Finansforetaksforskriften § 3-2 – Tilleggskrav til søknad om tillatelse som betalingsforetak og e-pengeforetak
En beskrivelse av foretakets rutiner for å overvåke, håndtere og følge opp sikkerhetshendelser og sikkerhetsrelaterte kundeklager, samt rutine for rapportering av alvorlige operasjonelle hendelser og sikkerhetshendelser jf. forskrift 21. mai 2003 nr. 630 om bruk av informasjons- og kommunikasjonsteknologi (IKT) § 9. Rutiner om lagring og overvåkning av sensitiv betalingsinformasjon, samt begrensninger i og oversikt over adgang til denne informasjonen. En beskrivelse av foretakets forretningsmessig kontinuitetsplan som identifiserer kritiske deler av virksomheten, og prosedyrer for å teste om planene er effektive og tilstrekkelige. Prinsipper og definisjoner som foretaket bruker i innsamlingen av statistiske opplysninger om drift, transaksjoner og svindel. Foretakets retningslinjer knyttet til sikkerhet, inkludert en detaljert risikovurdering av betalingstjenestevirksomheten og en beskrivelse av kontrollen med sikkerheten og tiltak for å beskytte brukerne av betalingstjenestene mot risikoene som er identifisert, inkludert svindel og ulovlig bruk av sensitive opplysninger og personopplysninger. En beskrivelse av foretakets kontroll med eventuelle agenter og filialer, jf. finansforetaksforskriften § 13-4, samt en beskrivelse av foretakets utkontraktering og deltakelse i nasjonalt eller internasjonalt betalingssystem.