आरबीआई/डीपीएसएस/2025-26/141
केका.डीपीएसएस.नीति.सं.एस-633/02-14-008/2025-26

15 सितंबर 2025

सभी भुगतान प्रणाली प्रदाता और भुगतान प्रणाली प्रतिभागी /
सभी अधिकृत डीलर बैंक /
सभी अनुसूचित वाणिज्यिक बैंक

महोदया / प्रिय महोदय,

भुगतान एग्रीगेटर (पीए) के विनियमन पर मास्टर निदेश

भारतीय रिज़र्व बैंक ने ऑनलाइन भुगतान एकत्रीकरण में लगी संस्थाओं के विनियमन के लिए दिनांक 17 मार्च  2020 के परिपत्र डीपीएसएस.केका.पीडी.सं.1810/02.14.008/2019-20 और दिनांक 31 मार्च 2021 के केका.डीपीएसएस.नीति.सं.एस 33/02-14-008/2020-2021 के माध्यम से 'भुगतान एग्रीगेटर और भुगतान गेटवे के विनियमन पर दिशानिर्देश' जारी किए थे। इसके अतिरिक्त, दिनांक 31 अक्तूबर 2023 के परिपत्र केका.डीपीएसएस.नीति.सं.एस-786/02-14-008/2023-24 के माध्यम से 'भुगतान एग्रीगेटर - सीमा पार (पीए - सीमा पार) का विनियमन' पर निर्देश जारी किए गए थे।

2. तत्पश्चात 16 अप्रैल 2024 को भारतीय रिज़र्व बैंक ने सार्वजनिक टिप्पणियों के लिए अपनी वेबसाइट पर पीए के विनियमन पर निम्नलिखित मसौदा निर्देश रखे:

1. ‘भुगतान एग्रीगेटर्स - भौतिक बिक्री केंद्र के विनियमन पर नए मसौदा निदेश’, और

2. ‘भुगतान एग्रीगेटर्स पर मौजूदा निदेशों में संशोधन’।

3. प्राप्त इनपुट की समीक्षा और विनियमों को और अधिक तर्कसंगत बनाने के आरबीआई के प्रयास के अनुरूप, भुगतान और निपटान प्रणाली अधिनियम, 2007 की धारा 10 (2) के साथ धारा 18 और विदेशी मुद्रा प्रबंधन अधिनियम (फेमा), 1999 की धारा 10 (4) और धारा 11 (1) के तहत पीए की विभिन्न श्रेणियों के विनियमन के लिए यह व्यापक मास्टर निदेश ज़ारी किया गया है।

भवदीय,

(गुणवीर सिंह)
प्रभारी मुख्य महाप्रबंधक

संलग्न: ऊपरोक्तानुसार

भुगतान एग्रीगेटर्स के विनियमन पर मास्टर निदेश

भुगतान और निपटान प्रणाली अधिनियम, 2007 (2007 का 51) की धारा 10(2) और विदेशी मुद्रा प्रबंधन अधिनियम (फेमा), 1999 (1999 का 42) की धारा 10(4) और धारा 11(1) के साथ पठित धारा 18 द्वारा प्रदत्त शक्तियों का प्रयोग करते हुए, भारतीय रिजर्व बैंक, इस बात से संतुष्ट होकर कि ऐसा करना जनहित में आवश्यक और समीचीन है, इसके द्वारा, इसके बाद निर्दिष्ट निदेश जारी करता है।

अध्याय I
प्रस्तावना

1. संक्षिप्त शीर्षक और प्रारंभ

क. इन निदेशों को भारतीय रिज़र्व बैंक (भुगतान एग्रीगेटर्स का विनियमन) निदेश, 2025 कहा जाएगा।

2. प्रभावी तिथि

क. ये निदेश तत्काल प्रभाव से लागू होंगे, जब तक कि इसमें किसी विशिष्ट प्रावधान के लिए अन्यथा संकेत न दिया गया हो।

3. प्रयोज्यता

क. ये निदेश उन सभी बैंक और गैर-बैंक संस्थाओं पर लागू होंगे जो यहाँ परिभाषित किए गए अनुसार भुगतान एग्रीगेटर (पीए) का व्यवसाय करती हैं। ये निदेश सभी प्राधिकृत डीलर बैंकों के साथ-साथ अनुसूचित वाणिज्यिक बैंकों पर भी लागू होंगे जो आगे निर्दिष्ट सीमा तक पीए व्यवसाय करने वाली संस्थाओं के साथ जुड़े हैं।

4. परिभाषाएँ

क. कैश-ऑन-डिलीवरी लेनदेन: एक व्यापारिक लेनदेन जिसमें बैंक नोट या करेंसी नोट, जो भारत में वैध मुद्रा हैं, माल और/या सेवा(ओं) की डिलीवरी के समय और उसके लिए पेश या प्रस्तुत किए जाते हैं।

ख. संपर्क बिंदु सत्यापन (सीपीवी): व्यापारी के पते या व्यवसाय के स्थान का भौतिक सत्यापन।

ग. ई-कॉमर्स: डिजिटल और इलेक्ट्रॉनिक नेटवर्क पर डिजिटल उत्पादों सहित वस्तुओं और सेवाओं की खरीद और बिक्री।

स्पष्टीकरण: इस परिभाषा के प्रयोजनों के लिए, 'डिजिटल और इलेक्ट्रॉनिक नेटवर्क' शब्द में कंप्यूटरों का नेटवर्क, टेलीविजन चैनल और स्वचालित तरीके से उपयोग किए जाने वाले अन्य इंटरनेट एप्लिकेशन जैसे वेब पेज, एक्स्ट्रानेट, मोबाइल आदि शामिल होंगे।

घ. आवक लेनदेन: विदेशी मुद्रा के प्रवाह से जुड़ा लेनदेन।

ङ. मार्केटप्लेस: एक ई-कॉमर्स संस्था जो क्रेता(ओं) और विक्रेता(ओं) के बीच लेनदेन को सुविधाजनक बनाने के लिए डिजिटल या इलेक्ट्रॉनिक नेटवर्क पर एक सूचना प्रौद्योगिकी मंच प्रदान करती है।

च. व्यापारी: एक संस्था या बाज़ार जो माल बेचता है, सेवाएँ प्रदान करता है, या निवेश उत्पाद प्रदान करता है, और इसमें निर्यातक और विदेशी विक्रेता शामिल हैं।

छ. बाह्य लेनदेन: विदेशी मुद्रा के बहिर्वाह से संबंधित लेनदेन।

ज. भुगतान चैनल: वह विधि या तरीका जिसके माध्यम से भुगतान निर्देश किसी भुगतान प्रणाली में आरंभ और संसाधित किया जाता है।

झ. भुगतान एग्रीगेटर (पीए): एक संस्था जो वस्तुओं, सेवाओं या निवेश उत्पादों की खरीद के लिए ग्राहकों द्वारा व्यापारियों को व्यापारी के इंटरफ़ेस (भौतिक/आभासी) के माध्यम से एक या अधिक भुगतान चैनलों के माध्यम से किए गए भुगतानों के एकत्रीकरण की सुविधा प्रदान करती है, और बाद में एकत्रित धनराशि का निपटान ऐसे व्यापारियों को करती है। पीए को निम्नानुसार वर्गीकृत किया गया है:

i. पीए - भौतिक (पीए - पी): पीए जो लेनदेन की सुविधा प्रदान करता है, जहां लेनदेन करते समय स्वीकृति उपकरण और भुगतान लिखत दोनों भौतिक रूप से निकटता में मौजूद होते हैं।

ii. पीए - क्रॉस बॉर्डर (पीए - सीबी): पीए जो ई-कॉमर्स मोड के माध्यम से अपने ऑनबोर्ड किए गए व्यापारियों के लिए चालू खाता लेनदेन के लिए सीमा पार भुगतानों के एकत्रीकरण की सुविधा प्रदान करता है, जो फेमा के तहत निषिद्ध नहीं हैं। पीए-सीबी की दो उप-श्रेणियाँ हैं:

