2億用戶遭到攻擊,印度央行加強了對支付公司的監管規範


本文由竺道資本(ID:zhudao_review) 撰寫/授權提供,轉載請註明原出處。

原標題:2億用戶遭到攻擊,印度央行加強了對支付公司的監管規範

在7.png

由於印度的網絡安全威脅事件和違規行為日益增多,印度央行——印度儲備銀行(RBI)加強了對存儲客戶數據的支付公司的監管規範。從2021 年4 月1 日起,所有支付系統運營商(PSOs)每年必須向印度儲備銀行提交兩次詳細的“合規證書”。這些文件必須由他們的首席執行官或是常務董事簽署,確認遵守印度央行關於安全存儲支付數據的所有規定。

3 月26 日,印度儲備銀行的支付和結算系統部門(DPSS)向所有在印度運營的支付系統運營商發出了一份信函,要求他們分別在4 月30 日和10 月31 日提交截止日期為3 月31 日和9 月30 日的證明。

與此同時,印度支付系統運營商還被要求必須提交由認證審計師提交的委員會批准的系統審計報告。其實,印度儲備銀行早在2018 年4 月就引入了這一規定,現在將繼續嚴格實施下去,支付系統運營商必須繼續採取措施確保符合規定的認證。

在這項新規範出台之際,印度多個行業的支付和科技初創企業都遭遇了數據洩露和網絡攻擊。其中包括食品雜貨配送巨頭BigBasket(已被塔塔集團收購)、教育科技初創公司Unacademy、眾籌平台Impact Guru 等。近年來,印度發生的數據洩露事件規模相當大,有大約1 億持卡人的敏感數據被洩露。

據悉,總部位於班加羅爾的移動支付解決方案公司Juspay 就洩露了其數據庫,洩露的信息包括用戶的信用卡品牌(維薩或是萬事達)、卡片有效期、卡片的最後四位數、卡號的一部分、卡片類型(信用卡/借記卡)、卡片指紋、卡上的用戶名字、以及商家帳戶ID 等。 Juspay 公司承認,至少有2000 萬用戶的支付卡相關數據被洩露,這已經占到整個1 億用戶的很大比例了。

另一家印度支付公司Mobikwik 擁有的1.1 億用戶的數據庫,自2021 年1 月起居然被公佈在暗網上。該數據庫大小有8.2 TB,其中不僅包括了客戶的個人和財務信息,還包括從該公司獲得貸款商家的詳細信息。然而,Mobikwik 公司卻繼續否認其存在任何漏洞,首席執行官Bipin Preet Singh 也將責任歸咎於用戶。

隨著洩密事件的不斷升級,印度央行開始重視這些違規行為。根據今年生效的新支付聚合器和支付網關(PA-PG)規範,目前亞馬遜(Amazon)、微軟(Microsoft)、奈飛(Netflix)、Flipkart、Zomato 等商家已被禁止在自己的服務器上存儲客戶的信用卡憑證和相關數據。不僅如此,該規定還禁止支付聚合器在其數據庫或是商戶評估的服務器中存儲客戶卡憑證。

如今,印度儲備銀行已經決定不允許商戶存儲此類金融數據,因為一旦出現安全漏洞,商戶是不會承擔責任的,因為以上規定只適用於支付聚合器和網關。值得一提的是,新的指導方針已把所有支付聚合商視為受《支付和結算系統法》(2007 年)監管的實體,必須接受央行的直接監管。