Payment Aggregatorを使うと、eコマースサイトやマーチャントは、マーチャントが独自の支払い統合システムを別途作成しなくても、顧客からさまざまな支払い手段を受け入れることができます。ペイメントゲートウェイ (PG) は、資金処理に関与することなくオンライン決済トランザクションの処理をルーティングし、円滑化するためのテクノロジーインフラストラクチャを提供します。PA と PG を使用すると、世界の一方の端にいる顧客が、詐欺を恐れることなく、もう一方の端に座っている人に支払いを行うことができます。
ペイメントアグリゲーターはマーチャントの資金を管理します。そのため、彼らの活動はもっと規制される必要があります。インド準備銀行(RBI)は、支払いアグリゲーターを規制するために、2020年3月17日付けのRBI/DPSS/2019-20/174を通じて「支払いアグリゲーターと支払いゲートウェイの規制に関するガイドライン」を発行しました。
この記事では、ペイメントゲートウェイ事業体を運営するために発行されたガイドラインについて説明します。
1。マーチャント・オンボーディングに関するポリシー
マーチャントは支払いゲートウェイのサービスを利用して、どのモードでも顧客から手間のかからない支払いを受けることができます。ただし、発行されたガイドラインによると、ペイメント・アグリゲーターはマーチャントを参加させる際に以下の点に注意する必要があります。
- PAには、理事会が承認したマーチャント・オンボーディングに関する方針が定められているものとします。
- PAは、業者の経歴や事前の確認を行い、業者が顧客を騙す意図がないこと、偽物や禁止品などを販売していないことを確認しなければなりません。
- マーチャントのウェブサイトには、サービスの利用規約と返品と返金の処理スケジュールが記載されています。
- PAは、決済カード業界データセキュリティ基準(PCI-DSS)および決済アプリケーションデータセキュリティ基準(PA-DSS)への準拠状況を、参加加盟店のインフラストラクチャが遵守していることを確認する責任を負うものとします。
- マーチャントサイトは、顧客カードおよびそのような関連データを保存してはなりません。この目的のために、PA はマーチャントのセキュリティ監査を実施することがあります。
- マーチャントとの契約には、顧客データのセキュリティとプライバシーに関する規定があるものとします。PAとマーチャントとの契約には、PA-DSSおよびインシデント報告義務の遵守が含まれるものとします。
- PAは、リスクアセスメント(大規模または小規模の商店)に基づいて、または契約の更新時に、定期的なセキュリティ評価レポートを入手する必要があります。
2。決済とエスクロー口座の管理
ペイメント・アグリゲーターは顧客から資金を集め、それをマーチャントに送金します。RBIは、ペイメント・アグリゲーターが資金をどのように管理するか、またどのくらいの期間で資金をマーチャントの口座に入金すべきかについて、以下のガイドラインを定めました。
また読む: ペイメント・アグリゲーターとペイメント・ゲートウェイに関するガイドライン:意味、承認、資本要件
a. エスクロー口座:
- ノンバンクPAは、任意の指定商業銀行にエスクロー口座を開設し、顧客から集められたすべての資金はそのエスクロー口座で受領されるものとします。
- PAの裁量により、別の予定商業銀行に追加のエスクロー口座を開設することができます。
- PAはシフトできます エスクロー口座 ある銀行から別の銀行へ。ただし、RBIへの助言に基づき、マーチャントへの支払いサイクルに影響を与えることなく、期限付きで同様の実施が行われるものとします。
b. エスクロー口座への資金の受領とエスクロー口座からの資金移動のタイムサイクル
- 使用される主な用語は次のとおりです。
- Tp' — 商品/サービスの購入に対して顧客の口座に請求/引き落としを行う日付。
- 'Ts — 商品の出荷についてマーチャントが仲介業者に通知した日付。
- 「Td」— 顧客への商品の配送についてマーチャントが仲介業者に確認した日付。
- 'Tr' — マーチャントが定めた返金期間の満了日。
- 顧客の口座から差し引かれた金額は、Tp+0/Tp+1ベースでPAのエスクロー口座に送金されるものとします。ウォレットを支払い手段として使用する銀行以外の事業体にも同じ規則が適用されます。
- マーチャントとの最終決済は、以下のように行われるものとします。
| Terms |
Time Limit for Final Settlement with Merchant |
| Time Limit for Final Settlement with Merchant |
Ts + 1 Basis |
| PA is responsible for the delivery of goods/services |
Td + 1 Basis |
| The merchant is responsible for the delivery |
Tr + 1 Basis |
- 加盟店との資金決済は、PAが取り扱う他の事業と混同してはなりません。
c. 返金取引に関するガイドライン:
- PAを通じて最初の資金を受け取ったリバース取引に対するクレジットは、エスクロー口座を通じて返金されるものとします。ただし、払い戻しがマーチャントによって直接管理され、顧客がそのことを認識している場合を除きます。
d. その他の利用規約
- 結局のところ、PAは「トップ」に従って顧客から徴収された最低金額、またはマーチャントに支払うべき金額を維持するものとします。
- PAは、自己資金または加盟店の資金でエスクロー口座に事前入金することが認められるものとします。ただし、後者の場合、マーチャントの受益権は前払いされた部分から発生するものとする。
- エスクロー口座は「代金引換」取引には使用できません。
