НАРЕДБА № 47 ОТ 11 ЮЛИ 2012 Г. ЗА ИЗИСКВАНИЯТА КЪМ ИНФОРМАЦИОННИТЕ СИСТЕМИ НА ПЕНСИОННООСИГУРИТЕЛНИТЕ ДРУЖЕСТВА
В сила от 28.07.2013 г.
Издадена от Комисията за финансов надзор
Обн. ДВ. бр.57 от 27 Юли 2012г., изм. ДВ. бр.94 от 13 Ноември 2018г., изм. и доп. ДВ. бр.55 от 2 Юли 2021г.
In order to view this page you need Adobe Flash Player 9 (or higher) equivalent support!
Чл. 1. С наредбата се уреждат:
1. изискванията към системата за управление на информационната сигурност на пенсионноосигурителното дружество;
2. изискванията при обмен на информация и предоставяне на електронни услуги;
3. водените от пенсионноосигурителното дружество регистри.
Раздел II.
Система за управление на информационната сигурност
Чл. 3. (1) Пенсионноосигурителното дружество е длъжно да изгради система за управление на информационната сигурност въз основа на изискванията на международен стандарт ISO/IEC 27001:2005.
(2) Системата за управление на информационната сигурност трябва да обхваща следните основни аспекти на сигурността: оценка и управление на риска, управление на персонала, физическа сигурност, контрол на достъпа, сигурност при избора, закупуването и ползването на софтуер и хардуер, планове и действия в извънредни ситуации и кризи.
(3) Пенсионноосигурителното дружество се съобразява в дейността си с добрите практики, заложени в международен стандарт ISO/IEC 27002:2005 (ISO/IEC 17799:2005).
Чл. 4. (1) Съответствието с изискванията на стандарта по чл. 3, ал. 1 се доказва по избор на пенсионноосигурителното дружество чрез:
1. сертификация;
2. представянето на документи, доказващи това съответствие без сертификация.
(2) В случаите по ал. 1, т. 2 се представят следните документи:
1. политика за сигурност на дружеството по отношение на информационната му система (политика за сигурност на дружеството);
2. правила за защита на информационната система и архивната информация;
3. правила за мрежова защита;
4. правилата за контрол на физическата и работната среда;
5. план за осигуряване на непрекъсваемостта на информационно-технологичните процеси;
6. други относими документи.
Чл. 5. (1) Управителният орган на пенсионноосигурителното дружество приема неговата политика за сигурност и другите необходими вътрешни правила и документи по чл. 4, ал. 2 и осигурява реализацията им, а при необходимост - и актуализацията им.
(2) Прилагането на принципите и изискванията, заложени в политиката за сигурност на дружеството, трябва да:
1. гарантира общо ниво на сигурност при разработката, експлоатацията и поддръжката на информационната система;
2. обезпечи разработването и поддържането на обща архитектура за сигурност на информационната система;
3. осигури идентифициране и анализ на рисковете, свързани с информационната система и определянето на необходимите механизми за противодействие;
4. обезпечи защитата на информацията чрез осигуряване на поверителност, цялостност и достъпност на информационните активи в дружеството, включително и при извънредни обстоятелства.
(3) Политиката за сигурност на дружеството трябва да отговаря на изискванията в приложимите нормативни актове и стандарти и да съдържа най-малко:
1. основните принципи, на които се базира;
2. задълженията и отговорностите на звената и служителите на дружеството за нейното прилагане, за изграждането и експлоатацията на информационната система и за изпълнение на предвидените мерки за сигурност;
3. правилата за управление на рисковете, свързани с информационната система, в т.ч. идентифицирането на рисковите фактори, тяхната оценка и предприемането на необходимите мерки за противодействие срещу тях;
4. реда за приемането, актуализирането и оповестяването и.
Чл. 6. (1) За удостоверяване на съответствието със стандарта по чл. 3, ал. 1 пенсионноосигурителното дружество представя на заместник-председателя на комисията, ръководещ управление "Осигурителен надзор" (заместник-председателя на комисията):
1. заверено копие от документа, удостоверяващ сертификацията - в случаите, когато пенсионноосигурителното дружество е сертифицирано;
2. документите по чл. 4, ал. 2 - когато сертификацията на дружеството преустанови действието си;
3. изменените или допълнени документи по чл. 4, ал. 2 - при извършени промени в тях, когато дружеството не е сертифицирано.
