आरबीआई/2020-21/74
पवि.केंका.सीएसआईटीसी.एसईसी.सं.1852/31.01.015/2020-21
18 फरवरी 2021
अध्यक्ष / प्रबंध निदेशक / मुख्य कार्यपालक अधिकारी
आरआरबी को छोड़कर सभी अनुसूचित वाणिज्यिक बैंक
लघु वित्त बैंक / भुगतान बैंक / क्रेडिट कार्ड जारी करने वाले एनबीएफसी
महोदया/ प्रिय महोदय,
डिजिटल भुगतान सुरक्षा नियंत्रणों पर मास्टर निदेश
कृपया वर्ष 2020-21 के लिए दिनांक 4 दिसंबर, 2020 के द्वि-मासिक मौद्रिक नीति वक्तव्य के विकासात्मक और विनियामक नीतियों पर वक्तव्य के पैरा II (7) का संदर्भ लें (सार नीचे प्रस्तुत है)। मास्टर निदेश विनियमित संस्थाओं को डिजिटल भुगतान उत्पादों और सेवाओं के लिए एक मजबूत शासन संरचना स्थापित करने और सुरक्षा नियंत्रण के सामान्य न्यूनतम मानकों को लागू करने के लिए आवश्यक दिशा निर्देश देता है।
2. मास्टर निदेश के हिंदी और अंग्रेजी पाठ में यदि कोई असंगति या अस्पष्टता पाई जाती है तो मास्टर निदेश का अंग्रेजी पाठ मान्य होगा।
भवदीय
(टी.के.राजन)
मुख्य महाप्रबंधक
डिजिटल भुगतान सुरक्षा नियंत्रण
भारत में डिजिटल भुगतान प्रणालियों की पूर्व स्थापित भूमिका को देखते हुए, आरबीआई इसके चारों ओर सुरक्षा नियंत्रणों को सबसे अधिक महत्व देता है। अब, विनियमित संस्थाओं के लिए ऐसी प्रणालियों के लिए एक मजबूत शासन संरचना स्थापित करने और अन्य के साथ-साथ इंटरनेट, मोबाइल बैंकिंग, कार्ड भुगतान और अन्य चैनलों के लिए सुरक्षा नियंत्रणों के सामान्य न्यूनतम मानकों को लागू करने के लिए भारतीय रिज़र्व बैंक (डिजिटल भुगतान सुरक्षा नियंत्रण) दिशा-निर्देश 2020 जारी करने का प्रस्ताव है। जब दिशा-निर्देश प्रौद्योगिकी और प्लेटफ़ॉर्म के लिए समान होंगे, यह ग्राहकों के लिए अधिक सुरक्षित तरीके से डिजिटल भुगतान उत्पादों का उपयोग करने के लिए एक उन्नत और सक्षम वातावरण का निर्माण करेंगे। आवश्यक दिशा-निर्देश अलग से जारी किए जाएंगे।
डिजिटल भुगतान सुरक्षा नियंत्रण पर मास्टर निदेश
प्रस्तावना
बैंककारी विनियमन अधिनियम, 1949, भारतीय रिज़र्व बैंक अधिनियम, 1934 और भुगतान और निपटान प्रणाली अधिनियम, 2007 द्वारा प्रदत्त शक्तियों का प्रयोग करते हुए, रिज़र्व बैंक इससे संतुष्ट होते हुए कि यह जनहित में आवश्यक और उचित है, एतद्वारा निदेश जारी करता है, जो यहां इसके बाद निर्दिष्ट है।
अध्याय -1
प्रारंभिक
1. लघु शीर्षक और प्रारम्भ
क. इन निदेशों को भारतीय रिज़र्व बैंक (डिजिटल भुगतान सुरक्षा नियंत्रण) निदेश, 2021 कहा जाएगा।
ख. ये निदेश भारतीय रिज़र्व बैंक (भारिबैं) की आधिकारिक वेबसाइट पर अपलोड किए जाने के दिन से छह महीने बाद की तिथि से प्रभावी होंगे। हालाँकि, भुगतान और निपटान प्रणाली विभाग (डीपीएसएस), विनियमन विभाग (डीओआर) या आरबीआई के पर्यवेक्षण विभाग (डीओएस) द्वारा परिपत्र या परमार्श के माध्यम से पहले से ही जारी निदेशों जिनमें चयनित विनियमित संस्थाओं (आरई) को जारी निदेश भी शामिल हैं के संबंध में समयसीमा तत्काल प्रभाव से या पहले से निर्धारित समयसीमा के अनुसार होगी।
2. प्रयोजनीयता
इन निदेशों के प्रावधान निम्नलिखित विनियमित संस्थाओं (आरई) पर लागू होंगे:
ए) अनुसूचित वाणिज्यिक बैंक (क्षेत्रीय ग्रामीण बैंकों को छोड़कर);
बी) लघु वित्त बैंक;
सी) भुगतान बैंक; तथा
डी) क्रेडिट कार्ड जारी करने वाले एनबीएफसी
3. परिभाषाएं
सभी अभिव्यक्तियों का, जब तक यहां परिभाषित न किया जाए, वही अर्थ होगा जो बैंककारी विनियमन अधिनियम, 1949, भारतीय रिज़र्व बैंक अधिनियम, 1934, भुगतान और निपटान प्रणाली अधिनियम, 2007 या सूचना प्रौद्योगिकी अधिनियम, 2000 / सूचना प्रौद्योगिकी (संशोधन) अधिनियम 2008 और इनके तहत बनाए गए नियम, किसी भी वैधानिक संशोधन या उसके ऊपर पुन: अधिनियमन या वाणिज्यिक भाषा में उपयोग किया गया हो, जैसा भी मामला हो में प्रयुक्त किया गया होगा।
अध्याय– II
सामान्य नियंत्रण
शासन और सुरक्षा जोखिम का प्रबंधन
4. विनियमित संस्थाएं अपने बोर्ड के अमोदन से डिजिटल भुगतान उत्पादों और सेवाओं के लिए एक नीति तैयार करेंगे। नीति की रूप-रेखा में किसी भी "नए उत्पाद" के मापदंडों को चर्चा में जिसमें समग्र व्यापार रणनीति के साथ इसका संबंध और उत्पाद के निहित जोखिम, जोखिम प्रबंधन इसे कम करने के उपायों, विनियामक निर्देशों के अनुपालन, ग्राहक अनुभव, आदि शामिल हैं, कार्यप्रणाली से भुगतान सुरक्षा अपेक्षाओं, सुरक्षा और कार्य-प्रदर्शन (एफएसपी) के निम्नलिखित दृष्टिकोण की चर्चा स्पष्ट रूप से शामिल की जानी चाहिएः-
क) ग्राहक के डेटा की गोपनीयता और डेटा की समग्रता और प्रदान की गई डिजिटल उत्पाद / सेवाओं से जुड़ी प्रक्रियाओं की सुरक्षा के लिए आवश्यक नियंत्रण;
ख) आवश्यक बैक अप के साथ मानव संसाधन, प्रौद्योगिकी आदि जैसे अपेक्षित बुनियादी ढाँचा की उपलब्धता
ग) यह आश्वासन कि भुगतान उत्पाद सुरक्षित तरीके से बनाया जाता है, जो सुरक्षा, स्थिरता सुनिश्चित करते हुए मजबूती से काम करता है और वांछित एसईआरपी प्राप्त करने के लिए उसे आवश्यक परीक्षण के बाद रोल आउट किया जाता है;
घ) क्षमता निर्माण और वृद्धि क्षमता के साथ विस्तार (प्रभावी लेनदेन प्रक्रिया हेतु विकास की अपेक्षाओं को पूरा करने के लिए);
ङ) सिस्टम / चैनलों की उच्च उपलब्धता (न्यूनतम तकनीकी रुकावट के लिए) सहित ग्राहक सेवा में न्यूनतम व्यवधान
च) सक्षम और प्रभावी विवाद समाधान तंत्र और ग्राहक शिकायत का प्रबंधन; तथा
छ) यदि उपरोक्त आवश्यकताओं में से किसी एक में बाधा आती है या बाधा उत्पन्न होने की उच्च संभावना होती है तो ऐसी स्थिति में पर्याप्त और उचित समीक्षा तंत्र सहित त्वरित सुधारात्मक कार्रवाई।
बोर्ड और वरिष्ठ प्रबंधन इस नीति के कार्यान्वयन के लिए जिम्मेदार होंगे। नीति की समय-समय पर समीक्षा की जाएगी, कम से कम वार्षिक आधार पर। विनियमित संस्थाए अलग-अलग डिजिटल उत्पादों के लिए अलग से इस नीति को बना सकते हैं या उसे समग्र उत्पाद नीति में शामिल कर सकते हैं। इसके अलावा, नीति दस्तावेज़ के लिए आवश्यक है कि प्रत्येक डिजिटल भुगतान उत्पाद / प्रदान की गई सेवाएं; यांत्रिकी, प्रारंभिक बिंदु की स्पष्ट परिभाषा, डिजिटल भुगतान चक्र में महत्वपूर्ण सविराम चरण / बिंदुओं और अंतिम बिंदु, सुरक्षा पहलुओं, डिजिटल भुगतान का निपटान किए जाने तक सत्यापन, डिजिटल पथ का स्पष्ट सचित्र प्रस्तुति और अपवाद प्रबंधन की आवश्यकताओं को शामिल करे। इसके अलावा, उपरोक्त आवश्यकताओं को पूरा करने, रोल आउट करने से पहले कई चरणों में उपयोगकर्ता स्वीकृति टेस्ट (यूएटी) करने के लिए तंत्र, एकाधिक हितधारकों से सहमति और अनुमोदन प्राप्त करना (यूएटी के बाद) और डेटा अभिलेखीय आवश्यकताओं को भी ध्यान में रखा जाएगा। डिजिटल उत्पाद का सपोर्ट करने वाले एप्लिकेशन (ओं) के लॉजिक, बिल्ड और सुरक्षा पहलुओं सहित पूरी प्रक्रिया के बाहरी मूल्यांकन की आवश्यकता को स्पष्ट रूप से व्यक्त किया जाना चाहिए।
