भुगतान अनुपालन: प्रमुख विनियम और सर्वोत्तम प्रथाएं

पैसों का लेन-देन करने वाले हर व्यवसाय को अनुपालन संबंधी समस्या का सामना करना पड़ता है। कार्ड से लेन-देन हो, ई-कॉमर्स चेकआउट हो, क्रिप्टोकरेंसी से भुगतान हो - कोई भी माध्यम हो, नियम लागू होते हैं, दंड गंभीर होते हैं, और नियमों की अनदेखी करने पर अक्सर मामला शांत नहीं रहता।

भुगतान अनुपालन को कठिन बनाने वाली बात यह नहीं है कि आपको इसके अस्तित्व का ज्ञान है। बल्कि यह समझना कठिन है कि आपके विशिष्ट व्यवसाय पर कौन से नियम लागू होते हैं, वे एक दूसरे के साथ कैसे परस्पर क्रिया करते हैं, और आपको वास्तव में क्या करने की आवश्यकता है। यह मार्गदर्शिका इसी विषय पर प्रकाश डालती है।

भुगतान अनुपालन क्या है और यह क्यों महत्वपूर्ण है?

पांच अलग-अलग भुगतान ऑपरेटरों से पूछें कि "भुगतान अनुपालन" का क्या अर्थ है, तो संभवतः आपको पांच अलग-अलग उत्तर मिलेंगे। व्यवहार में, इसमें वे सभी नियम शामिल हैं जो यह निर्धारित करते हैं कि व्यवसाय भुगतान डेटा को कैसे एकत्र करते हैं, संग्रहीत करते हैं, प्रसारित करते हैं और संसाधित करते हैं। ये नियम इसलिए मौजूद हैं क्योंकि जब भुगतान प्रणालियाँ गलत हो जाती हैं - धोखाधड़ी, मनी लॉन्ड्रिंग या डेटा लीक के कारण - तो नुकसान तेजी से और व्यापक रूप से फैलता है।

इन दायित्वों के दायरे में आने वाले व्यवसायों में मूल रूप से वे सभी शामिल हैं जो डिजिटल रूप से धन का लेन-देन करते हैं। ऑनलाइन रिटेलर, SaaS प्लेटफॉर्म, मार्केटप्लेस, फिनटेक कंपनियां, क्रिप्टो व्यापारी। नियमों में आकार के आधार पर कोई छूट नहीं है। दस कर्मचारियों वाले स्टार्टअप को भी बड़े उद्यम के समान ही मूलभूत आवश्यकताओं का पालन करना होता है।

कुछ आंकड़े स्थिति की गंभीरता को स्पष्ट करते हैं: 2023 से 2027 के बीच भुगतान धोखाधड़ी और ई-कॉमर्स से होने वाले नुकसान का अनुमान 343 अरब डॉलर है। वेरिजॉन की 2023 भुगतान सुरक्षा रिपोर्ट में पाया गया कि 64% कंपनियां अभी भी पीसीआई डीएसएस के पूर्ण अनुपालन में पीछे हैं। और एक भी डेटा उल्लंघन मुकदमेबाजी, अनिवार्य ऑडिट और कार्ड नेटवर्क प्रतिबंधों को जन्म दे सकता है, जिन्हें हल करने में वर्षों लग सकते हैं।

नियमों का पालन करने से पेमेंट नेटवर्क तक पहुंच बनी रहती है। किसी उल्लंघन या डेटा लीक के कारण इसे खोने से यह पहुंच हमेशा के लिए बंद हो सकती है।

वैश्विक स्तर पर भुगतान अनुपालन को कौन नियंत्रित करता है?

