डिजिटल भुगतान सुरक्षा नियंत्रणों पर मास्टर निदेश

Notification Marquee

RbiAnnouncementWeb

असेट प्रकाशक

वापस

18 फ़रवरी 2021 को प्रकाशित

सुनें

डिजिटल भुगतान सुरक्षा नियंत्रणों पर मास्टर निदेश

आरबीआई/2020-21/74
पवि.केंका.सीएसआईटीसी.एसईसी.सं.1852/31.01.015/2020-21

18 फरवरी 2021

अध्यक्ष / प्रबंध निदेशक / मुख्य कार्यपालक अधिकारी
आरआरबी को छोड़कर सभी अनुसूचित वाणिज्यिक बैंक
लघु वित्त बैंक / भुगतान बैंक / क्रेडिट कार्ड जारी करने वाले एनबीएफसी

महोदया/ प्रिय महोदय,

डिजिटल भुगतान सुरक्षा नियंत्रणों पर मास्टर निदेश

कृपया वर्ष 2020-21 के लिए दिनांक 4 दिसंबर, 2020 के द्वि-मासिक मौद्रिक नीति वक्तव्य के विकासात्मक और विनियामक नीतियों पर वक्तव्य के पैरा II (7) का संदर्भ लें (सार नीचे प्रस्तुत है)। मास्टर निदेश विनियमित संस्थाओं को डिजिटल भुगतान उत्पादों और सेवाओं के लिए एक मजबूत शासन संरचना स्थापित करने और सुरक्षा नियंत्रण के सामान्य न्यूनतम मानकों को लागू करने के लिए आवश्यक दिशा निर्देश देता है।

2. मास्टर निदेश के हिंदी और अंग्रेजी पाठ में यदि कोई असंगति या अस्पष्टता पाई जाती है तो मास्टर निदेश का अंग्रेजी पाठ मान्य होगा।

भवदीय

(टी.के.राजन)
मुख्य महाप्रबंधक

डिजिटल भुगतान सुरक्षा नियंत्रण

भारत में डिजिटल भुगतान प्रणालियों की पूर्व स्थापित भूमिका को देखते हुए, आरबीआई इसके चारों ओर सुरक्षा नियंत्रणों को सबसे अधिक महत्व देता है। अब, विनियमित संस्थाओं के लिए ऐसी प्रणालियों के लिए एक मजबूत शासन संरचना स्थापित करने और अन्य के साथ-साथ इंटरनेट, मोबाइल बैंकिंग, कार्ड भुगतान और अन्य चैनलों के लिए सुरक्षा नियंत्रणों के सामान्य न्यूनतम मानकों को लागू करने के लिए भारतीय रिज़र्व बैंक (डिजिटल भुगतान सुरक्षा नियंत्रण) दिशा-निर्देश 2020 जारी करने का प्रस्ताव है। जब दिशा-निर्देश प्रौद्योगिकी और प्लेटफ़ॉर्म के लिए समान होंगे, यह ग्राहकों के लिए अधिक सुरक्षित तरीके से डिजिटल भुगतान उत्पादों का उपयोग करने के लिए एक उन्नत और सक्षम वातावरण का निर्माण करेंगे। आवश्यक दिशा-निर्देश अलग से जारी किए जाएंगे।

सूची

परिचय

अध्याय I - प्रारंभिक

लघु शीर्षक और प्रारम्भ

प्रयोजनीयता

परिभाषाएं

द्वितीय अध्याय - सामान्य नियंत्रण

शासन और सुरक्षा जोखिम का प्रबंधन

अन्य सामान्य सुरक्षा नियंत्रण

एप्लिकेशन सुरक्षा जीवन चक्र (ए.एस.एल.सी)

प्रमाणीकरण ढाँचा

धोखाधड़ी जोखिम प्रबंधन

समाधान तंत्र

ग्राहक संरक्षण, जागरूकता और शिकायत निवारण तंत्र

अध्याय III - इंटरनेट बैंकिंग सुरक्षा नियंत्रण

अध्याय IV - मोबाइल भुगतान एप्लिकेशन सुरक्षा नियंत्रण

अध्याय V - कार्ड भुगतान सुरक्षा

संक्षिप्त रूप

डिजिटल भुगतान सुरक्षा नियंत्रण पर मास्टर निदेश

प्रस्तावना

बैंककारी विनियमन अधिनियम, 1949, भारतीय रिज़र्व बैंक अधिनियम, 1934 और भुगतान और निपटान प्रणाली अधिनियम, 2007 द्वारा प्रदत्त शक्तियों का प्रयोग करते हुए, रिज़र्व बैंक इससे संतुष्ट होते हुए कि यह जनहित में आवश्यक और उचित है, एतद्वारा निदेश जारी करता है, जो यहां इसके बाद निर्दिष्ट है।

अध्याय -1

प्रारंभिक

1. लघु शीर्षक और प्रारम्भ

क. इन निदेशों को भारतीय रिज़र्व बैंक (डिजिटल भुगतान सुरक्षा नियंत्रण) निदेश, 2021 कहा जाएगा।

ख. ये निदेश भारतीय रिज़र्व बैंक (भारिबैं) की आधिकारिक वेबसाइट पर अपलोड किए जाने के दिन से छह महीने बाद की तिथि से प्रभावी होंगे। हालाँकि, भुगतान और निपटान प्रणाली विभाग (डीपीएसएस), विनियमन विभाग (डीओआर) या आरबीआई के पर्यवेक्षण विभाग (डीओएस) द्वारा परिपत्र या परमार्श के माध्यम से पहले से ही जारी निदेशों जिनमें चयनित विनियमित संस्थाओं (आरई) को जारी निदेश भी शामिल हैं के संबंध में समयसीमा तत्काल प्रभाव से या पहले से निर्धारित समयसीमा के अनुसार होगी।

2. प्रयोजनीयता

इन निदेशों के प्रावधान निम्नलिखित विनियमित संस्थाओं (आरई) पर लागू होंगे:

ए) अनुसूचित वाणिज्यिक बैंक (क्षेत्रीय ग्रामीण बैंकों को छोड़कर);

बी) लघु वित्त बैंक;

सी) भुगतान बैंक; तथा

डी) क्रेडिट कार्ड जारी करने वाले एनबीएफसी

3. परिभाषाएं

सभी अभिव्यक्तियों का, जब तक यहां परिभाषित न किया जाए, वही अर्थ होगा जो बैंककारी विनियमन अधिनियम, 1949, भारतीय रिज़र्व बैंक अधिनियम, 1934, भुगतान और निपटान प्रणाली अधिनियम, 2007 या सूचना प्रौद्योगिकी अधिनियम, 2000 / सूचना प्रौद्योगिकी (संशोधन) अधिनियम 2008 और इनके तहत बनाए गए नियम, किसी भी वैधानिक संशोधन या उसके ऊपर पुन: अधिनियमन या वाणिज्यिक भाषा में उपयोग किया गया हो, जैसा भी मामला हो में प्रयुक्त किया गया होगा।

अध्याय– II

सामान्य नियंत्रण

शासन और सुरक्षा जोखिम का प्रबंधन

4. विनियमित संस्थाएं अपने बोर्ड के अमोदन से डिजिटल भुगतान उत्पादों और सेवाओं के लिए एक नीति तैयार करेंगे। नीति की रूप-रेखा में किसी भी "नए उत्पाद" के मापदंडों को चर्चा में जिसमें समग्र व्यापार रणनीति के साथ इसका संबंध और उत्पाद के निहित जोखिम, जोखिम प्रबंधन इसे कम करने के उपायों, विनियामक निर्देशों के अनुपालन, ग्राहक अनुभव, आदि शामिल हैं, कार्यप्रणाली से भुगतान सुरक्षा अपेक्षाओं, सुरक्षा और कार्य-प्रदर्शन (एफएसपी) के निम्नलिखित दृष्टिकोण की चर्चा स्पष्ट रूप से शामिल की जानी चाहिएः-

क) ग्राहक के डेटा की गोपनीयता और डेटा की समग्रता और प्रदान की गई डिजिटल उत्पाद / सेवाओं से जुड़ी प्रक्रियाओं की सुरक्षा के लिए आवश्यक नियंत्रण;

ख) आवश्यक बैक अप के साथ मानव संसाधन, प्रौद्योगिकी आदि जैसे अपेक्षित बुनियादी ढाँचा की उपलब्धता

ग) यह आश्वासन कि भुगतान उत्पाद सुरक्षित तरीके से बनाया जाता है, जो सुरक्षा, स्थिरता सुनिश्चित करते हुए मजबूती से काम करता है और वांछित एसईआरपी प्राप्त करने के लिए उसे आवश्यक परीक्षण के बाद रोल आउट किया जाता है;

घ) क्षमता निर्माण और वृद्धि क्षमता के साथ विस्तार (प्रभावी लेनदेन प्रक्रिया हेतु विकास की अपेक्षाओं को पूरा करने के लिए);

ङ) सिस्टम / चैनलों की उच्च उपलब्धता (न्यूनतम तकनीकी रुकावट के लिए) सहित ग्राहक सेवा में न्यूनतम व्यवधान

च) सक्षम और प्रभावी विवाद समाधान तंत्र और ग्राहक शिकायत का प्रबंधन; तथा

छ) यदि उपरोक्त आवश्यकताओं में से किसी एक में बाधा आती है या बाधा उत्पन्न होने की उच्च संभावना होती है तो ऐसी स्थिति में पर्याप्त और उचित समीक्षा तंत्र सहित त्वरित सुधारात्मक कार्रवाई।

