3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Правила информационной системы ООО "Лайтхаус"

Утверждены Протоколом Совета Директоров ООО «Лайтхаус» №19 от 29.06.2023г. ПРАВИЛА ИНФОРМАЦИОННОЙ СИСТЕМЫ, В КОТОРОЙ ОСУЩЕСТВЛЯЕТСЯ ВЫПУСК ЦИФРОВЫХ ФИНАНСОВЫХ АКТИВОВ !

2 Настоящий документ устанавливает правила информационной системы, оператором которой является Общество с ограниченной ответственностью «Лайтхаус», в которой осуществляется выпуск, учет и обмен цифровых финансовых активов. ОГЛАВЛЕНИЕ 1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ ........................................................................................................ 5 2. ОСНОВНЫЕ ПРИНЦИПЫ РАБОТЫ СИСТЕМЫ ...................................................................... 9 3. КОМПОНЕНТЫ СИСТЕМЫ ............................................................................................................ 9 4. ВНЕСЕНИЕ ИЗМЕНЕНИЙ В АЛГОРИТМЫ ПРОГРАММ СИСТЕМЫ.............................. 10 4.1. КЛЮЧЕВЫЕ АЛГОРИТМЫ...................................................................................................... 10 4.2. ПОРЯДОК ВНЕСЕНИЯ ИЗМЕНЕНИЙ В АЛГОРИТМЫ ................................................... 10 4.3. ИНФОРМИРОВАНИЕ О ПРОИЗВЕДЕННЫХ ИЗМЕНЕНИЯХ В АЛГОРИТМЫ........ 11 5. ЗАЩИТА ИНФОРМАЦИИ И ОПЕРАЦИОННАЯ НАДЕЖНОСТЬ....................................... 11 5.1. ЗАЩИТА ИНФОРМАЦИИ ......................................................................................................... 11 5.2. УПРАВЛЕНИЕ ОБНОВЛЕНИЯМИ ......................................................................................... 13 5.3. РЕАГИРОВАНИЕ НА ИНЦИДЕНТЫ ...................................................................................... 13 5.4. ЗАЩИТА ДАННЫХ И КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ ................................ 13 5.5. ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ОСУЩЕСТВЛЕНИИ ДЕЯТЕЛЬНОСТИ ................................................................................................................................ 15 6. ПРАВИЛА ПРИВЛЕЧЕНИЯ ОПЕРАТОРОВ ОБМЕНА ........................................................... 16 7. ПРАВИЛА ВЗАИМОДЕЙСТВИЯ ОПЕРАТОРА С НОМИНАЛЬНЫМИ ДЕРЖАТЕЛЯМИ. УЧЕТ ЦФА, ПЕРЕДАННЫХ НОМИНАЛЬНЫМ ДЕРЖАТЕЛЯМ ............................................ 18 7.1. ОБЩИЕ ПОЛОЖЕНИЯ И ОСОБЕННОСТИ ВЗАИМОДЕЙСТВИЯ ОПЕРАТОРА С НОМИНАЛЬНЫМ ДЕРЖАТЕЛЕМ ................................................................................................ 18 7.2. ПОРЯДОК ВЗАИМОДЕЙСТВИЯ ОПЕРАТОРА С НОМИНАЛЬНЫМ ДЕРЖАТЕЛЕМ ПРИ ПРЕКРАЩЕНИИ ИСПОЛНЕНИЯ НОМИНАЛЬНЫМ ДЕРЖАТЕЛЕМ ФУНКЦИЙ ПО УЧЕТУ ТОКЕНОВ........................................................................................................................ 19 8. ТРЕБОВАНИЯ К ПОЛЬЗОВАТЕЛЯМ .......................................................................................... 20 9. ПОРЯДОК ВЕДЕНИЯ РЕЕСТРА ПОЛЬЗОВАТЕЛЕЙ .............................................................. 20 9.1. ВЕДЕНИЕ РЕЕСТРА ПОЛЬЗОВАТЕЛЕЙ .............................................................................. 20 9.2. ВНЕСЕНИЕ ЗАПИСЕЙ В РЕЕСТР ПОЛЬЗОВАТЕЛЕЙ ..................................................... 21 9.3. ИЗМЕНЕНИЕ ЗАПИСЕЙ В РЕЕСТРЕ ПОЛЬЗОВАТЕЛЕЙ ............................................... 22 9.4. ПОРЯДОК ПОДТВЕРЖДЕНИЯ ИНФОРМАЦИИ В РЕЕСТРЕ ПОЛЬЗОВАТЕЛЕЙ ... 23 9.5. ПОРЯДОК ХРАНЕНИЯ ИНФОРМАЦИИ В РЕЕСТРЕ ПОЛЬЗОВАТЕЛЕЙ.................. 23 10. ПОРЯДОК ОСУЩЕСТВЛЕНИЯ ОПЕРАТОРОМ ПРИЗНАНИЯ ПОЛЬЗОВАТЕЛЕЙ СИСТЕМЫ КВАЛИФИЦИРОВАННЫМИ ИНВЕСТОРАМИ..................................................... 23 10.1. ОБЩИЕ ПОЛОЖЕНИЯ ............................................................................................................ 23

