आरबीआई/2018-19/103
डीपीएसएस.सीओ.पीडी.सं.1463/02.14.003/2018-19
08 जनवरी 2019
मुख्य कार्यपालक अधिकारी / अध्यक्ष
सभी प्राधिकृत कार्ड भुगतान नेटवर्क
महोदया / महोदय,
टोकनाइजेशन - कार्ड ट्रांजैक्शन
कार्ड लेन-देन की सुरक्षा में सुधार करने के प्रयासों को जारी रखते हुए, भारतीय रिजर्व बैंक ने एक विशिष्ट उपयोग के लिए कार्ड लेन-देन में टोकनाइजेशन के लिए कार्ड नेटवर्कों को अनुमति प्रदान कर दी थी।
2. अब यह निर्णय लिया गया है कि प्राधिकृत कार्ड भुगतान नेटवर्कों को किसी भी टोकन अनुरोधकर्ता (अर्थात तीसरे पक्ष के एप प्रदाता) को अनुबंध-1 में दी गई शर्तों के अधीन कार्ड टोकनाइज़ेशन सेवाएँ उपलब्ध कराने की अनुमति प्रदान की जाए। यह अनुमति सभी उपयोग मामलों / चैनलों [उदाहरणार्थ नियर फील्ड कम्युनिकेशन (एनएफ़सी) / मैग्नेटिक सिक्योर ट्रांसमिशन (एमएसटी) आधारित संपर्क रहित लेनदेन, इन-ऐप भुगतान, क्यूआर कोड-आधारित भुगतान इत्यादि] अथवा टोकन भंडारण तंत्र (क्लाउड, सेक्योर एलीमेंट, ट्रस्टेड एक्ज़ीक्यूशन एनवायरमेंट इत्यादि) पर लागू होगी । वर्तमान में यह सुविधा केवल मोबाइल फोन / टैबलेट के माध्यम से दी जाएगी। अन्य उपकरणों में इसे उपलब्ध कराए जाने के संबंध में समीक्षा प्राप्त अनुभव के आधार पर बाद में की जाएगी।
3. प्रमाणीकरण के अतिरिक्त कारक (एएफ़ए) / पिन प्रविष्टि के लिए अधिदेश सहित कार्ड लेन-देन की सुरक्षा के संबंध में भारतीय रिज़र्व बैंक के सभी विद्यमान अनुदेश टोकनाइज्ड कार्ड लेनदेन पर भी लागू होंगे।
4. कार्ड लेन-देन से संबंधित अन्य सभी अनुदेश टोकनाइज्ड कार्ड लेन-देन पर भी लागू होंगे । प्रदान की गई कार्ड टोकनाइजेशन सेवाओं के संबंध में अंतिम उत्तरदायित्व प्राधिकृत कार्ड नेटवर्कों के ऊपर होगा।
5. इस सेवा का लाभ उठाने के लिए ग्राहक से कोई शुल्क नहीं लिया जाना चाहिए।
6. कार्ड टोकनाइज़ेशन सेवाओं को प्रदान करने से पूर्व प्राधिकृत कार्ड भुगतान नेटवर्कों को ग्राहकों को कार्ड टोकनाइज़ेशन सेवाएं प्रदान करने में सम्मिलित सभी संस्थाओं के लिए बार-बार किए जाने वाले सतत अंतरालों पर अथवा कम से कम वर्ष में एक बार किए जाने वाले आवधिक अंतराल पर आवधिक प्रणालीगत लेखा परीक्षा के लिए एक तंत्र की स्थापना करनी होगी। यह प्रणालीगत लेखा परीक्षा भारतीय कंप्यूटर आपातकालीन प्रतिक्रिया दल (सीईआरटी-इन) के सूचीबद्ध लेखा परीक्षकों द्वारा की जाएगी और प्रणालीगत लेखा परीक्षा के संबंध में भारतीय रिजर्व बैंक के सभी संबंधित अनुदेशों का भी पालन किया जाएगा। इस लेखा परीक्षा रिपोर्ट की एक प्रति अनुबंध 1 में सूचीबद्ध शर्तों से विचलन, यदि कोई हो, के साथ उनके अनुपालन पर लेखा परीक्षकों की टिप्पणियों के साथ भारतीय रिजर्व बैंक के समक्ष प्रस्तुत की जाएगी। इसके अलावा, अनुबंध 2 में दिए गए विवरण पर एक रिपोर्ट मासिक अंतराल पर मुख्य महाप्रबंधक, भारतीय रिज़र्व बैंक, भुगतान और निपटान प्रणाली विभाग, केंद्रीय कार्यालय, मुंबई को प्रस्तुत की जाए और इसे ईमेल द्वारा भी भेजा जाए।
7. यह निर्देश भुगतान और निपटान प्रणाली अधिनियम, 2007 (2007 का अधिनियम 51) की धारा 18 के साथ पठित धारा 10 (2) के अंतर्गत जारी किया गया है।
भवदीय,
(पी.वासुदेवन)
