भारतीय रिजर्व बैंक / 2012/13/424
डीपीएसएस (सीओ) पीडी सं. 1462 /02.14.003 /2012-13

28 फरवरी, 2013

अध्यक्ष एवं प्रबंध निदेशक / मुख्य कार्यपालक अधिकारी
क्षेत्रीय ग्रामीण बैंकों सहित सभी अनुसूचित वाणिज्यिक बैंक/ शहरी सहकारी बैंक /
राज्य सहकारी बैंक / जिला केंद्रीय सहकारी बैंक/
प्राधिकृत कार्ड भुगतान नेटवर्क

महोदय / महोदया,

इलेक्ट्रॉनिक भुगतान लेनदेनों में सुरक्षा संबंधी और जोखिम को कम करने के उपाय

वैकल्पिक भुगतान उत्पादों / चैनलों के माध्यम से किए जाने वाले भुगतान ग्राहकों के बीच लोकप्रिय होते जा रहे हैं और ज्यादा से ज्यादा बैंक अपने ग्राहकों को ये सुविधाएं प्रदान कर रहे हैं । एक ओर जहां बैंकों के इस कदम से इलेक्ट्रॉनिक भुगतान को बढ़ावा मिलता है वहीं दूसरी ओर यह बात भी अनिवार्य हो जाती है कि बैंक इस बात को सुनिश्चित करें कि ऐसे चैनलों के माध्यम से होने वाले लेनदेन सुरक्षित और प्रतिरक्षित हैं और इनमें आसानी से धोखाधड़ी नहीं की जा सकती है। इस प्रकार की एक पहल भारतीय रिजर्व बैंक द्वारा की गई है जिसमें सभी कार्ड नॉट प्रेजेंट (सीएनपी) लेनदेनों के लिए प्रमाणीकरण के एक अतिरिक्त कारक को अनिवार्य किया गया था। भारतीय रिजर्व बैंक द्वारा कार्ड प्रेजेंट लेनदेनों को सुरक्षित बनाने के संबंध में कार्य दल की सिफ़ारिशों के कार्यान्वयन के माध्यम से कार्ड प्रेजेंट लेनदेनों की सुरक्षा भी शुरू की गई है। बैंकों ने ऑनलाइन निधि अंतरण उपलब्ध करने के लिए इससे संबन्धित तंत्र और प्रमाणीकरण करने संबंधी व्यवस्था भी स्थापित की है जैसे : (i) इंटरनेट / मोबाइल बैंकिंग के लिए ग्राहकों के नाम दर्ज करना; (ii) ग्राहक द्वारा लाभार्थी का नाम जोड़ना; (iii) लेनदेन करते समय वेलोसिटी चेक इत्यादि।

2. साइबर हमलों के और अधिक अप्रत्याशित होने और इलेक्ट्रॉनिक भुगतान प्रणाली के दुरुपयोग के नए-नए तरीकों के चलते यह अनिवार्य हो जाता है कि बैंक ऐसे हमलों के प्रभावों को कम करने और नुकसान न होने देने /कम करने के लिए कतिपय न्यूनतम नियंत्रण और रक्षोपाय लागू करें। तदनुसार, बैंकों से यह अपेक्षित है कि वे निम्नानुसार सुरक्षा और जोखिम नियंत्रण उपायों को लागू करें:

ए. कार्ड भुगतान लेनदेनों को सुरक्षित करना

(i) सभी नए डेबिट और क्रेडिट कार्डों को केवल घरेलू उपयोग के लिए ही जारी किया जाए जब तक कि ग्राहक द्वारा इसके अंतरराष्ट्रीय उपयोग के लिए विशेष रूप से मांग न की जाए। ऐसे कार्ड जो अंतर्राष्ट्रीय स्तर पर उपयोग किए जाने हेतु सक्षम होंगे उन्हें अनिवार्य रूप से ईएमवी चिप और पिन समर्थित होना होगा। (30जून, 2013 तक)

(ii) जारीकर्ता बैंकों को उन सभी ग्राहकों के सभी मौजूदा मैगस्ट्रिप कार्डों के बदले ईएमवी चिपकार्ड प्रदान करने चाहिए जिन्होंने अपने कार्ड का उपयोग अंतर्राष्ट्रीय स्तर पर कम से कम एक बार किया है (ई–कामर्स/एटीएम/पीओएस के माध्यम से/के लिए)। (30 जून, 2013 तक)

