आरबीआई/डीपीएसएस/2019-20/174
डीपीएसएस.सीओ.पीडी.सं.1810/02.14.008/2019-20

17 मार्च 2020
(17 नवंबर 2020 को अद्यतन)

सभी भुगतान प्रणाली प्रदाता और सिस्टम प्रतिभागी

महोदया / महोदय,

भुगतान एग्रीगेटर और भुगतान गेटवे के विनियमन पर दिशानिर्देश

इस संबंध में ‘खातों को खोलने एवं उनका परिचालन करने और मध्यवर्तियों को शामिल करने वाले इलेक्ट्रॉनिक भुगतान लेनदेनों के लिए भुगतान के निपटान के लिए दिशानिर्देश’ पर भारतीय रिज़र्व बैंक (आरबीआई) के दिनांक 24 नवंबर 2009 के परिपत्र डीपीएसएस.सीओ.पीडी.सं.1102/02.14.08/2009-10 का संदर्भ लें।

2. आरबीआई की वेबसाइट पर उपलब्ध कराए गए पेमेंट एग्रीगेटर्स (पीए) और पेमेंट गेटवेज (पीजी) के विनियमन के लिए दिशानिर्देशों पर एक चर्चा पत्र का भी संदर्भ लें। प्राप्त फीडबैक के आधार पर और ऑनलाइन पेमेंट स्पेस में इन मध्यवर्ती संस्थाओं के महत्वपूर्ण कार्यों को ध्यान में रखते हुए और निधियों के संचालन की तुलना में उनकी भूमिका को भी देखते हुए, यह निर्णय लिया गया है कि (ए) अनुबंध 1 के दिशानिर्देशों के अनुसार, पीए की गतिविधियों को संपूर्ण रूप से विनियमित किया जाए, और (बी) अनुबंध 2 के अनुसार, पीजी को बेसलाइन प्रौद्योगिकी-आधारित सिफारिशें उपलब्ध कराई जाएं।

3. इस संबंध में विस्तृत दिशानिर्देश संलग्न हैं। यह ध्यान रखा जाए कि ये दिशानिर्देश भुगतान और निपटान प्रणाली अधिनियम, 2007 की धारा 10 (2) के साथ पठित धारा 18 के अंतर्गत जारी किए गए हैं, और ये, वैसी गतिविधियों को छोड़कर जिनके लिए विशिष्ट समय-सीमा का उल्लेख किया गया है, 01 अप्रैल 2020 से लागू होंगे।

भवदीय,

(पी. वासुदेवन)
मुख्य महाप्रबंधक

संलग्न : यथोक्त

अनुबंध 1

भुगतान एग्रीगेटर और भुगतान गेटवे के विनियमन पर दिशानिर्देश
(डीपीएसएस.सीओ.पीडी.सं.1810/02.14.008/2019-20 दिनांक 17 मार्च, 2020)

भुगतान एग्रीगेटर (पीए) और भुगतान गेटवे (पीजी) मध्यवर्ती संस्थाएं हैं जो ऑनलाइन स्पेस में भुगतान की सुविधा उपलब्ध कराने के लिए महत्वपूर्ण कार्य कर रही हैं।

1. परिभाषाएं

1.1 इस परिपत्र के प्रयोजन के लिए, पीए और पीजी को निम्नानुसार परिभाषित किया गया है:

1.1.1 पीए वे संस्थाएं हैं जो ई-कॉमर्स साइटों और व्यापारियों को अपने भुगतान संबंधी दायित्वों को पूरा करने के लिए ग्राहकों से विभिन्न भुगतान लिखतों को स्वीकार करने की सुविधा प्रदान करती हैं, ताकि व्यापारियों को अपनी स्वयं की अलग भुगतान एकीकरण प्रणाली बनाने की आवश्यकता नहीं पड़े । पीए व्यापारियों को अधिग्राहकों से जुड़ने की सुविधा प्रदान करते हैं। इस प्रक्रिया में, वे ग्राहकों से भुगतान प्राप्त करते हैं, उन्हें समूहित और एक समयावधि के बाद उन्हें व्यापारियों को अंतरित करते हैं ।

1.1.2. पीजी वे संस्थाएं हैं जो निधियों के संचालन में किसी भागीदारी के बिना ऑनलाइन भुगतान लेनदेन को माध्यम प्रदान करने और उनके प्रसंस्करण की सुविधा प्रदान करने के लिए प्रौद्योगिकीय ढांचा प्रदान करती हैं।

1.2. ऑनलाइन लेनदेन के प्रसंस्करण में निम्नलिखित समय-सीमाएं शामिल हैं:

• ‘टीपी’ - माल/सेवाओं की खरीद के लिए ग्राहक के खाते में प्रभार/डेबिट की तारीख ।

• ‘टीएस’ - माल की शिपमेंट के बारे में व्यापारी द्वारा मध्यवर्ती संस्था को सूचना देने की तारीख।

• ‘टीडी’ - ग्राहक को माल की सुपुर्दगी के बारे में व्यापारी द्वारा मध्यवर्ती संस्था को पुष्टि करने की तारीख।

• ‘टीआर’ – रिफंड के लिए व्यापारी द्वारा निर्धारित अवधि की समाप्ति की तारीख।

2. प्रयोज्यता

2.1. ये दिशानिर्देश पीए पर लागू होंगे। पीए भी अनुलग्नक 2 में दी गई प्रौद्योगिकी-संबंधी सिफारिशों को अपनाएंगे। अच्छी प्रथा के उपाय के रूप में, पीजी द्वारा इन बेसलाइन प्रौद्योगिकी-संबंधी सिफारिशों का अनुपालन किया जाए।

2.2. आयात और निर्यात संबंधी भुगतानों के लिए पीए द्वारा उपलब्ध करवाया गया डोमेस्टिक लेग भी इन निर्देशों द्वारा अभिशासित होगा।

2.3. ये दिशानिर्देश कैश ऑन डिलीवरी (सीओडी) ई-कॉमर्स मॉडल पर लागू नहीं हैं ।

3. प्राधिकरण

3.1. निधियों के संचालन में मध्यवर्ती संस्था की भूमिका के आधार पर प्राधिकरण के मानदंड तय किए गए हैं।

3.2. बैंक और गैर-बैंक पीए अपनी गतिविधियों के हिस्से के रूप में निधियों का संचालन करते हैं। तथापि, बैंक अपने सामान्य बैंकिंग संबंध के एक हिस्से के रूप में पीए सेवाएं प्रदान करते हैं और इसके परिणामस्वरूप उन्हें आरबीआई से अलग प्राधिकरण प्राप्त करने की आवश्यकता नहीं होती है । भुगतान और निपटान प्रणाली अधिनियम, 2007 (पीएसएसए) के अंतर्गत गैर-बैंक पीए को आरबीआई से प्राधिकरण की आवश्यकता होगी ।

