Právní předpis byl sestaven k datu 01.02.2026.
Zobrazené znění právního předpisu je účinné od 01.07.2022.
Vyhláška, kterou se mění vyhláška č. 7/2018 Sb., o některých podmínkách výkonu činnosti platební instituce, správce informací o platebním účtu, poskytovatele platebních služeb malého rozsahu, instituce elektronických peněz a vydavatele elektronických peněz malého rozsahu
2/2022 Sb.
Účinnost Čl. II
2
VYHLÁŠKA
ze xxx 22. xxxxxxxx 2021,
xxxxxx se xxxx xxxxxxxx x. 7/2018 Sb., x xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxx instituce, xxxxxxx informací x xxxxxxxxx xxxx, poskytovatele xxxxxxxxxx xxxxxx malého xxxxxxx, xxxxxxxxx elektronických xxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxx malého xxxxxxx
&xxxx;
Xxxxx národní xxxxx xxxxxxx xxxxx §263 xxxxxx x. 370/2017 Xx., o xxxxxxxxx xxxxx, x xxxxxxxxx §16 xxxx. 5, §17 odst. 3, §20 xxxx. 4, §46 xxxx. 2, §48 xxxx. 4, §59 odst. 4, §65x xxxx. 2, §74 xxxx. 6, §75 xxxx. 3, §78 odst. 4 x §100 odst. 4 xxxxxx xxxxxx:
Xx. X
Xxxxxxxx č. 7/2018 Sb., x xxxxxxxxx podmínkách xxxxxx činnosti xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxxx x xxxxxxxxx xxxx, xxxxxxxxxxxxx xxxxxxxxxx služeb xxxxxx rozsahu, xxxxxxxxx xxxxxxxxxxxxxx peněz x xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxxxx xxxxxxx, xx xxxx xxxxx:
1. §1 xxxxxx xxxxxxx x xxxxxxxx xxx xxxxx x. 1 xxx:
"§1
Xxxxxxx xxxxxx
Xxxx xxxxxxxx zapracovává xxxxxxxxx xxxxxxxx Evropské xxxx1) a xxxxxxxx
x) xxxxxx xxxxxx xxxxxxxxx xxxxxxxxx na řídicí x xxxxxxxxx xxxxxx xxxxxxxx instituce, xxxxxxxxx xxxxxxxxxxxxxx xxxxx a xxxxxxx xxxxxxxxx x xxxxxxxxx xxxx,
x) xxxxxx xxxxxx xxxxxxxxx na xxxxxx xxxxxx xxxxxxxxxxxxxx x provozních rizik x systém vyřizování xxxxxxxxx a reklamací x xxxxxxxxxxxxx platebních xxxxxx malého rozsahu x xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxxxx xxxxxxx,
x) xxxxxxxx xxx xxxxxxx xxxx xxxxxxxx x xxxxxxxxxx přiměřenosti xxxxxxxx xxxxxxxxx x instituce xxxxxxxxxxxxxx peněz xxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xx mohou při xxxxxxx xxxxxxxxxx přiměřenosti xxxxxxxxxx,
x) minimální limit xxxxxxxxxx plnění x xxxxxxxxx a minimální xxxx xxxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx instituci, xxxxxxxxx elektronických peněz x správce informací x platebním xxxx.
1) Xx. 4 xxx 46, xx. 8 xxxx. 2, xx. 9, čl. 9 xxxx. 1 /část/ x xx. 9 xxxx. 2 směrnice Xxxxxxxxxx xxxxxxxxxx a Xxxx (EU) 2015/2366 xx xxx 25. xxxxxxxxx 2015 x xxxxxxxxxx xxxxxxxx xx xxxxxxxx xxxx, kterou xx mění směrnice 2002/65/XX, 2009/110/ES x 2013/36/XX x nařízení (XX) x. 1093/2010 x xxxxxxx směrnice 2007/64/XX.
Xx. 5 xxxx. 2, xx. 5 xxxx. 3, xx. 5 xxxx. 4 x čl. 5 xxxx. 6 směrnice Xxxxxxxxxx parlamentu a Xxxx 2009/110/ES ze xxx 16. xxxx 2009 x xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxx, o xxxxx xxxxxx x x xxxxxxxxxxxxxx xxxxxxx xxx touto xxxxxxxx, x xxxxx xxxxxxx 2005/60/XX x 2006/48/XX x x zrušení xxxxxxxx 2000/46/XX.".
2. Xxxx xxxxx xxxxxx xxxxxxx xxx:
"XXXX XXXXX
XXXXXX XXXXXX XXXXXXXXX XXXXXXXXX
XXXXX X
XXXXXX XXXXXX XXXXXXXXX XXXXXXXXX XX XXXXXX A XXXXXXXXX XXXXXX XXXXXXXX XXXXXXXXX
(X §20 xxxx. 4 xxxxxx)
§2
Xxxxxxx xxxxxxxx
(1) Xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx stanovené xx xxxxxx a kontrolní xxxxxx x xxxxxxx x xxxxxx xxxxxxxxxx xx svých xxxxxxxxx xxxxxxxx, xxxxxxx xx xxxxxx strategie, organizační xxx, plány a xxxxx xxxxxxx xxxxxxxxx xxxxxx x postupy xxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxx xxx xxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx a xxxxxxx, xxx vnitřní xxxxxxxx xxxx pravidelně xxxxxxxxxxxxx x případně xxxxxxxxxx.
(3) Xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxxxxx xxxxxxxx xxxx x xxxxxxx x údaji xxxxxxxxx x xxxxxxx x udělení povolení x činnosti xxxxxxxx xxxxxxxxx nebo jejích xxxxxxxxx, xx jejichž xxxxxxx bylo xxxxxxxx x činnosti xxxxxxx, xxxxxxxx xxxxxxxxx podle §11 xxxxxx.
(4) Platební xxxxxxxxx xxxxxxxx xx xxxxxxxxx xxxxxxxxxx obecné xxxxxx x doporučení xxxxxx Xxxxxxxxx xxxxxxx xxx xxxxxxxxxxxx, Xxxxxxxxx xxxxxxx xxx xxxxx xxxxxx x xxxx, Xxxxxxxxx orgánem xxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxx Xxxxxxxxx xxxxxxx evropských xxxxxx dohledu x xxxxxx poskytovatelům xxxxxxxxxx xxxxxx.
(5) Xxxxxxxx xxxxxxxxx xxxxxxx, aby xxxxxxx xxxxxxxxxx byli s xxxxxxxxxxx xxxxxxxxx předpisy x xxxxxx xxxxxxxxxx xxxxxxx v xxxxxxxxx xxxxxxx seznámeni a xxxxxxxxxxx v xxxxxxx x xxxx.
§3
Xxxxxxxxxxx x xxxxxxxxxxx xxxxxxx
Xxxxxxxx instituce xxxxxxx, xxx xxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx schvalování x xxxxxxxxxxxx xxxxxxxxx x xxxxx činnosti xxxxxxxx xxxxxxxxx a aby xxxxxxx xxxxxxxxxx schvalovací x xxxxxxxxxxx xxxxxxx x xxxxxxxxx činnosti xxxxxx xxxxxxxxxxxxx působností x xxxxxxxxx v xxxxx činnosti xxxxxxxx xxxxxxxxx a jejích xxxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx, xxxxxxxxx x xxxxxx xxxxxxxxxx x xxxxxxxxxxxxx. Za xxxxx xxxxxx xxxxxx xxxxxx xxxx své xxxxxxxxxx a xxxxxxxxxxx xxxxxxx.
§4
Xxxxxx xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxx
(1) Xxxxxxxx xxxxxxxxx xxxxxx x řízení xxxxxxxxxxxxxx x provozních rizik xxxxxxxxxxxxx s xxxxxxxxxx xxxxxxxx, které poskytuje, xxxxxxxx xxx xxxxxxxx xxxxxx rizik x xxxxxxxxx xxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxx účinné xxxxxxx xxxxxx bezpečnostních x xxxxxxxxxx xxxxxxxxx, x xx i xxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx bezpečnostních a xxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx xxxxxxxxx v xxxxx xxxxxxx řízení bezpečnostních x xxxxxxxxxx rizik xxxx xxxx také xxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx, xxxxx xxxxxxxx alespoň
a) xxxxxx xxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxx xxx, xxxxxxxxx xxxxxxx x dat xxxx xxxxxxxxxxx xxxxxxx x xxx nebo x xxxxxxxx xxxxxxxxxxxx změnit xxxxxxxxxx x xxxxxxxxxxx xxxxxxx v přiměřeném xxxx x x xxxxxxxxxxx xxxxxxx, xxxxx xx mění prostředí xxxx xxxxxxxx,
x) bezpečnostní xxxxxx xxxxxxxxxxx z xxxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxx xxxx x xxxxxxxx událostí xxxxxx kybernetických xxxxx xxxx x xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx.
(3) Xxxxxxxxxxx x řízení rizik x xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx, xxxxxx xxxxxxxx xxxxxxxxx xx xxxx xx xxxxx xxx xxxxxxxxx x xxxxxxxxxxx x jí xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx, xxxx uvedeny v xxxxxxx k xxxx xxxxxxxx.
(4) Xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx vymezuje xxxxxx x xxxxxxxx xx xxxxxxx důvěrnosti, xxxxxxxxx a dostupnosti xxx x xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxx platebních xxxxxx. Xxxxxxxx instituce xxxxxx xx xxxxx vnitřních xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx s xxxxxxxxxxxx x xxxxxx xxxxx podle xxxxxxx x této xxxxxxxx.
§5
Xxxxxx xxxxxxxxxx xxxxxxxxx a xxxxxxxxx
(1) Xxxxxxxx xxxxxxxxx xxxxxx a xxxxxxxxx xxxxxxx pro nakládání xx stížnostmi x xxxxxxxxxxx uživatelů xxxxxxxxxx xxxxxx, xxxxx
x) xxxx xxxxxxxxx xxxxxx, která xxxxxxxx xxxx xxxxxxx xxxxxxxx instituce x xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx, přičemž xxxx xxxxx xxxx průběžně xxxxxxxxxx jejich dodržování,
b) xxxx stanoveny xx xxxxxxxx předpisu,
c) xxxxxxxx xxxxxx řádné prošetřování x xxxxxxxxx xxxxxxxxxxxx x zmírňování xxxxxxx xxxxxx zájmů xxx xxxxxxxxx x xxxx.
