भारिबैं /2011-12 /202
शबैंवि.बीपीडी (एससीबी).सीआईआर नं.1 /09.18.300/2011-12

26 सितंबर 2011

मुख्य कार्यपालक अधिकारी
सभी अनुसूचित प्राथमिक (शहरी) सहकारी बैंक

महोदय /महोदया

शहरी सहकारी बैंकों के ग्राहकों के लिए इंटरनेट बैंकिंग

वर्ष 2011-12 के मौद्रिक नीति वक्तव्य (पैरा 102-संलग्न) में की गयी घोषणा के अनुसार यह निर्णय लिया गया है कि जो शहरी सहकारी बैंक विशिष्ट मानदंड की पूर्ति करते हैं उन्हें अपने ग्राहकों को इंटरनेट बैंकिंग सुविधा प्रदान करने के लिए अनुमति दी जाए । तदनुसार 100 करोड़ रूपये की न्यूनतम निवल संपत्तिवाले, कम से कम 10% का सीआरएआर बनाये रखनेवाले तथा 5% से कम निवल एनपीए रखनेवाले और पिछले तीन वित्तीय वर्षों में सतत निवल लाभ अर्जित करनेवाले अनुसूचित शहरी सहकारी बैंक अपने ग्रहकों को इंटरनेट बैंकिंग सुविधा प्रदान करने के पात्र हैं । इंटरनेट बैंकिंग सुविधा प्रदान करने के इच्छुक पात्र शहरी सहकारी बैंक, अपने बोर्ड की अनुमति से अनुबंध 1 और 2 में दिये गए दिशानिर्देशों के अनुरूप इंटरनेट बैंकिंग नीति तैयार करें और अपने ग्राहकों को यह सुविधा प्रदान करने से पहले भारतीय रिज़र्व बैंक की अनुमति प्राप्त करने हेतु संबंधित क्षेत्रीय कार्यालय से संपर्क करें ।

2. इंटरनेट बैंकिंग कार्य आरंभ करने के लिए अनुमति हेतु संबंधित आवेदन के साथ बोर्ड द्वारा यथा अनुमोदित इंटरनेट बैंकिंग नीति प्रस्तुत की जाए और यह नीति बैंक की समग्र सूचना प्रौद्यौगिकी (आईटी) और सूचना प्रणाली (आईएस) नीति के लिए उपयुक्त हो । आवेदन के साथ लागत लाभ विश्लेषण, परिचालनगत व्यवस्थाएं जैसे अपनायी गयी प्रौद्योगिकी, व्यावसायिक भागीदार यदि कोई हों और जोखिम प्रबंधन के लिए बैंक जो प्रणालियां और नियंत्रण अपनाना चाहता है वे भी संलग्न किये जाएं । इस परिपत्र के साथ संलग्न दिशानिर्देशों में विनिर्दिष्ट आईटी और आईएस नीति अपेक्षाओं का अनुपालन बैंक द्वारा किया गया हे इस आशय का प्रमाणित सूचना प्रणाली परीक्षक का प्रमाणपत्र भी प्रस्तुत किया जाए ।

3. कृपया संबंधित क्षेत्रीय कार्यालय को इस परिपत्र की प्रातिकी सूचना दें ।

भवदीय

(ए. उदगाता)
प्रभारी मुख्य महाप्रबंधक

अनुलग्नक : 11

अनुबंध - 1

शहरी सहकारी बैंक (शहरी सहकारी बैंक) के ग्राहकों के लिए इंटरनेट बैंकिंग सुविधा
प्रदान करने से संबंधित दिशानिर्देश

अपने ग्राहकों को इंटरनेट बैंकिंग सुविधा प्रदान करने के इच्छुक अनुसूचित शहरी सहकारी बैंकों को अपने बोर्ड के अनुमोदन से इंटरनेट बैंकिंग संबंधी नीति तैयार करनी चाहिए । उक्त नीति के अंतर्गत प्रौद्यागिकी और सुरक्षा मानकों के साथ-साथ कानूनी विषयों के बारे में पर्याप्त रूप से मार्गदर्शन किया जाए । शहरी सहकारी बैंकों में उचित आंतरिक नियंत्रण प्रणालियां स्थपित की जानी चाहिए और परिचालन गत जोखिम को ध्यान में रखना चाहिए और अपने ग्राहकों को इंटरनेट बैंकिंग सुविधा प्रदान करने से पहले उसमें निहित जोखिम, उत्तरदायित्वों और दायित्वों के विषय में पर्याप्त प्रकटीकरण भी करना चाहिए ।

