedoelde doelstelling te bereiken, voert |
| processeur effectue et documente des études et évaluations de risques, | de verwerker jaarlijks of vaker indien de Bank dat eist, risicostudies |
| à une fréquence annuelle ou plus courte si la Banque l'exige, pour | |
| chaque fonction opérationnelle, processus et "actif du système | en -beoordelingen uit voor elke operationele functie, elk proces en |
| d'information" tel qu'identifié et classé par niveau de criticité, | elk informatiemiddel, zoals vastgesteld en ingedeeld per niveau van |
| ainsi que préalablement à toute modification majeure apportée à son | kritikaliteit, en vóór elke belangrijke wijziging in zijn |
| infrastructure, ses processus et ses procédures. Les conclusions des | infrastructuur, processen en procedures en documenteert hij die |
| études et évaluations de risques sont également utilisées afin de | studies en beoordelingen. De conclusies van die risicostudies en |
| déterminer dans quelle mesure des adaptations doivent être apportées | -beoordelingen dienen ook gebruikt te worden om te bepalen in welke |
| aux technologies utilisées, aux mesures de sécurité et aux procédures | mate de gebruikte technologieën, de veiligheidsmaatregelen, de |
| en place, ainsi qu'aux prestations offertes. Les études et évaluations | bestaande procedures, en de aangeboden prestaties moeten worden |
| de risques, ainsi que leurs conclusions sont tenues à la disposition | aangepast. De risicostudies en -beoordelingen en de conclusies ervan |
| de la Banque. | worden ter beschikking van de Bank gehouden. |
| La Banque peut émettre des directives pour déterminer quels | De Bank kan richtlijnen uitvaardigen om te bepalen welke wijzigingen |
| changements sont majeurs. Le processeur consulte la Banque en cas de | belangrijk zijn. In geval van twijfel over het belang van de |
| doute sur l'importance du changement. | wijzigingen raadpleegt de verwerker de Bank. |
| § 3. L'identification et la gestion sur le terrain des risques | § 3. Voor de identificatie en het beheer van de operationele risico's |
| opérationnels et de sécurité s'opère à l'aide d'un modèle interne de | wordt in de praktijk gebruikgemaakt van een intern model voor de |
| contrôle et de gestion des risques, tel que celui des trois lignes de | bewaking en het beheer van de risico's, zoals dat van de drie |
| défense. Ce modèle interne dispose de l'autorité, de l'indépendance et | verdedigingslinies. Dit intern model beschikt over de vereiste |
| des ressources requises, ainsi que d'un canal de rapportage direct | autoriteit, onafhankelijkheid en middelen, evenals over een kanaal |
| vers la direction et le conseil d'administration. | voor de rechtstreekse rapportering aan de directie en de raad van |
| Les mesures mises en place pour gérer les risques opérationnels et de | bestuur. De maatregelen voor het beheer van de operationele en |
| sécurité font l'objet d'un audit régulier, selon une fréquence | veiligheidsrisico's worden regelmatig onderworpen aan audits, die met |
| adéquate mené par des auditeurs spécialisés en matière IT et de | een passende frequentie worden uitgevoerd door in IT en IT-veiligheid |
| sécurité IT. L'audit est mené par des auditeurs internes mais | gespecialiseerde auditoren, die hetzij interne auditoren van de |
| indépendants des fonctions business, ou par des auditeurs externes du | verwerker zijn die onafhankelijk zijn van de bedrijfsfuncties, hetzij |
| processeur. | externe auditoren. |
| CHAPITRE 4. - Continuité des services de traitement des opérations de | HOOFDSTUK 4. - Continuïteit van de diensten met betrekking tot de |
| paiement | verwerking van betalingstransacties |
| Section 1re. - Conformité de l'organisation du processeur | Afdeling 1. - Conformiteit van de organisatie van de verwerker |
Art. 20.Les dispositions de cette Section précisent les modalités des |
Art. 20.Deze afdeling legt de modaliteiten vast van de in artikel 12, |
| obligations visées à l'article 12, §§ 1er et 2 de la loi. | §§ 1 en 2, van de wet bedoelde verplichtingen. |
Art. 21.§ 1er. Le processeur fait évaluer par un auditeur interne ou |
Art. 21.§ 1. De verwerker moet door een interne of externe auditor |
| externe la conformité de son organisation avec les dispositions de | laten beoordelen of zijn organisatie in overeenstemming is met de |
| l'article 12, §§ 1er et 2 de la loi. La Banque peut si elle l'estime | bepalingen van artikel 12, §§ 1 en 2, van de wet. Indien zij dit nodig |
| acht kan de Bank uitdrukkelijk verlangen dat de verwerker deze | |
| nécessaire demander expressément que le processeur fasse réaliser | beoordeling laat uitvoeren door een onafhankelijke instelling (d.w.z. |
| cette évaluation par un organisme indépendant (c'est-à-dire qui ne | een instelling die geen deel uitmaakt van dezelfde juridische entiteit |
| fait pas partie de la même entité juridique que le processeur, ni du | als de verwerker, noch van de groep waartoe de verwerker behoort). De |
| groupe auquel le processeur appartient) L'organisme indépendant devra | onafhankelijke instelling dient op het betrokken gebied over een hoog |
| jouir d'un degré élevé d'expertise et de compétence dans le domaine | niveau van deskundigheid en bekwaamheid te beschikken en wordt als |
| concerné et est reconnu comme tel par l'industrie concernée. | zodanig erkend door de betrokken sector. |
| § 2. Le rapport de conformité est actualisé au minimum tous les trois | § 2. Het conformiteitsverslag wordt minstens om de drie jaar |
| ans, ou après chaque adaptation majeure des infrastructures et/ou des | bijgewerkt, of na elke belangrijke aanpassing in de infrastructuren |
| processus du processeur. | en/of processen van de verwerker. |
| La Banque peut émettre des directives pour déterminer quelles | De Bank kan richtlijnen uitvaardigen om te bepalen welke aanpassingen |
| adaptations sont majeures. Le processeur consulte la Banque en cas de | belangrijk zijn. In geval van twijfel over het belang van de |