3.3. पीए, कंपनी अधिनियम, 1956 / 2013 के अंतर्गत भारत में निगमित एक कंपनी होगी। आवेदक संस्था के संगम ज्ञापन (एमओए) में पीए के रूप में परिचालन संबंधी प्रस्तावित क्रियाकलापों को आवश्य शामिल करना होगा।

3.4. पीए सेवाएं प्रदान करने वाली मौजूदा गैर-बैंक संस्थाओं को प्राधिकरण के लिए 30 जून 2021 को या उससे पहले आवेदन करना होगा। अपने आवेदन के संबंध में आरबीआई से सूचना प्राप्त होने तक उन्हें अपने परिचालन को जारी रखने की अनुमति होगी।

3.5. पीएसएस अधिनियम के तहत आरबीआई से पीए के रूप में प्राधिकरण की मांग करने वाली संस्थाओं को अपना आवेदन फॉर्म ए में भुगतान और निपटान प्रणाली विभाग (डीपीएसएस), आरबीआई, केंद्रीय कार्यालय, मुंबई को प्रस्तुत करना होगा। वित्तीय क्षेत्र के किसी भी विनियामक द्वारा विनियमित संस्थाओं को संबंधित विनियामक द्वारा जारी 'अनापत्ति प्रमाण-पत्र' के साथ, ऐसे किसी क्लियरेंस की प्राप्ति के 45 दिनों के भीतर, आवेदन प्रस्तुत करना होगा।

3.6. पीए सेवाएं प्रदान करने वाले ई-कॉमर्स मार्केटप्लेसेस, ऊपर पैरा 3.4 में निर्धारित अंतिम समय-सीमा से आगे इस गतिविधि को जारी नहीं रखेंगे। यदि वे इस गतिविधि को जारी रखना चाहते हैं, तो मार्केटप्लेस बिजनेस से इसे अलग करना होगा और उन्हें 30 जून 2021 को या उससे पहले प्राधिकरण के लिए आवेदन प्रस्तुत करना होगा ।

3.7. पीजी को बैंकों या गैर-बैंकों के 'प्रौद्योगिकी प्रदाता' अथवा 'आउटसोर्सिंग भागीदार', जैसा भी मामला हो, के रूप में माना जाएगा । एक बैंक पीजी के मामले में, भारतीय रिज़र्व बैंक के विनियमन विभाग द्वारा ‘बैंकों द्वारा वित्तीय सेवाओं की आउटसोर्सिंग में जोखिम प्रबंधन और आचार संहिता’ पर दिनांक 03 नवंबर 2006 के परिपत्र सं.डीबीओडी.सं.बीपी.40/21.04.158/2006-07 के अंतर्गत जारी दिशानिर्देश और अन्य अनुवर्ती परिपत्र भी लागू होंगे।

4. पूंजीगत अपेक्षाएं

4.1 इस परिपत्र की तारीख को मौजूद पीए को 31 मार्च 2021 तक ₹15 करोड़ की निवल मालियत और तीसरे वित्तीय वर्ष के अंत तक, अर्थात 31 मार्च 2023 को या उससे पहले, ₹25 करोड़ की निवल मालियत हासिल करनी होगी। तत्पश्चात, उन्हें ₹25 करोड़ की निवल मालियत को हर समय बनाए रखना होगा।

4.2. प्राधिकरण के लिए आवेदन करते समय नए पीए के पास ₹15 करोड़ की न्यूनतम निवल मालियत होनी चाहिए और प्राधिकरण मिलने के तीसरे वित्तीय वर्ष के अंत तक उन्हें ₹25 करोड़ की निवल मालियत प्राप्त करनी होगी। तत्पश्चात, उन्हें ₹25 करोड़ की निवल मालियत को हर समय बनाए रखना होगा।

4.3. उदाहरण के लिए,

4.4. निवल मालियत में वैसी चुकता इक्विटी पूंजी, अधिमान शेयर शामिल होंगे जो अनिवार्य रूप से इक्विटी, निर्बंध आरक्षित निधियों, शेयर प्रीमियम खाते में शेष राशि और आस्तियों की बिक्री से हुई आय से उत्पन्न अधिशेष को दर्शाने वाली आरक्षित पूंजी में परिवर्तनशील हैं, परंतु इसमें संचित हानि संतुलन, अमूर्त आस्तियों के बही मूल्य और आस्थगित राजस्व व्यय, यदि कोई हो, के लिए समायोजित आस्तियों के पुनर्मूल्यांकन द्वारा निर्मित आरक्षित पूंजी शामिल नहीं है। अनिवार्य रूप से परिवर्तनीय अधिमान शेयर गैर-संचयी अथवा संचयी हो सकते हैं, तथा उन्हें अनिवार्य रूप से इक्विटी शेयरों में परिवर्तनीय होना चाहिए और शेयरधारक करारों द्वारा इस अधिमान पूंजी की किसी भी समय कोई भी निकासी विशेष रूप से प्रतिबंधित की जानी चाहिए।

4.5. प्रत्यक्ष विदेशी निवेश (एफडीआई) वाली संस्थाओं का दिशा-निर्देशन भारत सरकार की समेकित प्रत्यक्ष विदेशी निवेश नीति और प्रासंगिक विदेशी मुद्रा प्रबंधन विनियमावली द्वारा किया जाएगा।

4.6. प्राधिकरण के लिए आवेदन जमा करते समय पीए लागू निवल मालियत अपेक्षा के अनुपालन के साक्ष्य के लिए अपने सनदी लेखाकार (सीए) से संलग्न प्रारूप में एक प्रमाण-पत्र प्रस्तुत करेगा । नव-निगमित गैर-बैंक संस्थाएं, जिनके पास वित्तीय खातों का लेखापरीक्षित विवरण नहीं हो सकता है, संलग्न प्रारूप में अपने सनदी लेखाकर द्वारा जारी वर्तमान निवल मालियत से संबंधित एक प्रमाण-पत्र के साथ-साथ अनंतिम तुलन पत्र प्रस्तुत करेंगी।

4.7. वैसे पीए जो निर्धारित समय-सीमा के भीतर निवल मालियत अपेक्षा का अनुपालन करने में सक्षम नहीं हैं (जैसा कि पैरा 4.1 और 4.2 में दिया गया है) वे भुगतान एग्रीगेशन व्यवसाय बंद करेंगे। ऐसी संस्थाओं के नोडल/निलंब खाते रखने वाले बैंकों को इस संबंध में निगरानी करनी होगी और अनुपालन रिपोर्ट भेजनी होगी।