1. प्रौद्योगिकी और सुरक्षा मानक

ए. शहरी सहकारी बैंक के पास बोर्ड द्वारा विधिवत् अनुमोदित सूचना सुरक्षा नीति होनी चाहिए । सूचना प्रौद्योगिकी (आईटी) प्रभाग और सूचना सुरक्षा (आईएस) प्रभाग के कार्यों का सुस्पष्ट पृथक्करण किया जाना चाहिए । सूचना प्रौद्योगिकी प्रभाग कंप्यूटर प्रणालियों को वास्तविक रूप में कार्यन्वित करेगा । साथ ही केवल सूचना प्रणाली सुरक्षा से संबंधित कार्यव्यवहार करने के लिए अलग से एक सूचना सुरक्षा अधिकारी की नियुक्ति की जानी चाहिए । इसके अलावा सूचना प्रणाली लेखा परीक्षक सूचना प्रणालियों की लेखा परीक्षा करेगा ।

बी. शहरी सहकारी बैंकों को सुस्पष्ट ढंग से भूमिकाओं को निर्धारित करते हुए नेटवर्क और डेटाबेस प्रशासक को नियुक्त करना चाहिए ।

सी. डेटा, सिस्टम्स, ऍप्लीकेशन साँफ्टवेयर, यूटीलिटीज, टेलीकम्युनिकेशन लाइन्स, लाइब्ररी, सिस्टम सॉफ्टवेयर आदि के लिए लॉजिकल एकसेस कंट्रोल स्थापित किये जाने चाहिए ।

डी. शहरी सहकारी बैकों को यह सुनिश्चित कर लेना चाहिए कि इंटरनेट और बैंक की सिस्टम के बीच सीधा संबंध नहीं है ।

इ. शहरी सहकारी बैंक के पास नेटवर्क में हस्तक्षेपों को रोकने के लिए प्रभावी सुरक्षा उपाय होने चाहिए ।

एफ. यह भी सिफ़ारिश की जाती है कि ऍप्लीकेशन सर्वर पर सभी अनावश्यक सेवाएं जैसे फाइल ट्रान्सफर प्रोटोकाल (एफटीपी), टेलनेट को निर्योग्य (disabled) बनाया जाए । ऍप्लीकेशन सर्वर ई-मेल सर्वर से अलग रखा जाए ।

जी. सभी कंप्यूटर एक्सेसेस जिनमें प्राप्त मेसेज भी शामिल हैं, लॉग किये जाने चाहिए । सुरक्षा उल्लंघनों (संदेहात्मक अथवा प्रयास किये गए ) को रिकार्ड किया जाए और अनुवर्ती र्कार्रवाई की जाए । हस्तक्षेपों और आक्रमणों से बचने के लिए बैंकों को प्रणालियों और नेटवर्क की निगरानी करने हेतु साधन अर्जित करने चाहिए । सुरक्षा उल्लंघनों से बचने के लिए इन साधानों का नियमित रूप से उपयोग करना चाहिए । बैंक को अपनी सुरक्षा मुलभूत संरचना और सुरक्षा नीतियों की नियमित रूप से संवीक्षा करनी चाहिए और अपने अनुभवों और बदलती प्रौद्योगिकियों के परिप्रेक्ष्य में अनुकूल बनाना चाहिए ।

एच. सूचना सुरक्षा अधिकारी और सूचना प्रणाली लेखा परीक्षकों को प्रणाली का गहन परीक्षण करना चाहिए जिसमें निम्नलिखित का समावेश किया जाए :

1. पासवर्ड खोजने के साधनों का उपयोग करते हुए पासवर्ड का अनुमान लगाने के प्रयास करना ।

2. प्रोग्राम में बैक डोर ट्रॅप्स का पता लगाना ।

3. डिस्ट्रीब्युटेड डिनाईल ऑफ सर्विस (डीडीओएस) तथा डिनाईल ऑफ सर्विस (डीओएस) आक्रमणों का प्रयोग करते हुए सिस्टम को ओवरलोड करने के प्रयास करना ।

4. सॉफ्टवेयर में सामान्यत: जानी जानेवाली खामियां विशेष रूप से ब्राउजर और ई-मेल सॉफ्टवेयर में हैं अथवा नहीं इसकी जांच करें ।

5. बाहरी विशेषज्ञों (जिन्हें प्राय: ’एथिकल हॅकर्स ’ कहा जाता है) की नियुक्ति करते हुए परीक्षण भी किया जाना चाहिए ।