(iii) बैंकों द्वारा जारी किए गए सभी सक्रिय मैगस्ट्रिप अंतर्राष्ट्रीय कार्डों की अंतर्राष्ट्रीय उपयोग के लिए अधिकतम सीमा निर्धारित होनी चाहिए। यह सीमा ग्राहक के जोखिम प्रोफाइल के आधार पर और ग्राहक द्वारा स्वीकार की गई सीमा के आधार पर बैंकों द्वारा निर्धारित की जानी चाहिए (30 जून, 2013 तक)। जब तक यह प्रक्रिया समाप्त नहीं हो जाती है, तब तक ऐसे सभी डेबिट कार्ड और क्रेडिट कार्ड जिनसे पूर्व में अंतरराष्ट्रीय लेन – देन नहीं किया गया है के संबंध में सर्वग्राही सीमा (उदाहरणार्थ 500 अमरीकी डालर से अधिक नहीं) जो कि प्रत्येक बैंक द्वारा निर्धारित की जाएगी।

(iv) बैंकों को इस बात को भी सुनिश्चित करना चाहिए कि कार्ड से भुगतान प्राप्त करने के लिए व्यापारियों के यहाँ लगाए गए टर्मिनलों (दो बार स्वाइप करने वाले टर्मिनलों सहित) को पीसीआई-डीएसएस (भुगतान कार्ड उद्योग - डाटा सुरक्षा मानक) और पीए डीएसएस (पेमेंट एप्लीकेशन्स- डाटा सुरक्षा मानक) के संबंध में प्रमाणित किया गया हो (30 जून, 2013 तक)।

(v) बैंकों को धोखाधड़ी रोकने के लिए ग्राहकों के द्वारा कार्ड के माध्यम से किए जाने वाले लेनदेन की प्रवृत्ति के आधार प्राधिकृत कार्ड भुगतान नेटवर्क के साथ समन्वय करके नियम बनाने चाहिए। यह धोखाधड़ी की रोकथाम के उपाय के रूप में कार्य करेगा (30 जून, 2013 तक)।

(vi) बैंकों को यह सुनिश्चित करना चाहिए कि अधिग्राहक (acquiring) बुनियादी ढांचा जो कि वर्तमान में आईपी (इंटरनेट प्रोटोकॉल) आधारित सल्यूशन्स पर परिचालित किये जाते हैं उसे अनिवार्य रूप से पीसीआई-डीएसएस (भुगतान कार्ड उद्योग - डाटा सुरक्षा मानक) और पीए डीएसएस (पेमेंट एप्लीकेशन्स- डाटा सुरक्षा मानक) प्रमाणीकरण प्राप्त होना चाहिए। इसमें अधिग्राहक, प्रोसेसर / एग्रीगेटर और बड़े व्यापारी को शामिल होने चाहिए (30 जून, 2013 तक)।

(vii) बैंकों को जल्द से जल्द वास्तविक समय (real time) धोखाधड़ी निगरानी प्रणाली की दिशा में कदम बढ़ाने चाहिए।

(viii) बैंकों द्वारा ग्राहकों को अपने कार्ड को ब्लॉक करने और उसके जवाब में पुष्टि मिलने के आसान तरीके (एसएमएस की तरह) प्रदान करना चाहिए।

(ix) बैंकों को ऐसी प्रणाली अपनानी चाहिए जिसमें भारत में जारी और अंतर्राष्ट्रीय स्तर पर (विदेशों में स्थित बैंकों द्वारा अधिग्रहीत लेनदेन) इस्तेमाल किए जाने वाले कार्डों के प्रमाणीकरण के अतिरिक्त कारक के कार्यान्वयन की अतिरिक्त सुविधा हो।

(X) बैंकों को उक्त (v) में बनाए गए नियमों के आधार पर कार्ड भुगतान नेटवर्क के साथ समन्वयन के माध्यम से कॉल रेफरल¹ की प्रणाली का निर्माण करना चाहिए।

बी. इलेक्ट्रॉनिक भुगतान लेनदेनों को सुरक्षित बनाना

भुगतान के इलेक्ट्रॉनिक मोड जैसे आरटीजीएस, एनईएफटी और आईएमपीएस निधि अंतरण के channel agnostic mode (चैनल एग्नोस्टिक मोड ) के रूप में उभरे हैं। इंटरनेट बैंकिंग चैनल के माध्यम से ये काफी प्रचलित हुए हैं इसलिए यह अनिवार्य हो जाता है कि इस तरह के डिलिवरी चैनल भी सुरक्षित और प्रतिरक्षित हों। इस संबंध में बैंकों द्वारा किए जाने वाले अतिरिक्त उपाय निम्नलिखित हैं:

(i) लेनदेनों/लाभार्थियों के मूल्य/मोड की अंतिम सीमा (कैप) निर्धारित करने के लिए ग्राहक द्वारा बताए गए विकल्पों को उपलब्ध कराया जा सकता है। यदि ग्राहक कैप को बढ़ाना चाहता है तो उससे अतिरिक्त प्राधिकरण देने पर जोर दिया जा सकता है।

(ii) प्रत्येक खाते में एक दिन में जोड़े जा सकने वाले लाभार्थियों की संख्या की सीमा को निर्धारित करने पर विचार किया जा सकता है।

(iii) जब एक लाभार्थी जोड़ा जाता है तो चेतावनी (alerts) देने की प्रणाली शुरू की जानी चाहिए।

(iv) बैंक, प्रति दिन / प्रति लाभार्थी लेनदेन की संख्या के के संबंध में गति की जांच करने के लिए एक व्यवस्था स्थापित कर सकता है और किसी भी संदिग्ध लेनदेन की चेतावनी बैंक में और ग्राहक को मिल जानी चाहिए ।

(v) ऐसे भुगतान लेनदेन के लिए प्रमाणीकरण (प्रमुखतः प्रकृति में गतिशील) के अतिरिक्त कारक पर विचार किया जा सकता है।

(vi) बैंकों सभी ग्राहकों के लिए बड़े मूल्य के भुगतान के संबंध में डिजिटल हस्ताक्षर के कार्यान्वयन पर विचार कर सकते हैं, आरटीजीएस लेनदेनों के लिए इसकी शुरुआत की जा सकती है।

(vii) एक अतिरिक्त सत्यापन जाँच के रूप में इंटरनेट प्रोटोकॉल (आईपी) पते को कैप्चर करने पर विचार किया जा सकता है।

(viii) केंद्रीकृत भुगतान प्रणालियों में बैंकों की उप सदस्यता ने ऐसे उप सदस्यों के ग्राहकों द्वारा इसका लाभ उठाना संभव बना दिया है। उप सदस्यों को स्वीकार करने वाले बैंकों को यह सुनिश्चित करना चाहिए कि उप सदस्यों द्वारा किए गए सुरक्षा उपाय उनके द्वारा पालन किए जा रहे मानकों के अनुरूप हैं ताकि सुरक्षा सुनिश्चित की जा सके और प्रतिष्ठा जोखिम को कम किया जा सके।

(ix) बैंक धोखाधड़ी का पता लगाने के लिए नई तकनीकों जैसे कि, एडेप्टिव आथेन्टिकेशन इत्यादि को लागू करने की संभावना का पता लगा सकते हैं।

बैंकों से यह अपेक्षित है कि वे बी (i) से (ix) के अंतर्गत उक्त सुरक्षा उपायों को 30 जून, 2013 तक लागू करेंगे।

3. बैंकों को सूचित किया जाता है कि वे उपर्युक्त सुरक्षा/जोखिम को कम करने संबंधी उपाय जल्दी से जल्दी लागू करें और इस संबंध में हुई प्रगति से हमें भी अवगत कराएं।

4. यह निर्देश भुगतान और निपटान प्रणाली अधिनियम, 2007 (2007 का अधिनियम 51) की धारा 18 के तहत जारी किया जा रहा है।

5. कृपया इस परिपत्र की प्राप्ति की सूचना दें।

भवदीय

(विजय चुग)
मुख्य महाप्रबंधक

¹ काल रेफरल का आशय है:
-दुकानदार के पास ईडीसी पर कार्ड को स्वाइप किया गया है।
- जारी करने वाला “काल ईसुअर” निर्णय के साथ जवाब देता है।
- दुकानदार एक्वायरिंग बैंक को कार्ड नंबर और लेनदेन संबंधी आंकड़ों के साथ काल करेगा।
- एक्वायरर जारीकर्ता बैंक को प्रमाणीकरण हेतु काल करेगा
- जारीकर्ता बैंक ग्राहक से बात करके और लेनदेन को प्रमाणीकृत करके लेनदेन को अनुमोदित/अस्वीकृत करता है।
-दुकानदार को अनुमोदन प्राप्त करने के लिए कार्ड को पुन: स्वाइप करना होगा।