5. अभिशासन

5.1. पीए का प्रबंधन पेशेवर रूप में किया जाएगा। संस्था के प्रवर्तकों को आरबीआई द्वारा निर्धारित फिट और प्रॉपर मानदंडों को पूरा करना होगा। आवेदक संस्था के निदेशक संलग्न प्रारूप में एक घोषणा प्रस्तुत करेंगे। आरबीआई अन्य विनियामकों, सरकारी विभागों आदि से इनपुट प्राप्त करके आवेदक संस्था और प्रबंधन की 'फिट और प्रॉपर' स्थिति की यथोचित जांच करेगा। पात्रता मानदंडों को पूरा नहीं करने वाली संस्थाओं के आवेदन अथवा जो आवेदन अपूर्ण हैं/सभी विवरणों के साथ निर्धारित प्रारूप में नहीं हैं, उन्हें वापस किया जाएगा।

5.2. गैर-बैंक पीए प्रबंधन में कोई टेकओवर अथवा नियंत्रण के अधिग्रहण अथवा परिवर्तन की सूचना पत्र के माध्यम से संपूर्ण विवरण के साथ, जिसमें प्रत्येक नए निदेशक, यदि कोई हो, द्वारा प्रस्तुत ‘घोषणा और वचन-पत्र’ शामिल हो, 15 दिनों के भीतर मुख्य महाप्रबंधक, भुगतान और निपटान प्रणाली विभाग (डीपीएसएस), आरबीआई, केंद्रीय कार्यालय, मुंबई को दी जाएगी। आरबीआई प्रबंधन की 'फिट और प्रॉपर' स्थिति की जांच करेगा और ऐसे परिवर्तनों पर, यदि आवश्यक हो, उपयुक्त प्रतिबंध लगा सकेगा।

5.3. पीए, व्यापारियों, अधिग्राहक बैंकों, और अन्य सभी हितधारकों के बीच किए गए करार में शिकायतों की छंटाई/संचालन, रिफंड/विफल लेनदेन, वापसी नीति, ग्राहक शिकायत निवारण (प्रश्नों के उत्तर के लिए टर्नअराउंड टाइम सहित), विवाद समाधान प्रणाली, समाधान आदि में शामिल पक्षों की भूमिकाओं और जिम्मेदारियों को स्पष्ट रूप से परिभाषित किया जाएगा।

5.4. पीए व्यापारी नीतियों, ग्राहक शिकायतों, निजता नीति तथा अन्य नियमों और शर्तों के बारे में व्यापक जानकारी वेबसाइट और/या अपने मोबाइल एप्लिकेशन पर प्रदर्शित करेंगे।

5.5. पीए के पास शिकायतों के निपटान/विवाद समाधान तंत्र / रिफंड के प्रसंस्करण के लिए बोर्ड अनुमोदित नीति होगी जो इस तरह बनी होगी कि यह विफल लेनदेन के समाधान के लिए टर्न अराउंड टाइम (टीएटी) पर 20 सितंबर 2019 को आरबीआई द्वारा डीपीएसएस.सीओ.पीडी.सं.629/02.01.014/2019-20 के अंतर्गत जारी निर्देशों का पर्याप्त रूप से अनुपालन करती हो। पीए इस संबंध में भविष्य के किसी निर्देश का भी पालन करेंगे।

5.6. पीए एक नोडल अधिकारी नियुक्त करेंगे जो विनियामक और ग्राहक शिकायत संबंधी कार्यों के लिए जिम्मेदार होंगे। पीए अपनी वेबसाइट पर नोडल अधिकारी के विवरण को प्रमुखता से प्रदर्शित करेंगे।

6. धन शोधन (केवाईसी / एएमएल / सीएफटी) प्रावधानों के प्रति सुरक्षा उपाय

6.1. विनियमन विभाग, आरबीआई द्वारा अपने ग्राहक को जानिए (केवाईसी) / धन शोधन निवारण (एएमएल) / आतंकवाद वित्तपोषण का मुकाबला करना (सीएफटी) पर जारी ‘मास्टर निर्देश – अपने ग्राहक को जानिए दिशानिर्देश’, जिसे समय-समय पर अद्यतन किया जाता है, सभी संस्थाओं पर आवश्यक परिवर्तनों सहित लागू होंगे।

6.2. धन शोधन निवारण अधिनियम, 2002 के प्रावधान और इसके अंतर्गत बनाए गए नियम, जिन्हें समय-समय पर संशोधित किया जाता है, भी लागू होंगे।

7. व्यापारी ऑन-बोर्डिंग

7.1. व्यापारी ऑन-बोर्डिंग के लिए पीए के पास बोर्ड द्वारा अनुमोदित नीति होगी।

7.2. व्यापारी की पृष्ठभूमि और पूर्ववृत्त की जांच के दायित्व का निर्वहन पीए यह सुनिश्चित करने के लिए करेगा कि ऐसे व्यापारी का ग्राहकों को धोखा देने, जाली / नकली / निषिद्ध उत्पादों को बेचने आदि का कोई दुर्भावपूर्ण इरादा नहीं है। व्यापारी की वेबसाइट स्पष्ट रूप से सेवा के नियमों और शर्तों तथा वापसी और रिफंड के प्रसंस्करण हेतु समय-सीमा प्रदर्शित करेगी।

7.3. ऑन-बोर्ड किए गए व्यापारियों के इंफ्रास्ट्रक्चर से संबंधित पेमेंट कार्ड इंडस्ट्री-डाटा सेक्यूरिटी स्टैंडर्ड (पीसीआई-डीएसएस) और पेमेंट एप्लिकेशन-डाटा सेक्यूरिटी स्टैंडर्ड (पीए-डीएसएस) के अनुपालन की जांच करने की जिम्मेदारी पीए की होगी।

7.4. व्यापारी साइट ग्राहक कार्ड और इनसे संबंधित डाटा सेव नहीं करेगी। अनुपालन की जांच के लिए, जब कभी आवश्यक हो, व्यापारी की सुरक्षा लेखापरीक्षा की जाए।

7.5. व्यापारी के साथ करार में ग्राहक डाटा की सुरक्षा / गोपनीयता के लिए प्रावधान होगा। व्यापारियों के साथ पीए के करार में पीए-डीएसएस के अनुपालन और घटना की सूचना देने संबंधी दायित्व शामिल होंगे। पीए समय-समय पर सुरक्षा मूल्यांकन रिपोर्टें प्राप्त करेंगे, जो जोखिम मूल्यांकन (बड़े अथवा छोटे व्यापारियों) और / अथवा संविदा के नवीनीकरण के समय पर आधारित होंगी।

