भारत में इंटरनेट बैंकिंग - दिशा-निर्देश - आरबीआई - Reserve Bank of India
भारत में इंटरनेट बैंकिंग - दिशा-निर्देश
संदर्भ : बैंपविवि. कॉम्प.बीसी. सं.130/07.03.23/2000-2001
14 जून 2001
24 ज्येष्ठ 1923 (शक)
भारत में इंटरनेट बैंकिंग - दिशा-निर्देश
सभी अनुसूचित वाणिज्य बैंक
प्रिय महोदय,
भारत में इंटरनेट बैंकिंग - दिशा-निर्देश
आपको विदित ही है कि इंटरनेट बैंकिंग (आइ-बैंकिंग) के विभिन्न पहलुओं की जांच करने के लिए रिज़र्व बैंक ने ‘इंटरनेट बैंकिंग संबंधी कार्यदल’ का गठन किया था । उक्त दल ने आइ-बैंकिंग के तीन प्रमुख क्षेत्रों पर ध्यान केन्द्रित किया था, अर्थात् (i) प्रौद्योगिकी और सुरक्षा संबंधी मुद्दे, (ii) कानूनी मुद्दे और (iii) विनियामक तथा पर्यवेक्षण संबंधी मुद्दे । उक्त कार्यदल की रिपोर्ट की प्रति संलग्न है । रिज़र्व बैंक ने कार्यदल की सिफारिश स्वीकार कर ली है, जिन्हें चरणबद्ध रूप में कार्यान्वित किया जाना है । तदनुसार, बैंकों द्वारा कार्यान्वयन के लिए निम्नलिखित दिशा-निर्देश जारी किये जा रहे हैं । बैंकों को यह भी परामर्श दिया जाता है कि वे विभिन्न मुद्दों पर विस्तृत मार्गदर्शन के लिए मूल रिपोर्ट से मार्गदर्शन प्राप्त करें ।
- प्रौद्योगिकी और सुरक्षा संबंधी मानक :
(क) बैंक नेटवर्क और डाटाबेस प्रशासक नामित करें, जिसकी भूमिका कार्यदल की रिपोर्ट में बताये गये अनुसार स्पष्ट रूप से परिभाषित हो । (पैरा 6.2.4)
(ख) बैंकों की एक सुरक्षा नीति हो, जो निदेशक मंडल द्वारा विधिवत् अनुमोदित हो । सूचना प्रणाली की सुरक्षा के बारे में ही कार्य करनेवाले सुरक्षा अधिकारी / ग्रुप और कंप्यूटर प्रणाली का वास्तविक कार्यान्वयन करनेवाले सूचना प्रौद्योगिकी प्रभाग के बीच कार्यों (ड्यूटी) का अलग-अलग विभाजन होना चाहिए । इसके अतिरिक्त सूचना प्रणाली लेखा-परीक्षक सूचना प्रणाली की लेखा-परीक्षा करेगा । (पैरा 6.3.10, 6.4.1)
(ग) बैंकों को डाटा, प्रणालियों, अनुप्रयोग (ऐप्लिकेशन) सॉफ्टवेयर, उपयोगिताओं, दूर-संचार लाइनों, लाइब्रेरियों, प्रणाली सॉफ्टवेयर आदि के लिए तार्किक पहुंच नियंत्रण (लॉजिकल एक्सेस कंट्रोल) लागू करने चाहिए । तार्किक पहुंच नियंत्रण में यूजर-आइडी, पासवड़, स्मार्ट काड़ अथवा अन्य प्रकार की जैवमिती (बायोमेट्रिक) प्रौद्योगिकी शामिल होनी चाहिए । (पैरा 6.4.2)
(घ) बैंकों को कम से कम प्रॉक्सी सर्वर जैसे फायरवाल का इस्तेमाल करना ही चाहिए, ताकि इंटरनेट और बैंक की प्रणाली के बीच कोई सीधा संबंध (डायरेक्ट कनेक्शन) न हो पाये । इससे उच्च स्तर का नियंत्रण हो सकता है और लॉगिंग तथा ऑडिटिंग साधनों (टूल्स) का प्रयोग करके गहन निगरानी हो सकती है । संवेदनशील प्रणालियों के लिए एक स्टेटफुल निरीक्षण फायरवाल की सिफारिश की गयी है; जो जानकारी के सभी पैकेटों की गहन जांच करता है और पहले के तथा वर्तमान लेनदेनों की तुलना की जाती है । इनमें सामान्यत: रियल टाइम सिक्युरिटी अलर्ट (तत्काल सुरक्षा पहुंचाना) शामिल होता है । (पैरा 6.4.3)