(2) Xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxxx xx xxxxxxxxxxx xxxxxxx xxxxxxxxx a xxxxxxxxx x xxxxxxxxx s xxxx, x to xxxxxxxx splňujícím požadavky xx xxxxxxxxxx xxxxxxxxx.
(3) Xxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxx vyřizování xxxxxxxxx x xxxxxxxxx xxx, že xx xxxxxxxx xxxxxxxxxx xxx xxxxxxxxxx xxxxxxx České xxxxxxx bance xx xxxxxxxx xxxxxxxxx o xxxxxxxxxxx x reklamacích x x nakládání x xxxx xxxxxx xxxxxxxxxxx postupů xxxxxx xxxxxxxxxx.
(4) Xxxxxxxx xxxxxxxxx xxxxxxxx analyzuje údaje x xxxxxxxxxxx a xxxxxxxxxxx x xxxxxxxxxx xxxxxx xxxxxxxx x xxxxx xxxxxxxxxx xxxxxxxxxxxx x řešení xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx a xxxxxxx xxxxx, alespoň
a) xxxxxxxxx důvody jednotlivých xxxxxxxxx x xxxxxxxxx x xxxxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx x reklamací,
b) xxxxxxxx, zda xxxxxxxxxxxxxx xxxxxx xxxxxxx xxxxx xxxxxxxx x xxxx xxxxxxx, xxxxxx nebo xxxxxxxx, xxxxxx těch, xxxxxxx xx stížnost xxxx xxxxxxxxx xxxxx xxxxxx,
x) x případě xxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx odstranění xxxxxxxxxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxx.
(5) Xxxxxxxx xxxxxxxxx
x) xxxxxxxx uživateli xxxxxxxxxx xxxxxx xx xxxxxxxx x vždy x xxxxxxxxxxx x potvrzením xxxxxxx xxxxxxxxx xxxx xxxxxxxxx písemnou informaci x xxxx xxxxxxx xxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx, x to x xxxxxx xxxxxx xxxx x jiném xxxxxx, xxxxx xx xx něm x xxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx,
x) xxxxxxxxxx uživatelům xxxxxxxxxx xxxxxx a xxxxxxxxxx informace xxxxx xxxxxxx x) xxxxxxxxxxxxxxx xxxxx xxxxxxxxxxxx pošty xxxxxxxxx xxxxxxxxxx služeb xxxx xxxxx xxxxxxxx xxxxxxxxxx x uživateli xxxxxxxxxx xxxxxx xx xxxxx obchodních xxxxxxxxxx, x xx-xx zřízeny xxxxxxxxxxx xxxxxxx, xxxx xx xxxx, a xx xxxxxxx v xxxxxx xxxxxx,
x) xxxxxxxxx xxxxxxxxxxxx, xxxxxx a xxxxxxxx xxxxxxxxx o xxxxxxx vyřizování xxxxxxxxx x xxxxxxxxx, které xxxxxxxx
1. xxxxxxxx údaje x xxx, xxx xxxxxxxx xxxx reklamaci xxxxx, zejména xxxx xxxxxxxxx, které xxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxx, x xxxxxxxxx xxxxx xxxxx nebo xxxxxx xxxxxxxx instituce, xxxxxx xx být xxxxxxxx xxxx xxxxxxxxx xxxxxxx,
2. xxxxxxxxx o xxxxx, ve xxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxx vyrozuměn o xxxxxxxx xxxxxxxxx, x x xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx nebo xxxxxxxxx,
3. podstatné xxxxxxxx xxxxxxxxx o zpracovávání xxxxxxxxx xxxx xxxxxxxxx,
4. xxxxxxxxx o kontaktních xxxxxxx Xxxxx národní xxxxx, Kanceláře xxxxxxxxxx xxxxxxx x Kanceláře xxxxxxxxx xxxxxxxx xxxx.
(6) Xxxxxxxx instituce
a) xxxxxx xxxxx, xxxxx xxx xx xx xxxxxxx xxxxxxxxx, xxx získala x xxxxxxxxx xxxxxxx xxxxxxxxxx důkazy x xxxxxxxxx xxxxxxxx xx xxxx xxxxxxxxx xxxx xxxxxxxxx,
x) xxxxxxxxxx s xxxxxxxxxx platebních xxxxxx xxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxxx x xxxxxxxxxx ve xxxxxxx xxxxx §258 xxxxxx; xxxxxx-xx tyto xxxxx xxxxxxx, informuje xxxxxxxxx platebních xxxxxx x xxxxxxxx prodlení x xxxxxxx, xxx xxxx xxxxxxxx xxxxxxxxx xxxx xxxxxxxxx dokončeno,
d) xxx xxxxxxx xxxxxxxxxx, xxxxx xxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx, x xxx xxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx xxxx xxxxxxxxx x uvede xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxxxx služeb na xxxxxxxxx nebo reklamaci xxxxx x xxxxxxx xx xx Xxxxxxxx xxxxxxxxxx xxxxxxx, Xxxxxx xxxxxxx xxxxx x xx xxxxxx xxxxx xx xxxxx zacházení x ochrany před xxxxxxxxxxxx xx Xxxxxxxx xxxxxxxxx ochránce práv, xxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx xxxxxx, xxxx na xxxx.
XXXXX II
ZPŮSOB PLNĚNÍ XXXXXXXXX XXXXXXXXX XX XXXXXX A XXXXXXXXX XXXXXX XXXXXXXXX ELEKTRONICKÝCH XXXXX
(X §78 odst. 4 xxxxxx)
§6
&xxxx;Xxx instituci xxxxxxxxxxxxxx xxxxx se xxxxxxx §2 xx 5 obdobně.
HLAVA XXX
XXXXXX XXXXXX XXXXXXXXX POŽADAVKŮ XX XXXXXX X XXXXXXXXX XXXXXX SPRÁVCE XXXXXXXXX X PLATEBNÍM XXXX
(X §48 odst. 4 zákona)
§7
(1) Pro xxxxxxx xxxxxxxxx x xxxxxxxxx xxxx se xxxxxxx §2 x 3 obdobně.
(2) Xxx xxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxx bezpečnostních x xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxx xxxx xxxxxxx podle §4.
(3) Xxx xxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx stížností x xxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxx účtu xxxxxxx xxxxx §5.
XXXXX IV
ZPŮSOB XXXXXX POŽADAVKŮ XX XXXXXX XXXXXX XXXXXXXXXXXXXX X PROVOZNÍCH RIZIK X SYSTÉM VYŘIZOVÁNÍ XXXXXXXXX A XXXXXXXXX X POSKYTOVATELE XXXXXXXXXX XXXXXX MALÉHO XXXXXXX
(X §59 odst. 4 xxxxxx)
§8
(1) Poskytovatel xxxxxxxxxx xxxxxx xxxxxx xxxxxxx xxxxxxxx požadavky xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxx x xxxxxx xxxxxxxxxx xxxxxxxxx a xxxxxxxxx xx svých xxxxxxxxx předpisů x xxx naplňování xxxxxxxxx xx tyto xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxx xxxxx §2 xxxx. 2 xx 5.
(2) Xxx xxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxx x xxxxxxxxxxx procesy xxxxxxxx xx systému xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxx x systému xxxxxxxxxx stížností x xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx služeb malého xxxxxxx xxxxxxx xxxxx §3.
(3) Pro xxxxxxxxxx xxxxxxxxx na systém xxxxxx bezpečnostních x xxxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxxxxxxxxxx platebních xxxxxx postupuje xxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx xxxxxxx xxxxxxx xxxxx §4.
(4) Pro xxxxxxxxxx xxxxxxxxx na systém xxxxxxxxxx xxxxxxxxx x xxxxxxxxx postupuje xxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx xxxxxxx xxxxxxx xxxxx §5.
XXXXX X
XXXXXX PLNĚNÍ XXXXXXXXX XX XXXXXX XXXXXX XXXXXXXXXXXXXX X XXXXXXXXXX XXXXX A XXXXXX XXXXXXXXXX STÍŽNOSTÍ X REKLAMACÍ X XXXXXXXXXX XXXXXXXXXXXXXX PENĚZ XXXXXX XXXXXXX
(X §100 xxxx. 4 xxxxxx)
§9
(1) Xxxxxxxxx elektronických xxxxx xxxxxx xxxxxxx promítne xxxxxxxxx stanovené xx xxxxxx xxxxxx bezpečnostních x xxxxxxxxxx xxxxx x systém xxxxxxxxxx xxxxxxxxx x xxxxxxxxx xx xxxxx xxxxxxxxx xxxxxxxx x xxx xxxxxxxxxx xxxxxxxxx xx xxxx xxxxxxx xxxxxxxx xxxxxxxxx obdobně podle §2 xxxx. 2 xx 5.
(2) Xxx xxxxxxxxxx xxxxxxxxx na xxxxxxxxxxx a xxxxxxxxxxx xxxxxxx xxxxxxxx se xxxxxxx xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx x reklamací xxxxxxxxx xxxxxxxxx elektronických xxxxx malého xxxxxxx xxxxxxx podle §3.
(3) Xxx naplňování požadavků xx systém řízení xxxxxxxxxxxxxx x provozních xxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx peněz xxxxxx xxxxxxx obdobně podle §4.
(4) Xxx xxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxx vydavatel xxxxxxxxxxxxxx peněz malého xxxxxxx xxxxxxx podle §5.".
Xxxxxxxx xxx čarou x. 2 až 4 xx xxxxxxx.
3. X §27 xxxxxxxx 4 xxx:
"(4) Platební xxxxxxxxx, xxxxx xxxxxxxx x xxxx podnikatelské xxxxxxxx xxx činnost, x xxxxxxx výkonu xx xxxxxxxxx xx xxxxxxx povolení uděleného xxxxx xxxxxx, (xxxx xxx "xxxxxxxx xxxxxxxx xxxxxxxxx") xxxxx xx xxxxxxxx xxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx xx položky nebo xxxxxx xxxxx, které xxxx použity pro xxxxx xxxxxx xxxxxxxx, xxx xxxx činnosti, x jejichž xxxxxx xx xxxxxxxxx xx xxxxxxx povolení uděleného xxxxx xxxxxx.".
4. V §34 se xxxxxx xxxx xxxxxxxx 1, xxxxx zní:
"(1) Xxxxxxx xx xxxxxxxx xxxxxxx xxxx xxxxxxx xxxxx xx. 4 xxxx. 1 xxxx 118 xxxxxxxx.".
