RBI ने जनवरी 1, 2022 से अंतिम सर्कुलर मेकिंग कार्ड (CC/DC) टोकनाइजेशन जारी किया है. ऑनलाइन प्रोडक्ट खरीदते समय, हमें अक्सर ई-कॉमर्स प्लेटफॉर्म पर अपने क्रेडिट या डेबिट कार्ड विवरण को स्टोर करने के लिए मजबूर किया जाता है. इसकी सुरक्षा सुनिश्चित करने के लिए- RBI ने टोकनाइजेशन के लिए दिशानिर्देश जारी किए.
कार्ड टोकनाइज़ेशन क्या है?
कार्ड टोकनाइजेशन एक टोकन सर्विस प्रोवाइडर द्वारा एल्गोरिदमिक रूप से जनरेट किए गए टोकन (एनक्रिप्टेड) के साथ संवेदनशील कस्टमर डेटा (जैसे कि कार्ड नंबर, सीवीवी आदि) को प्रतिस्थापित करने की एक प्रक्रिया है, जो कार्ड जारीकर्ता या भुगतान नेटवर्क हो सकता है. टोकन कस्टमर के विवरण को बताए बिना या कस्टमर डेटा स्टोर करने के भुगतान मध्यस्थ (मर्चेंट, भुगतान एग्रीगेटर) को अनुमति देने के सुरक्षित तरीके से भुगतान सिस्टम के माध्यम से प्रवाहित होता है. यह मुख्य रूप से ग्राहक डेटा सुरक्षा/सुरक्षा सुनिश्चित करने और धोखाधड़ी/हैक की बढ़ती घटनाओं को रोकने के लिए है. मर्चेंट/पेमेंट गेटवे द्वारा पहले से स्टोर किए गए किसी भी डेटा (कार्ड-ऑन-फाइल) को मिटाना होगा.
जब कोई कस्टमर अपने कार्ड का उपयोग करता है और टोकनाइजेशन आधारित प्रमाणीकरण सर्वर पर ट्रांज़ैक्शन करता है, तो यहां क्या होता है:
- क्रेडिट/डेबिट कार्ड का उपयोग POS मशीन या ई-कॉमर्स मार्केट प्लेस पर किया जाता है
- क्रेडिट कार्ड नंबर टोकनाइजेशन सिस्टम में ट्रांसफर किया जाता है
- टोकनाइजेशन सिस्टम मूल क्रेडिट कार्ड नंबर को बदलने के लिए 16 रैंडम कैरेक्टर भी बनाता है, जिन्हें 'टोकन' भी कहा जाता है
- टोकनाइजेशन सिस्टम कस्टमर के क्रेडिट कार्ड नंबर को सिस्टम में बदलने के लिए ई-कॉमर्स साइट पर नए जनरेटेड 16 अंकों के रैंडम कैरेक्टर रिटर्न करता है.
उदाहरण के लिए, कार्ड नंबर (उदाहरण): 5931 9212 3933 3391, टोकन नंबर में बदला जाएगा: 4321 2365 4545 2111.
टोकनाइजेशन के प्रकार
कार्ड-ऑन-फाइल टोकनाइजेशन या PCI टोकनाइजेशन-
इस प्रकार के टोकनाइज़ेशन के साथ, रिकरिंग भुगतान के लिए ऑनलाइन अपने भुगतान के दौरान कार्ड नंबर या UPI हैंडल को सेव किया जा सकता है. उदाहरण के लिए, आपके पसंदीदा मार्केटप्लेस/OTT सब्सक्रिप्शन, जहां आप हर बार अपना भुगतान क्रेडेंशियल नहीं दर्ज करते हैं. इसके साथ, आप कार्ड-नॉट-प्रेजेंट ट्रांज़ैक्शन कर सकते हैं. PCI DSS के दिशानिर्देशों को पूरा करने के लिए मर्चेंट, पेमेंट एग्रीगेटर, पेमेंट गेटवे या वीज़ा और मास्टरकार्ड जैसे नेटवर्क द्वारा ऐसा टोकनाइजेशन किया जा सकता है. सभी क्षेत्रों में टोकनाइजेशन विकल्प मौजूद नहीं हो सकते हैं, उदाहरण भारत में RBI द्वारा उन संस्थाओं पर प्रतिबंध लगाए जाते हैं जो भुगतान क्रेडेंशियल स्टोर/टोकनाइज़ कर सकते हैं.
वैश्विक रूप से लोकप्रिय ओटीटी प्लेटफॉर्म और नेटफ्लिक्स या अमेज़न जैसे मार्केटप्लेस आपके संवेदनशील डेटा को टोकनाइज़ कर सकते हैं. किसी भी मामले में, अभी भी आपके कार्ड के अंतिम 4 अंक देख सकते हैं, लेकिन अन्य पार्टी केवल टोकनाइज्ड अंक देखेगी. वैश्विक स्तर पर मर्चेंट या मार्केटप्लेस नेटवर्क आधारित टोकनाइजेशन के लिए धीरे-धीरे अपनाने के साथ अपने प्रोप्राइटरी टोकन प्रणाली का उपयोग करते हैं.
