Click here to Visit the RBI’s new website

BBBPLogo

अधिसूचनाएं

भुगतान प्रणाली परिचालकों द्वारा भुगतान और निपटान संबंधी गतिविधियों की आउटसोर्सिंग हेतु ढांचा

आरबीआई/2021-22/76
सीओ.डीपीएसएस.पीओएलसी.सं.एस-384/02.32.001/2021-22

03 अगस्त 2021

अध्यक्ष/ प्रबंध निदेशक/ मुख्य कार्यकारी अधिकारी
सभी गैर-बैंक भुगतान प्रणाली परिचालक

महोदया/महोदय,

भुगतान प्रणाली परिचालकों द्वारा भुगतान और निपटान संबंधी गतिविधियों की आउटसोर्सिंग हेतु ढांचा

भुगतान प्रणाली परिचालक (पीएसओ), अपने द्वारा प्रदान की जाने वाली सेवाओं तथा अपने परिचालन के तंत्रों की बनावट के आधार पर, बड़े पैमाने पर अपनी भुगतान और निपटान संबंधी गतिविधियों को विभिन्न अन्य संस्थाओं को आउटसोर्स करते हैं।

2. ऐसी गतिविधियों की आउटसोर्सिंग में समाहित जोखिमों के प्रभावी प्रबंधन को सक्षम करने के लिए, दिनांक 05 फरवरी 2021 को द्विमासिक मौद्रिक नीति वक्तव्य 2020-21 के साथ जारी विकासात्मक और विनियामक नीतियों पर वक्तव्य में यह घोषणा की गई थी कि पीएसओ द्वारा भुगतान और निपटान संबंधी गतिविधियों की आउटसोर्सिंग के लिए भारतीय रिज़र्व बैंक द्वारा एक ढांचा जारी किया जाएगा। तदनुसार, उक्त के लिए ढांचा अनुबंध में प्रस्तुत किया गया है। पीएसओ यह सुनिश्चित करें कि उनकी सभी आउटसोर्सिंग व्यवस्थाएं, जिसमें मौजूदा व्यवस्थाएं भी शामिल हैं, 31 मार्च 2022 तक इस ढांचे का अनुपालन करती हों।

3. यह ढांचा भुगतान और निपटान प्रणाली अधिनियम, 2007 (2007 का अधिनियम 51) की धारा 18 के साथ पठित धारा 10 (2) के तहत जारी किया गया है।

भवदीय,

(पी वासुदेवन)
मुख्य महाप्रबंधक


अनुबंध

(आरबीआई का दिनांक 03 अगस्त 2021 का परिपत्र सीओ.डीपीएसएस.पीओएलसी.सं.एस-384/02.32.001/2021-22)

पीएसओ1 द्वारा भुगतान और निपटान संबंधी गतिविधियों की आउटसोर्सिंग हेतु ढांचा

1. परिचय

1.1. यह ढांचा अभी तक गैर-बैंक पीएसओ पर लागू है क्योंकि यह उनके भुगतान और / अथवा निपटान संबंधी गतिविधियों से संबंधित है।

1.2. यह भुगतान और / अथवा निपटान से संबंधित गतिविधियों की आउटसोर्सिंग (ग्राहकों की ऑन-बोर्डिंग2, आईटी आधारित सेवाओं, आदि जैसे अन्य प्रासंगिक गतिविधियों सहित) में जोखिमों के प्रबंधन के लिए न्यूनतम मानकों को स्थापित करने की अपेक्षा करता है।

1.3. यह ढांचा भुगतान और/अथवा निपटान सेवाओं से संबंधित गतिविधियों को छोड़कर अन्य गतिविधियों, जैसे आंतरिक प्रशासन, हाउसकीपिंग या इसी तरह के कार्यों, पर लागू नहीं है।

1.4. इस ढांचे के प्रयोजन हेतु, 'आउटसोर्सिंग' को निरंतर आधार पर गतिविधियों, जो सामान्य रूप से पीएसओ द्वारा अभी अथवा भविष्य में किया जानेवाला, को संचालित करने के लिए किसी तीसरे पक्ष (अर्थात सेवा प्रदाता) के उपयोग के रूप में परिभाषित किया गया है। 'निरंतर आधार' में सीमित अवधि के लिए करार शामिल होंगे।

1.5. 'सेवा प्रदाता' शब्द में ऐसे वेंडर, भुगतान गेटवे, एजेंट, सलाहकार और/अथवा उनके प्रतिनिधि, परंतु यहीं तक सीमित नहीं, शामिल हैं जो भुगतान और/या निपटान प्रणाली की गतिविधि में सम्मिलित हैं। इसमें ऐसे उप-ठेकेदार (अर्थात, द्वितीय सेवा प्रदाता) भी शामिल हैं, जिनको प्राथमिक सेवा प्रदाता, पीएसओ द्वारा आउटसोर्स किए गए भुगतान और निपटान प्रणाली गतिविधियों से संबंधित पूरी या कुछ गतिविधियों को आउटसोर्स कर सकते हैं।

1.6. यह ढांचा सेवा प्रदाता पर लागू होता है, चाहे वह भारत में हो अथवा कहीं और स्थित हो।