(2) Документите по ал. 1, т. 1 или 2 се представят в срок седем дни от сертификацията или преустановяването на действието на сертификацията, а по ал. 1, т. 3 - в срок седем дни от промяната.
(3) Заместник-председателят на комисията може да изисква допълване или коригиране на документите по ал. 1, т. 2 и 3, както и други данни и информация във връзка с тях, и да определя срок за представянето им. Когато представените документи не отговарят на изискванията на тази наредба, заместник-председателят на комисията може да приложи мярката по чл. 344, ал. 1, т. 1 от Кодекса за социално осигуряване (КСО).
Раздел III.
Изисквания при обмен на информация и предоставяне на електронни услуги
Чл. 8. (1) (Изм. - ДВ, бр. 55 от 2021 г.) Информационната система на пенсионноосигурителното дружество трябва да предоставя възможност за създаване и поддържане на единно електронно досие на всяко осигурено лице или пенсионер в управляван от дружеството фонд. Досието трябва да съдържа всички налични данни за лицето и да му позволява да извършва справки и да проследява осигурителната си история.
(2) Заявленията и молбите на хартиен носител, подадени от осигурените лица, пенсионерите и техните наследници, както и актовете на дружеството във връзка с тях се включват в електронното досие на съответното лице чрез снемане на електронен образ от тях и от приложените към тях документи със сканиращо устройство във вид и по начин, позволяващи разчитането им. Пълното и точно съответствие на снетия електронен образ със снемания документ се удостоверява с електронен подпис от лицето, извършило снемането.
(3) (Изм. - ДВ, бр. 94 от 2018 г., в сила от 19.11.2018 г.) Документите по ал. 2 се съхраняват от пенсионноосигурителното дружество. Пенсионноосигурителното дружество може да възложи с писмен договор дейността по сканиране на документите на специализиран външен изпълнител. В този случай дружеството:
1. отговаря за действията на външния изпълнител като за свои действия;
2. предвижда в договора с външния изпълнител:
а) задължения за опазването на поверителността на предоставените документи и информация и за оказване на съдействие от негова страна на органите и служителите на Комисията за финансов надзор при осъществяването на техните правомощия;
б) забрана за възлагане на дейностите, предмет на договора, на подизпълнители;
3. наблюдава и оценява рисковете, свързани с изнасянето на дейностите, както и осъществяването им от страна на външния изпълнител.
(4) Пенсионноосигурителното дружество е длъжно да издаде на всяко осигурено лице или пенсионер при поискване от негова страна уникален идентификатор за използване на електронните услуги, които дружеството предлага.
(5) Осигурените лица, пенсионерите и техните наследници имат право да получат копие от електронните документи в електронното досие на хартиен или електронен носител след представяне на необходимите удостоверителни документи.
(6) Разрешението за достъп и отказът за достъп до електронното досие и за използването на електронни документи от него по реда на ал. 5 се издават в писмена форма от управляващия и представляващ пенсионноосигурителното дружество или от упълномощен от него служител. Отказът за достъп задължително се мотивира.
(7) (Доп. - ДВ, бр. 55 от 2021 г.) Отказът по ал. 6 може да се обжалва от заявителя по реда и в сроковете, предвидени в правилника за организацията и дейността на съответния пенсионен фонд, съответно в правилата на фонд за извършване на плащания.
Чл. 9. Информационната система трябва да предоставя възможност за:
1. отчитане и удостоверяване на времето за настъпването на факти с правно значение с точност до година, дата, час, минута и секунда;
2. (доп. - ДВ, бр. 55 от 2021 г.) изготвяне на извлечение от индивидуалната партида и от аналитичната сметка по чл. 192б, ал. 3, т. 1 от КСО във всеки един момент, за създаване и отпечатване на необходимите първични документи и за предоставяне на копията по чл. 8, ал. 5 във всички офиси на дружеството;
3. връзка с всички офиси и осигурителни посредници на дружеството за регистриране на подадените при тях документи;
4. получаването и изпращането на документи, подписани с електронен подпис;
5. изготвяне и обмен в електронен формат, определен от надзорния орган, на изискваните ежедневни, периодични и изготвяни при поискване отчети и справки;
6. оперативна размяна на информация с институциите, с които пенсионноосигурителното дружество осъществява обмен на данни, съобразно предвидените за това стандарти, формати и образци.
