নগদ অর্থ লেনদেন হ্রাস ও কার্ড-ভিত্তিক লেনদেনের নিরাপত্তা নিশ্চিতকরণ সংক্রান্ত সার্কুলার

ব্যাংকিং নিউজ বাংলাদেশঃ বাংলাদেশে কার্যরত সকল তফসিলি ব্যাংক সমূহের ব্যবস্থাপনা পরিচালক/প্রধান নির্বাহী কর্মকর্তাদেরকে উদ্দেশ্য করে বাংলাদেশ ব্যাংক কর্তৃক জারিকৃত একটি সার্কুলার, যা হুবহু আপনাদের জন্য তুলে ধরা হলো-

প্রিয় মহোদয়,

নগদ অর্থ লেনদেন হ্রাস বা নিরুৎসাহিতকরণের লক্ষ্যে বিভিন্ন পেমেন্ট চ্যানেলের মাধ্যমে সম্পাদিত
কার্ড-ভিত্তিক লেনদেনের নিরাপত্তা নিশ্চিতকরণ, ঝুঁকি হ্রাস এবং গ্রাহক সচেতনতা বৃদ্ধি প্রসঙ্গে।

তথ্য-প্রযুক্তি-নির্ভর ব্যাংকিং সেবার উপর নির্ভরশীলতা ক্রমাগত বৃদ্ধি পাওয়ায় ব্যাংকসমূহ Automated Teller Machine (ATM), Point of Sale (POS) এবং Online/Internet/e-Payment Gateway ব্যবহার করে তাদের গ্রাহকদের স্থানীয় মুদ্রায় লেনদেন সম্পাদন করার সুবিধা প্রদান করছে। এ ধরনের লেনদেনের নিরাপত্তা নিশ্চিতকরণ, ঝুঁকি হ্রাস ও গ্রাহক সচেতনতা বৃদ্ধির লক্ষ্যে বাংলাদেশ ব্যাংক অর্ডার ১৯৭২ (সংশোধিত ২০০৩)-এর ৭ অ(ব), ব্যাংকিং কোম্পানি আইন ১৯৯১ (সংশোধিত ২০১৩)-এর ৪৯(১)(ঙ) ও বাংলাদেশ ব্যাংক কর্তৃক জারিকৃত “Guidelines on ICT Security for Banks and Non Bank Financial Institutions” এর আলোকে বিভিন্ন প্লাটফরম-এর তদারকি ও তত্ত্বাবধানে ইতঃপূর্বে জারিকৃত সার্কুলার ও অন্যান্য নির্দেশনাসমূহ একীভূত করে এই সার্কুলার জারি করা হল।

