अधिसूचनाएं

इलेक्ट्रॉनिक भुगतान लेनदेनों में सुरक्षा संबंधी और जोखिम को कम करने के उपाय

भारतीय रिजर्व बैंक / 2012/13/424
डीपीएसएस (सीओ) पीडी सं. 1462 /02.14.003 /2012-13

28 फरवरी, 2013

अध्यक्ष एवं प्रबंध निदेशक / मुख्य कार्यपालक अधिकारी
क्षेत्रीय ग्रामीण बैंकों सहित सभी अनुसूचित वाणिज्यिक बैंक/ शहरी सहकारी बैंक /
राज्य सहकारी बैंक / जिला केंद्रीय सहकारी बैंक/
प्राधिकृत कार्ड भुगतान नेटवर्क

महोदय / महोदया,

इलेक्ट्रॉनिक भुगतान लेनदेनों में सुरक्षा संबंधी और जोखिम को कम करने के उपाय

वैकल्पिक भुगतान उत्पादों / चैनलों के माध्यम से किए जाने वाले भुगतान ग्राहकों के बीच लोकप्रिय होते जा रहे हैं और ज्यादा से ज्यादा बैंक अपने ग्राहकों को ये सुविधाएं प्रदान कर रहे हैं । एक ओर जहां बैंकों के इस कदम से इलेक्ट्रॉनिक भुगतान को बढ़ावा मिलता है वहीं दूसरी ओर यह बात भी अनिवार्य हो जाती है कि बैंक इस बात को सुनिश्चित करें कि ऐसे चैनलों के माध्यम से होने वाले लेनदेन सुरक्षित और प्रतिरक्षित हैं और इनमें आसानी से धोखाधड़ी नहीं की जा सकती है। इस प्रकार की एक पहल भारतीय रिजर्व बैंक द्वारा की गई है जिसमें सभी कार्ड नॉट प्रेजेंट (सीएनपी) लेनदेनों के लिए प्रमाणीकरण के एक अतिरिक्त कारक को अनिवार्य किया गया था। भारतीय रिजर्व बैंक द्वारा कार्ड प्रेजेंट लेनदेनों को सुरक्षित बनाने के संबंध में कार्य दल की सिफ़ारिशों के कार्यान्वयन के माध्यम से कार्ड प्रेजेंट लेनदेनों की सुरक्षा भी शुरू की गई है। बैंकों ने ऑनलाइन निधि अंतरण उपलब्ध करने के लिए इससे संबन्धित तंत्र और प्रमाणीकरण करने संबंधी व्यवस्था भी स्थापित की है जैसे : (i) इंटरनेट / मोबाइल बैंकिंग के लिए ग्राहकों के नाम दर्ज करना; (ii) ग्राहक द्वारा लाभार्थी का नाम जोड़ना; (iii) लेनदेन करते समय वेलोसिटी चेक इत्यादि।

2. साइबर हमलों के और अधिक अप्रत्याशित होने और इलेक्ट्रॉनिक भुगतान प्रणाली के दुरुपयोग के नए-नए तरीकों के चलते यह अनिवार्य हो जाता है कि बैंक ऐसे हमलों के प्रभावों को कम करने और नुकसान न होने देने /कम करने के लिए कतिपय न्यूनतम नियंत्रण और रक्षोपाय लागू करें। तदनुसार, बैंकों से यह अपेक्षित है कि वे निम्नानुसार सुरक्षा और जोखिम नियंत्रण उपायों को लागू करें:

ए. कार्ड भुगतान लेनदेनों को सुरक्षित करना

(i) सभी नए डेबिट और क्रेडिट कार्डों को केवल घरेलू उपयोग के लिए ही जारी किया जाए जब तक कि ग्राहक द्वारा इसके अंतरराष्ट्रीय उपयोग के लिए विशेष रूप से मांग न की जाए। ऐसे कार्ड जो अंतर्राष्ट्रीय स्तर पर उपयोग किए जाने हेतु सक्षम होंगे उन्हें अनिवार्य रूप से ईएमवी चिप और पिन समर्थित होना होगा। (30जून, 2013 तक)

(ii) जारीकर्ता बैंकों को उन सभी ग्राहकों के सभी मौजूदा मैगस्ट्रिप कार्डों के बदले ईएमवी चिपकार्ड प्रदान करने चाहिए जिन्होंने अपने कार्ड का उपयोग अंतर्राष्ट्रीय स्तर पर कम से कम एक बार किया है (ई–कामर्स/एटीएम/पीओएस के माध्यम से/के लिए)। (30 जून, 2013 तक)