डिवाइस टोकनाइजेशन-
डिवाइस टोकनाइजेशन अभी भी भारत में एक प्रारंभिक चरण पर है, जो जन दत्तक लेने की प्रतीक्षा कर रहा है. यह टोकनाइजेशन नेटवर्क प्रदाताओं द्वारा किया जाता है जबकि टोकन मोबाइल डिवाइस पर सेव किया जाता है, जैसे Samsung Pay, Apple Pay, Android Pay आदि. NFC या SE टेक्नोलॉजी का उपयोग करके.
आरबीआई टोकनाइजेशन क्यों लागू कर रहा है?
सेंट्रल बैंक ने कहा कि कार्ड भुगतान ट्रांज़ैक्शन चेन स्टोर में शामिल कई संस्थाएं अपने यूज़र के वास्तविक कार्ड विवरण (जिसे कार्ड-ऑन-फाइल (CoF) के रूप में भी जाना जाता है).
वास्तव में, कुछ मर्चेंट अपने ग्राहकों को कार्ड विवरण स्टोर करने के लिए मजबूर करते हैं. बड़ी संख्या में मर्चेंट के साथ ऐसे विवरण की उपलब्धता से कार्ड डेटा चोरी होने का जोखिम बढ़ जाता है.
हाल ही में, ऐसी घटनाएं हुई जिनमें कुछ मर्चेंट द्वारा स्टोर किया गया कार्ड डेटा समझौता/लीक किया गया है. CoF डेटा की किसी भी लीकेज में गंभीर प्रतिक्रियाएं हो सकती हैं क्योंकि कई अधिकारिता के लिए कार्ड ट्रांज़ैक्शन के लिए AFA की आवश्यकता नहीं होती है. चोरी हुई कार्ड डेटा का उपयोग सोशल इंजीनियरिंग तकनीकों के माध्यम से भारत के भीतर धोखाधड़ी करने के लिए भी किया जा सकता है.
इससे कैसे मदद मिलती है?
सुरक्षा बढ़ाने के उपाय के रूप में टोकनाइजेशन का इस्तेमाल कई देशों में किया जाता है, जिनमें उत्तर अमेरिका, एशिया और चुनिंदा रूप से भारत में भी किया जाता है. एच डी एफ सी बी, आई सी आई सी आई और एस बी आई सी के पास पहले से ही ऑनलाइन ट्रांज़ैक्शन के लिए कार्ड टोकनाइजेशन सिस्टम है, जबकि कुछ खिलाड़ियों के पास कॉन्टैक्टलेस NFC भुगतान के लिए डिवाइस आधारित टोकनाइजेशन (SBIC के साथ Samsung) है. ओन टोकन जनरेटिंग इंजन बनाने/उपयोग करने के बजाय, भुगतान नेटवर्क (वीजा/मास्टरकार्ड) इंजन का उपयोग करना अधिक लागत-कुशल और तकनीकी रूप से उन्नत होगा और मर्चेंट की स्वीकृति होगी.
Card tokenization is mainly for online transactions, for which, effective January 1, 2022, customers will have to key-in the card number for the first time (as the stored number will be erased) and complete the transaction via a two-factor authentication. बैक-एंड में, मर्चेंट द्वारा कार्ड जारीकर्ता/नेटवर्क पार्टनर के साथ टोकन जनरेट किया जाएगा, जिसके आधार पर ट्रांज़ैक्शन पूरा किया जाएगा. अगली बार कस्टमर कार्ड के अंतिम चार अंकों के साथ कार्ड भुगतान विकल्प देखेगा और पहले होने के कारण भुगतान आसानी से पूरा हो जाएगा. हालांकि, ऑपरेशनल विवरण अभी भी बाहर नहीं हैं, जिसमें वैधता, प्रति मर्चेंट टोकन की संख्या, रिफ्रेशमेंट दर आदि शामिल हैं.
असर
कार्ड का अनिवार्य टोकनाइज़ेशन और प्रारंभिक चरण में कस्टमर की असुविधा का परिणामस्वरूप कार्डधारकों को कम मूल्य वाले ऑनलाइन कार्ड भुगतान करने से रोक सकता है और उन्हें UPI और वॉलेट जैसे अन्य भुगतान माध्यमों में डाल सकता है. हालांकि, यह ऑनलाइन ट्रांज़ैक्शन में सुरक्षा संबंधी समस्याओं को कम करेगा; इसलिए, यह कार्ड इंडस्ट्री के लिए एक लॉन्ग-टर्म पॉजिटिव होगा. उसने कहा, कार्ड कंपनियों को भुगतान व्यवसाय में अपने हिस्से को सुरक्षित रखने के लिए आसान टोकनाइजेशन प्रक्रिया सुनिश्चित करते समय ग्राहकों को शामिल करना होगा और शिक्षित करना होगा.