8. निपटान और निलंब खाते का प्रबंधन

8.1. गैर-बैंक पीए अपने द्वारा एकत्र की गई राशि किसी भी अनुसूचित वाणिज्यिक बैंक में धारित निलंब खाते में रखेंगे। पीए द्वारा अपने विवेकानुसार किसी अन्य अनुसूचित वाणिज्यिक बैंक में भी एक अतिरिक्त निलंब खाता रखा जाए। निलंब खाता बनाए रखने के उद्देश्य हेतु पीए के परिचालन को पीएसएसए (2015 में यथासंशोधित) की धारा 23ए के तहत ‘निर्दिष्ट भुगतान प्रणाली’ माना जाएगा।

8.2. निलंब खाते को एक बैंक से किसी दूसरे बैंक में स्थानांतरित करने की आवश्यकता पड़ने की स्थिति में, आरबीआई को सूचित करते हुए और व्यापारियों के भुगतान चक्र को बिना प्रभावित किए, इसे समयबद्ध तरीके से प्रभाव में लाया जाएगा ।

8.3. ग्राहक के खाते से कटौती की गई राशियां निलंब खाता वाले बैंक को टीपी + 0 / टीपी + 1 आधार पर भेज दी जाएंगी। यही नियम उन गैर-बैंक संस्थाओं पर लागू होंगे, जहां वॉलेट का उपयोग भुगतान लिखत के रूप में किया जाता है।

8.4. पीए द्वारा व्यापारी के साथ अंतिम निपटान निम्नानुसार किया जाएगा :

8.4.1. जहां पीए माल / सेवाओं की डिलीवरी के लिए जिम्मेदार है, व्यापारी को भुगतान टीएस + 1 आधार पर होगा, न कि उसके बाद।

8.4.2. जहां व्यापारी डिलीवरी के लिए जिम्मेदार है, व्यापारी को भुगतान टीडी + 1 आधार पर होगा, न कि उसके बाद ।

8.4.3. जहां व्यापारी के साथ करार यह व्यवस्था करता है कि रिफंड अवधि समाप्त होने तक राशि पीए रखेगा, व्यापारी को भुगतान टीआर + 1 आधार पर होगा, न कि उसके बाद।

8.5. प्रतिवर्ती और रिफंड लेनदेनों (जहां पीए द्वारा धन प्राप्त किया जाता है) के लिए क्रेडिट निलंब खाते के माध्यम से वापस भेजे जाएंगे, सिवाय इसके कि करार के अनुसार यदि रिफंड को सीधे तौर पर व्यापारी द्वारा नियंत्रित किया जा रहा हो और ग्राहक को इसके बारे में अवगत कराया गया हो।

8.6. दिन के अंत में, निलंब खाते में राशि ‘टीपी’ अथवा व्यापारी को देय राशि के अनुसार ग्राहक से पहले ही संगृहीत राशि से कम नहीं होगी ।

8.7. पीए द्वारा निलंब खाते को स्वयं / व्यापारी की निधियों से प्री-फंड करने की अनुमति होगी। तथापि, बाद के परिदृश्य में, प्री-फंड वाले हिस्से पर व्यापारी का लाभकारी हित बनेगा।

8.8. निलंब खाते का परिचालन ‘कैश-ऑन-डिलीवरी’ लेनदेनों के लिए नहीं किया जाएगा।

8.9. निलंब खाते में अनुमत क्रेडिट/डेबिट नीचे दी गई व्यवस्था के अनुसार होंगे; जहां एक अतिरिक्त निलंब खाता रखा गया है, एक निलंब खाते से दूसरे खाते में क्रेडिट और डेबिट की अनुमति भी होगी। तथापि, जहां तक संभव हो अंतर-निलंब अंतरण से बचना चाहिए और यदि ऐसा करना भी हो तो लेखापरीक्षक के प्रमाणीकरण में ऐसे लेनदेन का स्पष्ट उल्लेख किया जाएगा।

8.9.1.1. क्रेडिट

ए) माल / सेवाओं की खरीद के लिए विभिन्न ग्राहकों से भुगतान।

बी) व्यापारियों/ पीए द्वारा प्री-फंडिंग।

सी) असफल / विवादित / लौटाए गए / रद्द किए गए लेनदेन के लिए रिफंड दर्शाने वाले अंतरण।

डी) विज्ञापन संबंधी गतिविधियों, प्रोत्साहनों, कैश-बैक आदि के अंतर्गत आगे व्यापारी को अंतरित करने हेतु प्राप्त भुगतान।

8.9.1.2. डेबिट

ए) विभिन्न व्यापारियों / सेवा प्रदाताओं को भुगतान।

बी) व्यापारी से प्राप्त विशिष्ट निर्देशों के अनुसार किसी अन्य खाते में भुगतान।

सी) विफल / विवादित लेनदेनों के लिए रिफंड दर्शाने वाला अंतरण ।

डी) मध्यवर्ती संस्थाओं को कमीशन का भुगतान। यह राशि पूर्व निर्धारित दरों / आवृत्ति पर आधारित होगी।

ई) विज्ञापन संबंधी गतिविधियों, प्रोत्साहनों, कैश-बैक आदि के अंतर्गत प्राप्त राशि का भुगतान।

8.10. निलंब खाते में बकाया शेष बैंकों के लिए आरक्षित निधि अपेक्षाओं को पूरा करने हेतु ‘निवल मांग और मीयादी देयताएं’ (एनडीटीएल) का हिस्सा होगी। इस स्थिति की गणना रिपोर्टिंग की तारीख के अनुसार बैंक की बहियों में प्रदर्शित होने वाली शेष राशियों के आधार पर की जाएगी ।

8.11. आरबीआई द्वारा समय-समय पर जारी निर्देशों के अनुपालन के लिए संस्था और निलंब खाता बैंकर जिम्मेदार होंगे। इस संबंध में आरबीआई का निर्णय अंतिम और बाध्यकारी होगा।

8.12. व्यापारियों के साथ निधियों का निपटान पीए द्वारा संभाले जा रहे अन्य व्यवसाय, यदि कोई हो, के साथ मिलाकर नहीं किया जाएगा ।

