आरबीआई/2016-17/178
डीपीएसएस.सीओ.ओएसडी.सं.1485/06.08.005/2016-17

9 दिसंबर, 2016

सभी प्रीपेड भुगतान लिखत जारीकर्ता,
प्रणाली प्रदाता, प्रणाली प्रतिभागी और
अन्य सभी संभावित प्रीपेड भुगतान लिखत जारीकर्ता

महोदय,

सुरक्षा और जोखिम शमन के उपाय - प्रीपेड भुगतान लिखत जारीकर्ताओं की तकनीकी लेखा परीक्षा

मौजूदा ₹ 500 और ₹ 1000 मूल्यवर्ग के बैंक नोटों (विनिर्दिष्ट बैंक नोट –एसबीएन) की विधि मान्य मुद्रा होने की मान्यता समाप्त किए जाने के साथ भुगतान के वैकल्पिक तरीकों का उपयोग, विशेष रूप से ई-वालेट्स को गति प्राप्त हुई है। रिज़र्व बैंक ने प्रीपेड भुगतान लिखतों (पीपीआई) के लिए विशेष उपायों को अधिसूचित किया है ताकि व्यापक तरीके से डिजिटल भुगतानों की स्वीकार्यता उपलब्ध कराई जा सके। जबकि, ऑन-बोर्डिंग नए ग्राहकों और व्यापारियों के लिए सभी प्रयास कंपनियों द्वारा किए जाने चाहिए, किन्तु इस बात को भी ध्यान में रखना चाहिए कि विशेषतौर पर इस समय डिजिटल चैनलों / उत्पादों को प्रभावित करने वाली कोई किसी भी प्रकार की साइबर सुरक्षा से संबन्धित घटना प्रणाली स्तर पर व्यापक जटिलता को उत्पन्न कर सकती है और यह बड़े पैमाने पर जनता द्वारा डिजिटल उत्पादों को अपनाने से निरुत्साहित करने के कारक की भी भूमिका निभा सकती है।

2. जैसे कि ई-भुगतान में तेजी से आई वृद्धि के कारण मौजूदा डिजिटल इन्फ्रास्ट्रक्चर पर काफी दबाव पड़ सकता है, यह स्वाभाविक है कि हमारे डिजिटल ईकोसिस्टम की अखंडता इस बात को सुनिश्चित करके बरकरार रखी जाए कि वह पूरी तरह से मजबूत और सुरक्षित रहे। कृपया प्राधिकृत संस्थाओं से अपेक्षित वार्षिक आधार पर सीआईएसए / डीआईएसए अर्हता प्राप्त लेखा परीक्षक से प्रणालीगत लेखा परीक्षा रिपोर्ट प्रस्तुत करने से संबन्धित मौजूदा दिशा -निर्देशों पर ध्यान दें (लिंक का संदर्भ लें /en/web/rbi/-/notifications/directions-for-submission-of-system-audit-reports-from-cisa-qualified-auditor-6177 और /en/web/rbi/-/notifications/submission-of-system-audit-reports-6344)। प्रणालीगत लेखा परीक्षा के दायरे में हार्डवेयर संरचना, ऑपरेटिंग सिस्टम और महत्वपूर्ण एप्लीकेशन, सुरक्षा और नियंत्रण, प्रमुख एप्लीकेशनों पर एक्सेस नियंत्रण को शामिल करना, आपदा से उबरने संबंधी योजनाएं, सिस्टम और एप्लीकेशनों का प्रबंधन करने वाले कर्मियों का प्रशिक्षण, दस्तावेजीकरण आदि का मूल्यांकन शामिल है।

3. उपर्युक्त के मद्देनजर देश में पीपीआई जारी करने वाली सभी अधिकृत संस्थाओं / बैंकों को यह सूचित किया जाता है कि:

i. भारतीय कंप्यूटर इमरजेंसी रिस्पांस टीम (सीईआरटी-इन) के सूचीबद्ध लेखा परीक्षकों द्वारा प्राथमिकता के आधार पर एक विशेष लेखा परीक्षा करना और उसके बाद लेखा परीक्षा रिपोर्ट के निष्कर्षों का पालन करने के लिए तत्काल कदम उठाना। सूचीबद्ध लेखा परीक्षकों की सूची निम्नलिखित लिंक पर उपलब्ध है http://www.cert-in.org.in/PDF/Empanel_org.pdf । लेखा परीक्षा में, सुरक्षा संबंधी सर्वोत्तम प्रथाओं के अनुसार अनुपालन किया जाना, विशेष रूप से एप्लीकेशन सिक्योरिटी लाइफ साइकल और पैच / अतिसंवेदनशीलता और इसे प्राधिकृत प्रणालियों के संबंध में प्रबंधन में परिवर्तन करना और भारतीय रिज़र्व बैंक द्वारा अनुमोदित प्रक्रिया प्रवाह का अनुपालन शामिल होना चाहिए। बैंक, साइबर सुरक्षा फ्रेमवर्क पर दिनांक 02 जून 2016 के परिपत्र डीबीएस.सीओ/सीएसआईटीई/बीसी.11/33.01.001/2015-16 के अंतर्गत भी निर्देशित होंगे।

ii. इस बात की संभावना पर विचार करते हुए कि नए ग्राहक डिजिटल चैनल का उपयोग पहली बार कर रहे हैं, फ़िशिंग हमलों को कम करने के लिए उपयुक्त उपाय करें। ग्राहकों को समय-समय पर सुरक्षा और रक्षा संबंधी सर्वोत्तम प्रथाओं के बारे में बताया जाए।

iii. जोखिम अवधारणा अथवा खतरे जैसे ही उभरते हैं उसके आधार पर अतिरिक्त उपाय गतिशील रूप से लागू करें।

4. लेखा परीक्षक का नाम और उनकी नियुक्ति की तिथि सहित कार्य योजना संबंधी ब्यौरा देने वाली पुष्टि भुगतान और निपटान प्रणाली विभाग, केंद्रीय कार्यालय को 21 दिसंबर 2016 तक ईमेल में प्रदान करें। स्थिति की सतत निगरानी करने और हमें समय-समय पर (15 दिनों के भीतर पहला अनुपालन और उसके पश्चात के अनुपालन मासिक आधार पर) अद्यतन स्थिति से अवगत कराने के लिए एक वरिष्ठ पदाधिकारी को नामित किया जाए। बैंक संबंधित वरिष्ठ पर्यवेक्षी प्रबंधक (एसएसएम) को अनुपालन भेजें और गैर-बैंक संस्थाएं डीपीएससी के संबंधित क्षेत्रीय कार्यालयों को अनुपालन भेज सकते हैं।

5. यह निर्देश भुगतान और निपटान प्रणाली अधिनियम 2007 (2007 का अधिनियम 51) की धारा 18 के साथ पठित धारा 10 (2) के अंतर्गत जारी किया गया है।

भवदीया

(नंदा एस. दवे)
मुख्य महाप्रबंधक