Чл. 11. При предоставяне на електронна услуга пенсионноосигурителното дружество предварително информира нейния ползвател по ясен и разбираем начин относно:
1. техническите стъпки по предоставянето на услугата, тяхното правно значение и срока за предоставянето и;
2. възможността издаденият акт да бъде съхраняван в електронна форма от дружеството и начина за достъп до него;
3. техническите средства за установяване и отстраняване на грешки при въвеждането на информация, преди да бъдат направени изявленията във връзка с услугата.
Чл. 12. Електронната страница на пенсионноосигурително дружество трябва да осигурява удобен за ползване достъп:
1. до публикуваната на нея информация;
2. (доп. - ДВ, бр. 55 от 2021 г.) на всяко осигурено лице или пенсионер до данните за индивидуалната му партида, за аналитичната му сметка и до електронното му досие след въвеждането на идентификатор.
Чл. 13. (Изм. - ДВ, бр. 55 от 2021 г.) Информационната система на пенсионноосигурителното дружество трябва да поддържа в актуално състояние следните основни компоненти, съответно приложими за управляваните от дружеството фондове:
1. регистри на:
а) осигурителните договори - в т.ч. по видове за доброволния фонд (договор с лични вноски, договор с работодател или с лице по чл. 230, ал. 3, т. 3 КСО и договор с друг осигурител);
б) служебно разпределените лица с номер и дата на протокола за служебно разпределение;
в) пенсионните договори;
г) договорите за разсрочено изплащане на натрупаните средства по индивидуалните партиди;
д) (нова - ДВ, бр. 55 от 2021 г.) договорите за разсрочено изплащане на средствата по индивидуалните партиди в случаите по чл. 167а от КСО.
2. (изм. - ДВ, бр. 55 от 2021 г.) регистър на индивидуалните партиди на осигурените лица и пенсионерите, който трябва да съдържа данните съгласно чл. 24 и 25 от Наредба № 9 от 2003 г. за начина и реда за оценка на активите и пасивите на пенсионноосигурителното дружество и на управляваните от него фондове, на стойността на нетните активи на фонда, за изчисляване и обявяване на стойността на един дял, за изчисляване и съпоставяне на доходността от инвестиционни имоти и за изискванията към воденето на индивидуалните партиди и на аналитичните сметки във фонд за разсрочени плащания (ДВ, бр. 109 от 2003 г.) (Наредба № 9), както и партидата на резерва за гарантиране на минималната доходност по чл. 193, ал. 7 КСО;
3. (нова - ДВ, бр. 55 от 2021 г.) регистър на аналитичните сметки на лицата, получаващи плащания от фондовете за разсрочени плащания, който трябва да съдържа данните съгласно чл. 27а от Наредба № 9;
4. (предишна т. 3 - ДВ, бр. 55 от 2021 г.) регистър на постъпилите молби за изтегляне или изплащане на средства поотделно за всеки управляван фонд;
5. (предишна т. 4 - ДВ, бр. 55 от 2021 г.) регистри на заявленията за участие по чл. 6 от Наредба № 33 от 2006 г. за индивидуалните заявления за участие във фонд за допълнително задължително пенсионно осигуряване (ДВ, бр. 83 от 2006 г.) - за фондовете за допълнително задължително пенсионно осигуряване;
6. (предишна т. 5 - ДВ, бр. 55 от 2021 г.) регистри на заявленията за промяна на участието или прехвърляне на средства по чл. 20 от Наредба № 3 от 2003 г. за реда и начина за промяна на участие и за прехвърляне на натрупаните средства на осигурено лице от един фонд за допълнително пенсионно осигуряване в друг съответен фонд, управляван от друго пенсионноосигурително дружество (ДВ, бр. 90 от 2003 г.);
7. (предишна т. 6 - ДВ, бр. 55 от 2021 г.) регистър на постъпилите молби за прехвърляне на средства от една осигурителна партида в друга на един и същи пенсионен фонд на съпруг(а) или на роднини по права линия до втора степен - за фонд за допълнително доброволно пенсионно осигуряване;
8. (предишна т. 7, изм. - ДВ, бр. 55 от 2021 г.) регистър на притежаваните активи поотделно за всеки фонд за допълнително пенсионно осигуряване и за всеки фонд за извършване на плащания, аналогичен на регистъра по чл. 123а, ал. 4, т. 4 КСО, със записи за ежедневната, съответно месечната, оценка на всеки актив;
9. (предишна т. 8 - ДВ, бр. 55 от 2021 г.) регистър на професионалните схеми - за фонд за допълнително доброволно пенсионно осигуряване по професионални схеми;
10. (предишна т. 9 - ДВ, бр. 55 от 2021 г.) регистър на деловодната кореспонденция на пенсионноосигурителното дружество, в т.ч. регистър на жалбите;
11. (предишна т. 10 - ДВ, бр. 55 от 2021 г.) други регистри, които пенсионноосигурителното дружество води в съответствие с нормативната уредба или вътрешните си правила.