क) आवक लेनदेन की सुविधा प्रदान करने वाली पीए-सीबी

ख) जावक लेनदेन की सुविधा प्रदान करने वाली पीए-सीबी

नोट: (1) प्राधिकृत व्यापारी श्रेणी-II के रूप में अधिकृत कोई गैर-बैंकिंग संस्था, जो फेमा के अंतर्गत निषिद्ध न होने वाले चालू खाता लेनदेन (वस्तुओं या सेवाओं की खरीद या बिक्री के अलावा) की सुविधा प्रदान करती है, पीए-सीबी व्यवसाय के दायरे में नहीं आएगी।

(2) कार्ड लेनदेन, जहां विदेशी मुद्रा निपटान कार्ड नेटवर्क द्वारा सुगम बनाया जाता है और एग्रीगेटर स्थानीय मुद्रा में भुगतान प्राप्त करता है, पीए-सीबी गतिविधि का हिस्सा नहीं है।

iii. पीए - ऑनलाइन (पीए - ओ): पीए जो लेनदेन की सुविधा प्रदान करता है, जहां लेनदेन करते समय स्वीकृति उपकरण और भुगतान लिखत निकटता में मौजूद नहीं होते हैं।

जे. भुगतान गेटवे (पीजी): एक संस्था जो धन के प्रबंधन में किसी भी भागीदारी के बिना भुगतान लेनदेन के प्रसंस्करण को रूट करने और सुविधाजनक बनाने के लिए प्रौद्योगिकी अवसंरचना प्रदान करती है।

के. केंद्रीय केवाईसी रिकॉर्ड रजिस्ट्री (सीकेवाईसीआर), आधिकारिक रूप से वैध दस्तावेज (ओवीडी), समकक्ष ई-दस्तावेज, डिजिटल केवाईसी और वीडियो-आधारित ग्राहक पहचान प्रक्रिया (वी-सीआईपी) का वही अर्थ होगा जैसा कि आरबीआई मास्टर निदेश डीबीआर.एएमएल.बीसी.सं.81/14.01.001/2015-16 दिनांक 25 फरवरी, 2016 को 'मास्टर निर्देश - अपने ग्राहक को जानें (केवाईसी) निर्देश, 2016' पर परिभाषित किया गया है, जैसा कि समय-समय पर संशोधित किया गया है (इसके बाद 'केवाईसी पर एमडी' के रूप में संदर्भित)।

अध्याय II
प्राधिकरण और पूंजी आवश्यकताएँ

5. पीए व्यवसाय के लिए प्राधिकरण

क. बैंक को पीए व्यवसाय करने के लिए प्राधिकरण की आवश्यकता नहीं होती है।

ख. कोई भी गैर-बैंकिंग संस्था आरबीआई के ऑनलाइन पोर्टल के माध्यम से आवेदन जमा करके पीए के रूप में कार्य करने हेतु प्राधिकरण प्राप्त कर सकती है। किसी भी वित्तीय क्षेत्र नियामक द्वारा विनियमित संस्था को, एनओसी प्राप्त करने के 45 दिनों के भीतर, ऐसे नियामक से प्राप्त 'अनापत्ति प्रमाण पत्र' (एनओसी) के साथ आवेदन करना होगा।

ग. गैर-बैंक पीए कंपनी अधिनियम, 2013 के तहत भारत में निगमित एक कंपनी होगी। आवेदक संस्था के एसोसिएशन के ज्ञापन में पीए के रूप में परिचालन की प्रस्तावित गतिविधि को शामिल किया जाना चाहिए।

घ. इन निर्देशों की तिथि से निम्नलिखित लागू होगा:

i. एक पीए जिसके पास आरबीआई द्वारा जारी प्राधिकरण प्रमाणपत्र (सीओए) हो, और

क) जो पहले से ही पीए-पी के रूप में व्यवसाय कर रहे हैं - उन्हें आरबीआई को सूचित करना होगा। पीए को एक संशोधित सीओए जारी किया जाएगा।

ख) जो किसी अन्य पीए श्रेणी में व्यवसाय शुरू करने के इच्छुक हैं - उन्हें नया व्यवसाय शुरू करने से कम से कम 30 दिन पहले आरबीआई को सूचित करना होगा।

ii. कोई संस्था, जिसका पीए-ओ या पीए-सीबी के लिए सीओए प्रदान करने का आवेदन आरबीआई के विचाराधीन है - उसे 31 दिसंबर 2025 तक ऑनलाइन पोर्टल के माध्यम से अपने मौजूदा पीए-पी व्यवसाय, यदि कोई हो, उसके बारे में रिजर्व बैंक को सूचित करना होगा।

iii. केवल पीए-पी व्यवसाय करने वाली संस्था को उपरोक्त 5 (बी) में निर्धारित अनुसार 31 दिसंबर 2025 तक प्राधिकरण के लिए आवेदन करना होगा। जो संस्था नियत तिथि तक आवेदन करने में विफल रहती है, उसे अपने बैंकर को तुरंत सूचित करना होगा और 28 फरवरी 2026 तक अपना व्यवसाय बंद करना होगा।

ङ. किसी संस्था का आवेदन, जो न्यूनतम पूंजी आवश्यकता को पूरा नहीं करता है, या जो अधूरा है / निर्धारित प्रपत्र में नहीं है, वापस कर दिया जाएगा।

6. पूंजीगत आवश्यकताएं

क. पीए व्यवसाय शुरू करने या चलाने के लिए प्राधिकरण चाहने वाली संस्था के पास प्राधिकरण के लिए आवेदन प्रस्तुत करते समय न्यूनतम निवल मूल्य ₹15 करोड़ होना चाहिए; और प्राधिकरण प्रदान करने के तीसरे वित्तीय वर्ष के अंत तक न्यूनतम निवल मूल्य ₹25 करोड़ होना चाहिए।

ख. न्यूनतम नेटवर्थ, जैसा भी लागू हो, पीए द्वारा निरंतर आधार पर बनाए रखा जाएगा।

ग. इस मास्टर निदेशों के प्रयोजनों के लिए, किसी संस्था  के निवल मूल्य की गणना, समय-समय पर संशोधित 'निवल मूल्य की गणना' पर आरबीआई परिपत्र डीपीएसएस.केका.एडी.सं.1344 02.27.005/2014-15 दिनांक 16 जनवरी 2015 के निदेशों द्वारा निदेशित होगी। उक्त परिपत्र में प्रदान की गई मदों के अलावा, "निवल मूल्य" में अधिमान्य शेयर भी शामिल होंगे जो अनिवार्य रूप से इक्विटी में परिवर्तनीय हैं। अनिवार्य रूप से परिवर्तनीय अधिमान्य शेयर या तो गैर-संचयी या संचयी हो सकते हैं, और उन्हें अनिवार्य रूप से इक्विटी शेयरों में परिवर्तनीय होना चाहिए और शेयरधारक करार को किसी भी समय इस अधिमान्य शेयर पूंजी की किसी भी निकासी को विशेष रूप से प्रतिबंधित करना चाहिए। इसके अतिरिक्त, यदि आस्थगित कर संपत्ति को किसी भी घटक में शामिल किया गया है, तो निवल मूल्य मूल्य पर पहुंचते समय उसे घटा दिया जाएगा।

घ. प्रत्यक्ष विदेशी निवेश (एफडीआई) रखने वाली संस्था को भारत सरकार की समेकित एफडीआई नीति और इस विषय पर प्रासंगिक विदेशी मुद्रा प्रबंधन विनियमों द्वारा निर्देशित किया जाएगा।

ड. पीए प्राधिकरण चाहने वाली संस्था को प्राधिकरण के लिए आवेदन प्रस्तुत करते समय लागू निवल संपत्ति आवश्यकता के अनुपालन का प्रमाण देते हुए अपने सांविधिक लेखा परीक्षक से संलग्न प्रारूप (अनुलग्नक 2.1) में एक प्रमाणपत्र प्रस्तुत करना होगा। एक नवगठित गैर-बैंकिंग संस्था, जिसके पास वित्तीय खातों का लेखापरीक्षित विवरण नहीं हो सकता है, उनको अपने सांविधिक लेखा परीक्षक से संलग्न प्रारूप में वर्तमान निवल संपत्ति के संबंध में एक प्रमाणपत्र और हाल की तारीख तक का अनंतिम बैलेंस शीट प्रस्तुत करना होगा।

