आरबीआई/2023-24/102
पवि.कें.का.सीएसआईटीईजी/एसईसी.1/31.01.015/2023-24

10 अप्रैल 2023

अध्यक्ष/प्रबंध निदेशक/मुख्य कार्यकारी अधिकारी
अनुसूचित वाणिज्यिक बैंक (क्षेत्रीय ग्रामीण बैंकों को छोड़कर);
स्थानीय क्षेत्र के बैंक; लघु वित्त बैंक; भुगतान बैंक;
प्राथमिक (शहरी) सहकारी बैंक;
गैर-बैंकिंग वित्तीय कंपनियां;
क्रेडिट सूचना कंपनियां; और
अखिल भारतीय वित्तीय संस्थान (एक्जिम बैंक, नाबार्ड, एनएबीएफआईडी, एनएचबी और सिडबी)

महोदया/महोदय

सूचना प्रौद्योगिकी सेवाओं की आउटसोर्सिंग पर मास्टर निदेश

विनियमित संस्थाएं (आरई) अपने ग्राहकों को प्रदान किए जाने वाले अपने व्यापार मॉडल, उत्पादों और सेवाओं का निर्वहन करने के लिए सूचना प्रौद्योगिकी (आईटी) और आईटी सक्षम सेवाओं (आईटीईएस) का बड़े पैमाने पर लाभ उठा रही हैं। विनियमित संस्‍थाएं अपनी आईटी गतिविधियों के बड़े हिस्से को तीसरे पक्ष को आउटसोर्स भी करते हैं, जिससे उन्हें विभिन्न जोखिमों का सामना करना पड़ता है।

2. संबंधित जोखिमों के प्रभावी प्रबंधन को सुनिश्चित करने के लिए, 10 फरवरी, 2022 के विकासात्मक और विनियामक नीतियों पर वक्तव्य में आईटी सेवाओं की आउटसोर्सिंग पर उपयुक्त विनियामक दिशानिर्देशों को जारी किया जाना प्रस्‍तावित है। तदनुसार, आईटी सेवाओं की आउटसोर्सिंग पर मसौदा मास्टर निदेश जून 2022 में सार्वजनिक टिप्पणियों के लिए जारी किया गया था। प्राप्त फीडबैक के आधार पर, भारतीय रिज़र्व बैंक (सूचना प्रौद्योगिकी सेवाओं की आउटसोर्सिंग) निदेश, 2023 को अंतिम रूप दिया गया है।

3. इन निदेशों का अंतर्निहित सिद्धांत यह सुनिश्चित करना है कि आउटसोर्सिंग व्यवस्था ग्राहकों के प्रति अपने दायित्वों को पूरा करने के लिए न तो पर्यवेक्षित संस्‍थाओं की क्षमता को कम करती है और न ही आरबीआई द्वारा प्रभावी पर्यवेक्षण को बाधित करती है।

4. अपेक्षाओं के अनुपालन के लिए विनियमित संस्‍थाओं को पर्याप्त समय प्रदान करने की दृष्टि से, संलग्न निर्देश 1 अक्टूबर, 2023 से प्रभावी होंगे।

5. मास्टर निदेश के हिंदी और अंग्रेजी पाठ में यदि कोई असंगति या अस्पष्टता पाई जाती है तो मास्टर निदेश का अंग्रेजी पाठ मान्य होगा।

भवदीय,

(टी.के. राजन)
मुख्‍य महाप्रबंधक

संलग्‍नक : भारतीय रिज़र्व बैंक (सूचना प्रौद्योगिकी सेवाओं की आउटसोर्सिंग) निदेश, 2023

पवि.कें.का.सीएसआईटीईजी/एसईसी.1/31.01.015/2023-24

10 अप्रैल, 2023

भारतीय रिज़र्व बैंक (सूचना प्रौद्योगिकी सेवाओं की आउटसोर्सिंग) निदेश, 2023

बैंककारी विनियमन अधिनियम, 1949 की धारा 56 के साथ पठित धारा 35ए, भारतीय रिज़र्व बैंक अधिनियम, 1934 की धारा 45 एल और प्रत्यय विषयक जानकारी कंपनी (विनियमन) अधिनियम, 2005 की धारा 11, और इस संबंध में भारतीय रिज़र्व बैंक ('आरबीआई') को सक्षम करने वाले अन्य सभी प्रावधानों/कानूनों द्वारा प्रदत्त शक्तियों का प्रयोग करते हुए; आरबीआई इस बात से संतुष्ट होकर कि ऐसा करना जनहित में आवश्यक और उचित है, एतदद्वारा इसके बाद निर्दिष्ट दिशा-निर्देश जारी करता है।

अध्याय – I
प्रस्तावना

1. संक्षिप्त शीर्षक और प्रारंभ

(ए) इन निदेशों को भारतीय रिज़र्व बैंक (सूचना प्रौद्योगिकी सेवाओं की आउटसोर्सिंग) निदेश, 2023 कहा जाएगा।

(बी) ये निदेश 1 अक्टूबर, 2023 से प्रभावी होंगे।

I. मौजूदा आउटसोर्सिंग व्यवस्थाओं के संबंध में जो इस मास्टर निदेश के जारी होने की तारीख को पहले से ही लागू हैं, विनियमित संस्थान सुनिश्चित करेंगे कि:

1. 1 अक्टूबर, 2023 से पहले नवीनीकरण के लिए देय करार, नवीनीकरण तिथि (अधिमानतः) के अनुसार इन निर्देशों के प्रावधानों का पालन करेंगे, लेकिन इस मास्टर दिशा-निर्देश के जारी होने की तारीख से 12 महीने के बाद नहीं।

2. 1 अक्टूबर, 2023 को या उसके बाद नवीनीकरण के लिए देय करार, नवीनीकरण की तारीख या इस मास्टर निदेश के जारी होने की तारीख से 36 महीने, जो भी पहले हो, इन निदेशों के प्रावधानों का पालन करेंगे।

II. नई आउटसोर्सिंग व्यवस्थाओं के संबंध में, विनियमित संस्था यह सुनिश्चित करेंगी:

1. 1 अक्टूबर, 2023 से पहले लागू होने वाले करार, करार की तारीख (अधिमानतः) के अनुसार इन निदेशों के प्रावधानों का पालन करेंगे, लेकिन इस मास्टर निदेश के जारी होने की तारीख से 12 महीने के बाद नहीं।

2. 1 अक्टूबर, 2023 को या उसके बाद लागू होने वाले करार, करार की तारीख से ही इन निदेशों के प्रावधानों का पालन करेंगे।

2. प्रयोज्यता

(ए) ये निदेश निम्नलिखित संस्थाओं पर लागू होंगे, जिन्हें सामूहिक रूप से इन निदेशों में 'विनियमित संस्थाएं' या 'आरई' के रूप में संदर्भित किया गया है:

1. बैंककारी विनियमन अधिनियम, 1949 की धारा 5 की उपधारा (सी), (डीए) और (एनसी) के तहत परिभाषित सभी बैंकिंग कंपनियां¹, प्रतिनिधि नए बैंक और भारतीय स्टेट बैंक (यहां इसके बाद में सामूहिक रूप से 'वाणिज्यिक बैंक' के रूप में संदर्भित)

2. बैंककारी विनियमन अधिनियम, 1949 की धारा 56 की उप-धारा 1 के खंड (सीसीवी) के तहत यथा परिभाषित और 'टियर 3' और 'टियर 4' में शामिल प्राथमिक सहकारी बैंक जैसा कि 'संशोधित विनियामक ढांचा - विनियामक उद्देश्यों के लिए शहरी सहकारी बैंकों (यूसीबी) का वर्गीकरण' पर आरबीआई के दिनांक 01 दिसंबर 2022 के परिपत्र डीओआर.आरईजी.सं.84/07.01.000/2022-23 के अनुबंध के पैराग्राफ 1.सी और 1 डी (यहां इसके बाद 'शहरी सहकारी बैंक' या 'यूसीबी' के रूप में संदर्भित) में क्रमशः परिभाषित हैं।

