RBI के प्रस्तावित मानदंड नेटवर्क सुरक्षा, एप्लिकेशन सुरक्षा जीवन चक्र, सुरक्षा परीक्षण, विक्रेता जोखिम प्रबंधन, व्यवसाय निरंतरता योजना और अन्य प्रमुख मुद्दों को कवर करते हैं।
मसौदा निर्देश सूचना सुरक्षा जोखिमों और कमजोरियों सहित साइबर सुरक्षा जोखिमों की पहचान, मूल्यांकन, निगरानी और प्रबंधन के लिए शासन तंत्र को कवर करता है।
भारतीय रिजर्व बैंक (RBI) ने उभरते साइबर सुरक्षा जोखिमों को प्रभावी ढंग से संबोधित करने के लिए अधिकृत गैर-बैंक भुगतान प्रणाली ऑपरेटरों (PSO) के लिए मजबूत शासन तंत्र स्थापित करने का प्रस्ताव दिया है। इसके लिए, केंद्रीय बैंक ने ‘भुगतान प्रणाली ऑपरेटरों के लिए साइबर लचीलापन और डिजिटल भुगतान सुरक्षा नियंत्रण पर मसौदा मास्टर निर्देश’ जारी किया है।
आरबीआई ने कहा, “इन निर्देशों का उद्देश्य साइबर लचीलापन पर जोर देने के साथ समग्र सूचना सुरक्षा तैयारियों के लिए एक ढांचा प्रदान करके पीएसओ द्वारा संचालित भुगतान प्रणालियों की सुरक्षा में सुधार करना है।”
प्रस्तावित मानदंड क्या हैं?
मसौदा निर्देश सूचना सुरक्षा जोखिमों और कमजोरियों सहित साइबर सुरक्षा जोखिमों की पहचान, मूल्यांकन, निगरानी और प्रबंधन के लिए शासन तंत्र को कवर करता है। वे सुरक्षित और सुरक्षित डिजिटल भुगतान लेनदेन सुनिश्चित करने के लिए आधारभूत सुरक्षा उपायों को भी निर्दिष्ट करते हैं।
प्रस्तावित मानदंडों के अनुसार, पीएसओ का निदेशक मंडल साइबर जोखिम और साइबर लचीलापन सहित सूचना सुरक्षा जोखिमों पर पर्याप्त निगरानी सुनिश्चित करने के लिए जिम्मेदार होगा। हालांकि, प्राथमिक निगरानी बोर्ड की एक उप-समिति को सौंपी जा सकती है जो प्रत्येक तिमाही में कम से कम एक बार बैठक करेगी।
PSO संभावित सूचना सुरक्षा जोखिमों के प्रबंधन के लिए एक बोर्ड द्वारा अनुमोदित सूचना सुरक्षा (IS) नीति तैयार करेगा, जिसमें भुगतान प्रणालियों से संबंधित सभी अनुप्रयोगों और उत्पादों के साथ-साथ भौतिक जोखिमों का प्रबंधन भी शामिल है।
पीएसओ साइबर खतरों और साइबर हमलों का पता लगाने, नियंत्रण करने, प्रतिक्रिया देने और उनसे उबरने के लिए बोर्ड द्वारा अनुमोदित एक अलग साइबर संकट प्रबंधन योजना (सीसीएमपी) तैयार करेगा। मार्गदर्शन के लिए सीईआरटी-इन/नेशनल क्रिटिकल इंफॉर्मेशन इंफ्रास्ट्रक्चर प्रोटेक्शन सेंटर (एनसीआईआईपीसी)/आईडीआरबीटी और अन्य एजेंसियों से संबंधित दिशा-निर्देशों को संदर्भित किया जा सकता है।
केंद्रीय बैंक ने कहा कि कार्ड भुगतान, प्रीपेड भुगतान उपकरण (पीपीआई) और मोबाइल बैंकिंग के लिए सुरक्षा और जोखिम कम करने से संबंधित मौजूदा निर्देश प्रभावी रहेंगे।
“अनियमित संस्थाओं के साथ पीएसओ के लिंकेज से उत्पन्न होने वाले साइबर और प्रौद्योगिकी संबंधी जोखिमों की प्रभावी ढंग से पहचान, निगरानी, नियंत्रण और प्रबंधन करने के लिए, जो उनके डिजिटल भुगतान पारिस्थितिकी तंत्र का हिस्सा हैं, पीएसओ ऐसी अनियमित संस्थाओं द्वारा भी इन निर्देशों का पालन सुनिश्चित करेंगे, बशर्ते कि एक आपसी समझौता, “मसौदा निर्देशों ने कहा।
आरबीआई ने 30 जून तक मसौदे पर टिप्पणी और प्रतिक्रिया देने के लिए हितधारकों को आमंत्रित किया है।
यह आगे इन्वेंट्री प्रबंधन के महत्व पर प्रकाश डालता है, जहां पीएसओ को प्रमुख भूमिकाओं, सूचना संपत्तियों, महत्वपूर्ण कार्यों, प्रक्रियाओं, तीसरे पक्ष के सेवा प्रदाताओं और उनके इंटरकनेक्शन के रिकॉर्ड को बनाए रखना चाहिए, और उनके उपयोग के स्तर, महत्वपूर्णता और व्यावसायिक मूल्य का दस्तावेजीकरण करना चाहिए।
इसमें नेटवर्क सुरक्षा, एप्लिकेशन सुरक्षा जीवन चक्र (ASLC), सुरक्षा परीक्षण, विक्रेता जोखिम प्रबंधन, व्यवसाय निरंतरता योजना और अन्य प्रमुख मुद्दे भी शामिल हैं।
डेटा सुरक्षा के संबंध में, मसौदा निर्धारित करता है कि पीएसओ को पीएसओ के नियंत्रण और विक्रेता-प्रबंधित सुविधाओं दोनों में गोपनीयता, अखंडता, उपलब्धता और व्यापार और ग्राहक जानकारी की सुरक्षा सुनिश्चित करने के लिए एक व्यापक डेटा रिसाव रोकथाम नीति लागू करनी चाहिए।