5. विनियमित संस्थान, विशिष्ट जोखिमों जिसमें डिजिटल भुगतान उत्पादों और सेवाओं के पोर्टफोलियो से से जुड़े अनुपालन जोखिम और धोखाधड़ी जोखिम शामिल हैं, की पहचान, विश्लेषण, निगरानी और प्रबंधन के लिए अपने शासन और जोखिम प्रबंधन कार्यक्रमों में उचित प्रक्रियाओं को निरंतर आधार पर समग्र रूप से शामिल करेंगे। क्या डिजिटल भुगतान चैनलों के माध्यम से प्रदान किए जाने वाले उत्पाद या सेवा, परिचालन और सुरक्षा मानदंडों को पूरा करते हैं या नहीं इसका मूल्यांकन करने के लिए विनियमित संस्थाओं के बोर्ड / वरिष्ठ प्रबंधन के पास उपयुक्त कार्य- प्रदर्शन निगरानी प्रणाली / प्रमुख कार्य-प्रदर्शन संकेतक होंगे।
6. इस प्रक्रिया के हिस्से के रूप में विनियमित संस्थाएं, डिजिटल भुगतान उत्पाद और सेवाओं में अंतर्निहित सुरक्षा उपायों की सक्षमता की जांच के लिए स्वीकार्य सुरक्षा जोखिम, दस्तावेज आधारित सुरक्षा उद्देश्य और मात्रात्मक बेंचमार्क सहित कार्यप्रदर्शन मानक, के स्तर पर उत्पाद-स्तर सीमाओं को निर्धारित करेंगे। विनियमित संस्थाएं विपरीत प्रवृत्तियों अथवा चिंताओं की समय पर पहचान और समाधान के लिए और मात्रात्मक बेंचमार्क और लक्ष्यों से वास्तविक परिणाम की तुलना करेंगे और उत्पाद अथवा सेवा के सुरक्षा कार्यप्रदर्शन के आधार पर, यथोचित रूप में उत्पाद से संबंधित कारोबारी नीति/रणनीति को परिवर्तित करेंगे।
7. विनियमित संस्थानों के पास डिजिटल भुगतान बुनियादी ढांचे के प्रबंधन के लिए आवश्यक विशेषज्ञता के साथ प्रशिक्षित संसाधन होंगे। जहां कहीं विनियमित संस्थान तीसरे पक्ष के सेवा प्रदाताओं पर निर्भर हैं, आउटसोर्सिंग पर आरबीआई के दिशानिर्देशों के अनुरूप, तीसरे पक्ष के कर्मियों की गतिविधियों की निगरानी के लिए पर्याप्त निगरानी और नियंत्रण स्थापित किया जाएगा।
8. विनियमित संस्थान सेवा (एं) स्थापित करने और उसके बाद नियमित रूप से डिजिटल भुगतान उत्पादों और संबंधित प्रक्रियाओं और सेवाओं की सुरक्षा और साथ-साथ लक्षित उपयोगकर्ताओं के लिए इसकी अनुकूलता और उपयुक्तता के संबंध में जोखिम मूल्यांकन करेंगे। जोखिम मूल्यांकन में निम्न शामिल होने चाहिएः-
क) प्रौद्योगिकी स्टैक और उपयोग किए गए समाधान;
ख) डिजिटल उत्पाद के प्रत्येक टचपॉइंट में ज्ञात कमजोरियां और इकाई द्वारा की गई उपचारात्मक कार्रवाई
ग) तीसरे पक्ष के सेवा प्रदाताओं पर निर्भरता और ऐसे प्रदाताओं की निगरानी;
घ) विनियमित संस्थान के आंतरिक और बाह्य दोनों प्रणालियों के साथ डिजिटल भुगतान प्लेटफार्म के एकीकरण से उत्पन्न होने वाला जोखिम, जिसमें कोर सिस्टम और भुगतान प्रणाली ऑपरेटरों के सिस्टम शामिल हैं, आदि;
ङ) ऐसे उत्पादों का उपयोग करने के लिए आवश्यक ग्राहक अनुभव, सुविधा और प्रौद्योगिकी अंगीकरण;
च) समाधान प्रक्रिया
छ) अंतर परिचालन से संबंधित पहलू
ज) मौजूदा कानूनों / निर्देशों के अनुसार डेटा भंडारण, सुरक्षा और गोपनीयता की सुरक्षा;
झ) धोखाधड़ी जोखिम सहित परिचालन जोखिम;
ञ) व्यापार निरंतरता और सेवा की उपलब्धता;
ट) मौजूदा साइबर सुरक्षा अपेक्षाओं का अनुपालन; तथा
ठ) कंपैटिबिलिटी के पहलु
ऐसे मूल्यांकन में आसपास के परितंत्र भी शामिल होंगे। जोखिमों का मूल्यांकन भुगतान डेटा1 के बचाव और सुरक्षा की आवश्यकताओं को पूरा करेगे और प्रणालियों की सुदृढ़ता का मूल्यांकन करेगा। आंतरिक जोखिम और नियंत्रण स्व-मूल्यांकन (आरसीएसए) अभ्यास शेष जोखिम की पहचान के लिए अंतर्निहित जोखिम और नियंत्रणों उनके बनिस्पत खतरों की संभावना और प्रभाव को भी कवर करेगा। इस तरह के अभ्यास में विनियमित संस्थानों के लिए यह अनिवार्य है कि वे सभी प्रणालियों और एप्लिकेशन का डेटाबेस को बनाए रखें और भुगतान परितंत्र में ग्राहक डेटा संगृहीत करें और प्रत्येक सिस्टम में लागू पीसीआई मानकों का अनुपालन करें (प्रमाणन / मानक प्रमाणन की अनिवार्य आवश्यकताओं के बावजूद)।
9. विनियमित संस्थान, चुने गए प्रौद्योगिकी प्लेटफार्मों, एप्लिकेशन आर्किटेक्चर से जुड़े जोखिमों का सर्वर और ग्राहक दोनों ओर से मूल्यांकन करेंगे। इसके अलावा, विनियमित संस्थानों को अपनी सेवाओं को प्रभावित करने वाली घटनाओं के आधार पर जोखिम परिदृश्यों और मौजूदा सुरक्षा उपायों की समीक्षा करनी चाहिए, इससे पहले कि बुनियादी ढांचे या प्रक्रियाओं में कोई बड़ा बदलाव किया जाए, या, जब जोखिम निगरानी गतिविधियों के माध्यम से किसी नए खतरे की पहचान की जाती है। इसके अलावा, प्लेटफ़ॉर्म की अप्रयुक्त या अवांछित गुणों को जोखिम कम करने के लिए बारीकी से नियंत्रित किया जाना चाहिए।
10. विनियमित संस्थान डिजिटल भुगतान उत्पादों और संबंधित सेवाओं की पेशकश से पहले मजबूत आंतरिक नियंत्रण प्रणाली विकसित करेंगे और परिचालन जोखिम को ध्यान में रखेंगे। इसमें यह सुनिश्चित करना शामिल होगा कि डेटा की समग्रता, ग्राहक की गोपनीयता और डेटा की सुरक्षा के लिए पर्याप्त सुरक्षा उपाय मौजूद हैं।
11. विनियमित संस्थान यह सुनिश्चित करेंगे कि डिजिटल भुगतान आर्किटेक्चर लेन-देन की मात्रा और ग्राहक वृद्धि के अनुरूप मजबूत और बड़ा होने योग्य है। विनियमित संस्थान की आईटी रणनीति यह सुनिश्चित करेगी कि बढ़ती हुई मांग को पूरा करने के लिए एक मजबूत क्षमता प्रबंधन योजना तैयार है। विनियमित संस्थान बोर्ड द्वारा अनुमोदित नीति के द्वारा आवधिक आधार पर सूप्रौ/सूप्रौ सुरक्षा संरचना और प्रौद्योगिकी प्लेटफ़ॉर्म की पूरी मरम्मत की समीक्षा तंत्र स्थापित करेंगे।
12. विनियमित संस्थानों के पास लेन-देन या ऑडिट-ट्रेल्स के नुकसान के बिना पुनः प्राप्ति सुनिश्चित करने डिजिटल उत्पादों से संबंधित बैक-अप डेटा का समय-समय पर परीक्षण करने के लिए आवश्यक क्षमता, सिस्टम और प्रक्रियाएं होनी चाहिए। डिजिटल भुगतान उत्पादों और सेवाओं के लिए इन सुविधाओं का कम से कम छमाही आधार पर परीक्षण किया जाना चाहिए।
अन्य सामान्य सुरक्षा नियंत्रण