भुगतान अनुपालन को विश्व स्तर पर कोई एक प्राधिकरण संचालित नहीं करता है। विभिन्न निकाय अलग-अलग अधिकार क्षेत्रों में मानक निर्धारित करते हैं और नियमों को लागू करते हैं, और अधिकांश व्यवसायों को अंततः एक से अधिक निकायों के प्रति जवाबदेह होना पड़ता है।

उदाहरण के लिए, यूरोपीय संघ में स्थित एक व्यापारी जो अंतरराष्ट्रीय ग्राहकों से अमेरिकी कार्ड स्वीकार करता है, उसे एक साथ पीसीआई डीएसएस, जीडीपीआर और संभवतः फिनसेन के दिशानिर्देशों का पालन करना पड़ता है। जब आपका व्यवसाय सीमाओं को पार करता है, तो भुगतान अनुपालन और नियामक अनुपालन के बीच के इस तालमेल को प्रबंधित करना ही वास्तविक स्थिति होती है।

प्रमुख भुगतान अनुपालन विनियमों की व्याख्या

पांच नियम उन मुख्य कार्यों को परिभाषित करते हैं जो अधिकांश व्यवसायों को करने होते हैं। प्रत्येक नियम एक अलग जोखिम क्षेत्र को लक्षित करता है और उसकी अपनी दंड संरचना होती है।

1. पीसीआई डीएसएस (पेमेंट कार्ड इंडस्ट्री डेटा सिक्योरिटी स्टैंडर्ड) उन सभी संस्थाओं पर लागू होता है जो कार्डधारक डेटा को संग्रहित, संसाधित या प्रसारित करती हैं। इसमें 12 तकनीकी और परिचालन संबंधी आवश्यकताएं निर्धारित हैं। अनुपालन न करने पर उल्लंघन की गंभीरता के आधार पर प्रति माह 5,000 डॉलर से लेकर 100,000 डॉलर तक का जुर्माना लगाया जा सकता है।
2. PSD2 — यूरोपीय संघ का भुगतान सेवा निर्देश 2 यूरोपीय आर्थिक क्षेत्र में भुगतान सेवा प्रदाताओं को नियंत्रित करता है। इसकी प्रमुख आवश्यकता इलेक्ट्रॉनिक लेनदेन के लिए मजबूत ग्राहक प्रमाणीकरण (SCA) है। जुर्माना €5 मिलियन या वैश्विक वार्षिक राजस्व का 3% तक हो सकता है।
3. एएमएल/केवाईसी — मनी लॉन्ड्रिंग विरोधी नियमों के तहत व्यवसायों को ग्राहकों की पहचान सत्यापित करना (अपने ग्राहक को जानें), संदिग्ध गतिविधियों के लिए लेनदेन की निगरानी करना और संदिग्ध गतिविधि रिपोर्ट दाखिल करना अनिवार्य है। ये नियम एफएटीएफ की सिफारिशों पर आधारित राष्ट्रीय कानूनों से लिए गए हैं।
4. GDPR / CCPA — यूरोपीय संघ का सामान्य डेटा संरक्षण विनियमन (GDPR) और कैलिफ़ोर्निया का उपभोक्ता गोपनीयता अधिनियम (Cumercial Privacy Act) भुगतान में डेटा गोपनीयता के लिए नियम निर्धारित करते हैं, जो यह नियंत्रित करते हैं कि व्यक्तिगत डेटा और भुगतान संबंधी जानकारी कैसे एकत्र, संग्रहीत और संसाधित की जाती है। GDPR के तहत अधिकतम जुर्माना €20 मिलियन या वैश्विक वार्षिक कारोबार का 4% हो सकता है। 2022 में मेटा पर लगाए गए €405 मिलियन के जुर्माने ने यह पुष्टि की कि नियामक बड़े पैमाने पर प्रवर्तन करेंगे।
5. बीएसए/फिनसेन नियम — अमेरिकी बैंक गोपनीयता अधिनियम के तहत वित्तीय संस्थानों और धन सेवा व्यवसायों को एएमएल कार्यक्रम बनाए रखना, 10,000 डॉलर से अधिक के नकद लेनदेन की रिपोर्ट करना और एसएआर दाखिल करना अनिवार्य है। फिनसेन ने इन दायित्वों को अमेरिका में कार्यरत क्रिप्टो व्यवसायों तक विस्तारित कर दिया है।

पीसीआई डीएसएस 4.0: भुगतान डेटा सुरक्षा की नींव

अधिकांश ऑनलाइन व्यवसाय अन्य किसी भी नियमन से पहले पीसीआई डीएसएस के दायरे में आते हैं। संस्करण 4.0 को 2022 में अंतिम रूप दिया गया था और अप्रैल 2025 से पूरी तरह से लागू हो गया, जिससे कई महत्वपूर्ण बदलाव आए हैं जिनके बारे में व्यापारियों और भुगतान प्रदाताओं को जानना आवश्यक है।