| doute sur l'importance de l'adaptation. | aanpassingen raadpleegt de verwerker de Bank. |
| Section 2. - Communication | Afdeling 2. - Communicatie |
Art. 22.Les dispositions de cette Section précisent les modalités des |
Art. 22.Deze afdeling legt de modaliteiten vast van de in artikel 12, |
| obligations visées à l'article 12, § 5, de la loi. | § 5, van de wet bedoelde verplichtingen. |
Art. 23.§ 1er. Le processeur met en place un canal de communication |
Art. 23.§ 1. De verwerker dient een communicatiekanaal op te zetten |
| permettant d'informer les prestataires de services de paiement, les | waarmee de betrokken betalingsdienstaanbieders, betalingsschema's en |
| schémas de paiement et les utilisateurs des services de paiement | betalingsdienstgebruikers kunnen worden ingelicht wanneer de diensten |
| concernés des indisponibilités de service de traitement des opérations | met betrekking tot de verwerking van betalingstransacties niet |
| de paiement visées par la loi. Ce canal de communication peut | beschikbaar zijn in de zin van de wet. Dit kan met name een pagina op |
| notamment comprendre une page sur le site internet du processeur | de website van de verwerker zijn, waarop onder andere de staat van het |
| indiquant entre autres l'état du réseau. | netwerk wordt vermeld. |
| Les informations transmises peuvent être différenciées en fonction de | De informatie die wordt meegedeeld kan variëren naar gelang van de |
| leurs destinataires et des besoins de ceux-ci en la matière : | ontvanger ervan en diens behoeften ter zake: |
| 1° pour les prestataires de services de paiement et pour les schémas | 1° voor betalingsdienstaanbieders en betalingsschema's is dit met name |
| de paiement il s'agira notamment des causes et conséquences, ainsi que | informatie over de oorzaken en gevolgen, de verwachte duur van de |
| la durée prévue de la perturbation et le délai de rétablissement total | verstoring evenals de geschatte totale hersteltijd; |
| estimé ; 2° pour les utilisateurs des services de paiement, ces informations | 2° voor betalingsdienstgebruikers kan deze informatie zich beperken |
| pourront se limiter à une estimation de la durée prévue de la | tot een schatting van de verwachte duur van de verstoring en van de |
| perturbation et du délai de rétablissement total. | totale hersteltijd. |
| Ces informations seront communiquées sans délai dès qu'elles seront | Deze informatie wordt zo spoedig mogelijk meegedeeld zodra de |
| connues du processeur et seront mises à jour régulièrement. | verwerker erover beschikt en wordt regelmatig bijgewerkt. |
| Si le processeur est dans l'impossibilité de communiquer ces | Indien de verwerker deze informatie niet kan meedelen, deelt de in |
| informations, l'exploitant du schéma de paiement visé à l'article 5 de | artikel 5 van de wet bedoelde uitbater van het betalingsschema aan de |
| la loi se chargera de communiquer aux prestataires de services de | betalingsdienstgebruikers en aan de eindgebruikers de informatie mee |
| paiement et aux utilisateurs finaux les informations dont il dispose | |
| concernant notamment la durée prévue de la perturbation dans le | waarover hij beschikt, over met name de verwachte duur van de |
| traitement de ses opérations et le délai de rétablissement total | verstoring in de verwerking van de transacties en de geschatte totale |
| estimé. | hersteltijd. |
| § 2. Le processeur informe au préalable les prestataires de services | § 2. De verwerker licht de betalingsdienstaanbieders, de |
| de paiement, les schémas de paiement et les utilisateurs de services | betalingsschema's en de betalingsdienstgebruikers vooraf in over het |
| de paiement, du canal de communication qui sera utilisé en priorité | communicatiekanaal dat prioritair zal worden gebruikt voor de in |
| aux fins visées au paragraphe premier, ainsi que d'un éventuel canal | paragraaf 1 bedoelde doelstellingen, en over het eventuele reserve- of |
| de réserve ou de secours. | noodkanaal. |
| CHAPITRE 5. - Notification des incidents et communication de l'analyse | HOOFDSTUK 5. - Kennisgeving van incidenten en mededeling van de |
| approfondie | grondige analyse |
| Section 1re. - Modalités de notification des incidents et informations | Afdeling 1. - Modaliteiten voor de kennisgeving van incidenten en te |
| à fournir | verstrekken informatie |
Art. 24.Les dispositions de cette Section précisent les modalités des |
Art. 24.Deze afdeling legt de modaliteiten vast van de in artikel 13, |
| obligations visées à l'article 13, §§ 1er et 2, de la loi. | §§ 1 en 2, van de wet bedoelde verplichtingen. |
Art. 25.§ 1er. Le processeur notifie la Banque de toute |
Art. 25.§ 1. De verwerker stelt de Bank in kennis wanneer de diensten |
| indisponibilité (au sens de la loi) des services de traitement des | met betrekking tot de verwerking van betalingstransacties niet |
| opérations de paiement. Cette notification peut être communiquée par | beschikbaar zijn (in de zin van de wet). Die kennisgeving kan |
| téléphone ou par courrier électronique dans les délais prévus à | |
| l'article 13, § 1er, de la loi, et est en tout cas suivie par une | telefonisch of per e-mail worden meegedeeld binnen de in artikel 13, § |
| deuxième notification par courrier électronique pour confirmation dans les 24 heures ouvrables après la première notification. Une liste de personnes de contact est convenue avec la Banque et fait l'objet d'une mise à jour à chaque changement de personne de contact. § 2. Les informations à transmettre lors des notifications de l'indisponibilité visées au paragraphe premier, comprennent au minimum : 1° la date et l'heure de détection et de début de l'indisponibilité ; 2° la description de l'incident ayant conduit à l'indisponibilité ; | 1, van de wet bepaalde termijnen en wordt in elk geval binnen 24 werkuren na de eerste kennisgeving gevolgd door een tweede kennisgeving per e-mail waarin de niet-beschikbaarheid wordt bevestigd. Er wordt een lijst met contactpersonen opgesteld in overleg met de Bank, die bij elke verandering van contactpersoon wordt bijgewerkt. § 2. De informatie die moet worden meegedeeld in de in paragraaf 1 bedoelde kennisgevingen van de niet-beschikbaarheid, bevat minstens: 1° de datum en het uur van de vaststelling en van het begin van de niet-beschikbaarheid; 2° de beschrijving van het incident dat aanleiding heeft gegeven tot de niet-beschikbaarheid; |
