RBI ने जनवरी 1, 2022 से एक फाइनल सर्कुलर मेकिंग कार्ड (CC/DC) टोकनाइज़ेशन जारी किया है. ऑनलाइन प्रोडक्ट खरीदते समय, हमें अक्सर ई-कॉमर्स प्लेटफॉर्म पर अपने क्रेडिट या डेबिट कार्ड के विवरण को स्टोर करने के लिए मजबूर किया जाता है. इसकी सुरक्षा सुनिश्चित करने के लिए- RBI ने टोकनाइज़ेशन के लिए दिशानिर्देश जारी किए हैं.
कार्ड टोकनाइज़ेशन क्या है?
कार्ड टोकनाइज़ेशन, टोकन सेवा प्रदाता द्वारा एल्गोरिथ्मिक रूप से जनरेट किए गए टोकन (एन्क्रिप्टेड) के साथ संवेदनशील ग्राहक डेटा (जैसे कार्ड नंबर, सीवीवी आदि) को बदलने की एक प्रक्रिया है, जो कार्ड जारीकर्ता या भुगतान नेटवर्क हो सकते हैं. कस्टमर के विवरण प्रकट किए बिना या भुगतान मध्यस्थों (मर्चेंट, भुगतान एग्रीगेटर) को कस्टमर डेटा स्टोर करने की अनुमति दिए बिना सुरक्षित तरीके से भुगतान सिस्टम के माध्यम से टोकन फ्लो. यह मुख्य रूप से कस्टमर डेटा की सुरक्षा/सुरक्षा सुनिश्चित करने और धोखाधड़ी/हैक की बढ़ती घटनाओं को रोकने के लिए है. मर्चेंट/पेमेंट गेटवे द्वारा पहले स्टोर किए गए किसी भी डेटा (कार्ड-ऑन-फाइल) को मिटाना होगा.
यहां क्या होता है जब कोई ग्राहक अपने कार्ड का उपयोग करता है और टोकनाइज़ेशन-आधारित प्रमाणीकरण सर्वर पर लेन-देन करता है:
- क्रेडिट/डेबिट कार्ड का उपयोग पीओएस मशीन या ई-कॉमर्स मार्केट प्लेस पर किया जाता है
- क्रेडिट कार्ड नंबर को टोकनाइज़ेशन सिस्टम में ट्रांसफर किया जाता है
- टोकनाइज़ेशन सिस्टम 16 रैंडम कैरेक्टर जनरेट करता है, जिसे 'टोकन' भी कहा जाता है, ताकि मूल क्रेडिट कार्ड नंबर को बदल सके
- टोकनाइज़ेशन सिस्टम सिस्टम में कस्टमर के क्रेडिट कार्ड नंबर को बदलने के लिए ई-कॉमर्स साइट पर नए जनरेट किए गए 16 अंकों के रैंडम कैरेक्टर का रिटर्न करता है.
उदाहरण के लिए, कार्ड नंबर (उदाहरण): 5931 9212 3933 3391, को टोकन नंबर पर बदल दिया जाएगा: 4321 2365 4545 2111.
टोकनाइज़ेशन के प्रकार
कार्ड-ऑन-फाइल टोकनाइज़ेशन या PCI टोकनाइज़ेशन-
इस प्रकार के टोकनाइज़ेशन के साथ, रिकरिंग भुगतान के लिए ऑनलाइन भुगतान के दौरान चुनने पर कार्ड नंबर या UPI हैंडल सेव किया जा सकता है. उदाहरण के लिए, आपके पसंदीदा मार्केटप्लेस/ओटीटी सब्सक्रिप्शन, जहां आप हर बार अपना भुगतान क्रेडेंशियल दर्ज नहीं करते हैं. इसके साथ, आप कार्ड-नॉट-प्रेजेंट ट्रांज़ैक्शन कर सकते हैं. पीसीआई डीएसएस दिशानिर्देशों को पूरा करने के लिए मर्चेंट, पेमेंट एग्रीगेटर, पेमेंट गेटवे या वीजा और मास्टरकार्ड जैसे नेटवर्क द्वारा ऐसा टोकनाइज़ेशन किया जा सकता है. सभी टोकन विकल्प सभी क्षेत्रों में मौजूद नहीं हो सकते हैं, उदाहरण के लिए भारत में आरबीआई द्वारा ऐसी संस्थाओं पर प्रतिबंध लगाए गए हैं जो भुगतान क्रेडेंशियल को स्टोर/टोकनाइज़ कर सकते हैं.
वैश्विक स्तर पर लोकप्रिय ओटीटी प्लेटफॉर्म और नेटफ्लिक्स या अमेज़न जैसे मार्केटप्लेस आपके संवेदनशील डेटा को टोकनाइज़ कर सकते हैं. किसी भी मामले में, अभी भी आपके कार्ड के अंतिम 4 अंक देखने में सक्षम होंगे, लेकिन किसी अन्य पार्टी को केवल टोकनाइज्ड अंक दिखाई देंगे. जबकि वैश्विक स्तर पर मर्चेंट या मार्केटप्लेस नेटवर्क आधारित टोकन के लिए धीरे-धीरे अपनाने के साथ अपने प्रोप्राइटरी टोकन तंत्र का उपयोग करते हैं.
