Федеральный закон от 27.06.2011 № 161-ФЗ "О национальной платежной системе"

[…]
6. Правила платежной системы, включая тарифы, являются публично доступными. Оператор платежной системы вправе не раскрывать информацию о требованиях к защите информации и информацию, доступ к которой ограничен в соответствии с федеральным законом.
[…]

[…]
13. Платежная система признается Банком России в установленном им «порядке» национально значимой платежной системой в случае ее соответствия одновременно следующим критериям:
[…]
2) используемые операторами услуг платежной инфраструктуры информационные технологии соответствуют устанавливаемым Банком России по согласованию с Правительством Российской Федерации требованиям. Указанные требования должны включать в том числе использование в установленной доле программных средств, разработчиками которых являются российские организации, требования к лицензионным соглашениям, требования к материальным носителям платежных карт, включая их интегральные микросхемы, а также к обеспечению защиты информации.
[…]

Операторы по переводу денежных средств, операторы платежных систем, операторы услуг платежной инфраструктуры и банковские платежные агенты (субагенты) обязаны гарантировать банковскую тайну в соответствии с законодательством Российской Федерации о банках и банковской деятельности.

1. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации. Правительство Российской Федерации устанавливает требования к защите указанной информации.

2. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с защищаемой информацией.

3. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России, согласованными с федеральными органами исполнительной власти, предусмотренными частью 2 настоящей статьи. Контроль за соблюдением установленных требований осуществляется Банком России в рамках надзора в национальной платежной системе в установленном им порядке, согласованном с федеральными органами исполнительной власти, предусмотренными частью 2 настоящей статьи.

[…]
3. Система управления рисками должна предусматривать следующие мероприятия:
[…]
11) определение порядка обеспечения защиты информации в платежной системе.
[…]

[…]
4. Банк России вправе запрашивать и получать от организаций федеральной почтовой связи информацию об осуществлении ими почтовых переводов денежных средств, за исключением сведений, отнесенных Федеральным законом от 17 июля 1999 года № 176-ФЗ «О почтовой связи» к тайне связи, в порядке, установленном Банком России, по согласованию с федеральным органом исполнительной власти в области связи.
[…]