Rbi: RBI schlägt neue Normen für Sicherheitskontrollen im digitalen Zahlungsverkehr vor

Rbi RBI schlaegt neue Normen fuer Sicherheitskontrollen im digitalen Zahlungsverkehr
Der Reserve Bank of India (RBI) hat vorgeschlagen, robuste Governance-Mechanismen für autorisierte Nichtbank-Zahlungssystembetreiber (PSOs) einzurichten, um aufkommende Cybersicherheitsrisiken wirksam anzugehen. Die Zentralbank hat einen „Draft Master Directions“ herausgegeben Cyber-Resilienz und digitale Zahlungssicherheitskontrollen für Zahlungssystembetreiber. Diese Richtlinien umfassen Governance-Mechanismen zur Identifizierung, Bewertung, Überwachung und Verwaltung von Cybersicherheitsrisiken, einschließlich Informationssicherheitsrisiken und -schwachstellen. Sie legen außerdem grundlegende Sicherheitsmaßnahmen fest, um sichere digitale Zahlungstransaktionen zu gewährleisten. Der RBI hat die Interessenträger aufgefordert, bis zum 30. Juni Kommentare und Feedback zum Entwurf abzugeben.
Die Zentralbank stellte klar, dass sich an den bestehenden Anweisungen zur Sicherheit und Risikominderung für Kartenzahlungen, Prepaid-Zahlungsinstrumente (PPIs) und Mobile Banking nichts ändert. Dies gilt auch weiterhin.
Was die neuen Richtlinien sagen
„Um Cyber- und Technologierisiken, die sich aus Verbindungen von PSOs mit nicht regulierten Unternehmen ergeben, die Teil ihres digitalen Zahlungsökosystems sind, effektiv zu identifizieren, zu überwachen, zu kontrollieren und zu verwalten, Gemeinnützige Organisationen müssen „Gewährleisten Sie die Einhaltung dieser Anweisungen auch durch solche nicht regulierten Unternehmen, vorbehaltlich einer gegenseitigen Vereinbarung“, heißt es in dem Richtlinienentwurf.
„Der Vorstand (Board) des PSO ist dafür verantwortlich, eine angemessene Aufsicht über Informationssicherheitsrisiken, einschließlich Cyberrisiken und Cyberresilienz, sicherzustellen“, heißt es im Entwurf.

Der Entwurf verlangt von PSOs, ein genehmigtes Dokument zu entwickeln Cyber-Krisenmanagementplan (CCMP), um Cyberbedrohungen und -angriffe zu erkennen, einzudämmen, darauf zu reagieren und sich davon zu erholen. Darüber hinaus werden PSOs dazu verpflichtet, Aufzeichnungen über Schlüsselrollen, Informationsbestände, kritische Funktionen, Prozesse, Drittanbieter von Dienstleistungen und deren Verbindungen zu führen und deren Nutzungsniveau, Kritikalität und Geschäftswert zu dokumentieren. Als Orientierungshilfe könnten relevante Richtlinien des CERT-In oder des National Critical Information Infrastructure Protection Center (NCIIPC) oder des IDRBT und anderer Behörden herangezogen werden, hieß es weiter.
Der Entwurf umfasst auch Netzwerksicherheit, Anwendungssicherheitslebenszyklus (ASLC), Sicherheitstests, Anbieterrisikomanagement, Geschäftskontinuitätspläne und andere wichtige Themen.

toi-tech