8.13. प्राधिकृत संस्थाएं लेखापरीक्षक (कों) द्वारा हस्ताक्षरित प्रमाण-पत्र डीपीएसएस, आरबीआई के संबंधित क्षेत्रीय कार्यालय, जहां पीए का पंजीकृत कार्यालय स्थित है, में जमा करेंगी। यह प्रमाण-पत्र सत्यापित करेगा कि इन निर्देशों के अनुसरण में संस्था द्वारा निलंब खाता(तों) में शेष राशि(यों) को अनुबंध 3 में दी गई आवधिकता के अनुसार बनाए रखा जा रहा है। एक अतिरिक्त निलंब खाता रखने की स्थिति में उपर्युक्त प्रमाणन हेतु दोनों खातों की शेष राशियों को शामिल करना होगा। इसे प्रमाण-पत्र में भी दर्शाना होगा। दोनों निलंब खातों की लेखापरीक्षा के लिए एक ही लेखापरीक्षक को काम में लेना होगा।

8.14. पीए अपने द्वारा अधिग्रहित व्यापारियों की सूची उस बैंक को प्रस्तुत करेंगे जहां वे निलंब खाते धारित कर रहे हैं और वे इस सूची को समय-समय पर अद्यतन करेंगे। बैंक यह सुनिश्चित करेगा कि भुगतान केवल पात्र व्यापारियों / प्रयोजनों के लिए किए जा रहे हैं। पीए और निलंब खाते वाले बैंक के बीच हस्ताक्षरित करार में एक विशेष खंड होगा, जो यह शामिल करेगा कि निलंब खाते में पड़ी शेष राशि का उपयोग केवल ऊपर बताए गए उद्देश्यों के लिए ही किया जाएगा।

8.15. निलंब खाते में रखी गई शेष राशि पर बैंक द्वारा कोई ब्याज देय नहीं होगा, सिवाय इसके कि जब पीए निलंब खाते वाले बैंक के साथ इस बात का करार कर ले कि निलंब खाते में पड़ी राशि के ‘कोर पोर्शन’ को किसी अलग खाते में अंतरित किया जाएगा जिसपर ब्याज देय है। यह निम्नलिखित शर्तों पर आधारित होगा :

8.15.1. बैंक आवश्यक दस्तावेजों के सत्यापन के बाद स्वयं को संतुष्ट करेगा कि जमा की गई राशि ‘कोर पोर्शन’ को दर्शाती है।

8.15.2. इस राशि को निलंब खाते से लिंक करना होगा, अर्थात ब्याज-धारित करने वाले खाते में रखी गई राशियां, निलंब खाते में राशि कम पड़ने की स्थिति में, संस्था की भुगतान जरूरतों को पूरा करने के लिए बैंक के पास उपलब्ध रहेंगी।

8.15.3. यह सुविधा उन संस्थाओं के लिए मान्य होगी जो 26 पखवाड़े से व्यापार में हैं और जिनके खातों की संपूर्ण विधिवत लेखापरीक्षा पूरे लेखा-वर्ष के लिए किया गया है। इस प्रयोजन के लिए, 26 पखवाड़े की गणना खाते में वास्तविक व्यवसाय परिचालन की तारीख से की जाएगी।

8.15.4. ऐसी जमा-राशियों पर किसी भी ऋण की अनुमति नहीं है। इस रूप में रखी गई जमा-राशियों के लिए बैंक न तो कोई जमा रसीद जारी करेंगे और न ही इनपर कोई लियन अंकित करेंगे।

8.15.5. निलंब खातों में से प्रत्येक के लिए ‘कोर पोर्शन’ की गणना अलग से करनी होगी और इसे संबंधित निलंब खाते से लिंक करके रखना होगा। निलंब खाते में शेष राशि और बरकरार रखे गए ‘कोर पोर्शन’ को तिमाही और वार्षिक आधार पर आरबीआई को प्रस्तुत लेखापरीक्षकों के प्रमाण-पत्र में स्पष्ट रूप प्रकट करना होगा।

नोट: इस विनियमन के उद्देश्य के लिए , ‘कोर पोर्शन’ की गणना निम्नानुसार होगी:

चरण 1: निलंब खाते में न्यूनतम दैनिक बकाया शेष (एलबी) की गणना पाक्षिक आधार (एफएन) पर करनी होगी, जो पिछले महीने से 26 पखवाड़ों के लिए होगी।

चरण 2: न्यूनतम पाक्षिक बकाया शेष के औसत की गणना [(एफएन1 का एलबी1 + एफएन2 का एलबी2 + ........ + एफएन26 का एलबी26) 26 से विभाजित] ।

चरण 3: इस तरह से की गई गणना का औसत शेष ब्याज अर्जित करने के लिए पात्र ‘कोर पोर्शन’ को दर्शाता है।

9. ग्राहक शिकायत निवारण और विवाद प्रबंधन ढांचा

9.1. पीए एक औपचारिक, सार्वजनिक रूप से प्रकट शिकायत निवारण और विवाद प्रबंधन ढांचा, जिसमें ग्राहको की शिकायतों/विवादों को देखने के लिए एक नोडल अधिकारी और एस्कलैशन मैट्रिक्स को नामित किया जाना शामिल है, स्थापित करेगा। शिकायत करने की सुविधा, यदि वेबसाइट / मोबाइल पर उपलब्ध कराई गई है, तक पहुंच स्पष्ट और आसान होगी।

9.2. विनियामक और ग्राहक शिकायत निवारण संबंधी कार्यों को करने के लिए पीए एक नोडल अधिकारी नियुक्त करेगा। ग्राहक शिकायत के लिए नोडल अधिकारी का विवरण अपनी वेबसाइट पर प्रमुखता से प्रदर्शित करना होगा।

9.3. पीए में सभी भागीदारों के लिए बाध्यकारी एक विवाद समाधान तंत्र होगा, जिसमें लेनदेन जीवनचक्र, विवादों के प्रकारों का विस्तृत वर्णन, उनसे निपटने की प्रक्रिया, अनुपालन, सभी पक्षों की जिम्मेदारियां, प्रलेखन, कारण कोड, शिकायक के समाधान की प्रक्रिया, प्रत्येक स्टेज के लिए टर्न-अराउंड टाइम शामिल होगा।

10. सुरक्षा, धोखाधड़ी निवारण और जोखिम प्रबंधन ढांचा

10.1. धोखाधड़ी की चुनौतियों का सामना करने और ग्राहक सुरक्षा सुनिश्चित करने के लिए एक मजबूत जोखिम प्रबंधन प्रणाली आवश्यक है। पीए धोखाधड़ी को रोकने एवं इसका पता लगाने के लिए पर्याप्त सूचना एवं डाटा सुरक्षा इंफ्रास्ट्रक्चर और प्रणाली स्थापित करेगा।

