印度支付聚合器,也被称为Merchant Aggregator,是一个服务提供商,通过它可以使用移动设备进行支付,电子商务商家也可以处理支付交易。聚合器允许商家接受银行卡支付和银行转账,甚至无需在银行或信用卡协会开设银行账户。商家聚合器提供了一种简单而廉价的方式来接受付款,可以帮助小型企业更快地起步。支付聚合器的唯一目的之一是提供一种简化的支付解决方案,这是传统支付方式的捷径。支付聚合器包括支付网关,而支付网关不能包括支付聚合器。
印度支付聚合器充当商家和客户之间的桥梁
支付聚合者是指机构:
世卫组织提供技术路线和促进网上支付交易的处理,并执行其他功能,而无需实际处理资金。
谁帮助电子商务网站和商家接受来自客户的各种支付工具,以完成他们对商家的支付义务。在这里,商家不需要创建自己的单独的支付集成系统。
谁帮助商家与收购方联系。在这个过程中,他们接收客户的付款,并在一段时间后将其转移给商家。除了处理资金,他们还可以访问客户数据。
支付聚合器需要拥有支付聚合器许可证和支付卡行业(数据安全标准/ PCI DSS)的必要认证。
获取印度支付聚合器许可证流程
愿意承担支付聚合器许可证的实体必须承担以下步骤:
什么是印度支付网关许可证
印度支付网关是一种软件服务,允许电子商务企业在其网站或应用程序上处理交易。他们允许通过信用卡或借记卡、网上银行、电子钱包和UPI支付。
获取印度支付聚合器许可证所需的文件
获取印度支付聚合器许可证所需的文件如下:
- 由公司注册处(ROC)发出的公司注册证书。
- 董事的PAN卡或地址证明。
- DSC和DIN的董事。
- 营业地点的地址证明。
- 公司银行账户详情。
- 公司五年经营计划。
- 软件代理机构的代码测试报告。
获得印度支付聚合器的好处
商户聚合器的好处如下:
- 它成为一端的消费者和另一端的商家之间的桥梁。
- 一代定居在一端,商人在另一端。
- 处理和完成支付交易的角色。
- 对于大量较小的交易,这是一种经济有效的方法。
- 申请过程非常简单,这有助于小型企业轻松运作。
- 建立一个支付聚合器是一个快速而简单的过程。它所需要做的就是注册处理电子商务支付。它为更多的人才进入市场创造了机会,也为消费者提供了更多的购买选择。
- 支付聚合器倾向于提供在线交易处理的建议,很少或没有启动费用和固定成本。
与印度支付聚合相关的风险有哪些
支付聚合器在网上交易中的活动存在以下风险:
- 在这种技术和客户体验密集型业务中,如果组织没有足够的治理实践,可能会影响客户的信心和体验,那么组织可能会成为风险的来源。
- 各实体缺乏适当的补救机制和统一的做法也是一个令人关切的问题。
- 聚合器也面临着与子商家相关的一些交易欺诈或退款的风险
- 一些电子商务市场也提供支付聚合服务,这些服务不受印度储备银行的直接监管,这对聚合商来说可能是一个巨大的担忧。因此,它可以在双重监管下收费。
- 支付聚合器还处理敏感的客户数据。对于聚合器来说,管理数据隐私和客户数据可能是一项艰巨的任务。如果聚合器无法管理数据,则可能导致数据丢失和侵犯隐私的风险。
获得印度支付聚合器License的IT基本要求
付款聚合商建议采用的资讯科技保安措施如下:
资讯保安管治
组织应对其人员、IT、业务流程环境进行全面的安全风险评估研究。它还必须识别带有补救措施的风险暴露和残余风险。各实体应向董事会提交有关风险评估、安全审计报告、安全合规状况和安全事件的报告。
数据安全标准
实施PCI-DSS、PA-DSS等数据安全标准以及最新的加密标准、传输通道安全标准等。
商人新员工培训
组织应在商户入职过程中进行详细的安全评估,以确保商户遵循这些最低基线安全控制。
安全事故报告
实体需要在2-6小时内向印度储备银行报告安全事件或持卡人数据的任何类型的泄露。有关网络安全事件和预防措施的月度报告应提交给印度储备银行。
网络安全审计和报告
各实体向信息技术委员会提交季度内部和年度外部审计报告。
风险评估
风险评估必须从业务、合规和合同的角度确定威胁或漏洞组合以及对该资产的保密性、可用性或完整性产生影响的可能性。
访问应用程序
管理应用系统的程序应形成文件,经应用所有者批准,并保持更新。最小特权原则和需要知道原则将在访问应用程序时匹配工作职责。
员工的胜任力
必须对资源进行IT技能培训,并且必须对其进行培训需求的定期评估。
密码的要求
商户聚合器应根据国际标准选择加密算法,并经过国际密码学家社区的严格审查,或经过权威专业机构、信誉良好的安全供应商或政府机构的认可。
法医准备
应收集、调查和分析来自Payment Aggregator基础设施的所有安全事件,包括应用程序、服务器、中间件、网络、端点身份验证事件、web服务、数据库、加密事件和日志文件,以便主动识别安全警报。
数据主权
支付聚合器应采取预防措施,确保将数据存储在不属于外部司法管辖区的基础设施中。应考虑适当的控制措施以防止对数据的未经授权的访问。
外判的资料保安
应准备一份外包协议,提供“审计权”条款,使支付聚合商或其指定的机构和监管机构能够进行安全审计。或者,第三方需要每年向支付聚合器提交独立的安全审计报告。
支付应用安全
付款应用程序将按照PA-DSS的指导方针开发,必须遵守指定的指导方针。支付聚合器必须审查PCI-DSS合规性状态,作为其商户登录过程的一部分。
安全事故报告
支付聚合商应在2-6小时内向监管机构报告网络安全事件。支付聚合器必须与商家就安全事件报告达成协议。
2007年PSS法案对付款聚合商处罚规定
根据2007年PSS法案,以下行为将受到处罚:
- 未经许可经营支付聚合系统的。
- 如果商家聚合器未能遵守许可授权条款。
- 当商家聚合器未能生成声明时
- 支付聚合器提供任何虚假陈述或信息的地方
- 披露任何被禁止的信息或不遵守印度储备银行制定的指示或违反该法案的任何规定
- 违反印度储备银行规定的任何规则、条例、命令、指示等,都是应受惩罚的罪行,储备银行可以提起刑事诉讼。
- 根据该法案,印度储备银行还可以对某些违规行为处以罚款。