| 3° le ou les schéma(s) de paiement concerné(s) ; | 3° het of de betrokken betalingsschema(`s); |
| 4° le volume de transactions concerné ; | 4° het betrokken transactievolume; |
| 5° la durée estimée ou mesurée, si l'indisponibilité a pris fin avant | 5° de vermoedelijke of gemeten duur indien de diensten opnieuw |
| beschikbaar zijn vóór de kennisgeving van de niet-beschikbaarheid | |
| sa notification. | ervan. |
| Si certaines de ces informations ne sont pas disponibles au moment de | Indien niet alle informatie beschikbaar is op het moment van de |
| la notification, elles sont transmises dès qu'elles seront connues du | kennisgeving, deelt de verwerker de ontbrekende informatie mee zodra |
| processeur. | hij die heeft. |
| Section 2. - Communication de l'analyse approfondie d'un incident | Afdeling 2. - Mededeling van de grondige analyse van een incident |
Art. 26.Les dispositions de cette Section précisent les modalités des |
Art. 26.In deze afdeling worden de modaliteiten van de in artikel 13, |
| obligations visées à l'article 13, § 4, de la loi. | § 4, van de wet bedoelde verplichtingen vastgesteld. |
Art. 27.§ 1er. L'analyse approfondie d'un incident qui constitue une |
Art. 27.§ 1. De grondige analyse van een incident dat een inbreuk |
| infraction aux dispositions des articles 11 et 12 de la loi, est | uitmaakt op de bepalingen van de artikelen 11 en 12 van de wet, wordt |
| transmise à la Banque dès qu'elle est réalisée et validée par le | meegedeeld aan de Bank zodra ze is uitgevoerd en gevalideerd door de |
| processeur et au plus tard dans les deux semaines après la résolution | verwerker en uiterlijk twee weken nadat het incident is opgelost. |
| de l'incident. | Indien het door de aard en de complexiteit van het incident niet |
| Si la nature et la complexité de l'incident ne permettent pas d'en | mogelijk is om een voldoende gedetailleerde analyse uit te voeren |
| réaliser une analyse suffisamment détaillée dans le délai visé à | binnen de in het vorige lid bedoelde termijn, kunnen de Bank en de |
| l'alinéa précédent, la Banque et le processeur peuvent convenir d'un | verwerker in onderling overleg een bijkomende termijn vaststellen |
| délai supplémentaire, après communication d'une analyse intermédiaire. | nadat de verwerker aan de Bank een tussentijdse analyse heeft bezorgd. |
| § 2. L'analyse approfondie indique également les mesures que le | § 2. In de grondige analyse worden eveneens de maatregelen vermeld die |
| processeur envisage de prendre pour éviter que l'incident ne se | de verwerker voornemens is te treffen om te voorkomen dat het incident |
| reproduise et le délai endéans lequel elles seront mises en place. | zich opnieuw voordoet, evenals de termijn waarbinnen deze maatregelen |
| zullen worden genomen. | |
| § 3. Le rapportage de l'analyse approfondie peut, le cas échéant et | § 3. De rapportering van de grondige analyse kan, in voorkomend geval |
| après accord de la Banque, être aligné avec d'autres rapportages | en met instemming van de Bank, worden afgestemd op andere |
| d'incidents qui s'imposent au processeur en vertu d'autres | incidentrapporteringen die de verwerker krachtens andere wetgeving |
| législations. | moet verrichten. |
| CHAPITRE 6. - Dispositions diverses | HOOFDSTUK 6. - Diverse bepalingen |
Art. 28.Tout processeur examine et répond aux questions reprises dans |
Art. 28.Elke verwerker bestudeert en beantwoordt de in de bijlage |
| opgenomen vragen om te bevestigen dat hij voldoet aan de hoofdstukken | |
| l'annexe, pour valider sa conformité avec les Chapitres 3 et 4 de ce | 3 en 4 van dit reglement. Deze vragen dienen als richtsnoer. |
| règlement. Ces questions sont fournies à titre de guidance. | Art. 29.Dit reglement treedt in werking op de datum van |
Art. 29.Le présent règlement entre en vigueur à la date d'entrée en |
inwerkingtreding van het koninklijk besluit tot goedkeuring ervan. |
| vigueur de l'arrêté royal qui l'approuve. | |
| Bruxelles, le 20 novembre 2018. | Brussel, 20 november 2018. |
| Le Gouverneur, | De Gouverneur, |
| J. SMETS | J. SMETS |
| Annexe | Bijlage |
| Afin d'évaluer sa conformité aux Chapitres 3 et 4 de ce règlement, le | Om te beoordelen of hij voldoet aan de hoofdstukken 3 en 4 van dit |
| processeur examine et répond aux questions suivantes : | reglement bestudeert en beantwoordt de verwerker de volgende vragen: |
| 1. DETECTION ET GESTION DES RISQUES | 1. RISICO-IDENTIFICATIE EN -BEHEER |
| Cadre de gestion des risques à l'échelle de l'entreprise | Risicobeheerkader op het niveau van de onderneming |
| - Quels sont les processus et les systèmes du processeur pour recenser | - Over welke processen en systemen beschikt de verwerker om de door |