3 10.2. ПОСЛЕДОВАТЕЛЬНОСТЬ ДЕЙСТВИЙ ПРИ ПРИЗНАНИИ ЛИЦ КВАЛИФИЦИРОВАННЫМИ ИНВЕСТОРАМИ И В ОТНОШЕНИИ ЛИЦ, ПРИЗНАННЫХ КВАЛИФИЦИРОВАННЫМИ ИНВЕСТОРАМИ ......................................................................... 23 10.3. ТРЕБОВАНИЯ, ПРЕДЪЯВЛЯЕМЫЕ К КВАЛИЦИРОВАННЫМ ИНВЕСТОРАМ.... 24 10.4. ПЕРЕЧЕНЬ ФИНАНСОВЫХ ИНСТРУМЕНТОВ / ЦЕННЫХ БУМАГ, УЧИТЫВАЕМЫХ ПРИ РАСЧЕТЕ СТОИМОСТИ ЦЕННЫХ БУМАГ / ФИНАНСОВЫХ ИНСТРУМЕНТОВ, КОТОРЫМИ ВЛАДЕЕТ ФИЗИЧЕСКОЕ ЛИЦО, ИЛИ С КОТОРЫМИ СОВЕРШАЕТ СДЕЛКИ ЮРИДИЧЕСКОЕ ЛИЦО, И УЧИТЫВАЕМЫХ ПРИ РАСЧЕТЕ ОБЩЕЙ СТОИМОСТИ ИМУЩЕСТВА ФИЗИЧЕСКОГО ЛИЦА / СДЕЛОК ЮРИДИЧЕСКОГО ЛИЦА (ДЛЯ ЦЕЛЕЙ ПРИЗНАНИЯ ЮРИДИЧЕСКИХ И ФИЗИЧЕСКИХ ЛИЦ КВАЛИФИЦИРОВАННЫМИ ИНВЕСТОРАМИ)................................ 25 10.5. ПРАВИЛА ОПРЕДЕЛЕНИЯ СТОИМОСТИ ФИНАНСОВЫХ ИНСТРУМЕНТОВ (РАЗМЕРА ОБЯЗАТЕЛЬСТВ), ПРИНИМАЕМЫХ К РАСЧЕТУ ДЛЯ ЦЕЛЕЙ ПРИЗНАНИЯ ФИЗИЧЕСКИХ ЛИЦ КВАЛИФИЦИРОВАННЫМИ ИНВЕСТОРАМИ ................................. 26 10.6. ПОРЯДОК ПОДАЧИ ДОКУМЕНТОВ ДЛЯ ПОДТВЕРЖДЕНИЯ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ, ПРЕДЪЯВЛЯЕМЫМ К КВАЛИФИЦИРОВАННЫМ ИНВЕСТОРАМ . 27 10.7. ПОРЯДОК ПРОВЕРКИ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ ДЛЯ ПРИЗНАНИЯ ЛИЦА КВАЛИФИЦИРОВАННЫМ ИНВЕСТОРОМ И ПРИНЯТИЯ РЕШЕНИЯ О ПРИЗНАНИИ ЛИЦА КВАЛИФИЦИРОВАННЫМ ИНВЕСТОРОМ ....................................... 28 10.8. ПОРЯДОК УВЕДОМЛЕНИЯ ЛИЦА О ПРИНЯТИИ РЕШЕНИЯ О ПРИЗНАНИИ ЕГО КВАЛИФИЦИРОВАННЫМ ИНВЕСТОРОМ ............................................................................... 28 10.9. ПОДТВЕРЖДЕНИЕ СОБЛЮДЕНИЯ ТРЕБОВАНИЙ, ПРЕДЪЯВЛЯЕМЫХ К КВАЛИФИЦИРОВАННЫМ ИНВЕСТОРАМ................................................................................ 29 10.10. ПОРЯДОК ВЕДЕНИЯ РЕЕСТРА КВАЛИФИЦИРОВАННЫХ ИНВЕСТОРОВ......... 29 10.11. ИЗМЕНЕНИЕ СТАТУСА КВАЛИФИЦИРОВАННОГО ИНВЕСТОРА ....................... 29 11. СПОСОБЫ И ПОРЯДОК УЧЕТА ТОКЕНОВ В СИСТЕМЕ, СПОСОБЫ ВНЕСЕНИЯ И ИЗМЕНЕНИЯ ЗАПИСЕЙ О ТОКЕНАХ ............................................................................................ 30 11.1. СПОСОБЫ УЧЕТА ТОКЕНОВ ............................................................................................... 30 11.2. ИНФОРМАЦИЯ, ВНОСИМАЯ В РЕЕСТР ТОКЕНОВ ...................................................... 30 11.3. ХРАНЕНИЕ ДОПОЛНИТЕЛЬНОЙ ИНФОРМАЦИИ........................................................ 31 11.4. ВНЕСЕНИЕ И ИЗМЕНЕНИЕ ЗАПИСЕЙ В РЕЕСТРЕ ТОКЕНОВ.................................. 32 11.5. ПОРЯДОК ХРАНЕНИЯ И ПРЕДОСТАВЛЕНИЯ ИНФОРМАЦИИ О ТОКЕНАХ ...... 33 11.6. ПОРЯДОК ИСПОЛНЕНИЯ ОПЕРАТОРОМ ТРЕБОВАНИЙ АКТОВ........................... 33 12. ЛИЧНЫЙ КАБИНЕТ И ОБЕСПЕЧЕНИЕ ДОСТУПА К СИСТЕМЕ................................... 34 12.1. ДОСТУП К СИСТЕМЕ .............................................................................................................. 34 12.2. ПРЕДОСТАВЛЕНИЕ ПОЛЬЗОВАТЕЛЮ ДОСТУПА К СИСТЕМЕ .............................. 34 12.3. РЕАЛИЗАЦИЯ ВОЛЕИЗЪЯВЛЕНИЯ ПОЛЬЗОВАТЕЛЯ В СЛУЧАЕ СБОЯ В РАБОТЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ СИСТЕМЫ................................................................. 35 12.4. ВОССТАНОВЛЕНИЕ ДОСТУПА К СИСТЕМЕ.................................................................. 35 13. ВЫПУСК И ПОГАШЕНИЕ ТОКЕНОВ В СИСТЕМЕ ............................................................. 36 13.1. ВИДЫ ВЫПУСКАЕМЫХ ТОКЕНОВ .................................................................................... 36 13.2. РЕШЕНИЕ О ВЫПУСКЕ ТОКЕНОВ..................................................................................... 36

