काठमाडौँ / अबदेखि भर्चुअल प्राइभेट नेटवर्क (भीपीएन)को प्रयोगकर्ताले अबदेखि मोवाइल बैंकिङ प्रयोग गर्न नपाउने भएका छन् । नेपाल राष्ट्र बैंक भुक्तानी प्रणाली विभागले अनुमतिपत्रप्राप्त संस्थाका लागि भुक्तानी प्रणालीसम्बन्धी एकीकृत निर्देशन २०८० मा संशोधन तथा परिमार्जन गर्दै यस्तो व्यवस्था गरेको हो । 

भुक्तानी प्रणालीमा निम्तिन सक्ने प्रविधि जोखिमलाई न्यूनीकरण गर्न नेपाल राष्ट्र बैंकले भुक्तानी प्रणालीलाई थप व्यवस्थित गरेको हो । भुक्तानी प्रणाली संस्थाले प्रयोग गर्ने विभिन्न प्रणालीमा हुनसक्ने साइबर आक्रमण, डेटा कन्फिडेन्टिलिटी ब्रिज, सिस्म भल्नेरिबिलिटिज, सिस्टम अपरेसन्स फेलियर अन्तरआवद्धताबाट उत्पन्न हुने जोखिम, डेटा इन्टिग्रेटीसम्बन्धी जोखिम साथै इन्डस्ट्री स्ट्यान्डर्डस (जस्तै आईओएस २७००१, आईओएस २०२२ मेसेजिङ स्ट्यान्डर्ड आदि) को अनुपालाना नगर्दा उत्पन्न हुन सक्ने जोखिमलगायतका विषयलाई प्रविधि जोखिमका रुपमा परिभाषित गर्नुपर्नेछ।

“ग्राहकले मोबाइल बैंकिङ तथा इन्टरनेट बैंकिङ प्रणाली सञ्चालन वा कारोबार गर्दा भीपीएनको प्रयोग गरेरनगरेको पहिचान गरी आधिकारिक भीपीएन प्रयोग नभए एपमा लग–इन गर्न नमिल्ने व्यवस्था मिलाउनुपर्ने छ ।” निर्देशिकामा भनिएको छ । 

त्यस्तै, प्राकृतिक व्यक्तिको एउटा खाताबाट एकै प्रकृति (डेविट/क्रेडिट/प्रिपेड)को एकभन्दा बढी कार्ड जारी गर्न नपाइने व्यवस्था गरेको छ । “तर, डोमेस्टिक कार्ड स्किमअन्तर्गतका कार्डहरू जारी गर्न यो व्यवस्थाले बाधा पर्याएको मानिने छैन” राष्ट्र बैंक भुक्तानी प्रणाली विभागका कार्यकारी निर्देशक किरण पण्डितले भने । 

यसैगरी, कार्डमार्फत उपलब्ध हुने Near Field Communication (NFC), 3D Secure, Virtualization लगायतका अन्य सुविधाहरूको उपयोगिता, जोखिम तथा शुल्क तिर्नु पर्ने भएमा सोसम्बन्धी जानकारी ग्राहकलाई दिनुपर्ने व्यवस्था गरिएको छ ।  

विद्युतीय भुक्तानी कार्डबाट हुने कारोबारको सेटलमेन्ट 

राष्ट्र बैंकले अनुमतिपत्रप्राप्त संस्थाहरूले जारी गरेका विभिन्न भुक्तानी कार्डहरूबाट नेपालमा नेपाली रुपैयाँमा गरिने कारोबारको फछ्र्यौट नेपालभित्रै गर्ने व्यवस्था मिलाउनुपर्ने छ । साथै, यस प्रयोजनार्थ अन्तर्राष्ट्रिय स्वीचहरूको लागि कुनै जमानत/बण्ड जारी गर्नुपर्ने भए नेपाली रुपैयाँमा जारी गर्नुपर्ने व्यवस्था गरेको छ । 

त्यस्तै, विदेशी विनिमयमा आधारित कारोबार, उपकरण, कारोबारको सीमा लगायतका व्यवस्थाहरू यस बैंकको विदेशी विनिमय व्यवस्थापन विभागले जारी गरेको निर्देशन/परिपत्रबमोजिम हुने बताइएको छ । 

दूरसञ्चार सञ्जालमार्फत सञ्चालन हुने भुक्तानी सेवामा ग्राहकलाई आबद्ध गर्नुअघि संस्थाले सेवाका विशेषता, कारोबार गर्दा तिर्नुपर्ने सेवा शुल्क, कारोबारको सीमा, कारोबारको क्रममा कुनै समस्या परेमा तत्काल सहयोग प्राप्त गर्न सम्पर्क गर्न सकिने माध्यम, Jailbreak तथा Root  गरिएका मोबाइल फोनमार्पmत कारोबार गर्दा हुन सक्ने जोखिम, अनुसन्धानकारी निकायबाट माग भएका ग्राहकको विवरण उपलब्ध गराउन सकिने व्यवस्था लगायतका अन्य विषय स्पष्ट रूपमा उल्लेख गरी ग्राहकसँग सम्झौता गर्नुपर्ने व्यवस्था गरिएको छ । 

