Ülkenin en büyük finans kuruluşu olan Hindistan Merkez Bankası (RBI), Hindistan’daki dijital ödeme ekosisteminin siber güvenliğini ve dayanıklılığını artırmak için yeni talimatlar yayınladı.
30 Temmuz’da, zirve bankası ‘Banka Dışı Ödeme Sistemi Operatörleri (PSO’lar) için Siber Dayanıklılık ve Dijital Ödeme Güvenlik Kontrolleri Hakkında Ana Talimatlar’ yayınladı. RBI, bildirisinde “Bu talimatlar, PSO’lar tarafından işletilen ödeme sistemlerinin güvenliğini ve emniyetini artırmayı, siber dayanıklılığa özel bir odaklanma ile genel bilgi güvenliği hazırlığı için sağlam bir çerçeve oluşturmayı amaçlıyor” dedi.
Dijital Ödeme Güvenlik Normlarının Uygulanabilirliği
Yeni direktifler, ödeme ağ geçitleri, üçüncü taraf hizmet sağlayıcıları ve satıcılar dahil olmak üzere tüm yetkili banka dışı PSO’lar ve bunlarla ilişkili düzenlenmemiş kuruluşlar için geçerlidir. PSO’ların, bu kuruluşların yönetim kurulları tarafından onaylanan karşılıklı anlaşmalar ve organizasyonel politikalar aracılığıyla talimatlara uymasını sağlamaları gerekmektedir.
RBI, yaklaşımın dijital ödeme ekosistemindeki çeşitli kuruluşların entegrasyonundan kaynaklanan siber ve teknolojiyle ilgili riskleri etkili bir şekilde belirlemek, izlemek, kontrol etmek ve yönetmek için tasarlandığını söyledi.
Dijital Ödeme Güvenlik Önlemleri ve Kontrolleri
RBI’nin talimatları, PSO’ların başarısız işlemler, işlem hızı, aşırı etkinlik, coğrafi konum, IP adresi kökeni ve davranışsal biyometri gibi parametrelere dayalı çevrimiçi uyarılar için mekanizmaları kolaylaştırmasını zorunlu kılıyor. Bu önlemler, dolandırıcılık faaliyetlerini tespit etmeyi ve önlemeyi ve işlem güvenliğini artırmayı amaçlıyor.
SMS, e-posta veya diğer bildirimler yoluyla uyarılar gönderirken, PSO’lar ve katılımcıları banka hesabı ve kart numaraları gibi hassas bilgilerin sansürlendiğinden veya gizlendiğinden emin olmalıdır. RBI, ana talimatlarında çevrimiçi ödeme işlemlerinde tüccarın adı ve işlem tutarı açıkça gösterilmeli, OTP tabanlı kimlik doğrulama mesajları ise sonunda OTP’yi içermeli ve belirli işleme atıfta bulunmalıdır.
Ayrıca, PSO’lar mobil uygulamalarında veya web sitelerinde müşterilerin dolandırıcılık işlemlerini anında tespit edip bildirmelerine olanak tanıyan olanaklar sağlamalıdır. Bu özellik, ödeme aracının ihraççısına sorunsuz ve anında bildirim yapılmasını sağlar.
Mobil Ödeme Güvenlik Uygulamaları
Mobil ödeme hizmetleri sunan PSO’ların sıkı güvenlik uygulamaları ve risk azaltma önlemleri uygulaması gerekir. Bunlar arasında mobil uygulamaların anormalliklerden arınmış olmasını sağlamak, sağlam şifreleme protokolleriyle kimliği doğrulanmış oturumları sürdürmek ve mobil uygulamalar için cihaz bağlama veya parmak izi uygulamak yer alır.
PSO’lar ayrıca yeni talimatlara göre, çevrimiçi oturumların bir süre hareketsizlikten sonra sonlandırılmasını ve müşterilerin başarısız oturum açma veya kimlik doğrulama girişimleri hakkında derhal bilgilendirilmesini sağlamalıdır. Ek olarak, RBI, PSO’ların uzaktan erişim uygulamalarının varlığını tespit etmek ve uzaktan erişim etkinken mobil ödeme uygulamalarına erişimi yasaklamak için kontrol mekanizmaları kurması gerektiğini ekledi.
