भा.रि.बैं/2019-20/130
डीओएस.सीओ.सीएसआईटीई.बीसी 4084/31.01.015/2019-20

31 दिसंबर, 2019

सेवा में,
अध्यक्ष/प्रबंध निदेशक/मुख्य कार्यपालक अधिकारी
सभी अनुसूचित वाणिज्यिक बैंक (आरआरबी को छोड़कर)
सभी लघु वित्त बैंक और भुगतान बैंक
सभी प्राथमिक (शहरी) सहकारी बैंक
सभी स्थानीय क्षेत्र बैंक तथा व्हाईट लेबल एटीएम ऑपरेटर्स

महोदया/महोदय

थर्ड पार्टी एटीएम स्विच एप्लिकेशन सेवा प्रदाताओं के लिए साईबर सुरक्षा नियंत्रण

कृपया, वर्ष 2019-20 के लिए दिनांक 05 दिसंबर 2019 को जारी पांचवें द्विमासिक मौद्रिक नीति वक्तव्य के विकासात्मक तथा विनियामक नीतियों से संबंधित वक्तव्य के पैरा I (8) का संदर्भ लें (उद्धरण संलग्न)।

2. यह देखा गया है कि भारतीय रिज़र्व बैंक द्वारा विनियमित कई संस्थाएं (आरआरई) अपने एटीएम स्विच इकोसिस्टम का प्रबंधन, थर्ड पार्टी एटीएम स्विच एप्लिकेशन सर्विस प्रदाताओं (एएसपी) की साझा सेवाओं के माध्यम से करते हैं। चूंकि, भुगतान प्रणाली व्यवस्था में इन सेवा प्रदाताओं का भी एक्सपोजर होता है, इसलिए, इनके द्वारा कुछ साइबर सुरक्षा नियंत्रण लागू किये जाने की आवश्यकता है। इस दृष्टिकोण से, आरआरई यह सुनिश्चित करेंगी कि इनके और थर्ड पार्टी एटीएम स्विच एएसपी के बीच हुए संविदा करार में इसे जरूर अपरिहार्य बनाया जाए कि थर्ड पार्टी एटीएम स्विच एएसपी, अनुबंध में दिए गए साइबर सुरक्षा नियंत्रणों का निरंतर आधार पर अनुपालन करेंगे और प्रत्यक्ष अथवा अप्रत्यक्ष पर्यवेक्षण के लिए भारतीय रिज़र्व बैंक को एक्सेस प्रदान करेंगे। इस प्रभाव से, संविदा करार शीघ्र अथवा नवीकरण के समय या किसी भी स्थिति में 31 मार्च 2020 से पहले संशोधित किया जाए। निर्धारित नियंत्रणों की सूची व्यापक न होकर सांकेतिक है। यह उल्लेखनीय है कि ये नियंत्रण, आरआरई को एटीएम स्विच सेवाओं के साथ-साथ दूसरे अन्य प्रकार की भुगतान प्रणाली संबंधी सेवाएं प्रदान करने वाले ऐसे एएसपी पर लागू होते हैं, जो आईटी इकोसिस्टम (जैसे- भौतिक अवसंरचना, हार्डवेयर, सॉफ्टवेयर, समाधान प्रणाली, नेटवर्क इंटरफेस, सुरक्षा समाधान, हार्डवेयर सुरक्षा मोड्यूल, मिडलवेयर, संबद्ध व्यक्ति, प्रक्रियाएं, सिस्टम, डेटा, सूचना, आदि) तक सीमित हैं।

3. एटीएम स्विच परितंत्र पर लागू होने वाले, समय-समय पर जारी विनियामक दिशानिर्देशों को परिपत्रों/ एडवाईजरी/ सावधानी के रूप में आवश्यक अनुपालन हेतु एएसपी के साथ साझा किये जाएंगे।

4. इस परिपत्र की एक प्रति निदेशक मंडल की आगामी बैठक में प्रस्तुत की जाए।

5. कृपया पत्र की पावती भेजें।

6. परिपत्र के हिंदी और अंग्रेजी पाठ में यदि कोई असंगति या अस्पष्टता पाई जाती है तो परिपत्र का अंग्रेजी पाठ मान्य होगा।

भवदीय

(आर. रविकुमार)
मुख्य महाप्रबंधक

अनुलग्नक : यथोक्त

05 दिसंबर, 2019 को घोषित किया गया पांचवीं द्वि-मासिक मौद्रिक नीति वक्तव्य, 2019-20 का उद्धरण

8. रिज़र्व बैंक द्वारा विनियमित संस्थाओं के एटीएम स्विच एप्लिकेशन सेवा प्रदाताओं के लिए आधारभूत साइबर सुरक्षा नियंत्रण

एटीएम स्विच एप्लिकेशन हेतु साझा सेवाओं के लिए कई वाणिज्यिक बैंक, शहरी सहकारी बैंक और अन्य विनियमित इकाइयां तृतीय पक्ष एप्लिकेशन सेवा प्रदाताओं पर निर्भर हैं। चूंकि इन सेवा प्रदाताओं का भी भुगतान प्रणाली परिदृश्य में एक्सपोजर है और इसलिए ये संबंधित साइबर खतरों के संपर्क में हैं। यह निर्णय लिया गया है कि विनियमित संस्थाओं द्वारा इन सेवा प्रदाताओं के साथ किए जाने वाले अनुबंध में कुछ आधारभूत साइबर सुरक्षा नियंत्रण अनिवार्य किए जाएंगे। दिशानिर्देशों में परिनियोजन प्रक्रिया को मजबूत करने और ईकोसिस्टम में एप्लिकेशन सॉफ्टवेयर में बदलाव के लिए कई उपायों के क्रियान्वयन की आवश्यकता होगी, जिसमें निरंतर निगरानी; संवेदनशील डेटा के भंडारण, प्रसंस्करण और प्रसारण पर नियंत्रण का कार्यान्वयन; फोरेंसिक परीक्षा के लिए क्षमता निर्माण और घटना प्रतिक्रिया तंत्र को और अधिक मजबूत बनाना शामिल है। इस संबंध में विस्तृत दिशा-निर्देश 31 दिसंबर 2019 तक जारी किए जाएंगे।