बोर्ड और वरिष्ठ प्रबंधन इस नीति के कार्यान्वयन के लिए जिम्मेदार होंगे। नीति की समय-समय पर समीक्षा की जाएगी, कम से कम वार्षिक आधार पर। विनियमित संस्थाए अलग-अलग डिजिटल उत्पादों के लिए अलग से इस नीति को बना सकते हैं या उसे समग्र उत्पाद नीति में शामिल कर सकते हैं। इसके अलावा, नीति दस्तावेज़ के लिए आवश्यक है कि प्रत्येक डिजिटल भुगतान उत्पाद / प्रदान की गई सेवाएं; यांत्रिकी, प्रारंभिक बिंदु की स्पष्ट परिभाषा, डिजिटल भुगतान चक्र में महत्वपूर्ण सविराम चरण / बिंदुओं और अंतिम बिंदु, सुरक्षा पहलुओं, डिजिटल भुगतान का निपटान किए जाने तक सत्यापन, डिजिटल पथ का स्पष्ट सचित्र प्रस्तुति और अपवाद प्रबंधन की आवश्यकताओं को शामिल करे। इसके अलावा, उपरोक्त आवश्यकताओं को पूरा करने, रोल आउट करने से पहले कई चरणों में उपयोगकर्ता स्वीकृति टेस्ट (यूएटी) करने के लिए तंत्र, एकाधिक हितधारकों से सहमति और अनुमोदन प्राप्त करना (यूएटी के बाद) और डेटा अभिलेखीय आवश्यकताओं को भी ध्यान में रखा जाएगा। डिजिटल उत्पाद का सपोर्ट करने वाले एप्लिकेशन (ओं) के लॉजिक, बिल्ड और सुरक्षा पहलुओं सहित पूरी प्रक्रिया के बाहरी मूल्यांकन की आवश्यकता को स्पष्ट रूप से व्यक्त किया जाना चाहिए।

5. विनियमित संस्थान, विशिष्ट जोखिमों जिसमें डिजिटल भुगतान उत्पादों और सेवाओं के पोर्टफोलियो से से जुड़े अनुपालन जोखिम और धोखाधड़ी जोखिम शामिल हैं, की पहचान, विश्लेषण, निगरानी और प्रबंधन के लिए अपने शासन और जोखिम प्रबंधन कार्यक्रमों में उचित प्रक्रियाओं को निरंतर आधार पर समग्र रूप से शामिल करेंगे। क्या डिजिटल भुगतान चैनलों के माध्यम से प्रदान किए जाने वाले उत्पाद या सेवा, परिचालन और सुरक्षा मानदंडों को पूरा करते हैं या नहीं इसका मूल्यांकन करने के लिए विनियमित संस्थाओं के बोर्ड / वरिष्ठ प्रबंधन के पास उपयुक्त कार्य- प्रदर्शन निगरानी प्रणाली / प्रमुख कार्य-प्रदर्शन संकेतक होंगे।

6. इस प्रक्रिया के हिस्से के रूप में विनियमित संस्थाएं, डिजिटल भुगतान उत्पाद और सेवाओं में अंतर्निहित सुरक्षा उपायों की सक्षमता की जांच के लिए स्वीकार्य सुरक्षा जोखिम, दस्तावेज आधारित सुरक्षा उद्देश्य और मात्रात्मक बेंचमार्क सहित कार्यप्रदर्शन मानक, के स्तर पर उत्पाद-स्तर सीमाओं को निर्धारित करेंगे। विनियमित संस्थाएं विपरीत प्रवृत्तियों अथवा चिंताओं की समय पर पहचान और समाधान के लिए और मात्रात्मक बेंचमार्क और लक्ष्यों से वास्तविक परिणाम की तुलना करेंगे और उत्पाद अथवा सेवा के सुरक्षा कार्यप्रदर्शन के आधार पर, यथोचित रूप में उत्पाद से संबंधित कारोबारी नीति/रणनीति को परिवर्तित करेंगे।

7. विनियमित संस्थानों के पास डिजिटल भुगतान बुनियादी ढांचे के प्रबंधन के लिए आवश्यक विशेषज्ञता के साथ प्रशिक्षित संसाधन होंगे। जहां कहीं विनियमित संस्थान तीसरे पक्ष के सेवा प्रदाताओं पर निर्भर हैं, आउटसोर्सिंग पर आरबीआई के दिशानिर्देशों के अनुरूप, तीसरे पक्ष के कर्मियों की गतिविधियों की निगरानी के लिए पर्याप्त निगरानी और नियंत्रण स्थापित किया जाएगा।

8. विनियमित संस्थान सेवा (एं) स्थापित करने और उसके बाद नियमित रूप से डिजिटल भुगतान उत्पादों और संबंधित प्रक्रियाओं और सेवाओं की सुरक्षा और साथ-साथ लक्षित उपयोगकर्ताओं के लिए इसकी अनुकूलता और उपयुक्तता के संबंध में जोखिम मूल्यांकन करेंगे। जोखिम मूल्यांकन में निम्न शामिल होने चाहिएः-

क) प्रौद्योगिकी स्टैक और उपयोग किए गए समाधान;

ख) डिजिटल उत्पाद के प्रत्येक टचपॉइंट में ज्ञात कमजोरियां और इकाई द्वारा की गई उपचारात्मक कार्रवाई

ग) तीसरे पक्ष के सेवा प्रदाताओं पर निर्भरता और ऐसे प्रदाताओं की निगरानी;

घ) विनियमित संस्थान के आंतरिक और बाह्य दोनों प्रणालियों के साथ डिजिटल भुगतान प्लेटफार्म के एकीकरण से उत्पन्न होने वाला जोखिम, जिसमें कोर सिस्टम और भुगतान प्रणाली ऑपरेटरों के सिस्टम शामिल हैं, आदि;

ङ) ऐसे उत्पादों का उपयोग करने के लिए आवश्यक ग्राहक अनुभव, सुविधा और प्रौद्योगिकी अंगीकरण;

च) समाधान प्रक्रिया

छ) अंतर परिचालन से संबंधित पहलू

ज) मौजूदा कानूनों / निर्देशों के अनुसार डेटा भंडारण, सुरक्षा और गोपनीयता की सुरक्षा;

झ) धोखाधड़ी जोखिम सहित परिचालन जोखिम;

ञ) व्यापार निरंतरता और सेवा की उपलब्धता;

ट) मौजूदा साइबर सुरक्षा अपेक्षाओं का अनुपालन; तथा

ठ) कंपैटिबिलिटी के पहलु

ऐसे मूल्यांकन में आसपास के परितंत्र भी शामिल होंगे। जोखिमों का मूल्यांकन भुगतान डेटा¹ के बचाव और सुरक्षा की आवश्यकताओं को पूरा करेगे और प्रणालियों की सुदृढ़ता का मूल्यांकन करेगा। आंतरिक जोखिम और नियंत्रण स्व-मूल्यांकन (आरसीएसए) अभ्यास शेष जोखिम की पहचान के लिए अंतर्निहित जोखिम और नियंत्रणों उनके बनिस्पत खतरों की संभावना और प्रभाव को भी कवर करेगा। इस तरह के अभ्यास में विनियमित संस्थानों के लिए यह अनिवार्य है कि वे सभी प्रणालियों और एप्लिकेशन का डेटाबेस को बनाए रखें और भुगतान परितंत्र में ग्राहक डेटा संगृहीत करें और प्रत्येक सिस्टम में लागू पीसीआई मानकों का अनुपालन करें (प्रमाणन / मानक प्रमाणन की अनिवार्य आवश्यकताओं के बावजूद)।

9. विनियमित संस्थान, चुने गए प्रौद्योगिकी प्लेटफार्मों, एप्लिकेशन आर्किटेक्चर से जुड़े जोखिमों का सर्वर और ग्राहक दोनों ओर से मूल्यांकन करेंगे। इसके अलावा, विनियमित संस्थानों को अपनी सेवाओं को प्रभावित करने वाली घटनाओं के आधार पर जोखिम परिदृश्यों और मौजूदा सुरक्षा उपायों की समीक्षा करनी चाहिए, इससे पहले कि बुनियादी ढांचे या प्रक्रियाओं में कोई बड़ा बदलाव किया जाए, या, जब जोखिम निगरानी गतिविधियों के माध्यम से किसी नए खतरे की पहचान की जाती है। इसके अलावा, प्लेटफ़ॉर्म की अप्रयुक्त या अवांछित गुणों को जोखिम कम करने के लिए बारीकी से नियंत्रित किया जाना चाहिए।

10. विनियमित संस्थान डिजिटल भुगतान उत्पादों और संबंधित सेवाओं की पेशकश से पहले मजबूत आंतरिक नियंत्रण प्रणाली विकसित करेंगे और परिचालन जोखिम को ध्यान में रखेंगे। इसमें यह सुनिश्चित करना शामिल होगा कि डेटा की समग्रता, ग्राहक की गोपनीयता और डेटा की सुरक्षा के लिए पर्याप्त सुरक्षा उपाय मौजूद हैं।

11. विनियमित संस्थान यह सुनिश्चित करेंगे कि डिजिटल भुगतान आर्किटेक्चर लेन-देन की मात्रा और ग्राहक वृद्धि के अनुरूप मजबूत और बड़ा होने योग्य है। विनियमित संस्थान की आईटी रणनीति यह सुनिश्चित करेगी कि बढ़ती हुई मांग को पूरा करने के लिए एक मजबूत क्षमता प्रबंधन योजना तैयार है। विनियमित संस्थान बोर्ड द्वारा अनुमोदित नीति के द्वारा आवधिक आधार पर सूप्रौ/सूप्रौ सुरक्षा संरचना और प्रौद्योगिकी प्लेटफ़ॉर्म की पूरी मरम्मत की समीक्षा तंत्र स्थापित करेंगे।

