भारतीय रिझर्व्ह बँकेने परिपत्रक डीपीएसएस.सीओ.ओडी.क्र.2785/06.08.005/2017-18 दि. एप्रिल 6, 2018 अन्वये, प्रदान प्रणाली माहितीची साठवण ह्यावर एक निर्देश दिला होता व त्यात सर्व सिस्टिम प्रोव्हायडर्सना सांगण्यात आले होते की, त्यांनी चालित केलेला प्रदान प्रणाली संबंधीचा संपूर्ण डेटा, सहा महिन्यांच्या आत भारतामधील एका प्रणालीमध्येच साठवून ठेवला असल्याची खात्री करुन घ्यावी.

पेमेंट सिस्टिम ऑपरेटर्सनी (पीएसओ) अंमलबजावणी बाबतच्या काही प्रश्नांवर आरबीआयकडून वेळोवेळी काही स्पष्टीकरणे मागितली आहेत. सर्व पीएसओंकडून ताबडतोब अनुपालन केले जाण्याची खात्री करण्यासाठी ह्या प्रश्नांवर स्पष्टीकरण देण्यासाठी हे एफएक्यु मदत करतात.

(1) हा निर्देश लागु होणे

• प्रदान व समायोजन प्रणाली अधिनियम, 2007 खाली भारतात एक प्रदान प्रणाली स्थापन करण्यास व चालविण्यास, भारतीय रिझर्व बँकेने प्राधिकृत/मंजुर केलेल्या सर्व प्रदान प्रणाली चालकांना (पीएसओ) हे निर्देश लागु आहेत.

• बँका ह्या एक प्रदान प्रणालीचे चालक म्हणून किंवा एका प्रदान प्रणालीतील सहभागी म्हणून काम करत असतात. त्या पुढील बाबतीतही सहभागी असतात. (1) आरबीआयने चालविल्या प्रदान प्रणाली. उदा. आरटीजीएस व एनईएफटी. (2) सीसीआयए व एनपीसीआय द्वारा चालित प्रणाली, आणि (3) कार्ड योजना. ह्यामुळे हे निर्देश भारतामध्ये कारभार करणा-या सर्व बँकांना लागु आहेत.

• त्याचप्रमाणे हे निर्देश, सिस्टिम पार्टिसिपंट्स, सर्व्हिस प्रोव्हायडरी, मध्यस्थ, पेमेंट गेट वेज्, तृतीय पक्षीय व्हेंडर्स व प्रदान सेवा देण्यासाठी, प्राधिकृत/मंजुर संस्थांनी ठेवलेल्या किंवा व्यस्त केलेल्या, प्रदान इकोप्रणालीतील इतर संस्थांनाही (कोणत्याही नावे संदर्भित असलेल्या) लागु आहेत.

• ह्या निर्देशांच्या तरतुदींच्या अनुपालनाची जबाबदारी, प्राधिकृत/मंजुर पीएसओंचीच असेल व त्यांनी खात्री करुन घ्यावी की असा डेटा, वरील निर्देशांखाली केवळ भारतातच साठवून ठेवण्यात येत आहे.

(2) प्रदान डेटा कोठे साठवून ठेवला जावा ?

येथे स्पष्ट करण्यात आल्याव्यतिरिक्त, सर्व प्रदान डेटा केवळ भारतातच असलेल्या प्रणालीमध्ये साठविला जाईल.

(3) भारतामध्ये साठवून ठेवावयाच्या डेटासंबंधी स्पष्टीकरण

ह्या डेटामध्ये, एंड-टु-एंड व्यवहारांचे तपशील व प्रदान संदेश/सूचना ह्याचा एक भाग म्हणून, प्रदान किंवा समायोजन व्यवहारांसंबंधीची गोळा केलेली/पारेषित केलेली/प्रक्रिया केलेली माहिती ह्यांचा समावेश असेल. ह्यात इतर गोष्टींबरोबर, ग्राहकाची माहिती (नाव, मोबाईल क्र., ई-मेल, आधार क्रमांक, पॅन क्रमांक इत्यादि), प्रदान संवेदनशील माहिती (ग्राहक व लाभार्थी खात्याचा तपशील) प्रदान क्रेडेंशियल्स (ओटीपी, पिन, पासवर्ड इ.) आणि व्यवहार माहिती (ओरिजिनेटिंग व डेस्टिनेशन प्रणाली माहिती, व्यवहार संदर्भ, टाईम स्टँप, रक्कम इत्यादि) ह्यांचा समावेश असेल.