आई. प्रत्यक्ष प्रवेश नियंत्रणों को कड़ाई से लागू किया जाए । अंतर्गत और बाह्य दोनों खतरों से बचने के लिए सूचना प्रणालियों और साईट का स्थान प्रत्यक्ष सुरक्षा से संरक्षित किया जाना चाहिए ।

जे. शहरी सहकारी बैंक के पास डेटा बैकअप के लिए पर्याप्त मूलभूत सुविधाएं और सूचियां तैयार होनी चाहिए । बैकअप डेटा की आवधिक रूप से जांच की जानी चाहिए जिससे बैंक की सुरक्षा नीति में दी गयी समय सीमा में लेनदेनों के नुकसान के बिना कार्य पूरा किया जा सके । डिजास्टर रिकवरी साईट स्थापित करते हुए कारोबार की निरंतरता सुनिश्चित की जाए । इन सुविधाओं की भी आवधिक जांच की जानी चाहिए ।

के. कानूनी प्रयोजन के लिए बैंक के सभी ऍप्लीकेशनों में उचित रिकार्ड रखने की सुविधाएं मौजुद होनी चाहिए । यह आवश्यक होगा कि प्राप्त और प्रेषित सभी संदेश (मेसेज) को एनक्रिप्टेड और डिक्रिप्टेड फॉर्म दोनों रूपों में रखा जाए ।

एल. सामान्य परिचालनों के लिए सिस्टम एवं ऍप्लीकेशन का प्रयोग करने से पहले सुरक्षा संबंधी मूलभूत सुविधाओं की उचित जांच की जाए । शहरी सहकारी बैंक आवधिक रूप से सिस्टम नवीन रूप (वर्जन) में उन्नत करें जिससे बेहतर सुरक्षा और नियंत्रण किया जा सके ।

उपर्युक्त के अलावा ग्राहकों को इंटरनेट बैंकिंग सुविधा प्रदान करते समय अनुबंध 2 में यथावर्णित सुरक्षा विशेषताओं को ध्यान में लिया जाए ।

II. कानूनी विषय

ए. वर्तमान कानूनी स्थिति को ध्यान मे रखते हुए बैंकों का यह दायित्व है कि जो ग्राहक इंटरनेट बैंकिंग सुविधा प्राप्त करने के इच्छुक हैं उनकी पहचान प्रमाणित करें । इतनाही नहीं उनकी ईमानदारी और प्रतिष्ठा के बारे में भी पूछताछ करें । अत: खाता खोलने संबंधी अनुरोधों को इंटरनेट पर स्वीकार किए जाने के बावजूद ग्राहक का उचित परिचय, उसकी पहचान का सत्यापन और केवाईसी दिशानिर्देशों के कठोर पालन के बाद ही खाते खोले जाएं ।

बी. कानूनी दृष्टि से बैंकों द्वारा उपयोगकर्ताओं को अधिप्रमाणित करने के लिए अपनायी गयी सुरक्षा प्रक्रिया को हस्ताक्षर के स्थानपर मान्यता दी जाने की जरूरत है । सूचना प्रौद्योगिकी अधिनियम, 2000 के निर्देशों और कानूनी प्रावधानों का इंटरनेट बैंकिंग सुविधा प्रदान करते समय ईमानदारी से पालन किया जाना चाहिए ।

सी. विद्यमान कार्यपरिधि में बैंकों का यह दायित्व है कि ग्राहकों के खातों की गोपनीयता और विश्वस्तता को बनाए रखें । इंटरनेट बैंकिंग परिवेश में जो बैंक उपर्युक्त दायित्व को पूरा नहीं करते उनका जोखिम कतिपय तथ्यों के कारण अत्यधिक बढ़ जाता है । सभी उचित सावधानियां बरतने के बावजूद हैकिंग /प्रौद्यागिकीगतअसफलताओं के कारण गोपनीयता का भंग करने, सेवा नकारने आदि के कारण बैंकों को ग्राहकों के प्रति दायित्व का बढ़ा हुआ जोखिम उठाना पड़ सकता है । अत: शहरी सहकारी बैंकों को ऐसे जोखिमों के प्रबंधन के लिए पर्याप्त जोखिम नियंत्रण उपाय करने चाहिए ।

डी. इंटरनेट बैंकिंग परिवेश में शहरी सहकारी बैंकों को, ग्राहकों से प्राप्त भुगतान रोको अनुदेशों पर कार्रवाई करने के लिए बहुत ही कम गुंजाईश रहती है इसलिए शहरी सहकारी बैंको को अपने ग्राहकों को, स्पष्ट रूप से जिस समयसीमा और परिस्थितियों के अंतर्गत भुगतान रोको अनुदेशों को स्वीकार किया जा सकता है उनकी सूचना देनी चाहिए ।

