它是什么
RBI 的 Payment Aggregators 制度规范代表商户收单并清分数字支付的实体。PA 须持有授权、对资金进行隔离、遵守数据安全标准,并接受年度系统与网络安全审计,产出面向 RBI 的 System Audit Report(SAR)。
谁须遵守
获授权的在线 payment aggregators,2025 年 Master Direction 正将其延伸至线下 PA。纯网关须面对基线安全期望。
IntelligenceX 如何提供帮助
与 CERT-In 对齐的 PA 系统审计
PCI-DSS 准备、差距与 VAPT
RBI 规定格式的 SAR
托管与资金流控制审查、修复与复审
商户入网与 KYC 控制审查
核验卡数据存储与令牌化合规
差距评估ISMS 设计内部审计阶段 1 与阶段 2 支持整改指导认证就绪
常见问题
System Audit Report 是 RBI 要求的年度交付物,确认 PA 的系统、安全与资金管理符合 RBI 的 PA Master Direction。它须由 CERT-In 备案审计师出具。
RBI 在数据安全基线中要求 PCI-DSS / PA-DSS 以及现行加密与令牌化标准,并对卡数据存储加以限制。
每年一次。RBI 期望获授权的 payment aggregators 每年由 CERT-In 备案审计师开展系统与网络安全审计,并提交由此产生的 System Audit Report。我们会将其安排得与您的授权与报告周期相一致。