4 13.3. ВЫПУСК ТОКЕНОВ С ПЕРЕДАЧЕЙ ИНЫХ ТОКЕНОВ В КАЧЕСТВЕ ВСТРЕЧНОГО ПРЕДОСТАВЛЕНИЯ ............................................................................................. 37 13.4. ВЫПУСК ТОКЕНОВ С ИХ ОПЛАТОЙ ДЕНЕЖНЫМИ СРЕДСТВАМИ..................... 38 13.5. ПОГАШЕНИЕ ТОКЕНОВ. ....................................................................................................... 38 13.6. ИНФОРМАЦИОННОЕ ВЗАИМОДЕЙСТВИЕ С ЭМИТЕНТОМ .................................... 40 14. ПОРЯДОК РАСЧЕТОВ С ИСПОЛЬЗОВАНИЕМ НОМИНАЛЬНЫХ СЧЕТОВ ............... 40 14.1. ОБЩИЕ ПОЛОЖЕНИЯ ............................................................................................................ 40 14.2. ПОПОЛНЕНИЕ НОМИНАЛЬНОГО СЧЕТА....................................................................... 41 14.3. ВЫПУСК ТОКЕНОВ ПРИ РАСЧЕТАХ ЧЕРЕЗ НОМИНАЛЬНЫЙ СЧЕТ................... 41 14.4. ОБРАЩЕНИЕ ТОКЕНОВ ПРИ РАСЧЕТАХ ЧЕРЕЗ НОМИНАЛЬНЫЙ СЧЕТ .......... 42 14.5. ОСУЩЕСТВЛЕНИЕ РАСЧЕТОВ ЧЕРЕЗ НОМИНАЛЬНЫЙ СЧЕТ В ЦЕЛЯХ ПОГАШЕНИЯ ТОКЕНОВ. ................................................................................................................ 42 14.6. ВОЗНАГРАЖДЕНИЕ ОПЕРАТОРА ПРИ РАСЧЕТАХ ЧЕРЕЗ НОМИНАЛЬНЫЙ СЧЕТ ....................................................................................................................................................... 42 14.7. ПЕРЕЧИСЛЕНИЕ ДЕНЕЖНЫХ СРЕДСТВ НА БАНКОВСКИЙ СЧЕТ ....................... 43 15. ПРАВИЛА ОБМЕНА ПРИ ОБЕСПЕЧЕНИИ ОПЕРАТОРОМ ЗАКЛЮЧЕНИЯ СДЕЛОК С ТОКЕНАМИ, ВЫПУЩЕННЫМИ В СИСТЕМЕ......................................................................... 43 15.1. ОБЩИЕ ПРАВИЛА СОВЕРШЕНИЯ СДЕЛОК С ТОКЕНАМИ...................................... 43 15.2. РАЗМЕЩЕНИЕ ЗАЯВОК О СОВЕРШЕНИИ СДЕЛОК С ТОКЕНАМИ ....................... 44 16. ПОРЯДОК ПОДТВЕРЖДЕНИЯ ТРАНЗАКЦИЙ ...................................................................... 46 17. ОТВЕТСТВЕННОСТЬ ОПЕРАТОРА СИСТЕМЫ ................................................................... 48 ПРИЛОЖЕНИЕ 1 ..................................................................................................................................... 1 ПРИЛОЖЕНИЕ 2 ..................................................................................................................................... 1 ПРИЛОЖЕНИЕ 3 ..................................................................................................................................... 1