(4) सरहद्दीपलिकडील व्यवहारांबाबतचा डेटा साठविणे.

विदेशी घटक व देशांतर्गत घटक असलेल्या क्रॉस बॉर्डर डेटासाठी, तशी आवश्यकता असल्यास, देशांतर्गत घटकाची एक प्रत विदेशात साठविण्यात यावी.

(5) प्रदान व्यवहारांची प्रक्रिया करणे

• पीएसओला तसे वाटत असल्यास, भारताबाहेरील प्रदान व्यवहारांवर प्रक्रिया करण्यास कोणतीही हरकत/निर्बंध नाही. तथापि, प्रक्रिया झाल्यानंतर तो डेटा केवळ भारतातच साठवून ठेवला जाईल. संपूर्ण एंड-टु-एंड व्यवहार माहिती ही त्या डेटाचा एक भाग असावी.

• प्रक्रिया विदेशात केली जात असल्यास, तो डेटा विदेशातील प्रणालीमधून खोडून टाकण्यात यावा व प्रदान प्रक्रियेनंतर व्यवहारांचा एक दिवस किंवा 24 तासात (जे अधिक असेल ते) तो भारतात परत आणला जावा आणि तो भारतातच साठवून ठेवला जावा.

• तथापि, प्रदान प्रक्रियेनंतर केलेली समायोजन प्रक्रिया ह्यासारखी कार्यकृती भारताबाहेर केली गेल्यास, ती देखील जवळजवळ रियल टाईम धर्तीवर केली जाईल. ही माहिती/डेटा केवळ भारतातच साठविला जावा.

• चार्जबॅक ह्यासारख्या इतर प्रक्रिया कार्यकृतींबाबत तो डेटा, भारतात जेथे साठविण्यात आला आहे तेथून केव्हाही मिळविता/अॅक्सेस करता येऊ शकतो.

(6) विदेशात प्रक्रिया केलेला डेटा, ग्राहक तक्रार निवारण/चार्जबॅक साठीची खिडकी (विंडो) उपलब्ध होईपर्यंत विदेशातच ठेवला जावा काय ?

वर निर्देशित केल्याप्रमाणे, विदेशात प्रक्रिया करण्यासाठी पाठविलेला डेटा, विहित केलेल्या कालावधीत, विदेशातच खोडून टाकण्यात आला पाहिजे व केवळ भारतातच साठवून ठेवण्यात आला पाहिजे. ग्राहकांच्या तक्रारी सोडविण्यासाठी, भारतात साठवून ठेवलेला डेटा आवश्यक तेव्हा मिळविता/आणता येऊ शकतो.

(7) प्रदान प्रणालीचा डेटा विदेशातील विनियामकांकडून शेअर केला जाऊ शकतो काय ?

आरबीआयच्या मंजुरीने व व्यवहाराचे स्वरुप/स्त्रोत ह्यावर अवलंबून, तसे आवश्यक असल्यास, तो डेटा विदेशी विनियामकाबरोबर शेअर केला जाऊ शकतो.

(8) सिस्टिम ऑडिट रिपोर्टची (एसएआर) व्याप्ती व आवाका

एखाद्या सर्ट-इन केलेल्या एमपॅनल्ड ऑडिटरकडून दिल्या जाणा-या सिस्टिम ऑडिट रिपोर्ट (एसएआर) मध्ये, इतर बाबींसह, डेटा स्टोअरेज, डेटाबेस ठेवणे, डेटा बॅक अप रिस्टोअरेशन, डेटा सिक्युरिटी इत्यादींचा समावेश असावा.

(9) विदेशात बँकिंग डेटा साठविण्यासाठी परवानगी देण्यात आलेल्या संस्थाबाबत स्पष्टीकरण ?

विदेशात बँकिंग डेटा साठवून ठेवण्यासाठी पूर्वी विशिष्ट/खास परवानगी देण्यात आलेल्या बँकांच्या व विशेषतः विदेशी बँकांच्या बाबतीत, त्या तसे करणे सुरुच ठेवू शकतात. तथापि, देशांतर्गत प्रदान व्यवहारां बाबतीत, तो डेटा केवळ भारतातच साठविला जाईल. तर सरहद्दीपलिकडील प्रदान व्यवहारां बाबतीत, तो डेटा पूर्वी निर्देशित केल्यानुसार विदेशातही साठवून ठेवता येऊ शकतो.