12. विनियमित संस्थानों के पास लेन-देन या ऑडिट-ट्रेल्स के नुकसान के बिना पुनः प्राप्ति सुनिश्चित करने डिजिटल उत्पादों से संबंधित बैक-अप डेटा का समय-समय पर परीक्षण करने के लिए आवश्यक क्षमता, सिस्टम और प्रक्रियाएं होनी चाहिए। डिजिटल भुगतान उत्पादों और सेवाओं के लिए इन सुविधाओं का कम से कम छमाही आधार पर परीक्षण किया जाना चाहिए।

अन्य सामान्य सुरक्षा नियंत्रण

13. डिजिटल भुगतान चैनलों (विशेषकर इंटरनेट पर) में संचार प्रोटोकॉल एक सुरक्षित मानक का पालन करेगा। डिजिटल भुगतान परितंत्र में एन्क्रिप्शन और सुरक्षा का एक उचित स्तर लागू किया जाएगा।

14. डिजिटल भुगतान उत्पाद और सेवाएं प्रदान करने वाले वेब एप्लिकेशन को डेटा की समग्रता में किसी भी तरह के समझौते से बचने के लिए एच.टी.एम.एल हिडेन फ़ील्ड, कुकीज़, या किसी अन्य क्लाइंट-साइड स्टोरेज में संवेदनशील जानकारी संगृहीत नहीं करनी चाहिए।

15. विनियमित संस्थान इंटरनेट पर प्रदान किए जाने वाले डिजिटल भुगतान उत्पादों और सेवाओं को सुरक्षित करने के लिए वेब एप्लिकेशन फायरवाल (डब्लयू.ए.एफ) समाधान और डीडीओएस शमन तकनीकों को लागू करेगा।

16. ‘की लेंथ’ (सममित / असममित एन्क्रिप्शन, हैशिंग), एल्गोरिदम (एन्क्रिप्शन साइनिंग, ‘की‘ का आदान-प्रदान, मैसेज डाइजेस्ट का निर्माण, रैंडम नंबर जनरेटर), सिफर सुइट्स, डिजिटल सर्टिफिकेट और ट्रांसमिशन चैनलों, डेटा प्रसंस्करण, प्रमाणीकरण के लिए में प्रयुक्त प्रोटोकॉल मजबूत होगा, जिसमें अंतरराष्ट्रीय स्तर पर स्वीकार किए गए और प्रकाशित मानकों जो असुरक्षित / भेद्य नहीं है को अपनाया गया होगा और ऐसे नियंत्रणों को लागू करने में शामिल कॉन्फ़िगरेशन, सामान्य, मौजूदा निर्देशों और देश के कानून के अनुरूप होगा।

17. वि.सं डिजिटल भुगतान परितंत्र तंत्र में उपयोग किए गए अपने डिजिटल प्रमाणपत्रों को समय रहते नवीनीकृत करेंगे।

18. मोबाइल एप्लिकेशन² और इंटरनेट बैंकिंग एप्लिकेशन में उपयोगकर्ता गतिविधि, सुरक्षा परिवर्तनों को ट्रैक करने और विषम व्यवहार और लेनदेन की पहचान करने के लिए प्रभावी लॉगिंग और निगरानी क्षमता होनी चाहिए।

एप्लिकेशन सुरक्षा जीवन चक्र (एएसएलसी)

19. विनियमित संस्थान, डिजिटल भुगतान उत्पादों और सेवाओं में अलग एप्लिकेशन, डेटाबेस और प्रस्तुति स्तर अलग-अलग रखते हुए बहुस्तरीय एप्लिकेशन आर्कीटेक्टर को लागू करेंगे।

20. विनियमित संस्थान डिजिटल भुगतान उत्पादों और सेवाओं के विकास में 'डिजाइन द्वारा सुरक्षित' दृष्टिकोण का पालन करेंगे। विनियमित संस्थान, यह सुनिश्चित करेंगे कि डिजिटल भुगतान एप्लिकेशन को उनके विकास के जीवनचक्र के भीतर सुरक्षा को अंतः स्थापित करके उन्हें स्वाभाविक रूप से अधिक सुरक्षित है।

21. विनियमित संस्थान, (ए) आवश्यकता संग्रहण (बी) डिजाइनिंग, (सी) विकास, (डी) स्रोत कोड समीक्षा सहित परीक्षण, (ई) कार्यान्वयन, रखरखाव और निगरानी (एफ) डिजिटल भुगतान एप्लिकेशन की सेवा बंद करने के चरण दौरान, सुरक्षा उद्देश्यों (ग्राहक की जानकारी / डेटा की सुरक्षा सहित) को स्पष्ट रूप से परिभाषित करेंगे।

22. विनियमित संस्थाएं (सह-ब्रांड / सह-विकसित एप्लिकेशन के लिए अन्य संस्थाओं के साथ साझेदारी करने वाले) अपनी नीतियों, प्रक्रियाओं, दिशानिर्देशों और प्रक्रियाओं में जीवन चक्र प्रबंधन के दौरान थ्रेट मॉडलिंग दृष्टिकोण को अपनाएंगी और शामिल करेंगी।

23. तीसरे पक्ष के विक्रेता द्वारा लाइसेंस प्राप्त डिजिटल भुगतान एप्लिकेशन के लिए, विनियमित संस्थाओं के पास वेंडर की चूक के कारण या सेवाओं को प्रदान करने में असमर्थ होने की स्थिति में सेवाओं की निरंतरता सुनिश्चित करने के लिए स्रोत कोड के लिए एस्क्रो व्यवस्था होगी।

24. विनियमित संस्थाएं, संग्रहित और प्रसारित किए जाने वाले डेटा की गोपनीयता और सम्पूर्णता सुरक्षित रखते हुए अपने डिजिटल भुगतान एप्लिकेशन के स्रोत कोड, भेद्यता मूल्यांकन (वीए) और भेदन परीक्षण (पीटी) की समीक्षा सहित सुरक्षा परीक्षण करेंगे ताकि यह सुनिश्चित किया जा सके कि लेनदेन को सफलतापूर्वक पूरा करने के लिए एप्लिकेशन सुरक्षित है। इस तरह के परीक्षण में विभिन्न मानकों जैसे ओडब्ल्यूएएसपी के अनुपालन को अनिवार्य रूप से शामिल किया जाना चाहिए। यदि स्रोत कोड वि.सं के स्वामित्व में नहीं है, तो, ऐसे मामलों में, वि.सं एप्लिकेशन डेवलपर से एक प्रमाण पत्र लेगा, जिसमें यह उल्लेख हो कि कि आवेदन कोड ज्ञात कमजोरियों, मेलवेयर और किसी भी गुप्त चैनलों से मुक्त है। इस संबंध मे-

क. वी.ए कम से कम छमाही आधार पर आयोजित किया जाएगा; पीटी कम से कम वार्षिक आधार पर आयोजित की जाएगी। इसके अलावा जब कभी कोई नया आईटी इन्फ्रास्ट्रक्चर या डिजिटल भुगतान एप्लिकेशन प्रयोग में लाया जाता है या किसी एप्लिकेशन या इन्फ्रास्ट्रक्चर में बड़ा बदलाव किया जाता है तब वीए / पीटी आयोजित किया जाएगा।

ख. स्रोत कोड / प्रमाणन की समीक्षा से संबंधित परीक्षण आयोजित / पूरा किया जाएगा। यह वार्षिक आधार पर जारी रहेगा, यदि वर्ष के दौरान आवेदन में परिवर्तन / उन्नयन किया गया हो;

ग. परीक्षण / प्रमाणन को मोटे तौर पर इस उद्देश्य को पूरा करना चाहिए कि उत्पाद / संस्करण / मॉड्यूल (एस) केवल वांछित तरीके से कार्य करता है, इसे सबसे सुरक्षित डिजाइन / कोडिंग प्रथाओं और मानकों के अनुसार विकसित किया गया है, असुरक्षित कोडिंग के कारण ज्ञात खामियों / खतरों को दूर किया जाता है; तथा

घ. एप्लिकेशन प्रदाता द्वारा किसी भी गैर-अनुपालन के लिए वि.सं द्वारा तीसरे पक्ष के अनुबंध व्यवस्था में दंड प्रावधानों को शामिल किया जाएगा।

25. वि.सं नेटवर्क पर सभी प्रणाली जो महत्वपूर्ण हैं, आम लोगों के लिए उपलब्ध हैं या ग्राहक संवेदनशील डेटा संगृहीत करते हैं को लगातार और अधिक बारम्बरता के साथ स्वचालित रूप से स्कैन करने के लिए स्वचालित वीए स्कैनिंग उपकरण भी चला सकते हैं।

26. वि.सं यह सत्यापित करने / सुनिश्चित करने के लिए कि भेद्यताओं को, पैचिंग, क्षतिपूर्ती नियंत्रण को लागू करके या आवश्यक अनुमोदन के साथ शेष जोखिम को दस्तावेजीकृत करके और स्वीकार करके दूर कर लिया गया है, पूर्ववर्ती भेद्यता जांच के परिणामों की तुलना करेंगे और यह सुनिश्चित करेंगे कि भेद्यताओं की कोई पुनरावृत्ति नहीं हुई है। पहचानी गई भेद्यताओं को समयबद्ध तरीके से दूर किया जाना चाहिए।