5 1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ 1.1. Адрес – идентификатор Пользователя в Реестре Токенов, связанный с Ключом соответствующего Пользователя. 1.2. Адресат оферты – Пользователь, указанный Оферентом в качестве стороны по сделке с Токенами, совершаемой через Оператора на основании заявки, поданной Оферентом в соответствии с разделом 15 Правил. 1.3. Акт – вступивший в законную силу судебный акт, исполнительный документ, в том числе постановление судебного пристава-исполнителя, акты других органов и должностных лиц при осуществлении ими своих функций, предусмотренных законодательством Российской Федерации, либо выданное в порядке, предусмотренном законом, свидетельство о праве на наследство, предусматривающее переход цифровых финансовых активов определенного вида в порядке универсального правопреемства, на основании которого Оператор обязан обеспечить внесение (изменение) записей о Токенах в соответствии с частью 2 статьи 6 Закона о ЦФА. 1.4. Архитектурный комитет – коллегиальный совещательный орган Оператора, принимающий решения о внесении изменений в алгоритмы Системы или ее отдельных компонентов, в соответствии с п.4.2.1 Правил. 1.5. Валидатор – юридическое лицо, являющееся узлом Системы в значении, установленном в части 8 статьи 1 Закона о ЦФА, и обеспечивающее тождественность информации, содержащейся в Системе, с использованием процедур подтверждения действительности вносимых в нее (изменяемых в ней) записей. Требования к узлам валидаторов Системы определены в Приложении 1 к настоящим Правилам. 1.6. ВСИ – вычислительная и сетевая инфраструктуры. 1.7. Вычислительные ресурсы Валидатора – комплекс вычислительных ресурсов, включающий в себя серверное оборудование, сеть передачи данных, программные средства виртуализации, резервного копирования, управления и мониторинга. Оборудование Валидатора находится в его Центре обработки данных. 1.8. Делегированная идентификация – проведение Идентификации Пользователей, их представителей, выгодоприобретателей и бенефициарных владельцев в соответствии с требованиями законодательства по ПОД/ФТ/ФРОМУ сторонней кредитной организацией на условиях, установленных в договоре на поручение проведения делегированной идентификации, заключенного между данной кредитной организацией и Оператором.

6 1.9. Денежные средства - денежные средства, поступающие на номинальный счет и принадлежащие бенефициарам. 1.10. Договор на организацию выпуска – договор, заключаемый между Оператором и Эмитентом, в соответствии с которым Оператором предоставляет Эмитенту доступ к Системе в целях выпуска Токенов, а также предоставляет услуги по организации выпуска Токенов. 1.11. Договор на пользование Системой – договор, заключаемый между Оператором и Пользователем, в соответствии с которым Оператор предоставляет Пользователю доступ к Системе. 1.12. Закон о ЦФА – Федеральный закон от 31.07.2020 № 259-ФЗ «О цифровых финансовых активах, цифровой валюте и о внесении изменений в отдельные законодательные акты Российской Федерации». 1.13. Заявка на приобретение Токенов – электронный документ, подписываемый УКЭП Приобретателя и подтверждающий согласие Приобретателя приобрести указанное количество Токенов при их выпуске. 1.14. Заявление на признание КИ – подаваемое Пользователем заявление, на основании которого Оператор осуществляет признание указанного лица КИ в порядке, предусмотренном Правилами. 1.15. ИБ – информационная безопасность. 1.16. «Инцидент» («инцидент защиты информации») – событие, которое привело или может привести к осуществлению финансовых операций без согласия (волеизъявления) Пользователя, неоказанию услуг, связанных с осуществлением финансовых операций, в том числе включенное в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на своем официальном сайте в сети Интернет. 1.17. КИ – квалифицированный инвестор. 1.18. Ключ – принадлежащий Пользователю код, используемый для внесения записей о Токенах (совершения транзакций с Токенами) и взаимодействия со Смарт-контрактами. 1.19. Контро́льная су́мма — некоторое значение, рассчитанное по набору данных путём применения определённого алгоритма и используемое для проверки целостности данных при их передаче или хранении.