1.7. सेवा प्रदाता, जब तक कि वह पीएसओ की समूह कंपनी न हो, का स्वामित्व अथवा नियंत्रण पीएसओ के किसी निदेशक या अधिकारी या उनके रिश्तेदारों के पास नहीं होगा। नियंत्रण, निदेशक, अधिकारी और रिश्तेदार शब्दों का वही अर्थ होगा जो कंपनी अधिनियम, 2013 में परिभाषित किया गया है।

1.8. आउटसोर्सिंग प्रक्रिया कई जोखिमों से जुड़ी हुई है; ऐसे जोखिमों की एक उदाहरण सूची निम्नानुसार प्रस्तुत है:

क) अनुपालन जोखिम - जहां सेवा प्रदाता द्वारा गोपनीयता, ग्राहक/उपभोक्ता और विवेकपूर्ण नियमों का पर्याप्त रूप से अनुपालन नहीं किया जाता है;

ख) संकेंद्रण और प्रणालीगत जोखिम - जहां एक सेवा प्रदाता पर समग्र उद्योग का काफी एक्सपोजर होता है, वहाँ सेवा प्रदाता पर व्यक्तिगत पीएसओ का नियंत्रण कम हो सकता है;

ग) संविदागत जोखिम - जहां पीएसओ के पास संविदा को लागू करने की क्षमता नहीं होती है;

घ) देश जोखिम - जब राजनीतिक, सामाजिक अथवा कानूनी वातावरण अतिरिक्त जोखिम का सृजन करता है;

ड) साइबर सुरक्षा जोखिम - जहां सूचना प्रौद्योगिकी प्रणाली में उल्लंघन से डेटा, सूचना, प्रतिष्ठा, धन आदि की संभाव्य हानि हो सकती है;

च) कार्यनीतिक निकासी जोखिम - जब किसी फर्म पर अत्यधिक निर्भरता हो, तो पीएसओ आंतरिक रूप से संबंधित कौशलों को खो देता है, और गतिविधि को पुनः वापस लाना मुश्किल हो जाता है; तथा जहां पीएसओ ने ऐसे संविदाएँ किए हैं जो तेजी से निकासी को निषेधात्मक रूप से महंगा बनाते हैं;

छ) कानूनी जोखिम - जहां पीएसओ को पर्यवेक्षी कार्यों के परिणामस्वरूप जुर्माना, दंड, अथवा दंडात्मक हर्जाना देने के साथ-साथ सेवा प्रदाता द्वारा भूल-चूक के कारण निजी निपटानों को पूरा करना पड़ता है;

ज) परिचालन जोखिम - प्रौद्योगिकी विफलता, धोखाधड़ी, त्रुटि, दायित्वों को पूरा करने के लिए अपर्याप्त वित्तीय क्षमता और / अथवा उपचारात्मक उपाय प्रदान करने के कारण उत्पन्न होता है;

झ) प्रतिष्ठा संबंधी जोखिम - जहां प्रदान की गई सेवा खराब हो और ग्राहक संपर्क पीएसओ के अपेक्षित समग्र मानक के साथ असंगत हो; तथा

ञ) कार्यनीतिक जोखिम - जहां सेवा प्रदाता पीएसओ के समग्र कार्यनीतिक लक्ष्यों के विपरीत, अपनी ओर से ही व्यवसाय करता हो।

1.9. यह आवश्यक है कि पीएसओ, जो अपनी गतिविधियों को आउटसोर्स कर रहे हैं, निम्नलिखित को सुनिश्चित करें:

क) समुचित सावधानी बरतना, प्रभावी निरीक्षण के लिए ठोस और अनुक्रियाशील जोखिम प्रबंधन प्रथाओं को लागू करना, और गतिविधियों की ऐसी आउटसोर्सिंग से उत्पन्न होने वाले जोखिमों का प्रबंधन करना।

ख) आउटसोर्सिंग व्यवस्थाएं आरबीआई द्वारा इसके प्रभावी पर्यवेक्षण में बाधा नहीं डालें।

1.10. पीएसओ द्वारा गतिविधियों की आउटसोर्सिंग के लिए आरबीआई से पूर्व अनुमोदन की आवश्यकता नहीं होगी।

2. गतिविधियाँ जिन्हें आउटसोर्स नहीं किया जा सकता

2.1. पीएसओ, अनुपालन और निर्णय लेने संबंधी कार्यों जैसे केवाईसी मानदंडों का अनुपालन सुनिश्चित करने सहित जोखिम प्रबंधन और आंतरिक लेखा-परीक्षा से संबंधित मुख्य प्रबंधन कार्यों3 को आउटसोर्स नहीं करें। तथापि, जब आंतरिक लेखापरीक्षा कार्य स्वयं की एक प्रबंधन प्रक्रिया हो, तो इस उद्देश्य के लिए

लेखा-परीक्षकों को पीएसओ द्वारा अपने कर्मचारियों में से या संविदा के बाहर से नियुक्त किया जा सकता है।

3. आउटसोर्सिंग की गंभीरता

3.1. पीएसओ अपनी गंभीर प्रक्रियाओं और गतिविधियों की आउटसोर्सिंग की आवश्यकता का सावधानीपूर्वक मूल्यांकन करने के साथ-साथ व्यापक जोखिम मूल्यांकन के आधार पर सेवा प्रदाता(ओं) का चयन करेगा। महत्वपूर्ण प्रक्रियाएं वे हैं, जो बाधित होने पर, व्यवसाय परिचालन, प्रतिष्ठा, लाभप्रदता और / अथवा ग्राहक सेवा को बृहद स्तर पर प्रभावित करने की क्षमता रखते हैं।