3. भारतीय रिज़र्व बैंक अधिनियम, 1934 की धारा 45आई के खंड (एफ) के तहत परिभाषित और 'टॉप लेयर', 'अपर लेयर' और 'मिडिल लेयर' में शामिल गैर-बैंकिंग वित्तीय कंपनियां जैसा कि 'स्केल आधारित विनियमन (एसबीआर): एनबीएफसी के लिए एक संशोधित विनियामक ढांचा' पर आरबीआई के दिनांक 22 अक्टूबर 2021 के परिपत्र डीओआर.सीआरई.आरईसी.सं.60/03.10.001/2021-22 के अनुबंध के पैरा 1.5, 1.4 और 1.3 (यहां इसके बाद 'एनबीएफसी' के रूप में संदर्भित) में क्रमशःपरिभाषित है।

4. प्रत्यय विषयक जानकारी कंपनी (विनियमन) अधिनियम, 2005 की धारा 2 के खंड (ई) के तहत परिभाषित साख सूचना कंपनी (यहां इसके बाद 'साख सूचना कंपनी' या 'सीआईसी' के रूप में संदर्भित)।

5. भारतीय निर्यात-आयात बैंक अधिनियम, 1981, राष्ट्रीय कृषि और ग्रामीण विकास बैंक अधिनियम 1981, राष्ट्रीय अवसंरचना वित्त पोषण और विकास बैंक अधिनियम 2021; राष्ट्रीय आवास बैंक अधिनियम, 1987 और भारतीय लघु उद्योग विकास बैंक अधिनियम, 1989 के द्वारा क्रमशः यथा स्थापित एक्जिम बैंक, राष्ट्रीय कृषि और ग्रामीण विकास बैंक ('नाबार्ड'), राष्ट्रीय अवसंरचना वित्त पोषण और विकास बैंक (एनएबीएफआईडी), राष्ट्रीय आवास बैंक (एनएचबी') और भारतीय लघु उद्योग विकास बैंक ('सिडबी)(यहां इसके बाद में 'अखिल भारतीय वित्तीय संस्थान या 'एआईएफआई' के रूप में संदर्भित)।

(बी). शाखा प्रणाली के माध्यम से भारत में परिचालन करने वाले विदेशी बैंकों के मामले में, इन निदेशों में बोर्ड या निदेशक मंडल के संदर्भ को प्रधान कार्यालय या नियंत्रक कार्यालय के संदर्भ के रूप में पढ़ा जाना चाहिए, जिसके पास भारत में शाखा संचालन की निगरानी है। इसके अलावा, ऐसे विदेशी बैंक 'अनुपालन या स्पष्टीकरण' दृष्टिकोण के अधीन होंगे, जिसमें ऐसे विदेशी बैंक, इन निदेशों के किसी भी विशिष्ट भाग से विचलित हो सकते हैं जो भारतीय रिज़र्व बैंक द्वारा इसके लिए उचित औचित्यपूर्ण स्पष्टीकरण की जांच और स्वीकृति के अधीन होगी।

(सी) ये निदेश विनियमित संस्‍थाओं द्वारा सहमत सूचना प्रौद्योगिकी ('आईटी') सेवाओं की व्यवस्था (नीचे खंड 3 (ए) (ii) में यथा परिभाषित) के महत्वपूर्ण आउटसोर्सिंग पर लागू होंगे।

3. परिभाषाएँ

ए) इन निदेशों में, जब तक कि संदर्भ में अन्यथा न कहा गया हो, यहां की शर्तों का अर्थ वही होगा जो उन्हें नीचे दिया गया है:

(i) "समूह” का वही अर्थ होगा जो समय-समय पर यथा संशोधित परिपत्र डीबीओडी.सं.बीपी.बीसी.96/21.06.102/2013-14 दिनांक 11 फरवरी 2014 द्वारा जारी "अंतर-समूह लेनदेन और एक्सपोजर के प्रबंधन पर दिशानिर्देश' में परिभाषित किया गया है।

(ii) "आईटी सेवाओं की महत्वपूर्ण आउटसोर्सिंग" वे हैं जो:

1. अगर बाधित होता है या उसमें कोई समझौता किया जाता है तो विनियमित संस्‍था के कारोबारी परिचालन पर गंभीर प्रभाव पड़ने की संभावना होगी; या;

2. किसी भी अनधिकृत पहुंच, ग्राहक से संबंधित सूचना की हानि या चोरी की स्थिति में विनियमित संस्‍था के ग्राहकों पर गंभीर प्रभाव पड़ सकता है।

(iii) "आउटसोर्सिंग" का वही अर्थ होगा जैसा कि समय-समय पर संशोधित आरबीआई के दिनांक 3 नवंबर 2006 के परिपत्र बैंपविवि.सं.बीपी.40/21.04.158/2006-07 द्वारा जारी 'बैंकों द्वारा वित्तीय सेवाओं की आउटसोर्सिंग में जोखिमों के प्रबंधन और आचार संहिता पर दिशानिर्देश' में परिभाषित किया गया है।

(iv) "आईटी सेवाओं की आउटसोर्सिंग”² इसमें निम्नलिखित गतिविधियों की आउटसोर्सिंग शामिल होगी:

1. आईटी इंफ्रास्ट्रक्चर प्रबंधन, रखरखाव और समर्थन (हार्डवेयर, सॉफ्टवेयर या फर्मवेयर);;

2. नेटवर्क और सुरक्षा समाधान, रखरखाव (हार्डवेयर, सॉफ्टवेयर या फर्मवेयर);;

3. अनुप्रयोग विकास, अनुरक्षण और परीक्षण; एटीएम स्विच एएसपी सहित एप्लिकेशन सेवा प्रदाता (एएसपी)।;

4. डेटा केंद्रों से संबंधित सेवाएं और संचालन;

5. क्लाउड कंप्यूटिंग सेवाएं;

6. प्रबंधित सुरक्षा सेवाएँ; और

7. भुगतान प्रणाली पारिस्थितिकी तंत्र से जुड़ी आईटी अवसंरचना और प्रौद्योगिकी सेवाओं का प्रबंधन.

(v) “सेवा प्रदाता”³ का अर्थ आईटी या आईटी सक्षम सेवाओं के प्रदाता से है जिसमें विनियमित संस्‍था से संबंधित संस्थाएं या वह संस्थाएं शामिल हैं जो उसी समूह या संगुट से संबंधित हैं जिससे विनियमित संस्‍था संबंधित है। परिशिष्ट III ए) इस मास्टर निदेश के उद्देश्य के लिए "आईटी सेवाओं की आउटसोर्सिंग" के तहत विचार नहीं की जाने वाली सेवाओं/गतिविधियों और बी) विक्रेता/संस्थाएं जिन्हें इस मास्टर निदेश के उद्देश्य के लिए तृतीय-पक्ष सेवा प्रदाता के रूप में नहीं माना जाता है (टीपीएसपी) की एक सांकेतिक (लेकिन संपूर्ण नहीं) सूची प्रदान करता है।

बी) जब तक यहां परिभाषित नहीं किया जाता है, तब तक सभी अभिव्यक्तियों का वही अर्थ होगा जो उन्हें बैंककारी विनियमन अधिनियम, 1949 या भारतीय रिज़र्व बैंक अधिनियम, 1934 या प्रत्यय वि‍षयक जानकारी कंपनी (वि‍नि‍यमन) अधि‍नि‍यम,2005 या सूचना प्रौद्योगिकी अधिनियम, 2000 या कंपनी अधिनियम, 2013 और उसके तहत बनाए गए नियम या कोई सांविधिक संशोधन या पुन: अधिनियमन के तहत निर्दिष्ट किया गया है या जैसा कि आरबीआई के निर्देशों / परिपत्रों में उपयोग किया जाता है, जैसा भी मामला हो।