27. विनियमित संस्थान यह सुनिश्चित करेंगे कि सभी भेद्यता जांच प्रमाणित रीति से की जाती हैं जिसमें एजेंट सुरक्षा कॉन्फ़िगरेशन का विश्लेषण करने के लिए या तो परिसर के भीतर सिस्टम पर प्रोग्राम रन करते हैं, या विश्लेषण करने के लिए रिमोट स्कैनर्स, जिसे परीक्षण किए जा रहे सिस्टम पर प्रशासनिक अधिकार दिए गए हैं, का उपयोग करते हैं।³

28. विनियमित संस्थान भुगतान उत्पादों और सेवाओं को ग्राहकों के लिए उपलब्ध कराने/परिचालन में लाने से पहले भुगतान उत्पादों और सेवाओं की कार्यात्मकता (यह सत्यापित करना कि क्या सिस्टम कार्यात्मक आवश्यकताओं / विनिर्देशों को पूरा करता है)और सुरक्षा नियंत्रणों को सत्यापित करेंगे और पूरी तरह से जांच करेंगे।

29. विनियमित संस्थान लोकप्रिय ऐप-स्टोर्स और वेब पर गैर-वास्तविक / अनधिकृत / हानिकर एप्लिकेशन (समान नाम / विषेशताओं के साथ) के लिए सक्रिय रूप से निगरानी करने के लिए एक तंत्र स्थापित करेगा और उन्हें हटाने के लिए तदनुसार कार्रवाई करेगा।

30. यह सुनिश्चित करने के लिए कि कोई लेनदेन गैर-वास्तविक / अनधिकृत डिजिटल भुगतान उत्पादों / एप्लिकेशन के माध्यम से नहीं किया गया है और प्रमाणीकरण प्रक्रिया मजबूत, सुरक्षित और केंद्रीकृत है विनियमित संस्थान के स्तर पर सर्वर के पास पर्याप्त नियंत्रण और संतुलन होना चाहिए।

31. डिजिटल भुगतान एप्लिकेशन के सुरक्षा नियंत्रण, एप्लिकेशन द्वारा भुगतान डेटा को संभालने, संगृहीत करने और सुरक्षित रखने के तरीकों पर केन्द्रित होने चाहिए। सुरक्षित डेटा संग्रहण और संचार हेतु API को प्रभावी बनाने के लिए सही तरीके से इसे कार्यान्वित और उपयोग किया जाना चाहिए। विनियमित संस्थान एप्लिकेशन सुरक्षा और अन्य सुरक्षा उपायों के लिए OWASP-MASVS, OWASP-ASVS जैसे मानकों और अन्य प्रासंगिक OWASP मानकों, सुरक्षा और आईएसओ 12812 में दिए गए डेटा सुरक्षा दिशानिर्देशों, NIST द्वारा विकसित किए गए सुरक्षा कैटलॉग और गाइड (ब्लूटूथ और LTE सुरक्षा हेतु सहित) से सहायता लेंगे। इस तरह के परीक्षण को आवश्यक रूप से भेद्यता जिसमें ऑपरेटिंग सिस्टम प्रदाताओं / ओईएम द्वारा विकसित / साझा किए गए OWASP / OWASP मोबाइल टॉप 10, एप्लिकेशन सुरक्षा दिशानिर्देशों / आवश्यकताओं को शामिल करते हुए, पर सीमित न रखते हुए सत्यापित करना होगा।

32. विनियमित संस्थान ग्राहक की जानकारी जैसे खाता संख्या / कार्ड नंबर / अन्य संवेदनशील जानकारी को एसएमएस / ई-मेल के माध्यम से प्रेषित करते समय उजागर नहीं करेंगे।

प्रमाणीकरण ढांचा

33. साइबर-हमलों के प्रसार और उनके संभावित परिणामों के मद्देनजर, विनियमित संस्थान उन परिस्थितियों को छोड़ जहां उन्हें स्पष्टतया अनुमति/छूट प्राप्त है, इलेक्ट्रॉनिक माध्यम से भुगतान और डिजिटल भुगतान एप्लिकेशनों के माध्यम से निधि अंतरण, जिसमें एटीएम / माइक्रो-एटीएम/ व्यवसाय प्रतिनिधियों से नकद निकासी भी शामिल है, के लिए बहु-कारक प्रमाणीकरण लागू करेंगे। प्रमाणीकरण कार्य-प्रणालियों में से कम से कम एक आम तौर पर गतिशील या गैर-प्रतिकृति होना चाहिए [जैसे, वन टाइम पासवर्ड का उपयोग, मोबाइल डिवाइस (डिवाइस बाइंडिंग और सिम), बायोमेट्रिक / पीकेआई / हार्डवेयर टोकन, सर्वर साइड सत्यापन के साथ ईएमवी चिप कार्ड (कार्ड प्रेजेंट ट्रांजैक्शंस के लिए) को गतिशील या गैर-प्रतिकृति कार्य-प्रणाली भी कहा जा सकता है।]

34. विनियमित संस्थान जोखिम मूल्यांकन, उपयोगकर्ता जोखिम प्रोफ़ाइल और व्यवहार के आधार पर सही प्रमाणीकरण कारकों का चयन करने के लिए अनुकूली प्रमाणीकरण को भी अपना सकता है। उचित रूप से डिज़ाइन किए गए और कार्यान्वित किए गए बहु-कारक प्रमाणीकरण कार्य-प्रणालियां अधिक विश्वसनीय और मजबूत धोखाधड़ी निवारक होती हैं और इन्हें भेदना अधिक कठिन होता है। बहु-कारक-प्रमाणीकरण का मुख्य उद्देश्य भुगतान डेटा की गोपनीयता की रक्षा के साथ-साथ विनियमित संस्थानों और उनके ग्राहकों पर लक्षित फ़िशिंग, कीलॉगिंग, स्पाइवेयर / मैलवेयर और अन्य इंटरनेट आधारित धोखाधड़ी जैसे विभिन्न साइबर-हमला तंत्रों का मुकाबला करके डिजिटल भुगतान में भरोसे को बढ़ाना है। इस संबंध में

क) उपयुक्त प्रमाणीकरण विधियों का कार्यान्वयन विनियमित संस्थानों के भुगतान उत्पादों और सेवाओं द्वारा उत्पन्न जोखिम के आकलन के आधार पर होना चाहिए। जोखिम का मूल्यांकन ग्राहक के प्रकार (जैसे, खुदरा / कॉर्पोरेट / वाणिज्यिक) ग्राहक की लेन-देन की आवश्यकताएं / पैटर्न (जैसे, बिल भुगतान, निधि अंतरण), ग्राहक की जानकारी की संवेदनशीलता और शामिल लेन-देन की मात्रा, मूल्य के संदर्भ में किया जाना चाहिए।

ख) प्रौद्योगिकी कारक से परे, किसी विशेष प्रमाणीकरण पद्धति की सफलता उचित नीतियों, प्रक्रियाओं और नियंत्रणों पर निर्भर करती है। एक प्रभावी प्रमाणीकरण पद्धति को ग्राहक स्वीकृति, उपयोग में आसानी, विश्वसनीय कार्य-निष्पादन, विकास को समायोजित करने के लिए मापनीयता, ग्राहक प्रोफ़ाइल, स्थान, लेन-देन, आदि और अन्य प्रणालियों के साथ पारस्परिकता को ध्यान में रखना चाहिए।

ग) ऑनलाइन प्रोसेसिंग सुरक्षा को बढ़ाने के लिए, सभी भुगतान लेनदेन (नामे और जमा सहित) नए अकाउंट लिंकेज के सृजन (लाभार्थियों का संयोजन / संशोधन/ विलोपन) खाता विवरण बदलना या निधि अंतरण सीमा में संशोधन के संबंध में बहुकारक प्रमाणीकरण और अलर्ट्स (जैसे एसएमएस, ई-मेल आदि) लागू किया जाना चाहिए। इन सुरक्षा सुविधाओं को तैयार करने में, विनियमित संस्थान को उनकी प्रभावकारिता और अतिरिक्त ऑनलाइन सुरक्षा के लिए ग्राहकों की अलग-अलग वरीयताओं को ध्यान में रखना चाहिए।

घ) ऑनलाइन लेनदेन के लिए ग्राहक को प्राप्त अलर्ट और ओटीपी, भुगतान समूहक, जिसके माध्यम से लेन-देन संपन्न हुआ था के बजाय जहां भी लागू हो, मर्चेन्ट का नाम प्रदर्शित करेंगे।

ङ) बहुकारक प्रमाणीकरण आर्किटेक्चर के अभिन्न अंग के रूप में, विनियमित संस्थानों को बिचौलिया हमला, जिसे आमतौर पर एक मैन-इन-मिडल अटैक (एमआईटीएम), मैन-इन-द-ब्राउजर (एमआईटीबी) अटैक या मैन-इन-द-एप्लिकेशन अटैक के रूप में जाना जाता है के जोखिम को कम करने के लिए उचित उपायों को भी लागू करना चाहिए। अन्य बातों के साथ, यह सुनिश्चित किया जाना चाहिए कि पारगमन में डेटा सुरक्षित है और लेनदेन केवल वास्तविक / अधिकृत स्रोत / प्रक्रिया द्वारा प्रमाणित किए जाते हैं।

च) ग्राहक के साथ पारस्परिक क्रिया के दौरान एक प्रमाणित सत्र, अपने एन्क्रिप्शन प्रोटोकॉल के साथ, बरकरार रहना चाहिए। अन्यथा, हस्तक्षेप की स्थिति में या ग्राहक द्वारा एप्लिकेशन को बंद करने की स्थिति में, सत्र समाप्त हो जाना चाहिए, और प्रभावित लेनदेन का समाधान हो जाना चाहिए या खाते में वापस अंतरित हो जाना चाहिए। ग्राहक को ईमेल, एसएमएस या अन्य माध्यमों से लेनदेन की स्थिति के बारे में तुरंत सूचित किया जाना चाहिए।