अनुमतिपत्र प्राप्त संस्था (बैंक तथा वित्तीय संस्था समेत) ले भुक्तानीसम्बन्धी कार्यका लागि प्रयोग हुने विभिन्न प्रणालीहरूको नियमित रूपमा DC-DR Drill गर्नुपर्ने निर्देशिकामा उल्लेख छ । 

यसैगरी, कुनै पनि प्रणालीको DC-DR Drill  कम्तीमा २ वर्षमा एक पटक गर्नुपर्नेछ । DC-DR Drill  सम्पन्न भएको १५ दिनभित्र उक्त Drill को प्रतिवेदन यस बैंकमा पेश गर्नुपर्ने छ ।

संस्थाले नेपाल सरकारको सूचना प्रविधि विभागले डाटा सेन्टरको रूपमा कार्य गर्न सूचिकृत गरेको संस्थासंग मात्र आफ्नो डाटा सेन्टर राख्न सक्नेछन् ।

अनुमतिपत्रप्राप्त संस्थाहरूले हाल कायम रहेको डाटा सेन्टर ‘डाटा सेन्टर तथा क्लाउड सेवा (सञ्चालन तथा व्यवस्थापन) निर्देशिका, २०८१’ मा तोकिएको समयमा सूचीकृत भए/नभएको एकीन गर्नुपर्ने छ ।

अनुमतिपत्रप्राप्त संस्था (बैंक तथा वित्तीय संस्था बाहेक) ले सेवा सञ्चालन गरेको १ वर्ष पूरा भएपछि भुक्तानी प्रणालीको परीक्षण (System Audit) गराई यस बैंकमा सोको प्रतिवेदन पेश गर्नुपर्ने छ । 

साथै, साविक System प्रतिस्थापन वा System Upgrade नभएको अवस्थामा प्रत्येक २ आर्थिक वर्षमा System Audit गराई आर्थिक वर्ष समाप्त भएको ६ महिनाभित्र यस बैंकमा प्रतिवेदन पेश गर्नुपर्ने छ । 

यस्तो व्यवस्थामा तीन वटा विशेषयवस्तु थप गरिएको राष्ट्र बैंकले जनाएको छ । जोखिम व्यवस्थापनका मापदण्ड तथा आन्तरिक नियन्त्रण प्रणालीको विश्लेषण, सिस्टम डिजाइन तथा सूचना प्रणालीसम्बन्धी पूर्वाधारको विश्लेषण, प्रणाली तथा फस्र्यौट प्रक्रियाको विश्लेषण  Transaction Integrity, तेस्रो पक्ष सेवाहरूबाट हुन सक्ने जोखिम लगायतका Payment System तथा Processing का प्रावधानहरूको विश्लेषण लगायतका तीन विषय थप गरिएको राष्ट्र बैंकले जारी गरेको निर्देशिकामा उल्लेख छ । 

सो बुँदामा Security Policy, Incident Management tyf Encryption Standards तथा Encryption Standards लगायतका अन्य साइबर सुरक्षासम्बन्धी प्रावधानहरूको विश्लेषण र Regulatory Compliance सम्बन्धी विश्लेषण पनि थपिएको छ । 

अनुमतिपत्रप्राप्त भुक्तानी सेवा प्रदायक संस्थाले आफ्नो प्रणालीमार्फत हुने सम्पूर्ण कारोबारको अन्तिम फस्र्यौट यस बैंकबाट अनुमतिपत्रप्राप्त भुक्तानी प्रणाली सञ्चालकले सञ्चालन गरेको प्रणालीमार्पmत सेटलमेन्ट बैंकमा रहेको सेटलमेन्ट खातामा गर्नुपर्नेछ । 

राष्ट्र बैंकले प्रिपेड कार्डबाट प्रतिकारोबार १० हजार रुपैयाँ, प्रतिदिन २० हजार रुपैयाँ र प्रतिमहिना २ लाख रुपैयाँ झिक्ने व्यवस्था गरेको छ । त्यस्तै, डेबिट कार्डबाट प्रतिकारोबार रकम २५ हजार रुपैयाँ, प्रतिदिन एक लाख रुपैयाँ र प्रतिमहिना ४ लाख रुपैयाँ झिक्ने व्यवस्था छ । यसैगरी, क्रेडिट कार्डबाट स्वीकृत सीमाको १० प्रतिशतसम्म झिक्न पाउने व्यवस्था छ । 