अध्याय – II
विनियमित संस्था की भूमिका

4. विनियामक और पर्यवेक्षी अपेक्षाएं

ए) किसी भी गतिविधि की आउटसोर्सिंग विनियमित संस्‍था के साथ-साथ उसके बोर्ड और वरिष्ठ प्रबंधन के दायित्वों को कम नहीं करेगी, जो आउटसोर्स की गई गतिविधि के लिए अंततः जिम्मेदार होंगे। विनियमित संस्‍था यह सुनिश्चित करने के लिए कदम उठाएगी कि सेवा प्रदाता सेवाओं के निष्पादन में दायित्व के उसी उच्च मानक को नियोजित करता है जैसा कि विनियमित संस्‍था द्वारा नियोजित किया गया होता, यदि वही गतिविधि आउटसोर्स नहीं की गई होती। विनियमित संस्‍थाएं किसी आईटी सेवा प्रदाता को शामिल नहीं करेंगे, जिसके परिणामस्वरूप विनियमित संस्‍था की प्रतिष्ठा की हानि हो या प्रतिष्ठा कम हो।

बी) भले ही सेवा प्रदाता भारत में स्थित हो या विदेश में, विनियमित संस्‍था यह सुनिश्चित करेगा कि आउटसोर्सिंग विनियमित संस्‍था की गतिविधियों की प्रभावी निगरानी और प्रबंधन करने की क्षमता में न तो बाधा उत्पन्न करे और न ही हस्तक्षेप करे। इसके अलावा, विनियमित संस्‍था यह सुनिश्चित करेगी कि आउटसोर्सिंग आरबीआई को अपने पर्यवेक्षी कार्यों और उद्देश्यों को पूरा करने में बाधा न डाले।

सी) विनियमित संस्‍थाएं यह सुनिश्चित करेंगी कि सेवा प्रदाता, यदि समूह कंपनी नहीं है, तो किसी निदेशक, या प्रमुख प्रबंधकीय कर्मियों, या विनियमित संस्‍था की आउटसोर्सिंग व्यवस्था के अनुमोदनकर्ता या उनके रिश्तेदारों के स्वामित्व या नियंत्रण में नहीं होगा। शब्द 'नियंत्रण', 'निदेशक', 'प्रमुख प्रबंधकीय कार्मिक' और 'रिश्तेदार' का वही अर्थ होगा जो कंपनी अधिनियम, 2013 और उसके तहत समय-समय पर बनाए गए नियमों के तहत निर्दिष्ट किया गया है। हालांकि, इस आवश्यकता के लिए एक अपवाद बोर्ड/बोर्ड स्तर की समिति के अनुमोदन से किया जा सकता है, जिसके बाद ऐसी व्यवस्थाओं के उचित प्रकटीकरण, निरीक्षण और निगरानी की आवश्यकता होगी। बोर्ड अन्य बातों के साथ-साथ यह सुनिश्चित करेगा कि तृतीय पक्ष की वचनबद्धताओं से उत्पन्न हितों का कोई टकराव न हो।

डी) क्लाउड कंप्यूटिंग सेवाओं के उपयोग और सुरक्षा संचालन केंद्र (एसओसी) सेवाओं की आउटसोर्सिंग से संबंधित अतिरिक्त आवश्यकताओं को क्रमशः परिशिष्ट I और परिशिष्ट II में रेखांकित किया गया है।

5. आउटसोर्सिंग और संबंधित जोखिमों की आवश्यकता का व्यापक मूल्यांकन

विनियमित संस्‍थाएं संबंधित लाभों, जोखिमों के व्यापक मूल्यांकन और उन जोखिमों के प्रबंधन के लिए अनुरूप प्रक्रियाओं की उपलब्धता के आधार पर आईटी सेवाओं की आउटसोर्सिंग की आवश्यकता का मूल्यांकन करेंगी। विनियमित संस्‍थाएं अन्य बातों के साथ-साथ निम्न पर विचार करेंगी :

ए) आउटसोर्स की जाने वाली गतिविधि की गंभीरता के आधार पर आउटसोर्सिंग की आवश्यकता का निर्धारण करना;

बी) आउटसोर्सिंग से अपेक्षाएं और परिणाम निर्धारित करना;

सी) सफलता कारकों और लागत-लाभ विश्लेषण का निर्धारण; और

डी) आउटसोर्सिंग के लिए मॉडल तय करना।

6. सभी लागू सांविधिक और विनियामक अपेक्षाओं का अनुपालन

विनियमित संस्‍था, आईटी सेवाओं की आउटसोर्सिंग के संबंध में समुचि‍त सावधानी का पालन करते समय सभी प्रासंगिक कानूनों, विनियमों, नियमों, दिशानिर्देशों और अनुमोदन, लाइसेंसिंग या पंजीकरण की शर्तों पर विचार करेगी।

7. शिकायत निवारण तंत्र

ए) विनियमित संस्‍था के पास एक मजबूत शिकायत निवारण तंत्र होगा जो आउटसोर्सिंग के कारण किसी भी तरह से प्रभावित नहीं होगा, यानी आउटसोर्स सेवाओं से संबंधित ग्राहकों की शिकायतों के निवारण की जिम्मेदारी विनियमित संस्‍था की होगी।

बी) आउटसोर्सिंग व्यवस्था विनियमित संस्‍था के विरुद्ध ग्राहक के अधिकारों को प्रभावित नहीं करेगी, जिसमें संबंधित कानूनों के तहत यथा लागू ग्राहक का निवारण प्राप्त करने का अधिकार भी शामिल है।

8. आउटसोर्स सेवाओं की सूची

विनियमित संस्‍थाएं सेवा प्रदाताओं (उनकी आपूर्ति श्रृंखलाओं में शामिल प्रमुख संस्थाओं सहित) द्वारा प्रदान की जाने वाली सेवाओं की एक सूची तैयार करेंगी। इसके अलावा, विनियमित संस्‍था तृतीयपक्ष पर अपनी निर्भरता को मापेगी और समय-समय पर सेवा प्रदाताओं से प्राप्त जानकारी का मूल्यांकन करेगी।

अध्याय – III
गवर्नेंस ढांचा

9. आईटी आउटसोर्सिंग नीति

अपनी किसी भी आईटी गतिविधि को आउटसोर्स करने के इच्छुक विनियमित संस्‍था को बोर्ड अनुमोदित एक व्यापक आईटी आउटसोर्सिंग नीति लागू करनी होगी। नीति में, अन्य बातों के साथ-साथ, बोर्ड, बोर्ड की समितियां (यदि कोई हो) और वरिष्ठ प्रबंधन की भूमिकाएं और जिम्मेदारियां, आईटी कार्य, व्यवसाय कार्य के साथ-साथ आईटी सेवाओं की आउटसोर्सिंग के संबंध में निरीक्षण और आश्वासन कार्य शामिल होंगे। इसके अतिरिक्त, यह ऐसी गतिविधियों के साथ-साथ सेवा प्रदाताओं के चयन के लिए मानदंड, व्यापक मानदंडों के आधार पर मह्तवपूर्ण आउटसोर्सिंग को परिभाषित करने के लिए मानदंड, जोखिम और महत्व के आधार पर प्राधिकार का प्रत्यायोजन, आपदा बहाली और व्यापार निरंतरता योजना, इन गतिविधियों के परिचालन की निगरानी और समीक्षा हेतु सिस्टम और तृतीय पक्ष सेवा प्रदाता के आउटसोर्सिंग व्यवस्था से बाहर निकलने की स्थिति में व्यापार निरंतरता सहित समाप्ति प्रक्रियाओं और निकास संबंधी कार्यनीतियों को कवर करेगा।