35. विनियमित संस्थानों को असफल लॉग-इन या प्रमाणीकरण प्रयासों की अधिकतम संख्या निर्धारित करनी चाहिए जिसके बाद डिजिटल भुगतान उत्पाद / सेवा तक पहुंच अवरुद्ध हो जाएगी। अवरुद्ध उत्पाद / सेवा तक पहुंच को फिर से सक्रिय करने के लिए उनके पास एक सुरक्षित प्रक्रिया होनी चाहिए। असफल लॉग-इन या प्रमाणीकरण प्रयासों के लिए ग्राहक को सूचित किया जाएगा।

जोखिम प्रबंधन

36. विनियमित संस्थान नियमों, निवारक, जासूसी प्रकार के नियंत्रणों के संबंध में संदिग्ध लेनदेन व्यवहार की पहचान करने के लिए कॉन्फ़िगरेशन पहलुओं और असफल प्रमाणीकरण के मामले में ग्राहकों को सतर्क करने के लिए तंत्र, इसकी समय -सीमा आदि को दस्तावेजीकृत और कार्यान्वित करेंगे।

37. सिस्टम अलर्ट को विभिन्न लागू मापदंडों के संदर्भ में मापदण्डीकृत किया जाएगा और इसकी निगरानी की जाएगी। इस तरह के मापदण्ड, यथायोग्य हो सकते हैं: अल्पावधि में लेन-देन की गति (जैसे, निधि अंतरण, नकद निकासी, इलेक्ट्रॉनिक मोड के माध्यम से भुगतान, नए लाभार्थियों को जोड़ना, आदि) बहुत हद तक उन ग्राहकों के खातों में जिन्होंने मोबाइल ऐप/ इंटरनेट बैंकिंग / कार्ड का कभी इस्तेमाल कभी नहीं किया है (भुगतान चैनल के प्रकार पर निर्भर करते हुए), उच्च जोखिम व्यापारी श्रेणी कोड (एमसीसी) मापदण्ड, नकली कार्ड मापदण्ड (अमान्य सीवीवी / पिन की श्रृंखला एक खाता निर्माण हमले को इंगित करती है), नया खाता मापदण्ड (नए खाते में अत्यधिक गतिविधि), समय क्षेत्र, भू-स्थान, आईपी पता मूल (असामान्य पैटर्न, निषिद्ध क्षेत्र / कपटपूर्ण आईपी के संबंध में), व्यवहार से संबंधी बायोमेट्रिक्स, निपटान बिंदु से लेन-देन की उत्पत्ति, मोबाइल वालेट्स /मोबाइल नंबर / वीपीए पर लेनदेन जिन पर विशिंग धोखाधड़ी या अन्य प्रकार की धोखाधड़ी रिकार्ड / दर्ज की जाती है, अस्वीकृत लेनदेन, बिना किसी अनुमोदन कोड के लेनदेन आदि।

38. धोखाधड़ी की घटना के कारण की पहचान करने और ऐसे धोखाधड़ी को रोकने के लिए तंत्र का निर्धारण करने के लिए धोखाधड़ी विश्लेषण किया जाएगा।

39. कर्मचारी, विशेष रूप से धोखाधड़ी नियंत्रण कार्य से संबद्ध, को धोखाधड़ी के बारे में शिक्षित किया जाएगा और निम्नलिखित कौशल और विशेषज्ञता के क्षेत्रों में प्रशिक्षित किया जाएगाः-

क) धोखाधड़ी नियंत्रण उपकरण और उनके उपयोग;

ख) जांच तकनीक और कार्यपद्धति;

ग) धोखाधड़ी को रोकने के लिए कार्डधारक और व्यापारी को शिक्षित करने की तकनीक;

घ) योजना और कार्ड परिचालन विनियम

ङ) डाटा प्रोसेसिंग और विश्लेषण और कानून प्रवर्तन एजेंसियों के साथ संपर्क या संचारण; तथा

च) (I) समुचित नियमों को निर्धारित करने और अद्यतन करने (ii) निरंतर आधार पर नियमों के आधार पर डाले गए अपवादों की निगरानी करने और शीघ्र आवश्यक कार्रवाई करने, (iii) जहां भी आवश्यक हो, उपयुक्त अधिकारियों को सूचित करने / आगे बढ़ाने और (iv) गलत जानकारी को शेष से अलग करने का अपेक्षित कौशल।

40. विनियमित संस्थान घटना प्रतिक्रिया में समन्वय के लिए सेवा प्रदाताओं, बिचौलियों, बाहरी एजेंसियों और अन्य हितधारकों (अन्य आरईएस सहित) के अद्यतन संपर्क विवरण बनाए रखेंगे। विनियमित संस्थान ऐसे संपर्क विवरणों को अद्यतन और सत्यापित करने के लिए हितधारकों के साथ एक तंत्र स्थापित करेंगे। विनियमित संस्थान ग्राहक या विनियमित संस्थान के नुकसान को कम करने के लिए भुगतान प्रणाली से संबंधित इनसिडेंट को संभालने के लिए विशिष्ट एसओपी भी तैयार करेंगे।

समाधान तंत्र

41. आरई और अन्य सभी हितधारकों जैसे पेमेंट सिस्टम ऑपरेटरों, कारोबार प्रतिनिधियों, कार्ड नेटवर्क, पेमेंट सिस्टम प्रोसेसर, पेमेंट एग्रीगेटर्स, पेमेंट गेटवे, थर्ड पार्टी टेक्नोलॉजी सर्विस प्रोवाइडर्स, अन्य प्रतिभागियों आदि के बीच सभी डिजिटल भुगतान लेनदेन के लिए एक वास्तविक समय / निकट-वास्तविक समय (निपटान फ़ाइल/फ़ाइलों की प्राप्ति के 24 घंटे के बाद से) समाधान तंत्र को संदिग्ध लेनदेन का बेहतर ढंग से पता लगाने और उनकी रोकथाम के लिए तैयार किया जाएगा। इस तरह के तंत्र के कार्यान्वयन और प्रभावशीलता की निगरानी के लिए एक तंत्र शुरू किया जाएगा।

ग्राहक संरक्षण, जागरूकता और शिकायत निवारण तंत्र

42. आरई, डिजिटल भुगतान एप्लिकेशन में अंतिम उपयोगकर्ताओं के लिए उसके सुरक्षित और जिम्मेदार उपयोग संबंधी दिशानिर्देश और प्रशिक्षण सामग्री समाविष्ट करेंगे। वे, सुरक्षित उपयोग से संबंधित दिशा-निर्देशों में प्रमुख अपडेट के बाद अथवा डिजिटल भुगतान एप्लिकेशन के प्रत्येक अपडेट के उपरांत पहले उपयोग में ऑनबोर्डिंग प्रक्रिया के दौरान पुष्टिकरण प्राप्त करने और रिकॉर्ड करते समय सुरक्षित उपयोग के दिशा-निर्देशों को जानना (ग्राहक की पसंदीदा भाषा में भी) ग्राहकों के लिए अनिवार्य (सामग्री को नजरअंदाज करने का कोई विकल्प न देते हुए) बनाएंगे ।

43. आरई, उपभोक्ता शिकायतों को दर्ज करने के लिए प्रक्रिया और कार्यवाही (प्रपत्रों/ संपर्क जानकारी, आदि के साथ) का स्पष्ट रूप से उल्लेख करते हुए डिजिटल भुगतान आवेदन में एक खंड का उल्लेख अथवा उसे शामिल करेंगे। इस सूचना को समय-समय पर अद्यतन रखने के लिए एक तंत्र भी तैयार किया जाएगा। एप्लिकेशन पर रिपोर्टिंग की सुविधा में शिकायत दर्ज करने का एक विकल्प भी होगा। ग्राहक विवाद का निपटान, उसकी रिपोर्टिंग और समाधान जिसमें आरई के जवाब की समय सीमा भी शामिल है, को स्पष्ट रूप से परिभाषित किया जाए।

44. डिजिटल भुगतान से संबंधित विवादों और ग्राहकों की शिकायतों के निवारण हेतु ऑनलाइन विवाद समाधान के लिए प्रणाली/प्रणालियों को स्थापित करने हेतु समय-समय पर अद्यतित मौजूदा अनुदेशों⁴ का आरई को पालन करना होगा।

45. आरई, ग्राहकों को डिजिटल भुगतान उत्पादों और सेवाओं को प्राप्त करने के लिए अपने उपकरणों की भौतिक और तर्कसंगत सुरक्षा बनाए रखने की आवश्यकता के संबंध में शिक्षित करेंगे, जिसमें ऑपरेटिंग सिस्टम की सुरक्षित / नियमित इंस्टॉलेशन की सिफारिश करना और एप्लिकेशन अपडेट करना, केवल अधिकृत स्रोतों से एप्लिकेशन डाउनलोड करना, उपकरणों में एंटी-मैलवेयर / एंटी वायरस एप्लिकेशन आदि शामिल होंगे ।