১. কার্ড-সংক্রান্তঃ
১. কার্ড-ভিত্তিক লেনদেন পরিচালনাকারী সকল ব্যাংক ও আর্থিক প্রতিষ্ঠান হতে ইস্যুকৃত সকল কার্ডের অভ্যন্তরীণ (Domestic) আন্তঃব্যাংক লেনদেন বাংলাদেশ ব্যাংক কর্তৃক পরিচালিতNational Payment Switch Bangladesh (NPSB) এর মাধ্যমে পরিচালনা/সম্পন্ন করতে হবে।
২. ৩১-১২-২০১৭ তারিখের মধ্যে কার্ড-ভিত্তিক সকল ধরনের লেনদেন Personal Identification Number (PIN)-ভিত্তিক করতে হবে।
৩. SMS এলার্ট সার্ভিসের মাধ্যমে কার্ড-ভিত্তিক সকল লেনদেনের তথ্য তাৎক্ষণিকভাবে গ্রাহককে অবহিত করতে হবে।
৪. কার্ড লেনদেনের নিরাপত্তা নিশ্চিতকরণ ও লেনদেনের অবকাঠামোসমূহ আন্তর্জাতিক মানসম্পন্নকরণের লক্ষ্যে ৩১-১২-২০১৮ তারিখের মধ্যে ব্যাংকসমূহকে Payment Card Industry-Data Security Standard (PCI-DSS) সার্টিফাইড হতে হবে।
৫. ব্যাংক ও আর্থিক প্রতিষ্ঠান কর্তৃক ইস্যুকৃত সকল ব্র্যান্ডেড কার্ড চিপ ও পিন (CHIP and PIN) যুক্ত হতে হবে; ইতঃপূর্বে ইস্যুকৃত এ ধরনের সকল ম্যাগনেটিক স্ট্রিপ কার্ডসমূহকে ক্রমান্বয়ে এ প্রযুক্তিতে উন্নীত করতে হবে এবং ৩০-০৬-২০১৮ তারিখের মধ্যে এ প্রক্রিয়া পুরোপুরি সম্পন্ন করতে হবে।
৬. লেনদেনের সময় ATM-এ কার্ড আটকে গেলে Off-us লেনদেনের ক্ষেত্রে Acquiring Bank তা Destroy করে কার্ডের তথ্য Issuing Bank-কে সরবরাহ করবে; তবে On-us লেনদেনের ক্ষেত্রে কার্ড আটকে গেলে Issuing Bank তা তাদের নিজস্ব অনুসৃত নিয়ম অনুযায়ী সমাধান করবে। উভয়ক্ষেত্রে গ্রাহকের আবেদন প্রাপ্তির ৭ কার্যদিবসের মধ্যে Issuing Bank তা নিষ্পত্তি করবে।
৭. গ্রাহকের কার্ডের তথ্য ও পিন নম্বর কোনক্রমে আপোষ (Compromised) হয়েছে মর্মে প্রতীয়মান/নিশ্চিত হলে তাৎক্ষণিকভাবে সংশ্লিষ্ট Acquiring ডিভাইসে (POS মেশিন/ATM বুথ) ব্যবহৃত কার্ডসমূহ চিহ্নিত করে নিজ ব্যাংকের কার্ডসমূহের ক্ষেত্রে গ্রাহককে অবহিত করে কার্ডটি বাতিল করতঃ যথাশীঘ্র গ্রাহককে নতুন কার্ড প্রদান করতে হবে। গ্রাহক অন্য ব্যাংকের হলে সংশ্লিষ্ট কার্ড প্রদানকারী ব্যাংককে তাৎক্ষণিকভাবে বিষয়টি অবহিত করে যথাযথ ব্যবস্থা গ্রহণের জন্য অনুরোধ করতে হবে।
৮. প্রোপ্রাইটরি কার্ড ইস্যু করার ক্ষেত্রে বাংলাদেশ ব্যাংকের পেমেন্ট সিস্টেমস্ ডিপার্টমেন্ট হতে BIN (Bank Identification Number) সংগ্রহ করতে হবে।
৯. গ্রাহকদের কার্ড-ভিত্তিক লেনদেনে উৎসাহিত করার জন্য কার্ড ব্যবহারের সুবিধাসমূহ অবহিত করতে হবে।
১০. কার্ড-ভিত্তিক লেনদেনের ঝুঁকি হ্রাসকল্পে সকল লেনদেনের ক্ষেত্রে যথাযথ সতর্কতা/গোপনীয়তা অবলম্বনসহ সঠিক উপায়ে কার্ড ব্যবহার বিধির চিত্র-সম্বলিত পোস্টার ব্যাংকের শাখায় প্রকাশ এবং গ্রাহক সচেতনতা বৃদ্ধিতে প্রিন্ট ও ইলেক্ট্রনিক মিডিয়াতে প্রচার-প্রচারণা শুরু করতে হবে।