10. बोर्ड की भूमिका

विनियमित संस्‍था का बोर्ड अन्य बातों के साथ-साथ निम्नलिखित के लिए जिम्मेदार होगा :

ए) जोखिमों और महत्व के आधार पर आईटी आउटसोर्सिंग गतिविधियों के अनुमोदन के लिए एक रूपरेखा तैयार करना;

बी) सभी मौजूदा और भावी आईटी आउटसोर्सिंग व्यवस्थाओं के जोखिमों और महत्व का मूल्यांकन करने के लिए नीतियों को मंजूरी देना; और

सी) इन निदेशों के प्रयोजन के लिए वरिष्ठ प्रबंधन का उपयुक्त प्रशासनिक ढांचा स्थापित करना।

11. वरिष्ठ प्रबंधन की भूमिका

विनियमित संस्‍था का वरिष्ठ प्रबंधन अन्य बातों के साथ-साथ निम्न के लिए जिम्मेदार होगा:

ए) आईटी आउटसोर्सिंग नीतियों और प्रक्रियाओं का निर्माण करना, ढांचा, जो जटिलता, प्रकृति और कार्य-क्षेत्र के अनुरूप और बोर्ड द्वारा अनुमोदित संगठन के उद्यम-व्यापी जोखिम प्रबंधन के अनुसार हों, के आधार पर सभी मौजूदा और भावी आईटी आउटसोर्सिंग व्यवस्थाओं के जोखिम और महत्व का मूल्यांकन करना और उनका कार्यान्वयन करना;

बी) संभावित आईटी आउटसोर्सिंग व्यवस्थाओं का पूर्व मूल्यांकन और मौजूदा आउटसोर्सिंग व्यवस्थाओं का आवधिक मूल्यांकन जिसमें बोर्ड द्वारा अनुमोदित नीति के आधार पर ऐसी सभी व्यवस्थाओं के कार्य की समीक्षा, महत्व और संबंधित जोखिम शामिल हैं;

सी) आईटी आउटसोर्सिंग जोखिमों की पहचान करना, निगरानी करना, न्‍यूनीकरण, प्रबंधन करना और समय पर बोर्ड / बोर्ड समिति को ऐसे जोखिमों के बारे में रिपोर्ट करना;

डी) यह सुनिश्चित करना कि किसी तृतीय पक्ष के सेवा प्रदाता की निकासी सहित यथार्थवादी और संभावित विघटनकारी परिदृश्यों के आधार पर उपयुक्त कारोबारी निरंतरता योजनाएं मौजूद हैं और समय-समय पर इनकी जांच की जाती है;

ई) (i) डेटा गोपनीयता के लिए तृतीयपक्ष की प्रभावी निगरानी और (ii) समयबद्ध तरीके से ग्राहकों की शिकायतों का उचित निवारण) सुनिश्चित करना;

एफ) कानूनों, विनियमों, बोर्ड द्वारा अनुमोदित नीति और कार्य-निष्पादन मानकों के अनुपालन के लिए समय-समय पर एक स्वतंत्र समीक्षा और लेखा-परीक्षा सुनिश्चित करना और बोर्ड/बोर्ड समिति को इसकी रिपोर्ट करना; और

जी) आउटसोर्स गतिविधियों के उचित निगरानी के लिए संगठन के भीतर आवश्यक कौशल के साथ आवश्यक क्षमता का निर्माण करना।

12. आईटी कार्य की भूमिका

विनियमित संस्‍था के आईटी कार्य की जिम्मेदारियों में अन्य बातों के साथ-साथ शामिल होंगे:

ए) संगठन में आईटी आउटसोर्सिंग जोखिम के स्तर की पहचान करने, आकलन करने, निगरानी करने, कम करने और प्रबंधन करने में वरिष्ठ प्रबंधन की सहायता करना;

बी) यह सुनिश्चित करना कि सभी आईटी आउटसोर्सिंग व्यवस्थाओं का एक केंद्रीय डेटाबेस बनाए रखा जाता है और यह बोर्ड, वरिष्ठ प्रबंधन, लेखा परीक्षकों और पर्यवेक्षकों द्वारा समीक्षा के लिए सुलभ है;

सी) यह सुनिश्चित करने के लिए कि सेवा प्रदाता निर्धारित कार्य-निष्पादन मानकों को पूरा करते हैं और निर्बाध सेवाएं प्रदान करते हैं, वरिष्ठ प्रबंधन को रिपोर्ट करते हैं, आवधिक आधार पर समुचित सावधानी का समन्वय करते हैं और चिंताओं, यदि कोई हो, को उजागर करते हैं, आउटसोर्स की गई गतिविधि की प्रभावी निगरानी और पर्यवेक्षण;

डी) सेवा स्तर प्रबंधन, विक्रेता परिचालन की निगरानी, प्रमुख जोखिम संकेतकों और निर्धारित जोखिम के अनुसार विक्रेताओं को वर्गीकृत करने सहित संविदात्मक करारों के लिए आवश्यक दस्तावेज तैयार करना।

अध्याय - IV
सेवा प्रदाताओं का मूल्यांकन और उन्हें कार्य पर रखा जाना

13. सेवा प्रदाताओं के संबंध में समुचित सावधानी

ए) आईटी सेवाओं की आउटसोर्सिंग पर विचार करने या नवीनीकरण करने में, आउटसोर्सिंग करार में उल्लिखित दायित्वों का पालन करने के लिए सेवा प्रदाता की क्षमता का निरंतर आधार पर आकलन करने हेतु उचित सावधानी बरती जाएगी।

बी) इस तरह की समुचित सावधानी संबंधी गतिविधियों के संचालन में एक जोखिम-आधारित दृष्टिकोण अपनाया जाएगा।

सी) समुचित सावधानी में गुणात्मक, मात्रात्मक, वित्तीय, परिचालन, विधिक और प्रतिष्ठा से जुड़े कारकों को ध्यान में रखा जाएगा। जहां संभव हो, विनियमित संस्था सेवा प्रदाता के संबंध में स्वतंत्र समीक्षा और बाजार प्रतिक्रिया प्राप्त करेगी ताकि उसे स्व-मूल्यांकन में सहायता मिले।

डी) विनियमित संस्‍थाएं, सेवा प्रदाता की क्षमता का मूल्यांकन करते समय, एक या कुछ सेवा प्रदाताओं के साथ आउटसोर्सिंग व्यवस्थाओं के संकेंद्रण से उत्पन्न होने वाले जोखिमों पर भी विचार करेंगी।

14. विचार किए जाने वाले पहलू

समुचित सावधानी में सेवा प्रदाता के बारे में यथालागू सभी उपलब्ध सूचनाओं का मूल्यांकन शामिल होगा, जिसमें निम्नलिखित शामिल हैं लेकिन इन्हीं तक सीमित नहीं है:

ए) संविदा अवधि के दौरान प्रस्तावित आईटी गतिविधि को लागू करने और सहायता प्रदान करने में विगत अनुभव और प्रदर्शित क्षमता;

बी) वित्तीय सुदृढ़ता और प्रतिकूल परिस्थितियों में भी प्रतिबद्धताओं को पूरा करने की क्षमता;

सी) व्यावसायिक प्रतिष्ठा और संस्कृति, अनुपालन, शिकायतें और बकाया या संभावित मुक़दमे;

डी) हितों का टकराव, यदि कोई हो;

ई) अधिकार क्षेत्र के राजनीतिक, आर्थिक, सामाजिक और विधिक माहौल जैसे बाहरी कारक जिसमें सेवा प्रदाता कार्य करता है और अन्य घटनाएं जो डेटा सुरक्षा और सेवा प्रदर्शन को प्रभावित कर सकती हैं;