| et documenter ses risques, y compris les risques opérationnels, financiers et de ressources humaines pertinents ? Quels risques le processeur a-t-il recensés et documentés à l'aide de ses processus et de ses systèmes ? - Quels sont les processus et les systèmes du processeur pour gérer ces risques ? Comment le processeur décide-t-il d'accepter les risques résiduels ? - Comment le processeur réévalue-t-il ses risques et le caractère adéquat de son cadre de gestion des risques pour faire face aux risques recensés ? A quelle fréquence cette réévaluation est-elle effectuée ? - Comment le processeur répond-il aux exigences légales ou réglementaires ou aux changements d'exigences ? - Comment le processeur évalue-t-il les risques liés à ses relations avec les utilisateurs ? - Comment le processeur intègre-t-il la gestion des risques dans son processus décisionnel stratégique, y compris l'évaluation des risques commerciaux généraux et de la situation financière ? Dépendances à l'égard des tiers | hem gelopen risico's, met inbegrip van relevante operationele, financiële en personeelsrisico's, te identificeren en te documenteren? Welke risico's heeft de verwerker aan de hand van zijn processen en systemen geïdentificeerd en gedocumenteerd? - Over welke processen en systemen beschikt de verwerker om deze risico's te beheren? Hoe beslist de verwerker of hij restrisico's aanvaardt? - Hoe herbeoordeelt de verwerker zijn risico's en de geschiktheid van zijn risicobeheerkader om de geïdentificeerde risico's aan te pakken? Hoe vaak wordt deze herbeoordeling uitgevoerd? - Hoe komt de verwerker tegemoet aan de wettelijke of reglementaire vereisten of aan veranderde vereisten? - Hoe beoordeelt de verwerker de risico's die verbonden zijn aan zijn relaties met gebruikers? - Hoe integreert de verwerker het risicobeheer, met inbegrip van de beoordeling van het algemeen bedrijfsrisico en de financiële toestand, in zijn strategisch besluitvormingsproces? Afhankelijkheid van derden |
| - Comment le processeur recense-t-il et surveille-t-il les risques que | - Hoe identificeert en bewaakt de verwerker de risico's die de |
| les dépendances à l'égard de fournisseurs tiers pourraient poser pour | afhankelijkheid van derde leveranciers kan inhouden voor zijn |
| ses activités ? | activiteiten? |
| - Comment le processeur évalue-t-il que la sécurité, la fiabilité et | - Hoe beoordeelt de verwerker of de veiligheid, betrouwbaarheid en |
| la résilience de ses activités ne sont pas réduites par les | veerkracht van zijn activiteiten niet worden verminderd door zijn |
| dépendances à l'égard de tiers ? | afhankelijkheid van derden? |
| - Comment le processeur gère-t-il et traite-t-il toute réduction non | - Hoe beheert de verwerker een eventuele niet-aanvaarde vermindering |
| acceptée en matière de sécurité, de fiabilité et de résilience de ses | van de veiligheid, betrouwbaarheid en veerkracht van zijn activiteiten |
| activités découlant de ses dépendances à l'égard de tiers ? | als gevolg van zijn afhankelijkheid van derden en hoe pakt hij dit |
| Gouvernance du cadre de gestion des risques à l'échelle de l'entreprise | probleem aan? Governance van het risicobeheerkader op het niveau van de onderneming |
| - Quelles sont les modalités de gouvernance du processeur pour le | - Over welke governanceregelingen beschikt de verwerker voor het |
| recensement et la gestion des risques ? Quelles sont les chaînes de | identificeren en beheren van risico's? Welke zijn de lijnen van |
| responsabilité au sein du processeur en matière de gestion des risques | verantwoordelijkheid en verantwoording bij de verwerker op het gebied |
| ? A quelle fréquence l'efficacité de la fonction d'audit interne fait | van risicobeheer? Hoe vaak wordt de doeltreffendheid van de interne |
| - elle l'objet d'un examen ? | auditfunctie beoordeeld? |
| - Comment le conseil d'administration du processeur examine-t-il et | - Hoe wordt het risicobeheerkader op het niveau van de onderneming |
| approuve-t-il explicitement le cadre de gestion des risques à l'échelle de l'entreprise ? Fonction d'audit interne - Comment le processeur assure-t-il l'indépendance et le professionnalisme de la fonction d'audit ? A quelles pratiques acceptées à l'échelle internationale qui régissent la profession d'auditeur la fonction d'audit interne adhère-t-elle ? - Quels sont les mécanismes de reporting permettant à la fonction d'audit interne de communiquer ses constatations au conseil d'administration et, le cas échéant, à son autorité de contrôle ou d'oversight ? | formeel onderzocht en goedgekeurd door de raad van bestuur? Interne auditfunctie - Hoe garandeert de verwerker de onafhankelijkheid en het professionalisme van de auditfunctie? Welke internationaal aanvaarde praktijken past de interneauditfunctie toe met betrekking tot het auditberoep? - Van welke rapporteringsmechanismen maakt de interneauditfunctie gebruik om haar bevindingen aan de raad van bestuur en, in voorkomend geval, aan haar toezichthouder of overseer mee te delen? |
| 2. SECURITE DE L'INFORMATION | 2. INFORMATIEBEVEILIGING |
| Cadre de sécurité de l'information | Informatiebeveiligingskader |
| - Quel est le cadre de sécurité de l'information du processeur à | - Over welk informatiebeveiligingskader beschikt de verwerker op het |
| l'échelle de l'entreprise permettant de fournir une orientation | niveau van de onderneming om algemene, overkoepelende richtlijnen te |
| générale et globale sur les solutions et les pratiques destinées à | geven met betrekking tot oplossingen en methodes voor het aanpakken |
| faire face aux risques de sécurité physique et de cybersécurité ? | van risico's met betrekking tot de fysieke veiligheid en |
| Comment ce cadre englobe-t-il les politiques et les procédures | cyberveiligheidsrisico's? Welke beleidslijnen en procedures omvat dit |
| destinées à : | kader voor: |
| 1° la catégorisation des actifs (systèmes et services) selon la | 1° de indeling van de activa (systemen en diensten) op grond van |
| confidentialité, l'intégrité et la disponibilité ; | vertrouwelijkheid, integriteit en beschikbaarheid; |
| 2° le recensement continu des menaces internes et externes ; | 2° de voortdurende opsporing van interne en externe bedreigingen; |
