電子商取引またはクイックコマースの時代では、支払いアグリゲーターと支払いゲートウェイの役割は重要です。これらの事業体は、さまざまな銀行やチャネルを通じて顧客からサプライヤーに送金された資金を処理します。そのため、PAやPGとして活動する事業体は規制と監視を受ける必要があります。
RBIは」を発行しましたペイメント・アグリゲーターとペイメント・ゲートウェイの規制に関するガイドライン」ビデオ文書番号2020年3月17日付けのRBI/DPSS/2019-20/174。RBIは、承認要件、資本要件、エスクロー口座の運用など、支払いアグリゲーターに関するさまざまなガイドラインを定めています。
さらに、ガイドラインには、付録2に「ベースライン技術関連の推奨事項」も明記されています。これらのテクノロジー関連の推奨事項は、PA による採用が義務付けられています。ただし、ペイメントゲートウェイについても同じことが推奨されます。
この記事では、RIがPAとPGについて提供したベースライン技術関連の推奨事項について説明します。
1。セキュリティ関連の推奨事項
事業体は、ITシステムとセキュリティについて以下の検証を受ける必要があります。
1.1。情報セキュリティガバナンス:
- 企業は少なくとも、社員、IT、ビジネスプロセス環境などの包括的なセキュリティリスク評価を実施し、是正措置と残存リスクを伴うリスクエクスポージャーを特定する必要があります。
- これには、内部セキュリティ監査、独立セキュリティ監査人またはCert-In権限のある監査人による年次セキュリティ監査などがあります。
- リスク評価、セキュリティコンプライアンス体制、セキュリティ監査報告書、およびセキュリティインシデントに関する報告は、取締役会に提出されるものとします。
1.2。データセキュリティ基準:
- PCI-DSS、PA-DSS、最新の暗号化標準、トランスポートチャネルセキュリティなどのデータセキュリティ標準とベストプラクティスを実装する必要があります。
1.3。セキュリティインシデント報告:
- 事業体は、セキュリティインシデント/カード会員データ侵害を以下に報告しなければならない 打点 定められた期間内に。
- 根本原因の分析と実施された予防措置を含む毎月のサイバーセキュリティインシデントレポートをRBIに提出するものとします。
1.4。マーチャント・オンボーディング:
- 事業体は、マーチャントオンボーディングプロセス中に包括的なセキュリティ評価を実施して、マーチャントがこれらの最低限のベースラインセキュリティ管理を遵守していることを確認する必要があります。
- 発行されたガイドラインに従い、PAはマーチャントのバックグラウンドチェックを行い、マーチャントに不正行為の意図がなく、偽造品や禁止品を販売していないことを確認します。
1.5。サイバーセキュリティ監査と報告:
- 事業体は以下を実施し、IT委員会に提出するものとする。
- 四半期ごとの内部および年次外部監査報告書。
- 年2回の脆弱性評価/ペネトレーションテスト(VAPT)レポート。
- コンプライアンス証明(AOC)を含むPCI-DSSと
- コンプライアンス報告書(ROC)コンプライアンス報告書(行動終了日に予定されている是正措置/予防措置を含む)
- 顧客の機密データを保存、処理、または送信するアプリケーションのインベントリ
- カード会員データを保存または処理する支払いアプリケーションのPA-DSSコンプライアンスステータス。
1.6。情報セキュリティ:
- 理事会が承認した情報セキュリティポリシーは、少なくとも年に一度見直されるものとします。この方針では次のような点を考慮しなければならない。
- ビジネス目標との連携
- ポリシーの目的、範囲、所有権、責任
- 情報セキュリティ組織構造
- 情報セキュリティの役割と責任
- 資産インベントリと登録簿のメンテナンス。
- データ分類; など
- 認可、例外、必要な知識とスキルセット、定期的な研修と継続的な専門教育、コンプライアンス審査とポリシー違反に対する刑事措置
1.7 IT ガバナンス: IT機能を定期的に管理するためのITポリシーを策定し、企業は手順とガイドラインに関する詳細な文書が存在し、実施されていることを確認する必要があります。戦略計画と方針は毎年見直されるものとする。取締役会レベルのITガバナンスフレームワークには、
- 情報セキュリティポリシーの承認、情報セキュリティに必要な組織プロセス/機能の確立、および必要なリソースの提供への取締役会の関与
- IT運営委員会には、必要に応じてさまざまな事業部門の代表者が参加します。委員会は取締役会が承認したIT戦略の実施において経営陣を支援するものとする。
