संदर्भ:आईआरडीएआई/एसडीडी/सीआईआर/विविध/245/09/2020 सितंबर18, 2020

Ref: IRDAI/SDD/CIR/MISC/245 /09/2020 September 18, 2020

परिपत्र / CIRCULAR

सभीजीवन औरसामान्य बीमाकर्ता(स्टैंडअलोनस्वास्थ्यबीमा सहित)

AllLife and General Insurers (Including Standalone Health Insurers)

विषय : वीडियोआधारित पहचानप्रक्रिया(वीबीआईपी)

Sub:Video Based Identification Process (VBIP)

अपनेग्राहक को जानिएकी प्रक्रियाको सरल बनानेके क्रम में, यहप्रस्ताव हैकि, इसेग्राहकअनुकूल बनाने केलिए विभिन्नइलेक्ट्रॉनिकमंचों का लाभउठाया जाए।

Inorder to simplify the process of Know Your Customer (KYC), it is proposed toleverage the various electronic platforms to make it customer friendly.

2.  बीमाकर्ताओंको एतद्वारानीचे वर्णितके अनुसार “वीडियोआधारित पहचानप्रक्रिया(वीबीआईपी) केप्रयोग कीअनुमतिप्रदान कीजाती है :

The Insurers are hereby permitted to use the “Video BasedIdentification Process (VBIP)” as described below:

3.  "वीडियोआधारित पहचानप्रक्रिया (वीबीआईपी)" पेपर रहितरूपमेंपहचान/केवाईसीकी एक पक्षान्तर(वैकल्पिक)इलेक्ट्रॉनिकप्रक्रिया हैजो बीमाकर्ता/प्राधिकृतव्यक्ति(बीमाकर्ताद्वाराप्राधिकृतव्यक्ति और प्रत्यक्षवीबीआईपीहेतु विशेषरूप सेप्रशिक्षितव्यक्ति)द्वाराग्राहक/लाभार्थीके साथनिर्बाध,सुरक्षित,वास्तविक समय,सम्मत आधारित श्रव्य-दृश्यपर परस्परचर्चा (इंटरैक्शन)करते हुए ग्राहककीसम्यकतत्परता केउद्देश्य हेतुअपेक्षित आवश्यककेवाईसीदस्तावेजों केसाथ-पहचान सूचनाप्राप्त करता हैऔरग्राहक/लाभार्थीद्वारा दी गईजानकारी की सत्यताका पता लगाताहै।

“VideoBased Identification Process (VBIP)”is an alternative (optional)electronicprocess of Identification / KYC in paperless form, carried out by the insurer/authorisedperson (person authorised by the insurer and specifically trained for face-to-faceVBIP) by undertaking seamless, secure, real-time, consent based audio-visualinteraction with the customer/beneficiary to obtain identification informationincluding the necessary KYC documents required for the purpose of client due diligenceand to ascertain the veracity of the information furnished by the customer/beneficiary.

4.   बीमाकर्ताएक एप्लिकेशनविकसित करतेहुए लाइववीबीआईपी कीशुरुआत करसकते हैं जोकेवाईसीप्रक्रिया को वीडियोके माध्यम सेऑनलाइन अथवा प्रत्यक्षव्यक्ति के सत्यापनकी सुविधाप्रदान करताहै। इसकाउपयोग उनकीसूचित सहमति प्राप्तकरने के बाद, किसीव्यक्तिविशेष ग्राहक/लाभार्थीके साथ खाताआधारित संबंध याकिसी अन्यसेवाएं कीस्थापना/निरंतरता/सत्यापनके लिए कियाजाता है, जैसीभी स्थिति हो औरयह निम्‍नलिखितनियमों का अनुपालनकरेंगे।

Insurers may undertake live VBIP bydeveloping an application which facilitates KYC process either online or face-to-face in-personverification through video. Thismay be used for establishment/continuation/ verification of an account based relationship or for any other services with anindividual customer/beneficiary, as the case may be, after obtaining his/herinformed consent and shall adhere to the following stipulations:

क)    केवाईसीहेतुवीबीआईपीकाप्रयोगकरतेसमयबीमाकर्ता/अधिकृतव्यक्ति,पहचानकेलिएउपस्थितग्राहक/लाभार्थीकीस्पष्टलाइववीडियोरिकार्डकरेंगेऔरनिम्‍नलिखितरूप में पहचानसूचनाप्राप्त करेंगे:

a)     TheInsurer/authorised person while performing the VBIP for KYC shall record clear livevideo of the customer/beneficiary present for identification and obtain theidentification information in the form as below:

                            i. आधारप्रमाणीकरण, यदिग्राहक/लाभार्थीद्वारास्वेच्छा सेप्रस्तुतकिया जाता है, तोयह धन शोधननिवारणअधिनियम(पीएमएलए) कीधारा 11 ए के अंतर्गतसरकार कीअधिसूचना केअधीन होगा।

Aadhaar Authentication ifvoluntarily submitted by the Customer/ beneficiary, subject to notification bythe government under Section 11 A of Prevention of Money-Laundering Act (PMLA)

अथवा/ or

                           ii. पहचानहेतु आधार काऑफलाइनसत्यापन, यदिग्राहक/लाभार्थीद्वारास्वेच्छा सेप्रस्तुतकिया जाता हैतो

Offline Verification of Aadhaarfor identification, if voluntarily submitted by the Customer/beneficiary

अथवाor

                          iii. ओवीडी(पीएमएलनियम 2005 केतहत नियम 2 (डी)में परिभाषित)निम्‍नलिखित तरीकेसे प्रदानकिया गया है -

OVD(As defined in rule 2(d) under PML Rules 2005) provided in the following manner-

iii (1) ओवडी डिजीटलहस्ताक्षरितदस्तावेज़ केरूप में, जो निर्गमनप्राधिकारीद्वाराडिजीलॉकर मेंजारी किए गएहो

As digitally signed document ofthe OVD, issued to the DigiLocker by the issuing authority

अथवा / or

iii (2) ई-हस्ताक्षारतंत्र केमाध्यम से,मूल ओवीडी कीस्पष्ट फोटोया स्कैनप्रति के रूपमें

As a clear photograph or scannedcopy of the original OVD, through the eSign mechanism.

ख)    बीमाकर्ता/प्राधिकृतव्यक्ति यह सुनिश्चितकरेंगे कि ऑनलाइनवीडियो स्पष्टदिखाई दे रही होऔर वीडियो मेंग्राहक/लाभार्थीके साथ प्राधिकृतव्यक्ति भी आसानीसे पहचाने जापा रहे हो औरकिसी भी रूपमें उन्होंनेअपने चेहरेढका न हो।

b)     Theinsurer/authorised person shall ensure that the online video is clear and thecustomer/beneficiary along with the authorised person in the video shall beeasily recognisable and shall not be covering their face in any manner.

ग)      ग्राहक/लाभार्थीके लाइवलोकेशन (जियोटैगिंग) कोकैप्चर (दोनोंऑनलाइन/प्रत्यश्रवीबीआईपी हेतु)किया जाएगाजिससे यहसुनिश्चितकिया जा सकेकिग्राहक/लाभार्थीभौतिक रूप सेभारत मेंउपस्थित है।

c)     Livelocation of the customer/beneficiary (Geotagging) shall be captured (both for online/face-to-face VBIP) to ensure that customer/beneficiary is physically present inIndia.

घ)      प्राधिकृतव्यक्ति/बीमाकर्तायह सुनिश्‍चितकरेंगे कि आधार/ओवीडीमेंग्राहक/लाभार्थीके फोटो औरअन्य आवश्यकविवरणवीबीआईपीहेतु उपस्थितग्राहक/लाभार्थीके साथ मेलखाते हो।

d)     Theauthorised person/ Insurer shall ensure that the photograph and other necessarydetails of the customer/beneficiary in the Aadhaar/ OVD matches with thecustomer/beneficiary present for the VBIP.