e. エスクロー口座へのまたはエスクロー口座からの引き落としまたは入金が許可されている
- 複数のエスクロー口座が運営されている場合、一方のエスクロー口座から他方のエスクロー口座への入金と引き落としが許可されるものとします。ただし、エスクロー間の送金はできる限り避けるべきであり、その場合は、監査人の証明書にそのような取引が記載されるものとします。
- 許容クレジット:
- 商品またはサービスの購入に対するさまざまな顧客からの支払い。
- マーチャントまたはPAによる事前資金調達。
- 失敗/異議申し立て/返品/キャンセルされた取引の払い戻しを表す送金
- プロモーション活動、インセンティブ、キャッシュバックなどによるマーチャントへの次回送金で受け取った支払い
- 許容デビット:
- さまざまな商人への支払い。
- マーチャントからの特定の指示による他のアカウントへの支払い
- 失敗した/紛争が発生した取引の払い戻しを表す送金。
- 仲介業者への手数料の支払い。この金額は、あらかじめ決められたレート/頻度で行われるものとします。
- プロモーション活動、インセンティブ、キャッシュバックなどで受け取った金額の支払い
F. RBIガイドラインの遵守:
- 準備金要件を維持する目的で、エスクロー口座の残高は次の条件の一部とみなされるものとします 「純需要と時間負債」(NDTL)。報告日におけるエスクロー口座の銀行との残高が考慮されるものとします。
- 事業体とエスクロー口座バンカーは、随時発行されるRBIの指示に従う責任を負うものとします。
- 認定事業体は、監査人が署名した証明書をDPSS(RBI)のそれぞれの地域事務所に提出するものとします。この証明書は、事業体がこれらの指示に従ってエスクロー口座の残高を維持していることを証明するものです。複数のエスクロー口座が維持されている場合、すべてのエスクロー口座の残高が考慮されるものとします。
- PAは、取得したマーチャントのリストを、エスクロー口座を管理している銀行に提出し、そのリストを随時更新するものとします。
- 銀行は、支払いが適格な加盟店にのみ行われることを保証するものとします。
G.「コア部分」の別口座への振替
- エスクロー口座に保持されている残高に対して、銀行は利息を支払わないものとします。ただし、PAと締結した契約に従い、銀行は金額の「中核部分」を別の口座に振り替えて利息を支払うことができます。
- エスクロー口座に不足が生じた場合、有利子口座に保有されている金額が利用可能となります。
- この制度は、26週間にわたって事業を営み、会計年度全体にわたって会計会計が正式に監査された事業体に認められるものとします。このためには、口座内の実際の事業運営状況から26週間分の期間を計算します。
- このような預金に対する融資は認められません。銀行は、そのような形態の預金の保有額に預金領収書を発行したり、先取特権を設定したりしてはなりません。
3。顧客の苦情処理および紛争管理の枠組み
- PAは、顧客からの苦情処理と紛争管理の枠組みを導入し、顧客の苦情とエスカレーションマトリックスを処理する担当者を指名しなければなりません。
- 苦情処理施設は、ウェブサイト/モバイルで利用できるようになっている場合は、明確かつ容易にアクセスできる必要があります。
- PAは、すべての参加者を拘束する紛争解決メカニズムを備えているものとします。これには、取引ライフサイクル、紛争の種類の詳細な説明、紛争処理プロセス、コンプライアンス、すべての当事者の責任、文書、理由コード、苦情処理手順、各段階のターンアラウンドタイムなどが含まれます。
4。セキュリティ、不正防止、リスク管理の枠組み
- PAは、詐欺の防止と検出のための適切な情報およびデータセキュリティインフラストラクチャとシステムを導入しなければならない。
- PAは、自らが運営する決済システムの安全とセキュリティについて、理事会が承認した情報セキュリティポリシーを策定し、特定されたリスクを軽減するためにこのポリシーに従ってセキュリティ対策を実施するものとします。PAが採用するための基本的な技術関連の推奨事項は、附属書2に記載されています。
- PAは、サイバーセキュリティインシデントおよび侵害の監視、処理、およびフォローアップのためのメカニズムを確立しなければならない。その内容は、直ちにDPSS、RBI、中央事務所、ムンバイ、Cert-In(インドのコンピューター緊急対応チーム)に報告されるものとする。
- PAは、顧客カードの認証情報をデータベースまたはマーチャントがアクセスするサーバーに保存してはなりません。
- PAは、会計年度終了後2か月以内に、CERTinの権限を持つ監査人が実施したサイバーセキュリティ監査を含むシステム監査報告書を、それぞれのDPSS地域事務所(RBI)に提出するものとします。
5。一般的な指示
- PAは、マーチャント・ディスカウント・レート(MDR)に関する現存の指示に従っていることを確認しなければなりません。コンビニエンスフィーや手数料など、徴収されるその他の料金(ある場合)に関する情報も、PAが事前に表示する必要があります。
- PAは、特定の支払い方法の取引金額に制限を設けないものとします。カード発行銀行/事業体も同様です。例えば、カード発行銀行は、顧客の信用度、支出の性質、プロフィールなどに基づいて、発行したカードに金額制限を設ける責任があります。
- PAは、カードを提示しない取引の認証要素としてATM PINのオプションを提供してはなりません。
- お客様が別の支払い方法への入金について特に同意しない限り、すべての払い戻しは元の支払い方法に対して行われるものとします。
結論
顧客と加盟店の資金の安全を確保するために、RBIはPAによる資金の取り扱い、PAが実施する必要のあるセキュリティ対策、および顧客苦情処理フレームワークに関する詳細なガイドラインを発行しました。PAは、承認を維持するためにRBIが発行する各ガイドラインに従わなければなりません。