इ. ग्राहक संरक्षण अधिनियम, 1986 में भारत में ग्राहकों के अधिकारों की परिभाषा दी गयी है और यह अधिनियम बैंकिंग सेवाओं को भी लागू होता है । इंटरनेट बैंकिंग सुविधा का विकल्प देनेवाले ग्राहकों को इंटरनेट बैंकिंग सुविधा प्राप्त करनेवाले ग्राहकों के अधिकारों और दायित्वों की स्पष्ट रूप में जानकारी दी जानी चाहिए । पारंपारिक बैंकिंग में बैंकिंग व्यवसाय और ग्राहकों द्वारा लाभ उठाये जानेवाले अधिकारों को ध्यान में रखते हुए हैकिंग के माध्यम से अनधिकृत अंतरण, प्रौद्योगिकीगत असफलता की वजह से सेवा को नकारने के कारण शहरी सहकारी बैंको का दायित्व निर्धारित करने की आवश्यकता है और इंटरनेट बैंकिंग सुविधा प्रदान करनेवाले बैंकों को ऐसे जोखिमों के लिए अपने आपको बीमाकृत करना चाहिए ।

III. आंतरिक नियंत्रण प्रणाली

शहरी सहकारी बैंक को इंटरनेट बैंकिंग सुविधा प्रदान करने से पहले उचित आंतरिक नियंत्रण प्रणालियां विकसित करनी चाहिए । इसमें प्रणाली का आंतरिक निरीक्षण /लेखापरीक्षा और इंटरनेट बैंकिंग संबंधी प्रक्रियाओं का समावेश होगा तथा डेटा एकीकरण, ग्राहक गोपनीयता और डेटा सुरक्षा के संरक्षण के लिए उचित रक्षा उपाय किये गए हैं इसे सुनिश्चित करना भी शामिल है । इंटरनेट बैंकिंग के माध्यम से किये गए लेनदेनों पर मौद्रीक सीमा निर्धारित करने पर शहरी सहकारी बैंक विचार कर सकते हैं । आंतरिक नियंत्रण प्रणाली में निम्नलिखित का समावेश किया जाए:

ए. कार्य और उत्तरदायित्व /संगठनात्मक संरचना : बोर्ड और वरिष्ठ प्रबंधक वर्ग की यह जिम्मेदारी है कि आंतरिक नियंत्रण प्रणाली प्रभावी ढंग से कार्य कर रही है इसे सुनिश्चित करें । बोर्ड की लेखा परीक्षा समिति में सूचना प्रणालियों, संबंधित नियंत्रणों और लेखापरीक्षा मामलों के विषय में पर्याप्त जानकारी रखनेवाला सदस्य नियुक्त किया जाना चाहिए ।

बी. आईएस लेखापरीक्षा का समावेश करने के लिए लेखापरीक्षा नीति : आईएस लेखापरीक्षा शहरी सहकारी बैंक के आंतरिक लेखापरीक्षा का अनिवार्य भाग होना चाहिए ।

सी. रिपोर्टिंग और अनुवर्ती कार्रवाई : इसमें कर्मचारियों द्वारा उच्चतर प्राधिकारियों को रिपोर्टिंग करने की पद्धति अंतर्भूत है । सुरक्षा प्रणालियों और प्रक्रियाओं में किसी तरह के भंग और उसमें असफलता की सूचना लेखा समिति के उच्च प्राधिकारी को दी जानी चाहिए । आईएस लेखापरीक्षक लेखापरीक्षा सारांश तैयार करेंगे जिसमें योजना को लेकर लेखापरीक्षा निष्कर्षों तक की संपूर्ण लेखापरीक्षा प्रक्रिया का विहंगावलोकन किया जाएगा, लेखापरीक्षिती से निष्कर्षों की चर्चा करेंगे और प्रतिक्रियाएं प्राप्त करेंगे । शहरी सहकारी बैंक की लेखापरीक्षा निष्कर्षों के अनुपालन के लिए समयबद्ध अनुवर्ती नीति होनी चाहिए । सुरक्षा और प्रक्रियाओं में गंभीर गलतियों की जानकारी बोर्ड को देना आवश्यक है ।

IV. अन्य विषय और प्रकटीकरण -

बैंकों पर लागू की गयी विद्यमान विनियामक संरचना को इंटरनेट बैंकिंग तक विस्तारित किया जाएगा । इस संबंध में यह सूचित किया जाता है कि