Xxxxxxxxx xxxxxxxx 1 xx 5 xx xxxxxxxx xxxx xxxxxxxx 2 xx 6.
5. X §34 odstavec 4 zní:
"(4) Instituce xxxxxxxxxxxxxx xxxxx, která xxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxx než xxxxxxx, x xxxxxxx xxxxxx je xxxxxxxxx xx základě xxxxxxxx xxxxxxxxx podle zákona, xxxxx xx xxxxxxxx xxxxxxxx podle xxxxxxxx 1 zahrnout ty xxxxxxx xxxx xxxxxx xxxxx, xxxxx jsou xxxxxxx xxx výkon xxxxxx činností, xxx xxxx xxxxxxxx, k xxxxxxx výkonu je xxxxxxxxx xx základě xxxxxxxx uděleného xxxxx xxxxxx.".
&xxxx;6. Xxxxxxxx xx xxxxxxx, která zní:
"Příloha x vyhlášce č. 7/2018 Sb.
Podrobnosti x xxxxxx xxxxx v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx
Xxxxxxxxxxx
1. Xxxxxxxx instituce xxxxxxxx xxxxxxxxx na xxxxxx xxxxx v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx a xxxxxxxxxxx (dále xxx "xxxxxx XXX x xxxxxxxxxxx") xxxxxxxx, který xx přiměřený xxxxxxxxx xxxxxxxx instituce, xxxxxx xxxxxxxxxxxxx uspořádání a xxxxxx, rozsahu, xxxxxxxxxx x xxxxxxxxxxx služeb x xxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx poskytuje xxxx xxxxxxx xxxxxxxxxx.
Xxxxxxxxxxx x xxxxxxxxxx xxxxxx, xxxxxxxxxxx uspořádání
2. Osoba, xxxxx xxxxxxxx řídí xxxxxxx platební xxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx (xxxx xxx "xxxxxxx xxxxxxxxx") xxxxxxx, aby xxxxxxxx xxxxxxxxx xxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx x xxxxxx x xxxxxxx xxxxxxxx xxx xxxxxx XXX x xxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxx xxxx x povinnosti xxx xxxxxx x xxxxxxx informačních x xxxxxxxxxxxxx technologií, xxxxxx xxxxx IKT a xxxxxxxxxxx včetně xxxxxxxxxxx xxxxxxxxx a xxxxxxxxx xxxxxx xxxxxxxx a xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx, x to x xxx sebe.
3. Xxxxxxx pracovník zajistí, xxx počet pracovníků xxxxxxxx xxxxxxxxx a xxxxxx odborná xxxxxxxxxxx x xxxxxxxxxx xxxx xxxxxxxxx pro xxxxxxxxx xxxxxxx provozu xxxxxxxx xxxxxxxxx v xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx, xxxxxx rizik XXX a bezpečnosti x pro zajištění xxxxxxxxx xxxx strategie x oblasti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx x xxx xxxx xxxxxxxxx xxxxxxxxx rozpočet. Xxxxxxxx instituce xxxxxxx, xxx všichni xxxxxxxxxx xxxxxxx xxxxxx ročně xxxxxxxxxxx xxxxxx školení xxxxxxx xxxxxxxx se xxxxxxxxx na rizika XXX x bezpečnosti, xxxxxx bezpečnosti xxxxxxxxx (xxx 49).
4. V xxxxxxxxxx vedoucího pracovníka xx stanovení a xxxxxxxxxxx strategie xxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx x xxxxx xxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx, dohled xxx xxxxxxxxxxxx xxxx xxxxxxxxx x vytvoření xxxxxxxx xxxxx xxxxxx xxxxx XXX x bezpečnosti.
5. Xxxxxxxxx v oblasti xxxxxxxxxxxx x komunikačních xxxxxxxxxxx xx x xxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx instituce x xxxxxxxx
x) xxx xx xx měly xxxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxx platební xxxxxxxxx xxxxxxxx, aby účinně xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxxxxxx, změn v xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií (xxxx xxx "XXX xxxxxxx") x xxxxxxxxx vztahů xxxxxxxxxx na xxxxxxx xxxxxxxx,
x) xxxxxxxxxx xxxxxxxxx x xxxxx architektury xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, včetně vztahů xxxxxxxxxx xx xxxxxxx xxxxxxxx,
x) srozumitelné xxxx x xxxxxxx bezpečnosti xxxxxxxxx se xxxxxxxxx xx IKT xxxxxxx x xxxxxx, xxxxxxxxxx x xxxxxxx x xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx.
6. Xxxxxxxx xxxxxxxxx xxxxxxx soubory xxxxxxx plánů, které xxxxxxxx opatření nutná x xxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií. X xxxxxx xxxxx xxxx xxxxxxxxx všichni xxxxxxxxx xxxxxxxxxx a xxxxx xxxxxxxxx osoby xxxxxx xxxxxxxxxx x xxxxxxxxx poskytovatelů služeb xxxx xxxxxxxx, kterými xx xxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx, xxxxxxxxxxxxx x xxxxx skupiny, jejímž xx platební instituce xxxxxx, xxxx xxxx xxxxxxx poskytovatelé (xxxx xxx "xxxxxxx xxxxxxxxxxxxx"), xxxxx xxxx xxx xx xxxxxxxxxx x xxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxx plány pravidelně xxxxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx x vhodnost. Xxxxxxxx xxxxxxxxx xxxxxx xxxxxxx xx sledování x xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxx strategie x xxxxxxx informačních a xxxxxxxxxxxxx xxxxxxxxxxx.
7. Platební xxxxxxxxx xxxxxxx, že xxxxxxxx xx zmírnění xxxxx xxxxxxxx x xxxxx xxxxxxx xxxxxx xxxxx xxxx účinná x x případě, xx xxxxxxxx provozní xxxxxx poskytování platebních xxxxxx xxxx IKT xxxxxxx či xxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx (xxxx jen "XXX xxxxxx") xxxx zajišťovány xxxxxxx.
8. Pro xxxxxxx xxxxxxxxx IKT xxxxxxx x XXX služeb xxxxxxxx instituce xxxxxxx, xx xxxxxxx x xxxxxxx xxxxxxxx x xxxxxx služeb xx xxxxx externími poskytovateli xxxxxxxx
x) xxxx a xxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a xxxxxxxx; v xxx xxxx xxxxxxxxx xxxxxxxxx xx kybernetickou xxxxxxxxxx, xxxxxxxxxxx životního xxxxx xxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxxx xxxxxxxx xx šifrování xxx, xxxxxxx xxxxxxxxxxx sítě x sledování xxxxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxx x xxxxxxx pro xxxxxx xxxxxxxxxxxxx xxxxxxxx xxxx řady xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx platební xxxxxxxxx, xxxxx xx xxxx pravděpodobně xxxx xxx xxxxxxxxxx dopad xx xxxxxxxxx, dostupnost, xxxxxxxxx xxxx xxxxxxxxxxx xxxxxx (dále xxx "xxxxxxxxxxxx a xxxxxxxx xxxxxxxx"), xxxxxx xxxxxxxxx xx xxxxx xxxxxx xxxxxx a podávání xxxxx.
9. Xxxxxxxx xxxxxxxxx xxxxxxx a xxxxxxxx xx, že externí xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx cílů, xxxxxxxx a xxxxxxxxxx xxxxx platební xxxxxxxxx, xxxxx xxxxxxx zajišťují.
Systém xxxxxx xxxxx XXX x bezpečnosti
10. Xxxxxxxx xxxxxxxxx xxxxxxxxxx a xxxx rizika XXX x xxxxxxxxxxx, xxxxxx xx xxxx xx xxxxx být vystavena x xxxxxxxxxxx x xx xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx. Xxxxxxxxx při xxx postupy x xxxxxxxx, xxxxx zajišťují, xx xxxxxxx tato xxxxxx xxxxx rozpoznávána, xxxxxxxxxxxxx, měřena, xxxxxxxxx, xxxxxxxxxx x xxxxxxxxx x xxxxxxx se xxxxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx x xxxxx xxxxxxx, x realizované xxxxxxxx x systémy a xxxxxxxxx xxxxxxxx jsou x souladu x xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx platební xxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx nebo xxxxxxxxxx x nápravě xxxxxxxxx Xxxxxx národní xxxxxx.
11. Xxxxxxxx xxxxxxxxx xxxxx působnost xx xxxxxx xxxxx XXX x xxxxxxxxxxx a xx dohled xxx xxxxxx xxxxxx kontrolní xxxxxx. Platební xxxxxxxxx xxxxxxx xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxx xxxxxx xxx, xx xx vhodným způsobem xxxxxx xx xxxxxxxx xxxxxxxx x oblasti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx. Xxxx xxxxxxxxx xxxxxx xx přímo xxxxxxxxx vedoucímu xxxxxxxxxxxx x x xxxx xxxxxxxxxx xx xxxxxxxxx x xxxxxxxx systému xxxxxx rizik XXX x xxxxxxxxxxx. Xxxxxxxxx xxxxxx, xxx xxxxxx XXX x bezpečnosti xxxx rozpoznávána, xxxxxxxxxxxxx, xxxxxx, xxxxxxxxx a xxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxx xxxxxxxxx xxxxxx neměla x xxxxxxxxxx xxxxx xxxxxxx xxxxx.
12. X xxxxxxxxx účinného xxxxxxx xxxxxx xxxxx XXX x xxxxxxxxxxx xxxxxxxx xxxxxxxxx vymezí xxxxxxx xxxx a povinnosti, xxxxxxxxx hierarchické xxxxxx x s xxxx xxxxxxxxxxx působnosti. Xxxxxxxx xxxxxxxxx zajistí, xx xxxxxx xxxxx IKT x bezpečnosti xx xxxx xxxxxxxxxxx xx xxxxxxx řízení rizik xxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxx efektivnosti x xxxxxxxxxxxxxx vazeb x xxxxx xxxxxx xxxxxxx x xx v xxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx xxxxx.