(ङ) स्थानीय नेटवर्क (लैन) पर अनुप्रयोग सर्वर के रूप में मॉडेम के माध्यम से कार्यरत प्रणाली समर्थक सभी डायल-अप सेवाओं को अलग रखा जाना चाहिए, जिससे कि नेटवर्क में घुसपैठ को रोका जा सके, क्योंकि यह प्रॉक्सी सर्वर को बाइपास कर सकता है । (पैरा 6.4.4)
(च) इंटरनेट बैंकिंग की सुरक्षित सेवाओं के लिए सार्वजनिक कुंजी मूल संरचना (पब्लिक की इन्फ्रास्ट्रक्चर) सबसे अधिक पसंद की जानेवाली प्रौद्योगिकी है । परन्तु यह अभी सामान्यत: उपलब्ध नहीं है, अत: जब तक सार्वजनिक कुंजी मूल संरचना प्रचलन में नहीं आ जाती तब तक बैंकों को निम्नलिखित वैकल्पिक प्रणाली का प्रयोग करना चाहिए :
- सुरक्षित सॉकेट लेयर का प्रयोग, जो सर्वर का प्रमाणीकरण सुनिश्चित करती है और सर्टिफिकेट सर्वर का प्रयोग कर स्वयं बैंक द्वारा जारी ग्राहक साइड सर्टिफिकेट का प्रयोग किया जाये ।
- वेब सर्वर संचार के लिए ब्राउजर हेतु कम से कम 128-बिट वाले सुरक्षित सॉकेट लेयर का प्रयोग किया जाना चाहिए और इसके अतिरिक्त उद्यम के अंतर्गत भी मार्गस्थ पासवड़ जैसे संवेदनशील डाटा का गूढ़लेखन (इन्क्रिप्शन) किया जाना चाहिए । (पैरा 6.4.5)
(छ) यह भी सिफारिश की जाती है कि फाइल ट्रान्सफर प्रोटोकोल (फाइल अंतरण संलेख), टेलनेट जैसे अनुप्रयोग सर्वर पर सभी अनावश्यक सेवाएं डिसेबल कर दी जानी चाहिए । अनुप्रयोग सर्वर ई-मेल सर्वर से पृथक रखा जाना चाहिए । (पैरा 6.4.6)
(ज) कंप्यूटर तक सभी तरह की पहुंच, जिसमें प्राप्त संदेश भी शामिल हैं, लॉग कर दी जानी चाहिए । सुरक्षा संबंधी उल्लंघनों (जहां संदेह हो या उल्लंघन की कोशिश हो) की रिपोर्ट की जानी चाहिए और अनुवर्ती कार्रवाई की जानी चाहिए तथा भविष्य की नीति बनाते समय इसका ध्यान रखा जाना चाहिए । बैंकों को निगरानी प्रणालियों के लिए साधन (टूल्स) प्राप्त करने चाहिए । नेटवर्क और प्रणालियों को घुसपैठ और हमले से बचाने और निगरानी के लिए साधन प्राप्त करने चाहिए । सुरक्षा संबंधी उल्लंघन से बचने के लिए इन साधनों का उपयोग नियमित रूप से किया जाना चाहिए । बैंकों को सुरक्षा संबंधी अपनी मूलभूत संरचना और सुरक्षा नीतियों की नियमित समीक्षा करनी चाहिए और अपने निजी अनुभवों तथा बदलती हुई प्रौद्योगिकियों के प्रकाश में उन्हें इष्टतम बनाये रखना चाहिए । उन्हें सुरक्षा से संबंधित अपने कार्मिकों तथा अंतिम प्रयोक्ताओं (एंड यूजर्स) को लगातार शिक्षित करते रहना चाहिए । (पैरा 6.4.7, 6.4.11, 6.4.12)
(झ) सूचना सुरक्षा अधिकारी और सूचना प्रणाली लेखा-परीक्षक को चाहिए कि वे प्रणाली का आवधिक परीक्षण करते रहें, जिसमें निम्नलिखित बातें शामिल हों :
1. पासवड़ को तोड़ने के साधनों (टूल्स) का प्रयोग करके पासवड़ का अनुमान लगाने की कोशिश
2. प्रोग्रामों में बैक डोर ट्रैप के लिए खोज़