২. বিভিন্ন চ্যানেল সংক্রান্তঃ
২.১ ATM লেনদেনের ক্ষেত্রেঃ
১. বাংলাদেশে কার্যরত NPSB এর সদস্য ব্যাংক-প্রতিষ্ঠান কতৃর্ক স্থাপিত সকল ATM, NPSB-তে সংযুক্ত করতে হবে এবং ATM-এর মাধ্যমে সম্পাদিত আন্তঃব্যাংক কার্ডের লেনদেন NPSB-এর মাধ্যমে পরিচালনা/সম্পন্ন করতে হবে।
২. নতুনভাবে স্থাপিত সকল ATM বাধ্যতামূলকভাবে EMVCo Compliant অর্থাৎ চিপ কার্ড পরিচালনার প্রযুক্তি, এন্টি স্কিমিং প্রযুক্তি, পিন গার্ড এবং এনক্রিপ্টেড পিন প্যাড সম্বলিত হতে হবে এবং ইতোমধ্যে স্থাপিত ATM-সমূহকেও ৩১-১২-২০১৭ তারিখের মধ্যে উল্লিখিত প্রযুক্তি-সম্বলিত করতে হবে।
৩. ATM বুথে সংঘটিত দৈনিক লেনদেনসমূহের ভিডিও ফুটেজ যথাযথভাবে পর্যবেক্ষণ করবে ও ন্যূনতম ০১ (এক) বছর তা সংরক্ষণ করতে হবে, যার মধ্যে ০৩ (তিন) মাস অনলাইনে এবং বাকি সময় আর্কাইভ অবস্থায় থাকতে হবে এবং তাতে কোন সন্দেহজনক বিষয় দৃষ্ট হলে কার্যকর ব্যবস্থা গ্রহণ করতে হবে।
৪. ATM সেবা প্রদানকারী ব্যাংকসমূহ প্রতিমাসে কমপক্ষে ২০ টি ATM নিরীক্ষা/পরিদর্শন করবে। তন্মধ্যে যাদের ATM সংখ্যা ২০ টির কম তারা সবগুলোই নিরীক্ষা/পরিদর্শন করবে। এ বিভাগ হতে সরবরাহকৃত ফরমেট অনুযায়ী নিরীক্ষা প্রতিবেদন প্রস্তুত করতে হবে এবং তা ন্যূনতম এক বছরের জন্য নিজস্ব ব্যবস্থাপনায় সংরক্ষণ করতে হবে।
৫. ATM বুথে নগদ টাকার সরবরাহ নিশ্চিত করতঃ ATM সেবা সার্বক্ষণিক চালু রাখতে হবে।
৬. বন্ধ বা অচল ATM বুথের সামনে অবশ্যই নোটিশ প্রদর্শনের ব্যবস্থা গ্রহণ করতে হবে এবং অনধিক ৭২ ঘন্টার মধ্যে তা সচল করতে হবে।
৭. বুথে কোন ধরনের নতুন যন্ত্র সংস্থাপন/মেরামত কালে ATM বুথে কর্মরত সিকিউরিটি গার্ড এ বিষয়ে ব্যাংকের ক্ষমতাপ্রাপ্ত কর্মকর্তার সাথে যোগাযোগ করে আগন্তুক ব্যক্তি/ব্যক্তিবর্গের পরিচয় নিশ্চিত করবে। প্রয়োজনে সংশ্লিষ্ট ব্যাংক কর্মকর্তা ATM বুথে স্বশরীরে উপস্থিত হয়ে এরূপ ব্যক্তি/ব্যক্তিবর্গের পরিচয় নিশ্চিত করবেন।
৮. গ্রাহকদের সমস্যার তাৎক্ষণিক সমাধান নিশ্চিত করতে আবশ্যিকভাবে Help Desk সেবা কাংখিতমানে বাস্তবায়ন করে যোগাযোগের ফোন নম্বর নোটিশ হিসেবে ATM বুথে প্রদর্শনের ব্যবস্থা গ্রহণ করতে হবে।
৯. ATM বুথসমূহে নিয়োজিত গার্ডদের প্রতারণা-জালিয়াতি প্রতিরোধে করণীয় সম্পর্কে প্রয়োজনীয় প্রশিক্ষণ প্রদান করতে হবে। এছাড়া সানগ্লাস পরিধানকারী, ব্যাগ বহনকারী এবং অন্যান্য সন্দেহজনক গ্রাহকদের ক্ষেত্রে বিশেষ সর্তকতা অবলম্বন করতে হবে।
১০. ATM লেনদেন-সংক্রান্ত সকল ধরনের ফি/চার্জ দৃশ্যমান স্থানে প্রদর্শন করতে হবে।
১১. ATM ব্যবহারের চিত্র-সম্বলিত সঠিক নিয়মাবলী সহজবোধ্য ভাষায় পোস্টার আকারে বুথের দৃশ্যমান স্থানে প্রদর্শন করতে হবে।