46. आरई, यह सुनिश्चित करेंगे कि उनके ग्राहकों को उन्हें सब्सक्राइब करने से पहले डिजिटल भुगतान उत्पादों और उससे संबंधित सेवाओं के उपयोग से होने वाले जोखिमों, लाभों और देयताओं के बारे में जानकारी प्रदान की जाए। ग्राहकों को डिजिटल भुगतान से संबंधित मामलों पर उनके अधिकारों, दायित्वों और जिम्मेदारियों तथा इनकी सेवा अनुपलब्धता, प्रोसेसिंग त्रुटियों और सुरक्षा उल्लंघनों से उत्पन्न होने वाली किसी भी समस्या के बारे में स्पष्ट रूप से और ठीक से सूचित किया जाएगा। डिजिटल भुगतान उत्पादों और सेवाओं पर लागू होने वाले नियम और शर्तें ग्राहक गोपनीयता और सुरक्षा नीति सहित ग्राहकों के लिए उत्पादों के साथ आसानी से उपलब्ध होंगी। सभी डिजिटल चैनल ग्राहकों की इच्छा के आधार पर उपलब्ध कराए जाएंगे और उनकी जानकारी के बिना उन पर लागू नहीं किए जाएंगे।

47. जब भी, परिचालन से संबंधित नए फीचर और फंक्शन, विशेषकर सुरक्षा, समग्रता और प्रमाणीकरण से संबंधित, ऑनलाइन डिलीवरी चैनलों के लिए पेश किए जाते हैं, तो स्पष्ट और प्रभावी संपर्क के बाद ग्राहकों को इस तरह की नई सुविधाओं का सही उपयोग करने के लिए पर्याप्त अनुदेश दिए जाने चाहिए।

48. आरई, डिजिटल भुगतान उत्पादों के उपयोग के दौरान उपभोक्ताओं के खिलाफ उपयोग किए जाने वाले खतरों और हमलों के प्रकारों के बारे में और इनसे बचाव के लिए एहतियाती उपायों के बारे में निरंतर सार्वजनिक जागरूकता पैदा करे। ग्राहकों को, हाल के दिनों में फ़िशिंग, विशिंग, रिवर्स-फ़िशिंग, मोबाइल उपकरणों के रिमोट एक्सेस और उनके खाते के विवरण, क्रेडेंशियल्स, पिन, कार्ड विवरण, उपकरण, आदि को सुरक्षित रखने और शिक्षित करने के लिए आमतौर पर ज्ञात खतरों से सावधान किया जाए।

49. आरई, नियमों और शर्तों की एक सकारात्मक प्राप्ति के साथ विकल्प आधारित लिखित या प्रामाणिक इलेक्ट्रॉनिक मांग पर ग्राहक को डिजिटल भुगतान उत्पाद और सेवाएं प्रदान करेगा।

50. विनियमित संस्थान अपने ग्राहकों के लिए अपने मोबाइल और इंटरनेट बैंकिंग एप्लिकेशन पर आवश्यक प्रमाणीकरण के साथ एक तंत्र प्रदान करेंगे ताकि वे किसी लेन-देन को धोखाधड़ी के रूप में पहचान / चिह्नित कर उसकी निर्बाध और तत्काल सूचना अपने विनियमित संस्थान को दे सकें। ग्राहक द्वारा ऐसी अधिसूचना पर विनियमित संस्थान समरूप लाभार्थी / प्रतिपक्ष की विनियमित संस्थान को धोखाधड़ी वाले लेनदेन की सहज / तत्काल रिपोर्टिंग के लिए क्षमता निर्माण का प्रयास करेंगे; विपरीत क्रम में विनियमित संस्थान, अन्य विनियमित संस्थानों से रिपोर्ट किए गए ऐसे धोखाधड़ी वाले लेनदेन को प्राप्त करने के लिए तंत्र स्थापित करेंगे।इस तंत्र का उद्देश्य शुरुआती पहचान में तेजी लाना और लेनदेन के चिह्न का पता लगाने और धोखाधड़ी पीडि़त ग्राहक की हानि को यथाशीघ्र समय में कम करने में बैंकिंग / भुगतान प्रणाली को सक्षम करना है।

अध्याय III

इंटरनेट बैंकिंग सुरक्षा नियंत्रण

अध्याय II में दिए गए नियंत्रणों के अलावा, निम्नलिखित अनुदेश उन आरई पर लागू होंगे जो अपने ग्राहकों को इंटरनेट बैंकिंग सुविधा प्रदान कर रहें / प्रदान करना चाहते हैंः

51. इंटरनेट बैंकिंग वेबसाइटें प्रमाणीकरण संबंधित ब्रूट फोर्स हमले / एप्लीकेशन लेयर डिनायल ऑफ सर्विस (DoS) हमलों के प्रति असुरक्षित हैं। प्रमाणीकरण संबंधी हमलों जैसे ब्रूट फोर्स/ डीओएस हमलों पर आरई के व्यक्तिगत जोखिम/भेद्यता मूल्यांकन के आधार पर, आरई इस भेद्यता को रोकने और इसके हनन की रोकथाम करने के लिए इंटरनेट बैंकिंग वेबसाइट पर प्रमाणीकरण के अतिरिक्त स्तरों को लागू करेंगी, जैसे अनुकूली प्रमाणीकरण, कठिन कैप्चा (मुख्यतः एंटी-बॉट सुविधाओं के साथ) सर्वर-साइड सत्यापन आदि के साथ। डीएनएस कैश विषाक्तता के हमलों को रोकने और कुकीज़ के सुरक्षित संचालन के लिए उचित उपाय किए जाएंगे। आभासी की बोर्ड विकल्प उपलब्ध कराया जाना चाहिए।

52. निष्क्रियता की एक निश्चित अवधि के बाद एक ऑनलाइन सत्र स्वतः समाप्त हो जाएगा ।

53. लॉगिन उद्देश्य के लिए पासवर्ड की सुरक्षित डिलीवरी सुनिश्चित की जाएगी। आरई द्वारा उत्पन्न और प्रेषित पासवर्ड, इसके सृजन की तारीख से सीमित अवधि के लिए वैध होना चाहिए। यदि पासवर्ड आरई द्वारा उत्पन्न और प्रेषित किया जाता है, तो, उपयोगकर्ता को पहले लॉगिन पर पासवर्ड को बदलना अनिवार्य होगा।

54. जब इंटरनेट बैंकिंग एप्लिकेशन को बाहरी वेबसाइटों (जैसे: करों के भुगतान, ई-कॉमर्स लेनदेन, आदि के मामले में) के माध्यम से एक्सेस किया जाता, तो प्रमाणीकरण की कार्यवाही और आरई की इंटरनेट बैंकिंग साइट की प्रतीति / रूप और अहसास जहाँ तक संभव हो समान होना चाहिए।

अध्‍याय IV

मोबाइल भुगतान एप्लिकेशन सुरक्षा नियंत्रण

अध्याय II में निर्धारित नियंत्रणों के अलावा, निम्नलिखित निर्देश, मोबाइल एप्लिकेशन के माध्यम से अपने ग्राहकों को मोबाइल बैंकिंग/मोबाइल भुगतान सुविधा प्रदान करने की पेशकश करने वाले/इच्छुक विनियमित संस्‍थानों के लिए लागू होते हैं :

55. किसी भी ऐसे विसंगतियों या अपवादों, जिसके लिए मोबाइल एप्लिकेशन को प्रोग्राम नहीं किया गया था, का पता लगने पर ग्राहक को आवेदन की वर्तमान प्रति/ इन्‍सटेंस को हटाने और आवेदन की नई प्रति/इन्‍सटेंस को इन्‍स्‍टॉलेशन के साथ आगे बढ़ने का निर्देश दिया जाएगा। लेन-देन सक्रिय होने से पहले विनियमित संस्‍थान मोबाइल एप्लिकेशन के संस्करण को सत्यापित करेंगे।

56. मोबाइल एप्लिकेशन के लिए विशिष्ट नियंत्रण में निम्‍नलिखित शामिल हैं :

क. डिवाइस नीति प्रवर्तन (बेसलाइन आवश्यकताओं को पूरा करने के बाद ऐप इंस्टॉलेशन/निष्पादन की अनुमति देना);

ख. एप्लिकेशन को सुरक्षित डाउनलोड / स्‍थापित करना

ग. पुराने एप्लिकेशन संस्करणों को चरणबद्ध लेकिन समयबद्ध तरीके से निष्क्रिय करना (नए संस्करण की रिलीज़ की तारीख से छह महीने से अधिक नहीं) अर्थात (पुराने संस्करण को समाप्त करते समय ओवरलैप अवधि को छोड़कर), प्‍लेटफॉर्म / ऑपरेटिंग सिस्टम पर मोबाइल एप्लिकेशन के केवल एक संस्करण को बनाए रखना;

घ. ग्राहक डेटा का भंडारण;

ङ. डिवाइस या एप्लिकेशन एन्क्रिप्शन;

च. एप्लिकेशन सैंडबॉक्स/कंटेनराइजेशन;

छ. रिमोट एक्‍सेस एप्लिकेशन्‍स की (संभव सीमा तक) पहचान करने की क्षमता और एहतियात के तौर पर मोबाइल एप्लिकेशन में लॉगिन एक्‍सेस को रोकना; तथा

ज. कोड छिपाना ।

57. विनियमित संस्‍थान, डिवाइस / ऑपरेटिंग सिस्टम की सुरक्षा और कंपैटिबलिटी की स्थिति और मोबाइल एप्लिकेशन पर सत्यापन करने के लिए विचार कर सकते हैं ताकि यह सुनिश्चित किया जा सके कि खाते से संबंधित गतिविधियों को मोबाइल एप्लिकेशन के माध्यम से सुरक्षित और सही तरीके से डाला जाता है।