13. डिजिटल भुगतान चैनलों (विशेषकर इंटरनेट पर) में संचार प्रोटोकॉल एक सुरक्षित मानक का पालन करेगा। डिजिटल भुगतान परितंत्र में एन्क्रिप्शन और सुरक्षा का एक उचित स्तर लागू किया जाएगा।
14. डिजिटल भुगतान उत्पाद और सेवाएं प्रदान करने वाले वेब एप्लिकेशन को डेटा की समग्रता में किसी भी तरह के समझौते से बचने के लिए एच.टी.एम.एल हिडेन फ़ील्ड, कुकीज़, या किसी अन्य क्लाइंट-साइड स्टोरेज में संवेदनशील जानकारी संगृहीत नहीं करनी चाहिए।
15. विनियमित संस्थान इंटरनेट पर प्रदान किए जाने वाले डिजिटल भुगतान उत्पादों और सेवाओं को सुरक्षित करने के लिए वेब एप्लिकेशन फायरवाल (डब्लयू.ए.एफ) समाधान और डीडीओएस शमन तकनीकों को लागू करेगा।
16. ‘की लेंथ’ (सममित / असममित एन्क्रिप्शन, हैशिंग), एल्गोरिदम (एन्क्रिप्शन साइनिंग, ‘की‘ का आदान-प्रदान, मैसेज डाइजेस्ट का निर्माण, रैंडम नंबर जनरेटर), सिफर सुइट्स, डिजिटल सर्टिफिकेट और ट्रांसमिशन चैनलों, डेटा प्रसंस्करण, प्रमाणीकरण के लिए में प्रयुक्त प्रोटोकॉल मजबूत होगा, जिसमें अंतरराष्ट्रीय स्तर पर स्वीकार किए गए और प्रकाशित मानकों जो असुरक्षित / भेद्य नहीं है को अपनाया गया होगा और ऐसे नियंत्रणों को लागू करने में शामिल कॉन्फ़िगरेशन, सामान्य, मौजूदा निर्देशों और देश के कानून के अनुरूप होगा।
17. वि.सं डिजिटल भुगतान परितंत्र तंत्र में उपयोग किए गए अपने डिजिटल प्रमाणपत्रों को समय रहते नवीनीकृत करेंगे।
18. मोबाइल एप्लिकेशन2 और इंटरनेट बैंकिंग एप्लिकेशन में उपयोगकर्ता गतिविधि, सुरक्षा परिवर्तनों को ट्रैक करने और विषम व्यवहार और लेनदेन की पहचान करने के लिए प्रभावी लॉगिंग और निगरानी क्षमता होनी चाहिए।
एप्लिकेशन सुरक्षा जीवन चक्र (एएसएलसी)
19. विनियमित संस्थान, डिजिटल भुगतान उत्पादों और सेवाओं में अलग एप्लिकेशन, डेटाबेस और प्रस्तुति स्तर अलग-अलग रखते हुए बहुस्तरीय एप्लिकेशन आर्कीटेक्टर को लागू करेंगे।
20. विनियमित संस्थान डिजिटल भुगतान उत्पादों और सेवाओं के विकास में 'डिजाइन द्वारा सुरक्षित' दृष्टिकोण का पालन करेंगे। विनियमित संस्थान, यह सुनिश्चित करेंगे कि डिजिटल भुगतान एप्लिकेशन को उनके विकास के जीवनचक्र के भीतर सुरक्षा को अंतः स्थापित करके उन्हें स्वाभाविक रूप से अधिक सुरक्षित है।
21. विनियमित संस्थान, (ए) आवश्यकता संग्रहण (बी) डिजाइनिंग, (सी) विकास, (डी) स्रोत कोड समीक्षा सहित परीक्षण, (ई) कार्यान्वयन, रखरखाव और निगरानी (एफ) डिजिटल भुगतान एप्लिकेशन की सेवा बंद करने के चरण दौरान, सुरक्षा उद्देश्यों (ग्राहक की जानकारी / डेटा की सुरक्षा सहित) को स्पष्ट रूप से परिभाषित करेंगे।
22. विनियमित संस्थाएं (सह-ब्रांड / सह-विकसित एप्लिकेशन के लिए अन्य संस्थाओं के साथ साझेदारी करने वाले) अपनी नीतियों, प्रक्रियाओं, दिशानिर्देशों और प्रक्रियाओं में जीवन चक्र प्रबंधन के दौरान थ्रेट मॉडलिंग दृष्टिकोण को अपनाएंगी और शामिल करेंगी।
23. तीसरे पक्ष के विक्रेता द्वारा लाइसेंस प्राप्त डिजिटल भुगतान एप्लिकेशन के लिए, विनियमित संस्थाओं के पास वेंडर की चूक के कारण या सेवाओं को प्रदान करने में असमर्थ होने की स्थिति में सेवाओं की निरंतरता सुनिश्चित करने के लिए स्रोत कोड के लिए एस्क्रो व्यवस्था होगी।
24. विनियमित संस्थाएं, संग्रहित और प्रसारित किए जाने वाले डेटा की गोपनीयता और सम्पूर्णता सुरक्षित रखते हुए अपने डिजिटल भुगतान एप्लिकेशन के स्रोत कोड, भेद्यता मूल्यांकन (वीए) और भेदन परीक्षण (पीटी) की समीक्षा सहित सुरक्षा परीक्षण करेंगे ताकि यह सुनिश्चित किया जा सके कि लेनदेन को सफलतापूर्वक पूरा करने के लिए एप्लिकेशन सुरक्षित है। इस तरह के परीक्षण में विभिन्न मानकों जैसे ओडब्ल्यूएएसपी के अनुपालन को अनिवार्य रूप से शामिल किया जाना चाहिए। यदि स्रोत कोड वि.सं के स्वामित्व में नहीं है, तो, ऐसे मामलों में, वि.सं एप्लिकेशन डेवलपर से एक प्रमाण पत्र लेगा, जिसमें यह उल्लेख हो कि कि आवेदन कोड ज्ञात कमजोरियों, मेलवेयर और किसी भी गुप्त चैनलों से मुक्त है। इस संबंध मे-
क. वी.ए कम से कम छमाही आधार पर आयोजित किया जाएगा; पीटी कम से कम वार्षिक आधार पर आयोजित की जाएगी। इसके अलावा जब कभी कोई नया आईटी इन्फ्रास्ट्रक्चर या डिजिटल भुगतान एप्लिकेशन प्रयोग में लाया जाता है या किसी एप्लिकेशन या इन्फ्रास्ट्रक्चर में बड़ा बदलाव किया जाता है तब वीए / पीटी आयोजित किया जाएगा।
ख. स्रोत कोड / प्रमाणन की समीक्षा से संबंधित परीक्षण आयोजित / पूरा किया जाएगा। यह वार्षिक आधार पर जारी रहेगा, यदि वर्ष के दौरान आवेदन में परिवर्तन / उन्नयन किया गया हो;
ग. परीक्षण / प्रमाणन को मोटे तौर पर इस उद्देश्य को पूरा करना चाहिए कि उत्पाद / संस्करण / मॉड्यूल (एस) केवल वांछित तरीके से कार्य करता है, इसे सबसे सुरक्षित डिजाइन / कोडिंग प्रथाओं और मानकों के अनुसार विकसित किया गया है, असुरक्षित कोडिंग के कारण ज्ञात खामियों / खतरों को दूर किया जाता है; तथा
घ. एप्लिकेशन प्रदाता द्वारा किसी भी गैर-अनुपालन के लिए वि.सं द्वारा तीसरे पक्ष के अनुबंध व्यवस्था में दंड प्रावधानों को शामिल किया जाएगा।
25. वि.सं नेटवर्क पर सभी प्रणाली जो महत्वपूर्ण हैं, आम लोगों के लिए उपलब्ध हैं या ग्राहक संवेदनशील डेटा संगृहीत करते हैं को लगातार और अधिक बारम्बरता के साथ स्वचालित रूप से स्कैन करने के लिए स्वचालित वीए स्कैनिंग उपकरण भी चला सकते हैं।
26. वि.सं यह सत्यापित करने / सुनिश्चित करने के लिए कि भेद्यताओं को, पैचिंग, क्षतिपूर्ती नियंत्रण को लागू करके या आवश्यक अनुमोदन के साथ शेष जोखिम को दस्तावेजीकृत करके और स्वीकार करके दूर कर लिया गया है, पूर्ववर्ती भेद्यता जांच के परिणामों की तुलना करेंगे और यह सुनिश्चित करेंगे कि भेद्यताओं की कोई पुनरावृत्ति नहीं हुई है। पहचानी गई भेद्यताओं को समयबद्ध तरीके से दूर किया जाना चाहिए।
27. विनियमित संस्थान यह सुनिश्चित करेंगे कि सभी भेद्यता जांच प्रमाणित रीति से की जाती हैं जिसमें एजेंट सुरक्षा कॉन्फ़िगरेशन का विश्लेषण करने के लिए या तो परिसर के भीतर सिस्टम पर प्रोग्राम रन करते हैं, या विश्लेषण करने के लिए रिमोट स्कैनर्स, जिसे परीक्षण किए जा रहे सिस्टम पर प्रशासनिक अधिकार दिए गए हैं, का उपयोग करते हैं।3