| 3° la sélection, la mise en oeuvre et la documentation des contrôles de sécurité afin d'atténuer les risques et les vulnérabilités recensés ; et 4° la gouvernance adéquate de toutes les activités de gestion des risques en matière de sécurité ? - Comment le processeur intègre-t-il les normes internationales, nationales et sectorielles pertinentes dans ses politiques et ses procédures ? - Quelles sources de risques liés à la sécurité de l'information le processeur a-t-il recensées en ce qui concerne ses services critiques ? Comment le processeur a-t-il traité ces risques ? - Quel est le rôle joué par le conseil d'administration dans le cadre de sécurité de l'information du processeur ? Le conseil d'administration examine-t-il et approuve-t-il explicitement ce cadre ? A quelle fréquence le conseil d'administration révise-t-il ce cadre ? - Comment le conseil d'administration du processeur a-t-il approuvé | 3° het selecteren, implementeren en documenteren van veiligheidscontroles om de vastgestelde risico's en kwetsbaarheden te verhelpen; en 4° het adequate beheer van alle activiteiten die verband houden met het beheer van het veiligheidsrisico? - Hoe integreert de verwerker relevante internationale, nationale en sectorale normen in zijn beleidslijnen en procedures? - Welke bronnen van informatiebeveiligingsrisico's heeft de verwerker vastgesteld met betrekking tot zijn kritieke diensten? Hoe heeft de verwerker deze risico's aangepakt? - Wat is de rol van de raad van bestuur van de verwerker met betrekking tot het informatiebeveiligingskader van de verwerker? Wordt dit kader formeel onderzocht en goedgekeurd door de raad van bestuur? Hoe vaak beoordeelt de raad van bestuur het kader? - Hoe heeft de raad van bestuur van de verwerker de belangrijkste |
| les rôles et les responsabilités clés de la haute direction en matière | taken en verantwoordelijkheden van de effectieve leiding op het gebied |
| de sécurité de l'information ? | van informatiebeveiliging goedgekeurd? |
| Politiques et procédures de sécurité de l'information | Beleidslijnen en procedures op het gebied van informatiebeveiliging |
| - Quelles sont les politiques et procédures utilisées pour prévenir | - Over welke beleidslijnen en procedures beschikt de verwerker om |
| l'accès non autorisé et la divulgation non autorisée de l'information | ongeoorloofde toegang tot en ongeoorloofde bekendmaking van informatie |
| ? En particulier, quelles sont les politiques et les procédures | te voorkomen? Welke beleidslijnen en procedures worden er meer in het |
| concernant les aspects suivants : | bijzonder gevolgd voor: |
| 1° l'octroi et la suppression d'autorisations aux utilisateurs, y | 1° het verlenen en intrekken van toegangsrechten voor gebruikers, met |
| compris l'accès logique et l'accès physique ; | inbegrip van logische en fysieke toegang; |
| 2° la recertification périodique des privilèges d'utilisateur ; | 2° de periodieke hercertificering van gebruikersprivileges; |
| 3° l'octroi, l'utilisation et le contrôle des comptes administrateurs | 3° het toekennen, gebruiken en beheren van beheerdersaccounts (of |
| (ou hautement privilégiés) ; | accounts met uitgebreide toegangsprivileges); |
| 4° la prévention des atteintes à la confidentialité des données ; | 4° het voorkomen van inbreuken op de vertrouwelijkheid van gegevens; |
| 5° la protection de l'intégrité des systèmes contre les attaques | 5° de bescherming van de integriteit van de systemen tegen logische of |
| logiques ou physiques ; et | fysieke aanvallen; en |
| 6° l'intégration de contrôles dans des applications fournies au schéma | 6° het integreren van controles in toepassingen die aan het |
| de paiement pour prévenir les erreurs, la perte, la modification non | betalingsschema worden verstrekt om fouten, verlies, ongeoorloofde |
| autorisée ou l'utilisation abusive de l'information ? | wijzigingen in of misbruik van informatie te voorkomen? |
| - Comment le processeur s'assure-t-il que tous les employés et toutes | - Hoe zorgt de verwerker ervoor dat alle werknemers en betrokken |
| les tierces parties concernées sont informés de leurs responsabilités, | externe partijen bewust worden gemaakt van hun verantwoordelijkheden |
| ainsi que des menaces à la sécurité, telles que définies dans le cadre | en aansprakelijkheden en van veiligheidsbedreigingen, zoals |
| de sécurité de l'information ? | gedefinieerd in het informatiebeveiligingskader? |
| - Quelles sont les politiques et procédures utilisées pour assurer la | - Welke beleidslijnen en procedures worden er gevolgd om de |
| confidentialité, l'intégrité et la non-répudiation des données, y | vertrouwelijkheid, integriteit en onweerlegbaarheid van gegevens te |
| compris lorsqu'elles sont en transit sur les réseaux et stockées chez | waarborgen, ook wanneer ze in transit zijn op de netwerken en wanneer |
| le processeur ? | ze bij de verwerker zijn opgeslagen? |
| - Quelles sont les politiques et procédures utilisées pour détecter | - Welke beleidslijnen en procedures worden er gevolgd om |
| les incidents liés à la sécurité de l'information, y réagir et | informatieveiligheidsincidenten op te sporen, erop te reageren en de |
| rétablir la situation ? | situatie te herstellen? |
| Suivi de la conformité à la sécurité | Monitoring van de naleving van het informatiebeveiligingskader |
| - Comment le processeur vérifie-t-il la conformité à son cadre de | - Hoe gaat de verwerker na of zijn informatiebeveiligingskader wordt |
| sécurité de l'information et surveille-t-il l'efficacité des contrôles | nageleefd en hoe houdt hij toezicht op de doeltreffendheid van de |
| bestaande veiligheidscontroles? Meer in het bijzonder, voorzien deze | |
| de sécurité ? Plus précisément, ces politiques et procédures | beleidslijnen en procedures in de uitvoering van |
| comprennent-elles une analyse de vulnérabilité et des tests de | kwetsbaarheidsanalyses en penetratietests op het niveau van de |
| pénétration au niveau de l'infrastructure et des applications ? | infrastructuur en de toepassingen? |
| - Dans quelle mesure le cadre de sécurité de l'information du | - In hoeverre is het informatiebeveiligingskader van de verwerker |
| processeur est-il assujetti à un audit interne et externe ? | onderworpen aan interne en externe audits? |