4. पीएसओ की भूमिका और विनियामक तथा पर्यवेक्षी अपेक्षाएं

4.1. पीएसओ द्वारा किसी भी गतिविधि की आउटसोर्सिंग करने से उसके तथा उसके बोर्ड एवं वरिष्ठ प्रबंधन के दायित्वों में कोई कमी नहीं होगी, तथा वे अंततः सभी आउटसोर्स गतिविधि के लिए उत्तरदायी होंगे। इसलिए, पीएसओ, अपने सेवा प्रदाताओं के कार्यों के लिए उत्तरदायी होगा और आउटसोर्स की गई गतिविधि पर संपूर्ण नियंत्रण बनाए रखेगा।

4.2. पीएसओ, आउटसोर्सिंग के संबंध में समुचित सावधानी बरतते के दौरान, सभी प्रासंगिक नियमों, विनियमों, दिशानिर्देशों और प्राधिकरण/अनुमोदन, लाइसेंसिंग अथवा पंजीकरण की शर्तों का ध्यान रखेंगे।

4.3. आउटसोर्सिंग व्यवस्था पीएसओ के विरुद्ध भुगतान प्रणाली के किसी ग्राहक के अधिकारों को प्रभावित नहीं करेगी, साथ ही पीएसओ के विरुद्ध भुगतान प्रणाली सहभागी के अधिकारों, जिसमें संबंधित कानूनों के तहत लागू शिकायत निवारण का लाभ उठाने की उनकी क्षमता भी शामिल है, को प्रभावित नहीं करेगी। एजेंसी (अर्थात सेवा प्रदाता), जिसे आउटसोर्स किया गया है, द्वारा प्रदान की जाने वाली सेवाओं सहित अपने ग्राहकों की शिकायतों को दूर करने की जिम्मेदारी पीएसओ की होगी।

4.4. एक पीएसओ, जिसने अपने ग्राहक शिकायत निवारण संबंधी कार्य को आउटसोर्स किया है, को अपने ग्राहकों को शिकायत करने और / अथवा उसे आगे बढ़ाने के लिए अपने नोडल अधिकारियों तक सीधी पहुंच हेतु भी अनिवार्य रूप से विकल्प प्रदान करना होगा। इस तरह की पहुंच को पर्याप्त फोन नंबर, ई-मेल आईडी, डाक पते आदि के माध्यम से सक्षम किया जाना चाहिए, साथ ही इसके विवरण को इनकी वेबसाइट, मोबाइल एप्लिकेशनों, विज्ञापनों आदि पर प्रमुखता से प्रदर्शित किया जाना चाहिए तथा इस उपाय की उपलब्धता के बारे में भी पर्याप्त जागरूकता पैदा करनी होगी।

4.5. यदि ग्राहक को पीएसओ के उत्पादों का लाभ उठाने के लिए सेवा प्रदाता के साथ एक इंटरफेस की आवश्यकता हो, तो पीएसओ, उत्पाद साहित्य / विवरणिका आदि के माध्यम से इसका उल्लेख करें, और उसमें ऐसे सेवा प्रदाता की भूमिका का भी उल्लेख किया जाए।

4.6. पीएसओ को यह सुनिश्चित करना चाहिए कि आउटसोर्सिंग, पीएसओ की गतिविधियों की प्रभावी निगरानी और प्रबंधन करने की क्षमता में बाधा अथवा हस्तक्षेप न करे; और न ही यह आरबीआई को अपने पर्यवेक्षी कार्यों और उद्देश्यों को पूरा करने से रोके।

5. आउटसोर्सिंग नीति

5.1. अपने किसी भी भुगतान और निपटान से संबंधित गतिविधियों को आउटसोर्स करने के लिए, पीएसओ के पास बोर्ड द्वारा अनुमोदित एक व्यापक आउटसोर्सिंग नीति होनी चाहिए, जिसमें अन्य बातों के साथ-साथ, ऐसी गतिविधियों और सेवा प्रदाताओं के चयन के मानदंड, आउटसोर्सिंग की आवश्यकता की ग्रेडिंग के लिए मानदंड; जोखिम और आवश्यकता के आधार पर प्राधिकरण का प्रत्यायोजन; और इन गतिविधियों के परिचालन की निगरानी और समीक्षा हेतु प्रणाली, शामिल होंगे।

6. बोर्ड की भूमिका और वरिष्ठ प्रबंधन का उत्तरदायित्व

6.1. बोर्ड की भूमिका

पीएसओ का बोर्ड, अथवा बोर्ड की एक ऐसी समिति जिसे अधिकार प्रत्यायोजित की गई हैं, अन्य बातों के साथ-साथ निम्नलिखित के लिए उत्तरदायी होगा:

क) सभी मौजूदा और संभाव्य आउटसोर्सिंग के जोखिम और गंभीरता का मूल्यांकन करने के लिए एक ढांचे को अनुमोदित करना;

ख) आउटसोर्सिंग व्यवस्थाओं पर लागू होने वाले नीतियों को अनुमोदित करना;

ग) जोखिम और गंभीरता के आधार पर आउटसोर्सिंग के लिए उपयुक्त अनुमोदन प्राधिकारियों की मैपिंग करना;

घ) इस ढांचे के प्रयोजन हेतु वरिष्ठ प्रबंधन के उपयुक्त प्रशासनिक तंत्र स्थापित करना;