एफ) प्रौद्योगिकी, बुनियादी ढांचे की स्थिरता, सुरक्षा और आंतरिक नियंत्रण, लेखापरीक्षा कवरेज, रिपोर्टिंग और निगरानी प्रक्रियाएं, डेटा बैकअप व्यवस्था, कारोबारी निरंतरता प्रबंधन और आपदा बहाली योजना का विवरण;

जी) विनियमित संस्थाओं के डेटा को पहचानने और अलग करने की क्षमता;

एच) सेवा प्रदाता द्वारा अपने कर्मचारियों और उप-ठेकेदारों⁴ के संबंध में समुचित सावधानी की गुणवत्ता;

आई) आईटी सेवा व्यवस्था की आउटसोर्सिंग की विनियामक और विधिक अपेक्षाओं का अनुपालन करने की क्षमता;

जे) सूचना/साइबर सुरक्षा जोखिम मूल्यांकन;

के) यह सुनिश्चित करना कि डेटा की सुरक्षा और सेवा प्रदाता द्वारा प्रसंस्कृत, प्रबंधित या संग्रहीत डेटा तक विनियमित संस्था की पहुंच के लिए उचित नियंत्रण, आश्वासन अपेक्षाएं और संभावित संविदात्मक व्यवस्थाएं मौजूद हैं

एल) गोपनीयता बनाए रखते हुए सभी ग्राहकों को प्रभावी ढंग से सेवा प्रदान करने की क्षमता, विशेष रूप से वहां जहां सेवा प्रदाता एक-साथ कई संस्थाओं को सेवाएं प्रदान करता है; और

एम) डेटा भंडारण, डेटा सुरक्षा और गोपनीयता जैसे पहलुओं से संबंधित करारों और उसके तहत उपलब्ध अधिकारों को लागू करने की क्षमता।

अध्याय – V
आउटसोर्सिंग करार

15. कानूनी रूप से बाध्यकारी करार

ए) विनियमित संस्थान यह सुनिश्चित करेंगे कि उनके और उनके प्रत्येक सेवा प्रदाता के अधिकार एवं दायित्व स्पष्ट रूप से परिभाषित हों और विधितः बाध्यकारी लिखित समझौते में वर्णित हों।

बी) सिद्धांततः, करार के प्रावधानों में विनियमित संस्थान के कारोबार के लिए आउटसोर्स किए गए कार्य की गंभीरता, संबंधित जोखिमों और उन्हें कम करने या प्रबंधित करने की रणनीतियों की उचित रूप से गणना करनी चाहिए।

सी) विनियमित संस्थान के कानूनी सलाहकार द्वारा करार को नियंत्रित करने वाले विनियमों और शर्तों को उनके कानूनी प्रभाव व प्रवर्तनीयता के लिए सावधानीपूर्वक परिभाषित और पुनरीक्षित किया जाएगा। विनियमित संस्थान को आउटसोर्स की गई गतिविधि पर पर्याप्त नियंत्रण बनाए रखने और कानूनी एवं विनियामक दायित्वों को पूरा करने के लिए उचित उपायों के साथ हस्तक्षेप करने का अधिकार देने के लिए करार पर्याप्त रूप से लचीला होगा।

डी) करार पक्षकारों के मध्य विधिक संबंधों को भी स्थापित करेगा।

16. करार में विचार किए जाने वाले पहलू

करार में कम से कम निम्नलिखित पहलू शामिल होने चाहिए (जैसा कि आईटी सेवाओं के आउटसोर्सिंग के क्षेत्र पर लागू होता है):

ए) आउटसोर्स की जा रही गतिविधि का विवरण, जिसमें उप-ठेकेदारों, यदि कोई हो, सहित उपयुक्त सेवा और प्रदर्शन मानक शामिल हैं;

बी) विनियमित संस्था की सेवा प्रदाता के पास उपलब्ध आउटसोर्स गतिविधि से संबंधित सभी डेटा, पुस्तकों, रिकॉर्ड, जानकारी, लॉग, अलर्ट और व्यावसायिक परिसर तक प्रभावी पहुंच;

सी) समग्र रूप से जोखिमों के निरंतर प्रबंधन के लिए विनियमित संस्थान द्वारा सेवा प्रदाता की नियमित निगरानी और मूल्यांकन, ताकि कोई भी आवश्यक सुधारात्मक उपाय तुरंत किया जा सके;

डी) विनियमित संस्थानों को महत्वपूर्ण प्रतिकूल घटनाओं (जैसे, डेटा उल्लंघनों, सेवा से इनकार, सेवा की अनुपलब्धता, आदि) और आवश्यक घटनाओं की रिपोर्टिंग ताकि विनयमित संस्थानों द्वारा शीघ्र जोखिम न्यूनीकरण उपाय सुनिश्चित किए जा सकें और सांविधिक एवं विनियामक दिशानिर्देशों का अनुपालन किया जा सके;

ई) सूचना प्रौद्योगिकी अधिनियम, 2000, ग्राहक डेटा की सुरक्षा के लिए अन्य लागू कानूनी आवश्यकताओं और मानकों के प्रावधानों का अनुपालन;

एफ़) सेवा स्तरों की गुणवत्ता और मात्रा को मापने के लिए एस सर्विस-एल एवेल एग्रीमेंट्स (एसएलए) फॉर्मली सिंग परफॉर्मेंस मानदंडसहित प्रदेय वस्तु या उत्पाद;

जी) केवल भारत में मौजूदा नियामक आवश्यकताओं के अनुसार डेटा का भंडारण (जैसा कि संबंधित विनियमित संस्थान पर लागू होता है);

एच) सेवा प्रदाता को कैप्चर, संसाधित और संगृहीत डेटा (आरई और उसके ग्राहकों से संबंधित) का विवरण प्रदान करने की आवश्यकता वाले खंड;

आई) आरई और उसके ग्राहकों के डेटा की गोपनीयता बनाए रखने के लिए नियंत्रण, एवं सुरक्षा उल्लंघन व ऐसी जानकारी के लीक होने की स्थिति में आरई के लिए सेवा प्रदाता की देयता को शामिल करना;

जे) सूचना के प्रकार जो सेवा प्रदाता (विक्रेता) को आरई के ग्राहक और / या किसी अन्य पार्टी के साथ साझा करने की अनुमति है;

के) समाधान प्रक्रिया, चूक की घटनाओं, क्षतिपूर्ति, उपचार और संबंधित पक्षों के लिए आश्रय सुविधा निर्दिष्ट करना;

एल) कारोबार निरंतरता और परीक्षण आवश्यकताओं को सुनिश्चित करने के लिए आकस्मिकता योजना;

एम) विनियमित संस्थान द्वारा इसके आंतरिक या बाहरी लेखा परीक्षकों द्वारा, या इसकी ओर से कार्य करने के लिए नियुक्त एजेंटों द्वारा सेवा प्रदाता (इसके उप-ठेकेदारों सहित) की लेखा-परीक्षा करने का अधिकार और विनियमित संस्थान के लिए की गई सेवाओं के साथ सेवा प्रदाता के बारे में किसी लेखा-परीक्षा या समीक्षा रिपोर्ट व निष्कर्षों की प्रतियां प्राप्त करने का अधिकार;

एन) सेवा प्रदाता से तीसरे पक्ष (आपूर्ति शृंखला में) के बारे में जानकारी प्राप्त करने का अधिकार;

ओ) सेवा प्रदाता और उसके किसी भी उप-ठेकेदार का निरीक्षण करने के लिए विनियामकों के अधिकार को मान्यता देना। आरबीआई या उसके द्वारा अधिकृत व्यक्ति (ओं) को विनियमित संस्थान के आईटी बुनियादी ढांचे, एप्लीकेशंस, डेटा, दस्तावेजों और सेवा प्रदाता तथा / या उसके उप-ठेकेदारों द्वारा दी गई एवं आउटसोर्सिंग व्यवस्था के दायरे पर लागू, संगृहीत या संसाधित अन्य आवश्यक जानकारी तक पहुंचने की अनुमति देने के लिए खंड जोड़ना।;