28. विनियमित संस्थान भुगतान उत्पादों और सेवाओं को ग्राहकों के लिए उपलब्ध कराने/परिचालन में लाने से पहले भुगतान उत्पादों और सेवाओं की कार्यात्मकता (यह सत्यापित करना कि क्या सिस्टम कार्यात्मक आवश्यकताओं / विनिर्देशों को पूरा करता है)और सुरक्षा नियंत्रणों को सत्यापित करेंगे और पूरी तरह से जांच करेंगे।
29. विनियमित संस्थान लोकप्रिय ऐप-स्टोर्स और वेब पर गैर-वास्तविक / अनधिकृत / हानिकर एप्लिकेशन (समान नाम / विषेशताओं के साथ) के लिए सक्रिय रूप से निगरानी करने के लिए एक तंत्र स्थापित करेगा और उन्हें हटाने के लिए तदनुसार कार्रवाई करेगा।
30. यह सुनिश्चित करने के लिए कि कोई लेनदेन गैर-वास्तविक / अनधिकृत डिजिटल भुगतान उत्पादों / एप्लिकेशन के माध्यम से नहीं किया गया है और प्रमाणीकरण प्रक्रिया मजबूत, सुरक्षित और केंद्रीकृत है विनियमित संस्थान के स्तर पर सर्वर के पास पर्याप्त नियंत्रण और संतुलन होना चाहिए।
31. डिजिटल भुगतान एप्लिकेशन के सुरक्षा नियंत्रण, एप्लिकेशन द्वारा भुगतान डेटा को संभालने, संगृहीत करने और सुरक्षित रखने के तरीकों पर केन्द्रित होने चाहिए। सुरक्षित डेटा संग्रहण और संचार हेतु API को प्रभावी बनाने के लिए सही तरीके से इसे कार्यान्वित और उपयोग किया जाना चाहिए। विनियमित संस्थान एप्लिकेशन सुरक्षा और अन्य सुरक्षा उपायों के लिए OWASP-MASVS, OWASP-ASVS जैसे मानकों और अन्य प्रासंगिक OWASP मानकों, सुरक्षा और आईएसओ 12812 में दिए गए डेटा सुरक्षा दिशानिर्देशों, NIST द्वारा विकसित किए गए सुरक्षा कैटलॉग और गाइड (ब्लूटूथ और LTE सुरक्षा हेतु सहित) से सहायता लेंगे। इस तरह के परीक्षण को आवश्यक रूप से भेद्यता जिसमें ऑपरेटिंग सिस्टम प्रदाताओं / ओईएम द्वारा विकसित / साझा किए गए OWASP / OWASP मोबाइल टॉप 10, एप्लिकेशन सुरक्षा दिशानिर्देशों / आवश्यकताओं को शामिल करते हुए, पर सीमित न रखते हुए सत्यापित करना होगा।
32. विनियमित संस्थान ग्राहक की जानकारी जैसे खाता संख्या / कार्ड नंबर / अन्य संवेदनशील जानकारी को एसएमएस / ई-मेल के माध्यम से प्रेषित करते समय उजागर नहीं करेंगे।
प्रमाणीकरण ढांचा
33. साइबर-हमलों के प्रसार और उनके संभावित परिणामों के मद्देनजर, विनियमित संस्थान उन परिस्थितियों को छोड़ जहां उन्हें स्पष्टतया अनुमति/छूट प्राप्त है, इलेक्ट्रॉनिक माध्यम से भुगतान और डिजिटल भुगतान एप्लिकेशनों के माध्यम से निधि अंतरण, जिसमें एटीएम / माइक्रो-एटीएम/ व्यवसाय प्रतिनिधियों से नकद निकासी भी शामिल है, के लिए बहु-कारक प्रमाणीकरण लागू करेंगे। प्रमाणीकरण कार्य-प्रणालियों में से कम से कम एक आम तौर पर गतिशील या गैर-प्रतिकृति होना चाहिए [जैसे, वन टाइम पासवर्ड का उपयोग, मोबाइल डिवाइस (डिवाइस बाइंडिंग और सिम), बायोमेट्रिक / पीकेआई / हार्डवेयर टोकन, सर्वर साइड सत्यापन के साथ ईएमवी चिप कार्ड (कार्ड प्रेजेंट ट्रांजैक्शंस के लिए) को गतिशील या गैर-प्रतिकृति कार्य-प्रणाली भी कहा जा सकता है।]
34. विनियमित संस्थान जोखिम मूल्यांकन, उपयोगकर्ता जोखिम प्रोफ़ाइल और व्यवहार के आधार पर सही प्रमाणीकरण कारकों का चयन करने के लिए अनुकूली प्रमाणीकरण को भी अपना सकता है। उचित रूप से डिज़ाइन किए गए और कार्यान्वित किए गए बहु-कारक प्रमाणीकरण कार्य-प्रणालियां अधिक विश्वसनीय और मजबूत धोखाधड़ी निवारक होती हैं और इन्हें भेदना अधिक कठिन होता है। बहु-कारक-प्रमाणीकरण का मुख्य उद्देश्य भुगतान डेटा की गोपनीयता की रक्षा के साथ-साथ विनियमित संस्थानों और उनके ग्राहकों पर लक्षित फ़िशिंग, कीलॉगिंग, स्पाइवेयर / मैलवेयर और अन्य इंटरनेट आधारित धोखाधड़ी जैसे विभिन्न साइबर-हमला तंत्रों का मुकाबला करके डिजिटल भुगतान में भरोसे को बढ़ाना है। इस संबंध में
क) उपयुक्त प्रमाणीकरण विधियों का कार्यान्वयन विनियमित संस्थानों के भुगतान उत्पादों और सेवाओं द्वारा उत्पन्न जोखिम के आकलन के आधार पर होना चाहिए। जोखिम का मूल्यांकन ग्राहक के प्रकार (जैसे, खुदरा / कॉर्पोरेट / वाणिज्यिक) ग्राहक की लेन-देन की आवश्यकताएं / पैटर्न (जैसे, बिल भुगतान, निधि अंतरण), ग्राहक की जानकारी की संवेदनशीलता और शामिल लेन-देन की मात्रा, मूल्य के संदर्भ में किया जाना चाहिए।
ख) प्रौद्योगिकी कारक से परे, किसी विशेष प्रमाणीकरण पद्धति की सफलता उचित नीतियों, प्रक्रियाओं और नियंत्रणों पर निर्भर करती है। एक प्रभावी प्रमाणीकरण पद्धति को ग्राहक स्वीकृति, उपयोग में आसानी, विश्वसनीय कार्य-निष्पादन, विकास को समायोजित करने के लिए मापनीयता, ग्राहक प्रोफ़ाइल, स्थान, लेन-देन, आदि और अन्य प्रणालियों के साथ पारस्परिकता को ध्यान में रखना चाहिए।
ग) ऑनलाइन प्रोसेसिंग सुरक्षा को बढ़ाने के लिए, सभी भुगतान लेनदेन (नामे और जमा सहित) नए अकाउंट लिंकेज के सृजन (लाभार्थियों का संयोजन / संशोधन/ विलोपन) खाता विवरण बदलना या निधि अंतरण सीमा में संशोधन के संबंध में बहुकारक प्रमाणीकरण और अलर्ट्स (जैसे एसएमएस, ई-मेल आदि) लागू किया जाना चाहिए। इन सुरक्षा सुविधाओं को तैयार करने में, विनियमित संस्थान को उनकी प्रभावकारिता और अतिरिक्त ऑनलाइन सुरक्षा के लिए ग्राहकों की अलग-अलग वरीयताओं को ध्यान में रखना चाहिए।
घ) ऑनलाइन लेनदेन के लिए ग्राहक को प्राप्त अलर्ट और ओटीपी, भुगतान समूहक, जिसके माध्यम से लेन-देन संपन्न हुआ था के बजाय जहां भी लागू हो, मर्चेन्ट का नाम प्रदर्शित करेंगे।
ङ) बहुकारक प्रमाणीकरण आर्किटेक्चर के अभिन्न अंग के रूप में, विनियमित संस्थानों को बिचौलिया हमला, जिसे आमतौर पर एक मैन-इन-मिडल अटैक (एमआईटीएम), मैन-इन-द-ब्राउजर (एमआईटीबी) अटैक या मैन-इन-द-एप्लिकेशन अटैक के रूप में जाना जाता है के जोखिम को कम करने के लिए उचित उपायों को भी लागू करना चाहिए। अन्य बातों के साथ, यह सुनिश्चित किया जाना चाहिए कि पारगमन में डेटा सुरक्षित है और लेनदेन केवल वास्तविक / अधिकृत स्रोत / प्रक्रिया द्वारा प्रमाणित किए जाते हैं।
च) ग्राहक के साथ पारस्परिक क्रिया के दौरान एक प्रमाणित सत्र, अपने एन्क्रिप्शन प्रोटोकॉल के साथ, बरकरार रहना चाहिए। अन्यथा, हस्तक्षेप की स्थिति में या ग्राहक द्वारा एप्लिकेशन को बंद करने की स्थिति में, सत्र समाप्त हो जाना चाहिए, और प्रभावित लेनदेन का समाधान हो जाना चाहिए या खाते में वापस अंतरित हो जाना चाहिए। ग्राहक को ईमेल, एसएमएस या अन्य माध्यमों से लेनदेन की स्थिति के बारे में तुरंत सूचित किया जाना चाहिए।