ए. इंटरनेट बैंकिंग अंतर्गत सेवा उत्पादों को केवल खाताधारकों तक सीमित रखा जाए ।

बी. सेवाओं में केवल स्थानीय मुद्रा उत्पादों को शामिल किया जाए ।

सी. इंटरनेट के माध्यम से बैंकिंग करने में ग्राहकों की जोखिमों, उत्तरदायित्वों और दायित्वों को शहरी सहकारी बैंक प्रकट करें :

डी. इंटरनेट बैंकिंग सुविधा प्रदान करते समय बैंकों ने केवाईसी दिशानिर्देशों /एएमएल मानकों और पीएमएलए 2002 के अंतर्गत जारी किये गए प्रावधानों और निर्देशों का कठोर अनुपालन करना चाहिए ।

इ. बैंकों के वेबसाईटों की हाइपर लिंक से प्राय: लोकमत संबंधी जोखिम उत्पन्न होती है । ऐसे लिंक के कारण ग्राहकों को की यह दिशाभूल न हो कि बैंक बैंकिंग से सबंधित न होनेवाले किसी विशिष्ट उत्पाद अथवा व्यवसाय को प्रायोजित करता हैं । बैंकों के वेबसाईटों से हाइपर लिंक केवल उन्हीं पोर्टलों तक सीमित रखें जिनमें भुगतान व्यवस्था की गयी है । अन्य पोर्टलों से बैंक के वेबसाईटों तक हाइपरलिंक का उपयोग सामान्यतया बैंक ग्राहकों द्वारा पोर्टल में किये गए क्रय संबंधी जानकारी आगे बढ़ाने के लिए किया जाता है । ग्राहकों के क्रय के संबंध में अन्य वेबसाईटों से प्राप्त अनुरोध पर कार्रवाई करते समय सिफ़ारिश की गयी सुरक्षा सावधानियां बरतनी चाहिए ।

अनुबंध - 2

इंटरनेट बैंकिंग - सुरक्षा विशेषताएं

1. शहरी सहकारी बैंको को यह सुनिश्चित करना चाहिए कि उनके वेब ऍप्लीकेशनों के लिए उचित सुरक्षा उपाय किये गए हैं और विभिन्न वेब सुरक्षा जोखिमों से बचने के लिए पर्याप्त उपाय करने चाहिए ।

2. वेब ऍप्लकेशन एचटीएमएल हिडन फिल्ड, कूकीज अथवा अन्य किसी ग्राहक-पक्ष स्टोरेज में संवेदनशील जानकारी स्टोअर न करें , जिससे डेटा की वास्तविकता के संबंध में समझौता करना पड़े । पेचीदा वेब ऍप्लीकेशनों में सभी ऑन लाइन गतिविधियों के लिए कमसे कम एसएसएल वी3 अथवा विस्तारित वॅलीडेशन - एसएसएल /टीएलएस 1.0.128 बिट एनक्रिप्शन लेवल प्रवर्तित किया जाए ।

3. व्यत्यय के बाद किसी सेशन की पुन: स्थापना के लिए सामान्य उपयोगकर्ता पहचान, अधिप्रमाणीकरण और प्राधिकार देने की आवश्यकता होनी चाहिए । इसके अतिरिक्त स्ट्राँग सर्वर साइड वैलीडेशन भी संभव किया जाए ।

4. शहरी सहकारी बैंक के लिए आवश्यक है कि विभिन्न प्रौद्योगिकी स्तरों में कठोर सुरक्षा उपाय करते हुए सुरक्षा की रणनीति का अनुसरण करें ।

इंटरनेट बैंकिंग के लिए अधिप्रमाणीकरण पद्धतियां :-

1) अधिप्रमाणीकरण कार्यप्रणालियों में तीन पूल ’फैक्टर’ होते हैं :

• जिसे उपयोगकर्ता जानता है (उदा. पासवर्ड, पिन)
• जो उपयोगकर्ता के पास है (उदा. एटीएम कार्ड, स्मार्ट कार्ड);और
• जो उपयोगकर्ता है (उदा. बायोमेट्रिक विशेषता जैसे अंगुली का निशान (फिंगरप्रिंट)