ङ)    प्राधिकृतव्यक्ति/बीमाकर्तायह सुनिश्चित करेंगेकि वीडियो परस्परचर्चा(इंटरैक्शन) केदौरान प्रश्‍नका और/अथवाप्रकार का क्रमभिन्न होंताकि यह पतालगाया जा सके किपरस्पर चर्चा(इंटरैक्शन)वास्तविक समय मेंकिया गया है औरयहपूर्व-रिकॉर्डनहीं है।

e)     Theauthorised person/ Insurer shall ensure that the sequence and/or type ofquestions during video interactions are varied in order to establish that theinteractions are real-time and not pre-recorded.

च)      एक्सएमएलफाइल अथवाआधारसुरक्षितक्यूआर कोड काप्रयोग करतेहुए आधार केऑफलाइनसत्यापन कीस्थिति, यदिग्राहक/लाभार्थीद्वारा स्वेच्छासे प्रस्तुतकिया गया हो,तो यह सुनिश्‍चितकिया जाएगा किएक्सएमएलफाइल याक्यूआर कोड नएजनरेशन (Generation) का हो औरवीबीआईपी कीगई तिथि से 3दिन से अधिकपुरानी न हो।

f)      Incase of offline verification of Aadhaar using XML file or Aadhaar Secure QRCode, if voluntarily submitted by the Customer/beneficiary, it shall be ensuredthat the generation of XML file or QR code is recent and not older than 3 daysfrom the date of carrying out VBIP.

छ)    वीबीआईपीके आधार परखोले गए सभीखाते अथवाप्रदान की गईकिसी भी सेवा कीसक्रियता बीमाकर्ताद्वारा उचित सत्यापनके अधीन होगी ताकिइसकी अखंडताकी प्रक्रियाको सुनिश्‍चितकिया जा सकेऔर यह संदिग्धसे परे हो।

g)     Allaccounts opened or any service provided based on VBIP shall be activated onlyafter being subject to proper verification by the insurer to ensure that theintegrity of process is maintained and is beyond doubt.

ज)     बीमाकर्तायह सुनिश्‍चितकरेंगे किग्राहक/लाभार्थीके साथ यहप्रक्रियानिर्बाध,वास्तविक समय,सुरक्षित,आद्योपान्तएन्क्रिप्टेड(end-to-endencrypted) श्रव्य-दृश्यपरस्पर चर्चा(इंटरैक्शन)पर हो औरसंचार कीगुणवत्ता इतनीपर्याप्त हो जिससेकिग्राहक/लाभार्थीकी पहचानसंदिग्ध सेपरे हो। बीमाकर्ताअनुरणता (Liveness) जाँच इसप्रकार करेंगेजिससे कि इसेधोखे एवं इसीप्रकार केअन्य छलपूर्णजोड़-तोड़ सेसुरक्षित रखाजा सके।

h)    Insurersshall ensure that the process is a seamless, real-time, secured, end-to-endencrypted audio-visual interaction with the customer/beneficiary and thequality of the communication is adequate to allow identification of thecustomer/ beneficiary beyond doubt. Insurers shall carry out the livelinesscheck in order to guard against spoofing and such other fraudulentmanipulations.

झ)     सुरक्षा,मजबूती औरआद्योपान्तइन्क्रिप्शनको सुनिश्चतकरने के लिए,बीमाकर्ताइसकी शुरुआतकरने से पूर्वसॉफ्टवेयर औरसुरक्षा की लेखापरीक्षा(Audit) औरवीबीआईपीएप्लिकेशन काप्रमाणीकरणमौजुदामानदंडों केअनुसार करेंगेऔर इसके बादसे समय-समय परभी करतेरहेंगे।

i)      Toensure security, robustness and end to end encryption, the insurers shall carryout software and security audit and validation of the VBIP application as perextant norms before rolling it out and thereafter from time to time.