अनुपालन स्तर वार्षिक कार्ड लेनदेन की मात्रा पर निर्भर करता है:

• स्तर 1 : प्रति वर्ष 6 मिलियन से अधिक लेनदेन — एक योग्य सुरक्षा मूल्यांकनकर्ता (क्यूएसए) द्वारा वार्षिक ऑन-साइट ऑडिट
• स्तर 2 : 1-6 मिलियन लेनदेन/वर्ष — वार्षिक स्व-मूल्यांकन प्रश्नावली (एसएक्यू) और त्रैमासिक नेटवर्क स्कैन
• स्तर 3 : 20,000–1 मिलियन ई-कॉमर्स लेनदेन/वर्ष — एसएक्यू प्लस त्रैमासिक स्कैन
• स्तर 4 : प्रति वर्ष 20,000 से कम ई-कॉमर्स लेनदेन — SAQ द्वारा अनुशंसित

संस्करण 4.0 और संस्करण 3.2.1 में क्या बदलाव हुए:

• अनुकूलित दृष्टिकोण : कंपनियां अब तकनीकी विनिर्देशों का अक्षरशः पालन करने के बजाय, आवश्यकता के उद्देश्य को पूरा करने वाले वैकल्पिक नियंत्रणों को लागू कर सकती हैं।
• अनिवार्य मल्टी-फैक्टर ऑथेंटिकेशन : कार्डधारक डेटा वातावरण तक सभी प्रकार की पहुंच के लिए अब मल्टी-फैक्टर ऑथेंटिकेशन आवश्यक है, न कि केवल रिमोट सेशन के लिए।
• फ़िशिंग और सोशल इंजीनियरिंग प्रशिक्षण : लक्षित जागरूकता प्रशिक्षण एक औपचारिक आवश्यकता है, अनुशंसा नहीं।
• अधिक मजबूत पासवर्ड : न्यूनतम 12 अक्षर (पहले 8 थे), उच्च विशेषाधिकार वाले खातों के लिए हर 90 दिनों में स्वचालित रूप से बदल जाएंगे।

पीसीआई डीएसएस को नज़रअंदाज़ करने की कीमत बहुत भारी होती है। जब 2008 में हार्टलैंड पेमेंट सिस्टम्स में डेटा लीक हुआ, तो कुल नुकसान 200 मिलियन डॉलर से अधिक हो गया। शेयर की कीमत कुछ ही दिनों में 50% गिर गई और रिकवरी से पहले ही 77% तक कम हो गई। छोटे व्यवसाय आमतौर पर इस तरह के नुकसान से नहीं बच पाते।

एएमएल और केवाईसी: वित्तीय अपराध का स्रोत पर ही पता लगाना

एएमएल अनुपालन का अर्थ है ऐसी प्रणालियाँ बनाना जो वित्तीय अपराध को आपके प्लेटफ़ॉर्म के माध्यम से होने से पहले ही पकड़ लें। केवाईसी (पहचान सत्यापन परत) ही वह आधार है जो इस निगरानी को संभव बनाता है।

एएमएल अनुपालन के लिए वास्तव में क्या आवश्यक है:

• लेनदेन निगरानी : स्वचालित प्रणालियाँ असामान्य पैटर्न को चिह्नित करती हैं — बड़े हस्तांतरण, धन की तीव्र आवाजाही, लेनदेन को संरचित करना (रिपोर्टिंग सीमा के भीतर रहने के लिए लेनदेन को तोड़ना)।
• संदिग्ध गतिविधि रिपोर्ट (SAR) दाखिल करना : जब कोई संदिग्ध गतिविधि सामने आती है, तो निर्धारित समय सीमा के भीतर संबंधित प्राधिकरण को संदिग्ध गतिविधि रिपोर्ट (SAR) जमा करनी होगी।
• प्रतिबंधों की जांच : प्रत्येक ग्राहक और प्रतिपक्ष की OFAC, संयुक्त राष्ट्र और यूरोपीय संघ की प्रतिबंध सूचियों के आधार पर वास्तविक समय में जांच की जाती है।
• ग्राहक की उचित जांच पड़ताल (सीडीडी) : निरंतर जोखिम प्रोफ़ाइल समीक्षा, न कि केवल एक बार की ऑनबोर्डिंग जांच।
• उन्नत उचित परिश्रम (ईडीडी) : उच्च जोखिम वाले ग्राहकों - राजनीतिक रूप से उजागर व्यक्तियों (पीईपी) और उच्च जोखिम वाले क्षेत्राधिकार से आने वाले किसी भी व्यक्ति - की गहन जांच।