| - Comment et à quelle fréquence le conseil d'administration du | - Hoe en met welke frequentie wordt de raad van bestuur van de |
| processeur est-il informé des principales constatations des activités | verwerker op de hoogte gebracht van de voornaamste bevindingen van de |
| de suivi de la conformité en matière de sécurité ? | monitoring van de naleving van het informatiebeveiligingskader? |
| Planification des capacités | Capaciteitsplanning |
| - Quelles sont les politiques du processeur en matière de | - Wat zijn de beleidslijnen van de verwerker op het gebied van |
| planification des capacités ? Comment le processeur surveille-t-il et | capaciteitsplanning? Hoe houdt de verwerker toezicht op het gebruik |
| ajuste-t-il l'utilisation des ressources pour répondre aux besoins du | van de middelen en hoe past hij dit aan om te voldoen aan de behoeften |
| schéma de paiement et, le cas échéant, de ses participants, même au | van het betalingsschema en, in voorkomend geval, van haar deelnemers, |
| cours de périodes de tensions sur les marchés ? Comment le processeur | zelfs onder gespannen marktomstandigheden? Hoe reageert de verwerker |
| aborde-t-il les situations où les besoins du schéma de paiement ou des | wanneer de behoeften van de betalingsschema's of van zijn deelnemers |
| participants dépassent la capacité opérationnelle ? | de operationele capaciteit overschrijden? |
| - Comment le processeur examine-t-il, audite-t-il et teste-t-il | - Hoe onderzoekt, controleert en test de verwerker de opschaalbaarheid |
| l'évolutivité et l'adéquation de sa capacité à gérer, à tout le moins, | en toereikendheid van zijn capaciteit om minstens de door een bepaald |
| les volumes de tension projetés qui sont recensés par un schéma de | betalingsschema vastgestelde geprojecteerde stressvolumes, en, in |
| paiement donnée et, le cas échéant, les volumes de tension projetés | voorkomend geval, gelijktijdige geprojecteerde stressvolumes te |
| concomitants lorsqu'il agit pour plusieurs schémas de paiement ? A | beheren wanneer er meerdere betalingsschema's zijn? Hoe vaak voert de |
| quelle fréquence le processeur effectue-t-il ces examens, audits et tests ? | verwerker deze onderzoeken, audits en tests uit? |
| Gestion du changement | Veranderingsbeheer |
| - Comment les politiques et procédures du processeur en matière de | - Hoe beperken de beleidslijnen en procedures voor veranderingsbeheer |
| gestion du changement et de gestion de projet atténuent-elles les | en projectbeheer van de verwerker de risico's dat wijzigingen een |
| risques que des changements nuisent fortuitement à la sécurité et à la | ongewilde invloed hebben op de veiligheid en betrouwbaarheid van de |
| fiabilité des activités du processeur ? | activiteiten van de verwerker? |
| - Comment les politiques de gestion du changement élaborées par le | - Hoe bepalen de beleidslijnen inzake veranderingsbeheer van de |
| processeur définissent-elles les responsabilités et procédures | verwerker de formele bestuurlijke verantwoordelijkheden en procedures |
| officielles de gestion pour la planification et les tests des | voor het plannen en testen van veranderingen, met inbegrip van |
| changements, y compris en matière de tests de régression, de | regressie-, prestatie- en veiligheidstests? |
| performance et de sécurité ? | - In hoeverre wordt er over veranderingen die van invloed zijn op de |
| - Dans quelle mesure les changements ayant une incidence sur les | gebruikers overlegd met het betalingsschema en worden deze |
| utilisateurs sont-ils soumis à la consultation du schéma de paiement et testés avec la participation de ce dernier et, le cas échéant, de ses participants ? 3. FIABILITE ET RESILIENCE Des activités disponibles, fiables et résilientes - Quels sont les objectifs de disponibilité, de fiabilité et de résilience opérationnelles du processeur et comment sont-ils documentés ? Comment ces objectifs répondent-ils aux besoins du schéma de paiement et, le cas échéant, de ses participants ou les dépassent-ils ? - Comment les politiques et les procédures du processeur étayent-elles | veranderingen getest in samenwerking met het betalingsschema en, in voorkomend geval, met zijn deelnemers? 3. BETROUWBAARHEID EN VEERKRACHT Beschikbare, betrouwbare en veerkrachtige activiteiten - Wat zijn de operationele doelstellingen van de verwerker op het gebied van beschikbaarheid, betrouwbaarheid en veerkracht en hoe worden deze gedocumenteerd? Hoe voldoen deze doelstellingen aan of overtreffen ze de behoeften van het betalingsschema en, in voorkomend geval, van zijn deelnemers? |
| ses objectifs de disponibilité, de fiabilité et de résilience ? | - Hoe ondersteunen de beleidslijnen en de procedures van de verwerker |
| - Comment le processeur s'assure-t-il qu'il fournit des activités fiables et résilientes au schéma de paiement et, le cas échéant, à ses participants ? En particulier, comment s'assure-t-il que ses différents sites d'exploitation présentent des profils de risque suffisamment différents ? Comment s'assure-t-il que ses sites d'exploitation sont adéquatement protégés contre les catastrophes naturelles, les pannes d'électricité et les actions humaines préjudiciables ? Comment s'assure-t-il que ses sites de sauvegarde disposent d'une capacité suffisante pour traiter les services critiques pendant une période prolongée ? Suivi des activités et gestion des incidents - Comment le processeur surveille-t-il ses activités ? Comment vérifie-t-il s'il atteint les objectifs de fiabilité et de résilience du schéma de paiement ? Comment ce processus est-il documenté et | de doelstellingen inzake beschikbaarheid, betrouwbaarheid en veerkracht? - Hoe zorgt de verwerker ervoor dat de activiteiten die hij voor het betalingsschema en, in voorkomend geval, voor zijn deelnemers verricht, betrouwbaar en veerkrachtig zijn? Hoe zorgt de verwerker er in het bijzonder voor dat zijn verschillende bedrijfsruimten voldoende verschillende risicoprofielen hebben? Hoe zorgt de verwerker ervoor dat zijn bedrijfsruimten adequaat worden beschermd tegen natuurrampen, stroomstoringen en schadelijke menselijke handelingen? Hoe zorgt de verwerker ervoor dat zijn vervangende locaties voldoende capaciteit hebben om de kritieke diensten gedurende een langere periode te leveren? Monitoring van de activiteiten en incidentbeheer - Hoe monitort de verwerker zijn activiteiten? Hoe controleert de verwerker of hij voldoet aan de doelstellingen van het betalingsschema inzake betrouwbaarheid en veerkracht? Hoe wordt dit proces |