ञ)    श्रव्य-दृश्यपरस्पर चर्चा(इंटरैक्शन)बीमाकर्ता केखुद के डोमेनसे ही सक्रिय(ट्रिगर्ड) कीजाएगी, और न कि किसीतीसरे पक्ष केसेवा प्रदाताद्वारा कीजाएगी।वीबीआईपीप्रक्रिया कासंचालनबीमाकर्ता/प्राधिकृतव्यक्तिद्वारा हीकिया जाएगा।वीबीआईपीनिष्पादितकरने वालेकार्मिक कीसूचनाओं केसाथ इसकीगतिविधि लॉगको भीसंरक्षित करेगा।

j)      Theaudio-visual interaction shall be triggered from the domain of the insurers itself,and not from third party service provider. The VBIP process shall be operated bythe Insurer/authorized persons. The activity log along with the credentials ofthe official performing the VBIP shall be preserved.

ट)      बीमाकर्तायह सुनिश्‍चितकरेंगे कि वीडियोरिकार्डिंगमें जीपीएसनिर्देशांक,दिनांक (डीडी:एमएम:वाईवाई)और समय अंकक(एचएच:एमएम:एसएस)सहित अन्यआवश्यक विवरणहो, जिससे किइसे धनशोधन निवारण(पीएमएस)विनियम केअनुसारसुरक्षित औरसकुशल ढंग सेसंग्रहितकिया जा सके।

ऑनलाइनवीबीपीआई काप्रयोग करतेसमय,बीमाकर्ताअतिरिक्तसावधानी बरतेंगेऔर अतिरिक्‍तआवश्य विवरण जैसेआईपी पता आदि बीमाकर्ताद्वारासंरक्षित कियाजाएगा ताकिआवश्यकतापढ़ने पर इसेसाक्ष्य केरूप में पुष्टिकी जा सके।

k)    Insurersshall ensure that the video recording bears the GPS coordinates, date (DD:MM:YY)and time stamp (HH:MM:SS) along with other necessary details, which shall bestored in a safe and secure manner as per Prevention of Money-Laundering (PML)Rules.

While exercising Online VBIP, theInsurer shall exercise extra caution and the additional necessary details viz.IP address etc. shall be preserved by the insurer to substantiate the evidenceat the time of need.

ठ)     बीमाकर्ताओंको नवीनतमउपलब्धप्रौद्योगिकी(कृत्रिम बौद्धिकता(एआई) और चेहरेमिलानप्रौद्योगिकियाँआदि) कीसहायता लेनेके लिएप्रोत्साहितकिया जाना चाहिएताकिग्राहक/लाभार्थीद्वाराप्रस्तुत कीगई सूचना कीगोपनीयता केसाथ-साथइसकी अखंडताकी प्रक्रियाको सुदृढ़ औरसुनिश्चितकिया जा सके। हालांकि,पहचान की जिम्मेदारीबीमाकर्ता केपास होगी।

l)      Insurersare encouraged to take assistance of the latest available technology (includingArtificial Intelligence (AI) and face matching technologies etc.) to strengthenand ensure the integrity of the process as well as the confidentiality of the informationfurnished by the customer/beneficiary. However, the responsibility ofidentification shall rest with the insurer.

ड)     बीमाकर्ताके प्राधिकृतव्यक्ति केवलग्राहक/लाभार्थीके लिए प्रत्यक्षवीबीआईपीप्रक्रिया की सुविधाप्रदानकरेंगे।

हालांकि,ग्राहककी सम्यकतत्परता कीजाँच की अंतिमजिम्मेदारीबीमाकर्ता केपास होगी।

m)   Authorizedperson of the insurer shall facilitate face to face VBIP processonly at the customer/beneficiary end.

However, the ultimate responsibility forclient due diligence will be with the insurer.

ढ)      बीमाकर्तासंबंधितप्राधिकृतव्यक्ति केविवरण कारखरखाव करेंगे,जो वीबीआईपीके कार्य को देखरहे हैं।

n)    Insurershall maintain the details of the concerned Authorised person,who is facilitating the VBIP.

ण)     बीमाकर्तामौजुदापीएमएलविनियम केअनुसार आधारसंख्या कोसंशोधित अथवानिष्प्रदीपकरनासुनिश्चितकरेंगे।

o)     Insurersshall ensure to redact or blackout the Aadhaar number as per extant PML Rules.