अध्याय III
पीए व्यवसाय का परिचालन

7. अभिशासन

क. पीए का प्रबंधन पेशेवर रूप से किया जाएगा। संस्था के प्रवर्तक और निदेशक निम्नलिखित उपयुक्त और उचित मानदंडों को पूरा करेंगे:

i. व्यक्ति की निष्पक्षता और सत्यनिष्ठा का रिकॉर्ड हो, जिसमें निम्नलिखित शामिल हैं, परंतु इन्हीं तक सीमित नहीं:

क) वित्तीय सत्यनिष्ठा;

ख) अच्छी प्रतिष्ठा और चरित्र; और

ग) ईमानदारी;

ii. ऐसे व्यक्ति ने निम्नलिखित में से कोई भी अयोग्यता अर्जित नहीं की है:

क) नैतिक अधमता या किसी आर्थिक अपराध या आरबीआई द्वारा प्रशासित कानूनों के तहत किसी अपराध से जुड़े किसी अपराध के लिए न्यायालय द्वारा दोषी ठहराया गया हो;

ख) दिवालिया घोषित किया गया हो और उसे मुक्त नहीं किया गया हो;

ग) किसी नियामक प्राधिकरण द्वारा पारित कोई आदेश, जिसमें व्यक्ति को किसी भी वित्तीय प्रणाली में प्रवेश/व्यवहार करने से रोका, प्रतिबंधित या वर्जित किया गया हो, और आदेश में निर्दिष्ट अवधि समाप्त नहीं हुई हो;

घ) सक्षम न्यायालय द्वारा विकृत मस्तिष्क का पाया गया हो तथा निष्कर्ष प्रभावी हो; और

ङ) वित्तीय रूप से स्वस्थ न हो।

ख. आवेदक संस्था के प्रमोटर और निदेशक संलग्न प्रारूप (अनुबंध 2.5) में घोषणा प्रस्तुत कर सकते हैं। आरबीआई अन्य नियामकों, सरकारी विभागों आदि से, जैसा उचित समझे, इनपुट प्राप्त करके आवेदक संस्था और उसके प्रबंधन की 'उपयुक्त और उचित' स्थिति की भी जांच कर सकता है। 'उपयुक्त और उचित' मानदंडों की पूर्ति के संबंध में, आरबीआई का निर्णय अंतिम होगा।

ग. किसी गैर-बैंक पीए के प्रबंधन में कोई भी अधिग्रहण या नियंत्रण प्राप्ति या परिवर्तन, समय-समय पर संशोधित गैर-बैंक पीएसओ के नियंत्रण के अधिग्रहण/टेकओवर और गैर-बैंक पीएसओ की भुगतान प्रणाली गतिविधि की बिक्री/हस्तांतरण के मामले में पूर्व स्वीकृति प्राप्त करने की आवश्यकता पर आरबीआई के 4 जुलाई 2022 के परिपत्र केका.डीपीएसएस.सं.एस-590/02-14-006/2022-23 का पालन करेगा। यह प्रावधान उस संस्था पर भी लागू होगा जिसका पीए के रूप में प्राधिकरण के लिए आवेदन आरबीआई के पास लंबित है।

8. विवाद प्रबंधन ढाँचा

क. पीए के पास उसके द्वारा सुगम किए गए लेन-देन में भुगतान संबंधी विवादों को संभालने के लिए एक विवाद समाधान तंत्र होगा। इस तंत्र में रिफंड आदि की प्रक्रिया के लिए समय-सीमा भी शामिल होनी चाहिए। नीति, विफल लेनदेन के समाधान के लिए टर्न अराउंड टाइम (टीएटी) सहित आरबीआई द्वारा जारी निर्देशों का पालन सुनिश्चित करेगी, जो 20 सितंबर 2019 को डीपीएसएस.सीओ.पीडी संख्या 629/02.01.014/2019-20 (समय-समय पर संशोधित) के तहत जारी किया गया था। इसमें उचित कारण कोड निर्दिष्ट करना, चार्जबैक का जवाब देना, उनके ऑनबोर्ड किए गए व्यापारियों के खिलाफ उठाए गए विवाद आदि शामिल हैं।

ख. पीए, उसके व्यापारियों, उसके अधिग्रहण करने वाले बैंकों और अन्य सभी हितधारकों के बीच के करार में शामिल पक्षों की भूमिकाओं और जिम्मेदारियों को स्पष्ट रूप से चित्रित किया जाएगा, जिसमें रिफंड का तरीका, विफल लेनदेन का उपचार, वापसी नीति, शिकायत निवारण, सुलह आदि शामिल होंगे।

ग. पीए अपनी वेबसाइट और/या अपने मोबाइल एप्लिकेशन पर अपनी व्यापारी नीतियों, गोपनीयता नीति और अन्य नियमों व शर्तों के बारे में व्यापक जानकारी प्रकट करेगा।

घ. पीए अपने व्यापारियों द्वारा उठाए गए मुद्दों पर प्रतिक्रिया देने के लिए एक अधिकारी नियुक्त करेगा, साथ ही शिकायत निवारण हेतु एक एस्केलेशन मैट्रिक्स भी नियुक्त करेगा। अधिकारी और एस्केलेशन मैट्रिक्स का विवरण उसकी वेबसाइट पर विशेष रूप से प्रदर्शित किया जाएगा।

9. सुरक्षा, धोखाधड़ी रोकथाम और जोखिम प्रबंधन ढाँचा

क. धोखाधड़ी की चुनौतियों का सामना करने और ग्राहक सुरक्षा सुनिश्चित करने के लिए एक मजबूत जोखिम प्रबंधन प्रणाली आवश्यक है। पीए धोखाधड़ी का पता लगाने और उसकी रोकथाम के लिए पर्याप्त सूचना और डेटा सुरक्षा अवसंरचना और प्रणालियाँ स्थापित करेगा। पीए यह सुनिश्चित करेगा कि व्यापारियों का अवसंरचना पीसीआई-डीएसएस और पीए-डीएसएस जैसे सुरक्षा मानकों के अनुरूप हो, जो भी लागू हो।

ख. पीए अपने द्वारा परिचालित भुगतान प्रणालियों की सुरक्षा के लिए बोर्ड द्वारा अनुमोदित सूचना सुरक्षा नीति लागू करेगा और पहचाने गए और उभरते जोखिमों को कम करने के लिए उक्त नीति के अनुसार सुरक्षा उपायों को लागू करेगा। पीए अनुबंध 1 में दी गई आधारभूत प्रौद्योगिकी-संबंधी सिफारिशों का पालन सुनिश्चित करेगा।

ग. भुगतान प्रणाली परिचालकों (पीएसओ) पर लागू डेटा भंडारण आवश्यकताओं का अनुपालन पीए द्वारा किया जाएगा, जैसा कि समय-समय पर संशोधित 'भुगतान प्रणाली डेटा का भंडारण' पर आरबीआई परिपत्र डीपीएसएस.सीओ.ओडी संख्या 2785/06.08.005/2017-2018 दिनांक 6 अप्रैल 2018 में निर्धारित किया गया है।

घ. साइबर सुरक्षा ऑडिट सहित एक वार्षिक सिस्टम ऑडिट, सीईआरटी-इन पैनलबद्ध लेखा परीक्षकों द्वारा किया जाएगा और उसकी रिपोर्ट आरबीआई द्वारा निर्धारित समय-सीमा के भीतर डीपीएसएस, आरबीआई के संबंधित क्षेत्रीय कार्यालय को प्रस्तुत की जाएगी।