3. सेवा की वितरित अस्वीकृति (डिस्ट्रिब्युटेड डिनाइयल ऑफ सर्विस) और सेवा की अस्वीकृति (डिनाइयल ऑफ सर्विस) संबंधी हमलों का प्रयोग करके प्रणाली को ओवरलोड करने की कोशिश ।
4. यदि सॉफ्टवेयर में विशेष रूप से ब्राउजर और ई-मेल सॉफ्टवेयर में कोई सामान्य रूप से ज्ञात कमियां हों, तो उनकी जांच करें ।
5. बाहर के विशेषज्ञों (जिन्हें प्राय: एथिकल हैकर कहा जाता है) की सेवायें लेकर भी प्रविष्टि (पेनीट्रेशन) जांच की जानी चाहिए । (पैरा 6.4.8)
(ञ) भौतिक रूप से पहुंच संबंधी नियंत्रण को दृढ़ता से लागू किया जाना चाहिए । भौतिक सुरक्षा में उन सभी सूचना प्रणालियों और साइटों को शामिल किया जाना चाहिए, जहां वे प्रणालियां या साइटें स्थित हों, आंतरिक और बाह्य दोनों आशंकाओं से सुरक्षा होनी चाहिए ।
(पैरा 6.4.9)
(ट) डाटा का बैकअप रखने के लिए बैंकों के पास उचित मूलभूत संरचना और अनुसूची होनी चाहिए । डाटा की निश्चित अवधि पर जांच होती रहनी चाहिए, ताकि निश्चित समय में लेनदेन की हानि किये बिना रिकवरी सुनिश्चित हो सके, जैसा कि बैंक की सुरक्षा नीति में बताया गया हो । खराब या नष्ट हुए डाटा की रिकवरी के लिए संकटकालीन साइटें स्थापित करके कारोबार का अनवरत जारी रहना सुनिश्चित करना चाहिए । इन सुविधाओं की भी आवधिक जांच होनी चाहिए । (पैरा 6.4.10)
(ठ) कानूनी प्रयोजनों के लिए रिकाड़ रखने की उचित सुविधायें बैंकों के सभी अनुप्रयोगों में होनी चाहिए । प्राप्त और भेजे गये सभी संदेशों को गूढ़लिखित करके और गूढ़लिखित को पठनीय बनाकर रखा जाना आवश्यक है । (पैरा 6.4.13)
(ड) प्रणालियों और अनुप्रयोगों का सामान्य कार्यों के लिए प्रयोग करने से पहले सुरक्षा संबंधी मूलभूत संरचना का उचित परीक्षण किया जाना चाहिए । बग और कमियों को दूर करने के लिए सॉफ्टवेयर विकसित करनेवालों के द्वारा जारी किये गये पैचों को स्थापित करके प्रणाली को उन्नत बनाया जाना चाहिए और बेहतर सुरक्षा तथा नियंत्रण देनेवाले नवीनतम एवं उन्नत संस्करण (वर्शन) का प्रयोग करना चाहिए । (6.4.1.5)
- कानूनी मुद्दे
(क) वर्तमान कानूनी स्थिति को ध्यान में रखते हुए बैंक संभावित ग्राहक की न केवल पहचान सुनिश्चित करने के लिए बाध्य हैं, बल्कि उसकी निष्ठा और प्रतिष्ठा के बारे में जांच-पड़ताल करने के लिए भी बाध्य हैं । इसलिए खाता खोलने का अनुरोध इंटरनेट पर स्वीकार तो किया जा सकता है, किन्तु उचित परिचय और ग्राहक की पहचान के लिए प्रत्यक्ष सत्यापन के बाद ही खाता खोला जाना चाहिए । (पैरा 7.2.1)
(ख) कानूनी दृष्टि से बैंकों द्वारा प्रयोक्ता की आवश्यकताओं के सत्यापन के लिए बैंक द्वारा अपनायी जानेवाली सुरक्षा संबंधी प्रक्रिया को हस्ताक्षर के स्थानापन्न के रूप में कानून द्वारा मान्यता प्राप्त होनी चाहिए । भारत में सूचना प्रौद्योगिकी अधिनियम, 2000 की धारा 3(2) में इलेक्ट्रॉनिक रिकॉड़ के सत्यापन के उपायों के रूप में एक विशेष प्रौद्योगिकी डअर्थात् असममिति प्रच्छन्न प्रणाली (असिमेट्रिक क्रिप्टो सिस्टम) और विखंडन (हैश) कार्य की व्यवस्था है । बैंकों द्वारा सत्यापन के लिए प्रयुक्त किसी अन्य पद्धति को कानूनी जोखिम के स्रोत के रूप में माना जाना चाहिए । (पैरा 7.3.1)