मुख्य महाप्रबंधक
संलग्नक: यथोक्त
अनुबंध 1
(डीपीएसएस.सीओ.पीडी.सं.1463/02.14.003/2018-19 दिनांक 08 जनवरी 2019)
कार्ड टोकनाइज़ेशन सेवाएँ
टोकनाइज़ेशन का आशय है वास्तविक कार्ड विवरणों को एक विशिष्ट वैकल्पिक कोड जिसे "टोकन" कहते हैं, से प्रतिस्थापित करना जो कार्ड, टोकन अनुरोधकर्ता और डिवाइस (इसके बाद इसे "आइडेंटीफाइड डिवाइस" के रूप में संदर्भित किया जाएगा) के संयोजन के लिए विशिष्ट होगा ।
शर्तेँ
टोकनाइजेशन – डी- टोकनाइजेशन सेवा
i. टोकनाइजेशन और डी-टोकनाइजेशन केवल प्राधिकृत कार्ड नेटवर्क द्वारा किया जाएगा और मूल प्राथमिक खाता संख्या (पैन) की रिकवरी केवल प्राधिकृत कार्ड नेटवर्क के लिए ही संभव होगी। इस बात को सुनिश्चित करने के लिए पर्याप्त सुरक्षा उपाय किए जाएंगे कि कार्ड नेटवर्क को छोड़कर किसी के भी द्वारा पैन से टोकन और टोकन से पैन का पता न लगाया जा सके। टोकन सृजन की प्रक्रिया की गोपनीयता हर समय सुनिश्चित की जाएगी।
ii. टोकनाइजेशन और डी-टोकनाइजेशन के अनुरोध कार्ड नेटवर्क द्वारा किए जाने चाहिए और ये पुनः प्राप्ति के लिए उपलब्ध होने चाहिए, यदि आवश्यकता हो तो।
iii. वास्तविक कार्ड डेटा, टोकन और अन्य प्रासंगिक विवरण सुरक्षित मोड में संग्रहीत किए जाएंगे। टोकन अनुरोधकर्ता पैन या अन्य कोई कार्ड संबंधी विवरण संग्रहीत नहीं करेंगे।
कार्ड जारीकर्ता / अधिग्राहकों, टोकन अनुरोधकर्ताओं और उनके ऐप इत्यादि की प्रणालियों का प्रमाणन
iv. कार्ड नेटवर्क टोकन अनुरोधकर्ता को निम्नलिखित के लिए प्रमाणित करवाएगा (क) टोकन अनुरोधकर्ता की प्रणालियों के लिए जिसमें इस प्रयोजनार्थ स्थापित किया गया हार्डवेयर भी शामिल है (ख) टोकन अनुरोधकर्ता की एप्लीकेशन की सुरक्षा (ग) आइडेंटीफाइड डिवाइस पर टोकन अनुरोधकर्ता के ऐप को प्राधिकृत एक्सेस सुनिश्चित करने की विशेषताएँ, और (घ) टोकन अनुरोधकर्ता द्वारा किए गए अन्य कार्य, जिसमें ग्राहक ऑन-बोर्डिंग, टोकन प्रावधान और भंडारण, डेटा भंडारण, लेनदेन प्रोसेसिंग इत्यादि शामिल हैं।
v. कार्ड नेटवर्क, कार्ड जारीकर्ताओं / अधिग्राहकों, उनके सेवा प्रदाताओं और भुगतान लेनदेन श्रृंखला में शामिल किसी अन्य संस्था को उनके द्वारा टोकनाइज्ड कार्ड लेनदेन की प्रोसेसिंग के लिए किए गए परिवर्तनों के संबंध में प्रमाणित करवाएँगे।
vi. कार्ड नेटवर्क द्वारा किए जाने वाले सभी प्रमाणन / सुरक्षा परीक्षण अंतरराष्ट्रीय सर्वोत्तम प्रथाओं / विश्व स्तर पर स्वीकृत मानकों के अनुरूप होंगे।
ग्राहक द्वारा पंजीकरण
vii. टोकन अनुरोधकर्ता के ऐप पर कार्ड का पंजीकरण केवल प्रमाणीकरण के अतिरिक्त कारक (एएफए) के माध्यम ग्राहक की स्पष्ट सहमति से किया जाएगा, न कि चेक बॉक्स, रेडियो बटन इत्यादि को अनिवार्य रूप से / डिफ़ॉल्ट / स्वचालित चयन के माध्यम से।
viii. कार्ड पंजीकरण के साथ ही साथ किसी भी लेन-देन को प्रमाणित करने के दौरान एएफ़ए सत्यापन, कार्ड लेनदेन के प्रमाणीकरण के लिए भारतीय रिज़र्व बैंक के अनुदेशों के अनुसार ही होगा।
ix. ग्राहकों के पास किसी विशेष उपयोग के मामले में अर्थात संपर्क रहित, क्यूआर कोड आधारित, इन-ऐप भुगतान इत्यादि के संबंध में अपने कार्ड को पंजीकृत करने / पंजीकरण समाप्त करने का विकल्प होगा।