13. Xxxxxx xxxxxx xxxxx IKT x xxxxxxxxxxx zahrnuje xxxxxxx xxx
x) xxxxxx míry xxxxxx xxxxxxxx instituce xxxxxxxxxxx k xxxxx xxxxxxx v souladu x mírou xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx x xxxxxxx,
x) rozpoznávání x xxxxxxxxxxxxx xxxxxx xxxxx, xxxxxx xx xxxxxxxx xxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xxxx xxxxxx xxxxxxx xxxxxx rizik,
d) xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxx xxxxxxxxxx bezpečnostních x provozních xxxxxxxxx x oblasti xxxxxxxxxx xxxxx, včetně xxxxxxxxx xxxxx §221 xxxxxx, xxxxx mají dopad xx xxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxx, a x xxxxxxx potřeby xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx xxxxxx xxxxx x xxxxxxxx vedoucímu pracovníkovi,
f) xxxxxxxxxx a xxxxxxxxxxxxx xxxxxx xxxxx vyplývajících x xxxxxxxx xxxxxxxx xxxxx x IKT xxxxxxxxx x XXX xxxxxxxx, procesech či xxxxxxxxx xxxx v xxxxxxxxxx xx xxxxxxxx xxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxxx.
14. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxxxx řízení rizik XXX x bezpečnosti xxx řádně xxxxxxxxxxxxx x xxxxxxxxx zdokonalován xx xxxxxxx získaných xxxxxxxx. Vedoucí xxxxxxxxx xxxxxxx xxxxxx xxxxx xxxxxxxxx x přezkoumává xxxxxxxxx systému xxxxxx xxxxx XXX a xxxxxxxxxxx.
15. Platební xxxxxxxxx xxxxxxxxxxxx a mapuje xxxxxxxx xxxxxx, role x podpůrné xxxxxxx x hlediska xxxxxx xxxxxxx x xxxxxxxxxx xxxxx x souvislosti x xxxxxx XXX x xxxxxxxxxxx.
16. Xxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx informace, xxxxx xx xxxxx xxxxxxx (xxxx xxx "xxxxxxxxxx xxxxxxx"), xxxxxxxxxxx xxxxxxxx xxxxxx x xxxxxxxx xxxxxxx x zavede x xxxxxxxxxxx xxxxxx xxxxxxxxxxxx. Platební xxxxxxxxx xx xxxxxxx řídit xxxx xxxxxxxxxx aktiva, xxxxx podporují xxxx xxxxxxxx xxxxxxxx xxxxxx x xxxxxxx.
17. Platební xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxx xxxxxxx x informační xxxxxx xxxxx xxxx 15 x 16 x xxxxxxxx xxxxxx xxxxxxxxxxx.
18. Xx xxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxxx x xxxxxxxxxxxx xxxxx platební xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx týkající xx xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxxxxxxx vymezí xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xx xxxxxxxxxxxx xxxxx.
19. Xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx a xxxxxxxxx xxxxxxxxxxx xxxx, xxxx xxxxxxx xxxxxxxxxxx rizik.
20. Xxxxxxxx instituce rozpoznává xxxxxx XXX x xxxxxxxxxxx, xxxxx mají xxxxx xx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxx xxxxxxx x xxxxxxxxxx aktiva, x xx xxxxx xxxxxx xxxxxxxxxxx. Toto xxxxxxxxxxxxx xxxxx provádí, xxxxxx xxxxxxxxxxxxxx, alespoň xxxxxx xxxxx x xxxx xxx xxxxx xxxxxxx xxxxxxx xxxxxxxxxxxxxx, xxxxxxx nebo postupů xxxxxxxxxxxxx obchodní xxxxxx, xxxxxxxx xxxxxxx xxxx xxxxxxxxxxxx xxxxxx. Na xxxxxxx toho xxxxxxxx xxxxxxxxx xxxxxxxxxxx platné xxxxxxxxxxx xxxxx.
21. Xxxxxxxx xxxxxxxxx průběžně sleduje xxxxxx x xxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxxx, xxxxxxxx xxxxxxx x xxxxxxxxxx xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxx, xxxxx xx xx xxxx xxxxx.
22. Na xxxxxxx xxxxxxxxxxx rizik xxxxxxxx xxxxxxxxx určí xxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxxxx rizik XXX x xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx xxxx xxxxxx platební xxxxxxxxx xxxxxxxxxxx x xxxxxxx. Xxxxxxxx xxxxxxxxx xxxx xxxx, zda jsou xxxxxxxx xxxxx stávajících xxxxxxxxxx procesů, xxxxxxxxxxx xxxxxxxx, XXX xxxxxxx x XXX xxxxxx. Xxxxxxxx xxxxxxxxx xxxxx xxx xxxxxxxx k xxxxxxxxx xxxxxx změn x čas na xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx vedoucích x xxxxxxx xxxxx XXX x xxxxxxxxxxx x xxxx ochoty platební xxxxxxxxx k xxxxx xxxxxxx xxxxxxxxxxx.
23. Xxxxxxxx xxxxxxxxx xxxxxxx opatření xxxxxxx x omezení xxxxxxxxxxxx xxxxx IKT x xxxxxxxxxxx x x xxxxxxx xxxxxxxxxxxx xxxxx v xxxxxxx x xxxxxx klasifikací.
24. Xxxxxxxx xxxxxxxxx zajistí, xx xxxxxxxx xxxxxxxxxxxxx xxxxx xxxx xxxxxxxxxxxx x včas xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx.
Xxxxxxx audit x xxxxxxx xxxxx XXX x bezpečnosti
25. Xxxxxx vnitřního xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx a xxxxxxxxxx xxxxxxxxxxx xxxxxx všech xxxxxxxx xxxxxxxx instituce xxxxxxxxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx technologiemi x bezpečností xx xxxxxxxx x postupy xxxxxxxx xxxxxxxxx x x externími požadavky, xxxxxxxxxxx, xxx xxxx xxxxxx a postupy xxxx v xxxxxxxxx xxxxxxxx xxxxxxxxxx, x xxxxxxxxx o xxx xxxxxxxxxx xxxxxxxxx xxxxxxxx. Xxxxxx vnitřního auditu, xxxxxx platební instituce xxxxxxxxx xxxxxxx xxxx xxxxxxx, xxxxxxxxxx xxxxxxxxx xxxxxxxxx pracovníkovi xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxx xxxxx XXX x bezpečnosti. Xxxxxxxxxx, xxxxx zajišťují xxxxxx xxxxxxxxx xxxxxx, xxxx xxxxxxx xxxxxxxxx x xxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx se xxxxx XXX a xxxxxxxxxxx, plateb a xxxx v xxxxx xxxxxxxx instituce xxxx xx xxxxxxx platební xxxxxxxxx nezávislí. Xxxxxxx x xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx těchto xxxxx.
26. Vedoucí xxxxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx všech xxxxxx x xxxxxxx informačních x xxxxxxxxxxxxx technologií x jakýchkoli jejich xxxxxxxxxxx změn. Plán xxxxxx x jeho xxxxxxxxx, xxxxxx četnosti xxxxxx, xxxxxx xxxxxxxxxx xxxxxx IKT x xxxxxxxxxxx xxxxxxxx instituce, xx xxxxxx xxxxx xxxxxxx a xx xxxxxxxxxx aktualizován.
27. Platební xxxxxxxxx stanoví opatření xxx xxxxxx xxxxxxx x nápravu xxxxxxxxxx xxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx.
Xxxxxxxxxx xxxxxxxxx
Xxxxxxxx xxxxxxxxxxx xxxxxxxxx
28. Platební xxxxxxxxx xxxxxxx, xx xxxxxxxx bezpečnosti xxxxxxxxx xx v xxxxxxx x xxxx xxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxxx informací x xx založena na xxxxxxxxxx vyhodnocování xxxxx. Xxxxxxxx xxxxxxxxxxx informací xxxxxxxxx xxxxxxx xxxxxxxxx.
29. Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx hlavních xxxx x povinností x xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxxxx xx pracovníky x xxxxxxx poskytovatele, procesy x xxxxxxxxxxx v xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx. Xxxxxxx pracovníci x xxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxx xxx xxxxxxxxxxx bezpečnosti xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxx xxxxxxxxx xxxx vykonávaným, xxxxxx xxx xxxxxxxx x oprávněním, xxxxx xxxxxxxxx. Politika bezpečnosti xxxxxxxxx xxxxxxxxx xxxxxxxxx, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx logických x xxxxxxxxx aktiv, zdrojů x xxxxxxxxx xxxxx xxxxxxxx instituce xxx xxx uložení, tak xxx xxxxxxx x xxxxxxxxx. S xxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxxxxx x externí xxxxxxxxxxxxx.
30. Xx xxxxxxx xxxxxxxx xxxxxxxxxxx informací xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxx XXX a xxxxxxxxxxx, xxxx xx xxxx by xxxxx xxx vystavena. Xxxxxxxx xxxxxxxxx xxxx oblasti:
a) xxxxxxx xxxxxx a xxxxxx v xxxxxxx x xxxxxxxxx podle xxxx 10, 11 x 25,
x) logickou xxxxxxxxxx,
x) fyzickou xxxxxxxxxx,
x) xxxxxxxxxx provozu v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxx,
x) přezkumy, xxxxxxxxx x xxxxxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxx přípravu x xxxxxxxxxxxxx x xxxxxxx bezpečnosti xxxxxxxxx.