ड) आउटसोर्सिंग नीति, कार्यनीतियों और उसकी निरंतर प्रासंगिकता, सुरक्षा और सुदृढ़ता हेतु की गई व्यवस्थाओं की आवधिक समीक्षा करना;

च) व्यावसायिक गतिविधियों को आउटसोर्स करने का निर्णय लेना और ऐसी व्यवस्थाओं को अनुमोदित करना; तथा

छ) विनियामक अनुदेशों का अनुपालन करना।

6.2. वरिष्ठ प्रबंधन का उत्तरदायित्व

वरिष्ठ प्रबंधन निम्नलिखित के लिए उत्तरदायी होगा:

क) बोर्ड द्वारा अनुमोदित ढांचे के आधार पर सभी मौजूदा और संभाव्य आउटसोर्सिंग के जोखिम और गंभीरता का मूल्यांकन करना;

ख) आउटसोर्सिंग गतिविधि की प्रकृति, दायरे और जटिलता के अनुरूप सुदृढ़ तथा विवेकपूर्ण आउटसोर्सिंग नीतियों और प्रक्रियाओं को विकसित तथा कार्यान्वित करना;

ग) नीतियों और प्रक्रियाओं की प्रभावशीलता की समय-समय पर समीक्षा करना, और जैसे ही नए आउटसोर्सिंग जोखिम उत्पन्न हों उसकी पहचान करना;

घ) आउटसोर्सिंग जोखिमों से संबंधित किसी भी जानकारी को बोर्ड को समयबद्ध तरीके से संप्रेषित करना;

ड) यह सुनिश्चित करना कि वास्तविक और संभावित विघटनकारी परिदृश्यों पर आधारित आकस्मिक योजनाएँ मौजूद हों और समय-समय पर उनका परीक्षण किया जाता हो; तथा

च) निर्धारित नीतियों के अनुपालन के लिए एक स्वतंत्र समीक्षा और लेखा-परीक्षा सुनिश्चित करना।

6.3. सभी आउटसोर्सिंग व्यवस्थाओं का एक केंद्रीय अभिलेख रखा जाए तथा यह बोर्ड और पीएसओ के वरिष्ठ प्रबंधन द्वारा समीक्षा के लिए आसानी से उपलब्ध हो। अभिलेख को तुरंत अद्यतन किया जाए, तथा अर्धवार्षिक समीक्षा को बोर्ड या उसके वरिष्ठ प्रबंधन के समक्ष प्रस्तुत किया जाए।

7. सेवा प्रदाता की क्षमता का मूल्यांकन

7.1. आउटसोर्सिंग व्यवस्था के संबंध में विचार/नवीकरण करते समय, पीएसओ को सेवा प्रदाता के साथ ऐसी व्यवस्थाओं के अनुचित संकेंद्रण से संबंधित मुद्दों को शामिल करना चाहिए।

8. आउटसोर्सिंग करार

8.1. पीएसओ और सेवा प्रदाता के बीच अनुबंध को नियंत्रित करने वाले नियमों और शर्तों को लिखित करारों में सावधानीपूर्वक परिभाषित किया जाए तथा उसके कानूनी प्रभाव और प्रवर्तनीयता के लिए पीएसओ के कानूनी सलाहकार द्वारा पुनरीक्षित किया जाए। ऐसे प्रत्येक करार में जोखिमों और उसे कम करने की कार्यनीतियों का उल्लेख होना चाहिए। आउटसोर्स की गई गतिविधि पर पर्याप्त नियंत्रण बनाए रखने और कानूनी तथा विनियामक दायित्वों को पूरा करने हेतु पीएसओ को उचित उपाय संबंधी हस्तक्षेप करने का अधिकार देने के लिए करार को पर्याप्त रूप से लचीला बनाया जाए। कारार, दोनों पक्षों के बीच कानूनी संबंधों, अर्थात एजेंट, प्रिंसिपल या अन्यथा, की प्रकृति को भी सामने लाए। करार के कुछ प्रमुख प्रावधानों में निम्नलिखित समाहित होने चाहिए:

क) उपयुक्त सेवा और निष्पादन मानकों सहित आउटसोर्स की जाने वाली गतिविधि को परिभाषित करना;

ख) सेवा प्रदाता के पास उपलब्ध आउटसोर्स गतिविधि से संबंधित सभी बहियों, अभिलेखों और सूचनाओं तक पीसीओ की पहुंच होना;

ग) सेवा प्रदाता के पीएसओ द्वारा निरंतर निगरानी और मूल्यांकन की व्यवस्था करना, ताकि कोई भी आवश्यक सुधारात्मक उपाय तुरंत किया जा सके;

घ) यदि आवश्यक समझा जाए तो ऐसे प्रावधान को निष्पादित करने के लिए समापन खंड और न्यूनतम अवधि का समावेश करना;

ड) यह सुनिश्चित करना कि ग्राहक डेटा की गोपनीयता बनाए रखने और सुरक्षा उल्लंघन तथा ग्राहकों से संबंधित ऐसी जानकारी को उजागर करने के मामले में सेवा प्रदाता की देयता को शामिल करने के लिए नियंत्रण मौजूद हो;

च) व्यापार निरंतरता को सुनिश्चित करने के लिए आकस्मिक योजना(ओं) को शामिल करना;