| comment le maintien de sa mise en oeuvre est-il assuré ? | gedocumenteerd en bijgewerkt? |
| - Comment le processeur recense-t-il, enregistre-t-il, | - Hoe identificeert, registreert, categoriseert, analyseert en beheert |
| catégorise-t-il, analyse-t-il et gère-t-il les incidents opérationnels ? Comment ces incidents sont-ils signalés à la haute direction ? Comment le processeur informe-t-il le schéma de paiement et, le cas échéant, les autorités compétentes de ces incidents ? Quel est le processus permettant de faire passer un incident au statut de crise ? - Quel est le processus d'analyse post mortem des incidents et comment ce processus est-il conçu pour assurer la détermination de la cause profonde des incidents et pour éviter qu'ils ne se reproduisent ? Quelle est la contribution du schéma de paiement à cette analyse post mortem ? Continuité des activités - Quels sont les objectifs du processeur en matière de continuité des activités et de reprise après sinistre ? Comment ces objectifs sont-ils fixés par le conseil d'administration et la haute direction ? A quelle fréquence ces objectifs sont-ils réexaminés par le conseil d'administration et la haute direction ? | de verwerker operationele incidenten? Hoe worden deze incidenten gemeld aan de effectieve leiding? Hoe licht de verwerker het betalingsschema en, in voorkomend geval, de bevoegde autoriteiten in over dergelijke incidenten? Welk proces wordt er gevolgd om een incident als crisis aan te merken? - Welk proces wordt er gevolgd voor het uitvoeren van een post-mortemanalyse van incidenten en hoe is dit proces opgezet om ervoor te zorgen dat de hoofdoorzaak van de incidenten vastgesteld kan worden en dat vermeden kan worden dat er zich in de toekomst opnieuw incidenten voordoen? Welke rol vervult het betalingsschema bij deze post-mortemanalyse? Bedrijfscontinuïteit - Wat zijn de doelstellingen van de verwerker op het gebied van bedrijfscontinuïteit en rampherstel? Hoe worden deze doelstellingen bepaald door de raad van bestuur en de effectieve leiding? Hoe vaak worden deze doelstellingen herzien door de raad van bestuur en de effectieve leiding? |
| - Comment les plans de continuité des activités et de reprise après | - Hoe zorgen de bedrijfscontinuïteits- en rampherstelplannen van de |
| sinistre élaborés par le processeur garantissent-ils la reprise en | verwerker ervoor dat zijn kritieke diensten tijdig hervat kunnen |
| temps opportun de ses services critiques en cas d'interruption de | worden in geval van een verstoring van de dienstverlening, onder meer |
| service, y compris en cas de perturbation à grande échelle ? Que | in geval van een grootschalige verstoring? Wat bepalen deze plannen |
| prévoient ces plans en matière de perte potentielle de données à la | met betrekking tot een potentieel gegevensverlies als gevolg van een |
| suite d'une interruption de service ? | verstoring van de dienstverlening? |
| - Comment le processeur détermine-t-il les scénarios de perturbation | - Hoe stelt de verwerker scenario's van verstoring van de |
| potentielle du service et comment le schéma de paiement participe-t-il | dienstverlening vast en hoe is het betalingsschema bij dit proces |
| à ce processus ? | betrokken? |
| - Que prévoient les plans du processeur en matière de continuité des | - Wat bepalen de bedrijfscontinuïteits- en rampherstelplannen van de |
| activités et de reprise après sinistre pour ce qui concerne les | |
| cyberattaques ? Comment ces plans garantissent-ils que le processeur | verwerker met betrekking tot cyberaanvallen? Hoe zorgen deze plannen |
| aura la capacité de déterminer et de gérer l'incidence d'une | ervoor dat de verwerker in staat is om de gevolgen van een cyberaanval |
| cyberattaque, y compris en matière de rétablissement des systèmes | vast te stellen en te beheren, met inbegrip van systeemherstel wanneer |
| après un compromis ? | het systeem is aangetast? |
| - Quel est le plan de communication de crise du processeur pour faire | - Over welk crisiscommunicatieplan beschikt de verwerker om |
| face aux interruptions de service ? En particulier, comment le plan | verstoringen van de dienstverlening aan te pakken? Wat bepaalt het |
| aborde-t-il les communications et l'échange d'informations avec le | plan in verband met de communicatie en informatie-uitwisseling met het |
| schéma de paiement et les autorités compétentes ? | betalingsschema en de bevoegde autoriteiten? |
| - Comment les plans de continuité des activités et de reprise après | - Hoe worden de bedrijfscontinuïteits- en rampherstelplannen getest en |
| sinistre sont-ils testés et à quelle fréquence ? Quels sont les | |
| scénarios testés, et incluent-ils des cyberattaques ? Comment les | hoe vaak gebeurt dit? Welke scenario's worden getest en omvatten die |
| résultats de ces tests sont-ils évalués et audités ? Comment le schéma | scenario's cyberaanvallen? Hoe worden de resultaten van deze tests |
| de paiement et, le cas échéant, ses participants, contribuent-ils aux | beoordeeld en geauditeerd? Hoe zijn het betalingsschema en, in |
| tests de simulation de continuité des activités ? | voorkomend geval, haar deelnemers, betrokken bij de |
| - Qu'est-il prévu pour l'évaluation régulière, en fonction des | bedrijfscontinuïteitssimulatietests? |