यसैगरी बैंक तथा वित्तीय संस्था बाहेकको सेवा प्रदायक संस्थाहरूबाट जारी गरिएको प्रिपेड कार्डबाट प्रतिदिन ५ हजार र प्रतिमहिना २५ हजार रुपैयाँसम्म नगद झिक्न सकिन्छ । संस्थाले डोमेस्टिक कार्ड स्किम अन्तर्गत अतिरिक्त कार्ड जारी गरेमा समेत ग्राहकको खातामा उपर्युक्त अनुसार कुल सीमा लागू गर्नुपर्ने छ । 

यसैगरी, मोबाइल तथा वेब एप्लिकेशनमार्पmत हुने कारोबारमा राष्ट्र बैंकले केही व्यवस्था थप गरेको छ । मोवाइल एप्लिकेसन (क्यूआर कोडसमेत)बाट प्रतिदिन ३ लाख रुपैयाँ र वेब एप्लिकेसनबाट २० लाख रुपैयाँको कारोबार गर्न सकिनेछ । यसअघि वेब एप्लिकेसनलाई इन्टरनेट बैंकिङ भनी उल्लेख गरिएको थियो । 

तर, विद्युत, दूरसञ्चार, तथा खानेपानीको महशुल, बीमा प्रिमियम, योगदानमा आधारित सामाजिक सुरक्षा कोषको रकम भुक्तानी र विद्यालयको शुल्क बराबरको रकम भुक्तानी गर्न उक्त सीमासम्बन्धी व्यवस्थाले फरक नपर्ने बताइएको छ । 

यसैगरी, विद्युतीय वालेटको माध्यमबाट गरिने कारोबारमासमेत राष्ट्र बैंकले शंसोधन तथा केही व्यवस्था थप गरेको छ । बैंक खाताबाट वालेटमा प्रतिदिन २ लाख रुपैयाँ, प्रतिमहिना १० लाख रुपैयाँ, वालेटबाट अन्य बैंक खातामा (क्यूआरसमेत) प्रतिदिन २ लाख र प्रतिमहिना १० लाख तथा एक वालेटबाट अर्को वालेटमा प्रतिदिन ५० हजार र प्रतिमहिना ५ लाख रुपैयाँ कारोबार गर्न सकिनेछ । 

विद्युतीय वालेटमा जुनसुकै माध्यम (एक भन्दा बढी बैंक वा एक भन्दा बढी वालेट समेत) बाट रकम जम्मा भएतापनि उपर्युक्त सीमा भन्दा अधिक हुन पाउने छैन ।

यद्यपि, नेपाल सरकारको सम्बन्धित कार्यालयमा भुक्तानी गर्नुपर्ने कर, राजस्व, जरिवाना, सवारी दस्तुर, रजिष्ट्रेशन तथा सेवा शुल्क जस्ता शुल्कहरू भुक्तानी गर्न, विद्युत, दूरसञ्चार, तथा खानेपानी महशुल, बीमा प्रिमियम, योगदानमा आधारित सामाजिक सुरक्षा कोषको रकम भुक्तानी, र विद्यालयको शुल्क बराबरको रकमको भुक्तानी गर्न भने उक्त सीमाले फरक नपार्ने बताइएको छ । 

युएसएसडी प्रणालीमा आधारित भुक्तानी कारोबारको अधिकतम सीमा दैनिक १० हजार रुपैयाँ र प्रतिकारोबार ५ हजार रुपैयाँ हुनेपर्ने व्यवस्था गरिएको छ । निर्देशिकामा यो व्यवस्था भने थप गरिएको हो । 

त्यस्तै, स्थायी लेखा नम्बर (प्यान) नलिएका दैनिक ५ हजार रुपैयाँ सम्मको कारोबार गर्ने प्राकृतिक व्यक्तिको हकमा आधिकारिक परिचयपत्रको आधारमा समेत निजको नाममा मर्चेन्ट क्यूआर कोड उपलब्ध गराउन सकिनेछ ।

राष्ट्र बैंकले ग्राहकहरूलाई सूचनामूलक सामग्री प्रदान गर्नुपर्ने व्यवस्था प्रत्येक कारोबार सम्पन्न भएपछि अनिवार्य रूपमा सम्बन्धित ग्राहकलाई तत्काल एसएमएसमार्फत सन्देश दिनुपर्ने, साथै ग्राहकले अन्य विद्युतीय माध्यमबाट सन्देश माग गरेमा उपलब्ध गराउनुपर्ने व्यवस्था निर्देशिकाबाट हटाएको छ । उक्त व्यवस्था ग्राहक हित संरक्षणसम्बन्धी निर्देशनमा उल्लेख गरिएको बताइएको छ । 