पी) इसमें सेवा प्रदाता को उसके उप-ठेकेदारों के निष्पादन और जोखिम प्रबंधन के लिए संविदात्मक रूप से उत्तरदायी बनाने वाले खंड शामिल करना;

क्यू) विनियमित संस्थान द्वारा विनिर्दिष्ट विशिष्ट संविदागत विनियमों और शर्तों के माध्यम से सेवा प्रदाता को आउटसोर्स की गई गतिविधियों के संबंध में आरबीआई द्वारा जारी निदेशों का पालन करने के लिए सेवा प्रदाता का दायित्व।;

आर) आउटसोर्स गतिविधि के सम्पूर्ण या किसी भाग के लिए सेवा प्रदाता द्वारा उप-ठेकेदारों के उपयोग के लिए विनियमित संस्था के पूर्व अनुमोदन/सहमति की आवश्यकता वाले खंड;

एस) प्रस्तावित आईटी-आउटसोर्सिंग व्यवस्था को किसी अन्य सेवा प्रदाता को यदि आवश्यक या वांछनीय हो तो व्यवस्थित रूप से हस्तांतरित करने की क्षमता सहित विनियमित संस्था के समापन अधिकार;

टी) विनियमित संस्था के दिवालियापन/समाधान के मामले में संबंधित अधिकारियों के साथ सहयोग करने के लिए सेवा प्रदाता की बाध्यता;

यू) सेवा प्रदाता के उन कुशल संसाधनों पर विचार करने का प्रावधान जो "कुशल कर्मियों" के रूप में मुख्य सेवाएं प्रदान करते हैं ताकि अत्यावश्यक कार्यों को संचालित करने के लिए आवश्यक बैक-अप व्यवस्था में न्यूनतम कर्मचारी अत्यावश्यकता (महामारी की स्थितियों सहित) के दौरान साइट पर काम कर सकें;

वी) सेवा प्रदाताओं एवं ओईएम के बीच उपयुक्त दुतरफा व्यवस्था की आवश्यकता वाला खंड; और

डबल्यू) सेवा प्रदाता द्वारा संरक्षित सूचना के संबंध में अप्रकटीकरण करार की आवश्यकता वाला खंड।

अध्याय – VI
जोखिम प्रबंधन

17. जोखिम प्रबंधन ढांचा

(ए) विनियमित संस्था आईटी सेवाओं की आउटसोर्सिंग के लिए एक जोखिम प्रबंधन ढांचा स्थापित करेगी जो आईटी सेवाओं की आउटसोर्सिंग से जुड़े जोखिमों की पहचान, माप, न्यूनीकरण, प्रबंधन और रिपोर्टिंग के लिए प्रक्रियाओं एवं उत्तरदायित्वों पर व्यापक रूप से कार्रवाई करेगा।

(बी) विनियमित संस्थानों द्वारा किए गए जोखिम मूल्यांकन को निदेशक मंडल, वरिष्ठ प्रबंधन और आईटी कार्य के लिए भूमिकाओं और जिम्मेदारियों के अनुरूप आवश्यक अनुमोदन के साथ उपयुक्त-ढंग से प्रलेखित किया जाएगा। इस तरह के जोखिम मूल्यांकन बोर्ड द्वारा अनुमोदित नीति द्वारा निर्धारित समय-समय पर आंतरिक और बाहरी गुणवत्ता आश्वासन के अधीन होंगे।

(सी) सेवा प्रदाता को उपलब्ध ग्राहकों से संबंधित डेटा और सूचना की गोपनीयता व अखंडता के लिए विनियमित संस्थान जिम्मेदार होंगे।

(डी) सुरक्षा उल्लंघनों और/या डेटा के दुरुपयोग को रोकने के लिए सेवा प्रदाताओं द्वारा विनियमित संस्था के स्थान/डेटा केंद्र पर उपलब्ध डेटा तक पहुंच, उचित नियंत्रण के साथ आवश्यकता-आधार पर होगी।

(ई) विनियमित संस्थानों में जनता का विश्वास और ग्राहकों की विश्वसनीयता उनकी स्थिरता और प्रतिष्ठा के लिए पहली आवश्यकता है। इसलिए, विनियमित संस्थान सेवा प्रदाता की अभिरक्षा में ग्राहकों से संबंधित सूचना की सुरक्षा और गोपनीयता के परिरक्षण एवं सुरक्षा को सुनिश्चित करने का प्रयास करेगा। सेवा प्रदाता के कर्मचारियों द्वारा ग्राहकों की सूचना तक पहुंच आवश्यकता-आधार पर निर्भर होगी।

(एफ़) बहु सेवा प्रदाता संबंधों की स्थिति में, जहां दो या दो से अधिक सेवा प्रदाता सम्पूर्ण समाधान देने के लिए सहयोग करते हैं, विनियमित संस्था उन सभी सेवा प्रदाताओं के नियंत्रण वातावरण को समझने और निगरानी करने के लिए जिम्मेदार रहेगी, जिनके पास विनियमित संस्था के डेटा, सिस्टम, रिकॉर्ड या संसाधनों तक पहुंच होती है।

(जी) ऐसे मामलों में, जहां सेवा प्रदाता कई सारी विनियमित संस्थाओं के लिए आउटसोर्सिंग एजेंट के रूप में कार्य करता है, वहाँ पर्याप्त सुरक्षा उपायों के निर्माण के लिए ध्यान रखा जाएगा ताकि सूचना, दस्तावेज, रिकॉर्ड और संपत्ति का संयोजन न हो।⁵

(एच) विनियमित संस्था यह सुनिश्चित करेगी कि सेवा प्रदाता द्वारा बिना किसी अनुचित देरी के विनियमित संस्था को साइबर घटनाओं की सूचना दी जाए, ताकि विनियमित संस्था द्वारा टीपीएसपी द्वारा पता लगाए जाने के 6 घंटे के भीतर विनियमित संस्था द्वारा आरबीआई को घटना की सूचना दी जा सके।

(आई) विनियमित संस्थान सुरक्षा उल्लंघनों के प्रकटीकरण के लिए सेवा प्रदाता की नियंत्रण प्रक्रियाओं और सुरक्षा प्रथाओं की समीक्षा एवं निगरानी करेंगे। सुरक्षा उल्लंघन और ग्राहक संबंधी गोपनीय सूचना के लीक हो जाने की स्थिति में विनियमित संस्थान तुरंत आरबीआई को सूचित करेंगे। इन परिस्थितियों में विनियमित संस्थान घटना प्रतिक्रिया और वसूली प्रबंधन पर समय-समय पर भारतीय रिज़र्व बैंक द्वारा जारी किए गए मौजूदा अनुदेशों का पालन करेंगे।

(जे) संकेन्द्रण जोखिम: विनियमित संस्थान एक ही सेवा प्रदाता को कई आउटसोर्सिंग द्वारा उत्पन्न संकेन्द्रण जोखिम के प्रभाव और / या सीमित संख्या में सेवा प्रदाताओं को अत्यावश्यक या महत्वपूर्ण कार्यों को आउटसोर्स करने से उत्पन्न संकेन्द्रण जोखिम का प्रभावी ढंग से आकलन करेगा।