Раздел V.
Административнонаказателна отговорност
Чл. 14. (1) Пенсионноосигурително дружество или негови служители, които извършат или допуснат извършване на нарушение на тази наредба, се наказват съгласно чл. 351 КСО.
(2) Нарушенията на разпоредбите на наредбата се установяват с актове, съставени от длъжностни лица, упълномощени от заместник-председателя на комисията.
(3) Наказателните постановления се издават от заместник-председателя на комисията или от упълномощено от него длъжностно лице.
(4) Установяването на нарушенията, издаването, обжалването и изпълнението на наказателните постановления се извършват по реда на Закона за административните нарушения и наказания.
Преходни и Заключителни разпоредби
§ 1. (1) В 7-дневен срок от влизане в сила на наредбата пенсионноосигурителното дружество представя пред заместник-председателя на комисията заверено копие от документа, удостоверяващ сертификация за съответствие със стандарта по чл. 3, ал. 1, съответно - документите по чл. 4, ал. 2.
(2) Заместник-председателят на комисията може да изисква допълване или коригиране на внесените документи по чл. 4, ал. 2, както и други данни и информация във връзка с тях, и да определя срок за представянето им. Когато представените документи не отговарят на изискванията на тази наредба, заместник-председателят на комисията може да приложи мярката по чл. 344, ал. 1, т. 1 КСО.
§ 2. В чл. 6, ал. 4 от Наредба № 33 от 2006 г. за индивидуалните заявления за участие във фонд за допълнително задължително пенсионно осигуряване (ДВ, бр. 83 от 2006 г.) думите "изискванията за създаване и поддръжка на информационна система на пенсионноосигурително дружество, утвърдени от заместник-председателя на Комисията за финансов надзор, ръководещ управление "Осигурителен надзор" се заменят с "наредбата по чл. 123ж, ал. 1 КСО".
§ 3. Наредбата се издава на основание чл. 123ж, ал. 1 КСО и е приета с Решение № 135-Н от 11.07.2012 г. на Комисията за финансов надзор.
§ 4. Наредбата влиза в сила една година след обнародването и в "
Държавен вестник".
Заключителни разпоредби
КЪМ НАРЕДБА № 62 ОТ 30 ОКТОМВРИ 2018 Г. ЗА РЕДА ЗА СЪХРАНЯВАНЕ, ИЗПОЛЗВАНЕ И УНИЩОЖАВАНЕ ОТ ПЕНСИОННООСИГУРИТЕЛНИТЕ ДРУЖЕСТВА НА ДОКУМЕНТИТЕ И ДАННИТЕ, СВЪРЗАНИ С ДЕЙНОСТТА ПО ДОПЪЛНИТЕЛНО ПЕНСИОННО ОСИГУРЯВАНЕ
Заключителни разпоредби
(ОБН. - ДВ, БР. 94 ОТ 2018 Г., В СИЛА ОТ 19.11.2018 Г.)
§ 5. Наредбата влиза в сила от 19.11.2018 г.