35. विनियमित संस्थानों को असफल लॉग-इन या प्रमाणीकरण प्रयासों की अधिकतम संख्या निर्धारित करनी चाहिए जिसके बाद डिजिटल भुगतान उत्पाद / सेवा तक पहुंच अवरुद्ध हो जाएगी। अवरुद्ध उत्पाद / सेवा तक पहुंच को फिर से सक्रिय करने के लिए उनके पास एक सुरक्षित प्रक्रिया होनी चाहिए। असफल लॉग-इन या प्रमाणीकरण प्रयासों के लिए ग्राहक को सूचित किया जाएगा।
जोखिम प्रबंधन
36. विनियमित संस्थान नियमों, निवारक, जासूसी प्रकार के नियंत्रणों के संबंध में संदिग्ध लेनदेन व्यवहार की पहचान करने के लिए कॉन्फ़िगरेशन पहलुओं और असफल प्रमाणीकरण के मामले में ग्राहकों को सतर्क करने के लिए तंत्र, इसकी समय -सीमा आदि को दस्तावेजीकृत और कार्यान्वित करेंगे।
37. सिस्टम अलर्ट को विभिन्न लागू मापदंडों के संदर्भ में मापदण्डीकृत किया जाएगा और इसकी निगरानी की जाएगी। इस तरह के मापदण्ड, यथायोग्य हो सकते हैं: अल्पावधि में लेन-देन की गति (जैसे, निधि अंतरण, नकद निकासी, इलेक्ट्रॉनिक मोड के माध्यम से भुगतान, नए लाभार्थियों को जोड़ना, आदि) बहुत हद तक उन ग्राहकों के खातों में जिन्होंने मोबाइल ऐप/ इंटरनेट बैंकिंग / कार्ड का कभी इस्तेमाल कभी नहीं किया है (भुगतान चैनल के प्रकार पर निर्भर करते हुए), उच्च जोखिम व्यापारी श्रेणी कोड (एमसीसी) मापदण्ड, नकली कार्ड मापदण्ड (अमान्य सीवीवी / पिन की श्रृंखला एक खाता निर्माण हमले को इंगित करती है), नया खाता मापदण्ड (नए खाते में अत्यधिक गतिविधि), समय क्षेत्र, भू-स्थान, आईपी पता मूल (असामान्य पैटर्न, निषिद्ध क्षेत्र / कपटपूर्ण आईपी के संबंध में), व्यवहार से संबंधी बायोमेट्रिक्स, निपटान बिंदु से लेन-देन की उत्पत्ति, मोबाइल वालेट्स /मोबाइल नंबर / वीपीए पर लेनदेन जिन पर विशिंग धोखाधड़ी या अन्य प्रकार की धोखाधड़ी रिकार्ड / दर्ज की जाती है, अस्वीकृत लेनदेन, बिना किसी अनुमोदन कोड के लेनदेन आदि।
38. धोखाधड़ी की घटना के कारण की पहचान करने और ऐसे धोखाधड़ी को रोकने के लिए तंत्र का निर्धारण करने के लिए धोखाधड़ी विश्लेषण किया जाएगा।
39. कर्मचारी, विशेष रूप से धोखाधड़ी नियंत्रण कार्य से संबद्ध, को धोखाधड़ी के बारे में शिक्षित किया जाएगा और निम्नलिखित कौशल और विशेषज्ञता के क्षेत्रों में प्रशिक्षित किया जाएगाः-
क) धोखाधड़ी नियंत्रण उपकरण और उनके उपयोग;
ख) जांच तकनीक और कार्यपद्धति;
ग) धोखाधड़ी को रोकने के लिए कार्डधारक और व्यापारी को शिक्षित करने की तकनीक;
घ) योजना और कार्ड परिचालन विनियम
ङ) डाटा प्रोसेसिंग और विश्लेषण और कानून प्रवर्तन एजेंसियों के साथ संपर्क या संचारण; तथा
च) (I) समुचित नियमों को निर्धारित करने और अद्यतन करने (ii) निरंतर आधार पर नियमों के आधार पर डाले गए अपवादों की निगरानी करने और शीघ्र आवश्यक कार्रवाई करने, (iii) जहां भी आवश्यक हो, उपयुक्त अधिकारियों को सूचित करने / आगे बढ़ाने और (iv) गलत जानकारी को शेष से अलग करने का अपेक्षित कौशल।
40. विनियमित संस्थान घटना प्रतिक्रिया में समन्वय के लिए सेवा प्रदाताओं, बिचौलियों, बाहरी एजेंसियों और अन्य हितधारकों (अन्य आरईएस सहित) के अद्यतन संपर्क विवरण बनाए रखेंगे। विनियमित संस्थान ऐसे संपर्क विवरणों को अद्यतन और सत्यापित करने के लिए हितधारकों के साथ एक तंत्र स्थापित करेंगे। विनियमित संस्थान ग्राहक या विनियमित संस्थान के नुकसान को कम करने के लिए भुगतान प्रणाली से संबंधित इनसिडेंट को संभालने के लिए विशिष्ट एसओपी भी तैयार करेंगे।
समाधान तंत्र
41. आरई और अन्य सभी हितधारकों जैसे पेमेंट सिस्टम ऑपरेटरों, कारोबार प्रतिनिधियों, कार्ड नेटवर्क, पेमेंट सिस्टम प्रोसेसर, पेमेंट एग्रीगेटर्स, पेमेंट गेटवे, थर्ड पार्टी टेक्नोलॉजी सर्विस प्रोवाइडर्स, अन्य प्रतिभागियों आदि के बीच सभी डिजिटल भुगतान लेनदेन के लिए एक वास्तविक समय / निकट-वास्तविक समय (निपटान फ़ाइल/फ़ाइलों की प्राप्ति के 24 घंटे के बाद से) समाधान तंत्र को संदिग्ध लेनदेन का बेहतर ढंग से पता लगाने और उनकी रोकथाम के लिए तैयार किया जाएगा। इस तरह के तंत्र के कार्यान्वयन और प्रभावशीलता की निगरानी के लिए एक तंत्र शुरू किया जाएगा।
ग्राहक संरक्षण, जागरूकता और शिकायत निवारण तंत्र
42. आरई, डिजिटल भुगतान एप्लिकेशन में अंतिम उपयोगकर्ताओं के लिए उसके सुरक्षित और जिम्मेदार उपयोग संबंधी दिशानिर्देश और प्रशिक्षण सामग्री समाविष्ट करेंगे। वे, सुरक्षित उपयोग से संबंधित दिशा-निर्देशों में प्रमुख अपडेट के बाद अथवा डिजिटल भुगतान एप्लिकेशन के प्रत्येक अपडेट के उपरांत पहले उपयोग में ऑनबोर्डिंग प्रक्रिया के दौरान पुष्टिकरण प्राप्त करने और रिकॉर्ड करते समय सुरक्षित उपयोग के दिशा-निर्देशों को जानना (ग्राहक की पसंदीदा भाषा में भी) ग्राहकों के लिए अनिवार्य (सामग्री को नजरअंदाज करने का कोई विकल्प न देते हुए) बनाएंगे ।
43. आरई, उपभोक्ता शिकायतों को दर्ज करने के लिए प्रक्रिया और कार्यवाही (प्रपत्रों/ संपर्क जानकारी, आदि के साथ) का स्पष्ट रूप से उल्लेख करते हुए डिजिटल भुगतान आवेदन में एक खंड का उल्लेख अथवा उसे शामिल करेंगे। इस सूचना को समय-समय पर अद्यतन रखने के लिए एक तंत्र भी तैयार किया जाएगा। एप्लिकेशन पर रिपोर्टिंग की सुविधा में शिकायत दर्ज करने का एक विकल्प भी होगा। ग्राहक विवाद का निपटान, उसकी रिपोर्टिंग और समाधान जिसमें आरई के जवाब की समय सीमा भी शामिल है, को स्पष्ट रूप से परिभाषित किया जाए।
44. डिजिटल भुगतान से संबंधित विवादों और ग्राहकों की शिकायतों के निवारण हेतु ऑनलाइन विवाद समाधान के लिए प्रणाली/प्रणालियों को स्थापित करने हेतु समय-समय पर अद्यतित मौजूदा अनुदेशों4 का आरई को पालन करना होगा।
45. आरई, ग्राहकों को डिजिटल भुगतान उत्पादों और सेवाओं को प्राप्त करने के लिए अपने उपकरणों की भौतिक और तर्कसंगत सुरक्षा बनाए रखने की आवश्यकता के संबंध में शिक्षित करेंगे, जिसमें ऑपरेटिंग सिस्टम की सुरक्षित / नियमित इंस्टॉलेशन की सिफारिश करना और एप्लिकेशन अपडेट करना, केवल अधिकृत स्रोतों से एप्लिकेशन डाउनलोड करना, उपकरणों में एंटी-मैलवेयर / एंटी वायरस एप्लिकेशन आदि शामिल होंगे ।