58. विनियमित संस्‍थान, कोड को लागू करने की संभाव्‍यता का पता लगा सकता है जो यह जांचता है कि मोबाइल एप्लिकेशन की स्थापना से पहले डिवाइस रूट किया गया है या जेलब्रेक किया गया है और फोन रूट / जेलब्रेक होने की स्थिति में इंस्‍टाल करने से मोबाइल एप्लिकेशन को बाधित कर दिया जाता है।

59. आवेदन के वर्तमान सक्रिय संस्करण के चेकसम को सार्वजनिक प्‍लेटफॉर्म पर होस्ट किया जाएगा ताकि उपयोगकर्ता उसी को सत्यापित कर सकें।

60. विनियमित संस्‍थान मोबाइल एप्लिकेशन के डिवाइस बाइंडिंग को सुनिश्चित करेगा।⁵

61. यह देखते हुए कि प्रमाणीकरण और मोबाइल एप्लिकेशन का अतिरिक्त फैक्‍टर मोबाइल बैंकिंग, मोबाइल भुगतान के मामले में एक ही मोबाइल डिवाइस में रहे है, विनियमित संस्‍थान एसएमएस-आधारित ओटीपी प्रमाणीकरण तंत्र के विकल्पों को लागू करने पर विचार कर सकते हैं।

62. जब भी डिवाइस या एप्लिकेशन किसी निर्दिष्ट अवधि के लिए अप्रयुक्त रहता है और प्रत्येक बार उपयोगकर्ता द्वारा एप्लिकेशन लॉन्च किए जाने पर मोबाइल एप्लिकेशन को फिर से प्रमाणीकरण की आवश्यकता होनी चाहिए। एप्लिकेशन को असुरक्षित नेटवर्क जैसे असुरक्षित वाई-फाई कनेक्शन से नए नेटवर्क कनेक्शन या कनेक्शन की पहचान करने में सक्षम होना चाहिए और उन परिस्थितियों में लेनदेन करने के लिए उचित प्रमाणीकरण / जांच / उपायों को कार्यान्वित करना चाहिए।

63. मोबाइल एप्लिकेशन को, डिवाइस में, उपयोगकर्ता आईडी, पासवर्ड, की, हैश, हार्ड कोडित संदर्भ जैसी संवेदनशील व्यक्तिगत / उपभोक्ता प्रमाणीकरण जानकारी को संगृहीत/ बनाए नहीं रखना चाहिए और ग्राहक / उपयोगकर्ता जब एप्लिकेशन से एक्झिट होते हैं तो एप्लिकेशन को मेमोरी से ग्राहक की किसी भी संवेदनशील जानकारी को मेमोरी से पूरी तरह मिटा देना चाहिए।

64. विनियमित संस्थान यह सुनिश्चित करेंगे कि उनका मोबाइल एप्लिकेशन संवेदनशील जानकारी की राइटिंग को 'temp' फाइलों में सीमित करता है। ऐसी फाइलों में राइट की गई संवेदनशील जानकारी को उपयुक्त रूप से एन्क्रिप्टेड/मास्केड/हैशेड और सुरक्षित रूप से संग्रहित किया जाना चाहिए।

65. विनियमित संस्‍थान अपने मोबाइल एप्लिकेशन्‍स में एंटी-मैलवेयर क्षमताओं को डिजाइन करने पर विचार कर सकते हैं।

66. विनियमित संस्‍थान यह सुनिश्चित करेगा कि डेटाबेस से डेटा प्राप्त करने या अपडेट करने के लिए मोबाइल एप्लिकेशन में अपरिष्‍कृत (दृश्यमान) एसक्यूएल प्रश्नों के उपयोग से बचा जाता है। मोबाइल एप्लिकेशन को एसक्यूएल इंजेक्शन प्रकार की कमजोरियों से सुरक्षित बनाया जाना चाहिए। डेटाबेस को संवेदनशील जानकारी एन्क्रिप्टेड रूप में लिखा जाना चाहिए। एसएसएल / टीएलएस निगोशिएशन के दौरान त्रुटियों का पता चलने पर मोबाइल एप्लिकेशन के लेआउट के भाग के रूप में वेब सामग्री को लोड नहीं किया जाना चाहिए। किसी मान्यताप्राप्त प्रमाणन प्राधिकारी द्वारा प्रमाणपत्र हस्ताक्षरित नहीं होने के कारण प्रमाण पत्र की त्रुटियों; प्रमाणपत्र की समाप्ति/निरस्तीकरण को उपयोगकर्ता के समक्ष प्रदर्शित किया जाना चाहिए।

अध्याय – V

कार्ड भुगतान सुरक्षा

अध्याय II में निर्धारित नियंत्रणों के अलावा, विनियमित संस्थान जो अपने ग्राहकों को कार्ड (क्रेडिट / डेबिट / प्रीपेड) (भौतिक या आभासी) जारी करते हैं / करना चाहते हैं पर निम्नलिखित निर्देश लागू होते हैं:

67. निम्नलिखित मानकों के अद्यतन संस्करणों की प्रयोजनीयता / तैयारी के अनुसार व्यापक भुगतान कार्ड सुरक्षा के लिए भुगतान कार्ड उद्योग (PCI) के निर्देशों के अनुसार विनियमित संस्थाएँ विभिन्न भुगतान कार्ड मानकों (पीसीआई-डीएसएस और पीए-डीएसएस⁶ के ऊपर) का पालन करेंगे:

क. पीसीआई-पिन (सुरक्षित प्रबंधन, निपटान और व्यक्तिगत पहचान संख्या (पिन) आँकड़े का प्रसारण);

ख. पीसीआई-पीटीएस (सुरक्षा अनुमोदन फ्रेमवर्क, पॉईंट ऑफ इंटरेक्शन (पीओआई) उपकरणों और हार्डवेयर सुरक्षा मॉड्यूल (एचएसएम) के उपयोग के समय कार्डधारक और अन्य संवेदनशील डेटा की लॉजिकल और / या भौतिक सुरक्षा प्रदान करता है;

ग. पीसीआई-एचएसएम (कार्डधारक-प्रमाणीकरण एप्लिकेशन को सुरक्षित बनाना और की जेनरेट करना, की इंजेक्शन, पिन सत्यापन, सुरक्षित एन्क्रिप्शन एल्गोरिथ्म, आदि सहित प्रक्रियाएं); तथा

घ. पीसीआई-पी2पीई (सुरक्षा मानक जिसके लिए भुगतान कार्ड की जानकारी को इसके प्रारंभिक स्वाइप पर तुरंत एन्क्रिप्ट किया जाना चाहिए और फिर भुगतान प्रोसेसर में सीधे स्थानांतरित कर दिया जाना आवश्यक है)।

68. विनियमित संस्थाओं को यह सुनिश्चित करना चाहिए कि भुगतान और अन्यथा कार्यों के लिए कार्ड विवरण कैप्चर करने हेतु मर्चेंट के पास स्थापित टर्मिनल, पीसीआई-अनुमोदित पी 2 पीई सॉल्यूशन का उपयोग करने के लिए पीसीआई-पी 2 पीई प्रोग्राम से स्त्यापित है; कार्ड भुगतान (डबल स्वाइप टर्मिनल सहित) कैप्चर करने के लिए मर्चेंट के पास स्थापित पिन प्रविष्टि वाले पीओएस टर्मिनलों को पीसीआई -पीटीएस कार्यक्रम द्वारा अनुमोदित है।

69. अधिग्रहणकर्ता अपने कार्ड भुगतान के बुनियादी ढांचे (यूनीक की-प्रति टर्मिनल - यूकेपीटी या डिराइव्ड यूनीक कुंजी प्रति ट्रांजैक्शन - डीयूकेपीटी / टर्मिनल लाइन एन्क्रिप्शन - टीएलई) को सुरक्षित करेंगे।

70. एचएसएम पर लागू होने वाले सुरक्षा नियंत्रण हैं:

क. एचएसएम को लॉगिंग सक्षम होना चाहिए, लॉग को स्वयं छेड़छाड़ से अभेद्य होना चाहिए;

ख. एचएसएम असफलता का एक कारक बिंदु बन सकता है। उच्च उपलब्धता के लिए इसे 'क्लस्टरिंग’ द्वारा कम किया जाना चाहिए और सुरक्षित बैकअप सुनिश्चित करना चाहिए;

ग. एचएसएम तक एक्सेस का नियंत्रण, एक्सेस नियंत्रण सूचियों (एसीएल) के माध्यम से नियंत्रित की जानी चाहिए;

घ. एप्लिकेशन स्तर पर अलगाव को सुनिश्चित करने के लिए प्रत्येक एप्लिकेशन के लिए अलग एसीएल रखा जाना चाहिए;

ङ. एचएसएम तक की सभी एक्सेस को एक मजबूत प्रिविलेज्ड पहचान और एक्सेस प्रबंधन समाधान का उपयोग करके प्रबंधन और मॉनिटर किया जाना चाहिए;

च. कुंजी, पिन का डिक्रिप्शन और सत्यापन एचएसएम में किया जाना चाहिए;

छ. कार्ड पिन जनरेशन और प्रिंटिंग सीधे सिस्टम से जुड़े एचएसएम पर होनी चाहिए;

ज. सीवीवी जेनरेशन और सत्यापन एचएसएम में किया जाना चाहिए;

झ. सुनिश्चित करें कि एचएसएम को, कमजोर फार्मेट में पिन ब्लॉक आउटपुटिंग को निष्क्रिय करने के लिए नियंत्रण के साथ सुरक्षित पिन ब्लॉक फार्मेट के साथ लागू किया गया है;