छ) आउटसोर्स की गई गतिविधि के सभी या उसके किसी हिस्से के लिए सेवा प्रदाता द्वारा उप-ठेकेदारों के उपयोग हेतु पीएसओ की पूर्व स्वीकृति/सहमति की आवश्यकता;

ज) सेवा प्रदाता की लेखा-परीक्षा, चाहे वह उसके आंतरिक अथवा बाहरी लेखा परीक्षकों द्वारा हो, या उनकी ओर से कार्य करने के लिए नियुक्त एजेंटों के द्वारा हो, तथा पीएसओ के लिए की गई सेवाओं के संयोजन में सेवा प्रदाता के बारे में किए गए किसी भी लेखा-परीक्षा या समीक्षा रिपोर्ट और निष्कर्षों की प्रतियां प्राप्त करने हेतु पीएसओ के अधिकार को बनाए रखना;

झ) भारतीय रिज़र्व बैंक या उसके द्वारा प्राधिकृत व्यक्ति/यों को उचित समय के भीतर पीएसओ के दस्तावेजों, लेनदेनों के रिकॉर्ड और सेवा प्रदाता द्वारा दी गई, संग्रहीत अथवा प्रसंस्कृत की गई अन्य आवश्यक जानकारी तक पहुंचने की अनुमति देने के लिए खंड जोड़ा जाना;

ञ) एक अथवा अधिक अधिकारियों अथवा कर्मचारियों या अन्य व्यक्तियों द्वारा पीएसओ के सेवा प्रदाता और खातों की बहियों का निरीक्षण करने के लिए आरबीआई के अधिकार को मान्यता देने से संबंधित खंड को रखना;

ट) किसी भी सेवा प्रदाता के मामले में आरबीआई द्वारा अब तक दिए गए निर्देशों का पालन करने के लिए स्पष्ट दायित्व से संबंधित खंड की आवश्यकता का उल्लेख करना, क्योंकि वे पीएसओ की गतिविधियों में शामिल हैं;

ठ) करार समाप्त होने अथवा अवधि-समाप्त होने के बाद भी ग्राहक की जानकारी से संबंधित गोपनीयता को बनाए रखना; तथा

ड) पीएसओ के कानूनी / विनियामक दायित्वों के अनुसार सेवा प्रदाता द्वारा दस्तावेजों और डेटा को संरक्षित करना, और इस संबंध में पीएसओ के हितों को सेवाओं की समाप्ति के बाद भी संरक्षित किया जाना।

9. गोपनीयता और सुरक्षा

9.1. पीएसओ में जनता का विश्वास और ग्राहक का भरोसा इसकी स्थिरता और प्रतिष्ठा के लिए एक पूर्वापेक्षा है। पीएसओ, सेवा प्रदाता की अभिरक्षा या कब्जे में रखे ग्राहक जानकारी की सुरक्षा और गोपनीयता को सुनिश्चित करेंगे।

9.2. सेवा प्रदाता के कर्मचारियों द्वारा ग्राहक की जानकारी तक पहुंच 'जानने की आवश्यकता' के आधार पर होगी, अर्थात उन क्षेत्रों तक सीमित होगी जहां आउटसोर्स किए गए कार्य को संपन्न करने के लिए ऐसी जानकारी की आवश्यकता होती है।

9.3. सेवा प्रदाता, पीएसओ ग्राहक की जानकारी, दस्तावेजों, अभिलेखों और आस्तियों को अलग और स्पष्ट रूप से पहचानने में सक्षम हो ताकि उनकी गोपनीयता को सुरक्षित रखा जा सके। जहां सेवा प्रदाता कई पीएसओ के लिए आउटसोर्सिंग एजेंट के रूप में कार्य करता हो, वहां विभिन्न पीएसओ की सूचना, दस्तावेजों, अभिलेखों और आस्तियों के सह-मिश्रण से बचने के लिए मजबूत सुरक्षा उपाय (ग्राहक डेटा के एन्क्रिप्शन सहित) होने चाहिए।

9.4. पीएसओ नियमित रूप से सेवा प्रदाता की सुरक्षा प्रथाओं तथा नियंत्रण प्रक्रियाओं की समीक्षा और निगरानी करेगा तथा सेवा प्रदाता को सुरक्षा उल्लंघनों को प्रकट करने की आवश्यकता होगी।

9.5. पीएसओ, सुरक्षा के किसी भी उल्लंघन तथा ग्राहकों से संबंधित गोपनीय जानकारी के क्षरण के बारे में आरबीआई को तुरंत सूचित करेगा। ऐसी परिस्थितियों में, पीएसओ अपने ग्राहकों के किसी भी नुकसान के लिए उत्तरदायी होंगे।

9.6. पीएसओ यह सुनिश्चित करेंगे कि भुगतान प्रणाली डेटा के भंडारण से संबंधित मौजूदा अनुदेशों का सेवा प्रदाता, घरेलू अथवा अपतटीय, द्वारा कड़ाई से पालन किया जा रहा है।

10. सीधी बिक्री एजेंटों (डीएसए) / प्रत्यक्ष विपणन एजेंटों (डीएमए) के उत्तरदायित्व

10.1. पीएसओ यह सुनिश्चित करेंगे कि डीएसए/डीएमए को उनके उत्तरदायित्वों को सावधानी और संवेदनशीलता के साथ निभाने, विशेष रूप से ग्राहकों से आग्रह करने, कॉल करने के समय, ग्राहक जानकारी की गोपनीयता, पेश किए गए उत्पादों के सही नियमों और शर्तों को बताने जैसे पहलुओं, आदि, के लिए उचित रूप से प्रशिक्षित किया गया हो।

