Поправками предусмотрено, что при регистрации клиента в личном кабинете, который используется для оформления онлайн-микрокредита, применяется биометрическая идентификация посредством использования услуг центра обмена идентификационными данными (ЦОИД) или по биометрическим данным, полученным посредством устройств организации, осуществляющей микрофинансовую деятельность (МФО), и электронная цифровая подпись клиента (ЭЦП), представленная аккредитованным удостоверяющим центром РК.
Внесение изменений в данные об абонентском номере устройства сотовой связи клиента или реквизитов банковского счета (за исключением предоставления микрокредитов посредством терминалов) осуществляется в личном кабинете клиента с применением биометрической идентификации посредством использования услуг ЦОИД или с использованием биометрических данных клиента, полученных при регистрации клиента посредством устройств МФО и ЭЦП клиента, представленной аккредитованным удостоверяющим центром РК.
Также поправками предусмотрено, что заключение договора о предоставлении микрокредита, внесение изменений и дополнений в договор о предоставлении микрокредита электронным способом между МФО и клиентом осуществляется с применением биометрической идентификации посредством использования услуг ЦОИД или с использованием биометрических данных клиента, полученных при регистрации клиента посредством устройств МФО и ЭЦП клиента, представленной аккредитованным удостоверяющим национальным удостоверяющим центром РК.
В случае невозможности идентификации принадлежности банковского счета или платежной карты клиенту перевод денег не осуществляется.
Перевод микрокредита по заявлению заемщика на банковский счет юридического лица, с которым у МФО заключен договор, предусматривающий оплату за приобретаемый товар или выполненные работы, услуги заемщиком, осуществляется с применением биометрической идентификации посредством использования услуг ЦОИД или с использованием биометрических данных клиента, полученных при регистрации клиента посредством устройств МФО.
Предоставление заемщику микрокредита через кассу осуществляется путем проведения визуальной идентификации клиента, получающего наличные деньги, с документом, удостоверяющим его личность (за исключением свидетельства о рождении) либо данными, подтверждающими (идентифицирующими) личность клиента, полученными посредством сервиса цифровых документов, а также предоставления доверенности, подтверждающей полномочия лица, уполномоченного на получение денег, в случае предоставления микрокредита клиенту – юридическому лицу.
Помимо этого на МФО возложена обязанность по обеспечению безопасного хранения данных, полученных в ходе биометрической идентификации клиента.
Правила дополнены двумя новыми пунктами 36 и 37 следующего содержания:
В случае наличия у МФО информации о незаконном распространении персональных данных клиента она реализует дополнительные меры безопасности, включая, но не ограничиваясь:
- повторную биометрическую идентификацию клиента;
- проверку принадлежности клиенту его абонентского номера путем сверки индивидуального идентификационного номера клиента с индивидуальным идентификационным номером владельца абонентского номера в базе данных оператора мобильной связи или получения информации о принадлежности клиенту данного абонентского номера путем сверки индивидуального идентификационного номера клиента в базе номеров мобильных телефонов клиентов посредством веб-портала «электронного правительства»;
- проверочный звонок на указанный клиентом абонентский номер устройства сотовой связи клиента с информированием клиента о похищении его персональных данных и рекомендацией по установлению клиентом добровольного отказа на оформление кредитов.
В случае предоставления доступа третьим лицам к автоматизированной информационной системе или размещения серверных мощностей МФО в сторонних центрах обработки данных (использования внешних сервисов обработки и(или) хранения данных) она предпринимает следующие меры обеспечения информационной безопасности:
- отражение в соответствующем соглашении, договоре с третьим лицом требований по защите автоматизированных информационных систем организации, осуществляющей микрофинансовую деятельность, и права проверки организацией, осуществляющей микрофинансовую деятельность исполнения таких требований, а также условий о возмещении ущерба, возникшего вследствие нарушения информационной безопасности и работоспособности автоматизированных информационных систем;
- исключение возможности доступа третьих лиц к информации, передача которой третьим лицам не допускается в соответствии с гражданским, банковским законодательством РК, законодательством РК о микрофинансовой деятельности, о персональных данных и их защите. Для этих целей применяется метод хранения информации в зашифрованном виде с раскрытием информации на стороне МФО. При этом ключ шифрования хранится в МФО.