2. Article

Maksājumu pakalpojumu sniedzēji veic un dokumentē risku novērtējumu attiecībā uz interneta maksājumu drošību un ar to saistītiem pakalpojumiem gan pirms pakalpojuma(-u) ieviešanas, gan regulāri pēc tam. 2.1. Maksājumu pakalpojumu sniedzēji, īstenojot riska kontroles funkciju, veic un dokumentē detalizētu risku izvērtēšanu interneta maksājumiem un ar tiem saistītajiem pakalpojumiem. Maksājumu pakalpojumu sniedzēji apsver pastāvīgas uzraudzības rezultātus attiecībā uz drošības riskiem saistībā ar interneta maksājumu pakalpojumiem, ko tie piedāvā vai plāno piedāvāt, ņemot vērā: i) izmantoto tehnoloģisko risinājumu; ii) no ārējiem pakalpojumu sniedzējiem saņemtos pakalpojumus; iii) klientu tehnisko vidi. Maksājumu pakalpojumu sniedzēji izvērtē risku, kas saistīts ar izvēlēto tehnoloģiju platformām, to uzbūvi un arhitektūru, programmēšanas metodēm un kārtību, gan savā pusē2, gan klientu pusē3, kā arī drošības incidentu uzraudzības procesu (skatīt šā pielikuma II sadaļas 3. punktu). 2.2. Pamatojoties uz risku novērtējumu, maksājumu pakalpojumu sniedzēji nosaka, vai un cik lielā mērā esošajiem drošības pasākumiem, izmantotajām tehnoloģijām un piedāvātajiem pakalpojumiem vai procedūrām ir nepieciešamas izmaiņas. Maksājumu pakalpojumu sniedzēji ņem vērā laiku, kas nepieciešams izmaiņu ieviešanai (tostarp ieviešanai klienta pusē) un nepieciešamo pagaidu pasākumu veikšanai, lai mazinātu drošības incidentus un krāpšanu. 2.3. Risku novērtēšanas ietvaros jāvērtē arī aizsargājamu datu drošība. 2.4. Maksājumu pakalpojumu sniedzēji pārskata risku scenārijus un esošos drošības pasākumus pēc nozīmīgiem incidentiem, kas ietekmē pakalpojumus, pirms nozīmīgām infrastruktūras vai procedūras izmaiņām un tad, ja tiek identificēti jauni riski. Turklāt risku novērtējuma vispārēju pārskatīšanu veic vismaz reizi gadā. Risku novērtējuma un pārskatīšanas rezultātus iesniedz apstiprināšanai vadībai. Incidentu uzraudzība un ziņojumu sniegšana