46. आरई, यह सुनिश्चित करेंगे कि उनके ग्राहकों को उन्हें सब्सक्राइब करने से पहले डिजिटल भुगतान उत्पादों और उससे संबंधित सेवाओं के उपयोग से होने वाले जोखिमों, लाभों और देयताओं के बारे में जानकारी प्रदान की जाए। ग्राहकों को डिजिटल भुगतान से संबंधित मामलों पर उनके अधिकारों, दायित्वों और जिम्मेदारियों तथा इनकी सेवा अनुपलब्धता, प्रोसेसिंग त्रुटियों और सुरक्षा उल्लंघनों से उत्पन्न होने वाली किसी भी समस्या के बारे में स्पष्ट रूप से और ठीक से सूचित किया जाएगा। डिजिटल भुगतान उत्पादों और सेवाओं पर लागू होने वाले नियम और शर्तें ग्राहक गोपनीयता और सुरक्षा नीति सहित ग्राहकों के लिए उत्पादों के साथ आसानी से उपलब्ध होंगी। सभी डिजिटल चैनल ग्राहकों की इच्छा के आधार पर उपलब्ध कराए जाएंगे और उनकी जानकारी के बिना उन पर लागू नहीं किए जाएंगे।
47. जब भी, परिचालन से संबंधित नए फीचर और फंक्शन, विशेषकर सुरक्षा, समग्रता और प्रमाणीकरण से संबंधित, ऑनलाइन डिलीवरी चैनलों के लिए पेश किए जाते हैं, तो स्पष्ट और प्रभावी संपर्क के बाद ग्राहकों को इस तरह की नई सुविधाओं का सही उपयोग करने के लिए पर्याप्त अनुदेश दिए जाने चाहिए।
48. आरई, डिजिटल भुगतान उत्पादों के उपयोग के दौरान उपभोक्ताओं के खिलाफ उपयोग किए जाने वाले खतरों और हमलों के प्रकारों के बारे में और इनसे बचाव के लिए एहतियाती उपायों के बारे में निरंतर सार्वजनिक जागरूकता पैदा करे। ग्राहकों को, हाल के दिनों में फ़िशिंग, विशिंग, रिवर्स-फ़िशिंग, मोबाइल उपकरणों के रिमोट एक्सेस और उनके खाते के विवरण, क्रेडेंशियल्स, पिन, कार्ड विवरण, उपकरण, आदि को सुरक्षित रखने और शिक्षित करने के लिए आमतौर पर ज्ञात खतरों से सावधान किया जाए।
49. आरई, नियमों और शर्तों की एक सकारात्मक प्राप्ति के साथ विकल्प आधारित लिखित या प्रामाणिक इलेक्ट्रॉनिक मांग पर ग्राहक को डिजिटल भुगतान उत्पाद और सेवाएं प्रदान करेगा।
50. विनियमित संस्थान अपने ग्राहकों के लिए अपने मोबाइल और इंटरनेट बैंकिंग एप्लिकेशन पर आवश्यक प्रमाणीकरण के साथ एक तंत्र प्रदान करेंगे ताकि वे किसी लेन-देन को धोखाधड़ी के रूप में पहचान / चिह्नित कर उसकी निर्बाध और तत्काल सूचना अपने विनियमित संस्थान को दे सकें। ग्राहक द्वारा ऐसी अधिसूचना पर विनियमित संस्थान समरूप लाभार्थी / प्रतिपक्ष की विनियमित संस्थान को धोखाधड़ी वाले लेनदेन की सहज / तत्काल रिपोर्टिंग के लिए क्षमता निर्माण का प्रयास करेंगे; विपरीत क्रम में विनियमित संस्थान, अन्य विनियमित संस्थानों से रिपोर्ट किए गए ऐसे धोखाधड़ी वाले लेनदेन को प्राप्त करने के लिए तंत्र स्थापित करेंगे।इस तंत्र का उद्देश्य शुरुआती पहचान में तेजी लाना और लेनदेन के चिह्न का पता लगाने और धोखाधड़ी पीडि़त ग्राहक की हानि को यथाशीघ्र समय में कम करने में बैंकिंग / भुगतान प्रणाली को सक्षम करना है।
अध्याय III
इंटरनेट बैंकिंग सुरक्षा नियंत्रण
अध्याय II में दिए गए नियंत्रणों के अलावा, निम्नलिखित अनुदेश उन आरई पर लागू होंगे जो अपने ग्राहकों को इंटरनेट बैंकिंग सुविधा प्रदान कर रहें / प्रदान करना चाहते हैंः
51. इंटरनेट बैंकिंग वेबसाइटें प्रमाणीकरण संबंधित ब्रूट फोर्स हमले / एप्लीकेशन लेयर डिनायल ऑफ सर्विस (DoS) हमलों के प्रति असुरक्षित हैं। प्रमाणीकरण संबंधी हमलों जैसे ब्रूट फोर्स/ डीओएस हमलों पर आरई के व्यक्तिगत जोखिम/भेद्यता मूल्यांकन के आधार पर, आरई इस भेद्यता को रोकने और इसके हनन की रोकथाम करने के लिए इंटरनेट बैंकिंग वेबसाइट पर प्रमाणीकरण के अतिरिक्त स्तरों को लागू करेंगी, जैसे अनुकूली प्रमाणीकरण, कठिन कैप्चा (मुख्यतः एंटी-बॉट सुविधाओं के साथ) सर्वर-साइड सत्यापन आदि के साथ। डीएनएस कैश विषाक्तता के हमलों को रोकने और कुकीज़ के सुरक्षित संचालन के लिए उचित उपाय किए जाएंगे। आभासी की बोर्ड विकल्प उपलब्ध कराया जाना चाहिए।
52. निष्क्रियता की एक निश्चित अवधि के बाद एक ऑनलाइन सत्र स्वतः समाप्त हो जाएगा ।
53. लॉगिन उद्देश्य के लिए पासवर्ड की सुरक्षित डिलीवरी सुनिश्चित की जाएगी। आरई द्वारा उत्पन्न और प्रेषित पासवर्ड, इसके सृजन की तारीख से सीमित अवधि के लिए वैध होना चाहिए। यदि पासवर्ड आरई द्वारा उत्पन्न और प्रेषित किया जाता है, तो, उपयोगकर्ता को पहले लॉगिन पर पासवर्ड को बदलना अनिवार्य होगा।
54. जब इंटरनेट बैंकिंग एप्लिकेशन को बाहरी वेबसाइटों (जैसे: करों के भुगतान, ई-कॉमर्स लेनदेन, आदि के मामले में) के माध्यम से एक्सेस किया जाता, तो प्रमाणीकरण की कार्यवाही और आरई की इंटरनेट बैंकिंग साइट की प्रतीति / रूप और अहसास जहाँ तक संभव हो समान होना चाहिए।
अध्याय IV
मोबाइल भुगतान एप्लिकेशन सुरक्षा नियंत्रण
अध्याय II में निर्धारित नियंत्रणों के अलावा, निम्नलिखित निर्देश, मोबाइल एप्लिकेशन के माध्यम से अपने ग्राहकों को मोबाइल बैंकिंग/मोबाइल भुगतान सुविधा प्रदान करने की पेशकश करने वाले/इच्छुक विनियमित संस्थानों के लिए लागू होते हैं :
55. किसी भी ऐसे विसंगतियों या अपवादों, जिसके लिए मोबाइल एप्लिकेशन को प्रोग्राम नहीं किया गया था, का पता लगने पर ग्राहक को आवेदन की वर्तमान प्रति/ इन्सटेंस को हटाने और आवेदन की नई प्रति/इन्सटेंस को इन्स्टॉलेशन के साथ आगे बढ़ने का निर्देश दिया जाएगा। लेन-देन सक्रिय होने से पहले विनियमित संस्थान मोबाइल एप्लिकेशन के संस्करण को सत्यापित करेंगे।
56. मोबाइल एप्लिकेशन के लिए विशिष्ट नियंत्रण में निम्नलिखित शामिल हैं :
क. डिवाइस नीति प्रवर्तन (बेसलाइन आवश्यकताओं को पूरा करने के बाद ऐप इंस्टॉलेशन/निष्पादन की अनुमति देना);
ख. एप्लिकेशन को सुरक्षित डाउनलोड / स्थापित करना
ग. पुराने एप्लिकेशन संस्करणों को चरणबद्ध लेकिन समयबद्ध तरीके से निष्क्रिय करना (नए संस्करण की रिलीज़ की तारीख से छह महीने से अधिक नहीं) अर्थात (पुराने संस्करण को समाप्त करते समय ओवरलैप अवधि को छोड़कर), प्लेटफॉर्म / ऑपरेटिंग सिस्टम पर मोबाइल एप्लिकेशन के केवल एक संस्करण को बनाए रखना;
घ. ग्राहक डेटा का भंडारण;
ङ. डिवाइस या एप्लिकेशन एन्क्रिप्शन;
च. एप्लिकेशन सैंडबॉक्स/कंटेनराइजेशन;
छ. रिमोट एक्सेस एप्लिकेशन्स की (संभव सीमा तक) पहचान करने की क्षमता और एहतियात के तौर पर मोबाइल एप्लिकेशन में लॉगिन एक्सेस को रोकना; तथा
ज. कोड छिपाना ।
57. विनियमित संस्थान, डिवाइस / ऑपरेटिंग सिस्टम की सुरक्षा और कंपैटिबलिटी की स्थिति और मोबाइल एप्लिकेशन पर सत्यापन करने के लिए विचार कर सकते हैं ताकि यह सुनिश्चित किया जा सके कि खाते से संबंधित गतिविधियों को मोबाइल एप्लिकेशन के माध्यम से सुरक्षित और सही तरीके से डाला जाता है।
