统一支付接口（UPI）信息安全合规框架2025

印度国家支付公司 (NPCI) KPMG。创造不同。 目录 引言 UPI信息安全合规概述框架2025 为什么印度有KPMG前进的方向覆盖范围 引言 统一支付接口（UPI），由印度国家支付公司（NPCI）推出，允许用户将多个银行账户链接到任何成员银行提供的单个移动应用程序。它通过将多种服务（包括资金划转、商户交易和账户功能）结合到一个安全且易于使用的平台中，简化了数字银行。认识到各参与者间UPI安全标准化的重要性，NPCI已发布《UPI信息安全合规框架-2025》（以下简称‘UPI信息安全合规框架2025’). 目标 • 为寻求接入或已接入 NPCI 统一支付接口的实体概述信息安全合规要求及标准。 • 帮助构建安全可靠的 UPI生态系统。 • 帮助遵守关键网络安全原则，包括机密性、完整性、可用性、隐私和支付应用的弹性。 • 积极识别、跟踪、缓解和监督与网络安全和新兴技术相关的风险。 审计与合规义务 • 所有UPI实体必须根据框架中概述的指南进行全面的网络安全审计。 • 该审计是上岗前的活动，之后每年进行一次，必须由CERT-IN委派的审计员进行。实体需要承担审计费用。 • 如果在初始审计期间出现不合规情况，实体必须关闭所有未解决的问题，并向NPCI提交最终合规报告，报告中不能存在未解决的问题。 • 一旦提交了包含无未解决问题项的最终合规报告给NPCI，实体就可以已加入UPI生态系统。• 一旦上线，实体必须在每年的12月31日或之前提交一份年度合规报告，且报告中不得有任何未解决的问题。• 审计范围必须涵盖整个UPI基础设施和UPI应用程序，包括前端和后端。 概述UPI信息安全合规框架2025 UPI信息安全合规框架2025概述 覆盖率：治理控制 治理与监督结构 首席信息安全官问责制和独立性 策略、角色与风险关联 指定CISO• 提供一致的安全协调 • 直接 向高层领导汇报 • 独立于it运营 建立明确的政策那个： • 涵盖目标范围，所有权，结构，合规和罚金适用于所有UPI生态参与者 安全措施 / 控制措施 覆盖范围：安全措施/控件 覆盖率：运营审查 组织遵循UPI信息安全合规框架2025的路径 -与 CMMI 模型对齐 初始 定义 管理 优化 为什么印度有KPMG 法规协调帮助企业将UPI安全标准与RBI、NPCI和全球标准对齐 避免处罚的规定。 加强网络安全与风险管理协助进行欺诈风险缓解、VAPT执行和安全加密协议，以保护UPI交易。 增强业务连续性和灾难恢复指导企业在弹性基础设施规划、DR站点放置和故障转移策略方面，以防止运营受阻。 金融领域关注与印度UPI生态系统中的关键参与者合作，包括银行、第三方应用程序提供者和聚合者 . 精简审计要求协助金融机构进行审计准备和人民银行要求的提交。 我们在客户为实现监管合规所做的努力中服务他们数字支付。以下列出了所选定凭证的一个代表性清单： •普拉纳·马哈尔达尔•杰·高伊拉•马杜里·冈拉马尼•阿坎沙·古普塔 贡献者： KPMG 在印度的联系方式： 阿基莱什·图特杰头部 - 客户与市场T:+91 124 254 9191E:Atuteja@kpmg.com 阿图尔·古普塔合作伙伴和职能负责人，数字信任与网络安全：+91 98100 81050 邮箱：atulgupta@kpmg.com 库尔南·潘德合伙人，联合主管-数字风险与网络，数字信任负责人-FST:+91 98926 00676E:kpande@kpmg.com 罗姆哈什·拉兹丹合作伙伴，数字信任T:+91 99755 96366E:romharsh@kpmg.com kpmg.com/cn 访问我们关于KPMG洞察边缘的最新洞察 关注我们：kpmg.com/in/socialmedia 此处包含的信息具有普遍性，并非旨在针对任何特定个人或实体的具体情况。尽管我们尽力提供准确及时的信息，但不能保证该信息在收到时是准确的，也不能保证其未来仍然准确。在彻底审查具体情况后，任何人不应在此类信息上采取行动，而应寻求适当的职业建议。 KPMG 审计和咨询服务有限责任公司，Lodha Excelus，阿波罗纺织厂复合体，NM 乔西街，马哈拉克斯米，孟买 – 400 011 电话：+91 22 3989 6000，传真：+91 22 3983 6000。 © 2025 KPMG 审计和咨询服务有限责任合伙企业，一家印度有限责任合伙企业，也是 KPMG 国际有限公司（一家私营英文有限公司）所属的独立成员企业 KPMG 全球组织的成员企业保证。版权所有。