原标题：2亿用户遭到攻击，印度央行加强了对支付公司的监管规范

由于印度的网络安全威胁事件和违规行为日益增多，印度央行——印度储备银行(RBI)加强了对存储客户数据的支付公司的监管规范。从 2021 年 4 月 1 日起，所有支付系统运营商(PSOs)每年必须向印度储备银行提交两次详细的“合规证书”。这些文件必须由他们的首席执行官或是常务董事签署，确认遵守印度央行关于安全存储支付数据的所有规定。

3 月 26 日，印度储备银行的支付和结算系统部门(DPSS)向所有在印度运营的支付系统运营商发出了一份信函，要求他们分别在 4 月 30 日和 10 月 31 日提交截止日期为 3 月 31 日和 9 月 30 日的证明。

与此同时，印度支付系统运营商还被要求必须提交由认证审计师提交的委员会批准的系统审计报告。其实，印度储备银行早在 2018 年 4 月就引入了这一规定，现在将继续严格实施下去，支付系统运营商必须继续采取措施确保符合规定的认证。

在这项新规范出台之际，印度多个行业的支付和科技初创企业都遭遇了数据泄露和网络攻击。其中包括食品杂货配送巨头 BigBasket(已被塔塔集团收购)、教育科技初创公司 Unacademy、众筹平台 Impact Guru 等。近年来，印度发生的数据泄露事件规模相当大，有大约 1 亿持卡人的敏感数据被泄露。

据悉，总部位于班加罗尔的移动支付解决方案公司 Juspay 就泄露了其数据库，泄露的信息包括用户的信用卡品牌(维萨或是万事达)、卡片有效期、卡片的最后四位数、卡号的一部分、卡片类型（信用卡/借记卡）、卡片指纹、卡上的用户名字、以及商家帐户 ID 等。Juspay 公司承认，至少有 2000 万用户的支付卡相关数据被泄露，这已经占到整个 1 亿用户的很大比例了。

另一家印度支付公司 Mobikwik 拥有的 1.1 亿用户的数据库，自 2021 年 1 月起居然被公布在暗网上。该数据库大小有 8.2 TB，其中不仅包括了客户的个人和财务信息，还包括从该公司获得贷款商家的详细信息。然而，Mobikwik 公司却继续否认其存在任何漏洞，首席执行官 Bipin Preet Singh 也将责任归咎于用户。

随着泄密事件的不断升级，印度央行开始重视这些违规行为。根据今年生效的新支付聚合器和支付网关(PA-PG)规范，目前亚马逊(Amazon)、微软(Microsoft)、奈飞(Netflix)、Flipkart、Zomato 等商家已被禁止在自己的服务器上存储客户的信用卡凭证和相关数据。不仅如此，该规定还禁止支付聚合器在其数据库或是商户评估的服务器中存储客户卡凭证。

如今，印度储备银行已经决定不允许商户存储此类金融数据，因为一旦出现安全漏洞，商户是不会承担责任的，因为以上规定只适用于支付聚合器和网关。值得一提的是，新的指导方针已把所有支付聚合商视为受《支付和结算系统法》(2007 年)监管的实体，必须接受央行的直接监管。