नयाँ निर्देशन अनुसार हाल भुक्तानी प्रणाली सञ्चालन गरिरहेका अनुमतिप्राप्त संस्थाहरूले २०८५ असार मसान्तभित्र पब्लिक लिमिटेड कम्पनीका रूपमा रूपान्तरण भइसक्नुपर्नेछ । निर्देशन लागू हुनुअघि निजी कम्पनीका रूपमा सञ्चालन भइरहेका भुक्तानी प्रणाली सञ्चालकहरूले निश्चित समयसीमाभित्र आवश्यक प्रक्रियाहरू पूरा गर्नुपर्ने  राष्ट्र बैंकले उल्लेख गरेको छ । ​​

“भुक्तानी प्रणाली सञ्चालक संस्था अनिवार्य रूपमा पब्लिक लिमिटेड कम्पनीको रूपमा दर्ता भएको हुनुपर्ने छ । यो निर्देशन जारी हुनु अघि भुक्तानी प्रणाली सञ्चालकको रूपमा कार्य गर्न अनुमतिपत्रप्राप्त संस्था २०८५ असार मसान्तभित्र पब्लिक लिमिटेड कम्पनीको रूपमा परिणत भइसक्नुपर्ने छ,”  संशोधित भुक्तानी प्रणालीसम्बन्धी एकीकृत निर्देशनमा भनिएको छ ।

यसैगरी, भुक्तानी सेवा सञ्चालन गर्ने संस्थाहरूले अब आफ्ना प्रणालीहरूको सुरक्षा सुनिश्चित गर्न डिसास्टर रिकभरी परीक्षण नियमित रूपमा गर्नुपर्नेछ। राष्ट्र बैंकले कम्तीमा प्रत्येक दुई वर्षमा एकपटक यस्तो परीक्षण गर्न अनिवार्य गरेको छ, जसको प्रतिवेदन १५ दिनभित्र राष्ट्र बैंकमा बुझाउनुपर्नेछ।

राष्ट्र बैंकले डिजिटल कारोबारको डाटा सुरक्षा पनि सुनिश्चित गर्ने गरी नयाँ प्रावधान लागू गरेको छ। अब भुक्तानी सेवाका लागि प्रयोग गरिने डाटा सेन्टर नेपाल सरकारको सूचना प्रविधि विभागबाट मान्यता प्राप्त संस्था भित्र मात्र राख्नुपर्नेछ। 

हाल प्रयोगमा रहेका डाटा सेन्टरहरू नेपाल सरकारद्वारा तोकिएको मापदण्डअनुसार सूचीकृत छन् वा छैनन् भन्ने विषय पनि भुक्तानी सेवा प्रदायकहरूले पुष्टि गर्नुपर्नेछ। नयाँ निर्देशन अनुसार हाल भुक्तानी प्रणाली सञ्चालन गरिरहेका अनुमतिप्राप्त संस्थाहरूले २०८५ असार मसान्तभित्र पब्लिक लिमिटेड कम्पनीका रूपमा रूपान्तरण भइसक्नुपर्नेछ । 

निर्देशन लागू हुनुअघि निजी कम्पनीका रूपमा सञ्चालन भइरहेका भुक्तानी प्रणाली सञ्चालकहरूले निश्चित समयसीमाभित्र आवश्यक प्रक्रियाहरू पूरा गर्नुपर्ने  राष्ट्र बैंकले उल्लेख गरेको छ । ​​

“भुक्तानी प्रणाली सञ्चालक संस्था अनिवार्य रूपमा पब्लिक लिमिटेड कम्पनीको रूपमा दर्ता भएको हुनुपर्ने छ । यो निर्देशन जारी हुनु अघि भुक्तानी प्रणाली सञ्चालकको रूपमा कार्य गर्न अनुमतिपत्रप्राप्त संस्था २०८५ असार मसान्तभित्र पब्लिक लिमिटेड कम्पनीको रूपमा परिणत भइसक्नुपर्ने छ,”  संशोधित भुक्तानी प्रणालीसम्बन्धी एकीकृत निर्देशनमा भनिएको छ ।

निर्देशन मार्फत राष्ट्र बैंकले भुक्तानी सेवा प्रदायक तथा सञ्चालकका लागि अनुमतिपत्र प्राप्त कम्पनीमाथि कडाइ गरेको छ । यसअनुसार यस्ता कारोबारमार्फत हुने शंकास्पद कारोबारको रिपोर्टिङसम्बन्धी व्यवस्था गरिएको छ ।  

अर्कोतर्फ त्यस्ता संस्थाको हक हस्तान्तरणसम्बन्धी व्यवस्थालाई कडा बनाइएको छ । यसअनुसार स्थापना भएको ५ वर्षसम्म संस्थापक सेयर बेच्न नपाउने र कुनै कारणले गर्नुपर्ने भएमा कारण खुलाएर केन्द्रीय बैंकबाट अनुमति लिनुपर्ने व्यवस्था गरिएको छ ।