印度政府于 2015 年启动的“数字印度”计划和 2016 年 11 月的“废钞运动”为该国的数字生态系统提供了巨大的推动力。除了“DigiShala”等举措外,政府还致力于在该国建立一个“无现金经济”生态系统。其他举措,如国家光纤网络 (NFON) 和印度统一支付接口 (UPI) 的引入、Bharat 货币接口 (BHIM – 基于互联网的移动应用程序) 可以帮助更快地采用和过渡到数字支付。
这最终为网络扒手提供了更多机会,他们试图窃取信用卡信息、PIN 码、移动钱包并盗取资金。网络安全是数字支付生态系统利益相关者面临的最关键挑战之一。随着越来越多的印度用户喜欢数字支付,遭受网络欺诈、信息盗窃和恶意软件攻击等网络安全风险的可能性也在增加。
新兴的印度支付模式
印度支付行业最大变化之一是支付方式的多样化。手持设备由于交易的便利性和便利性而超越了所有其他渠道。印度政府和银行已采取多项举措,推动数字支付在城市地区的使用,加速向国家腹地的渗透。政府的推动也激发了拥有技术但缺乏动力的金融科技公司的兴趣。在印度储备银行、印度国家支付公司和政府的共同努力下,印度统一支付接口 (UPI)、印度货币接口 (BHIM)、BHIM Aadhaar、印度账单支付系统 (BBPS) 等系统为印度支付数字化奠定了坚实的基础。
以下是当今印度流行的主要数字支付方式:
- 信用卡支付 – 主要支付品牌,如 MasterCard、VISA、AMEX、JCB、Discover 等。
- UPI应用程序,如 BHIM。
- 钱包应用程序,如 Paytm、FreeCharge、PhonePe。
- AEPS(Aadhar 支付系统)。
- 手机银行。
印度支付的网络安全
为了确保敏感数据在使用不同数字支付方式时不会受到任何损害,跨设备的强大安全性是绝对必要的。
对于卡数据,印度有 PCI DSS(支付卡行业数据安全标准),这是一套严格的准则,旨在确保存储、处理或传输持卡人数据的安全环境。
钱包应用程序遵守 RBI(印度储备银行)在 RBI/DPSS/2017-18/58、主指令 DPSS.CO.PD.No.1164/02.14.006/2017-18 中提供的 PPI(预付费支付工具)准则。
支持 UPI支付服务遵循 NPCI 在 NPCI/UPI/OC No. 15B/2017-18 通函中制定的准则。
印度的支付卡行业数据安全标准 (PCI DSS) 是什么?
印度支付卡行业数据安全标准 (PCI DSS) 是一套安全标准委员会,由 Visa、MasterCard、Discover Financial Services、JCB International 和 American Express 于 2004 年成立。该合规计划由 PCI 安全标准委员会 (PCI SSC) 管理,旨在保护信用卡和借记卡交易免受数据盗窃和欺诈。
在印度,信用卡和借记卡的使用正在迅速增长,PCI DSS 合规性对于企业确保支付卡数据的安全至关重要。虽然 PCI SSC 没有强制合规的法律权力,但对于任何处理信用卡或借记卡交易的企业来说,这都是强制性要求。在印度获得 PCI 认证不仅可以保护敏感的财务信息,还可以帮助企业遵守当地和全球信息安全法规。该认证对于维护客户信任和确保全国支付系统的完整性至关重要。
印度支付PCI DSS 合规级别
印度支付卡行业 D-S-S 合规性分为四个级别,由企业处理的年度信用或借记交易量决定。具体级别规定了组织必须满足的要求才能保持合规性。
- 适用于每年处理 100 万至 600 万笔真实信用卡或借记卡交易的服务提供商。他们需要完成年度自我评估问卷,并接受经批准的扫描供应商 (ASV) 的季度网络扫描。
- 每年处理 100 万至 600 万笔真实信用卡或借记卡交易的供应商属于这一级别。他们必须使用 SAQ 完成年度评估,并且可能还需要进行季度 PCI 扫描。
- 此级别适用于每年处理 20,000 至 100 万笔电子商务交易的服务提供商。他们需要使用相关 SAQ 完成年度评估,并且可能需要进行季度 PCI 扫描。
- 每年处理少于 20,000 笔电子商务交易或最多 100 万笔真实交易的商家归属于此级别。他们需要使用相关 SAQ 完成最终评估,并且可能需要进行季度 PCI 扫描。
此外,他们必须定期接受内部安全评估,以确保持续合规。
印度支付卡行业和数据安全标准 (PCI DSS) 认证
PCI 认证由 PCI SSC 定义,可确保企业达到严格的安全要求。主要做法包括:
- 安装防火墙
- 加密数据传输
- 使用防病毒软件
此外,印度的企业必须限制对持卡人数据的访问并监控对网络资源的访问,以遵守 PCI 安全标准。
合规性提供了宝贵的资产,可告知客户企业可以安全进行交易。相反,不合规的成本(无论是金钱还是声誉)应该足以说服任何企业主认真对待信息安全。
泄露敏感客户信息的数据泄露可能会对企业产生严重影响。违规可能导致支付卡发行商的罚款、诉讼、销售减少和声誉严重受损。
在遭遇违规后,印度的企业可能不得不停止接受 CC 交易,或被迫支付比合规初始成本更高的后续费用。对 PCI 安全程序的投资对于确保您的商业活动的其他方面免受恶意在线行为者的攻击大有帮助。
印度支付PCI DSS 合规性的要求
PCI SSC 概述了处理持卡人数据和维护安全网络的 12 项要求。这些要求分布在六个更广泛的目标中,对于企业实现合规性而言,都是必需的。
- 必须安装并维护防火墙配置。
- 系统密码必须是原始密码(非供应商提供的)。
- 必须保护存储的持卡人数据。
- 持卡人数据在公共网络上的传输必须加密。
- 必须使用防病毒软件并定期更新。
- 必须开发并维护安全的系统和应用程序。
- 持卡人数据访问必须限制在业务需要知道的范围内。
- 必须为每个有计算机访问权限的人分配一个唯一的 ID。
- 必须限制对持卡人数据的物理访问。
- 必须跟踪和监控对持卡人数据和网络资源的访问。
- 必须定期测试安全系统和流程。
- 必须维护处理信息安全的政策。
遵守印度支付 PCI DSS 的优势
遵守 PCI 安全规定可为企业提供多种优势,包括保护数据和提高其作为注重安全的组织的声誉。
- 增强客户信任:pci 安全认证可确保最高级别的持卡人安全,从而帮助企业与客户建立和维持信任。这种信任可以促进回头客业务,并提高客户忠诚度和品牌声誉。
- 降低数据泄露风险:实施安全控制和数据保护程序可显著降低数据泄露风险。这种主动方法可最大限度地降低与违规相关的潜在成本,例如罚款、法律费用和声誉损害。
- 欺诈保护:pci 安全要求旨在防止和检测欺诈,从而降低因欺诈活动造成财务损失的风险。确保合规有助于保护您的企业免受欺诈的财务影响。
- 遵守行业标准:实现此合规性反映了您的企业对行业最佳实践的奉献精神。这一承诺提高了您在合作伙伴、利益相关者和监管机构中的地位,展示了您的企业作为信息安全领域的领导者的地位。
Atpay—— 我们是一家专业提供支付方案的供应商,多年来深耕于印度支付服务,成功为无数海内外客户提供支付功能,对于支付集成以及高风险的支付处理,我们有充分的信心,欢迎咨询与交流。