(ग) वर्तमान व्यवस्था के अंतर्गत बैंक अपने ग्राहकों के खातों को गुप्त रखने और गोपनीयता बनाये रखने के लिए बाध्य हैं । इंटरनेट बैंकिंग परिदृश्य में उपर्युक्त बाध्यता को पूरा न करनेवाले बैंकों का जोखिम अनेक कारणों से बहुत अधिक है । सभी तरह की उचित सावधानियां रखने के बावजूद गुप्तता के उल्लंघन, सेवा प्रदान न करने आदि के कारण ग्राहकों के प्रति देयता का जोखिम भी बैंकों के सामने बढ़ गया है, क्योंकि सेंधमारी (हैकिंग)/ प्रौद्योगिकी संबंधी अन्य असफलतायें हो सकती हैं । इसलिए बैंकों को इस प्रकार के जोखिम की व्यवस्था के लिए जोखिम नियंत्रण के पर्याप्त उपाय करने चाहिए । (पैरा 7.5.1 - 7.5.4)
(घ) इंटरनेट बैंकिंग में ग्राहकों से भुगतान रोकने संबंधी अनुदेश मिलने पर बैंकों को कार्रवाई करने की गुंजाइश बहुत कम होती है । इसलिए बैंकों को एक समय-सारणी सूचित करनी चाहिए और वे परिस्थितियां भी बतानी चाहिए जिनमें भुगतान रोकने संबंधी अनुदेश स्वीकार किया जा सकते हैं । (पैरा 7.6.1)
(ङ) उपभोक्ता संरक्षण अधिनियम, 1986 में भारत में उपभोक्ता के अधिकारों को परिभाषित किया गया है और यह बैंकिंग सेवाओं पर भी लागू है । वर्तमान में इंटरनेट बैंकिंग की सुविधायें पानेवाले ग्राहकों के अधिकारों और देयताओं का निश्चय बैंकों और ग्राहकों के बीच द्विपक्षीय करारों से होता है । परंपरागत बैंकिंग में ग्राहकों को जो बैंकिंग प्रथायें और अधिकार मिले हुए हैं, उन्हें ध्यान में रखते हुए सेंधमारी (हैंकिंग) के माध्यम से अनधिकृत अंतरण, प्रौद्योगिकी की खराबी के कारण सेवा न मिलने आदि के कारण ग्राहकों के प्रति बैंकों की देयता का मूल्यांकन करने की आवश्यकता है और बैंकिंग की सुविधा प्रदान करनेवाले बैंकों को इस तरह के जोखिम से बचाव सुनिश्चित करना चाहिए । (पैरा 7.11.1)
III. विनियमन और पर्यवेक्षण संबंधी मुद्दे
उक्त दल की सिफारिशों के अनुसार बैंकों पर विनियमन से संबंधित वर्तमान ढांचा इंटरनेट बैंकिंग पर भी लागू किया जायेगा । इस संबंध में सूचित किया जाता है कि :
1. जिन बैंकों को भारत में लाइसेंस दिया गया है और जिनका पर्यवेक्षण किया जाता है तथा जो भारत में भौतिक रूप में विद्यमान हैं, केवल उन्हीं बैंकों को इंटरनेट संबंधी उत्पाद भारत में निवासियों को देने की अनुमति होगी । इस प्रकार जो बैंक और आभासी बैंक भारत से बाहर निगमित हैं और जो भारत में भौतिक रूप में विद्यमान नहीं हैंैं, उन बैंकों को, वर्तमान में, इंटरनेट बैंकिंग सेवाएं भारत में निवासियों को देने की अनुमति नहीं होगी ।
2. ये उत्पाद केवल खातेदारों तक सीमित रखे जाने चाहिए और अन्य क्षेत्राधिकारों को प्रदान नहीं किये जाने चाहिए ।