10.2. पीएसओ को डीएसए/डीएमए के लिए बोर्ड द्वारा अनुमोदित एक आचार संहिता लागू करनी होगी तथा उनसे उसका अनुपालन करने हेतु एक वचन पत्र लेना होगा।

11. व्यापार निरंतरता और आपदा उद्धार योजना का प्रबंधन

11.1. सेवा प्रदाता किसी भी आउटसोर्स गतिविधि से उत्पन्न होने वाले व्यवसाय निरंतरता और उद्धार प्रक्रियाओं के दस्तावेजीकरण, रख-रखाव और परीक्षण के लिए एक मजबूत ढांचा विकसित और स्थापित करेगा। पीएसओ यह सुनिश्चित करेगा कि सेवा प्रदाता समय-समय पर व्यवसाय निरंतरता और उद्धार योजनाओं का परीक्षण करता हो, और अपने सेवा प्रदाता के साथ व्यापार निरंतरता और उद्धार प्रक्रियाओं के परीक्षण के लिए कभी-कभी संयुक्त अभ्यास आयोजित करने पर भी विचार करे।

11.2. आउटसोर्सिंग करार की अप्रत्याशित समाप्ति अथवा सेवा प्रदाता के परिसमापन संबंधी जोखिम को कम करने के लिए, पीएसओ अपने आउटसोर्सिंग पर पर्याप्त नियंत्रण बनाए रखेगा तथा ऐसे मामलों में उन्हें बिना कोई निषेधी खर्च किए अथवा अपने परिचालन और ग्राहकों को दिये जा रहे सेवाओं में किसी भी प्रकार की रुकावट के बिना अपने व्यवसाय परिचालनों तथा ग्राहकों को अपनी सेवाओं को जारी रखने के लिए उचित उपायों के साथ हस्तक्षेप करने का अधिकार प्राप्त होगा।

11.3. आकस्मिक योजना के भाग के रूप में, पीएसओ वैकल्पिक सेवा प्रदाता(ओं) की उपलब्धता के साथ-साथ आपात स्थिति में आउटसोर्स गतिविधि को वापस अपने यहां लाने की संभावना पर विचार करेंगे तथा इसमें शामिल होने वाली लागत, समय और संसाधनों का आकलन करेंगे।

11.4. सेवा प्रदाता द्वारा, पीएसओ की जानकारी, दस्तावेज और अभिलेख, तथा अन्य आस्तियां अलग करने योग्य होंगी। साथ ही, यह सुनिश्चित किया जाए कि उचित परिस्थितियों में, सेवा प्रदाता को दिए गए सभी दस्तावेज, लेनदेनों के अभिलेख और सूचना, तथा पीएसओ की आस्तियां, व्यवसाय परिचालन को जारी रखने के लिए सेवा प्रदाता के कब्जे से हटाया जा सके, अथवा मिटाया, नष्ट किया जा सके, या अनुपयोगी बनाया जा सके।

12. आउटसोर्स की गई गतिविधियों की निगरानी और नियंत्रण

12.1. पीएसओ अपनी आउटसोर्सिंग गतिविधियों की निगरानी और नियंत्रण के लिए एक प्रबंधन संरचना स्थापित करेंगे। साथ ही, यह सुनिश्चित करेंगे कि सेवा प्रदाता के साथ आउटसोर्सिंग करार में उनके द्वारा आउटसोर्स गतिविधियों की निगरानी और नियंत्रण को पूरा करने के प्रावधान शामिल हों।

12.2. आउटसोर्सिंग व्यवस्था की देख-रेख तथा प्रबंधन में अपनाई गई जोखिम प्रबंधन प्रथाओं की पर्याप्तता और अपने जोखिम प्रबंधन ढांचे के संबंध में पीएसओ के अनुपालन का आकलन करने के लिए पीएसओ के आंतरिक अथवा बाह्य लेखा-परीक्षकों द्वारा नियमित लेखा-परीक्षा आयोजित की जाए।

12.3. पीएसओ को, कम से कम वार्षिक आधार पर, सेवा प्रदाता द्वारा आउटसोर्सिंग दायित्वों को पूरा करने की क्षमता का आकलन करने के लिए उसके वित्तीय और परिचालनगत स्थितियों की समीक्षा करनी होगी। इस तरह की समुचित सावधानी संबंधी समीक्षा में, निष्पादन मानकों, गोपनीयता एवं सुरक्षा, तथा व्यापार निरंतरता की तैयारी में किसी भी गिरावट या उल्लंघन को उजागर किया जाए।

12.4. जहां सेवा प्रदाता ग्राहकों के साथ लेन-देन करता हो वहां आउटसोर्सिंग करार को किसी भी कारण से समाप्त करने की स्थिति में, उसके बारे में पीएसओ द्वारा ग्राहकों को सूचित करते हुए उचित प्रचार किया जाए ताकि यह सुनिश्चित किया जा सके कि वे संबंधित सेवा प्रदाता के साथ लेन-देन करना बंद कर दें।