10.2. पीए अपने द्वारा परिचालित भुगतान प्रणाली की सुरक्षा के लिए बोर्ड द्वारा अनुमोदित सूचना सुरक्षा नीति स्थापित करेगा और पता लगाए गए जोखिमों को कम करने के लिए इस नीति के अनुरूप सुरक्षा उपायों को कार्यान्वित करेगा। पीए द्वारा अपनाई जाने वाली बेसलाइन प्रौद्योगिकी-आधारित सिफारिशें अनुबंध 2 में दी गई हैं। पीजी द्वारा भी उन्हें सर्वोत्तम प्रथाओं के रूप में अपनाया जाए।

10.3. पीए साइबर सुरक्षा घटनाओं और उल्लंघनों की निगरानी करने, ​​इन्हें संभालने और इनपर अनुवर्ती कार्रवाई करने के लिए एक तंत्र स्थापित करेगा। इसकी सूचना डीपीएसएस, आरबीआई, केंद्रीय कार्यालय, मुंबई को तुरंत दी जाएगी। सीईआरटी-इन द्वारा अधिसूचित विवरण के अनुसार इन्हें सीईआरटी-इन (इंडियन कंप्यूटर इमरजेंसी रिस्पान्स टीम) को भी सूचित किया जाए।

10.4. ग्राहक कार्ड क्रेडेंशियल्स को पीए अपने डाटाबेस अथवा सर्वर, जिसे मर्चेंट द्वारा एक्सेस किया जाता है, में संगृहीत नहीं करेगा। वे भुगतान प्रणाली परिचालकों (पीएसओ) पर लागू डाटा संग्रहण अपेक्षाओं का अनुपालन करेंगे।

10.5. पीए अपने वित्तीय वर्ष की समाप्ति के दो महीने के भीतर सिस्टम ऑडिट रिपोर्ट डीपीएसएस,आरबीआई के संबंधित क्षेत्रीय कार्यालय को प्रस्तुत करेंगे, जिसमें सीईआरटी-इन द्वारा सूचीबद्ध लेखापरीक्षकों द्वारा आयोजित साइबर सुरक्षा लेखापरीक्षा भी शामिल है।

11. रिपोर्ट

11.1. अधिकृत पीए द्वारा प्रस्तुत की जाने वाली रिपोर्टें अनुबंध 3 में सूचीबद्ध हैं ।

12. सामान्य निर्देश

12.1. पीए यह सुनिश्चित करेंगे कि मर्चेंट डिस्काउंट रेट (एमडीआर) के संबंध में मौजूदा निर्देशों का पालन किया जा रहा है। भारित किए जाने वाले अन्य शुल्क, यदि कोई हो, जैसे कि सुविधा शुल्क, हैंडलिंग शुल्क आदि से संबंधित जानकारी पीए अग्रिम रूप में प्रदर्शित करेंगे।

12.2. किसी विशेष भुगतान मोड के लिए पीए लेनदेन राशि पर सीमाएं निर्धारित नहीं करेंगे। यह जिम्मेदारी जारीकर्ता बैंक/संस्था की होगी; उदाहरणस्वरूप, कार्ड जारी करने वाला बैंक ग्राहक की ऋण-पात्रता, व्यय की प्रकृति, प्रोफाइल आदि के आधार पर इसके द्वारा जारी किए गए कार्डों पर राशि की सीमा निर्धारित करने के लिए जिम्मेदार होगा।

12.3. पीए कार्ड-नॉट-प्रेजेंट लेनदेनों के लिए प्रमाणीकरण के एक फैक्टर के रूप में एटीएम पिन का कोई विकल्प नहीं देंगे।

12.4. सभी रिफंड भुगतान की मूल विधि को किए जाएंगे, जब तक कि ग्राहक द्वारा वैकल्पिक मोड में क्रेडिट के लिए विशेष रूप से सहमति नहीं दी जाती है।

अनुबंध 2

बेसलाइन प्रौद्योगिकी-आधारित सिफारिशें

पीए (अनिवार्य) और पीजी (अनुशंसित) द्वारा अंगीकृत की जाने वाली सांकेतिक बेसलाइन प्रौद्योगिकी-आधारित सिफारिशें निम्नलिखित हैं:

1. सुरक्षा संबंधी सिफारिशें

आईटी प्रणालियों और सुरक्षा के संदर्भ में संस्थाओं की आवश्यकताएं नीचे दी गई हैं:

1.1. सूचना सुरक्षा अभिशासन: संस्थाएं कम से कम अपने लोगों, आईटी, व्यवसाय प्रक्रिया वातावरण आदि का व्यापक सुरक्षा जोखिम मूल्यांकन करेंगी, ताकि उपचारात्मक उपायों और अवशिष्ट जोखिमों के साथ जोखिम एक्स्पोज़र की पहचान की जा सके। ये किसी स्वतंत्र सुरक्षा लेखापरीक्षक अथवा सीईआरटी-इन द्वारा सूचीबद्ध लेखापरीक्षक द्वारा की गई आंतरिक सुरक्षा लेखापरीक्षा अथवा वार्षिक सुरक्षा लेखापरीक्षा हो सकती हैं। जोखिम मूल्यांकन, सुरक्षा अनुपालन की स्थिति, सुरक्षा लेखापरीक्षा रेपोर्टें और सुरक्षा घटनाएं बोर्ड के समक्ष प्रस्तुत की जाएंगी।

1.2. डाटा सुरक्षा मानक: डाटा सुरक्षा मानकों और सर्वोत्तम प्रथाओं जैसे पीसीआई-डीएसएस, पीए-डीएसएस, नवीनतम एन्क्रिप्शन मानकों, परिवहन चैनल सुरक्षा, आदि को लागू किया जाएगा।

1.3. सुरक्षा घटना की सूचना: संस्थाएं निर्धारित समय-सीमा के भीतर आरबीआई को सुरक्षा घटनाएं/कार्ड धारक डाटा उल्लंघनों की सूचना देंगी। मूल कारण विश्लेषण और निवारक कार्रवाई के साथ मासिक साइबर सुरक्षा घटना रिपोर्ट आरबीआई को प्रस्तुत की जाएगी।

1.4. मर्चेंट ऑनबोर्डिंग: संस्थाएं व्यापारी ऑनबोर्डिंग प्रक्रिया के दौरान व्यापक सुरक्षा मूल्यांकन करेंगी, ताकि यह सुनिश्चित हो सके कि इन न्यूनतम बेसलाइन सुरक्षा नियंत्रणों का व्यापारियों द्वारा अनुपालन किया गया है।