- 取締役会が承認したIT戦略に沿って、アプリケーション開発と意思決定支援活動を可能にするエンタープライズ情報モデル。このモデルは、整合性を保ち、柔軟性、機能性、適時性、安全性、障害に対する回復力を維持しながら、企業による情報の最適な作成、使用、共有を促進するものでなければなりません。は
- IT戦略委員会によって承認されたサイバー危機管理計画には、検知、封じ込め、対応、復旧などの要素が含まれるものとします。
1.8。エンタープライズデータディクショナリ:
- 事業体は、組織のデータ構文規則を組み込んだ「企業データディクショナリ」を維持しなければならない。
- これにより、アプリケーションやシステム間でデータを共有できるようになり、IT部門とビジネスユーザー間のデータに関する共通の理解が促進され、互換性のないデータ要素の作成が防止されます。
1.9。リスクアセスメント:
- リスク評価では、ビジネス、コンプライアンス、契約上の観点から、脅威と脆弱性の組み合わせ、およびその資産の機密性、可用性、または完全性への影響の可能性を特定する必要があります。
1.10。アプリケーションへのアクセス:
- 申請システムの管理手順は文書化され、申請所有者によって承認され、最新の状態に保たれるものとします。
- 応募書類へのアクセスは、最低限の権限と、職務内容に見合った「知る必要がある」という原則に基づくものとします。
1.11。スタッフの能力:
- IT部門に必要なスキルセットを備えたトレーニングを受けた人材の要件を理解し、定期的に適切に評価する必要があります。
1.12。ベンダーリスク管理:
- BCP-DRおよびデータ管理を含む技術サポートに関するサービスレベル契約(SLA)には、規制当局によるこれらの設定へのアクセスを許可する条項が明確に含まれるものとします。
1.13。成熟度とロードマップ:
- 企業は、よく知られた国際基準に基づいて自社のIT成熟度レベルを評価することを検討し、行動計画を立て、目標成熟度レベルに達するように計画を実施しなければならない。
1.14。暗号化要件:
- 企業は、確立された国際標準であり、暗号学者の国際コミュニティによる厳格な精査を受けたり、権威ある専門機関、信頼できるセキュリティベンダー、または政府機関によって承認された暗号化アルゴリズムを選択するものとします。
1.15。フォレンジック・レディネス:
- アプリケーション、サーバー、ミドルウェア、エンドポイント、ネットワーク、認証イベント、データベース、ウェブサービス、暗号化イベント、ログファイルを含むがこれらに限定されない、企業のインフラストラクチャからのすべてのセキュリティイベントを収集、調査、分析して、セキュリティアラートを積極的に特定する必要があります。
1.16。データ主権: 企業は、外部の管轄区域に属さないインフラストラクチャにデータを確実に保存するための予防措置を講じるものとします。データへの不正アクセスを防止するための適切な管理を検討しなければならない。
1.17。アウトソーシングにおけるデータセキュリティ:
企業がセキュリティ監査を実施できるようにするための「監査権」条項を規定するアウトソーシング契約が締結されるものとします。あるいは、第三者は毎年独立したセキュリティ監査報告書を事業体に提出しなければならない。
1.18。支払いアプリケーションのセキュリティ:
支払い申請書は、PA-DSSガイドラインに従って作成され、必要に応じて遵守されるものとします。事業体は、マーチャント・オンボーディング・プロセスの一環として、PCI-DSSの遵守状況を確認しなければなりません。
2。その他の推奨事項
支払いアグリゲーターと支払いゲートウェイは、次の点に注意する必要があります。
- 顧客カードの認証情報は、マーチャントがアクセスするデータベースまたはサーバーに保存されないものとします。
- カードを提示しない取引の認証要素としてのATM PINのオプションは提供されないものとします。
- PSOに適用される支払いシステムデータの保存に関する指示が適用されるものとします。
- お客様が別の支払い方法をクレジットすることに特に同意しない限り、すべての払い戻しは元のお支払い方法に対して行われるものとします。
結論
ペイメント・アグリゲーターおよびペイメント・ゲートウェイとして成功し、安全に運営するための鍵は、情報技術です。したがって、PAとPGは、事業体に導入されているITが定期的に監査され、保護され、RBIが発行したガイドラインに従って実施されていることを確認する必要があります。