58. विनियमित संस्थान, कोड को लागू करने की संभाव्यता का पता लगा सकता है जो यह जांचता है कि मोबाइल एप्लिकेशन की स्थापना से पहले डिवाइस रूट किया गया है या जेलब्रेक किया गया है और फोन रूट / जेलब्रेक होने की स्थिति में इंस्टाल करने से मोबाइल एप्लिकेशन को बाधित कर दिया जाता है।
59. आवेदन के वर्तमान सक्रिय संस्करण के चेकसम को सार्वजनिक प्लेटफॉर्म पर होस्ट किया जाएगा ताकि उपयोगकर्ता उसी को सत्यापित कर सकें।
60. विनियमित संस्थान मोबाइल एप्लिकेशन के डिवाइस बाइंडिंग को सुनिश्चित करेगा।5
61. यह देखते हुए कि प्रमाणीकरण और मोबाइल एप्लिकेशन का अतिरिक्त फैक्टर मोबाइल बैंकिंग, मोबाइल भुगतान के मामले में एक ही मोबाइल डिवाइस में रहे है, विनियमित संस्थान एसएमएस-आधारित ओटीपी प्रमाणीकरण तंत्र के विकल्पों को लागू करने पर विचार कर सकते हैं।
62. जब भी डिवाइस या एप्लिकेशन किसी निर्दिष्ट अवधि के लिए अप्रयुक्त रहता है और प्रत्येक बार उपयोगकर्ता द्वारा एप्लिकेशन लॉन्च किए जाने पर मोबाइल एप्लिकेशन को फिर से प्रमाणीकरण की आवश्यकता होनी चाहिए। एप्लिकेशन को असुरक्षित नेटवर्क जैसे असुरक्षित वाई-फाई कनेक्शन से नए नेटवर्क कनेक्शन या कनेक्शन की पहचान करने में सक्षम होना चाहिए और उन परिस्थितियों में लेनदेन करने के लिए उचित प्रमाणीकरण / जांच / उपायों को कार्यान्वित करना चाहिए।
63. मोबाइल एप्लिकेशन को, डिवाइस में, उपयोगकर्ता आईडी, पासवर्ड, की, हैश, हार्ड कोडित संदर्भ जैसी संवेदनशील व्यक्तिगत / उपभोक्ता प्रमाणीकरण जानकारी को संगृहीत/ बनाए नहीं रखना चाहिए और ग्राहक / उपयोगकर्ता जब एप्लिकेशन से एक्झिट होते हैं तो एप्लिकेशन को मेमोरी से ग्राहक की किसी भी संवेदनशील जानकारी को मेमोरी से पूरी तरह मिटा देना चाहिए।
64. विनियमित संस्थान यह सुनिश्चित करेंगे कि उनका मोबाइल एप्लिकेशन संवेदनशील जानकारी की राइटिंग को 'temp' फाइलों में सीमित करता है। ऐसी फाइलों में राइट की गई संवेदनशील जानकारी को उपयुक्त रूप से एन्क्रिप्टेड/मास्केड/हैशेड और सुरक्षित रूप से संग्रहित किया जाना चाहिए।
65. विनियमित संस्थान अपने मोबाइल एप्लिकेशन्स में एंटी-मैलवेयर क्षमताओं को डिजाइन करने पर विचार कर सकते हैं।
66. विनियमित संस्थान यह सुनिश्चित करेगा कि डेटाबेस से डेटा प्राप्त करने या अपडेट करने के लिए मोबाइल एप्लिकेशन में अपरिष्कृत (दृश्यमान) एसक्यूएल प्रश्नों के उपयोग से बचा जाता है। मोबाइल एप्लिकेशन को एसक्यूएल इंजेक्शन प्रकार की कमजोरियों से सुरक्षित बनाया जाना चाहिए। डेटाबेस को संवेदनशील जानकारी एन्क्रिप्टेड रूप में लिखा जाना चाहिए। एसएसएल / टीएलएस निगोशिएशन के दौरान त्रुटियों का पता चलने पर मोबाइल एप्लिकेशन के लेआउट के भाग के रूप में वेब सामग्री को लोड नहीं किया जाना चाहिए। किसी मान्यताप्राप्त प्रमाणन प्राधिकारी द्वारा प्रमाणपत्र हस्ताक्षरित नहीं होने के कारण प्रमाण पत्र की त्रुटियों; प्रमाणपत्र की समाप्ति/निरस्तीकरण को उपयोगकर्ता के समक्ष प्रदर्शित किया जाना चाहिए।
अध्याय – V
कार्ड भुगतान सुरक्षा
अध्याय II में निर्धारित नियंत्रणों के अलावा, विनियमित संस्थान जो अपने ग्राहकों को कार्ड (क्रेडिट / डेबिट / प्रीपेड) (भौतिक या आभासी) जारी करते हैं / करना चाहते हैं पर निम्नलिखित निर्देश लागू होते हैं:
67. निम्नलिखित मानकों के अद्यतन संस्करणों की प्रयोजनीयता / तैयारी के अनुसार व्यापक भुगतान कार्ड
सुरक्षा के लिए भुगतान कार्ड उद्योग (PCI) के निर्देशों के अनुसार विनियमित संस्थाएँ विभिन्न भुगतान कार्ड मानकों (पीसीआई-डीएसएस और पीए-डीएसएस6 के ऊपर) का पालन करेंगे:
क. पीसीआई-पिन (सुरक्षित प्रबंधन, निपटान और व्यक्तिगत पहचान संख्या (पिन) आँकड़े का प्रसारण);
ख. पीसीआई-पीटीएस (सुरक्षा अनुमोदन फ्रेमवर्क, पॉईंट ऑफ इंटरेक्शन (पीओआई) उपकरणों और हार्डवेयर सुरक्षा मॉड्यूल (एचएसएम) के उपयोग के समय कार्डधारक और अन्य संवेदनशील डेटा की लॉजिकल और / या भौतिक सुरक्षा प्रदान करता है;
ग. पीसीआई-एचएसएम (कार्डधारक-प्रमाणीकरण एप्लिकेशन को सुरक्षित बनाना और की जेनरेट करना, की इंजेक्शन, पिन सत्यापन, सुरक्षित एन्क्रिप्शन एल्गोरिथ्म, आदि सहित प्रक्रियाएं); तथा
घ. पीसीआई-पी2पीई (सुरक्षा मानक जिसके लिए भुगतान कार्ड की जानकारी को इसके प्रारंभिक स्वाइप पर तुरंत एन्क्रिप्ट किया जाना चाहिए और फिर भुगतान प्रोसेसर में सीधे स्थानांतरित कर दिया जाना आवश्यक है)।
68. विनियमित संस्थाओं को यह सुनिश्चित करना चाहिए कि भुगतान और अन्यथा कार्यों के लिए कार्ड
विवरण कैप्चर करने हेतु मर्चेंट के पास स्थापित टर्मिनल, पीसीआई-अनुमोदित पी 2 पीई सॉल्यूशन का उपयोग करने के लिए पीसीआई-पी 2 पीई प्रोग्राम से स्त्यापित है; कार्ड भुगतान (डबल स्वाइप टर्मिनल सहित) कैप्चर करने के लिए मर्चेंट के पास स्थापित पिन प्रविष्टि वाले पीओएस टर्मिनलों को पीसीआई -पीटीएस कार्यक्रम द्वारा अनुमोदित है।
69. अधिग्रहणकर्ता अपने कार्ड भुगतान के बुनियादी ढांचे (यूनीक की-प्रति टर्मिनल - यूकेपीटी या डिराइव्ड यूनीक कुंजी प्रति ट्रांजैक्शन - डीयूकेपीटी / टर्मिनल लाइन एन्क्रिप्शन - टीएलई) को सुरक्षित करेंगे।
70. एचएसएम पर लागू होने वाले सुरक्षा नियंत्रण हैं:
क. एचएसएम को लॉगिंग सक्षम होना चाहिए, लॉग को स्वयं छेड़छाड़ से अभेद्य होना चाहिए;
ख. एचएसएम असफलता का एक कारक बिंदु बन सकता है। उच्च उपलब्धता के लिए इसे 'क्लस्टरिंग’ द्वारा कम किया जाना चाहिए और सुरक्षित बैकअप सुनिश्चित करना चाहिए;
ग. एचएसएम तक एक्सेस का नियंत्रण, एक्सेस नियंत्रण सूचियों (एसीएल) के माध्यम से नियंत्रित की जानी चाहिए;
घ. एप्लिकेशन स्तर पर अलगाव को सुनिश्चित करने के लिए प्रत्येक एप्लिकेशन के लिए अलग एसीएल रखा जाना चाहिए;
ङ. एचएसएम तक की सभी एक्सेस को एक मजबूत प्रिविलेज्ड पहचान और एक्सेस प्रबंधन समाधान का उपयोग करके प्रबंधन और मॉनिटर किया जाना चाहिए;
च. कुंजी, पिन का डिक्रिप्शन और सत्यापन एचएसएम में किया जाना चाहिए;
छ. कार्ड पिन जनरेशन और प्रिंटिंग सीधे सिस्टम से जुड़े एचएसएम पर होनी चाहिए;
ज. सीवीवी जेनरेशन और सत्यापन एचएसएम में किया जाना चाहिए;
झ. सुनिश्चित करें कि एचएसएम को, कमजोर फार्मेट में पिन ब्लॉक आउटपुटिंग को निष्क्रिय करने के लिए नियंत्रण के साथ सुरक्षित पिन ब्लॉक फार्मेट के साथ लागू किया गया है;
ञ. एचएसएम (जैसे एलएमके, आदि) के लिए सुरक्षित कुंजी प्रबंधन; तथा