7 1.20. Личный кабинет – единый интерфейс Системы для взаимодействия между Пользователем и Системой, доступный в виде веб-интерфейса, размещенного на Сайте. 1.21. Номинальный держатель – лицо, имеющее лицензию на осуществление депозитарной деятельности и учитывающее права на цифровые права, принадлежащие иным лицам. 1.22. Номинальный счет - специальный счет, который может открываться Оператору для совершения операций с Денежными средствами, права на которые принадлежат бенефициарам. 1.23. Обладатель – Пользователь, обладающий Токенами, выпущенными в Системе. 1.24. Оператор обмена – Пользователь, включенный Банком России в реестр операторов обмена цифровых финансовых активов, и аутентифицированный в Системе в соответствующем качестве согласно положениям раздела 6 Правил. 1.25. Оператор – ООО «Лайтхаус», оператор информационной системы, в которой осуществляется выпуск, учет и обмен цифровых финансовых активов в соответствии с Законом о ЦФА. 1.26. Оферент – Пользователь, подавший заявку о заключении сделки с Токенами через Оператора в соответствии с разделом 15 Правил. 1.27. ПО – программное обеспечение. 1.28. Пользователь – физическое или юридическое лицо, зарегистрированное и идентифицированное в Системе в порядке, предусмотренном пунктом 9.2 Правил, и внесенное в Реестр Пользователей в соответствии с Правилами. 1.29. Правила – настоящие Правила информационной системы, в которой осуществляется выпуск, учет и обмен ЦФА. 1.30. Приобретатель – Пользователь, указанный Эмитентом в качестве лица, имеющего право приобрести Токены при их выпуске. 1.31. Распределенный реестр – совокупность баз данных, тождественность содержащейся информации в которых обеспечивается установленными алгоритмами. 1.32. Реестр КИ – реестр лиц, признанных Оператором КИ, который ведется Оператором в порядке, предусмотренном Правилами.

8 1.33. Реестр Пользователей – совокупность баз данных, являющаяся частью Системы и автоматически управляемая алгоритмами Системы, в которой содержатся данные о Пользователях. 1.34. Реестр Токенов – совокупность баз данных на основе Распределенного реестра, являющаяся частью Системы, в которой содержатся данные о выпущенных, учитываемых и обмениваемых в рамках Системы Токенах. 1.35. Решение о выпуске – документ, составленный и подписанный УКЭП Эмитента в соответствии с требованиями Закона о ЦФА, и содержащий предусмотренную Законом о ЦФА информацию о выпускаемом Токене. 1.36. Сайт – страница Оператора в информационно-телекоммуникационной сети «Интернет» (https://www.cfa.digital), на которой Оператор размещает информацию в соответствии с требованиями законодательства Российской Федерации. 1.37. Система – предусмотренная частью 9 статьи 1 Закона о ЦФА информационная система, в которой осуществляется выпуск, учет и обмен цифровых финансовых активов. 1.38. Смарт-контракт – алгоритм Системы, обеспечивающий внесение записей о Токенах на основании сделки, предусматривающей исполнение сторонами возникающих из нее обязательств при наступлении определенных обстоятельств без направленного на исполнение обязательств отдельно выраженного дополнительного волеизъявления сторон путем применения информационных технологий на основании части 2 статьи 309 Гражданского кодекса Российской Федерации. 1.39. СХД -система хранения данных. 1.40. Токен – цифровой финансовый актив, включающий денежные требования, и (или) цифровое право, включающее одновременно цифровой финансовый актив, включающий денежные требования, и иные цифровые права по смыслу ч. 6 ст. 1 Закона о ЦФА, которые выпускаются или выпущены в Системе в соответствии с Законом о ЦФА, иными требованиями законодательства и Правилами. Токенами не являются ЦФА, включающие возможность осуществления прав по эмиссионным ценным бумагам, права участия в капитале непубличного акционерного общества, право требовать передачи эмиссионных ценных бумаг. 1.41. Транзакция – операция по переходу Токенов, осуществляемая в Системе. 1.42. Узел Валидатора – виртуальная машина, выполняющая функции одобрения Транзакций, упорядочивания и (или) записи блоков Транзакций в Систему в рамках общего процесса подтверждения Транзакций, предусмотренного разделом 16 Правил.

