भारतीय रिजर्व बैंक ने 'भुगतान प्रणाली डाटा का संग्रहण' पर दिनांक 06 अप्रैल 2018 के परिपत्र डीपीएसएस.सीओ.ओडी.सं.2785/06.08.005/2017-18 के अंतर्गत एक निर्देश जारी किया था जिसमें सभी प्रणाली प्रदाताओं को यह सूचित किया गया था कि वे इस बात को सुनिश्चित करें कि छ: महीने की अवधि के भीतर स्वयं के द्वारा परिचालित भुगतान प्रणालियों से संबंधित संपूर्ण डेटा केवल भारत में ही एक प्रणाली में संग्रहीत किया जाए।
भुगतान प्रणाली प्रदाताओं (पीएसओ) ने भारतीय रिजर्व बैंक से समय-समय पर कतिपय कार्यान्वयन संबंधी मामलों पर स्पष्टीकरण मांगा है। इस अक्सर पूछे जाने वाले प्रश्न का उद्देश्य उन मुद्दों पर स्पष्टता प्रदान करना और सभी पीएसओ द्वारा त्वरित अनुपालन सुनिश्चित करना है।
1. निर्देश की प्रयोज्यता
-
ये निर्देश उन भुगतान प्रणाली प्रदाताओं पर लागू होंगे जिन्हें भुगतान और निपटान प्रणाली अधिनियम, 2007 के अंतर्गत भारत में भुगतान प्रणाली स्थापित और परिचालित करने के लिए भुगतान और निपटान प्रणाली अधिनियम, 2007 के अंतर्गत भारतीय रिज़र्व बैंक द्वारा प्राधिकृत / अनुमोदित किया गया है।
-
बैंक जो भुगतान प्रणाली के परिचालक के रूप में या भुगतान प्रणाली में सहभागी के रूप में कार्य करते हैं। वे निम्नलिखित में सहभागी होते हैं (i) भारतीय रिज़र्व बैंक द्वारा परिचालित भुगतान प्रणालियों जैसे कि आरटीजीएस और एनईएफटी, (ii) सीसीआईएल और एनपीसीआई द्वारा परिचालित प्रणालियों में, और (iii) कार्ड योजनाओं में। अत: यह निर्देश भारत में परिचालित सभी बैंकों पर लागू हैं।
-
यह निर्देश भुगतान ईकोसिस्टम में प्रणाली प्रतिभागियों, सेवा प्रदाताओं, मध्यवर्ती संस्थाओं, भुगतान गेटवे, तीसरे पक्ष के विक्रेताओं और अन्य संस्थाओं (जिस किसी भी नाम से निर्दिष्ट किया गया है) जिन्हें प्राधिकृत /अनुमोदित संस्थाओं द्वारा भुगतान सेवाओं को प्रदान करने के लिए यथावत अथवा संलिप्त रखा गया है, के माध्यम से किए गए लेनदेन के संबंध में भी लागू होते हैं।
-
इन निर्देशों के प्रावधानों का अनुपालन सुनिश्चित करने का उत्तरदायित्व प्राधिकृत /अनुमोदित पीएसओ पर होगा ताकि यह सुनिश्चित किया जा सके कि इस तरह के आंकड़े केवल उपर्युक्त निर्देशों के अंतर्गत भारत में ही संग्रहीत किए जाएँ।
2. भुगतान डेटा कहाँ संग्रहीत किया जाना चाहिए?
