支付聚合器和支付网关遵从性-简要概述

如今，在线支付模式在全国范围内被越来越多地使用。数字交易因其提供的便利而受到特别青睐。因此，银行和预付支付工具(PPI)发行者使用电子模式向商户支付的便利程度稳步上升。这个过程通常涉及到中介的角色，如支付聚合器和支付网关服务提供商。

支付网关和支付聚合器是什么意思?

术语支付聚合器和支付网关被一些人互换使用，然而，这两者在功能的基础上有所不同。支付聚合器做的过程中，商家登陆和接收/收集资金从客户代表商家在一个托管账户。另一方面，支付网关是指通过技术基础设施，路由和/或促进在线支付交易处理的实体。与支付聚合器不同，支付网关不会对资金进行任何实际处理。支付聚合器作为前端服务，而支付网关作为后端技术支持。这两种服务并不相互排斥，因为有些支付聚合商同时提供这两种服务。

实体必须遵循各种支付聚合器和支付网关的合规性。下文详细解释了这些问题。

支付聚合器的各种遵从性

根据印度储备银行的指导方针，支付聚合商需要严格遵守以下规定:

商户背景调查

支付聚合商需要按照“主方向-了解您的客户(KYC)方向”，并遵守PMLA和规则的规定，承担印度储备银行发布的KYC / AML / CFT合规。

根据印度储备银行的指导方针，支付聚合商需要对商家进行背景和事前检查，以确保商家没有任何欺骗客户的非法意图，或销售假冒/假冒/违禁产品等。该指导方针还规定了支付聚合商有义务对其商户进行检查，以核实商户网站上是否上传了适当的条款和条件。

该准则进一步规定，支付聚合商必须检查支付卡行业数据安全标准(PCI-DSS)以及支付应用数据安全标准(PA-DSS)对商户基础设施的合规性。

申诉及争议管理

印度储备银行的指导方针要求支付聚合者建立正式和公开披露的客户申诉补救和争议管理机制。

支付聚合器应指定一名节点官员，该官员将被要求处理客户投诉或不满以及升级矩阵。此外，争议解决机制将对交易的所有参与者具有约束力。

安全与风险管理框架

印度储备银行的指导方针要求支付聚合商落实以下内容:

• 充分的信息和数据安全基础设施，以防止和发现欺诈行为;
• 董事会批准的安全信息政策;
• 实施资讯保安政策以减低风险;
• 建立监测、处理和跟踪网络安全事件和违规行为的机制，并将此类事件报告给DPSS、印度储备银行孟买中央办公室，并应报告给CERT-In;
• 遵守适用于支付系统运营商的数据存储要求;
• 提交由CERT-In委任审计员完成的系统审计报告，包括网络安全审计。审计必须在财政年度结束后的2个月内向各自的区域办事处、DPSS、印度储备银行进行。

报告要求

印度储备银行的指导方针要求支付汇总商每年、每季度和每月提交各种报告。

IT相关法规遵循

PA实体在IT系统和安全方面的要求如下:

• 信息安全治理

1. 对其人员、业务流程环境等进行全面的安全风险评估。
2. 向董事会提交风险评估报告、安全合规性报告、安全审计报告;
3. 由独立的安全审计员进行内部安全审计或年度安全审计。

• 数据安全标准

实施最佳数据安全实践，如PCI-DSS, PA-DSS等。

• 保安事故报告

向印度储备银行报告安全事件/持卡人数据泄露。每月提交网络安全事件报告，并进行根本原因分析。

• 商人新员工培训

在商户登船期间进行安全评估。

• 网络安全审计和报告

执行并向IT委员会提交以下报告-季度内部审计报告和年度外部审计报告，两年一次的漏洞评估/渗透测试报告;PCI-DSS和合规性认证和ROC合规性报告。

• 资讯科技管治架构

制定资讯科技政策，包括企业资讯模式、网络危机管理计划、资讯科技督导委员会等。

支付网关的各种遵从性

以下规定适用于支付网关:

pci dss合规

PCI-DSS合规性包括以下内容:

• 使用和维护防火墙;
• 密码保护;
• 持卡人资料保护;
• 数据传输中的加密;
• 使用和维护杀毒软件;
• 及时更新软件;
• 数据访问受到限制;
• 数据访问的唯一id;
• 对持卡人数据的物理访问受到限制;
• 创建和维护访问日志;
• 扫描和测试漏洞;
• 制定准入政策。

IT相关法规遵循

根据印度储备银行的指导方针，为支付网关推荐的指示性基线技术相关建议，如信息安全治理、安全事件报告、数据安全标准、商户登录、网络安全审计和报告、IT治理框架、风险评估、密码要求、供应商风险管理等，与支付聚合器类似。

Enterslice如何提供帮助?

Enterslice通过以下方式提供帮助:

• 与监管机构保持联系;
• 支付聚合器和支付网关合规咨询;
• 协助遵守报告要求;
• 及时交付我们的承诺。