9 1.43. УКЭП – усиленная квалифицированная электронная подпись, выпущенная лицу, осуществляющему функции единоличного исполнительного органа Пользователя, или лицу, выступающему от лица Пользователя на ином основании, в порядке, предусмотренном Федеральным законом «Об электронной подписи» от 06.04.2011 № 63-ФЗ. 1.44. Централизованная база данных – база данных, включая систему управления базами данных, или иное хранилище Оператора, не использующие технологию Распределенного реестра. 1.45. ЦОД – центр обработки данных. 1.46. Эмитент – Пользователь, аутентифицированный в качестве лица, выпускающего Токены в Системе на основании части 3 статьи 2 Закона о ЦФА. 2. ОСНОВНЫЕ ПРИНЦИПЫ РАБОТЫ СИСТЕМЫ 2.1. В Системе могут быть выпущены следующие виды цифровых прав: 2.1.1. цифровые финансовые активы, включающие денежные требования; 2.1.2. цифровые права, включающие одновременно цифровые финансовые активы, включающие денежные требования, и иные цифровые права по смыслу ч. 6 ст. 1 Закона о ЦФА. 2.2. Система не позволяет осуществлять выпуск или учет цифровых финансовых активов, включающих возможность осуществления прав по эмиссионным ценным бумагам, права участия в капитале непубличного акционерного общества, право требовать передачи эмиссионных ценных бумаг. 2.3. В Системе не осуществляется выпуск и обращение Токенов, Эмитентом которых является Оператор. 2.4. В рамках Системы Пользователи вправе заключать любые предусмотренные законодательством Российской Федерации сделки купли-продажи Токенов и иные сделки, связанные с Токенами. 2.5. В Системе не допускается использование Токенов в качестве средства платежа при совершении сделок. 3. КОМПОНЕНТЫ СИСТЕМЫ 3.1. Компонентами Системы являются базы данных и информационные технологии и технические средства, обеспечивающие обработку содержащейся в базах данных Системы информации. Внесение записей в реестр пользователей осуществляется с условиями пункта 9.2 Правил. 3.2. Система включает в себя следующие компоненты: 3.2.1. Реестр Токенов; 3.2.2. Реестр Пользователей;

10 3.2.3. Централизованную базу данных Системы; 3.2.4. алгоритмы, обеспечивающие работу Системы в автоматическом режиме; 3.2.5. интерфейсы для взаимодействия Пользователей с Системой, включающие Личный кабинет и Сайт; 3.2.6. Мониторинг исполнения сделок, предусмотренных частью 2 статьи 4 Закона о ЦФА. 3.3. Реестр Токенов работает на основе Распределенного реестра. 3.4. Оператор заключает с Валидаторами договор на оказание услуг узла информационной системы. 3.5. Требования к Валидаторам, включая требования к защите информации и операционной надежности, установлены в Приложении 1 к настоящим Правилам. 4. ВНЕСЕНИЕ ИЗМЕНЕНИЙ В АЛГОРИТМЫ ПРОГРАММ СИСТЕМЫ 4.1. Ключевые алгоритмы 4.1.1. Ключевыми алгоритмами Системы являются: 4.1.1.1. Алгоритм Распределенного реестра, обеспечивающий синхронизацию, подтверждение тождественности и неизменности информации в базах данных Валидаторов и Оператора, включая информацию о Токенах и транзакциях. 4.1.1.2. Алгоритм, обеспечивающий ведение Реестра Пользователей; 4.1.1.3. Алгоритм, обеспечивающий ведение Реестра Токенов; 4.1.1.4. Алгоритм, обеспечивающий функционирование Токенов согласно Правилам, а также способы их учета в Реестре Токенов; 4.1.1.5. Алгоритм, обеспечивающий предоставление ролевого функционала Пользователям и Оператору; 4.1.1.6. Алгоритм, обеспечивающий проведение транзакций с Токенами в Системе, включая выпуск, погашение и обмен в соответствии с разделом 16 Правил. 4.1.1.7. Алгоритм, обеспечивающий возможность создания Пользователем Ключа и его восстановления; 4.1.1.8. Алгоритм, обеспечивающий невозможность внесения изменений в установленные Оператором алгоритмы иными лицами; 4.1.1.9. Алгоритм консенсуса, предусмотренный разделом 16 Правил. 4.1.2. Ключевые алгоритмы Системы осуществляются посредством информационных технологий, обеспечивающих функционирование Распределенного реестра. 4.1.3. Алгоритмы Системы, не указанные в пункте 4.1.1 Правил, являются сервисными для общего функционирования Системы. 4.2. Порядок внесения изменений в алгоритмы 4.2.1. На основании установленной Оператором необходимости в развитии функционала Системы или ее отдельных компонентов, либо для устранения замечаний, выявленных на