Xxxxxxx xxxxxxxxxx
31. Platební xxxxxxxxx xxxxxxx, zdokumentuje x xxxxxxxxx xxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxx jsou x xxxxxxxx xx účelem xxxxxxxxx xxxxxxxx. Xxxxxxxx xxxxxxxxx sleduje xxxxxxxxxxx xxxxxx xxxxxxx a xxxxxxxxxx xx xxxxxxxxxxx. Xxxx xxxxxxx xxxx xxxxxxxx alespoň xx xxxxxx zásadách:
a) xxxxxx xxxxxxxx xxxxx potřebného, xxxxxx minimálních xxxxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx; platební xxxxxxxxx xxxxxxxxx přístupu x xxxxxxxxxxx aktivům x xx svým xxxxxxxxx xxxxxxxx xxxxxxxx xxx, xxx uživatel xxxxxx xxxxxxxxxxx xxxxxxxxx (xxxx xxx "xxxxxxxx") věděl xxx xx, co xx xxxxxxxx, x xx i x xxxxxxx vzdáleného xxxxxxxx; xxxxxxxxx xxxx xxx xxxxxx xxxxxxxxxx práva, xxxxx jsou xxxxxxxx xxxxx x plnění xxxxxx xxxxxxxxxx, x xxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx xxx xxxx xxxxxxxx přidělení xxxxxxxxx xxxxxxxxxxxx práv, xxxxx xxx xxxxxx k xxxxxxxxx xxxxxxxxxxx opatření,
b) xxxxxx xxxxxxxxxxx působnosti; xxxxxxxx xxxxxxxxx v xx nejvyšší xxxx xxxxx používání obecných x xxxxxxxxx uživatelských xxxx a x xxxx xxxxxxxxxxx v XXX xxxxxxxxx zajistí xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx; xxxxxxxx xxxxxxxxx přísně xxxxxxxxxx privilegované xxxxxxxx xx xxxxxxx pomocí xxxxxxxx omezení účtů xxxxxxxxxxxxxx x xxxxxxx xxxx xx xxxxxxxxx xxxxx xxxxxxxx k xxxxxxx a xxx xxxxxx xxxx zajišťuje xxxxxxxx dohled, xxxxxxxx xxxxxxxxxxxxxxx xxxxxxx xx xxxxxxxxx XXX systémům xxxxxxxxx xxx xxx, xxx uživatel xxxxx xxx xx xx xxxxxxxx x xxx xxxx xx xxxxxxx xxxxx ověřování xxxxxxxx xxxxxxxxx,
x) xxxxxx zaznamenávání xxxxxxxx xxxxxxxxx; platební xxxxxxxxx zajistí vedení xxxxxxxxx xxxxxxx x xxxxxxxxxxxx xxxxxxxx se xxxxxxx xxxxxxxxx činností xxxxxxxxxxxxxxx uživatelů, zabezpečení xxxxxxx x xxxxxxxx xxx, aby se xxxxxxxx jejich xxxxxxxxxxxx xxxxxxx xxxx xxxxxx, x jejich uložení xx dobu xxxxxxxxxxxx xxxxxxxxxxx identifikovaných xxxxxxxxxx xxxxxx, podpůrných xxxxxxx x xxxxxxxxxxxx xxxxx; xxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxx x xxxxxxxxx identifikace x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx při poskytování xxxxxx,
x) xxxxxx řízení xxxxxxxx; xxxxxxxx xxxxxxxxx xxxxxxx, že xxxxxxxxxx xxxxx xxxx xxxxxxxxx, xxxxxxxxx xxxx upravována xxxx, a to xxxxx předem xxxxxxxxxxx xxxxxxx schvalování xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx aktiva, x případě ukončení xxxxxxxxxx xxxxxx nebo xxxxxxxxx xxxxxx xxxx xxxxxxxxxx xxxxx okamžitě xxxxxxxx,
x) zásada xxxxxx xxxxxxxxxxxx xxxxxxxxx; xxxxxxxx xxxxxxxxx xxxxxxxxx, xx xxxxxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxxxxxxxxx x xxxxx zajistit, xxx xxxxxxxxx xxxxxxxxxx nadměrných xxxxx x xxx xxxx xxxxxxxxxx práva xxxxxxxx, xxxxxxx xxx xxxxxxx xxxxxxxxx,
x) zásada xxxxxxxxxxxxxx xxxxxxxxxxxxxx metod; xxxxxxxx instituce xxxxxxxxx xxxxxx xxxxxxx, které xxxx dostatečně xxxxxxxx, xxx xxxxxxxxx x xxxxxx zajistily xxxxxxxxxx xxxxx x xxxxxxx xxxxxxxx xxxxxxxx, odpovídají xxxxxxxxxxx XXX systémů, xxxxxxxxx xxxx xxxxxxx, x xxxx se xxxxxxxxxx, zahrnují přinejmenším xxxxxxx xxxxx, dvoufaktorová xxxxxxx xxxx jiné xxxxx metody xxxxxxx, x xx xxxxx xxxxxxxxxxx rizika.
32. Xxxxxxxx xxxxxxxxx zajistí, xx xxxxxxxx přístup prostřednictvím xxxxxxxx x datům x XXX xxxxxxxx xx omezen xx xxxxxxx, které xx xxxxx x xxxxxxxxxxx xxxxxxxxx služby.
Fyzická xxxxxxxxxx
33. Xxxxxxxx xxxxxxxxx stanoví, xxxxxxxxxxxx a uplatňuje xxxxxxxx xxx fyzické xxxxxxxxxxx xxxxxxxx xxxxxxxxx x zajištění ochrany xxxxxx xxxxxxx, xxxxxxxx xxxxxx x citlivých xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxx x xxxx xxxxxx okolního prostředí.
34. Xxxxxxxx xxxxxxxxx xxxxxxx, xx xxxxxxx přístup x XXX xxxxxxxx xx povolen xxxxx xxxxxxxxxx xxxxxx, xxxxxxxxx xx xxxxxxxxx x xxxxxxx x úkoly x xxxxxxxxxxx xxxxxxx xxxxx x xx xxxxxxx na osoby, xxxxx xxxx xxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxx xxxxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx, xx fyzický přístup xx xxxxxxxxxx přezkoumáván x v xxxxxxx xxxxxxx xxxx xxxxxxxxxx xxxxxxxxxx xxxxx zrušena.
35. Xxxxxxxx instituce xxxxxx xxxxxxxxx opatření xx xxxxxxx xxxx xxxxxx xxxxxxxx xxxxxxxxx, která xxxx úměrná xxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxx xxxx XXX xxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxx.
Xxxxxxxxxx xxxxxxx x xxxxxxx informačních x komunikačních xxxxxxxxxxx
36. Xxxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxxx x xxxxxxxxx xxxxxxx, které xxxxxxxx xxxxxxx xxxxxxxxxxxxxx incidentů x IKT xxxxxxxxx x XXX službách, x xxxxxxxxxxxx jejich xxxxx xx xxxxxxxxxxx xxxxxx služeb. Tyto xxxxxxx xxxxxxxx
x) identifikace xxxxxxxxxxxxx zranitelností, xxxxx xxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxxxxxx, xxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxxxxx kritických xxxxxxxxxxxxxx xxxxx xxxx zavedením xxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxxxx xx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx všech xxxxxxxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx sítě, xxxxxxx xxxxxxxx xxxxxx xxx x šifrování xxxxxxxx xxxxxxx, x to x xxxxxxx s xxxxxxxxxxx dat,
d) zavedení xxxxxxx xxxxxxxxx xxxx xxxxxx xxxxxxx, pracovních xxxxxx x mobilních xxxxxxxx; xxxxx než xxxx xxxxx xxxxx xxxxxxx přístup do xxxxxxxxx xxxx, platební xxxxxxxxx xxxxxxxxxxx, xxx xxxxxxx body splňují xx xxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxx, firmwaru x xxx,
x) šifrování xxxxxxxxx x přenášených dat, x xx x xxxxxxx s klasifikací xxx.
37. Platební xxxxxxxxx xxxxxxxx zjišťuje, xxx xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx nebo xxxxxxxx přijetí xxxxxxx xxxxxxxx xx xxxxxx xxxxxxxx rizik. Xxxxxxxx xxxxxxxxx xxxxxxx, xx xxxx xxxxx jsou xxxxx xxxxxxxxxxx, otestovány, xxxxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx.
Xxxxxxxxxxxx xxxxxxxxx
38. Xxxxxxxx xxxxxxxxx provádí xxxxxxxx xxxxxxxxxxxx xxxxxxxxx. K xxxx si stanoví, xxxxxxxxxxxx x xxxxxxxxx xxxxxxx xxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxx xxx xxxxx xx xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx, a xxx xxxxxxxxx xx xxxx xxxxxxxx. V xxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx je xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx x ohlašovat xxxxxxx xxxx xxxxxxx xxxxxxxx x xxxxxxxx důvěrnosti, xxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxx xxxxx. Xxxxxxxx xxxxxxxxx se zaměřuje xx
x) xxxxxxxxxx xxxxxxx x xxxxxx xxxxxxx, xxxxxx obchodních xxxxxx x xxxxxxxxxxxxxxxxx funkcí x oblasti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx, xxx xxxx xxxxx odhalit xxxxxxxx xxxxxxxx xxxxx stranou xxxx uvnitř xxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxx.
39. Xxxxxxxx xxxxxxxxx xx xxxxxxxxxxx uspořádání, xxxxx xx xxxxxxxx xxxxxxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxx s xxxxxxxxxx xxxxxx na xxxx schopnost xxxxxxxxxx xxxxxx. Platební xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxx, xxx xx xxxx xxxxxx xxxxx xxxxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx x identifikaci možných xxxxx xxxxxxxxx, xxxxxxxxxx xxxx a dalších xxxxxxxxxxxxxx hrozeb x xxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxx a hardwaru x xxxxxxxxxx odpovídající xxxx aktualizace xxxxxxxxxxx.
40. Xxxxxxxxxxxx sledování xxxxxxxx xxxxxxxxx pomáhá pochopit xxxxxx bezpečnostních x xxxxxxxxxx xxxxxxxxx, identifikovat xxxxxx a podporovat xx prováděné xxxxxxxxxxx.
Xxxxxxxx, xxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxxx
41. Xxxxxxxx xxxxxxxxx xxxxxxxxx pro xxxxxxxx, xxxxxxxxx a xxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx x xxxxxxxx tak, aby xxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx v XXX xxxxxxxxx x XXX xxxxxxxx, x xx xxxxxx xxxxxxxxxx analýzy xxxxxx xxxxxxxxxx bezpečnosti xxxxxxxxx xxxx xxxxx xxxxxxxx, přezkumy dodržování xxxxxxxx, xxxxxx informačních xxxxxxx a xxxxxxxx xxxxxxxxx zabezpečení. Xxxxxxxx xxxxxxxxx xxxxxxx xxxxx xxxxxxxxx postupy, jako xxxx přezkumy xxxxxxxxxx xxxx, xxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxx xxxxxx xxxxxx xx IKT xxxxxxx.
42. Xxxxxxxx xxxxxxxxx xxxxxxx a uplatňuje xxxxx xxx testování xxxxxxxxxxx informací, xxxxx xxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxx xxxxxxxx x oblasti xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxx hrozby x zranitelnosti xxxxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxx hrozeb x xxxxxxxxxxxxx xxxxx XXX a xxxxxxxxxxx.
43. Xxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx, xx testy
a) xxxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxx xxx bezpečnost xxxxxxxxx x xxxxxxxx xx xx xxxxxx xxxxxxxx xxx xxxxxxxxxx informací,
b) xxxxxxxx xxxxxxxx xxxxxxxxxxxxx x xxxxxxxx penetrační xxxxx, xxxxxx xxxxxxxxxxxx xxxxxxxxx na xxxxxxx xxxxxx, xx-xx to xxxxx x xxxxxx, xxxxxx xxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxx xxxxxxx x xxxxxxx.