12.5. कुछ मामलों जैसे कि नकद प्रबंधन की आउटसोर्सिंग में पीएसओ, सेवा प्रदाता और उसके उप-ठेकेदारों, यदि कोई हो, के बीच लेनदेनों का समाधान जुड़ा होता है। ऐसे मामलों में, पीएसओ यह सुनिश्चित करें कि यह समाधान प्रक्रिया समयबद्ध तरीके से पूरी हो जाए।

12.6. सभी आउटसोर्स गतिविधियों की आंतरिक लेखा-परीक्षा के लिए एक मजबूत प्रणाली स्थापित की जाए तथा पीएसओ के बोर्ड द्वारा इसकी निगरानी की जाए।

13. एक समूह / संगुट के भीतर आउटसोर्सिंग

13.1. पीएसओ का समूह संस्थाओं के साथ बैक ऑफिस और सेवा व्यवस्था/करार हो सकता है; उदाहरण के लिए, परिसर को साझा करना, कानूनी और अन्य पेशेवर सेवाएं, हार्डवेयर और सॉफ्टवेयर एप्लिकेशन, केंद्रीकृत बैक ऑफिस कार्य, कुछ भुगतान और निपटान सेवाओं को अन्य समूह संस्थाओं को आउटसोर्स करना, आदि। समूह संस्थाओं के साथ ऐसी व्यवस्थाएं पीएसओ की बोर्ड-अनुमोदित नीति और उसके समूह संस्थाओं के साथ सेवा स्तर की व्यवस्थाओं/करारों पर आधारित होंगी। करारों में परिसर, कर्मियों आदि जैसे साझा संसाधनों का सीमांकन समाहित होगा। जहां कहीं भी यदि कई समूह संस्थाएं शामिल हों अथवा कोई क्रॉस-सेलिंग हुई हो, तो वहां ग्राहकों को उत्पाद/सेवा की पेशकश करने वाली वास्तविक कंपनी/संस्था के बारे में सूचित किया जाए।

13.2. पीएसओ सुनिश्चित करेगा कि ऐसी व्यवस्था:

क) सेवाओं के दायरे, सेवाओं के लिए प्रभारों और ग्राहक के डेटा की गोपनीयता बनाए रखने जैसे विवरणों के साथ लिखित करारों में उचित रूप से प्रलेखित हो;

ख) विभिन्न समूह संस्थाओं की गतिविधियों से संबंधित साइट के स्पष्ट भौतिक सीमांकन द्वारा ग्राहकों के बीच इस संबंध में कोई भ्रम सृजित न करे कि वे किसके उत्पादों / सेवाओं का लाभ उठा रहे हैं;

ग) स्टैंडअलोन आधार पर जोखिमों की पहचान और प्रबंधन करने के लिए पीएसओ की क्षमता से समझौता नहीं करे; तथा

घ) आरबीआई को पीएसओ या समग्र रूप से समूह से संबंधित पर्यवेक्षण हेतु आवश्यक जानकारी प्राप्त करने में सक्षम होने से नहीं रोके।

13.3. पीएसओ यह सुनिश्चित करेंगे कि समूह संस्थाओं द्वारा प्रदान की जाने वाली परिसर या अन्य सेवाएं (जैसे कि आईटी प्रणाली और सहायक स्टाफ) अनुपलब्ध होने पर भी सुदृढ़ तरीके से परिचालन करने की उसकी क्षमता प्रभावित नहीं हो।

13.4. यदि क्रॉस-सेलिंग के लिए समूह संस्थाओं के साथ परिसर को साझा किया जाता है, तो पीएसओ यह सुनिश्चित करने हेतु उपाय करेंगे कि संस्था की पहचान ग्राहकों को साफ तौर पर दृश्य और स्पष्ट हो। पीएसओ के परिसर में समूह संस्थाओं (विपणन ब्रोशर, स्टाफ / एजेंट द्वारा मौखिक संचार, आदि) द्वारा किसी भी संचार में पीएसओ के साथ संस्थाओं की व्यवस्था की प्रकृति का उल्लेख किया जाए, ताकि ग्राहक उत्पाद के विक्रेता के बारे में स्पष्ट हो जाएं।

13.5. पीएसओ के विज्ञापन अथवा कोई करार किसी भी ऐसे प्रत्यक्ष अथवा निहित धारणा को व्यक्त नहीं करेंगे कि वे किसी भी तरह से अपने समूह की संस्थाओं के दायित्वों के लिए उत्तरदायी हैं।

13.6. संबंधित पक्ष (अर्थात समूह/ संगुट के भीतर पक्ष) को आउटसोर्सिंग करते समय पीएसओ द्वारा अपनाई जाने वाली जोखिम प्रबंधन प्रथाएं ठीक वैसी ही होंगी जो गैर-संबंधित पक्ष के लिए इस ढांचे में ऊपर निर्दिष्ट की गईं हैं।

14. अपतटीय आउटसोर्सिंग के लिए अतिरिक्त आवश्यकताएं

14.1. सेवा प्रदाता का किसी विदेशी देश में अनुबंध पीएसओ के लिए देश जोखिम का खतरा उत्पन्न करता है। ऐसे देश जोखिम का प्रबंधन करने के लिए, पीएसओ, जोखिम मूल्यांकन प्रक्रिया के दौरान तथा सतत आधार पर, उन देशों में सरकारी नीतियों और राजनीतिक, सामाजिक, आर्थिक और कानूनी स्थितियों की बारीकी से निगरानी करेंगे जहां वह सेवा प्रदाता स्थित है, और देश जोखिम समस्याओं से निपटने के लिए ठोस प्रक्रिया की स्थापना करेंगे। इसमें उपयुक्त आकस्मिकता और निकास कार्यनीतियां शामिल हैं। सैद्धान्तिक रूप से, यह व्यवस्था केवल उन पक्षों के साथ की जाएगी जो अधिकार क्षेत्र में कार्य कर रहे हैं और जो आमतौर पर गोपनीयता खंड और करारों को बनाए रखते हैं। व्यवस्था के शासी कानून को भी स्पष्ट रूप से निर्दिष्ट किया जाए।