ट. एचएसएम डिवाइस की भौतिक कुंजियों की सुरक्षा ठीक से बनाए रखी जानी चाहिए।
71. एटीएम की सुरक्षा स्थिति में सुधार के लिए आरईएस निम्नलिखित को लागू करेगा:
क. सुरक्षा उपायों को लागू करें जैसे कि BIOS पासवर्ड, यूएसबी पोर्ट को अक्षम करना, ऑटो-रन सुविधा
को अक्षम करना, ऑपरेटिंग सिस्टम और अन्य सॉफ्टवेयर्स के नवीनतम पैच को लागू करना, टर्मिनल
सुरक्षा समाधान, समय-आधारित एडमिन एक्सेस, आदि;
ख. एंटी-स्किमिंग और व्हाइटलिस्टिंग समाधान को लागू करना; तथा
ग. ऑपरेटिंग सिस्टम के समर्थित संस्करणों से सभी एटीएम को अपग्रेड करें। जिन एटीएम में असमर्थित ऑपरेटिंग सिस्टम हैं उनका उपयोग निषिद्ध होगा।
72. विनियमित संस्थाएँ, कार्ड से लेनदेन (विशेष रूप से विदेशी नकदी निकासी) की मजबूत निरीक्षण /
निगरानी सुनिश्चित करेंगे और उनके जोखिम वहन क्षमता के अनुरूप नियमों और सीमाओं को लागू करेंगे। विनियमित संस्थान, कार्ड, बीआईएन के साथ-साथ आरई स्तर पर लेन-देन की सीमाएं निर्धारित करने के लिए, कार्ड नेटवर्क और / या एटीएम नेटवर्क, जैसा भी मामला हो, के साथ उठाएंगे। इस तरह की सीमा अनिवार्य रूप से कार्ड नेटवर्क स्विच पर सेट की जाएगी। सीमाओं को घरेलू के साथ-साथ अंतरर्राष्ट्रीय लेनदेन दोनों के लिए अलग से अनिवार्य किया जा सकता है। यदि उपरोक्त आवश्यकता के अनुसार निर्धारित सीमा का उल्लंघन होता है तो विनियमित संस्थान, आवश्यक उपरी सीमा (लेन-देन पर प्रतिबंध) के साथ लेनदेन नियंत्रण तंत्र स्थापित करेंगे। विनियमित संस्थान, के जोखिम वहन क्षमता के अनुसार निर्धारित ऐसी सीमाओं की आवधिक समीक्षा तंत्र को बोर्ड द्वारा अनुमोदित नीति के अनुसार लागू किया जाएगा। विनियमित संस्थान, उल्लंघनों, यदि कोई हो कि 24x7 आधार पर सप्ताहांत, लंबी छुट्टियों सहित, निगरानी के लिए एक तंत्र स्थापित करेगा और संदिग्ध लेनदेन, यदि कोई हो, के कारण, धोखाधड़ी के नुकसान को कम करने के लिए एक मजबूत घटना प्रतिक्रिया तंत्र स्थापित करेगा। विनियमित संस्थान यह सुनिश्चित करेंगे कि ग्राहकों के कार्ड विवरण विनियमित संस्थान और उसके विक्रेता के स्थानों, प्रणालियों और एप्लिकेशन में टेकस्ट में संगृहीत नहीं हैं। विनियमित संस्थान यह भी सुनिश्चित करेंगे कि ग्राहक की संवेदनशील जानकारी के डेटा खुलासे को सख्ती से रोकने के लिए पठनीय प्रारूप में कार्ड विवरण का प्रोसेसिंग सुरक्षित तरीके से किया जाता है।
73. विनियमित संस्थान, जो विशेष रूप से ऑडिट के दौरान अपने परितंत्र में अनएन्क्रिप्टेड (स्पष्ट पाठ) भुगतान कार्ड डेटा की पहचान करने के लिए कार्ड डेटा स्कैनिंग टूल का उपयोग करते हैं, निम्नलिखित सुरक्षा उपायों का पालन करेंगे:
क) अनएन्क्रिप्टेड कार्ड डेटा की स्कैनिंग के उद्देश्य से किसी भी उपकरण (तीसरे पक्ष से खरीदे गए) को उपकरण की क्षमताओं के दायरे और प्रभाव को समझने के लिए पहले परीक्षण वातावरण में परीक्षण किया जाना चाहिए;
ख) स्कैनिंग उपकरण केवल विनियमित संस्थान के परिसर में उनके उपकरणों में स्थापित किया जाना चाहिए;
ग) कार्ड डेटा स्कैनिंग दूरस्थ रूप से नहीं की जानी चाहिए;
घ) खोजा गया डेटा, यदि कोई हो, को प्राथमिक रूप से स्कैनिंग उपकरण में रखना चाहिए। एक्सपोर्टेबल कार्ड डेटा को उचित रूप से मास्क किया जाना चाहिए। (कोई डेटा, यहां तक कि छुपा हुआ, को विनियमित संस्थान के परिसर / बुनियादी ढांचे से बाहर नहीं किया जाना चाहिए); तथा
ङ) स्कैन का संचालन करने या डेटा का विश्लेषण करने के लिए सेवा प्रदाताओं को सीमित एक्सेस, यदि पूरी तरह, तो केवल विनियमित संस्थान के उपकरणों पर प्रदान की जानी चाहिए।
Acronyms
| ACL |
Access Control List |
| ASLC |
Application Security Life Cycle |
| ATM |
Automated Teller Machine |
| BIN |
Bank Identification Number |
| BIOS |
Basic Input/ Output System |
| CAPTCHA |
Completely Automated Public Turing test to tell Computers and Humans Apart |
| CVV |
Card Verification Value |
| DDoS |
Distributed Denial of Service |
| DNS |
Domain Name Server |
| DoR |
Department of Regulation |
| DoS |
Department of Supervision |
| DPSS |
Department of Payment and Settlement Systems |
| DUKPT |
Derived Unique Key per Transaction |
| EMV |
Europay, Mastercard, and Visa |
| FSP |
Functionality, Security and Performance |
| HSM |
Hardware Security Module |
| HTML |
HyperText Markup Language |
| IP |
Internet Protocol |
| IT |
Information Technology |
| IVR |
Interactive Voice Response |
| LMK |
Local Master Key |
| MCC |
Merchant Category Code |
| MITB |
Man-in-The Browser attack |
| MITM |
Man-In-the-Middle attack |
| NIST |
National Institute of Standards and Technology |
| OEM |
Original Equipment Manufacturer |
| OTP |
One Time Password |
| OWASP |
Open Web Application Security Project |
| OWASP-ASVS |
Open Web Application Security Project – Application Security Verification Standard |
| OWASP-MASVS |
Open Web Application Security Project – Mobile Application Security Verification Standard |
| PA-DSS |
Payment Application Data Security Standard |
| PCI |
Payment Card Industry |
| PCI-DSS |
Payment Card Industry-Data Security Standard |
| PCI-HSM |
Payment Card Industry-Hardware Security Module |
| PCI-P2PE |
Payment Card Industry-Point to Point Encryption |
| PCI-PTS |
Payment Card Industry-PIN Transaction Security |
| PIN |
Personal Identification Number |
| PKI |
Public Key Infrastructure |
| PoS |
Point of Sale |
| PT |
Penetration Testing |
| RBI |
Reserve Bank of India |
| RCSA |
Risk Control Self-Assessment |
| REs |
Regulated Entities |
| SIM |
Subscriber Identification Module |
| SOP |
Standard Operating Procedure |
| SQL |
Structured Query Language |
| SSL |
Secure Socket Layer |
| TLE |
Terminal Line Encryption |
| TLS |
Transport Layer Security |
| UAT |
User Acceptance Test |
| UKPT |
Unique Key Per terminal |
| USB |
Universal Serial Bus |
| VA |
Vulnerability Assessment |
| VPA |
Virtual Payment Address |
| WAF |
Web Application Firewall |
|