44. Xxxxxxxx instituce xxxxxxx xxxxxxxx a xxxxxxxxx xxxxx xxxxxxxxxxxxxx opatření. Xxxxx u xxxxx xxxxxxxxxx XXX systémů xxxxxxx xxxxxxx xxxxxx xxxxx a xxxx xxxxxxxx xxxxxxxxxxx vyhodnocení xxxxxxxxxxxxxx x provozních xxxxx v xxxxxxxxxxx x xxxxxxxxxxxx xxxxxx, x němž xxxxxxxx xxxxxxxxx xxxxxxxxx Xxxxxx xxxxxxx banku podle §222 xxxx. 1 xxxxxx. Xxxx než xxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxx xx základě xxxxxxxx xxxxxxxxxx na xxxxxx, xxxxxxx xxxx xxxxx xxx xxxx.
45. Xxxxxxxx xxxxxxxxx zajistí, xx xxxxx bezpečnostních xxxxxxxx xx provádí x xxxxxxx xxxx infrastruktury, xxxxxxx xxxx xxxxxxx x x xxxxxxx, xx xxxxx xx xxxxxx v xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxx xxxx x důsledku xxxxxx xxxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxxxxx aplikací xxxxx xxxxxxxxxx x xxxxxxxxx.
46. Xxxxxxxx xxxxxxxxx xxxxxxx a xxxxxxxxxxx xxxxxxxx bezpečnostních xxxxx x xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxx, x případě xxxxxxxxxx XXX xxxxxxx xxx zbytečného odkladu.
47. Xxxxxxxx xxxxxxxxx xxxxxxxxx xxxx bezpečnostní xxxxxxxx xxxxxxxx xx
x) platebních xxxxxxxxx x xxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxx,
x) platebních xxxxxxxxx x xxxxxxxx xxxxxxxxxxx x ověřování xxxxxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx za xxxxxx xxxxxxxxxxxx xxxx xxxx xxxxx xxxxxxx xxxxxxxxxxx xxxx.
48. Platební xxxxxxxxx na základě xxxxxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxx xxxxxxx testy, které xxxxxxxx scénáře xxxxxxxxxxxx x známých xxxxxxxxxxxxx xxxxx.
Xxxxxxx xxxxxxxx a xxxxxxxx xxxxxxxx se xxxxxxxxxxx xxxxxxxxx
49. Platební xxxxxxxxx xxxxxx xxxxxxx xxxxxxx xxxxxxxx zahrnující xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx v oblasti xxxxxxxxxxx pro všechny xxxxxxxxxx a externí xxxxxxxxxxxxx x xxxxxxx, xx pracovníci a xxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxx x xxxxxx xxxxx úkolů x xxxxxxxxxx x xxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx, xxxxxxx xxxxx xx xxxxxxxxx xxxxxx xxxxx, xxxxxxx, xxxxxxxx xxxxxxx, xxxxxxxx xxxx xxxxxx x řešit xxxxxx xxxxxxx s xxxxxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx xxxxxxx xxxxxxx přípravy xxxxxxxxxx xxxxxxx xxx všechny xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxx alespoň xxxxxx xxxxx.
Xxxxxx xxxxxxx v xxxxxxx informačních x xxxxxxxxxxxxx technologií
50. Platební xxxxxxxxx xxxx provoz x oblasti informačních x komunikačních xxxxxxxxxxx xx základě zdokumentovaných x xxxxxxxxxx xxxxxxx x xxxxxxx, které xxxxxxxxx vedoucí pracovník. Xxxxx xxxxxx dokumentů xxxxxxxx, xxx platební xxxxxxxxx xxxxxxxxx, xxxxxxx x xxxxxxxxxx xxx XXX systémy a XXX služby, jak xxxxxxxxxxx xxxxxxxx operace x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií, xxx xxxxxxx xxxxxxxx xxxxxx xxxxxxxx a xxxxxxxx, xxxxx xx xxxxxxx x xxxxxxxxx xxxxxxxxx (xxxx jen "XXX xxxxxxx").
51. Xxxxxxxx xxxxxxxxx zajistí, xxx xxxxxxxx provozu x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx technologií xxxx x xxxxxxx s xxxxxx provozními xxxxxxxxx. Xxxxxxxx instituce xxxxxxx x xxxxx xxxxx xxxxxxx xxxxxxxx xxxxxxx x oblasti informačních x komunikačních xxxxxxxxxxx, xxxxxx xxxxxxxxx, xxx xxxxxxxxxxxxx možné chyby xxxxxxxxxx xxx provádění xxxxxxxxxx xxxxx.
52. Platební xxxxxxxxx xxxxxxx a xxxxxxxxx x xxxxxxxxxx xxxxx xxxxxxx v xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxx a xxxxxxxxx, xxxxx umožňují xxxxxxx, xxxxxxxxxx x xxxxxxxxx xxxxx.
53. Platební xxxxxxxxx xxxxxxx aktuální xxxxxx XXX xxxxx včetně xxxxxxxx xxxxxxxx a xxxxxxxx. Xxxxxx těchto xxxxx xxxxxxxx jejich xxxxxxxxxxx x vazby x vzájemné závislosti xxxx xxxx pro xxxxxxx xxxxxx xxxxxxxxxxx x řízení xxxx.
54. Xxxxxx XXX xxxxx xx dostatečně xxxxxxxx, xxx xxxxxxx okamžitou xxxxxxxxxxxx xxxxxxxx xxxxxx, xxxx xxxxxxxx, xxxxxxxxxxxx xxxxxxxxxxx x osobu, xxxxx xx má x působnosti. Platební xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxx xxxxx mezi XXX aktivy xxxxx xxxxxxxxxx xxxxxxxx na xxxxxxxxxxxx a xxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxxxxxxx xxxxx.
55. Xxxxxxxx xxxxxxxxx xxxxxxx a xxxx xxxxxxx xxxxx IKT xxxxx, xxx zajistila, xx tato xxxxxx xxxxx i xxxxxx xxxxxxxx a xxxxxxxxxx xxxxxxxxx týkající xx xxxxxxxx činnosti x xxxxxx xxxxx. Platební xxxxxxxxx xxxxxxx, xxx xxxx IKT aktiva xxxx podporována vývojáři x externími poskytovateli x xxx jsou xxxxxxx xxxxxxxxx xxxxxx x aktualizace xxxxxxxxx xx xxxxxxx xxxxxxxxxxxxxxxx xxxxxxx. Platební instituce xxxxxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx ze xxxxxxxxxxx nebo xxxxxxxxxxxxxxx XXX xxxxx.
56. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxx plánování x xxxxxxxxx xxxxxxxxxx XXX systémů x xxxxxxxxx kapacity tak, xxx xxxx xxxxxxxx xxxxxxxx problémům x xxxxxx xxxxxxxxxx a xxxxxxxxxxx x xxxxxx xxxxxxxx, xxxx je xxxxxxxxxx x reagovala xx ně.
57. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxx zálohování x xxxxxx dat x XXX systémů, xxx tato data x xxxxxxx xxxx xxxxxxx x případě xxxxxxx obnovit. Xxxxxx x xxxxxxx xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxx xx xxxxxxxx činnosti x xxxxxxxxxxx xxx x XXX xxxxxxx x xxxxxxx xx xxxxx provedeného vyhodnocení xxxxx. Platební xxxxxxxxx xxxxxxxxxx xxxxxxx testování xxxxxxx xxxxxxxxxx x xxxxxx xxx a XXX systémů.
58. Platební xxxxxxxxx xxxxxxx, xxx xxxxxx xxx x XXX xxxxxxx xxxx xxxxxxxx xxxxxxx a xxxxxxxxxx xxxxxxxx od xxxxxxxxxx xxxxx xxx, xxx nebyly vystaveny xxxxxxx xxxxxxx.
Xxxxxx xxxxxxxxx x problémů x xxxxxxx informačních x xxxxxxxxxxxxx technologií
59. Xxxxxxxx xxxxxxxxx stanoví a xxxxxxxxx xxxxxx xxxxxx xxxxxxxxx a xxxxxxxx xxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx technologií, xxx xx xxxxxxxx xxxxxxxxxxx xxxx xxxxxxxx kritické xxxxxxxx funkce a xxxxxxx x případě xxxxxxxx. Platební instituce xxxxxxx příslušná xxxxxxxx x xxxxxxx hodnoty xx xxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx incidentu a xxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxx zajišťují včasné xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx Xxxxxxxx xxxxxx Evropského xxxxxx xxx xxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx incidentů xxxxx xxxxxxxx (EU) 2015/2366 x xxxxxxxxxx xxxxxxxx xx xxxxxxxx xxxx (XXX2).
60. X xxxxxxxxx minimalizace xxxxxx xxxxxxxxxxxx událostí x xxxxxxxx včasné xxxxxx xxxxxxxx xxxxxxxxx stanoví x xxxxxxxxx xxxxxx xxxxxxx x xx xxxxxx organizační uspořádání, xxxxx xxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxx, xxxxxx a návazné xxxxxxxxx bezpečnostních a xxxxxxxxxx xxxxxxxxx a xxxxxxxxx, aby xxxx xxxxxxxxxxxxxx a odstraněny xxxxxx xxxxxx xxxxxxx x zamezeno xxxxxxx xxxxxxxxxxx xxxxxxxxx. Xxxxxxx xxxxxx incidentů x xxxxxxxx xxxxxxxx
x) postupy xxx xxxxxxxxxxxx, zpětné xxxxxxxxx, zaznamenávání, xxxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx xxxxx priority xx xxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxx,
x) xxxx x xxxxxxxxxx xxx xxxxx scénáře x xxxxxxx xxxx, xxxxxx, xxxxxxxxxxxxxx xxxxx x xxxxxx incidentů,
c) xxxxxxx pro xxxxxxxxxxxx, xxxxxxx x xxxxxx xxxxxx xxxxxxx xxxxxxx xxxx xxxx xxxxxxxxx, xxxxxxx platební xxxxxxxxx
1. xxxxxxxxx bezpečnostní x xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx vlivem na xx, které xxxx xxxxxxxxxxxxxx xxxx xx xxxxxxxx uvnitř xxxx xxx xxxxxxxx xxxxxxxxx,
2. xxxxxxxxxx hlavní xxxxxxxx x xxxxxx analýz x odpovídajícím xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxx plány xxxxxxx xxxxxxxxxx včetně postupů xxx oznamování incidentů x jejich předání xx xxxxx úroveň xxxxxx, xxxxxxxxxx i xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxxxx, přičemž tyto xxxxxxx xxxxxxxxx, xx
1. xxxxxxxxx x potenciálně xxxxxx nepříznivým dopadem xx xxxxxxxx XXX xxxxxxx x XXX xxxxxx xxxx xxxxxxxxxx xxxxxxxxx osobě x xxxxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx x vedoucímu xxxxxxxxxxxx,
2. v xxxxxxx xxxxxxxxx xxxxxxxxx jsou xxxxxxxxxxx xxxxxxx xxxxx x xxxxxxx pracovník, x to xxxxxxx x xxxxxx, xxxxxx x xxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxxx instituce xxxxxxx xx základě xxxxxxxxxxx incidentů,
e) xxxxxxx xxxxxx xx incidenty xx xxxxxxxx xxxxxx xxxxxxxxxxxxx s incidenty x xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxx xxxxxx komunikace xxx kritické obchodní xxxxxx a xxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxxx spolupracovat x xxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxx xx xxxxxx xxxxxx xxxxxx na xxxxxxxx x xxxxxx xx xxxxxxxxx a poskytnout xxxxxx informace xxxxxxxxxx xxxxxxxxx služeb x xxxxx třetím xxxxxxx.
Xxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx
61. Platební xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxx x xxxxxx xxxxxxxx, xxxxx xxxxxx role, xxxxxxxxxx x působnosti xxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx x oblasti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxx v xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx v případě xxxxxx, xxxxxxx, xxxxxxxxx xxxx xxxxxxxx XXX xxxxxxx a IKT xxxxxx. Tyto xxxxxxxx xxxxx být xxxxxxxx xxxxxxx xxxxxxxx transformace x xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx xxxx obchodní činnosti.
62. Xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx a omezuje xxxxxx vyplývající x xxxxxx xxxxxxxxx xxxxxxxx x xxxxxxx informačních x komunikačních technologií x xxxxxxxxxx také xxxxxx, která xxxxx xxxxxxxx xx xxxxxxxxxx xxxxx xxxx xxxxxxx xxxxxxxx x x xxxxx více xxxxxxxx xx xxxxx zdrojích xxxx xxxxxxxxx znalostech.
63. Xxxxxxxx xxxxxxxxx xxxxxxx x uplatňuje politiku xxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx technologií, xxxxx xxxxxxxx alespoň
a) cíle xxxxxxxx,
x) xxxx x xxxxxxxxxx v xxxxxxxx,
x) xxxxxxxxxxx xxxxx projektu,
d) xxxx, xxxxxx xxxxx x fáze xxxxxxxx,
x) xxxxxx xxxxxxx xxxxxxxx,
x) xxxxxxxxx týkající xx xxxxxx xxxx.
64. Xxxxxxxx xxxxxx xxxxxxxx x xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx, xxx xxxxxxxxx na xxxxxxxxxx xxxxxxxxx byly xxxxxxxxxxx a xxxxxxxxx xxxxxx, xxxxx xx xxxxxxxxx na xxxxxx xxxxxx.
65. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx v xxxxxxxxxxx xxxx xxxx xxxxxxxxxx všechny xxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxx informačních a xxxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxxxx xxx xxxx mít xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxxx projektu x xxxx xxxxxxxxx.
66. Xxxxxxx pracovník je xxxxxxxxxx x xxxxxxxx, xxxxxxxx a xxxxxxx xxxxxxxx x oblasti xxxxxxxxxxxx x komunikačních xxxxxxxxxxx x x xxxx xxxxxxxxxxxxx xxxxxxxx, x xx jednotlivě xxxx souhrnně za xxxxxxx xxxxxxxx, podle xxxxxxx a xxxxxxxxx xxxxxxxx x oblasti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, pravidelně x xxxxx xxxxxxx xxxx xxxxxxxxxxx. Platební instituce xxxxxxxx xxxxxx projektů xx xxxxx xxxxxxx xxxxxx rizik.
Pořizování x xxxxx XXX xxxxxxx
67. Xxxxxxxx xxxxxxxxx xxxxxxx x uplatňuje postup xxx pořízení, xxxxx x xxxxxx IKT xxxxxxx. Xxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxx přístup.
68. Xxxxxxxx xxxxxxxxx zajistí, xxx před xxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxx xxxxxx XXX systémů xxxxxxxxx xxxxxx vedení xxxxxxxxxxxx vymezily x xxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxx požadavků x xxxxxxxxx na bezpečnost xxxxxxxxx.
69. Xxxxxxxx xxxxxxxxx xxxxxxx a xxxxxxxxx xxxxxxxx k xxxxxxx xxxxxx xxxxxxxxx xxxx xxxxxxx xxxxx IKT xxxxxxx xxxxx vývoje x xxxxxxxx v xxxxxxxxxx xxxxxxxxx.
70. Platební xxxxxxxxx xxxxxxx a xxxxxxxxx xxxxxxx pro xxxxxxxxx x xxxxxxxxxxx XXX xxxxxxx xxxx xxxxxx prvním použitím. Xxxx xxxxxxx zohledňují xxxxxxxxxx obchodních xxxxxxx x xxxxx. Testování xxxxxxxxx, aby xxxx XXX xxxxxxx fungovaly xxx, jak xxxx xxxxxxxxx. Platební instituce xxxx xxxxxxx testovací xxxxxxxxx, xxxxx přiměřeně xxxxxx xxxx produkční xxxxxxxxx.
71. Platební instituce xxxxxxx IKT systémy, XXX xxxxxx x xxxxxxxx xxx xxxxxxxxxx xxxxxxxxx xxx, aby xxxxxxxxxxxxxx xxxxx xxxxx xxxxx, xxxxxxxx x xxxxxxxxx x oblasti xxxxxxxxxxx.
72. Xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxx, aby xxxxxxxxx xxxxxxxxxxxx xxxxxxxx funkcí x xxxxxxx xxxxx xxxxxxxxxxx xxxx na xxxxxxxxx xxxxxxx. Platební xxxxxxxxx xxxxxxx oddělení xxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx zajistí xxxxxxxxx x důvěrnost xxxxxxxxxxx xxx v xxxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxx x datům x xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx omezí xx xxxxxxxxx uživatele.
73. Xxxxxxxx xxxxxxxxx stanoví x xxxxxxxxx xxxxxxxx xx xxxxxxx integrity xxxxxxxxxx xxxx IKT systémů, xxxxx jsou vyvíjeny xxxxxx xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxx, xxxxxxxx, xxxxxx x xxxxxxxxxxx XXX xxxxxxx, xxx xx snížila jakákoli xxxxxxxxxx závislost xx xxxxxxxxxxx v xxxx xxxxxxx. Dokumentace XXX xxxxxxx xxxxxxxx alespoň xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxxx xxxxxxx a xxxxxxxx xxxxxxx.
74. Xxxxxxx xxxxxxxx instituce xxx xxxxxxxx x xxxxx XXX systémů zahrnují xxxx IKT systémy xxxxxxxx nebo xxxxxx xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxx x xxxxxxx xxxxxxxxxxxx a komunikačních xxxxxxxxxxx. Xxxxxxxx instituce xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx přístup. Xxxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxxxx, xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxx xxxx xxxxxxx.
Xxxxxx xxxx x oblasti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx
75. Xxxxxxxx xxxxxxxxx xxxxxxx x uplatňuje proces xxxxxx změn x xxxxxxx informačních x xxxxxxxxxxxxx xxxxxxxxxxx, xxx xxxxxxxxx, xx xxxxxxx xxxxx XXX systémů xxxx zaznamenávány, testovány, xxxxxxxxxx, schvalovány, xxxxxxxxx x ověřovány kontrolovaným xxxxxxxx. Platební xxxxxxxxx xxxxxxxx změny během xxxxxxxxxxx xxxxxxxx, xxxxxxxx xxx zbytečného xxxxxxx, xxxxx xxxxxxx, které xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx.
76. Xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, zda xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx stávající bezpečnostní xxxxxxxx nebo vyžadují xxxxxxx xxxxxxx opatření x xxxxxxx xxxxx. Xxxx xxxxx xxxx x souladu x xxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx stanovila x xxxxxxxxx pro xxxxxx xxxx.
Xxxxxx kontinuity činnosti
77. Xxxxxxxx xxxxxxxxx stanoví x xxxxxxxxx řádný xxxxxx xxx zajištění xxxxxxxxx výkonu xxxxxxxx x trvalého xxxxxxxxx xxxxxxxx xxxxxxxxx (xxxx xxx "řízení xxxxxxxxxx xxxxxxxx"), xxx xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxx služby a xxxxxxx xxxxxx x xxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxx činnosti.
78. X xxxxx xxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xx podnikatelskou xxxxxxx xxxxxxxxxxx xxx xxxxxxxx xxxx závažným narušením xxxxxxxx x xxxxxx xxxxxx xxxxxxx, xxxxxx xxxxxx x xxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx, x xx xxxxxxxxxxxxx x xxxxxxxxxxxx. Xxxxxxx vnitřních xxxxx, xxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx xxx obchodní xxxxxx, xxxxxxx dostupných xxxxx nebo xxxxxx xxxxxxxx údajů, které xxxxx xxx x xxxxxxxx analýzy dopadu xx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxx, a analýzu xxxxxxx. Platební xxxxxxxxx x xxxxxxx xxxxxx xx xxxxxxxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxxxx x klasifikovaných xxxxxxxxxx xxxxxx, podpůrných xxxxxxx, xxxxxxx xxxxx x xxxxxxxxxxxx aktiv x jejich xxxxxxxx xxxxx.
79. Xxxxxxxx xxxxxxxxx xxxxxxx, xxx její XXX systémy x XXX xxxxxx xxxx xxxxxxxx x xxxxxxx x její xxxxxxxx xxxxxx xx xxxxxxxxxxxxxx xxxxxxx, xxxxxxx jde-li x xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx, xxx xx xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx, které xxxx xx xxxx xxxxxx xxxxx.
80. Platební xxxxxxxxx na xxxxxxx xxxxx xxxxxx xxxxxx xx podnikatelskou xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxxxxxxxxx x xxxxxxxxx xxxxxxxx pracovníkem. Plány xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx, která xx mohla xxx xxxxxxxxxx xxxxx na XXX xxxxxxx x XXX xxxxxx. Plány xxxxxxxxxx xxxxxxxx podporují xxxx xxxxxxxx xx xxxxxxx x v xxxxxxx potřeby obnovy xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxxx x xxxxxxxxxxxx xxxxx. Xxxxxxxx xxxxxxxxx xxx sestavování xxxxx kontinuity xxxxxxxx xxxxx xxxxxxx koordinuje xxxx xxxxxxx uvnitř xxxxxxxx xxxxxxxxx x xx xxxxxxxxxxxxxxxx třetími xxxxxxxx.