14.2. भारत के बाहर आउटसोर्स की गई गतिविधियों को इस तरह से संचालित किया जाए कि समयबद्ध तरीके से पीएसओ के भारत की गतिविधियों के निरीक्षण अथवा पुनर्निर्माण के प्रयासों में बाधा न आए।

14.3. भारतीय परिचालन से संबंधित अपनी सेवाओं के अपतटीय आउटसोर्सिंग के संबंध में, पीएसओ निम्नलिखित को सुनिश्चित करेंगे:

क) अपतटीय सेवा प्रदाता को विनियमित करने वाला अपतटीय विनियामक न तो व्यवस्था में बाधा उत्पन्न करेगा और न ही पीएसओ के आंतरिक और बाहय लेखा-परीक्षकों द्वारा लेखा-परीक्षा / संवीक्षा / परीक्षा / निरीक्षण / मूल्यांकन अथवा दौरे के लिए आरबीआई के विजिट पर आपत्ति करेगा;

ख) अपतटीय स्थान का विनियामक प्राधिकरण केवल इस आधार पर कि प्रसंस्करण उनके वहां किया जा रहा है, (यदि पीएसओ के अपने देश में अपतटीय प्रसंस्करण किया जाता है तो लागू नहीं), पीएसओ के भारतीय परिचालन से संबंधित डेटा तक पहुंच स्थापित नहीं करेंगे; तथा

ग) अपतटीय स्थान, जहां डेटा प्रसंस्कृत किया जाता है, पर स्थित न्यायालयों का अधिकार क्षेत्र, भारत में पीएसओ के परिचालन तक इस तथ्य के बल पर नहीं होगा कि डेटा को वहां प्रसंस्कृत किया जा रहा है, भले ही वास्तविक लेन-देन भारत में ही क्यों न किए गए हों।

15. पीएसओ द्वारा परिचालित भुगतान प्रणाली के सदस्य/सहभागी

15.1. पीएसओ द्वारा परिचालित कुछ भुगतान प्रणालियों में अन्य सदस्य/सहभागी भी हो सकते हैं। इनमें से कुछ संस्थाएं जैसे कार्ड नेटवर्क द्वारा प्रदान की जाने वाली टोकनाइजेशन सेवाओं में टोकन अनुरोधकर्ता, एकीकृत भुगतान इंटरफेस (यूपीआई) में तीसरे पक्ष के एप्लिकेशन प्रदाता, आदि को आरबीआई द्वारा सीधे विनियमित अथवा पर्यवेक्षित नहीं किया जाए। इनमें से कई संस्थाएं ग्राहकों को सीधे भुगतान सेवाएं भी प्रदान कर सकती हैं। ऐसी संस्थाओं को उनके द्वारा आउटसोर्स की गई गतिविधियों से उत्पन्न होने वाले जोखिमों के प्रबंधन के लिए एक प्रणाली स्थापित करना विवेकसम्मत है।

15.2. सर्वोत्तम प्रथा के रूप में, पीएसओ, भुगतान लेन-देन श्रृंखला के सभी सहभागियों से संपर्क स्थापित कर उन्हें इस ढांचे को निहित भाव सहित अक्षरशः लागू करने के लिए प्रोत्साहित करें।


1 भुगतान और निपटान प्रणाली अधिनियम, 2007 के अनुसार, "प्रणाली प्रदाता" का अर्थ प्राधिकृत भुगतान प्रणाली को संचालित करने वाले व्यक्ति से है। इस ढांचे में 'प्रदाता' और 'परिचालक' शब्दों का परस्पर उपयोग किया गया है।

2 इस ढांचे में जहां कहीं भी "ग्राहक" शब्द का उपयोग किया गया है, उसमें अंतिम उपयोगकर्ता, अर्थात आम जनता, जो भुगतान प्रणाली से संबंधित उत्पाद/दों का उपयोग करता है, शामिल है। इसके अलावा, ग्राहक डेटा/सूचना में भुगतान संबंधी डेटा/सूचना भी शामिल है।

3 मुख्य प्रबंधन कार्यों में, भुगतान प्रणाली परिचालनों (निवल, निपटान, आदि) का प्रबंधन, लेन-देन का प्रबंधन (समाधान, रिपोर्टिंग और मद प्रसंस्करण); व्यापारियों को ग्राहक डेटा प्राप्त करने और उसके प्रबंधन; जोखिम प्रबंधन; सूचना प्रौद्योगिकी और सूचना सुरक्षा प्रबंधन; आदि के लिए अनुमोदन प्रदान करना, परंतु केवल इन्हीं कार्यों तक सीमित नहीं, शामिल होना चाहिए।


2024
2023
2022
2021
2020
2019
2018
2017
2016
2015
2014
2013
2012
पुरालेख
Server 214
शीर्ष