त)      बीमाकर्तासमय-समय पर संशोधितआईआरडीएआईसाइबरसुरक्षादिशा-निर्देशके साथ-साथअनुबंध – I मेंउल्लिखितआवश्यकसुरक्षाविशेषताएं और मानकका अनुपालनकरेंगे।

p)     Insurerwill adhere to the IRDAI Cyber security guidelines as amendedfrom time-to-time along with the necessary security features and standard asmentioned in Annexure – I

पुनः यहदोहराया जाताहै कि, यहबीमाकर्ताओंकीजिम्मेदारीहोगी कि वेउपरोक्तदिशानिर्देशका अनुपालनपूरी निष्ठाके साथ करें।

It is emphasized once again thatit shall be the responsibility of the insurers that the above guideline is followedscrupulously.

कोईमामला जिसकाउल्लेख विशेषरूप से यहनहीं किया गयाहै, परंतुमौजुदापीएमएलए/आधारअधिनियम/सूचनाप्रौद्योगिकीअधिनियम आदिके तहतअनिवार्य हैऔर भारत केकेंद्र सरकारद्वारा इसकेलिए बनाए गएनियम का अनुपालनभी तदुनुसारकरना होगा।

Anymatter not specifically mentioned herein, but mandated under the extant PMLA/Aadhaar Act / Information Technology Act etc. and Rules framed there under bythe Central Government of India shall be complied with accordingly.

सदस्य(जीवन) / Member(Life)

अनुबंध / Annexure I

1.   वीडियोकेवाईसीएप्लिकेशन औरसंबंधित एपीआई/वेबसेवाओं को सूचीबद्धविक्रेता के सीईआरटी-इनके माध्यम सेएप्लिकेशनसुरक्षा परीक्षण(दोनों ग्रेबॉक्स औरव्हाइट बॉक्स)से गुज़रनाहोगा और प्रस्तुतिमें जाने सेपूर्व सभीसूचित भेद्यताको दूर करनाहोगा।

The Video KYC application and relatedAPIs/Web Services shall undergo application security testing (both gray box andwhite box) through an CERT-In empanelled vendor and all reportedvulnerabilities shall be mitigated before moving into production.

2.   वीडियोकेवाईसीएप्लिकेशन कोहोस्टिंग करनेके लिए प्रयोगकिए जाने वालेआधारभूतसंरचना केघटकों को सूचीबद्धविक्रेता के सीईआरटी-इनके माध्यम सेभेद्यता आकलनऔर सुरक्षितविन्याससमीक्षा सेगुज़रना होगा औरप्रस्तुतिमें जाने सेपूर्व सूचितसभी भेद्यताको दूर करनाहोगा।

The infrastructure components used forhosting Video KYC application shall undergo vulnerability assessment and secureconfiguration review through an CERT-In empanelled vendor and all reportedvulnerabilities shall be mitigated before moving into production.

3.    ग्राहक/लाभार्थीसे लेकर वीडियोकेवाईसीएप्लिकेशन केहोस्टिंगप्वाइंट तक यहआद्योपान्तएन्क्रिप्शनके अंतर्गतहोगा।एन्क्रिप्शनके लिए एईएस 256जैसे न्यूनतम एन्क्रिप्शनमानकों और कीलैंथ काप्रयोग कियाजाएगा।

There shall be an end-to-end encryption fromthe customer/beneficiary to the hosting point of the Video KYC application. Theminimum encryption standards and key lengths like AES 256 for encryption shouldbe used.

4.   अगरवीडियोकेवाईसीएप्लिकेशन औरवीडियो रिकार्डिंगतीसरे पक्ष केस्थान और अथवाक्लाउड परस्थित है तोतीसरे पक्ष कास्थान और अथवाक्लाडहोस्टिंग कास्थान भारतमें होगा।

If the Video KYC application and videorecordings are located at a third party location and/or in Cloud then the thirdparty location and/or cloud hosting location shall be in India.