ऑनबोर्डिंग के समय KYC में आमतौर पर दस्तावेज़ सत्यापन (सरकारी पहचान पत्र, पते का प्रमाण) और सक्रियता जांच शामिल होती है। अब eKYC समाधान AI का उपयोग करके इसे कुछ ही सेकंड में पूरा कर लेते हैं; बड़े पैमाने पर व्यवसाय ऑनबोर्डिंग के लिए यह मानक बन गया है।

FATF ट्रैवल रूल में क्रिप्टो से संबंधित एक विशेष प्रावधान जोड़ा गया है: वर्चुअल एसेट सेवा प्रदाताओं को $1,000 से अधिक के हस्तांतरण पर प्रेषक और प्राप्तकर्ता की जानकारी एकत्र करके भेजनी होगी। सटीक सीमा क्षेत्राधिकार के अनुसार थोड़ी भिन्न होती है, लेकिन यह दायित्व बिटकॉइन, स्टेबलकॉइन या किसी अन्य डिजिटल एसेट के हस्तांतरण पर लागू होता है।

PSD2, SCA और ओपन बैंकिंग संबंधी आवश्यकताएँ

PSD2 ने पूरे यूरोपीय संघ में भुगतान सेवा प्रदाताओं के लिए प्रमाणीकरण को नया रूप दिया। इसका मुख्य उद्देश्य, मजबूत ग्राहक प्रमाणीकरण, अब यूरोपीय आर्थिक क्षेत्र में संचालित होने वाली किसी भी भुगतान सेवा के लिए मानक है।

एससीए को तीन स्वतंत्र कारकों में से कम से कम दो का उपयोग करके प्रमाणीकरण की आवश्यकता होती है:

• आपको ये बातें पता होनी चाहिए : पासवर्ड, पिन, सुरक्षा प्रश्न
• आपके पास ये चीजें होनी चाहिए : मोबाइल फोन, हार्डवेयर टोकन, स्मार्ट कार्ड
• आपमें कुछ विशेषताएं हैं : उंगलियों के निशान, चेहरे की पहचान, आवाज का पैटर्न

3D Secure 2.0 कार्ड-रहित लेनदेन पर SCA लागू करने का मुख्य तकनीकी मानक है। यह व्यापारी, कार्ड नेटवर्क और जारीकर्ता बैंक के बीच जोखिम संकेतों का आदान-प्रदान करता है, जिससे कम जोखिम वाले लेनदेन बिना किसी बाधा के संपन्न हो जाते हैं।

एससीए छूट अनावश्यक टकराव को कम करने के लिए मौजूद हैं:

PSD2 ओपन बैंकिंग को भी अनिवार्य बनाता है। बैंकों को ग्राहकों की सहमति से लाइसेंस प्राप्त तृतीय-पक्ष प्रदाताओं को API के माध्यम से ग्राहक खाता डेटा तक पहुंच प्रदान करनी होगी। इन पहुंच नियमों का अनुपालन लाइसेंस की एक शर्त है - यह वैकल्पिक नहीं है।

क्रिप्टो और डिजिटल परिसंपत्ति क्षेत्र में भुगतान अनुपालन

अधिकांश भुगतान अनुपालन दिशानिर्देश कार्ड भुगतान और वायर ट्रांसफर तक ही सीमित हैं। यह एक गंभीर कमी है। क्रिप्टो व्यापारी, भुगतान गेटवे और डिजिटल परिसंपत्ति व्यवसाय एएमएल/केवाईसी विनियमन के पूरे भार के साथ-साथ क्रिप्टो-विशिष्ट नियमों की बढ़ती हुई परत का भी सामना करते हैं।