x. ग्राहकों को टोकनाइज्ड कार्ड लेन-देन के लिए प्रति लेनदेन और दैनिक लेनदेन सीमाओं को निर्धारित करने और संशोधित करने का विकल्प दिया जाएगा।
xi. टोकनाइज्ड कार्ड लेन-देन के लिए कार्ड जारीकर्ता / कार्ड नेटवर्क जैसा उचित समझें उसके अनुसार लेनदेन की संख्या को नियंत्रित करने (अर्थात एक दिन / सप्ताह / माह में ऐसे कितने लेन-देन को अनुमति दी जाएगी) की व्यवस्था करें।
xii. किसी भी लेनदेन को करने के लिए, ग्राहक टोकन अनुरोधकर्ता ऐप में पंजीकृत किसी भी कार्ड का उपयोग करने के लिए स्वतंत्र होगा।
टोकन का सुरक्षित भंडारण
xiii. कार्ड के सफल पंजीकरण पर टोकन अनुरोधकर्ता द्वारा टोकन और संबंधित कुंजियों का सुरक्षित भंडारण सुनिश्चित किया जाएगा।
ग्राहक सेवा और विवाद निपटान
xiv. कार्ड जारीकर्ता ग्राहकों तक आसान पहुंच सुनिश्चित करेंगे ताकि "आइडेंटीफाइड डिवाइस" के खो जाने अथवा ऐसी कोई अन्य घटना जिसके चलते टोकन का अनधिकृत उपयोग किया जा सकता है की रिपोर्टिंग ग्राहक द्वारा की जा सके। कार्ड जारीकर्ताओं और टोकन अनुरोधकर्ताओं के साथ कार्ड नेटवर्क ऐसी प्रणाली स्थापित करेंगे जो ऐसे टोकनों और संबंधित कुंजियों को तुरंत निष्क्रिय कर दे।
xv. टोकनाइज्ड कार्ड लेन-देन के लिए कार्ड नेटवर्क द्वारा वाद निपटान प्रक्रिया स्थापित की जाएगी ।
लेन-देन की सुरक्षा
xvi. कार्ड नेटवर्क एक ऐसे तंत्र की स्थापना करेगा जो इस बात को सुनिश्चित करेगा कि लेनदेन संबंधी अनुरोध एक "आइडेंटीफाइड डिवाइस" से उत्पन्न हुआ है।
xvii. कार्ड नेटवर्क टोनाइज़ेशन प्रक्रिया के भीतर किसी भी खराबी, विसंगति, संदिग्ध व्यवहार या अनधिकृत गतिविधि की उपस्थिति का पता लगाने के लिए निगरानी सुनिश्चित करेगा और सभी हितधारकों को सचेत करने के लिए एक प्रक्रिया लागू करें।
xviii. जोखिम की अवधारणा इत्यादि के आधार पर कार्ड जारीकर्ता यह तय कर सकेंगे कि कि उनके द्वारा जारी किए गए कार्ड को टोकन अनुरोधकर्ता द्वारा पंजीकृत करने की अनुमति दी जाए या नहीं।
अनुबंध 2
प्राधिकृत कार्ड नेटवर्क द्वारा टोकनाइज़ेशन सेवा के लिए रिपोर्टिंग प्रारूप (डीपीएसएस.सीओ.पीडी.सं.1463/02.14.003/2018-19 दिनांक 08 जनवरी 2019)
(प्रत्येक माह की 10 तारीख तक प्रस्तुत किया जाए)
प्राधिकृत कार्ड नेटवर्क का नाम : …………………………………
माह के लिए रिपोर्ट: ……………………
क्रम. सं. |
टोकन अनुरोधकर्ता का नाम |
सेवा का ब्रांड नाम, यदि कोई हो |
सक्षम मामलों का उपयोग करें (संपर्क रहित - एनएफसी / एमएसटी, इन-ऐप, क्यूआर कोड-आधारित, इत्यादि) |
कार्यरत टोकन भंडारण तंत्र |
व्यवस्था की प्रभावी तिथि |
पंजीकृत कार्डों की संख्या |
क्रेडिट कार्ड |
डेबिट कार्ड्स |
प्रीपेड कार्ड |
|
|
|
|
|
|
|
|
|
नोट : उपर्युक्त आंकड़े माह की समाप्ति पर स्थिति के अनुसार होंगे
क्रम सं. |
टोकन अनुरोधकर्ता का नाम |
महीने के लिए लेनदेन संबंधी आंकड़े * |
क्रेडिट कार्ड |
डेबिट कार्ड्स |
प्रीपेड कार्ड |
संख्या |
मूल्य (रु.में) |
संख्या |
मूल्य (रु.में) |
संख्या |
मूल्य (रु.में) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
* कार्ड नेटवर्क द्वारा सक्षम किए गए प्रत्येक उपयोग मामले में किए गए लेनदेन के लिए प्रदान किए जाने वाले आंकड़े
|