২.২ POS লেনদেনের ক্ষেত্রেঃ
১. বাংলাদেশে কার্যরত NPSB এর সদস্য সকল ব্যাংক ও আর্থিক প্রতিষ্ঠান কর্তৃক স্থাপিত সকল POS ৩১-১২-২০১৭ তারিখের মধ্যে NPSB-তে সংযুক্ত করতে হবে এবং POS এর মাধ্যমে সম্পাদিত আন্তঃব্যাংক কার্ডের লেনদেন NPSB এর মাধ্যমে পরিচালনা/সম্পন্ন করতে হবে।
২. POS মেশিনের মাধ্যমে সম্পাদিত সকল লেনদেন পিন-ভিত্তিক হতে হবে। POS লেনদেনের ক্ষেত্রে কার্ডধারী স্বহস্তে পিন প্রদান করবেন, যা Online PIN Authorization এর মাধ্যমে সম্পন্ন করতে হবে।
৩. অনলাইনে হোটেল বুকিং এবং অনলাইনে অভ্যন্তরীণ বিমান টিকেট ক্রয় ব্যতীত অন্য সকল ক্ষেত্রে POS-এ Pre-Authorization এর সময়ে Manual Key Entry রহিত করা হল।
৪. কার্ড- ভিত্তিক POS লেনেদেনের ক্ষেত্রে মার্চেন্ট কতৃর্ক গ্রাহকের কার্ড-সংশ্লিষ্ট তথ্যের নিরাপত্তা নিশ্চিতকরণের বিষয়ে সকল দায়-দায়িত্ব Acquiring ব্যাংকসমূহের উপর বর্তাবে।
৫. কার্ড-ভিত্তিক POS লেনেদেনের ক্ষেত্রে নেটওয়ার্কের আওতায় সকল টার্মিনালের নেটওয়ার্ক ৩১-১২-২০১৭ তারিখের মধ্যে Point to Point Data Encryption নিশ্চিত করতে হবে।
৬. নতুনভাবে স্থাপিত সকল POS মেশিন বাধ্যতামূলকভাবে EMVCo Compliant অর্থাৎ চিপ কার্ড পরিচালনার প্রযুক্তি, কর্ডলেস, এনক্রিপ্টেড পিন প্যাড এবং পিন গার্ড-সম্বলিত হতে হবে এবং ইতোমধ্যে স্থাপিত POS মেশিনসমূহকে ৩০-০৬-২০১৮ তারিখের মধ্যে উল্লিখিত প্রযুক্তি-সম্বলিত করতে হবে।
৭. প্রতারণা-জালিয়াতি রোধসহ অধিক নিরাপদে POS লেনদেন সম্পাদনের লক্ষ্যে মার্চেন্টদের প্রশিক্ষিত করতে হবে।
৮. বিভিন্ন মার্চেন্ট পয়েন্টে POS লেনদেনের ক্ষেত্রে গ্রাহকের নিকট হতে ক্রয়কৃত পণ্য বা সেবার নির্ধারিত মূল্যের অতিরিক্ত অর্থ যাতে গ্রাহকদের নিকট হতে আদায় করা না হয়, সে লক্ষ্যে ব্যাংক কতৃর্ক মার্চেন্টদের সতর্ক করাসহ গ্রাহক সচেতনতা বৃদ্ধি করতে হবে।
৯. মার্চেন্ট পেমেন্ট নেটওয়ার্ক সম্প্রসারণের উদ্যোগ নিতে হবে। নতুন মার্চেন্টের ক্ষেত্রে তাদের সক্ষমতা, ব্যবসার পরিধি ও ঝুঁকি বিশ্লেষণ করে চুক্তি সম্পাদন করতে হবে।
১০. একই মার্চেন্টের একই পয়েন্টে ভিন্ন ভিন্ন ব্যাংকের POS মেশিন রাখার ক্ষেত্রে আন্তঃব্যাংক কার্ডের লেনদেনে সক্ষম অনধিক তিনটি POS মেশিন রাখার উপর গুরুত্ব দিতে হবে।