ङ. पीए को समय-समय पर संशोधित 'गैर-बैंक भुगतान प्रणाली परिचालकों के लिए साइबर आघात- सहनीयता और डिजिटल भुगतान सुरक्षा नियंत्रण पर मास्टर दिशा- निर्देश' पर आरबीआई परिपत्र सीओ.डीपीएसएस.ओवीआरएसटी.सं.एस447/06-26-002/2024-25 दिनांक 30 जुलाई 2024 द्वारा भी निर्देशित किया जाएगा।

10. सामान्य निर्देश

क. एक पीए केवल उसी व्यापारी के लिए धनराशि एकत्रित करेगा जिसके साथ उसका संविदात्मक संबंध है।

ख. एक पीए व्यवसाय बाज़ार व्यवसाय नहीं करेगा।

ग. एक पीए यह सुनिश्चित करेगा कि व्यापारी छूट दर (एमडीआर) के संबंध में मौजूदा निर्देशों का पालन किया जाए। एक पीए यह भी सुनिश्चित करेगा कि किसी व्यापारी द्वारा लगाए गए माल/सेवा/निवेश राशि के मूल्य के अलावा कोई भी शुल्क, लेनदेन से पहले भुगतानकर्ता को स्पष्ट रूप से प्रदर्शित किया जाए।

घ. एक पीए किसी विशेष भुगतान मोड के लिए लेनदेन राशि पर सीमाएँ नहीं लगाएगा। इसकी ज़िम्मेदारी जारीकर्ता बैंक/गैर-बैंकिंग संस्था की होगी; उदाहरण के लिए, कार्ड जारी करने वाला बैंक ग्राहक की क्रेडिट योग्यता, खर्च करने की प्रकृति, प्रोफ़ाइल आदि के आधार पर अपने द्वारा जारी किए गए कार्डों पर लेनदेन राशि की सीमाएँ निर्धारित करने के लिए ज़िम्मेदार होगा।

ङ. एक पीए कार्ड-नॉट-प्रेजेंट लेनदेन के लिए प्रमाणीकरण के कारक के रूप में एटीएम पिन का विकल्प नहीं देगा।

च. सभी धनवापसी मूल भुगतान विधि से ही की जाएँगी, जब तक कि भुगतानकर्ता द्वारा उसी भुगतानकर्ता के किसी वैकल्पिक माध्यम में धनवापसी जमा करने का विशेष निर्देश न दिया गया हो।

छ. अनुच्छेद 4(जे) में परिभाषित पीजी, इस एमडी के दायरे में नहीं आएगा। हालाँकि, पीजी को भारतीय रिज़र्व बैंक की आधारभूत प्रौद्योगिकी अनुशंसाओं (अनुलग्नक 1 में संलग्न) को अपनाने के लिए प्रोत्साहित किया जाता है।

ज. एक पीए आरबीआई परिपत्र डीओसी.केका.सीएसाअईटीईजी/एसईसी.1/31.01.015/2023-24 दिनांक 10 अप्रैल 2023 को ‘सूचना प्रौद्योगिकी सेवाओं पर मास्टर निदेश’, केका.डीपीएसएस.नीति.सं.एस-384/02.32.001/2021-2022 दिनांक 3 अगस्त 2021 को ‘भुगतान प्रणाली ऑपरेटरों द्वारा भुगतान और निपटान संबंधी गतिविधियों की आउटसोर्सिंग के लिए रूपरेखा’, और डीबीओडी.सं.बीपी डीबीओडी.सं.बीपी.40/21.04.158/2006-07 दिनांक 3 नवंबर 2006 को ‘बैंकों द्वारा वित्तीय सेवाओं की आउटसोर्सिंग में जोखिम प्रबंधन और आचार संहिता’, जैसा कि लागू हो और समय-समय पर संशोधित किया गया हो, उसके अनुसार पीजी की सेवाएं ले सकता है।

11. पीए-सीबी पर लागू विशिष्ट निदेश

क. पीए-सीबी द्वारा किए गए आवक और जावक लेनदेन से संबंधित निधियों को अलग रखा जाएगा। किसी भी परिस्थिति में निधियों का आपस में घुल- मिलने या जावक और आवक लेनदेन के लिए नेट-ऑफ की अनुमति नहीं है।

ख. जावक लेनदेन के लिए, पीए-सीबी विदेश में स्थित व्यापारियों को सीधे शामिल कर सकता है या ई-कॉमर्स मार्केटप्लेस या विदेश में पीए सेवाएं प्रदान करने वाली संस्थाओं के साथ करार कर सकता है।

ग. छोटे प्रीपेड भुगतान लिखत को छोड़कर जावक लेनदेन भारत में अधिकृत भुगतान प्रणालियों द्वारा प्रदान किए गए किसी भी भुगतान लिखत का उपयोग करके किए जा सकते हैं।

घ. पीए-सीबी किसी अधिकृत व्यापारी (एडी) के अलावा किसी अन्य संस्था से विदेशी मुद्रा नहीं खरीदेगा या उसे नहीं बेचेगा। पीए-सीबी द्वारा संसाधित आवक या जावक लेनदेन के संबंध में, प्रति लेनदेन अधिकतम मूल्य ₹25 लाख होगा।

ङ. एडी-I बैंक आवक संग्रह खाते (आईएनसीए)/जावक संग्रह खाते (ओसीए) बनाए रखते हैं, जैसा कि अनुच्छेद 16ए में परिभाषित किया गया है। इस प्रबंध निदेशक के नीचे, यह सुनिश्चित करेगा कि फेमा के अंतर्गत सभी आवश्यकताओं का पालन किया जाए।

च. एडी-I बैंक के पास पीए-सीबी से अपेक्षित जानकारी प्राप्त करने के लिए स्वचालित प्रक्रियाएँ होंगी।

छ. किसी लेनदेन की वास्तविकता स्थापित करने के लिए, भुगतान लेनदेन (जावक/आवक) को सीमा-पार लेनदेन के रूप में पहचाना जाएगा। भुगतान प्रणाली प्रदाता, आरबीआई द्वारा निर्दिष्ट समय-सीमा से इसके कार्यान्वयन के लिए प्रावधान करेगा।

ज. पीए-सीबी, निर्यातक/आयातकर्ता द्वारा निर्यातक/आयातकर्ता के एडी बैंक को आवश्यक दस्तावेज़/सूचना प्रदान करेगा, ताकि निर्यात डेटा प्रसंस्करण और निगरानी प्रणाली (ईडीपीएमएस)/आयात डेटा प्रसंस्करण और प्रबंधन प्रणाली (आईडीपीएमएस) में उनकी संबंधित प्रविष्टि को, जहाँ भी लागू हो, (संबंधित आवक/जावक प्रेषण के लिए), मौजूदा निर्देशों के अनुपालन में बंद किया जा सके।

झ. गैर-आईएनआर मुद्राओं में निपटान केवल उन व्यापारियों (भारतीय निर्यातकों) के लिए अनुमत होगा, जिन्हें पीए-सीबी द्वारा आवक लेनदेन की सुविधा प्रदान करने के लिए सीधे शामिल किया गया है।

12. रिपोर्ट

एक अधिकृत पीए इस एमडी के अनुलग्नक 2 में सूचीबद्ध रिपोर्ट प्रस्तुत करेगा।

अध्याय IV
केवाईसी और समुचित सावधानी

13. पीए द्वारा समुचित सावधानी

क. पीए को केवाईसी पर एमडी के अनुसार अपने व्यापारियों के लिए ग्राहक समुचित सावधानी (सीडीडी) करेगा। ऑनबोर्डिंग के दौरान, पीए, व्यापारी की सहमति से, सीकेवाईसीआर से व्यापारी का केवाईसी रिकॉर्ड प्राप्त करेगा। यदि सीकेवाईसीआर रिकॉर्ड अद्यतन नहीं पाया जाता है, तो केवाईसी पर एमडी में निर्धारित प्रक्रिया का पालन किया जाना चाहिए।

