支付聚合器许可证介绍
支付聚合器,也称为商户聚合器,是一个服务提供商,通过它可以使用移动支付,电子商务商家也可以处理支付交易。聚合器允许商家无需在银行或信用卡协会开设银行账户就可以接受信用卡支付和银行转账。商家聚合器提供了一种简单而廉价的接受付款的方式,可以帮助小企业更快地起步。支付聚合器的唯一目的之一是提供简化的支付解决方案,这是传统支付方法的捷径。支付聚合器包括支付网关,而支付网关不包括支付聚合器。
支付聚合器充当了商家和客户之间的桥梁。支付聚合者是指机构:
- 谁提供技术来路由和促进在线支付交易的处理,并在不实际处理资金的情况下执行其他功能。
- 帮助电子商务网站和商家接受客户的各种付款工具,完成对商家的付款义务。在这里,商家不需要创建自己的单独的支付集成系统。
- 他帮助商人与收购方联系。在这个过程中,他们收到客户的付款,并在一段时间后将其转移给商家。除了处理资金,他们还可以获得客户数据。
支付聚合器需要拥有支付聚合器许可证和支付卡行业(数据安全标准/ PCI DSS)的必要认证。
获得支付聚合器许可证的流程
愿意承担支付聚合许可的实体必须采取以下步骤:

什么是支付网关许可证?
支付网关是一种软件服务,允许电子商务企业在其网站或应用程序上处理交易。它们允许通过信用卡或借记卡、网上银行、电子钱包和UPI接受付款。
支付聚合器许可证申请文档
获得支付聚合器许可证所需的文件如下:
- 公司注册处处长发出的公司注册证书。
- 董事的PAN卡或地址证明。
- 董事的DSC和DIN。
- 营业地点的地址证明。
- 本公司银行帐户的详细资料。
- 公司五年的商业计划。
- 软件机构的代码测试报告。
支付聚合器的好处
商户聚合器的好处如下:
- 它成为连接一端的消费者和另一端的商家的桥梁。
- 一端是移民代,另一端是商人代。
- 处理和完成支付事务的角色。
- 对于规模较小的大量交易来说,这是一种具有成本效益和效率的方法。
- 申请过程非常简单,这有助于小企业轻松运作。
- 建立一个支付聚合器是一个快速而简单的过程。所有需要做的就是注册处理电子商务支付。它为更多的人才进入市场创造了机会,也为消费者提供了更多的购买选择。
- 支付聚合器倾向于提供在线交易处理的建议,很少或没有启动费用和固定成本。
与付款聚合相关的风险是什么?
在线交易中支付聚合商的活动存在风险,风险主要包括:
- 在这种技术和客户体验密集的业务中,如果组织没有足够的治理实践,可能会影响客户的信心和体验,那么组织可能是风险的来源。
- 各实体之间缺乏适当的补救机制和做法的统一性也是一个令人关切的问题。
- 一个聚合器也有一些交易欺诈或退款的风险,这与它的子商家有关
- 一些电子商务市场也提供支付聚合服务,不受印度储备银行的直接监管范围,这对聚合商来说可能是一个巨大的问题。因此,它可以在双重监管下收费。
- 支付聚合器还处理敏感的客户数据。管理数据隐私和客户数据对于聚合商来说是一项艰巨的任务。如果聚合器不能管理数据,可能会导致数据丢失和侵犯隐私的风险。
支付网关和支付聚合器之间的区别
支付方案因各种原因而有所不同,如下所述:
美国没有 |
参数 |
支付网关 |
付款聚合器 |
1. |
付款方式 |
特定的付款方式/受限。 |
多种付款方式。 |
2. |
小型企业 |
支付网关提供的交易费用过高且过于复杂。 |
支付网关使用支付聚合器为小型企业提供服务 |
3. |
角色 |
中介 |
接口 |
4. |
接触点数字化 |
在线接触点,包括网站或应用程序。 |
线下和线上都有接触点。 |
5. |
付款成功率 |
支付网关能管理多少就有多少。 |
支付成功率显著提高。 |
6. |
所有权 |
由公共和私人银行商户、供应商和支付聚合商拥有。 |
由金融科技公司拥有。 |
7. |
权限 |
根据2007年支付和结算系统法案(PSSA),印度储备银行授权。 |
支付聚合器需要根据支付卡行业数据安全标准(PCI-DSS)获得必要的认证。 |
获取支付聚合商许可证的基本IT要求
支付汇集商应采取的资讯科技保安措施建议如下:

资讯保安管治
组织应对其人员、IT、业务流程环境的安全风险评估进行全面研究。它还必须通过补救措施确定风险暴露情况以及剩余风险。有关风险评估、安全审计报告、安全合规态势和安全事件的报告应由实体向董事会提交。