Kart Ödeme Güvenlik Önlemleri
Kartlı ödemelerde, PSO’lar, kart bilgilerini yakalamak için tüccar lokasyonlarına kurulan terminallerin PCI-P2PE (Ödeme Kartı Endüstrisi-Noktadan Noktaya Şifreleme) programına göre doğrulanmasını sağlamalıdır.
RBI, kart ödemeleri için PIN girişi olan POS terminallerinin PCI-PTS (Ödeme Kartı Endüstrisi-PIN İşlem Güvenliği) programı tarafından onaylanması gerektiğini ve bu sayede en yüksek güvenlik standartlarını karşıladıklarını belirtti.
Yönetim ve Siber Güvenlik Hazırlığı
Siber risk ve siber dayanıklılık dahil olmak üzere bilgi güvenliği risklerinin yönetimi PSO Yönetim Kurulu’na aittir. Bilgi ve siber güvenlik konusunda uzman bir üyenin başkanlığındaki Yönetim Kurulu’nun bir alt komitesine birincil gözetim sorumlulukları devredilebilir, yeni yönergelerde böyle denildi. Bu alt komitenin bu riskleri gözden geçirmek ve yönetmek için en az üç ayda bir toplanması gerekiyor.
Ayrıca, RBI, PSO’ların ödeme sistemleriyle ilgili tüm uygulamalar ve ürünlerde olası bilgi güvenliği risklerini yönetmek için Kurul onaylı bir Bilgi Güvenliği (IS) politikası oluşturması gerektiğini söyledi. Bu politika yıllık olarak gözden geçirilmeli ve roller ve sorumluluklar, siber güvenlik risklerini belirleme ve yönetme önlemleri ve eğitim ve farkındalık süreçleri dahil olmak üzere çeşitli yönleri kapsamalıdır.
RBI, siber tehditleri ve saldırıları tespit etmek, sınırlamak, yanıtlamak ve bunlardan kurtulmak için PSO’lar tarafından ayrı bir Kurul onaylı Siber Kriz Yönetim Planı (CCMP) hazırlanması gerektiğini söyledi. Ek olarak, PSO’ların iş ve müşteri bilgilerinin gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamak için kapsamlı bir veri sızıntısı önleme politikası uygulaması gerekiyor. Bu, hem aktarım sırasında hem de bekleme sırasında verileri güvence altına almayı, PCI-DSS yönergelerine uymayı ve işlem veya denetim izlerinin kaybı olmadan kurtarmayı sağlamak için yedek verileri düzenli olarak test etmeyi içerir.
RBI ayrıca iş sürekliliği planlamasının (BCP) önemini vurguladı ve PSO’ları aşırı ancak olası olaylar dahil olmak üzere çeşitli siber tehdit senaryolarına dayalı bir BCP geliştirmeye yönlendirdi. RBI, planın yıllık olarak gözden geçirilmesi ve siber güvenlik olaylarını veya vakalarını yönetmek için ayrıntılı olay yanıtlama, devam ettirme ve kurtarma prosedürleri içermesi gerektiğini söyledi.
Uygulama Zaman Çizelgesi
Yeni talimatlar büyük banka dışı PSO’lar için Nisan 2025’ten, orta banka dışı PSO’lar için Nisan 2026’dan ve küçük banka dışı PSO’lar için Nisan 2028’den itibaren yürürlüğe girecektir. CCIL, NPCI, Ödeme Toplayıcıları, TReDS ve büyük PPI ihraççıları gibi kuruluşlar büyük banka dışı PSO’lar olarak sınıflandırılırken, sınır ötesi Para Transferi Operatörleri (MTSS) ve orta PPI ihraççıları orta banka dışı PSO’lar olarak kategorize edilir. Küçük PPI ihraççıları ve Anında Para Transferi Operatörleri küçük banka dışı PSO’lar olarak kabul edilir.