ख. जहाँ किसी व्यापारी का रिकॉर्ड सीकेवाईसीआर में उपलब्ध नहीं है, या कोई पीए सीकेवाईसीआर तक पहुँच नहीं पा रहा है क्योंकि उसका प्राधिकरण आवेदन रिज़र्व बैंक के पास लंबित है, वहाँ व्यापारी का सीडीडी केवाईसी पर एमडी में उल्लिखित अन्य तंत्रों के माध्यम से किया जा सकता है। यदि व्यापारी का वार्षिक कारोबार ₹40 लाख से अधिक नहीं है, या उसका वार्षिक निर्यात कारोबार ₹5 लाख से अधिक नहीं है, तो विकल्प के रूप में निम्नलिखित प्रक्रिया भी अपनाई जा सकती है:

1. व्यापारी के पैन/फॉर्म 60 की एक प्रति प्राप्त करें और जारीकर्ता प्राधिकारी से पैन का सत्यापन करें।

2. व्यापारी का सीपीवी करें।

3. स्वामी या खाता परिचालन हेतु पावर ऑफ अटॉर्नी रखने वाले व्यक्ति, जो भी लागू हो, उनके एक आधिकारिक रूप से वैध दस्तावेज़ (ओवीडी) की प्रमाणित प्रति प्राप्त करें। एकल स्वामित्व वाली फर्मों या कानूनी संस्थाओं के सीडीडी के लिए निर्धारित दस्तावेज़ों में से एक या समकक्ष ई-दस्तावेजों का सत्यापन किया जाना चाहिए।

क. पीए व्यापारी की पृष्ठभूमि और पूर्ववृत्त की जाँच करेगा।

ख. यदि कोई पीए किसी अन्य पीए के साथ संविदा करता है जो व्यापारी को अपने साथ जोड़ता है, तो पीए व्यापारी की समुचित सावधानी करने के लिए ज़िम्मेदार होगा।

ग. पीए अपने व्यापारियों को, जिनमें विदेशी पीए के माध्यम से जुड़े व्यापारी भी शामिल हैं, उपयुक्त व्यापारी श्रेणी कोड और व्यापारी आईडी/टर्मिनल आईडी आवंटित करने में सहायता करेगा। पीए यह सुनिश्चित करेगा कि उसके लिए संसाधित सभी लेनदेन में व्यापारी का नाम उचित रूप से दर्ज हो।

घ. पीए यह सुनिश्चित करेगा कि उसके द्वारा शामिल किया गया मार्केटप्लेस उस विक्रेता के भुगतान स्वीकार न करे जो उसके प्लेटफॉर्म पर शामिल नहीं है।

ङ. पीए द्वारा आवश्यक सत्यापन तंत्र स्थापित किए जाएँगे ताकि यह सुनिश्चित हो सके कि व्यापारी को देय धनराशि केवल व्यापारी के बैंक खाते में ही जमा की जाए।

च. पीए को व्यापारियों द्वारा बाद में किए गए लेनदेन की भी निगरानी करनी चाहिए ताकि यह सुनिश्चित हो सके कि ये लेनदेन व्यापारी की व्यावसायिक प्रोफ़ाइल के अनुरूप हैं और अपने परिचालन के दौरान केवाईसी पर एमडी के अन्य पहलुओं का पालन सुनिश्चित किया जा रहा है।

छ. गैर-बैंक पीए को केवाईसी पर एमडी के अनुपालन में वित्तीय आसूचना इकाई-भारत (एफआईयू-आईएनडी) के साथ स्वयं को पंजीकृत करना होगा और उसमें सूचीबद्ध रिपोर्टिंग आवश्यकताओं को पूरा करना होगा।

ज. एक पीए, जिसमें एक मौजूदा पीए भी शामिल है जिसका आवेदन भारतीय रिज़र्व बैंक के पास प्राधिकरण के लिए लंबित है, यह सुनिश्चित करेगा कि 31 दिसंबर 2025 तक शामिल किए गए व्यापारी इस एमडी की तिथि से एक वर्ष के भीतर उपरोक्त समुचित सावधानी आवश्यकताओं का अनुपालन करें। 1 जनवरी 2026 से, व्यापारियों को इस एमडी में निर्धारित समुचित सावधानी आवश्यकताओं के अनुसार शामिल किया जाना चाहिए।

14. अधिग्रहणकर्ता बैंक की ज़िम्मेदारियाँ

क. अधिग्रहणकर्ता बैंक के पास एक अधिकृत गैर-बैंक पीए के माध्यम से अधिग्रहीत व्यापारियों के भुगतानों के प्रसंस्करण हेतु एक नीति होगी।

ख. अधिग्रहणकर्ता बैंक को व्यापारी की ग्राहक संबंधी समुचित सावधानी स्वयं करने की आवश्यकता नहीं है, बल्कि आवश्यकता पड़ने पर आवश्यक विवरण प्राप्त करने में सक्षम होना चाहिए।

ग. गैर-बैंक पीए का अधिग्रहणकर्ता बैंक यह सुनिश्चित करेगा कि पीए द्वारा शामिल किए गए व्यापारी, अधिग्रहणकर्ता बैंक की व्यापारी अधिग्रहण नीति का अनुपालन करते हैं।

15. सहायता प्राप्त माध्यम से समुचित सावधानी

क. एक गैर-बैंक पीए व्यापारियों की उचित जाँच-पड़ताल से संबंधित निम्नलिखित गतिविधियों को करने के लिए एजेंटों का उपयोग कर सकता है:

1. एमडी-केवाईसी के अनुलग्नक-I में दी गई डिजिटल केवाईसी प्रक्रिया (बिजनेस कॉरेस्पोंडेंट के स्थान पर)

2. केवाईसी पर एमडी के पैराग्राफ 18 के अनुसार, केवल व्यक्ति/स्वामी/पावर ऑफ अटॉर्नी धारक/लाभार्थी स्वामी/व्यापारी के अधिकृत हस्ताक्षरकर्ता की सहायता करने वाले एजेंट द्वारा सहायता प्राप्त वी-सीआईपी। पीए, व्यापारी की सहायता करने वाले एजेंट का विवरण रखेगा, जहां ऐसे एजेंटों की सेवाएं ली जाती हैं।

ख. गैर-बैंक पीए, अधिकृत/नामित एजेंट के रूप में नियुक्त व्यक्तियों की समुचित जांच करेगा।

ग. समुचित जांच की अंतिम जिम्मेदारी पीए पर होगी और एजेंटों का उपयोग केवल ऊपर निर्धारित सीमित उद्देश्यों के लिए ही किया जा सकता है।

अध्याय V
निधियों का निपटान और एस्क्रो खाते

16. पीए के एस्क्रो खाते

क. एक गैर-बैंक पीए अपने व्यापारियों की ओर से एकत्रित धनराशि को भारत में किसी भी अनुसूचित वाणिज्यिक बैंक (एससीबी) के साथ एक अलग एस्क्रो खाते में रखेगा। पीए-सीबी के मामले में, ऐसे खाते को आवक लेनदेन के लिए आवक संग्रह खाता (आईएनसीए) और जावक लेनदेन के लिए जावक संग्रह खाता (ओसीए) भी कहा जाएगा, जैसा भी लागू हो। एस्क्रो खातों में परिचालन का विवरण नीचे दी गई तालिका 1 में शामिल किया गया है और इसमें उल्लिखित निर्देशों का 31 दिसंबर 2025 तक पालन किया जाना चाहिए। ऐसे एस्क्रो खातों का उपयोग केवल अधिकृत पीए व्यवसाय के लिए किया जाएगा, किसी अन्य व्यवसाय के लिए नहीं।

क. एस्क्रो खाते के रखरखाव के प्रयोजनों के लिए, पीए द्वारा परिचालित भुगतान प्रणाली को भुगतान और निपटान प्रणाली अधिनियम, 2007 की धारा 23ए के तहत 'नामित भुगतान प्रणाली' माना जाएगा।

17. एस्क्रो खातों का मुख्य भाग

क. एस्क्रो खाते का मुख्य भाग, व्यक्तिगत उद्यमी गतिविधि के लिए बनाए गए एस्क्रो खाते के अंतर्गत ही रखा जाएगा।