डिवाइस टोकनाइज़ेशन-
डिवाइस टोकनाइज़ेशन अभी भी भारत में एक शुरुआती चरण में है, जो मास अडॉप्शन की प्रतीक्षा कर रहा है. यह टोकनाइज़ेशन नेटवर्क प्रदाताओं द्वारा किया जाता है, जब टोकन मोबाइल डिवाइस पर सेव किया जाता है, जैसे कि NFC या SE टेक्नोलॉजी का उपयोग करके Samsung Pay, Apple Pay, Android Pay आदि.
RBI टोकनाइज़ेशन क्यों लागू कर रहा है?
केंद्रीय बैंक ने कहा कि कार्ड भुगतान लेन-देन चेन में शामिल कई संस्थाएं अपने उपयोगकर्ताओं के वास्तविक कार्ड विवरण (जिसे कार्ड-ऑन-फाइल (CoF) भी कहा जाता है) स्टोर करती हैं.
वास्तव में, कुछ मर्चेंट अपने कस्टमर को कार्ड विवरण स्टोर करने के लिए बाध्य करते हैं. बड़ी संख्या में मर्चेंट के साथ ऐसे विवरणों की उपलब्धता कार्ड डेटा चोरी होने का जोखिम काफी बढ़ाती है.
हाल ही में, ऐसी घटनाएं थीं, जहां कुछ मर्चेंट द्वारा स्टोर किए गए कार्ड डेटा से समझौता/लीक हो गए हैं. CoF डेटा के किसी भी लीकेज के गंभीर परिणाम हो सकते हैं क्योंकि कई अधिकार क्षेत्रों में कार्ड ट्रांज़ैक्शन के लिए AFA की आवश्यकता नहीं होती है. सोशल इंजीनियरिंग तकनीकों के माध्यम से भारत में धोखाधड़ी करने के लिए चोरी हुए कार्ड डेटा का भी उपयोग किया जा सकता है.
यह कैसे मदद करता है?
सुरक्षा बढ़ाने के उपाय के रूप में टोकनाइज़ेशन का उपयोग कई देशों में किया जाता है, जिसमें उत्तर अमेरिका, एशिया और चुनिंदा भारत में भी किया जाता है. एच डी एफ सी बी, आई सी आई सी आई और एस बी आई सी के पास ऑनलाइन ट्रांज़ैक्शन के लिए पहले से ही कार्ड टोकनाइज़ेशन सिस्टम है, जबकि कुछ खिलाड़ियों के पास कॉन्टैक्टलेस एनएफसी भुगतान के लिए डिवाइस-आधारित टोकनाइज़ेशन (सैमसंग के साथ एस बी आई सी) है. अपने टोकन जनरेट करने वाले इंजन बनाने/उपयोग करने के बजाय, भुगतान नेटवर्क' (वीज़ा/मास्टरकार्ड) इंजन का उपयोग करना अधिक लागत-कुशल और तकनीकी रूप से उन्नत होगा और मर्चेंट की स्वीकृति होगी.
कार्ड टोकनाइज़ेशन मुख्य रूप से ऑनलाइन ट्रांज़ैक्शन के लिए है, जिसके लिए, जनवरी 1, 2022 से प्रभावी, कस्टमर को पहली बार की-इन कार्ड नंबर (जैसा कि स्टोर किया गया नंबर मिटाया जाएगा) और टू-फैक्टर ऑथेंटिकेशन के माध्यम से ट्रांज़ैक्शन पूरा करना होगा. बैक-एंड पर, कार्ड जारीकर्ता/नेटवर्क पार्टनर के साथ मर्चेंट द्वारा एक टोकन जनरेट किया जाएगा, जिसके आधार पर ट्रांज़ैक्शन पूरा हो जाएगा. अगली बार कस्टमर को कार्ड के अंतिम चार अंकों के साथ कार्ड भुगतान विकल्प दिखाई देगा और भुगतान पहले के उपयोग के अनुसार आसानी से पूरा हो जाएगा. हालांकि, ऑपरेशनल विवरण अभी भी बाहर नहीं हैं, जिसमें वैधता, प्रति मर्चेंट टोकन की संख्या, रिफ्रेशमेंट दर आदि शामिल हैं.
प्रभाव
कार्ड का अनिवार्य टोकनाइज़ेशन और प्रारंभिक चरण में कस्टमर की असुविधा से कार्डधारकों को कम वैल्यू वाले ऑनलाइन कार्ड भुगतान करने से रोक सकता है और उन्हें UPI और वॉलेट जैसे अन्य भुगतान माध्यमों में धकेल सकता है. हालांकि, यह ऑनलाइन ट्रांज़ैक्शन में सुरक्षा संबंधी चिंताओं को कम करेगा; इस प्रकार, यह कार्ड इंडस्ट्री के लिए लॉन्ग-टर्म पॉजिटिव होगा. उसने कहा, कार्ड कंपनियों को भुगतान बिज़नेस में अपने हिस्से की सुरक्षा के लिए आसान टोकनाइज़ेशन प्रोसेस सुनिश्चित करते हुए ग्राहकों को शामिल करना होगा और शिक्षित करना होगा.