FATF के दिशानिर्देशों के तहत, वर्चुअल एसेट सर्विस प्रोवाइडर्स (VASPs) — क्रिप्टो एक्सचेंज, वॉलेट, पेमेंट गेटवे — को AML उद्देश्यों के लिए वित्तीय संस्थानों के रूप में माना जाता है। व्यवहार में इसका अर्थ है:

• ऑनबोर्डिंग के समय पूर्ण केवाईसी, निरंतर लेनदेन निगरानी और एसएआर फाइलिंग संबंधी दायित्व
• FATF यात्रा नियम : $1,000 से अधिक के हस्तांतरण के लिए प्रेषक का नाम, मूल खाता संख्या और प्राप्तकर्ता का विवरण लेनदेन के साथ भेजना आवश्यक है।
• अमेरिका स्थित क्रिप्टो व्यवसायों के लिए FinCEN में मनी सर्विसेज बिजनेस के रूप में पंजीकरण
• स्टेबलकॉइन जारीकर्ताओं और क्रिप्टो सेवा प्रदाताओं के लिए आरक्षित आवश्यकताओं, उपभोक्ता संरक्षण नियमों और प्रकटीकरण दायित्वों को कवर करने वाले, 2024 से लागू EU MiCA (क्रिप्टो-एसेट्स में बाजार विनियमन) के तहत लाइसेंसिंग।

व्यवहारिक चुनौती यह है कि अनुपालन को सैकड़ों परिसंपत्तियों और ब्लॉकचेन में सुचारू रूप से कार्य करना होगा, जिनमें से प्रत्येक की निपटान की अंतिम स्थिति और पता लगाने की क्षमता अलग-अलग है। इसे शुरू से बनाना महंगा और धीमा है।

प्लिसियो गेटवे स्तर पर अनुपालन का प्रबंधन करता है, 200 से अधिक क्रिप्टोकरेंसी को सपोर्ट करता है और साथ ही एएमएल-अनुकूल लेनदेन निगरानी और केवाईसी-अनुकूल व्यापारी ऑनबोर्डिंग को बनाए रखता है। उन ई-कॉमर्स व्यवसायों के लिए जो स्वयं अनुपालन बुनियादी ढांचा बनाए बिना क्रिप्टोकरेंसी स्वीकार करना चाहते हैं, नियामकीय जटिलताओं को संभालने वाले गेटवे का चयन करना एक व्यावहारिक विकल्प है।

भुगतान अनुपालन वर्कफ़्लो कैसे बनाएं

अनुपालन कोई ऐसा उपकरण नहीं है जिसे आप चालू कर सकें। यह एक निरंतर चलने वाली प्रक्रिया है, और इसे एक बार की परियोजना के रूप में देखने पर यह विफल हो जाती है।