ख. यह सुविधा उन संस्थाओं को दी जाएगी जो छब्बीस (26) पखवाड़े से व्यवसाय में हैं और जिनके खातों का पूरे लेखा वर्ष के लिए विधिवत लेखा-परीक्षण किया गया है। इस प्रयोजन के लिए, छब्बीस पखवाड़े की अवधि की गणना खाते में वास्तविक व्यावसायिक परिचालन की तिथि से की जाएगी।

ग. मुख्य भाग पर कोई ऋण स्वीकार्य नहीं है। बैंक ऐसी जमाराशियों के लिए कोई रसीद जारी नहीं करेंगे जो व्यक्तिगत उद्यमी को मुख्य भाग में उपलब्ध धनराशि का हकदार बनाती हों या जमा के ऐसे रूप में रखी गई राशि पर कोई ग्रहणाधिकार अंकित करती हों।

घ. प्रत्येक एस्क्रो खाते के लिए मुख्य भाग की गणना अलग से की जाएगी। रखी गई एस्क्रो शेष राशि का स्पष्ट रूप से खुलासा लेखा परीक्षक के प्रमाणपत्रों में किया जाएगा, जो तिमाही और वार्षिक आधार पर आरबीआई को प्रस्तुत किए जाएंगे।

18. पीए के एस्क्रो खाते पर सामान्य निर्देश

क. पीए अपने द्वारा शामिल किए गए व्यापारियों की सूची उस बैंक को प्रस्तुत करेगा जहाँ उसका एस्क्रो खाता है और इन व्यापारियों को निपटान शुरू करने से पहले सूची को अद्यतन करेगा। इस सूची में पात्र तृतीय पक्ष शामिल हैं, जिनके लिए पीए-ओ या पीए-पी व्यापारी के निर्देश पर धनराशि का निपटान करेंगे, जैसा कि ऊपर तालिका 1 में अनुमत डेबिट में विस्तृत है। बैंक यह सुनिश्चित करेगा कि भुगतान केवल पात्र व्यापारियों को और इस दिशानिर्देश के तहत परिभाषित अनुमत डेबिट या क्रेडिट के लिए ही किया जाए। पीए और एस्क्रो खाता रखने वाले बैंक के बीच हस्ताक्षरित करार में एक विशेष खंड होगा, जिसमें एस्क्रो खाते में शेष राशि का उपयोग केवल ऊपर तालिका 1 में उल्लिखित अनुमत डेबिट या क्रेडिट के अनुसार ही किया जाएगा।

ख. एस्क्रो खाते का परिचालन 'कैश-ऑन-डिलीवरी' लेनदेन के लिए नहीं किया जाएगा।

ग. बाहरी लेनदेन के लिए धनराशि पीए के एस्क्रो खाते में प्राप्त की जा सकती है (और फिर पीए-सीबी के ओसीए में स्थानांतरित की जा सकती है) या सीधे पीए-सीबी के ओसीए में। विदेशी व्यापारियों को आगे का स्थानांतरण केवल ओसीए में डेबिट द्वारा किया जाएगा।

घ. यदि पीए-सीबी घरेलू पीए गतिविधि में भी संलग्न है, तो इनसीए और ओसीए को ऐसी घरेलू पीए गतिविधि के लिए खोले गए एस्क्रो खाते(खातों) से अलग रखा जाएगा।

ङ. सांविधिक लेखा परीक्षक(कों) द्वारा हस्ताक्षरित एक प्रमाण पत्र, अधिकृत संस्थाओं द्वारा डीपीएसएस, आरबीआई के संबंधित क्षेत्रीय कार्यालय को प्रस्तुत किया जाएगा, जहां पीए का पंजीकृत कार्यालय स्थित है, यह प्रमाणित करते हुए कि संस्था अनुलग्नक 2 में निर्धारित आवधिकता के अनुसार, इन निर्देशों के अनुपालन में एस्क्रो खाते(खातों) में शेष राशि बनाए रख रही है। घरेलू गतिविधि, यानी पीए-ओ/पी और सीमा पार गतिविधि, यानी पीए-सीबी के लिए प्रमाणपत्र अलग-अलग जमा किए जाएंगे।

च. यदि एस्क्रो खाते को एक बैंक से दूसरे बैंक में स्थानांतरित करने की आवश्यकता है, तो आरबीआई को सूचित करते हुए, व्यापारियों को भुगतान चक्र को प्रभावित किए बिना, इसे समयबद्ध तरीके से किया जाएगा।

छ. बैंकों के लिए, एस्क्रो खाते में बकाया राशि आरक्षित आवश्यकताओं के रखरखाव के प्रयोजनों के लिए 'शुद्ध मांग और समय देयताओं' (एनडीटीएल) का हिस्सा होगी। इस स्थिति की गणना रिपोर्टिंग की तिथि तक बैंक की पुस्तकों में दिखाई देने वाली शेष राशि के आधार पर की जाएगी।

ज. उलटे लेनदेन (जहां पीए द्वारा धनराशि प्राप्त की जाती है) और धनवापसी लेनदेन के लिए जमा एस्क्रो खाते के माध्यम से वापस भेजे जाएंगे, जब तक कि धनवापसी सीधे व्यापारी द्वारा प्रबंधित न हो और भुगतानकर्ता को पीए और व्यापारी के बीच संविदा के अनुसार इसकी जानकारी न दी गई हो। ग्राहकों के चार्जबैक अधिकार, जहां लागू हो, अप्रभावित रहेंगे।

अध्याय VI
निरसन और बचत

19. निम्नलिखित परिपत्रों को एतद्द्वारा निरस्त किया जाता है, सिवाय एक मौजूदा पीए-सीबी के, जिसने 30 अप्रैल 2024 को या उससे पहले पीए-सीबी के रूप में प्राधिकरण के लिए आवेदन किया था और उस पर निर्णय भारतीय रिज़र्व बैंक के पास लंबित है:

क. 'ऑनलाइन भुगतान गेटवे द्वारा सुगम निर्यात संबंधी प्राप्तियों का प्रसंस्करण और निपटान' पर दिनांक 16 नवंबर 2010 का ए.पी. (डीआईआर श्रृंखला) परिपत्र संख्या 17

ख. आनलाइन पेमेंट गेटवेज़ द्वारा निर्यात संबंधी प्राप्तियों की प्रोसेसिंग और भुगतान (निपटान) की सुविधा लेनदेन की राशि के मूल्य में बढ़ोत्तरी पर दिनांक 11 जून, 2013 का ए.पी. (डीआईआर श्रृंखला) परिपत्र संख्या 109

ग. 'ऑनलाइन भुगतान गेटवे सेवा प्रदाताओं द्वारा सुगम आयात और निर्यात संबंधी भुगतानों का प्रसंस्करण और निपटान' पर दिनांक 24 सितंबर, 2015 का ए.पी. (डीआईआर श्रृंखला) परिपत्र संख्या 16

20. ‘खातों को खोलने और उनका परिचालन करने और मध्यवर्तियों को शामिल करने वाले इलेक्ट्रॉनिक भुगतान लेनदेनों के लिए भुगतान के निपटान के लिए दिशा-निर्देश’ पर दिनांक 24 नवंबर 2009 का परिपत्र डीपीएसएस. केका.पीडी.सं.1102/02.14.08/2009-10 एतद्द्वारा निरस्त किया जाता है, केवल उस मौजूदा पीए-ओ के संबंध में जिसने प्राधिकरण मांगा है और उस पर निर्णय भारतीय रिज़र्व बैंक के पास लंबित है।

21. यहां दिए गए प्रावधानों के अलावा, अनुलग्नक-3 में सूचीबद्ध परिपत्र इस एम.डी. के जारी होने के साथ ही निरस्त हो जाते हैं।

22. उपर्युक्त निरसन के बावजूद, उपरोक्त परिपत्रों/निदेशों के तहत दिए गए सभी प्राधिकरण/अनुमोदन, की गई कार्रवाई और जारी की गई पावती वैध बनी रहेंगी और इस एम.डी. के तहत दी गई मानी जाएंगी।