২.৩ Online/Internet/e-Payment Gateway-এর ক্ষেত্রেঃ
১. Online/Internet/e-Payment Gateway-তে ব্যাংকের হিসাব/কার্ড-ভিত্তিক সকল লেনদেনের ক্ষেত্রে ৩১-১২-২০১৭ তারিখের মধ্যে এককালীন পাসওয়ার্ড (One Time Password)/Two Factor Authentication/Additional Factor Authentication (2FA) ব্যবস্থা প্রচলন করতে হবে।
২. এ সমস্ত লেনদেনের ক্ষেত্রে AML-CFT সংক্রান্ত আইন যথাযথ পরিপালন নিশ্চিত করতে হবে এবং কোন ধরনের অসঙ্গতি পরিলক্ষিত হলে, তা সাথে সাথে বাংলাদেশ ফিনান্সিয়াল ইন্টেলিজেন্স ইউনিটে অবহিত করতে হবে।
৩. সবরকম লেনদেন স্থানীয় মুদ্রায় নিষ্পত্তি করতে হবে।
৪. Internet Banking সেবা প্রদানকারী ব্যাংকসমূহকে সার্বক্ষণিকভাবে এ সেবা চালু রাখার বিষয়টি নিশ্চিত করতে হবে। কোন কারণে এ সেবা প্রদানে বিঘড়ব ঘটলে, তা গ্রাহককে অবহিত করতে হবে এবং অনধিক ৭২ ঘন্টার মধ্যে তা সচল করতে হবে।

৩. অন্যান্যঃ
১. প্রতিটি ব্যাংক ও আর্থিক প্রতিষ্ঠান সাইবার নিরাপত্তা ঝুঁকি মূল্যায়ন করতঃ পরিচালনা পর্ষদের তত্ত্বাবধানে Cyber Security Governance সংক্রান্ত নীতি প্রণয়ন এবং যে কোন সাইবার ঝুঁকি/আক্রমণ মোকাবেলা করার জন্য পরিকল্পনা প্রণয়ন করতে হবে।
২. যে কোন ICT অবকাঠামো (বিশেষত লেনদেন ব্যবস্থা) বাস্তবায়ন এবং এর কার্যক্রম শুরুর পূর্বে উক্ত ব্যবস্থাটির Vulnerability Assessment and Penetration Testing (VAPT) সম্পন্ন করতে হবে। এছাড়া চলমান লেনদেন ব্যবস্থাসমূহের ক্ষেত্রে নির্দিষ্ট সময়ান্তে (দু’বছরে অন্তত একবার) VAPT কার্যক্রম পরিচালনা করতে হবে।
৩. ব্যাংকসমূহ তাদের গ্রাহকদেরকে নগদ লেনেদেনে নিরুৎসাহিত করার জন্য ইতোমধ্যে চালুকৃত স্বয়ংক্রিয়/ডিজিটাল (Automated/Digital) পদ্ধতিসমূহ যথা – কার্ড (Card), BEFTN, RTGS, MFS, Internet Banking ইত্যাদি বিষয়ে যথাযথভাবে অবহিতকরণের ব্যবস্থা গ্রহণ করবে। ব্যাংকের প্রতিটি শাখার দৃশ্যমান স্থানে স্বয়ংক্রিয় পদ্ধতিসমূহ সম্পর্কে নোটিশ ঝুলানোর ব্যবস্থা গ্রহণ করবে।
৪. প্রযুক্তিগত দুর্বলতা মূল্যায়ন পরিচালনা এবং আপদকালীন ব্যবস্থাপনা কার্যক্রম প্রণয়নসহ পুরো ব্যবস্থা সার্বক্ষণিক পর্যবেক্ষণের জন্য ২৪X৭ কার্যরত তথ্য নিরাপত্তা কেন্দ্র (Information Security Operation Centre) স্থাপন করতে হবে।
৫. ব্যাংকসমূহ নগদ লেনদেনে নিরুৎসাহিত করে বিকল্প পেমেন্ট পদ্ধতিসমূহ এবং এর সাথে সংশ্লিষ্ট সাইবার নিরাপত্তা ও লেনদেন ঝুঁকি সম্পর্কে নিজস্ব সকল কর্মকর্তা-কর্মচারীকে সচেতন ও প্রশিক্ষিত করে গড়ে তুলবে। বিষয়টি একটি চলমান প্রক্রিয়া হবে।

এ নিদের্শ অবিলম্বে কার্যকর হবে।

আপনাদের বিশ্বস্ত,

(লীলা রশিদ)
মহাব্যবস্থাপক
ফোনঃ ৯৫৩০১৭৪

• সার্কুলারটি দেখতে ক্লিক করুন এখানে
সূত্রঃ পেমেন্ট সিস্টেমস ডিপার্টমেন্ট, বাংলাদেশ ব্যাংক
পিএসডি সার্কুলার নং: ০৪/২০১৭, তারিখঃ ২৪ আগস্ট, ২০১৭