3. सेवाओं में केवल स्थनीय मुद्रा के उत्पाद शामिल होने चाहिए ।
4. ‘इन-आउट’ परिदृश्य वह है, जहां भारतीय बैंकों (या भारत में विदेशी बैंकों की शाखाओं) द्वारा सीमा के बाहर के क्षेत्राधिकार के ग्राहकों को सेवाएं दी जायें और ‘आउट-इन’ परिदृश्य वह है, जहां भारतीय निवासियों को सीमा से बाहर के क्षेत्राधिकार में कार्यरत उन बैंकों द्वारा सेवाएं प्रदान की जायें, जिनकी अनुमति सामान्यत: नहीं है । यह दृष्टिकोण इंटरनेट बैंकिंग के लिए भी लागू होगा । विदेशी मुद्रा प्रबंधन अधिनियम (फेमा) के अंतर्गत सीमित प्रयोजन के लिए जो मौज़ूदा अपवाद हैं, अर्थात् जहां निवासी भारतीयों को विदेश में बैंकों आदि के साथ खाता रखने की अनुमति है, वहां ये अनुमति जारी रहेगी ।
5. भारतीय बैंकों की विदेश स्थित शाखाओं को यह अनुमति होगी कि वे, मेजबान देश के पर्यवेक्षक को संतुष्ट करने के अलावा अपने देश के पर्यवेक्षक को संतुष्ट करने की शर्त पर, अपने विदेश स्थित ग्राहकों को इंटरनेट बैंकिंग सेवाएं प्रदान करें ।
ऊपर बताये गये विनियामक दृष्टिकोण के अनुसार बैंकों को सूचित किया जाता है कि वे निम्नलिखित अनुदेशों का पालन करें :
(क) जो बैंक इंटरनेट पर सेवाएं देना चाहते हैं उन सभी को भारतीय रिज़र्व बैंक का पूर्व अनुमोदन प्राप्त करना चाहिए । इस तरह की अनुमति के लिए बैंक के आवेदन पत्र में बैंक की कारोबारी योजना, लागत और लाभ का विश्लेषण, अपनायी जानेवाली प्रौद्योगिकी, कारोबार में हिस्सेदारों, सेवा प्रदाता तीसरे पक्ष और जोखिम के प्रबंधन के लिए बैंक द्वारा अपनायी जानेवाली प्रस्तावित नियंत्रण क्रियाविधि आदि से संबंधित बातें बतायी जानी चाहिए । बैंक द्वारा इस परिपत्र में की गयी सिफारिशों को शामिल करते हुए सुरक्षा नीति बनानी चाहिए और किसी स्वतंत्र लेखा-परीक्षक से एक प्रमाणपत्र भी प्रस्तुत किया जाना चाहिए, जिसमें यह बताया जाये कि निर्धारित न्यूनतम अपेक्षायें पूरी कर ली गयी हैं । प्रारंभिक अनुमोदन के बाद दी जानेवाली सेवाओं / उत्पादों में यदि कोई महत्वपूर्ण परिवर्तन हो तो बैंक को उसकी सूचना रिज़र्व बैंक को देनी होगी । (पैरा 8.4.1, 8.4.2)
(ख) सुरक्षा प्रणाली और प्रक्रिया संबंधी किसी भी उल्लंघन या खराबी की जानकारी रिज़र्व बैंक को देनी होगी तथा रिज़र्व बैंक ऐसे बैंकों की विशेष लेखा-परीक्षा / निरीक्षण करने का निर्णय अपने विवेकानुसार ले सकता है । (पैरा 8.4.3)
(ग) ‘कंप्यूटर और दूरसंचार संबंधी जोखिम और नियंत्रण’ से संबंधित रिज़र्व बैंक के बैंकिंग पर्यवेक्षण विभाग के 4 फरवरी 1998 के परिपत्र सं. डीबीएस. सीओ. आइटीसी. बीसी. 10/ 31.09.001/97-98 द्वारा जारी किये गये दिशा-निर्देश इंटरनेट बैंकिंग पर भी उसी तरह लागू होंगे । पर्यवेक्षक के रूप में रिज़र्व बैंक इलेक्ट्रॉनिक बैंकिंग से संबंधित सभी जोखिमों को बैंकों के नियमित निरीक्षण के एक भाग के रूप में देखेगा । (पैरा 8.4.4, 8.4.5)