2) उचित तरीके से तैयार की गयी और बहु फैक्टर अधि-प्रमाणीकरण पद्धतियां अधिक विश्वसनीय और मजबूत धोखाधड़ी निवारक और समझौते के लिए कठीन होती हैं । टू-फैक्टर अधिप्रमाणीकरण का प्रधान लक्ष्य होता है ग्राहक खाता डेटा और लेनदेन विवरणों की गोपनीयता को सुरक्षित रखना तथा फीशिंग, की लॉगिंग, स्पायवेयर /मालवेयर जैसे विभिन्न साइबर आक्रमण तकनीकों और बैंकों तथा उनके ग्राहकों को लक्ष्य करते हुए अन्य इंटरनेट आधारित धोखाधड़ियों से लड़ते हुए इंटरनेट बैंकिंग में विश्वास बढ़ाना ।

इंटरनेट बैंकिंग के लिए टू-फैक्टर अधिप्रमाणीकरण और अन्य सुरक्षा उपायों का कार्यान्वयन

1. साइबर आक्रमाणों के प्रचुर प्रसरण और उनके संभाव्य परिणामों को ध्यान में रखते हुए शहरी सहकारी बैंकों को इंटरनेट बैंकिंग के माध्यम से निधि अंतरण के टू-फैक्टर अधिप्रमाणीकरण को कार्यान्वित करना चाहिए ।

2. उचित अधिप्रमाणीकरण कार्यप्रणालियों का कार्यान्वयन संस्था की इंटरनेट बैंकिंग प्रणालियों द्वारा सामने रखे जोखिम मूल्यांकन पर आधारित होना चाहिए । जोखिम मूल्यांकन ग्राहक प्रकार (उदा. फुटकर अथवा कंपनी /वाणिज्यिक); ग्राहक की लेनदेन संबंधी क्षमता (उदा. बिल भुगतान, निधि अंतरण); ग्राहक सूचना की संवेदनशीलता और लेनदेन की मात्रा के परिप्रेक्ष्य में किया जाना चाहिए ।

3. प्रौद्योगिकी तथ्य से परे किसी विशिष्ट अधिप्रमाणीकरण पद्धति की सफलता उचित नीतियां, प्रक्रियाएं और नियंत्रणों पर निर्भर करती है । प्रभावी अधिप्रमाणीकरण पद्धति के अंतर्गत ग्राहक की स्वीकृति, प्रयोग की आसानी, विश्वसनीय कार्यनिष्पादन, विकास के अनुकूल बनने की स्कॅलेबिलीटी और अन्य प्रणालियों के साथ आंतर परिचालनक्षमता को ध्यान में लिया जाना चाहिए ।

4. इलेक्ट्रॉनिक लेनदेनों में एसीमेट्रिक क्रिप्टोसिस्टम और हैश फंक्शन का प्रयोग न करने में कानूनी जोखिम होता है । निधि अंतरण जैसे पेचीदा लेनदेन पूरे करने में शहरी सहकारी बैंक के लिए आवश्यक है कि कम से कम यूजर आईडी /पासवर्ड कॉम्बिनेशन के माध्यम से कठोर और परिवर्तनशील टू-फैक्टर अधिप्रमाणीकरण कार्यान्वित किया जाए, जैसे (क) डिजिटल सिग्नेचर (डिजिटल सर्टीफिकेट और एसोसिएटेड प्राइवेट की से युक्त टोकन के मार्फत ) (वरियता से कंपनी ग्राहकों के लिए) अथवा (ख) वनटाइम पासवर्ड (ओटीपी) / विभिन्न तरीकों से परिवर्तनशील ऍक्सेस कोड (जैसे मोबाइल फोन पर एसएमएस अथवा हार्डवेअर टोकन) ।

5. पूर्वनिर्धारित मूल्यों से अधिक लेनदेनों, नये खाते लिंकेज, अन्य अदाता विवरण पंजीकरण, खाता विवरण परिवर्तन अथवा निधि अंतरण सीमाओं में संशोधन करने के संबंध में ऑनलाइन प्रोसेसिंग सुरक्षा बढ़ाने के लिए पुष्टिकारक द्वितीय चैनल प्रक्रियाएं (जैसे टेलीफोनी, एसएसएस, ईमेल आदि) अपनयी जाएं । ये सुरक्षा विशेषताएं तैयार करने के लिए शहरी सहकारी बैंक उनकी प्रभावेत्पदकता और अतिरिक्त ऑनलाइन सुरक्षा के लिए विविध ग्राहक अधिमानों को ध्यान में रखें।