23. इस प्रकार निरस्त किए गए परिपत्र, निदेश और दिशानिर्देश इस एम.डी. के प्रभावी होने की तिथि तक प्रभावी माने जाएंगे।

अनुबंध-1

बेसलाइन प्रौद्योगिकी-आधारित सिफारिशें

पीए (अनिवार्य) और पीजी (अनुशंसित) द्वारा अंगीकृत की जाने वाली सांकेतिक बेसलाइन प्रौद्योगिकी-आधारित सिफारिशें निम्नलिखित हैं:

1. सुरक्षा संबंधी सिफारिशें

आईटी प्रणालियों और सुरक्षा के संदर्भ में संस्थाओं की आवश्यकताएं नीचे दी गई हैं:

1.1. सूचना सुरक्षा अभिशासन: संस्थाएं कम से कम अपने लोगों, आईटी, व्यवसाय प्रक्रिया वातावरण आदि का व्यापक सुरक्षा जोखिम मूल्यांकन करेंगी, ताकि उपचारात्मक उपायों और अवशिष्ट जोखिमों के साथ जोखिम एक्स्पोज़र की पहचान की जा सके। ये किसी स्वतंत्र सुरक्षा लेखापरीक्षक अथवा सीईआरटी-इन द्वारा सूचीबद्ध लेखापरीक्षक द्वारा की गई आंतरिक सुरक्षा लेखापरीक्षा अथवा वार्षिक सुरक्षा लेखापरीक्षा हो सकती हैं। जोखिम मूल्यांकन, सुरक्षा अनुपालन की स्थिति, सुरक्षा लेखापरीक्षा रेपोर्टें और सुरक्षा घटनाएं बोर्ड के समक्ष प्रस्तुत की जाएंगी।

1.2. डाटा सुरक्षा मानक: डाटा सुरक्षा मानकों और सर्वोत्तम प्रथाओं जैसे पीसीआई-डीएसएस, पीए-डीएसएस, नवीनतम एन्क्रिप्शन मानकों, परिवहन चैनल सुरक्षा, आदि को लागू किया जाएगा।

1.3. सुरक्षा घटना की सूचना: संस्थाएं निर्धारित समय-सीमा के भीतर आरबीआई को सुरक्षा घटनाएं/कार्ड धारक डाटा उल्लंघनों की सूचना देंगी। मूल कारण विश्लेषण और निवारक कार्रवाई के साथ मासिक साइबर सुरक्षा घटना रिपोर्ट आरबीआई को प्रस्तुत की जाएगी।

1.4. मर्चेंट ऑनबोर्डिंग: संस्थाएं व्यापारी ऑनबोर्डिंग प्रक्रिया के दौरान व्यापक सुरक्षा मूल्यांकन करेंगी, ताकि यह सुनिश्चित हो सके कि इन न्यूनतम बेसलाइन सुरक्षा नियंत्रणों का व्यापारियों द्वारा अनुपालन किया गया है।

1.5. साइबर सुरक्षा लेखापरीक्षा और रिपोर्टें: संस्थाएं तिमाही आंतरिक और वार्षिक बाहरी लेखापरीक्षा रिपोर्टें; द्वि-वार्षिक सुभेद्यता मूल्यांकन / व्यापन परीक्षण (वीएपीटी) रेपोर्टें; अनुपालन का सत्यापन (एओसी) सहित पीसीआई-डीएसएस और रिपोर्ट ऑफ कंप्लाएंस (आरओसी) अनुपालन रिपोर्ट के साथ नोट किए गए आब्ज़र्वेशन, यदि कोई हो, जिसमें कार्रवाई बंद करने की तारीख सहित योजनाबद्ध सुधारात्मक/निवारक कार्रवाई शामिल है; उन एप्लिकेशनों की सूची, जो ग्राहक के संवेदनशील डाटा को संचित अथवा प्रसंस्कृत अथवा संचारित करते हैं; कार्ड धारक के डाटा को संगृहीत अथवा प्रसंस्कृत करने वाले भुगतान एप्लिकेशनों की पीए-डीएसएस अनुपालन स्थिति, तैयार करेंगी और इन्हें आईटी समिति के समक्ष प्रस्तुत करेंगी।

1.6. सूचना सुरक्षा: बोर्ड अनुमोदित सूचना सुरक्षा नीति की कम से कम वार्षिक समीक्षा की जाएगी। यह नीति व्यावसायिक उद्देश्यों के साथ संरेखण; नीति का उद्देश्य, दायरा, स्वामित्व और इसकी जिम्मेदारी; सूचना सुरक्षा संगठनात्मक संरचना; सूचना सुरक्षा भूमिकाएं और जिम्मेदारियां; आस्ति सूची और रजिस्टरों का रख-रखाव; डाटा वर्गीकरण; प्राधिकरण; अपवाद; अपेक्षित ज्ञान और कौशल सेट; आवधिक प्रशिक्षण और निरंतर व्यावसायिक शिक्षा; नीतियों के अननुपालन के लिए अनुपालन समीक्षा और दंडात्मक उपाय जैसे पहलुओं पर विचार करेगी।

1.7. आईटी अभिशासन: आईटी कार्यों के नियमित प्रबंधन के लिए एक आईटी नीति तैयार की जाएगी और यह सुनिश्चित किया जाएगा कि प्रक्रियाओं और दिशानिर्देशों के संदर्भ में विस्तृत प्रलेखन मौजूद हैं और इन्हें लागू किया गया है। रणनीतिक योजना और नीति की वार्षिक समीक्षा की जाएगी। बोर्ड स्तरीय आईटी अभिशासन ढांचा निम्नानुसार होगा-

1.7.1. बोर्ड का जुड़ाव: बोर्ड / शीर्ष प्रबंधन की प्रमुख भूमिका में सूचना सुरक्षा नीतियों को मंजूरी देना, सूचना सुरक्षा के लिए आवश्यक संगठनात्मक प्रक्रियाओं / कार्यों को स्थापित करना और आवश्यक संसाधन उपलब्ध कराना शामिल होगा।

1.7.2. आईटी संचालन समिति: विभिन्न व्यावसायिक कार्यों, जैसा कि उचित हो, से प्रतिनिधित्व सहित एक आईटी संचालन समिति बनाई जाएगी। बोर्ड द्वारा अनुमोदित आईटी रणनीति को लागू करने में समिति द्वारा कार्यपालक प्रबंधन की सहायता की जाएगी। इसमें अच्छी तरह से परिभाषित उद्देश्य और कार्य शामिल होंगे।

1.7.3. एंटरप्राइज सूचना मॉडल: बोर्ड द्वारा अनुमोदित आईटी रणनीति के अनुरूप, एप्लिकेशन के विकास और निर्णय-समर्थन गतिविधियों को सक्षम करने के लिए संस्थाएं एंटरप्राइज सूचना मॉडल स्थापित करेंगी और इसे बनाए रखेंगी। यह मॉडल व्यवसाय द्वारा इष्टतम निर्माण, उपयोग और जानकारी को साझा करने की सुविधा इस तरह से प्रदान करेगा कि यह अखंडता बरकरार रखता हो और विफलता के प्रति लचीला, कार्यात्मक, समयबद्ध, सुरक्षित और आघात-सह हो।

1.7.4. साइबर संकट प्रबंधन योजना: संस्थाएं आईटी रणनीतिक समिति द्वारा अनुमोदित एक व्यापक साइबर संकट प्रबंधन योजना तैयार करेंगी और इसमें पहचान करने, नियंत्रण, प्रतिक्रिया और रिकवरी जैसे घटक शामिल होंगे।

