RBI: Empresas de pagamento enfrentam normas RBI mais rígidas – Últimas notícias
A partir de 1º de abril, todos licenciados operadores de sistema de pagamento (PSOs) terão que enviar “certificados de conformidade” detalhados ao banco central duas vezes por ano, assinados por seus CEOs ou diretores executivos, confirmando a adesão a todos os regulamentos de RBI sobre segurança e armazenar de dados de pagamento.
Em uma carta emitida pelo Departamento de Sistemas de Pagamento e Liquidação do banco central (DPSS) na sexta-feira para todos os PSOs, RBI solicitou que esses certificados sejam enviados em 30 de abril e 31 de outubro para o período que termina em 31 de março e 30 de setembro, respectivamente, todos os anos . ET revisou uma cópia da carta.
Turn: Outros Requisitos
Esses requisitos estão além dos exigidos pelo banco central em abril de 2018, quando solicitou a todos os PSOs que apresentassem Relatório de Auditoria do Sistema (SAR) aprovado pelo conselho por auditores contratados pelo CERT.
As empresas de pagamento foram então solicitadas a apresentar um relatório único de conformidade com as normas de localização de dados que obriga a que os dados relativos aos pagamentos na Índia sejam armazenados em um servidor fisicamente presente no país, até dezembro de 2018.
“Além destes requisitos, é informado que um certificado de conformidade devidamente assinado pelo CEO / MD / presidente, deve ser submetido em uma base semestral …” a carta emitida pelo banco central disse em sua carta citado acima.
Um e-mail enviado ao RBI não obteve resposta até o momento de ser impresso.
A nova especificação chega em um momento em que várias empresas indianas de pagamento e tecnologia têm sofrido violações de dados nos últimos meses. Em janeiro, o Mobikwik, baseado em Gurugram, se juntou a uma lista de alvos de alto perfil que foram supostamente afetados por violações cibernéticas. Outras empresas incluem o e-tailer de supermercado Big Basket, a plataforma de tecnologia educacional Unacademy e o agregador de pagamentos JusPay.
Embora os principais executivos da Mobikwik tenham negado repetidamente qualquer violação, vários ciber-pesquisadores corroboraram a extensão e a natureza do ataque aos servidores da startup fintech e alegaram que as informações pessoais de mais de 100 milhões de indianos foram colocadas na dark web à venda.
Outro ataque ao agregador de pagamentos Juspay também foi relatado em janeiro, onde dados de mais de 100 milhões de clientes clientes foram supostamente vazados e vendidos na dark web por bitcoins no valor de apenas US $ 6.000.
Dados de nove milhões de usuários de cartão vazaram em ataques separados aos servidores do e-marketplace ClickIndia, baseado em Noida, e no neobank Chqbook, baseado em Gurugram, no início de 2021.
De acordo com fontes do setor, o Banco da Reserva da Índia está aprendendo a examinar essas violações de segurança. É de opinião que os ataques cibernéticos podem ser limitados se a exposição de dados confidenciais for restrita a servidores selecionados que podem ser melhor supervisionados.
O banco central também introduziu várias novas regras a esse respeito, incluindo as diretrizes do Payment Aggregator e do Payment Gateway, que restringirão a exposição dos dados do cliente a alguns servidores selecionados apenas dos gateways licenciados. Essas diretrizes entrarão em vigor a partir de junho de 2021.
“À medida que os pagamentos digitais crescem, o escrutínio sobre a segurança dos usuários também se tornou um tema central do mandato de supervisão do RBI para este setor”, disse um funcionário da indústria solicitando o anonimato.
“A indústria de pagamentos deve se preparar para um escrutínio mais rigoroso por parte do banco central, especialmente no que diz respeito a como eles tratam os dados dos clientes. Já vimos várias auditorias de segurança surpresa e avisos por parte das autoridades em empresas de pagamento, este ano”, acrescentou o funcionário.
Source link