18. कारोबार निरंतरता योजना और आपदा बहाली योजना

(ए) विनियमित संस्थानों को अपने सेवा प्रदाताओं से अपेक्षा होगी कि वे भारतीय रिज़र्व बैंक द्वारा बीसीपी/डीआर आवश्यकताओं पर समय-समय पर जारी किए गए मौजूदा अनुदेशों के अनुसार आउटसोर्स की गई गतिविधि की प्रकृति और कार्यक्षेत्र के अनुरूप कारोबार निरंतरता योजना (बीसीपी) तथा आपदा बहाली योजना (डीआरपी) के प्रलेखीकरण, रखरखाव और परीक्षण के लिए एक मजबूत ढांचा विकसित और स्थापित करें।

(बी) एक व्यवहार्य आकस्मिक योजना स्थापित करने में, विनियमित संस्थान वैकल्पिक सेवा प्रदाताओं की उपलब्धता या आउटसोर्स की गई गतिविधि को किसी आपात स्थिति में आंतरिक रूप से विकसित करने की संभावना और इसमें शामिल लागत, समय और संसाधनों पर विचार करेंगे।

(सी) आउटसोर्सिंग करार की अप्रत्याशित समाप्ति या सेवा प्रदाता के दिवालिएपन/परिसमापन के जोखिम को कम करने के लिए, विनियमित संस्थान अपने कारोबारी परिचालन को जारी रखने के लिए उपयुक्त उपायों के साथ हस्तक्षेप करने के अधिकार के साथ अपनी आईटी-आउटसोर्सिंग व्यवस्था पर समुचित नियंत्रण बनाए रखेंगे।

(डी) विनियमित संस्थान यह सुनिश्चित करेंगे कि सेवा प्रदाता विनियमित संस्था की जानकारी, दस्तावेजों और रिकॉर्ड एवं अन्य आस्तियों को वियोजित करने में सक्षम हैं। यह सुनिश्चित किया जाएगा कि प्रतिकूल परिस्थितियों में या अनुबंध की समाप्ति पर, सेवा प्रदाता के पास उपलब्ध सभी दस्तावेजों, लेन-देन के रिकॉर्ड और सूचना एवं विनियमित संस्था की आस्तियों को सेवा प्रदाता के कब्जे से हटाया जा सकता है या विलोपित किया जा सकता है, नष्ट किया जा सकता है या अनुपयोगी बनाया जा सकता है।

अध्याय – VII
आउटसोर्स गतिविधियों की निगरानी और नियंत्रण

19. आउटसोर्स गतिविधियों की निगरानी और नियंत्रण

ए) विनियमित संस्था के पास अपनी आउटसोर्स की गई आईटी गतिविधियों की निगरानी और नियंत्रण के लिए एक प्रबंधन संरचना होनी चाहिए। इसमें (आईटी सेवाओं की आउटसोर्सिंग के दायरे में यथा लागू) कार्य-निष्पादन की निगरानी, सिस्टम और संसाधनों का अपटाइम, सेवा उपलब्धता, एसएलए आवश्यकताओं का अनुपालन, घटना प्रतिक्रिया तंत्र आदि शामिल होगा लेकिन इन तक सीमित नहीं होगा।

बी) विनियमित संस्था अपने द्वारा आउटसोर्स की गई गतिविधि के संबंध में सेवा प्रदाताओं (उप-ठेकेदारों सहित) की नियमित लेखा-परीक्षा (आईटी सेवाओं की आउटसोर्सिंग के कार्य-क्षेत्र में यथा लागू) करेगा। ऐसी लेखा-परीक्षा विनियमित संस्था के आंतरिक लेखा परीक्षकों या विनियमित संस्था की ओर से कार्य करने के लिए नियुक्त बाहरी लेखा परीक्षकों द्वारा की जा सकती है।

सी) विभिन्न आईटी सेवाओं की आउटसोर्सिंग करते समय, एक से अधिक विनियमित संस्थाओं द्वारा एक ही तृतीय-पक्ष सेवा प्रदाता से सेवाएं प्राप्त करने की संभावानाएं हो सकती है। ऐसे परिदृश्य में, उभयनिष्ठ सेवा प्रदाता के अलग-अलग विनियमित संस्थाओं द्वारा अलग-अलग लेखा-परीक्षा करने के बदले, वे समूहित (साझा) लेखा-परीक्षा अपना सकते हैं। यह प्रासंगिक विनियमित संस्था को या तो अपने लेखा-परीक्षा संसाधनों को समूहित करने या उभयनिष्ठ सेवा प्रदाता की संयुक्त रूप से लेखा-परीक्षा हेतु एक स्वतंत्र तृतीय-पक्ष लेखा-परीक्षा को नियुक्त करने की अनुमति देता है। हालांकि, ऐसा करने में, यह सुनिश्चित करने की जिम्मेदारी विनियमित संस्था की होगी कि सेवा प्रदाता के साथ उनके अपने संविदा से संबंधित लेखा-परीक्षा आवश्यकताओं को प्रभावी ढंग से पूरा किया जाता है।

डी) लेखा-परीक्षा सेवा प्रदाता के कार्य-निष्पादन, सेवा प्रदाता द्वारा अपनाई गई जोखिम प्रबंधन प्रथाओं की पर्याप्तता, कानूनों और विनियमों के अनुपालन आदि का आकलन करेंगे। लेखा-परीक्षा की आवृत्ति जोखिम की प्रकृति एवं सीमा आउटसोर्सिंग व्यवस्था का विनियमित संस्था पर प्रभाव के आधार पर निर्धारित की जाएगी। निगरानी और नियंत्रण गतिविधियों पर रिपोर्ट की वरिष्ठ प्रबंधन द्वारा समय-समय पर समीक्षा की जाएगी और किसी भी प्रतिकूल घटना के मामले में, उसे सूचना के लिए बोर्ड के सामने रखा जाएगा।

ई) जोखिम मूल्यांकन के आधार पर विनियमित संस्थाएं, स्वतंत्र लेखा-परीक्षा करने के बदले सेवा प्रदाता द्वारा उपलब्ध कराए गए विश्व स्तर पर मान्यता प्राप्त तृतीय-पक्ष प्रमाणन पर भी भरोसा कर सकती हैं। हालांकि, यह सेवा प्रदाता के स्तर पर डेटा सुरक्षा (सिस्टम की उपलब्धता सहित) की सुरक्षा के लिए आवश्यक नियंत्रणों और प्रक्रियाओं पर आश्वासन सुनिश्चित करने में विनियमित संस्थाओं को उनकी जिम्मेदारी से मुक्त नहीं करेगा।.

एफ) विनियमित संस्था समय-समय पर वित्तीय और परिचालन स्थिति की समीक्षा करेगी ताकि आईटी सेवाओं की आउटसोर्सिंग से संबंधित अपने दायित्वों को पूरा करने की इसकी क्षमता का आकलन किया जा सके। विनियमित संस्था आवधिकता को परिभाषित करने में जोखिम आधारित दृष्टिकोण अपनाएगी। इस तरह की समुचित सावधानी समीक्षा कार्यनिष्पादन मानकों, गोपनीयता और सुरक्षा और परिचालनगत आघातसहनीयता तैयारियों में किसी भी गिरावट या उल्लंघन को उजागर करेगी।

जी) ऐसे मामलों में, जहां सेवा प्रदाता विनियमित संस्था के ग्राहकों के साथ व्यवहार करता है, किसी भी कारण से आउटसोर्सिंग करार को समाप्त करने की स्थिति में, विनियमित संस्था द्वारा इसका उचित प्रचार किया जाएगा ताकि यह सुनिश्चित किया जा सके कि ग्राहक संबंधित सेवा प्रदाता के साथ व्यवहार करना बंद कर दें।

एच) विनियमित संस्थान यह सुनिश्चित करेंगे कि सेवा प्रदाता उचित सुरक्षा प्रोटोकॉल के अधीन, विनियमित संस्था, उनके लेखा परीक्षकों, विनियामकों और कानून के तहत अधिकृत अन्य प्रासंगिक सक्षम अधिकारियों द्वारा प्रभावी निरीक्षण के उद्देश्य से उपयोग के लिए ए) आउटसोर्स की गई गतिविधियों से संबंधित डेटा; बी) सेवा प्रदाता के प्रासंगिक व्यावसायिक परिसर तक अप्रतिबंधित और प्रभावी पहुंच प्रदान करता है।