1. अपने परिवेश का दायरा निर्धारित करें — भुगतान डेटा से जुड़े हर सिस्टम का मानचित्रण करें: चेकआउट पेज, प्रोसेसर, डेटाबेस, तृतीय-पक्ष एकीकरण। पीसीआई डीएसएस केवल उन्हीं चीज़ों को कवर करता है जो इसके दायरे में आती हैं, और अधिकांश उल्लंघन उन क्षेत्रों में होते हैं जिनका कभी दायरा निर्धारित नहीं किया गया था।
2. अनुपालन संबंधी कमियों का विश्लेषण करें — मौजूदा नियंत्रणों की तुलना पीसीआई डीएसएस, एएमएल/केवाईसी आवश्यकताओं और जीडीपीआर (या सीसीपीए) से करें। जो मौजूद है, उसे ही नहीं, बल्कि जो कमी है उसे भी लिख लें।
3. तकनीकी नियंत्रण लागू करें — टोकनाइज़ेशन कार्ड नंबरों को गैर-संवेदनशील टोकनों से बदल देता है; एन्क्रिप्शन डेटा को ट्रांज़िट और रेस्ट दोनों स्थितियों में सुरक्षित रखता है। केवल इन दो चरणों से ही पीसीआई डीएसएस के दायरे का अधिकांश हिस्सा समाप्त हो जाता है।
4. लेनदेन निगरानी स्थापित करें — स्वचालित प्रणालियों को संदिग्ध लेनदेन को वास्तविक समय में चिह्नित करने की आवश्यकता होती है। लाइव होने से पहले अलर्ट नियम, समीक्षा कतारें और एस्केलेशन पथ परिभाषित करें, बाद में नहीं।
5. कर्मचारियों को प्रशिक्षित करें — तकनीकी खराबी की तुलना में सोशल इंजीनियरिंग और फ़िशिंग से कहीं अधिक सुरक्षा उल्लंघन होते हैं। PCI DSS 4.0 के तहत अब लक्षित सुरक्षा जागरूकता प्रशिक्षण अनिवार्य है; इसे एक वास्तविक नियंत्रण के रूप में मानें।
6. हर चीज़ का दस्तावेज़ीकरण करें — नीतियां, प्रक्रियाएं, ऑडिट ट्रेल, घटना प्रतिक्रिया योजनाएं। नियामक केवल कार्यशील प्रणालियों के प्रमाण के रूप में नहीं, बल्कि आपके इरादे और क्षमता के प्रमाण के रूप में दस्तावेज़ीकरण चाहते हैं।
7. नियमित ऑडिट निर्धारित करें — वार्षिक पीसीआई डीएसएस मूल्यांकन, त्रैमासिक नेटवर्क स्कैन और चल रहे एएमएल कार्यक्रम की समीक्षा। सक्रिय रखरखाव के बिना अनुपालन में ढिलाई आ सकती है।
8. अनुरूप भुगतान साझेदारों का चयन करें — आपके प्रोसेसर, गेटवे और बैंकिंग साझेदारों की साझा जिम्मेदारी होती है। एक ऐसा साझेदार जो बुनियादी ढांचे के स्तर पर पीसीआई डीएसएस का प्रबंधन करता है, आपकी जिम्मेदारी को काफी हद तक कम कर देता है।

ई-कॉमर्स के लिए भुगतान अनुपालन के सर्वोत्तम तरीके

एक बार आपका भुगतान अनुपालन कार्यक्रम सुचारू रूप से चलने लगे, तो ये उपाय इसे धीरे-धीरे विफल होने से बचाते हैं:

• PCI DSS लेवल 1 प्रमाणित गेटवे का उपयोग करें — इससे कार्डधारक डेटा हैंडलिंग का भार प्रदाता पर आ जाता है, जिससे आमतौर पर आपका PCI DSS दायरा SAQ A तक कम हो जाता है।
• 3D सिक्योर 2.0 को सक्षम करें — कार्ड-रहित लेनदेन पर धोखाधड़ी की देनदारी को कम करता है और EU SCA आवश्यकताओं को पूरा करता है
• हर चीज़ को टोकन में बदलें — कार्ड नंबरों को एंट्री पॉइंट पर टोकन से बदलें; कार्डधारक का कच्चा डेटा कभी भी आपके सिस्टम में नहीं रहना चाहिए।
• डिवाइस फिंगरप्रिंटिंग और आईपी जियोलोकेशन को लागू करें — चेकआउट प्रक्रिया में कोई अतिरिक्त बाधा डाले बिना व्यवहार संबंधी डेटा से धोखाधड़ी रोकथाम संकेत तैयार करें
• डेटा को कम से कम रखने के नियम लागू करें — GDPR के तहत, केवल वही डेटा एकत्र करें जिसकी आपको आवश्यकता है, उसे केवल आवश्यकता के समय तक ही रखें और निर्धारित समय पर उसे हटा दें।
• भुगतान शुरू करने से पहले व्यापारियों का सत्यापन करें — किसी बाज़ार या प्लेटफ़ॉर्म पर, ऑनबोर्डिंग अनुपालन उप-व्यापारियों पर भी लागू होता है।
• घटना प्रतिक्रिया योजना बनाए रखें — GDPR के अनुसार नियामकों को उल्लंघन की सूचना 72 घंटों के भीतर देनी होती है; अमेरिका के अधिकांश राज्यों में यह अवधि 30 दिन है। एक अप्रमाणित योजना मात्र एक दस्तावेज़ है।

Simon Chartan

A journalist with a strong technical background and a passion for decentralized finance. With degrees in MBA and Master of Engineering in Data Science, the author combines analytical expertise with a clear, engaging writing style. At Plisio, they cover topics such as cryptocurrency, blockchain, DeFi, and digital finance—helping readers make sense of a rapidly evolving fintech landscape.