资料保安标准
实施PCI-DSS、PA-DSS等数据安全标准,以及最新的加密标准、传输通道安全等。
商人新员工培训
机构应在商户入驻过程中进行详细的安全评估,以确保商户遵守这些最低限度的基线安全控制。
保安事故报告
这些实体需要在2-6小时内向印度储备银行报告安全事件或任何类型的持卡人数据泄露。每月向印度储备银行提交有关网络安全事件和预防措施的报告。
网络安全审计和报告
各实体向信息技术委员会提交季度内部审计报告和年度外部审计报告。
风险评估
风险评估必须从业务、合规性和合同的角度确定威胁或漏洞组合,以及对该资产的保密性、可用性或完整性产生影响的可能性。
访问应用程序
管理申请系统的程序应形成文件,该程序应得到申请所有人的批准,并必须保持最新。在访问应用程序时,最小特权原则和需要知道的原则将与工作职责相称。
员工的能力
必须对资源进行IT技能培训,并且必须对培训需求进行定期评估。
密码的要求
商户聚合器应根据国际标准选择加密算法,并已经过国际密码学家协会的严格审查或由权威专业机构、信誉良好的安全供应商或政府机构批准。
法医准备
应收集、调查和分析来自Payment Aggregator基础设施的所有安全事件,包括应用程序、服务器、中间件、网络、端点身份验证事件、web服务、数据库、加密事件和日志文件,以便主动识别安全警报。
数据主权
支付聚合器应采取预防措施,确保将数据存储在不属于外部司法管辖区的基础设施中。应考虑适当的控制以防止未经授权的数据访问。
外包中的数据安全
应准备一份外包协议,提供“审计权”条款,使支付聚合者或其指定的机构和监管机构能够进行安全审计。或者,第三方需要向支付聚合者提交年度独立安全审计报告。
支付应用安全
支付应用程序将根据PA-DSS准则开发,并且必须遵守指定的准则。支付聚合商必须审查PCI-DSS合规性状态,作为其商户登录流程的一部分。
保安事故报告
支付聚合器应在2-6小时内向监管机构报告网络安全事件。支付聚合器必须与商家就安全事件报告达成协议。
受益于支付聚合许可证
任何在线业务都可以受益于支付聚合许可证。使用这种支付方式的行业包括:
- 企业对企业(B2B)。
- 企业对客户(B2C)。
- 软件
- 服务。
- 代理机构等等。
在获得许可证后,支付聚合器应遵循的法规
支付聚合器必须按年度、月度或季度提交报告,具体说明如下:
年度报告
S.No |
主题 |
到期日期 |
1. |
经审计的年度报告,附有Networth的CA证书。 |
30.th9月 |
2. |
IS审计报告和网络安全审计报告记录了观察结果,包括计划的纠正或预防措施,必须进行外部审计。 |
31圣五月 |
3. |
9月30日的Networth证书未经审核,以自我申报为基础。 |
31圣12月 |
季度报告
S.No |
主题 |
到期日期 |
1 |
审计人员托管余额证明 |
15th季度结束后的一个月 |
2. |
必须经过内部审计的银行托管账户借方和贷方证明 |
15th季度结束后的一个月。 |
3. |
市场-节点账户的审计师证书 |
15th季末后的一个月。 |
4. |
客户不满报告-在季度结束后的第15个月。 |
15th季末后的一个月。 |
5. |
网络安全审计报告-内部审计-在季度结束后的第15个月。 |
季度结束后的第15个月。 |
月度报告
S.No |
主题 |
到期日期 |
1. |
交易统计数字 |
7th下个月 |
2. |
欺诈报告 |
7th下个月 |
3. |
网络安全事件报告,完整的根本原因分析 |
7th下个月 |
非周期的报告
S.No |
主题 |
1. |
一次性的技术审核,也包括任何即将发生重大变更的时候。 |
2. |
如董事会有任何变动 |
根据2007年PSS法案对支付聚合者规定的处罚是什么?
根据2007年PSS法案,以下行为将受到处罚:
- 未经许可操作支付聚合系统。
- 如商户聚合商未能遵守授权或许可条款。
- 当商家聚合器无法生成报表时
- 支付聚合器提供虚假陈述或信息的
- 披露任何被禁止的信息或不遵守RBI设立的指示或违反该法案的任何规定
- 违反印度储备银行规定的任何规则、条例、命令、指示等都是违法行为,储备银行可以提起刑事诉讼。
- 根据该法案,印度储备银行还可以对某些违规行为处以罚款。