基准技术-针对支付聚合器和支付网关的相关建议

在电子商务或快速商务时代，支付聚合器和支付网关的作用非常重要。这些实体负责管理通过不同银行和渠道从客户向供应商转移的资金。因此，作为PA和PG运营的实体必须受到监管和监督。

印度储备银行发布了”支付聚合商和支付网关监管指南” 参见文件编号RBI/DPSS/2019-20/174 日期为 2020 年 3 月 17 日。印度储备银行已经为支付聚合商规定了各种指导方针，例如授权要求、资本要求、托管账户的运营等。

此外，该指南还在附件2中具体规定了 “与基准技术相关的建议”。这些与技术相关的建议必须由PA采用。但是，建议对支付网关采用同样的做法。

本文讨论了RI为PA和PG提供的与基准技术相关的建议

1。与安全相关的建议

这些实体必须对IT系统和安全进行以下验证：

1.1。信息安全治理：

• 各实体至少应对其人员、IT、业务流程环境等进行全面的安全风险评估，通过补救措施和剩余风险来确定风险敞口。
• 这些审计可以是内部安全审计，也可以是独立安全审计师或CERT-in专家组审计师的年度安全审计。
• 应向董事会提交有关风险评估、安全合规状况、安全审计报告和安全事件的报告。

1.2。数据安全标准：

• 应实施数据安全标准和最佳实践，例如PCI-DSS、PA-DSS、最新的加密标准、传输信道安全等。

1.3。安全事件报告：

• 这些实体应向报告安全事件/持卡人数据泄露事件 印度储备银行 在规定的时间范围内。
• 应向印度储备银行提交包含根本原因分析和预防措施的每月网络安全事件报告。

1.4。商家入职：

• 这些实体应在商户入职过程中进行全面的安全评估，以确保商家遵守这些最低限度的基准安全控制措施。
• 根据发布的指导方针，PA应对商家进行背景调查，以确保商家没有任何恶意意图，也不会出售假冒产品或违禁产品。

1.5。网络安全审计和报告：

• 各实体应执行并向信息技术委员会提交：
  • 季度内部和年度外部审计报告；
  • 两年一次的漏洞评估/渗透测试 (VAPT) 报告；
  • PCI-DSS 包括合规性认证 (AOC) 和
  • 合规报告（ROC）合规报告，附有观察结果（如果有），包括在行动结束日期之前计划的纠正/预防行动；
  • 存储、处理或传输客户敏感数据的应用程序清单；
  • 存储或处理持卡人数据的支付应用程序的 PA-DSS 合规状态。

1.6。信息安全：

• 董事会批准的信息安全政策应至少每年审查一次。该政策应考虑以下方面：
  • 与业务目标保持一致；
  • 该政策的目标、范围、所有权和责任；
  • 信息安全组织结构；
  • 信息安全的角色和责任；
  • 维护资产清单和登记册;
  • 数据分类；等等
  • 授权；例外情况；所需的知识和技能；定期培训和持续的专业教育；合规审查和对违规政策行为的处罚措施。

1.7 IT 治理： 应为定期管理信息技术职能制定信息技术政策，该实体应确保有关程序和指导方针的详细文件存在并得到执行。应每年对战略计划和政策进行审查。董事会级别的IT治理框架应具有-

1. 董事会参与批准信息安全政策，为信息安全建立必要的组织流程/职能，并提供必要的资源。
2. IT 指导委员会酌情由来自不同业务职能部门的代表组成。委员会应协助执行管理层实施董事会批准的信息技术战略。
3. 企业信息模型支持应用程序开发和决策支持活动，与董事会批准的 IT 战略保持一致。该模型应促进企业以最佳方式创建、使用和共享信息，同时保持信息的完整性，灵活、实用、及时、安全并能抵御故障。这个
4. 网络危机管理计划由IT战略委员会批准，应包括检测、控制、响应和恢复等组成部分。

1.8。企业数据词典：

• 各实体应维护包含该组织数据语法规则的 “企业数据词典”。
• 这将允许在应用程序和系统之间共享数据，促进 IT 和业务用户对数据的共同理解，并防止创建不兼容的数据元素。

1.9。风险评估：

• 风险评估应从业务、合规性和/或合同的角度确定威胁/漏洞组合以及对该资产的机密性、可用性或完整性产生影响的可能性。

1.10。访问应用程序：

• 管理应用程序系统应有记录在案的程序，这些程序必须得到应用程序所有者的批准并保持最新状态。
• 申请的准入应基于与工作职责相称的最小特权和 “需要知道” 的原则。

1.11。员工能力：

• 需要定期了解和适当评估对具有信息技术职能所需技能的经过培训的资源的需求。

1.12。供应商风险管理：

• 包括BCP-DR和数据管理在内的技术支持服务等级协议 (SLA) 应明确包含允许监管部门访问这些设置的条款。

1.13。成熟度和路线图：

• 这些实体应考虑根据众所周知的国际标准评估其IT成熟度水平，设计行动计划并实施该计划以达到目标成熟度水平。

1.14。加密要求：

• 这些实体应选择符合既定国际标准、经过国际密码学家团体严格审查或权威专业机构、信誉良好的安全供应商或政府机构批准的加密算法。

1.15。取证准备：

• 应收集、调查和分析来自实体基础设施的所有安全事件，包括但不限于应用程序、服务器、中间件、端点、网络、身份验证事件、数据库、网络服务、加密事件和日志文件，以主动识别安全警报。

1.16。数据主权： 这些实体应采取预防措施，确保将数据存储在不属于外部司法管辖区的基础设施中。应考虑采取适当的控制措施，防止未经授权访问数据。

1.17。外包中的数据安全：

应有一份外包协议，提供 “审计权” 条款，使各实体能够进行安全审计。或者，第三方应向实体提交年度独立安全审计报告。

1.18。支付应用程序安全：

付款申请应按照 PA-DSS 指南进行开发并按要求予以遵守。作为商户入职流程的一部分，各实体应审查PCI-DSS合规状态。

2。其他建议

支付聚合器和支付网关必须注意以下几点：

• 客户卡凭证不得存储在商家访问的数据库或服务器中。
• 对于不存在银行卡的交易，不应提供使用自动柜员机密码作为身份验证因素的选项。
• 适用于 PSO 的支付系统数据存储说明应适用。
• 除非客户特别同意使用其他方式进行退款，否则所有退款均应使用原始付款方式。

结论

成功安全地作为支付聚合器和支付网关运营的关键是信息技术。因此，PA和PG必须确保对在实体中实施的IT进行定期审计，确保其安全，并按照印度储备银行发布的指导方针执行。