संपूर्ण भुगतान डेटा केवल भारत में स्थित प्रणालियों में संग्रहीत किया जाएगा, यहाँ स्पष्ट किए गए मामलों को छोडकर ।
3. भारत में संग्रहीत किए जाने वाले आंकड़ों से संबंधित स्पष्टीकरण
आंकड़ों में सम्पूर्ण लेनदेन संबंधी विवरण और भुगतान या निपटान लेनदेन से संबंधित जानकारी जिसे भुगतान मैसेज/अनुदेश के हिस्से के रूप में एकत्रित / प्रेषित / प्रसंस्कृत किया गया है, शामिल होना चाहिए। इसमें अन्य बातों के साथ-साथ ग्राहक संबंधी आंकड़े (नाम, मोबाइल नंबर, ईमेल, आधार संख्या, पैन नंबर, आदि यथा लागू); भुगतान संवेदनशील आंकड़े (ग्राहक और लाभग्राही खाता विवरण); भुगतान क्रेडेंशियल (ओटीपी, पिन, पासवर्ड, आदि); और लेनदेन संबंधी आंकड़े (उत्पन्न होने वाली और गंतव्य प्रणाली संबंधी सूचना, लेनदेन संदर्भ, टाइमस्टैम्प, राशि, आदि) शामिल हैं।
4. सीमा पारीय लेनदेन से संबंधित आंकड़ों का भंडारण
सीमा पारीय लेनदेन संबंधी आंकड़ा जो विदेशी घटक और घरेलू घटक से मिलकर बना है, घरेलू घटक की एक प्रति भी विदेशों में संग्रहीत की जा सकती है, यदि आवश्यक हो।
5. भुगतान लेनदेन का प्रसंस्करण
-
पीएसओ द्वारा वांछित होने पर भारत के बाहर भुगतान लेनदेन के प्रसंस्करण पर कोई रोक नहीं है। तथापि, प्रसंस्करण के बाद डेटा केवल भारत में संग्रहीत किया जाएगा। संपूर्ण एंड -टू – एंड लेनदेन संबंधी विवरण, डेटा का हिस्सा होना चाहिए।
-
यदि प्रसंस्करण विदेश में किया जाता है तो डेटा को विदेश में सिस्टम से हटा दिया जाना चाहिए और भुगतान के प्रसंस्करण से 24 घंटे अथवा एक कारोबारी दिवस, जो भी पहले हो, के भीतर भारत में वापस लाया जाना चाहिए। वह केवल भारत में संग्रहीत किया जाएगा।
-
तथापि, बाद में की जाने वाली किसी गतिविधि जैसे कि भुगतान प्रसंस्करण के बाद निपटान प्रसंस्करण, यदि भारत के बाहर किया जाता है, तो इसे लगभग वास्तविक समय के आधार पर किया जाएगा। डेटा केवल भारत में संग्रहीत किया जाएगा।
-
किसी भी अन्य संबंधित प्रसंस्करण गतिविधि, जैसे चार्जबैक आदि के मामले में, डेटा को किसी भी समय, भारत से, जहां इसे संग्रहीत किया गया है, वहाँ से यह प्राप्त किया जा सकता है।
6. क्या ग्राहक विवाद समाधान / चार्जबैक की विंडो उपलब्ध रहने तक विदेश में प्रसंस्कृत डेटा को विदेश में रखा जा सकता है?
जैसा कि ऊपर बताया गया है, प्रोसेसिंग के लिए विदेश भेजे गए भुगतान डेटा को निर्धारित समय सीमा के भीतर विदेश में हटा दिया जाना चाहिए और उसे केवल भारत में संग्रहीत किया जाना चाहिए। भारत में संग्रहीत डेटा को ग्राहक विवादों को निपटाने के लिए जब भी आवश्यकता हो, देखा / प्राप्त किया जा सकता है।
7. क्या भुगतान प्रणाली डेटा को विदेशी नियामकों के साथ साझा किया जा सकता है?
आरबीआई के उचित अनुमोदन के साथ लेनदेन की प्रकृति / उत्पत्ति के आधार पर, डेटा को विदेशी नियामक के साथ साझा किया जा सकता है।
8. सिस्टम ऑडिट रिपोर्ट (एसएआर) का दायरा और व्यापकता
एक सीईआरटी-इन एम्पैनल्ड ऑडिटर की सिस्टम ऑडिट रिपोर्ट (एसएआर) में अन्य बातों के साथ-साथ डेटा स्टोरेज, डेटाबेस का रखरखाव, डेटा बैकअप बहाली, डेटा सुरक्षा इत्यादि शामिल होना चाहिए।
9. विदेशों में बैंकिंग डेटा को संग्रहीत करने की अनुमति प्राप्त संस्थाओं के संबंध में स्पष्टीकरण?
बैंकों, विशेष रूप से विदेशी बैंकों के मामले में जिन्हें पूर्व में विशेष रूप से विदेशों में बैंकिंग डेटा को संग्रहीत करने की अनुमति दी गई थी, वे ऐसा करना जारी रख सकते हैं; तथापि, घरेलू भुगतान लेनदेन के संबंध में, डेटा केवल भारत में संग्रहीत किया जाएगा, जबकि सीमा पारीय भुगतान लेनदेन के लिए, डेटा को विदेश में भी संग्रहीत किया जा सकता है जैसा कि पहले निर्दिष्ट किया गया था। |