1.8. एंटरप्राइज डाटा डिक्शनरी: संस्थाएं संगठन के डाटा सिंटैक्स नियमों को शामिल करते हुए ‘एंटरप्राइज डाटा शब्दकोश’ रखेंगी। यह सभी एप्लिकेशनों और प्रणालियों में डाटा साझा करने में सक्षम बनाएगा, सभी आईटी और व्यावसायिक उपयोगकर्ताओं में डाटा की सामान्य समझ को बढ़ावा देगा और असंगत डाटा तत्वों के निर्माण को रोकेगा।

1.9. जोखिम मूल्यांकन: जोखिम मूल्यांकन, किसी व्यवसाय, अनुपालन और / अथवा संविदा के दृष्टिकोण से, प्रत्येक आस्ति के लिए इसके दायरे में, खतरे / भेद्यता संयोजनों और उस आस्ति की गोपनीयता, उपलब्धता या अखंडता पर प्रभाव की संभावना की पहचान करेगा।

1.10. एप्लिकेशन तक पहुंच: किसी एप्लिकेशन प्रणाली को चलाने के लिए प्रलेखित मानक / प्रक्रियाएं होंगी, जिन्हें एप्लिकेशन के स्वामी द्वारा अनुमोदित और अद्यतन किया गया हो। एप्लिकेशन तक पहुंच न्यूनतम विशेषाधिकार और जॉब संबंधी जिम्मेदारियों के अनुरूप ‘जानने की आवश्यकता’ के सिद्धांत पर आधारित होगी।

1.11. स्टाफ की योग्यता: मानव संसाधन के लिए प्रशिक्षण आवश्यकताओं के आवधिक मूल्यांकन के साथ आईटी कार्य के लिए अनिवार्य कौशल सेट सहित प्रशिक्षित संसाधनों की आवश्यकताओं को उचित रूप से समझा जाना चाहिए और उनका मूल्यांकन किया जाना चाहिए।

1.12. विक्रेता जोखिम प्रबंधन: बीसीपी-डीआर और डाटा प्रबंधन सहित प्रौद्योगिकी समर्थन के लिए सेवा स्तरीय समझौतों (एसएलए) में इन सेट-अप तक विनियामक पहुंच की अनुमति देने संबंधी खंड श्रेणीवार शामिल होंगे।

1.13. परिपक्वता और रोडमैप: संस्थाएं अपने आईटी परिपक्वता स्तर, विख्यात अंतरराष्ट्रीय मानकों पर आधारित, का आकलन करने, एक कार्य योजना तैयार करने और अपेक्षित परिपक्वता स्तर तक पहुंचने के लिए योजना को लागू करने पर विचार करेंगी।

1.14. क्रिप्टोग्राफिक आवश्यकता: संस्थाएं वैसे एन्क्रिप्शन एल्गोरिदम का चयन करेंगी जो अच्छी तरह से स्थापित अंतरराष्ट्रीय मानक के हैं और जिन्हें क्रिप्टोग्राफ़रों के किसी अंतरराष्ट्रीय समुदाय द्वारा सख्ती से परखा गया है अथवा आधिकारिक पेशेवर निकायों, प्रतिष्ठित सुरक्षा विक्रेताओं अथवा सरकारी एजेंसियों द्वारा अनुमोदित किया गया है।

1.15. फोरेंसिक तैयारी: संस्थाओं के इंफ्रास्ट्रक्चर से सुरक्षा संबंधी सभी घटनाओं, जिसमें एप्लिकेशन, सर्वर, मिडलवेयर, एंडपॉइंट, नेटवर्क, प्रमाणीकरण इवेंट्स, डाटाबेस, वेब सेवाएं, क्रिप्टोग्राफ़िक इवेंट्स और लॉग फाइलें शामिल हैं, लेकिन ये इन्हीं तक सीमित नहीं हैं, को सुरक्षा अलर्ट की अग्रसक्रिय पहचान हेतु संगृहीत किया जाएगा, इनकी जांच की जाएगी और इनका मूल्यांकन किया जाएगा।

1.16. डाटा संप्रभुता: संस्थाएं यह निवारक उपाय करेंगी कि इंफ्रास्ट्रक्चर में संगृहीत किया जाने वाला डाटा बाहरी क्षेत्राधिकारों से संबंधित नहीं हैं। डाटा तक अनधिकृत पहुंच को रोकने के लिए उपयुक्त नियंत्रणों पर विचार किया जाएगा।

1.17. आउटसोर्सिंग में डाटा सुरक्षा: संस्थाओं / उनके द्वारा नियुक्त एजेंसियों और नियामकों को सुरक्षा लेखापरीक्षा करने हेतु सक्षम बनाने के लिए 'ऑडिट का अधिकार' खंड शामिल करने वाला एक आउटसोर्सिंग करार करना होगा। वैकल्पिक रूप से, तृतीय पक्ष संस्थाएं स्वतंत्र वार्षिक सुरक्षा लेखापरीक्षा रिपोर्टें प्रस्तुत करेंगी।

1.18. भुगतान एप्लिकेशन सुरक्षा: भुगतान एप्लिकेशनों को पीए-डीएसएस के दिशानिर्देशों के अनुसार विकसित किया जाएगा और आवश्यकतानुसार इनका अनुपालन किया जाएगा। व्यापारी ऑनबोर्डिंग प्रक्रिया के हिस्से के रूप में संस्थाएं पीसीआई-डीएसएस अनुपालन की स्थिति की समीक्षा करेंगी।

2. अन्य सिफारिशें

2.1 ग्राहक कार्ड क्रेडेंशियल मर्चेंट द्वारा एक्सेस किए गए डाटाबेस या सर्वर में संगृहीत नहीं किया जाएगा।

2.2 कार्ड नॉट प्रेजेंट लेनदेनों के लिए प्रमाणीकरण के एक फैक्टर के रूप में एटीएम पिन का कोई विकल्प नहीं दिया जाएगा।

2.3 भुगतान प्रणाली डाटा के संग्रहण पर निर्देश, जैसा कि पीएसओ पर लागू हैं, लागू होंगे।

2.4 सभी रिफंड भुगतान की मूल विधि को किए जाएंगे, जब तक कि ग्राहक द्वारा वैकल्पिक मोड में क्रेडिट के लिए विशेष रूप से सहमति नहीं दी जाती है।

अनुबंध 2

प्राधिकृत भुगतान एग्रीगेटर द्वारा प्रस्तुत की जाने वाली रिपोर्टें

वार्षिक

1. निवल मालियत प्रमाण-पत्र – निवल मालियत पर सीए प्रमाण-पत्र सहित लेखापरीक्षित वार्षिक रिपोर्ट – 30 सितंबर तक (अनुबंध 2.1)।

2. नोट की गई टिप्पणियां, यदि कोई हो, सहित आईएस लेखापरीक्षा रिपोर्ट और साइबर सुरक्षा लेखापरीक्षा रिपोर्ट जिसमें समापन की तारीख के साथ योजनाबद्ध सुधारात्मक/निवारक कार्रवाई शामिल हो – बाहर से लेखापरीक्षित – 31 मई तक। लेखा परीक्षा का दायरा सूचना प्रणाली प्रक्रियाओं और एप्लिकेशनों के सभी प्रासंगिक क्षेत्रों को शामिल करेगा।

तिमाही

1. निलंब खाते में शेष राशि बनाए रखने संबंधी लेखापरीक्षकों का प्रमाण-पत्र – समाप्त तिमाही के आगामी माह की 15 तारीख तक। (अनुबंध 2.2 तथा अनुबंध 2.3)।

2. निलंब खाते से संबंधित डेबिट और क्रेडिट पर बैंकर का प्रमाण-पत्र - आंतरिक रूप से लेखापरीक्षित - समाप्त तिमाही के आगामी माह की 15 तारीख तक।

मासिक

1. निपटाए गए लेनदेन के आंकड़े – आगामी माह की 7 तारीख तक (अनुबंध 2.4)।

गैर-आवधिक

1. निदेशक द्वारा घोषणा और वचन-पत्र - निदेशक मंडल में परिवर्तन – जब कभी होता है (अनुबंध 2.5)

अनुबंध–3

इस मास्टर निर्देश के जारी होने के साथ निरस्त किए गए परिपत्रों की सूची