| attentes du schéma de paiement, des plans du processeur en matière de | - Worden de bedrijfscontinuïteits- en rampherstelplannen van de |
| continuité des activités et de reprise après sinistre ? | verwerker regelmatig getoetst aan de verwachtingen van het |
| betalingsschema en zo ja, hoe? | |
| 4. PLANIFICATION TECHNOLOGIQUE | 4. TECHNOLOGIEPLANNING |
| Politiques, procédures et modalités de gouvernance en matière de | Beleidslijnen, procedures en governanceregelingen voor |
| planification technologique | technologieplanning |
| - Quelles sont les politiques, les procédures et les modalités de | - Over welke beleidslijnen, procedures en governanceregelingen |
| gouvernance du processeur en matière de planification technologique ? | beschikt de verwerker op het gebied van technologieplanning? Wat |
| Que prévoient ces politiques, procédures et modalités de gouvernance | bepalen deze beleidslijnen, procedures en governanceregelingen in |
| concernant le cycle de vie en matière d'utilisation des technologies | verband met de levenscyclus voor het gebruik van technologie en de |
| et de choix des normes technologiques ? | keuze van nieuwe technologische standaarden? |
| - A quelle fréquence le processeur évalue-t-il ses risques | - Hoe vaak beoordeelt de verwerker de door hem gelopen technologische |
| technologiques ? Comment ces évaluations tiennent-elles compte de la | risico's? Hoe wordt er bij dergelijke beoordelingen rekening gehouden |
| fiabilité et de la résilience, des risques d'obsolescence et des | met de betrouwbaarheid en de veerkracht, evenals met de |
| risques de sécurité de l'information liés à l'utilisation de sa | verouderingsrisico's en informatiebeveiligingsrisico's die verbonden |
| technologie ? Comment ces évaluations tiennent-elles compte des | zijn aan het gebruik van zijn technologie? Hoe wordt er bij deze |
| risques technologiques susceptibles de nuire au schéma de paiement et, | beoordelingen rekening gehouden met de technologische risico's die |
| schadelijk kunnen zijn voor het betalingsschema en, in voorkomend | |
| le cas échéant, à ses participants ? | geval, voor haar deelnemers? |
| Politiques, procédures et modalités de gouvernance en matière de | Beleidslijnen, procedures en governanceregelingen voor het beheer van |
| gestion des changements technologiques | technologische veranderingen |
| - Quelles sont les politiques, les procédures et les modalités de | - Over welke beleidslijnen, procedures en governanceregelingen |
| gouvernance du processeur en matière de mise en oeuvre des changements | beschikt de verwerker voor de implementatie van de wijzigingen die in |
| à apporter aux technologies utilisées ? Comment ces politiques et ces | de gebruikte technologieën moeten worden aangebracht? Hoe behandelen |
| procédures abordent-elles la gestion des versions, l'utilisation | deze beleidslijnen en procedures het releasebeheer, het consistent |
| cohérente de la technologie et le maintien de la sécurité et de la | gebruik van technologie en het behoud van de veiligheid en stabiliteit |
| stabilité de la technologie ? | van de technologie? |
| - Hoe zorgen deze beleidsregels, procedures en governanceregelingen | |
| - Comment ces politiques, ces procédures et ces modalités de | ervoor dat de risico's die verbonden zijn aan technologische |
| gouvernance garantissent-elles que les risques liés aux changements | veranderingen worden opgespoord en adequaat worden beperkt, om te |
| technologiques sont recensés et atténués de façon adéquate, afin | voorkomen dat deze wijzigingen afbreuk kunnen doen aan de |
| d'éviter que ces changements puissent nuire à la fiabilité et à la | betrouwbaarheid en veerkracht van de kritieke diensten van de |
| résilience des services critiques du fournisseur ? Comment et à quelle | leverancier? Hoe en hoe vaak beoordeelt en test de verwerker de |
| fréquence le processeur évalue-t-il et teste-t-il les processus | processen die worden toegepast voor het implementeren van |
| utilisés pour mettre en oeuvre les changements technologiques ? | technologische veranderingen? |
| - Comment le processeur consulte-t-il le schéma de paiement et, le cas | - Hoe verloopt het overleg tussen de verwerker en het betalingsschema |
| échéant, ses participants, au sujet de toute proposition de changement | en, in voorkomend geval, haar deelnemers, over voorstellen voor |
| important à apporter à sa technologie qui pourrait avoir une incidence | belangrijke veranderingen in zijn technologie die een wezenlijke |
| importante sur le schéma de paiement ? | invloed kunnen hebben op het betalingsschema? |
| - Comment le service critique fait-il intervenir le schéma de paiement | - Hoe betrekt de kritieke dienst het betalingsschema in voorkomend |
| lorsque cela est opportun lors de la mise en oeuvre d'un changement | geval bij het implementeren van een technologische verandering? Is het |
| technologique ? Par exemple, le schéma de paiement participe-t-il aux | betalingsschema bijvoorbeeld betrokken bij het testen van |
| tests des changements technologiques de façon appropriée ? | technologische veranderingen? |
| Vu pour être annexé à Notre arrêté du 25 janvier 2019 portant | Gezien om te worden gevoegd bij Ons besluit van 25 januari 2019 tot |
| approbation du règlement de la Banque nationale de Belgique du 20 | goedkeuring van het reglement van de Nationale Bank van België van 20 |
| novembre 2018 précisant les modalités de certaines obligations de la | november 2018 tot vaststelling van de modaliteiten van bepaalde |
| loi du 24 mars 2017 relative à la surveillance des processeurs | verplichtingen van de wet van 24 maart 2017 houdende het toezicht op |
| d'opérations de paiement. | verwerkers van betalingstransacties. |
| PHILIPPE | FILIP |
| Par le Roi : | Van Koningswege : |
| Le Vice-Premier Ministre et Ministre des Finances, | De Vice-Eerste Minister en Minister van Financiën, |
| A. DE CROO | A. DE CROO |