81. Xxxxxxxx xxxxxxxxx xx xxxxx xxxxxxxxxx xxxxxxxx, xxx xxxxxxxxx, xx xxxx moci xxxxxxxxx xxxxxxxx xx xxxxxxxx scénáře selhání x xx xxxx xxxxxxx obnovit xxxxxx xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx xx xxxxxxxxx x xxxxx maximální xxxx, xxxxx xxx xxxx xxx xx xxxxxxxxx xxxxxxx systém xxxx xxxxxx (dále xxx "xxxxxx doba xxxxxx") a x xxxxx xxxxxxxxx xxxxx, xxxxx níž xx xxxxxxxxxx ztráta xxx x xxxxxxx xxxxxxxxx (xxxx xxx "cílový xxx obnovy"). V xxxxxxx vážného narušení xxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx opatření xxx kontinuitu činnosti xx xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxx.
82. Platební xxxxxxxxx xx xxxx xxxxx kontinuity činnosti xxxxxxx xxxxx xxxxxxx, xxxxxx méně xxxxxxxxxxxxxxx xxxxxxx xxxxxx, xxxxxxx xxxx xxx xxxxxxxxx, x xx včetně xxxxxxx xxxxxxxxxxxxxx xxxxx. Xxxxxxxx xxxxxxxxx posuzuje xxxxx xxxxx xxxxxxxx xxxxxxxx xxxxxxx. Xx xxxxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxx, xxx xx xxxx xxxxxxxxx xxxxxxxxxx XXX xxxxxxx x IKT xxxxxx, xxxxx x xxxxxxxxxx xxxxxxxxx platební xxxxxxxxx.
83. Xxxxxxxx instituce xx xxxxxxx xxxxxx xxxxxx xx podnikatelskou xxxxxxx a věrohodných xxxxxxx xxxxxxxxx xxxxx xxxxxx a xxxxxx xxxxxxxx platební xxxxxxxxx. Xxxx plány specifikují, xxxx xxxxxxxx xxxxx xxxxxxxx aktivaci xxxxx x jaká xxxxxxxx xxxx být xxxxxxx x zajištění dostupnosti, xxxxxxxxxx x obnovy xxxxxxxxxxxx xxxxxxxxxx IKT xxxxxxx x IKT xxxxxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxx.
84. Xxxxx xxxxxx x obnovy zohledňují xxxxxxxxxx x dlouhodobé xxxxxxxx xxxxxx. Tyto xxxxx jsou
a) xxxxxxxx xx obnovu xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxxx, xxxxxxxxxxxx xxxxx x xxxxxx xxxxxxxxxx vazeb, xxx xxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xx fungování xxxxxxxx instituce x xx platební xxxxxx, xxxxxx xxxxxx xx xxxxxxxx xxxxxxx x xx uživatele xxxxxxxxxx xxxxxx, x xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx,
x) jsou zdokumentovány x xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxx x xxxx xxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxx,
x) xxxx xxxxxxxxxxxxx x xxxxxxx x xxxxxxxx získanými x xxxxxxxxx, xxxxxxxxx, x xxxx identifikovanými xxxxxx či hrozbami x xx změněnými xxxx x xxxxxxxxxx xxxxxx.
85. Xxxxx xxxxxx x xxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx možnosti x případech, xxx xxxxxx nemusí xxx x xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x důvodu xxxxxxx, rizik, xxxxxxxxx xxxx xxxxxxxxxxxxxx okolností.
86. X xxxxx xxxxx xxxxxx x xxxxxx xxxxxxxx xxxxxxxxx vezme x xxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxxxx xx xxxxxxxx xxxxxxx xxxxxxxxx poskytovatelů, xxxxx xxxx klíčový xxxxxx xxx xxxxxxxxxx XXX xxxxxx xxxxxxxx xxxxxxxxx, x xx přiměřeně x xxxxxxx x Xxxxxxxx xxxxxx x xxxxxxxxxxxx vydanými Xxxxxxxxx xxxxxxx xxx xxxxxxxxxxxx.
87. Xxxxxxxx instituce xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxx. Xxxxxxx zajistí, xxx xxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxxx, informačních xxxxx x jejich xxxxxxxxxx xxxxx, včetně xxxx xxxxxx, procesů x xxxxx, xxxxx případně xxxxxxxx třetí xxxxxx, xxxx xxxxxxxxx xxxxxxx xxxxxx xxxxx.
88. Xxxxxxxx xxxxxxxxx vyhodnocuje nutnost xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xxxxxxx xxxxxx xxxxx na xxxxxxx xxxxxxxx xxxxxxxxx, aktuálních xxxxxxxxx o hrozbách x xxxxxxxxxx xxxxxxxxx x předchozích xxxxxxxx. Xxxxxxxx xxxxx xxxx xxxxxx, včetně xxxx xxxxxx doby xxxxxx x cílového xxxx xxxxxx, nebo změny xxxxxxxxxx xxxxxx, podpůrných xxxxxxx x informačních xxxxx xxxx xxxxxxxx xxxxxxxxxx xxxx vstup xx xxxxxxxxxxx plánů xxxxxxxxxx xxxxxxxx.
89. Xxxxxxxxxx xxxxx xxxxxxxxxx činnosti xxxxxxxx xxxxxxxxx prokáže, xx je xxxxxxx xxxxxxxx své xxxxxxxx xx doby xxxxxx xxxxxxxx operace. Xxxxxxxx xxxxxxxxx zejména
a) xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxx, ale xxxxxxxxxxxxxxx xxxxxxx, xxxxxx xxxxxxx xxxxxxxxxxx xxx xxxxx xxxxx xxxxxxxxxx činnosti, x případně xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx; xxxxxxxx xx xxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx, podpůrných procesů x informačních xxxxx xx prostředí pro xxxxxx xx xxxxxxx x xxxxxxxxx toho, xx xx xxx xxxxx xxxxxxxxxx xx xxxxxxxxxx xxxxxx xxxxxx x poté lze xxxxxxx xxxxxxxx xxxxxxx,
x) xxxxxxxx testování tak, xxx xxxxxxxxx předpoklady, xx xxxxx xxxx xxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, včetně systémů xxxxxx x xxxxxx x xxxxx krizové xxxxxxxxxx, a
c) xxxxxxxx xxxxxxx k xxxxxxx xxxxxxxxxx xxxxxxxxxx a xxxxxxxxx poskytovatelů, XXX xxxxxxx x XXX xxxxxx provozovaných xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx xx xxxxxxx xxxxx xxxxxxx x).
90. Xxxxxxxx xxxxxxxxx zajistí, že xxxxxxxx xxxxx xxxx xxxxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxx vyplývající x xxxxx jsou xxxxxxxxxxx, řešeny a xxxxxxxx xxxxxxxxx pracovníkovi.
91. Xxx případy narušení xxxx xxxxxxxxx xxxxxxx x během provádění xxxxx kontinuity xxxxxxxx xxxxxxxx instituce zajistí, xxx xxxx xxxxxxxxx x uplatňována xxxxxx xxxxxxxxxxx opatření xxx xxxxxx xxxxx, xxx xxxx xxxx a xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx příslušné osoby xxxxxx xxxxxxxx instituce, xxxxxxxxx xxxxxxxxxx xxxxxx x xxxx xxxxxxxxxxxxxx xxxxx xxxxxx, včetně xxxxxxxxxxx vnitrostátních xxxxxx, xxxxx xx xxxxxxxx xxxxxx xxxxxxxx, x xxxxxxxxx xxxxxxx poskytovatelé.
Řízení xxxxxx x uživateli xxxxxxxxxx xxxxxx
92. Xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxx uživatelů xxxxxxxxxx služeb o xxxxxxxxxxxxxx rizicích spojených x platebními xxxxxxxx, x to xxxxxxxxxxxxxxx xxxxxxxxxxxx služeb x xxxxxxxxxxx pro xxxxxxxxx xxxxxxxxxx xxxxxx.
93. Platební xxxxxxxxx xxxxxxx, xx xxxxxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxx uživatelům xxxxxxxxxx služeb jsou xxxxxxxxxxxxx x xxxxxxx xx nové xxxxxx x zranitelnosti x xxxxxxxxx xxxxxxxxxx xxxxxx xxxx x xxxxx xxxxxxx xxxxxxxxxxx.
94. Xxxxxxxx-xx xx xxxxxxxxx produktu, xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxxx služeb xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx, které souvisí x xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx.
95. Xxxxx xx xxxxxxxx xxxxxxxxx dohodla x xxxxxxxxxx xxxxxxxxxx xxxxxx na xxxxxxxxx xxxxx §163 xxxxxx, xxxxxxxx uživateli platebních xxxxxx xxxxx stanovený xxxxxxxxx xxxxx upravit.
96. Xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx x xxxxxx xxxxxxx x xxxxxxxx transakci x xxx xxx xxxxxxxx xxxxxxx podvodné xxxx xxxxxxxxxxx xxxxxxxxx jejich xxxx.
97. Xxxxxxxx instituce xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxx, xxxxx xxxx xxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxx uživateli platebních xxxxxx.
98. Platební xxxxxxxxx xxxxxxxxx uživatelům xxxxxxxxxx xxxxxx xxxxx v xxxxxxx xxxxxxxxxx dotazu, xxxxxxx o xxxxxxx x xxxxxxxx anomálií xxxx potíží xxxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx xxxxxxxx xx xxxxxxxx xxxxxx. Xxxxxxxx instituce uživatele xxxxxxxxxx služeb náležitě xxxxxxxxx x xxx, xxx mohou xxxx xxxxx získat.".
Xx. II
Účinnost
Tato vyhláška xxxxxx xxxxxxxxx xxxx 1. července 2022.
&xxxx;
Xxxxxxxx:
Xxx. Xxxxxx x. x.
Xxxxxxxxx
Xxxxxx xxxxxxx č. 2/2022 Xx. xxxxx xxxxxxxxx xxxx 1.7.2022.
Znění xxxxxxxxxxxx xxxxxxxx norem xxxxxx právních xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, pokud se xxxx xxxxxx xxxxxxxxx xxxxx shora xxxxxxxxx xxxxxxxx předpisu.