ञ. एचएसएम (जैसे एलएमके, आदि) के लिए सुरक्षित कुंजी प्रबंधन; तथा

ट. एचएसएम डिवाइस की भौतिक कुंजियों की सुरक्षा ठीक से बनाए रखी जानी चाहिए।

71. एटीएम की सुरक्षा स्थिति में सुधार के लिए आरईएस निम्नलिखित को लागू करेगा:

क. सुरक्षा उपायों को लागू करें जैसे कि BIOS पासवर्ड, यूएसबी पोर्ट को अक्षम करना, ऑटो-रन सुविधा को अक्षम करना, ऑपरेटिंग सिस्टम और अन्य सॉफ्टवेयर्स के नवीनतम पैच को लागू करना, टर्मिनल सुरक्षा समाधान, समय-आधारित एडमिन एक्सेस, आदि;

ख. एंटी-स्किमिंग और व्हाइटलिस्टिंग समाधान को लागू करना; तथा

ग. ऑपरेटिंग सिस्टम के समर्थित संस्करणों से सभी एटीएम को अपग्रेड करें। जिन एटीएम में असमर्थित ऑपरेटिंग सिस्टम हैं उनका उपयोग निषिद्ध होगा।

72. विनियमित संस्थाएँ, कार्ड से लेनदेन (विशेष रूप से विदेशी नकदी निकासी) की मजबूत निरीक्षण / निगरानी सुनिश्चित करेंगे और उनके जोखिम वहन क्षमता के अनुरूप नियमों और सीमाओं को लागू करेंगे। विनियमित संस्थान, कार्ड, बीआईएन के साथ-साथ आरई स्तर पर लेन-देन की सीमाएं निर्धारित करने के लिए, कार्ड नेटवर्क और / या एटीएम नेटवर्क, जैसा भी मामला हो, के साथ उठाएंगे। इस तरह की सीमा अनिवार्य रूप से कार्ड नेटवर्क स्विच पर सेट की जाएगी। सीमाओं को घरेलू के साथ-साथ अंतरर्राष्ट्रीय लेनदेन दोनों के लिए अलग से अनिवार्य किया जा सकता है। यदि उपरोक्त आवश्यकता के अनुसार निर्धारित सीमा का उल्लंघन होता है तो विनियमित संस्थान, आवश्यक उपरी सीमा (लेन-देन पर प्रतिबंध) के साथ लेनदेन नियंत्रण तंत्र स्थापित करेंगे। विनियमित संस्थान, के जोखिम वहन क्षमता के अनुसार निर्धारित ऐसी सीमाओं की आवधिक समीक्षा तंत्र को बोर्ड द्वारा अनुमोदित नीति के अनुसार लागू किया जाएगा। विनियमित संस्थान, उल्लंघनों, यदि कोई हो कि 24x7 आधार पर सप्ताहांत, लंबी छुट्टियों सहित, निगरानी के लिए एक तंत्र स्थापित करेगा और संदिग्ध लेनदेन, यदि कोई हो, के कारण, धोखाधड़ी के नुकसान को कम करने के लिए एक मजबूत घटना प्रतिक्रिया तंत्र स्थापित करेगा। विनियमित संस्थान यह सुनिश्चित करेंगे कि ग्राहकों के कार्ड विवरण विनियमित संस्थान और उसके विक्रेता के स्थानों, प्रणालियों और एप्लिकेशन में टेकस्ट में संगृहीत नहीं हैं। विनियमित संस्थान यह भी सुनिश्चित करेंगे कि ग्राहक की संवेदनशील जानकारी के डेटा खुलासे को सख्ती से रोकने के लिए पठनीय प्रारूप में कार्ड विवरण का प्रोसेसिंग सुरक्षित तरीके से किया जाता है।

73. विनियमित संस्थान, जो विशेष रूप से ऑडिट के दौरान अपने परितंत्र में अनएन्क्रिप्टेड (स्पष्ट पाठ) भुगतान कार्ड डेटा की पहचान करने के लिए कार्ड डेटा स्कैनिंग टूल का उपयोग करते हैं, निम्नलिखित सुरक्षा उपायों का पालन करेंगे:

क) अनएन्क्रिप्टेड कार्ड डेटा की स्कैनिंग के उद्देश्य से किसी भी उपकरण (तीसरे पक्ष से खरीदे गए) को उपकरण की क्षमताओं के दायरे और प्रभाव को समझने के लिए पहले परीक्षण वातावरण में परीक्षण किया जाना चाहिए;

ख) स्कैनिंग उपकरण केवल विनियमित संस्थान के परिसर में उनके उपकरणों में स्थापित किया जाना चाहिए;

ग) कार्ड डेटा स्कैनिंग दूरस्थ रूप से नहीं की जानी चाहिए;

घ) खोजा गया डेटा, यदि कोई हो, को प्राथमिक रूप से स्कैनिंग उपकरण में रखना चाहिए। एक्सपोर्टेबल कार्ड डेटा को उचित रूप से मास्क किया जाना चाहिए। (कोई डेटा, यहां तक कि छुपा हुआ, को विनियमित संस्थान के परिसर / बुनियादी ढांचे से बाहर नहीं किया जाना चाहिए); तथा

ङ) स्कैन का संचालन करने या डेटा का विश्लेषण करने के लिए सेवा प्रदाताओं को सीमित एक्सेस, यदि पूरी तरह, तो केवल विनियमित संस्थान के उपकरणों पर प्रदान की जानी चाहिए।

Acronyms

ACL	Access Control List
ASLC	Application Security Life Cycle
ATM	Automated Teller Machine
BIN	Bank Identification Number
BIOS	Basic Input/ Output System
CAPTCHA	Completely Automated Public Turing test to tell Computers and Humans Apart
CVV	Card Verification Value
DDoS	Distributed Denial of Service
DNS	Domain Name Server
DoR	Department of Regulation
DoS	Department of Supervision
DPSS	Department of Payment and Settlement Systems
DUKPT	Derived Unique Key per Transaction
EMV	Europay, Mastercard, and Visa
FSP	Functionality, Security and Performance
HSM	Hardware Security Module
HTML	HyperText Markup Language
IP	Internet Protocol
IT	Information Technology
IVR	Interactive Voice Response
LMK	Local Master Key
MCC	Merchant Category Code
MITB	Man-in-The Browser attack
MITM	Man-In-the-Middle attack
NIST	National Institute of Standards and Technology
OEM	Original Equipment Manufacturer
OTP	One Time Password
OWASP	Open Web Application Security Project
OWASP-ASVS	Open Web Application Security Project – Application Security Verification Standard
OWASP-MASVS	Open Web Application Security Project – Mobile Application Security Verification Standard
PA-DSS	Payment Application Data Security Standard
PCI	Payment Card Industry
PCI-DSS	Payment Card Industry-Data Security Standard
PCI-HSM	Payment Card Industry-Hardware Security Module
PCI-P2PE	Payment Card Industry-Point to Point Encryption
PCI-PTS	Payment Card Industry-PIN Transaction Security
PIN	Personal Identification Number
PKI	Public Key Infrastructure
PoS	Point of Sale
PT	Penetration Testing
RBI	Reserve Bank of India
RCSA	Risk Control Self-Assessment
REs	Regulated Entities
SIM	Subscriber Identification Module
SOP	Standard Operating Procedure
SQL	Structured Query Language
SSL	Secure Socket Layer
TLE	Terminal Line Encryption
TLS	Transport Layer Security
UAT	User Acceptance Test
UKPT	Unique Key Per terminal
USB	Universal Serial Bus
VA	Vulnerability Assessment
VPA	Virtual Payment Address
WAF	Web Application Firewall

¹ ग्राहक डेटा; ग्राहक और लाभार्थी के खाते का विवरण; भुगतान साख; लेन - देन के डेटा;

² मोबाइल बैंकिंग, विनियमित संस्थाओं के मोबाइल भुगतान एप्लिकेशन

³ एसएएनएस महत्वपूर्ण सुरक्षा नियंत्रण

⁴ 'डिजिटल भुगतान के लिए ऑनलाइन विवाद समाधान (ओडीआर) प्रणाली' पर दिनांक 6 अगस्त, 2020 का परिपत्र सं. आरबीआई/2020-21/21 डीपीएसएस.सीओ.पीडी नं.116/02.12.04/2020-21

⁵ डिवाइस बाइंडिंग को अधिमानतः हार्डवेयर, सॉफ्टवेयर और सेवा संबंधी जानकारी के संयोजन के माध्यम से लागू किया जाना चाहिए। इस मामले में, विनियमित संस्‍थान कई उपकरणों को पंजीकृत करने की अनुमति देता है, तो, (ए) उपयोगकर्ता को पंजीकृत मोबाइल नंबर, ईमेल या फोन कॉल जैसे कई चैनलों पर हर नए डिवाइस पंजीकरण के बारे में सूचित किया जाना चाहिए और (बी) मोबाइल एप्लिकेशन के संबंध में, विनियमित संस्‍थान को सभी पंजीकृत उपकरणों का रिकॉर्ड बनाए रखना होगा, जिससे उपयोगकर्ता को पंजीकृत डिवाइस को अक्षम करने की सुविधा प्रदान की जा सके।

⁶ पीसीआई सिक्योर सॉफ्टवेयर स्टैंडर्ड, पीसीआई सॉफ्टवेयर सिक्योरिटी फ्रेमवर्क (एसएसएफ) के भीतर एक पीसीआई मानक है जो 2022 में भुगतान सॉफ्टवेयर को सुरक्षित करने के लिए प्राथमिक मानक के रूप में पीए-डीएसएस का स्थान लेगा। (संदर्भ: पीसीआई सुरक्षा मानक वेबसाइट)