1.5. साइबर सुरक्षा लेखापरीक्षा और रिपोर्टें: संस्थाएं तिमाही आंतरिक और वार्षिक बाहरी लेखापरीक्षा रिपोर्टें; द्वि-वार्षिक सुभेद्यता मूल्यांकन / व्यापन परीक्षण (वीएपीटी) रेपोर्टें; अनुपालन का सत्यापन (एओसी) सहित पीसीआई-डीएसएस और रिपोर्ट ऑफ कंप्लाएंस (आरओसी) अनुपालन रिपोर्ट के साथ नोट किए गए आब्ज़र्वेशन, यदि कोई हो, जिसमें कार्रवाई बंद करने की तारीख सहित योजनाबद्ध सुधारात्मक/निवारक कार्रवाई शामिल है; उन एप्लिकेशनों की सूची, जो ग्राहक के संवेदनशील डाटा को संचित अथवा प्रसंस्कृत अथवा संचारित करते हैं; कार्ड धारक के डाटा को संगृहीत अथवा प्रसंस्कृत करने वाले भुगतान एप्लिकेशनों की पीए-डीएसएस अनुपालन स्थिति, तैयार करेंगी और इन्हें आईटी समिति के समक्ष प्रस्तुत करेंगी ।

1.6. सूचना सुरक्षा: बोर्ड अनुमोदित सूचना सुरक्षा नीति की कम से कम वार्षिक समीक्षा की जाएगी। यह नीति व्यावसायिक उद्देश्यों के साथ संरेखण; नीति का उद्देश्य, दायरा, स्वामित्व और इसकी जिम्मेदारी; सूचना सुरक्षा संगठनात्मक संरचना; सूचना सुरक्षा भूमिकाएं और जिम्मेदारियां; आस्ति सूची और रजिस्टरों का रख-रखाव; डाटा वर्गीकरण; प्राधिकरण; अपवाद; अपेक्षित ज्ञान और कौशल सेट; आवधिक प्रशिक्षण और निरंतर व्यावसायिक शिक्षा; नीतियों के अननुपालन के लिए अनुपालन समीक्षा और दंडात्मक उपाय जैसे पहलुओं पर विचार करेगी।

1.7. आईटी अभिशासन: आईटी कार्यों के नियमित प्रबंधन के लिए एक आईटी नीति तैयार की जाएगी और यह सुनिश्चित किया जाएगा कि प्रक्रियाओं और दिशानिर्देशों के संदर्भ में विस्तृत प्रलेखन मौजूद हैं और इन्हें लागू किया गया है। रणनीतिक योजना और नीति की वार्षिक समीक्षा की जाएगी। बोर्ड स्तरीय आईटी अभिशासन ढांचा निम्नानुसार होगा-

1.7.1. बोर्ड का जुड़ाव: बोर्ड / शीर्ष प्रबंधन की प्रमुख भूमिका में सूचना सुरक्षा नीतियों को मंजूरी देना, सूचना सुरक्षा के लिए आवश्यक संगठनात्मक प्रक्रियाओं / कार्यों को स्थापित करना और आवश्यक संसाधन उपलब्ध कराना शामिल होगा।

1.7.2. आईटी संचालन समिति: विभिन्न व्यावसायिक कार्यों, जैसा कि उचित हो, से प्रतिनिधित्व सहित एक आईटी संचालन समिति बनाई जाएगी। बोर्ड द्वारा अनुमोदित आईटी रणनीति को लागू करने में समिति द्वारा कार्यपालक प्रबंधन की सहायता की जाएगी। इसमें अच्छी तरह से परिभाषित उद्देश्य और कार्य शामिल होंगे।

1.7.3. एंटरप्राइज सूचना मॉडल: बोर्ड द्वारा अनुमोदित आईटी रणनीति के अनुरूप, एप्लिकेशन के विकास और निर्णय-समर्थन गतिविधियों को सक्षम करने के लिए संस्थाएं एंटरप्राइज सूचना मॉडल स्थापित करेंगी और इसे बनाए रखेंगी। यह मॉडल व्यवसाय द्वारा इष्टतम निर्माण, उपयोग और जानकारी को साझा करने की सुविधा इस तरह से प्रदान करेगा कि यह अखंडता बरकरार रखता हो और विफलता के प्रति लचीला, कार्यात्मक, समयबद्ध, सुरक्षित और आघात-सह हो।

1.7.4. साइबर संकट प्रबंधन योजना: संस्थाएं आईटी रणनीतिक समिति द्वारा अनुमोदित एक व्यापक साइबर संकट प्रबंधन योजना तैयार करेंगी और इसमें पहचान करने, नियंत्रण, प्रतिक्रिया और रिकवरी जैसे घटक शामिल होंगे।

1.8. एंटरप्राइज डाटा डिक्शनरी: संस्थाएं संगठन के डाटा सिंटैक्स नियमों को शामिल करते हुए ‘एंटरप्राइज डाटा शब्दकोश’ रखेंगी। यह सभी एप्लिकेशनों और प्रणालियों में डाटा साझा करने में सक्षम बनाएगा, सभी आईटी और व्यावसायिक उपयोगकर्ताओं में डाटा की सामान्य समझ को बढ़ावा देगा और असंगत डाटा तत्वों के निर्माण को रोकेगा।

1.9. जोखिम मूल्यांकन: जोखिम मूल्यांकन, किसी व्यवसाय, अनुपालन और / अथवा संविदा के दृष्टिकोण से, प्रत्येक आस्ति के लिए इसके दायरे में, खतरे / भेद्यता संयोजनों और उस आस्ति की गोपनीयता, उपलब्धता या अखंडता पर प्रभाव की संभावना की पहचान करेगा ।

1.10. एप्लिकेशन तक पहुंच: किसी एप्लिकेशन प्रणाली को चलाने के लिए प्रलेखित मानक / प्रक्रियाएं होंगी, जिन्हें एप्लिकेशन के स्वामी द्वारा अनुमोदित और अद्यतन किया गया हो। एप्लिकेशन तक पहुंच न्यूनतम विशेषाधिकार और जॉब संबंधी जिम्मेदारियों के अनुरूप ‘जानने की आवश्यकता’ के सिद्धांत पर आधारित होगी।

1.11. स्टाफ की योग्यता: मानव संसाधन के लिए प्रशिक्षण आवश्यकताओं के आवधिक मूल्यांकन के साथ आईटी कार्य के लिए अनिवार्य कौशल सेट सहित प्रशिक्षित संसाधनों की आवश्यकताओं को उचित रूप से समझा जाना चाहिए और उनका मूल्यांकन किया जाना चाहिए।