6. पारस्परिक अधिप्रमाणीकरण प्रोटोकाल के आधार पर ग्राहक सुरक्षा कार्यप्रणलियों के जरिये जैसे वैयक्तिक सुरक्षा आश्वासन संदेश / इमेज, चॅलेंज रिस्पांस सेक्योरिटी कोड और अथवा सेक्युअर सॉकेटृस लेयर (एसएसएल) सर्वर सर्टीफिकेट वेरीफिकेशन, बैंक की वेबसाइट का भी अधिप्रमाणीकरण कर सकते हैं । वर्तमान में एक्स्टेंडेड वॅलीडेशन सेक्यूअर सॉकेटृस (ईवीएसएसएएल ) सर्टीफिकेट का बढ़ता प्रयोग होने लगा है । ये विशेष एसएसएल सर्टीफिकेट्स हैं जो वेबसाइट की संगठनात्मक पहचान को सुस्पष्ट ढंग से अभिनिर्धारित करने के लिए हाइ सेक्युकर वेब ब्राउजर्स के साथ काम मे लाये जाते हें । तथापि यह नोट किया जाए कि एसएसएल केवल नेटवर्क ट्रान्सपोर्ट लेयर में मार्गस्थ डेटा को एनक्रिप्ट करने के लिए तैयार किया गया है । वह ऍप्लीकेशन लेयर में एंड-टू-एंड एनक्रिप्शन सुरक्षा प्रदान नहीं करता ।

7. अधिप्रमाणीकृत सेशन अपने एनक्रिप्शन प्रोटोकाल के साथ ग्राहक से परस्पर संवाद के दौरान पूरे समय तक अक्षत बना रहना चाहिए । इसके अलावा हस्तक्षेप की स्थिति में सेशन को समाप्त किया जाए और प्रभावित लेनदेनों को खंडित किया जाए अथवा रद्द किया जाए । ग्राहक को ऐसी घटना की तत्काल अथवा बाद में ई मेल, टेलीफोन अथवा अन्य किसी साधन के जरिये सूचना दी जाए कि सेशन समाप्त किया जा रहा है ।

8. मोबाइल फोन नंबर में परिवर्तन करने के लिए केवल शाखा से ही किये गए अनुरोध पर उसमें परिवर्तन किया जाए ।

9. वरचुअल की बोर्ड कार्यान्वित करें ।

10. नये लाभार्थियों को शामिल करते समय निष्क्रिय अवधि और एसएमएस और ई मेल चेतावनियों का आरंभ किया जाए ।

11. ग्राहकों को सूचित किया जाए कि अपने वैयक्तिक कंप्युटरों को सुरक्षित रखने के लिए विभिन्न सुरक्षा सावधानियों और पद्धतियों को अपनाएं और सार्वजनिक अथवा इंटरनेट कॅफे कंप्यूटरों से वित्तीय लेनदेन करने से दूर रहें ।

12. जोखिम आधारित लेनदेन जांच अथवा निगरानी पर सहायक कार्यक्रम के रूप में विचार करने की आवश्यकता है ।

13. ऑनलाइन सेशन किसी निर्धारित अवधि के बाद अपनेआप समाप्त हो जाना चाहिए, जब तक कि ग्राहक को मौजुदा सेशन जारी रखने के लिए पुन: अधिप्रमाणित न किया जाए । इससे अतिरिक्त समय तक इंटरनेट बैंकिंग सेशन जीवित रखने से हमलावर पर प्रतिबंध लगाया जाता है ।

14. परिभाषा के अनुसार वास्तविक बहुफैक्टर अधिप्रमाणीकरण के लिए आवश्यक है कि फैक्टरों की तीन श्रेणियों में से दो या उससे अधिक श्रेणियों के समाधानों का उपयोग किया जाए । प्रक्रिया में एक ही श्रेणी से अलग-अलग बिंदुओं पर बहुविध समाधानों का उपयोग करना स्तरीय सुरक्षा अथवा क्षतिपूरक नियंत्रण दृष्टिकोण का एक हिस्सा हो सकता है, परंतु वह वास्तव में बहुफैक्टर अधिप्रमाणीकरण नहीं कहा जाएगा ।

15. टू फैक्टर अधिप्रमाणीकरण संरचना के समाकलित भाग के रूप में शहरी सहकारी बैंकों को मिडलमैन अटॅक के एक्सपोजर से बचने के लिए उचित उपाय कार्यान्वित करने चाहिए, जिसे आम तौर पर मॅन-इन-द मिडल अटॅक (एमआईटीएम), मॅन-इन-द-ब्राउजर (एमआईटीबी) अटॅक अथवा मॅन-इन-द-ऍप्लीकेशन अटॅक कहते हैं । साथ ही बैंकों ने निम्नलिखित नियंत्रण और सुरक्षा उपयों पर मॅन-इन-द-मिडल अटॅक्स का एक्सपोजर कम करने के लिए विचार करना चाहिए और यदि उचित समझा जाए तो उन्हें कार्यान्वित करना चाहिए ।