11 основании анализа вероятных инцидентов, Архитектурный комитет Оператора может в соответствии с требованиями Закона о ЦФА и нормативных актов Банка России принять решение о внесении изменений в алгоритмы Системы или отдельных компонентов Системы. Реализация внесения изменений в Системе происходит на основании утвержденного плана архитектурным комитетом. Реализация, утвержденного Архитектурным комитетом плана по внесению изменений в алгоритмы Системы, осуществляется техническими специалистами Оператора. 4.2.2. В рамках подготовки обновлений алгоритмов или компонентов Системы происходит процесс их тестирования и приемо-сдаточного испытаний. 4.2.3. После успешного завершения этапа тестирования и приемо-сдаточных испытаний Оператор не позднее чем за 3 дня до установки соответствующего обновления уведомляет Валидаторов о такой необходимости. 4.2.4. Проверка готовности Валидаторов осуществляется в соответствии с Договором на оказание услуг валидатора. 4.3. Информирование о произведенных изменениях в алгоритмы 4.3.1. Не позднее чем за 3 рабочих дня до установки соответствующего обновления Оператор размещает на Сайте уведомление об установке обновлений, включающее информацию о соответствующих изменениях в Системе, а также о времени недоступности или ограниченной доступности Системы или ее компонентов. 4.3.2. После успешного обновления алгоритмов Системы Оператор публикует на Сайте информацию о результатах установки обновления. 4.3.3. О вносимых изменениях в ключевые алгоритмы Системы Оператор дополнительно уведомляет Пользователей путем направления письма на адрес электронной почты, указанный Пользователем при регистрации в Системе. 5. ЗАЩИТА ИНФОРМАЦИИ И ОПЕРАЦИОННАЯ НАДЕЖНОСТЬ 5.1. Защита информации 5.1.1. Защита информации обеспечивается путем реализации правовых, организационных и технических мер, направленных на: 5.1.1.1. обеспечение защиты информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления и распространения, а также от иных неправомерных действий в отношении информации; 5.1.1.2. соблюдение конфиденциальности информации; 5.1.1.3. реализацию права на доступ к информации в соответствии с законодательством Российской Федерации. 5.1.2. Оператором внедрена система управления информационной безопасностью, включающая в себя политику и процедуры, которые позволяют обеспечивать информационную безопасность и минимизировать информационные риски. Система управления информационной

12 безопасностью определяет следующие процессы по защите информации: 5.1.2.1. организация разработки нормативно-методических документов по защите информации Оператором; 5.1.2.2. определение и внедрение правил безопасной ИТ-разработки; 5.1.2.3. выработка правил установки обновлений программного обеспечения; 5.1.2.4. мониторинг работы Системы, а также любых иных информационных систем, используемых Оператором; 5.1.2.5. доступ к ресурсам контура инфраструктуры Системы Оператора и ресурсам контрагентов, привлекаемых Оператором на договорной основе с целью предоставления технических услуг; 5.1.2.6. действия при возникновении инцидентов, включая предотвращение попыток получения несанкционированного доступа; 5.1.2.7. анализ и управление уязвимостями. 5.1.3. За соблюдение Оператором процессов, установленных Системой управления информационной безопасностью, отвечает Служба информационной безопасности Оператора. 5.1.4. Для проведения работ по защите информации Оператором могут привлекаться на договорной основе организации, имеющие лицензии на деятельность по технической защите конфиденциальной информации и (или) на деятельность по разработке и производству средств защиты конфиденциальной информации. 5.1.5. Правилами Системы управления информационной безопасности Оператора определена политика контроля доступа, гарантирующая предоставления доступа к серверным, сетевым ресурсам и иным ресурсам, содержащим информацию о внутренней деятельности Оператора, только авторизованным сотрудникам Оператора. 5.1.5.1. Сотрудники Оператора имеют доступ только к тем ресурсам, доступ к которым необходим таким сотрудникам исходя из их должностных обязанностей. Предоставление прав доступа к ресурсам определяется в соответствии с принципом наименьших привилегий. 5.1.5.2. Предоставление прав доступа ко всем помещениям, серверным и сетевым ресурсам Оператора, а также прав доступа к исходному коду разрабатываемого Оператором программного обеспечения и проектной документации требует утверждения со стороны руководителя Службы информационной безопасности Оператора. Интерфейсы управления аппаратными и сетевыми ресурсами находятся в выделенной сети, доступ к которой строго ограничен. Исходный код и доступ к базам данных Оператора предоставляется только авторизованному персоналу в соответствии с действующей Политикой безопасности. 5.1.6. Физическая безопасность инфраструктуры (включая непосредственно прямой доступ к серверам, сетевым адаптерам, шинам обмена данными) обеспечивается контрагентом, оказывающим Оператору инфраструктурные услуги по хостингу всего контура Системы. 5.1.7. Оператором принята политика по защите окружения разработки, включающая в себя