1.12. विक्रेता जोखिम प्रबंधन: बीसीपी-डीआर और डाटा प्रबंधन सहित प्रौद्योगिकी समर्थन के लिए सेवा स्तरीय समझौतों (एसएलए) में इन सेट-अप तक विनियामक पहुंच की अनुमति देने संबंधी खंड श्रेणीवार शामिल होंगे।

1.13. परिपक्वता और रोडमैप: संस्थाएं अपने आईटी परिपक्वता स्तर, विख्यात अंतरराष्ट्रीय मानकों पर आधारित, का आकलन करने, एक कार्य योजना तैयार करने और अपेक्षित परिपक्वता स्तर तक पहुंचने के लिए योजना को लागू करने पर विचार करेंगी।

1.14. क्रिप्टोग्राफिक आवश्यकता: संस्थाएं वैसे एन्क्रिप्शन एल्गोरिदम का चयन करेंगी जो अच्छी तरह से स्थापित अंतरराष्ट्रीय मानक के हैं और जिन्हें क्रिप्टोग्राफ़रों के किसी अंतरराष्ट्रीय समुदाय द्वारा सख्ती से परखा गया है अथवा आधिकारिक पेशेवर निकायों, प्रतिष्ठित सुरक्षा विक्रेताओं अथवा सरकारी एजेंसियों द्वारा अनुमोदित किया गया है।

1.15. फोरेंसिक तैयारी: संस्थाओं के इंफ्रास्ट्रक्चर से सुरक्षा संबंधी सभी घटनाओं, जिसमें एप्लिकेशन, सर्वर, मिडलवेयर, एंडपॉइंट, नेटवर्क, प्रमाणीकरण इवेंट्स, डाटाबेस, वेब सेवाएं, क्रिप्टोग्राफ़िक इवेंट्स और लॉग फाइलें शामिल हैं, लेकिन ये इन्हीं तक सीमित नहीं हैं, को सुरक्षा अलर्ट की अग्रसक्रिय पहचान हेतु संगृहीत किया जाएगा, इनकी जांच की जाएगी और इनका मूल्यांकन किया जाएगा।

1.16. डाटा संप्रभुता: संस्थाएं यह निवारक उपाय करेंगी कि इंफ्रास्ट्रक्चर में संगृहीत किया जाने वाला डाटा बाहरी क्षेत्राधिकारों से संबंधित नहीं हैं। डाटा तक अनधिकृत पहुंच को रोकने के लिए उपयुक्त नियंत्रणों पर विचार किया जाएगा ।

1.17. आउटसोर्सिंग में डाटा सुरक्षा: संस्थाओं / उनके द्वारा नियुक्त एजेंसियों और नियामकों को सुरक्षा लेखापरीक्षा करने हेतु सक्षम बनाने के लिए 'ऑडिट का अधिकार' खंड शामिल करने वाला एक आउटसोर्सिंग करार करना होगा। वैकल्पिक रूप से, तृतीय पक्ष संस्थाएं स्वतंत्र वार्षिक सुरक्षा लेखापरीक्षा रिपोर्टें प्रस्तुत करेंगी।

1.18. भुगतान एप्लिकेशन सुरक्षा: भुगतान एप्लिकेशनों को पीए-डीएसएस के दिशानिर्देशों के अनुसार विकसित किया जाएगा और आवश्यकतानुसार इनका अनुपालन किया जाएगा। व्यापारी ऑनबोर्डिंग प्रक्रिया के हिस्से के रूप में संस्थाएं पीसीआई-डीएसएस अनुपालन की स्थिति की समीक्षा करेंगी।

2. अन्य सिफारिशें

2.1 ग्राहक कार्ड क्रेडेंशियल मर्चेंट द्वारा एक्सेस किए गए डाटाबेस या सर्वर में संगृहीत नहीं किया जाएगा।

2.2 कार्ड नॉट प्रेजेंट लेनदेनों के लिए प्रमाणीकरण के एक फैक्टर के रूप में एटीएम पिन का कोई विकल्प नहीं दिया जाएगा।

2.3 भुगतान प्रणाली डाटा के संग्रहण पर निर्देश, जैसा कि पीएसओ पर लागू हैं, लागू होंगे।

2.4 सभी रिफंड भुगतान की मूल विधि को किए जाएंगे, जब तक कि ग्राहक द्वारा वैकल्पिक मोड में क्रेडिट के लिए विशेष रूप से सहमति नहीं दी जाती है।

अनुबंध 3

प्राधिकृत भुगतान एग्रीगेटर द्वारा प्रस्तुत की जाने वाली रिपोर्टें

वार्षिक

1. निवल मालियत प्रमाण-पत्र – निवल मालियत पर सीए प्रमाण-पत्र सहित लेखापरीक्षित वार्षिक रिपोर्ट – 30 सितंबर तक (अनुबंध 3.1) ।

2. नोट की गई टिप्पणियां, यदि कोई हो, सहित आईएस लेखापरीक्षा रिपोर्ट और साइबर सुरक्षा लेखापरीक्षा रिपोर्ट जिसमें समापन की तारीख के साथ योजनाबद्ध सुधारात्मक/निवारक कार्रवाई शामिल हो – बाहर से लेखापरीक्षित – 31 मई तक । लेखा परीक्षा का दायरा सूचना प्रणाली प्रक्रियाओं और एप्लिकेशनों के सभी प्रासंगिक क्षेत्रों को शामिल करेगा।

तिमाही

1. निलंब खाते में शेष राशि बनाए रखने संबंधी लेखापरीक्षकों का प्रमाण-पत्र – समाप्त तिमाही के आगामी माह की 15 तारीख तक । (अनुबंध 3.2) ।

2. निलंब खाते से संबंधित डेबिट और क्रेडिट पर बैंकर का प्रमाण-पत्र - आंतरिक रूप से लेखापरीक्षित - समाप्त तिमाही के आगामी माह की 15 तारीख तक ।

मासिक

1. निपटाए गए लेनदेन के आंकड़े – आगामी माह की 7 तारीख तक (अनुबंध 3.3) ।

गैर-आवधिक

1. निदेशक द्वारा घोषणा और वचन-पत्र - निदेशक मंडल में परिवर्तन – जब कभी होता है (अनुबंध 3.4) ।

2. अनुबंध 1 के पैरा 3.6 के अनुपालन में बैंकों से रिपोर्ट – 15 अप्रैल 2021 तक एक बार भेजी जाने वाली रिपोर्ट।

3. साइबर सुरक्षा घटना रिपोर्ट - मूल कारण विश्लेषण और की गई निवारक कार्रवाई के साथ – घटना वाले माह के आगामी माह की 7 तारीख तक ।