(घ) सेवा प्रदाता तीसरे पक्ष की ओर से पैदा होनेवाले जोखिमों, जैसे कि सेवा में व्यवधान, दोषपूर्ण सेवायें तथा बैंकों की प्रणालियों की सूक्ष्म जानकारी सेवा प्रदाताओं (सर्विस प्रोवइडरों) के कार्मिकों द्वारा प्राप्त कर लेने और उसका दुरुपयोग करने से संबंधित कारगर व्यवस्था के लिए बैंकों को बाहर से सहायता संबंधी दिशा-निर्देश विकसित करने चाहिए । (पैरा 8.4.7)
(ङ) ई-कॉमर्स की बढ़ती हुई लोकप्रियता की दृष्टि से इस प्रकार के लेनदेनों के निपटान के लिए ‘अंतर बैंक भुगतान गेटवे’ स्थापित करना आवश्यक हो गया है । ग्राहक, बैंक और पोर्टल के बीच लेनदेन के लिए प्रोटोकोल (संलेख) और उक्त कार्यदल द्वारा सिफारिश किये गये भुगतान गेटवे की स्थापना के लिए ढांचा बनाया जाना चाहिए । (पैरा 8.4.7, 8.4.9.1 - 8.4.9.5)
(च) जो संस्थाएं देश में चेक समाशोधन प्रणाली की सदस्य हैं केवल उन्हीं को इंटरनेट भुगतान के लिए अंतर-बैंक भुगतान गेटवे में भाग लेने की अनुमति होगी । सभी लेनदेनों के निपटान के लिए समाशोधन बैंक के रूप में किसी बैंक को प्रत्येक गेटवे को नामित किया जाना आवश्यक है । क्रेडिट काड़ का प्रयोग करके किये जानेवाले भुगतान, सीमा पार से ई-कॉमर्स लेनदेनों से बननेवाले भुगतान और सभी अंतर-बैंक भुगतान अर्थात् जिनमें केवल एक बैंक के लेनदेन हों अंतर बैंक भुगतान गेटवे के माध्यम से निपटान से बाहर रखे जाने चाहिए । (पैरा 8.4.7)
(छ) अंतर-बैंक भुगतान गेटवे में शुद्ध और सकल निपटान दोनों की क्षमता होनी आवश्यक है । सभी निपटान उसी दिन (इंट्रा-डे) और जहां तक संभव हो तत्काल (इन रियल टाइम) होने चाहिए । (पैरा 8.4.7)
(ज) गेटवे और सदस्य बैंक की कंप्यूटर प्रणाली के बीच सम्बद्धता (कनेक्टिविटी) लीज्ड लाइन नेटवर्क का प्रयोग करके प्राप्त की जानी चाहिए (न कि इंटरनेट के माध्यम से), जिसमें उचित डाटा गूढ़लेखन (इन्क्रिप्शन) मानक अपनाया जाना चाहिए । सभी लेनदेन सत्यापित होने चाहिए । एक बार विनियामक ढांचा स्थिर हो जाये तो लेनदेनों को लाइसेंस प्राप्त प्रमाणपत्र देनेवाली किसी एजेंसी द्वारा अंकीय रूप में (डिजिटली) प्रमाणित किया जाना चाहिए । सुरक्षा के न्यूनतम स्तर के रूप में सुरक्षित सॉकेट लेयर / 128 बिट गूढ़लेखन का प्रयोग किया जाना चाहिए । मूलभूत सुविधा को ग्राहकों के उपयोग के लिए उपलब्ध कराने से पहले भारतीय रिज़र्व बैंक भुगतान गेटवे पर और भाग लेनेवाली संस्थाओं के स्तर पर दोनों जगह संपूर्ण मूलभूत संरचना की सुरक्षा को प्रमाणीकृत करायेगा । (पैरा 8.4.7)
(झ) पानेवाले और पानेवाले के बैंक, भाग लेनेवाले बैंक और सेवा प्रदाता और स्वयं बैंकों के बीच द्विपक्षीय संविदाएं इस प्रकार के लेनदेनों के लिए कानूनी आधार बनेंगी । प्रत्येक पक्ष के अधिकारों और कर्तव्यों को स्पष्ट रूप से परिभाषित किया जाये और वे किसी भी न्यायालय में वैध होने चाहिए । (पैरा 8.4.7)