(iii) बैंकों द्वारा जारी किए गए सभी सक्रिय मैगस्ट्रिप अंतर्राष्ट्रीय कार्डों की अंतर्राष्ट्रीय उपयोग के लिए अधिकतम सीमा निर्धारित होनी चाहिए। यह सीमा ग्राहक के जोखिम प्रोफाइल के आधार पर और ग्राहक द्वारा स्वीकार की गई सीमा के आधार पर बैंकों द्वारा निर्धारित की जानी चाहिए (30 जून, 2013 तक)। जब तक यह प्रक्रिया समाप्त नहीं हो जाती है, तब तक ऐसे सभी डेबिट कार्ड और क्रेडिट कार्ड जिनसे पूर्व में अंतरराष्ट्रीय लेन – देन नहीं किया गया है के संबंध में सर्वग्राही सीमा (उदाहरणार्थ 500 अमरीकी डालर से अधिक नहीं) जो कि प्रत्येक बैंक द्वारा निर्धारित की जाएगी।

(iv) बैंकों को इस बात को भी सुनिश्चित करना चाहिए कि कार्ड से भुगतान प्राप्त करने के लिए व्यापारियों के यहाँ लगाए गए टर्मिनलों (दो बार स्वाइप करने वाले टर्मिनलों सहित) को पीसीआई-डीएसएस (भुगतान कार्ड उद्योग - डाटा सुरक्षा मानक) और पीए डीएसएस (पेमेंट एप्लीकेशन्स- डाटा सुरक्षा मानक) के संबंध में प्रमाणित किया गया हो (30 जून, 2013 तक)।

(v) बैंकों को धोखाधड़ी रोकने के लिए ग्राहकों के द्वारा कार्ड के माध्यम से किए जाने वाले लेनदेन की प्रवृत्ति के आधार प्राधिकृत कार्ड भुगतान नेटवर्क के साथ समन्वय करके नियम बनाने चाहिए। यह धोखाधड़ी की रोकथाम के उपाय के रूप में कार्य करेगा (30 जून, 2013 तक)।

(vi) बैंकों को यह सुनिश्चित करना चाहिए कि अधिग्राहक (acquiring) बुनियादी ढांचा जो कि वर्तमान में आईपी (इंटरनेट प्रोटोकॉल) आधारित सल्यूशन्स पर परिचालित किये जाते हैं उसे अनिवार्य रूप से पीसीआई-डीएसएस (भुगतान कार्ड उद्योग - डाटा सुरक्षा मानक) और पीए डीएसएस (पेमेंट एप्लीकेशन्स- डाटा सुरक्षा मानक) प्रमाणीकरण प्राप्त होना चाहिए। इसमें अधिग्राहक, प्रोसेसर / एग्रीगेटर और बड़े व्यापारी को शामिल होने चाहिए (30 जून, 2013 तक)।

(vii) बैंकों को जल्द से जल्द वास्तविक समय (real time) धोखाधड़ी निगरानी प्रणाली की दिशा में कदम बढ़ाने चाहिए।

(viii) बैंकों द्वारा ग्राहकों को अपने कार्ड को ब्लॉक करने और उसके जवाब में पुष्टि मिलने के आसान तरीके (एसएमएस की तरह) प्रदान करना चाहिए।

(ix) बैंकों को ऐसी प्रणाली अपनानी चाहिए जिसमें भारत में जारी और अंतर्राष्ट्रीय स्तर पर (विदेशों में स्थित बैंकों द्वारा अधिग्रहीत लेनदेन) इस्तेमाल किए जाने वाले कार्डों के प्रमाणीकरण के अतिरिक्त कारक के कार्यान्वयन की अतिरिक्त सुविधा हो।

(X) बैंकों को उक्त (v) में बनाए गए नियमों के आधार पर कार्ड भुगतान नेटवर्क के साथ समन्वयन के माध्यम से कॉल रेफरल1 की प्रणाली का निर्माण करना चाहिए।

बी. इलेक्ट्रॉनिक भुगतान लेनदेनों को सुरक्षित बनाना

भुगतान के इलेक्ट्रॉनिक मोड जैसे आरटीजीएस, एनईएफटी और आईएमपीएस निधि अंतरण के channel agnostic mode (चैनल एग्नोस्टिक मोड ) के रूप में उभरे हैं। इंटरनेट बैंकिंग चैनल के माध्यम से ये काफी प्रचलित हुए हैं इसलिए यह अनिवार्य हो जाता है कि इस तरह के डिलिवरी चैनल भी सुरक्षित और प्रतिरक्षित हों। इस संबंध में बैंकों द्वारा किए जाने वाले अतिरिक्त उपाय निम्नलिखित हैं:

(i) लेनदेनों/लाभार्थियों के मूल्य/मोड की अंतिम सीमा (कैप) निर्धारित करने के लिए ग्राहक द्वारा बताए गए विकल्पों को उपलब्ध कराया जा सकता है। यदि ग्राहक कैप को बढ़ाना चाहता है तो उससे अतिरिक्त प्राधिकरण देने पर जोर दिया जा सकता है।

(ii) प्रत्येक खाते में एक दिन में जोड़े जा सकने वाले लाभार्थियों की संख्या की सीमा को निर्धारित करने पर विचार किया जा सकता है।

(iii) जब एक लाभार्थी जोड़ा जाता है तो चेतावनी (alerts) देने की प्रणाली शुरू की जानी चाहिए।

(iv) बैंक, प्रति दिन / प्रति लाभार्थी लेनदेन की संख्या के के संबंध में गति की जांच करने के लिए एक व्यवस्था स्थापित कर सकता है और किसी भी संदिग्ध लेनदेन की चेतावनी बैंक में और ग्राहक को मिल जानी चाहिए ।

(v) ऐसे भुगतान लेनदेन के लिए प्रमाणीकरण (प्रमुखतः प्रकृति में गतिशील) के अतिरिक्त कारक पर विचार किया जा सकता है।

(vi) बैंकों सभी ग्राहकों के लिए बड़े मूल्य के भुगतान के संबंध में डिजिटल हस्ताक्षर के कार्यान्वयन पर विचार कर सकते हैं, आरटीजीएस लेनदेनों के लिए इसकी शुरुआत की जा सकती है।

(vii) एक अतिरिक्त सत्यापन जाँच के रूप में इंटरनेट प्रोटोकॉल (आईपी) पते को कैप्चर करने पर विचार किया जा सकता है।

(viii) केंद्रीकृत भुगतान प्रणालियों में बैंकों की उप सदस्यता ने ऐसे उप सदस्यों के ग्राहकों द्वारा इसका लाभ उठाना संभव बना दिया है। उप सदस्यों को स्वीकार करने वाले बैंकों को यह सुनिश्चित करना चाहिए कि उप सदस्यों द्वारा किए गए सुरक्षा उपाय उनके द्वारा पालन किए जा रहे मानकों के अनुरूप हैं ताकि सुरक्षा सुनिश्चित की जा सके और प्रतिष्ठा जोखिम को कम किया जा सके।

(ix) बैंक धोखाधड़ी का पता लगाने के लिए नई तकनीकों जैसे कि, एडेप्टिव आथेन्टिकेशन इत्यादि को लागू करने की संभावना का पता लगा सकते हैं।

बैंकों से यह अपेक्षित है कि वे बी (i) से (ix) के अंतर्गत उक्त सुरक्षा उपायों को 30 जून, 2013 तक लागू करेंगे।

3. बैंकों को सूचित किया जाता है कि वे उपर्युक्त सुरक्षा/जोखिम को कम करने संबंधी उपाय जल्दी से जल्दी लागू करें और इस संबंध में हुई प्रगति से हमें भी अवगत कराएं।

4. यह निर्देश भुगतान और निपटान प्रणाली अधिनियम, 2007 (2007 का अधिनियम 51) की धारा 18 के तहत जारी किया जा रहा है।

5. कृपया इस परिपत्र की प्राप्ति की सूचना दें।

भवदीय

(विजय चुग)
मुख्य महाप्रबंधक


1 काल रेफरल का आशय है:
-दुकानदार के पास ईडीसी पर कार्ड को स्वाइप किया गया है।
- जारी करने वाला “काल ईसुअर” निर्णय के साथ जवाब देता है।
- दुकानदार एक्वायरिंग बैंक को कार्ड नंबर और लेनदेन संबंधी आंकड़ों के साथ काल करेगा।
- एक्वायरर जारीकर्ता बैंक को प्रमाणीकरण हेतु काल करेगा
- जारीकर्ता बैंक ग्राहक से बात करके और लेनदेन को प्रमाणीकृत करके लेनदेन को अनुमोदित/अस्वीकृत करता है।
-दुकानदार को अनुमोदन प्राप्त करने के लिए कार्ड को पुन: स्वाइप करना होगा।


2022
2021
2020
2019
2018
2017
2016
2015
2014
2013
2012
पुरालेख
Server 214
शीर्ष