ए. नये अदाता जोड़ने के लिए विशिष्ट ओटीपी :- प्रत्येक नये अदाता को दूसरे चैनल से ओटीपी पर आधारित ग्राहक द्वारा प्राधिकृत किया जाए जो अदाता के विवरणों को अथवा कायिक प्रक्रिया में किये गए ग्राहक के हस्ताक्षर दर्शाता है जिसे बैंक द्वारा सत्यापित किया गया है ।

बी. मूल्य लेनदेनों (भुगतान और निधि अंतरण) के लिए वैयक्ति ओटीपी : ग्राहक द्वारा निर्धारित प्रत्येक मूल्य लेनदेन अथवा विशिष्ट रूपया प्रारंभिक सीमा से अधिक मूल्य लेनदेनों की अनुमोदित सूची के लिए नये ओटीपी की आवश्यकता होगी ।

सी. ओटीपी टाइम विंडो - चॅलेंज आधारित और समय आधारित ओटीपी मजबूत सुरक्षा प्रदान करते हैं क्योंकि उनकी वैधता अवधि बैंक द्वारा संपूर्णत: नियंत्रित की जाती है और वह उपयोगकर्ता के आचरण पर निर्भर नहीं करती । यह शिफारिश की जाती है कि शहरी सहकारी बैंक ओटीपी टाइम विंडो को सर्वर टाइम के किसी भी पक्ष पर 100 सेकंदों से अधिक अनुमति न दें क्योंकि टाइम विंडो जितनी छोटी ओटीपी के गैर उपयोग का जोखिम उतनाही कम ।

डी. भुगतान और निधि अंतरण सुरक्षा : भुगतान अथवा निधि अंतरण लेनदेनों में अनधिकृत संशोधन या मिडलमइैन अटैक में भरे गए लेनदेन डेटा का पता लगाने के लिए डिजिटल हस्ताक्षर ओर की-आधारित मेसेज ऑथिंटिकेशन कोड (केएमएसी) पर विचार किया जा सकता है । यह सुरक्षा समाधान प्रभावी ढंग से लागू हो जाए इसलिए जो ग्राहक हार्डवेयर टोकन का उपयोग करता है उसमे लेनदेन डिजिटली साइनिंग प्रक्रिया और वन टाइम पासवर्ड निर्माण प्रक्रिया में स्पष्ट रूप से अंतर करने की कुशलता होनी चाहिए । डिजिटली वह जो हस्ताक्षर करता है वह उसके लिए अर्थपूर्ण होना चाहिए, इसका आशय यह कि टोकन से कम से कम अदाता खाता नंबर और भुगतान राशि को स्पष्ट रूप से दर्शाया जाए जिससे डिजिटल हस्ताक्षर निर्माण के उद्देश्य से हैश वैल्यु का अनुमान लगाया जाए । ओटीपी जनरेटिंग और लेनदेन हस्ताक्षर करने के लिए अलग-अलग क्रिप्टोकीज का इस्तेमाल किया जाए ।

इ. द्वितीय चैनल नोटिफिकेशन /पुष्टिकरण : बैंक को अपने ग्राहक को उसके द्वारा निर्धारित विशिष्ट मूल्य से अधिक सभी भुगतान अथवा निधि अंतरण लेनदेनों की दूसरे चैनल के जरिए सूचना देनी चाहिए ।

एफ. एसएसएल सर्वर सर्टिफिकेट वॉर्निंग :
इंटरनेट बैंकिंग ग्राहकों को एसएसएल अथवा ईवीएसएसएल सर्टिफिकेट वॉर्निंग की और उसे कैसे प्रतिक्रिया दें इसकी जानकारी दी जानी चाहिए ।

मौद्रिक नीति 2011-12 - पैरा 102 का उद्धरण

102. वाणिज्य बैंकों के समान बेहतर उत्पाद और सेवाओं के लिए शहरी सहकारी बैंकों के ग्राहकों की बढ़ती अपेक्षा को देखते हुए सहकारी बैंकों के लिए इंटरनेट बैंकिंग चैनल की सुविधा प्रदान करने से उन्हें अपने ग्राहक आधार को बनाए रखने में मदद मिलेगी। अत: प्रस्ताव है कि:

कतिपय मानदंडो को पूरा करने वाले अनुसूचित शहरी सहकारी बैंकों को अपने ग्राहकों को इंटरनेट बैंकिंग सुविधा प्रदान करने की अनुमति दी जाए।