अध्याय – VIII
किसी समूह/संगुट के भीतर आउटसोर्सिंग

20. किसी समूह / संगुट के भीतर आउटसोर्सिंग

ए) एक विनियमित संस्‍था अपने व्यापार समूह/संगुट के भीतर किसी भी आईटी गतिविधि/आईटी सक्षम सेवा को आउटसोर्स कर सकती है, बशर्ते कि ऐसी व्यवस्था बोर्ड द्वारा अनुमोदित नीति द्वारा समर्थित हो और इसके समूह संस्थाओं के साथ उचित सेवा स्तर की व्यवस्था/करार हो।

बी) किसी समूह इकाई का चयन वस्तुनिष्ठ कारणों पर आधारित होगा जो तीसरे पक्ष के चयन के समान होंगे, और ऐसी आउटसोर्सिंग व्यवस्था के कारण होने वाले हितों के किसी भी टकराव का उचित रूप से समाधान किया जाएगा।

सी) विनियमित संस्‍थाएं, हर समय, अपनी समूह संस्थाओं के साथ व्यवहार करते समय स्वतंत्र संव्यवहार बनाए रखेंगी। किसी समूह इकाई को आउटसोर्स करते समय विनियमित संस्‍था द्वारा अपनाई जा रही जोखिम प्रबंधन प्रथाएं गैर-संबंधित पार्टी के लिए निर्दिष्ट प्रथाओं के समान होंगी।

अध्याय – IX
सीमा - पार आउटसोर्सिंग

21. सीमा-पार आउटसोर्सिंग के लिए अतिरिक्त अपेक्षाएं

ए) एक अलग क्षेत्राधिकार में स्थित किसी सेवा प्रदाता की नियुक्ति विनियमित संस्‍था को देश जोखिम के लिए उजागर करती है। इस तरह के जोखिम का प्रबंधन करने के लिए, विनियमित संस्‍था उस अधिकार क्षेत्र, जिसमें सेवा प्रदाता आधारित है, की सरकारी नीतियों और राजनीतिक, सामाजिक, आर्थिक और कानूनी स्थितियों की बारीकी से निगरानी करेगी और साथ-साथ देश जोखिम को कम करने के लिए ठोस प्रक्रियाएं स्थापित करेगी। इसमें अन्य बातों के साथ-साथ उपयुक्त आकस्मिकता और निकास रणनीतियां शामिल हैं। इसके अलावा, यह सुनिश्चित किया जाएगा कि सेवा प्रदाता के परिसमापन के मामले में भी विनियमित संस्‍था और आरबीआई को रिकॉर्ड की उपलब्धता प्रभावित नहीं होगी।

बी) व्यवस्था के शासी कानून को भी स्पष्ट रूप से निर्दिष्ट किया जाएगा। सिद्धांत रूप में, केवल अधिकार क्षेत्र में काम करने वाली पार्टियों के साथ ही गोपनीयता की शर्तों और करारों को कायम रखने के लिए व्यवस्था की जाएगी।

सी) विदेशी क्षेत्राधिकार में स्थित सेवा प्रदाता की लेखापरीक्षा या निरीक्षण का निदेश देने और संचालित करने का विनियमित संस्‍था और आरबीआई का अधिकार सुनिश्चित किया जाएगा।

डी) व्यवस्था सभी सांविधिक अपेक्षाएं के साथ-साथ आरबीआई द्वारा समय-समय पर जारी किए गए विनियमों का पालन करेगी।

अध्याय – X
निकास रणनीति

22. निकास रणनीति

ए) निकासी के दौरान और बाद में कारोबार की निरंतरता सुनिश्चित करते हुए आईटी सेवाओं की आउटसोर्सिंग नीति में आउटसोर्स की गई आईटी गतिविधियों/आईटी सक्षम सेवाओं के संबंध में एक स्पष्ट निकास रणनीति शामिल होगी। रणनीति में ऐसी योजनाओं को निष्पादित करने के लिए आवश्यक न्यूनतम अवधि के अनुबंध के साथ निकासी या सेवाओं की समाप्ति के विभिन्न परिदृश्यों के लिए निकास रणनीति शामिल होनी चाहिए। निकास रणनीति का दस्तावेजीकरण करते समय, विनियमित संस्‍था अन्य बातों के साथ-साथ वैकल्पिक व्यवस्थाओं की पहचान करेगी, जिसमें एक अलग सेवा प्रदाता या स्वयं विनियमित संस्‍था द्वारा कार्य-निष्पादन शामिल हो सकता है।

बी) विनियमित संस्‍थान यह सुनिश्चित करेंगे कि करार में डेटा, हार्डवेयर और सभी रिकॉर्ड (डिजिटल और भौतिक), जैसा लागू हो, को सुरक्षित रूप से हटाने/नष्ट करने के लिए आवश्यक खंड हैं। हालांकि, सेवा प्रदाता कानूनी रूप से विनियमित संस्‍था और नए सेवा प्रदाता (ओं) दोनों के साथ पूर्ण सहयोग करने के लिए बाध्य होगा ताकि सुचारु संक्रमण सुनिश्चित किया जा सके। इसके अलावा, करार यह सुनिश्चित करेगा कि सेवा प्रदाता संक्रमण अवधि के दौरान किसी भी डेटा को मिटाने, परिष्करण करने, रद्द करने, परिवर्तन करने या बदलने से प्रतिबंधित है, जब तक कि विनियामक/संबंधित विनियमित संस्‍था द्वारा विशेष रूप से सूचित न किया जाए।.

¹ इसमें भारत से बाहर निगमित बैंक शामिल हैं जिन्हें भारत में संचालन के लिए लाइसेंस दिया गया है ('विदेशी बैंक'), स्थानीय क्षेत्र बैंक (एलएबी), लघु वित्त बैंक (एसएफबी), भुगतान बैंक (पीबी)

² शब्द 'आउटसोर्सिंग' (जब तक वित्तीय सेवाओं की आउटसोर्सिंग के रूप में स्पष्ट रूप से उल्लेख नहीं किया गया है), का तात्पर्य है 'आईटी सेवाओं/आईटी सक्षम सेवाओं/आईटी गतिविधियों की आउटसोर्सिंग' और इस मास्टर निदेश में परस्पर उपयोग किया गया है।

³ एक आरई द्वारा अन्य आरई (एस) को प्रदान की गई आईटी आउटसोर्सिंग सेवाओं (यदि कोई हो) के आधार पर, इस मास्टर निदेश के तहत एक आरई को भी अन्य आरई का सेवा प्रदाता माना जा सकता है।

⁴ इस मास्टर निदेश में उप-ठेकेदार केवल उन लोगों को संदर्भित करता है जो टीपीएसपी को विनियमित संस्था द्वारा टीपीएसपी के साथ की गई महत्वपूर्ण आईटी सेवा व्यवस्था में विनिर्दिष्ट महत्वपूर्ण/उल्लेखनीय आईटी सेवाएं प्रदान करते हैं

⁵ जहां तक डेटा के संयोजन का संबंध है, निम्नलिखित का अनुपालन पर्याप्त होगा: यह सुनिश्चित करने के लिए कि केवल विनियमित संस्था द्वारा अधिकृत कर्मी ही बहु-उपयोगकर्ता स्थिति / संरचना में उनके डेटा तक पहुंचने में सक्षम हैं, डेटा (आरई और उसके ग्राहक विशिष्ट डेटा और जानकारी) का एक स्पष्ट विभाजन और पृथक्करण।