13 разделение среды разработки, тестирования и промышленной эксплуатации, а также внедрение системы контроля, препятствующей репликации данных из промышленного контура в другие окружения. 5.2. Управление обновлениями 5.2.1. При необходимости обновления Системы или ее отдельных компонентов Оператор обязан информировать Пользователей путем публикации на Сайте информации о планируемых обновлениях с перечнем изменений в Системе не позднее чем за 3 рабочих дня до установки обновлений. В случае если обновления предполагают частичную или полную недоступность сервисов, Оператор также обязан в рамках уведомления указать предполагаемое время, в течение которого сервисы будут частично или полностью недоступны. 5.2.2. Обновления, не прошедшие процесс безопасной разработки программного обеспечения, не допускаются к установке на промышленную среду. 5.2.3. При возникновении непредвиденных сбоев, связанных с обновлением Системы или ее компонентов, Оператором предусмотрена процедура отката внесенных изменений до первоначального состояния с устранением всех возникших при обновлении технических проблем. 5.3. Реагирование на инциденты 5.3.1. Процесс по управлению инцидентами организован Службой информационной безопасности Оператора и осуществляется на основании внутренних регламентов Оператора. 5.3.2. Сотрудники Службы информационной безопасности Оператора обязаны вести журнал инцидентов. При обнаружении инцидента Оператор осуществляет регистрацию инцидента. 5.3.3. Ситуации, требующие уведомления Пользователя об инцидентах, предусматриваются соглашением об уровне предоставления сервиса, заключаемым с Пользователем. Пользователи уведомляются об инцидентах путем отправления электронного письма на указанный Пользователем при регистрации адрес электронной почты, либо иным доступным Пользователю способом в течение 24 часов с момента обнаружения соответствующего инцидента. 5.3.4. Оператор информирует Банк России и предоставляет сведения с использованием резервного способа взаимодействия о следующих событиях: 5.3.4.1. выявленных инцидентах защиты информации, а также о принятых мерах и проведенных мероприятиях по реагированию на выявленный инцидент защиты информации; 5.3.4.2. планируемых мероприятиях, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на официальных сайте в сети «Интернет», в отношении инцидентов защиты информации не позднее одного рабочего дня до дня проведения мероприятия. 5.4. Защита данных и конфиденциальной информации 5.4.1. Оператор обеспечивает хранение и защиту всей информации, связанной с организацией деятельности, в том числе путем создания резервной копии такой информации и определения процедур, направленных на предотвращение технических сбоев и ошибок.

14 5.4.2. Для хранения данных в базах данных, в том числе в реестрах Системы, Оператор использует шифровальные (криптографические) средства защиты информации в соответствии с законодательством Российской Федерации. 5.4.3. Для шифрования данных при их передаче между компонентами Системы используется протокол TLS. Ключи для работы протокола TLS хранятся на хостах, на которых он используется. 5.4.4. Оператор осуществляет меры по защите персональных данных, предусмотренные Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» посредством размещения данных на ресурсах контрагента, оказывающего Оператору инфраструктурные услуги по хостингу всего контура Системы, который обеспечивает конфиденциальность персональных данных, их безопасность при обработке и выполнение требований к защите обрабатываемых персональных данных, установленных законодательством Российской Федерации, и имеет заключение о соответствии внедренной системы защиты персональных данных требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных». 5.4.5. При определении факта несанкционированного доступа к персональным данным Пользователей Оператором предусмотрен план по ликвидации последствий такого несанкционированного доступа с обязательной фиксацией в журнале инцидентов и информированием подвергшихся атаке Пользователей любым доступным для них способом. 5.4.6. Оператор не раскрывает персональные данные Пользователей третьим лицам, за исключением случаев, предусмотренных законодательством Российской Федерации. 5.4.7. Записи логов о запросах Пользователя к ресурсам Системы хранятся в течение одного года и могут быть использованы для анализа инцидентов информационной безопасности и проведения проверок в рамках противодействия незаконной деятельности. По истечении указанного срока записи безвозвратно удаляются. 5.4.8. Персональные данные Пользователей, а также данные, связанные с финансовыми операциями Пользователей, подлежат хранению в течение срока, предусмотренного Федеральным законом от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» для соответствующего вида документов (не менее 5 лет со дня прекращения отношений с клиентом). В случае предъявления Пользователем законного требования об удалении его персональных данных на основании положений, предусмотренных Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных» и отсутствии у Оператора предусмотренной законодательством Российской Федерации обязанности хранить указанные данные, Оператор на основании

RkJQdWJsaXNoZXIy MjcxODE=