(ञ) इंटरनेट के माध्यम से कारोबार करने में ग्राहकों के लिए जोखिम, उनके उत्तरदायित्व और देयताओं को अधिदेशात्मक रूप में एक प्रकटीकरण टेम्प्लेट के माध्यम से प्रकट करना चाहिए । बैंकों को अपने अद्यतन वित्तीय परिणाम भी नेट पर देने चाहिए । (पैरा 8.4.8)
(ट) बैंकों की वेबसाइटों से हाइपर लिंक करने से अक्सर प्रतिष्ठा संबंधी जोखिम का एक मुद्दा उभरता है । इस प्रकार के संयोजन (लिंक) से ग्राहकों को यह विश्वास करने का भ्रम नहीं देना चाहिए कि बैंक किसी विशेष उत्पाद अथवा किसी ऐसे कारोबार को प्रायोजित कर रहे हैं जो बैंकिंग से सम्बद्ध नहीं हैं । बैंकों की वेबसाइट से हाइपर लिंक को उन्हीं पोर्टलों तक सीमित रखना चाहिए, जिनके साथ बैंकों का भुगतान हो रहा है अथवा वह अपनी अनुषंगी कंपनियों या प्रमुख कंपनी की साइटों तक सीमित होनी चाहिए । अन्य पोर्टलों से बैंकों की वेबसाइटों से हाइपर लिंक सामान्यत: उस जानकारी को देने के लिए होता है जो बैंक के ग्राहकों द्वारा पोर्टल में खरीदारी से संबंधित होता है । ग्राहकों की खरीदारी के संबंध में बैंक अन्य वेबसाइटों से प्राप्त अनुरोध पर कार्रवाई करते समय सुरक्षा के बारे में सिफारिश की गयी न्यूनतम सावधानियां अपनायें । (पैरा 8.4.9)
2. भारतीय रिज़र्व बैंक ने निर्णय किया है कि उक्त दल की सिफारिशें जो इस परिपत्र में बतायी गयी हैं, इंटरनेट बैंकिंग की सेवायें देनेवाले सभी बैंकों द्वारा तत्काल प्रभाव से अपनायी जानी चाहिए । हालांकि ये सिफारिशें इंटरनेट बैंकिंग के संदर्भ में की गयी हैं, किन्तु ये इलेक्ट्रॉनिक बैंकिंग के सभी रूपों के लिए सामान्य रूप से लागू हैं और किसी भी तरह की इलेक्ट्रॉनिक बैंकिंग सेवा देनेवाले बैंकों को उस सीमा तक उन्हें अपनाना चाहिए जिस सीमा तक ये प्रासंगिक हों ।
3. इंटरनेट बैंकिंग सुविधा देनेवाले सभी बैंकों को सूचित किया जाता है कि वे इस परिपत्र के प्रकाश में अपनी प्रणालियों की समीक्षा करें और रिज़र्व बैंक को बतायें कि वे किस प्रकार की सुविधायें दे रहे हैं, सिफारिशों का किस सीमा तक पालन किया गया है, यदि कोई विचलन हो तो और अनुपालन के लिए समय-सारणी बताते हुए अपने प्रस्ताव भी सूचित करें । इस प्रकार की पहली रिपोर्ट हमारे पास इस परिपत्र की तारीख से एक महीने में पहुंच जानी चाहिए । जो बैंक किसी भी तरह की इंटरनेट बैंकिंग सुविधा नहीं दे रहे हैं, वे अपनी रिपोर्ट में ‘शून्य’ दर्शायें ।
4. जो बैंक किसी प्रकार की लेनदेन सुविधायें पहले से ही दे रहे हैं, उन्हें सूचित किया जाता है कि वे उपर्युक्त पैराग्राफ में उल्लिखित बातों के अलावा लागत / लाभ आदि की संभावना सहित अपने कारोबारी मॉडल की रिपोर्ट दें और हमारा कार्योत्तर अनुमोदन प्राप्त करें ।
5. कृपया प्राप्ति-सूचना भिजवायें ।
भवदीय
(एम. आर. श्रीनिवासन)
प्रभारी मुख्य महा प्रबंधक
अनुलग्नक : यथोक्त
इस पेज को शेयर करें:
आरबीआई मोबाइल एप्लीकेशन इंस्टॉल करें और लेटेस्ट न्यूज़ का तुरंत एक्सेस पाएं!
