הסבר: כיצד אסימונים במקום פרטי כרטיס אשראי יכולים להפוך עסקאות לבטוחות יותר

הבנק המרכזי של הודו מאפשר אסימון של כרטיסים בזמן ביצוע תשלומים. מה זה אומר ואיך זה עובד?

לפי ה-RBI, לצורך מעקב והתאמה של עסקאות, ישויות יכולות לאחסן נתונים מוגבלים בהתאם לתקנים החלים.

סוחרים וגופי מסחר אלקטרוני רבים מאלצים לקוחות לאחסן פרטי כרטיס חיוב או אשראי, מה שמגביר את הסיכון לגניבת נתוני כרטיס. ניתן להימנע מכך כעת כאשר הבנק המרכזי של הודו מאפשר אסימון של כרטיסים בעת ביצוע תשלומים.

מה זה טוקניזציה?

הכוונה היא להחלפת פרטי הכרטיס בקוד חלופי הנקרא 'אסימון', שייחודי לשילוב של כרטיס, מבקש אסימון (הגורם שמקבל בקשה מהלקוח לאסימוניזציה של כרטיס ומעביר אותה לכרטיס רשת להנפיק אסימון) והמכשיר, אומר ה-RBI. זה מקטין את הסיכויים להונאה הנובעת משיתוף פרטי כרטיס. האסימון משמש לביצוע עסקאות כרטיס ללא מגע במסופי נקודות מכירה (PoS) ותשלומים בקוד QR.

ה-RBI גם הרחיב את האסימון של עסקאות כרטיס-על-תיק (CoF) - שבהן פרטי הכרטיס היו מאוחסנים על ידי סוחרים - והורה לסוחרים לא לאחסן פרטי כרטיס במערכות שלהם מה-1 בינואר 2022. עסקת CoF היא אחת שבהם בעל כרטיס אישר לסוחר לאחסן את פרטי התשלום של מאסטרקארד או ויזה שלו ולחייב את החשבון המאוחסן. חברות מסחר אלקטרוני וחברות תעופה ורשתות סופרמרקטים מאחסנות לרוב פרטי כרטיס.

החל מה-1 בינואר 2022, אף גורם בשרשרת העסקאות או התשלומים בכרטיס, מלבד מנפיקי הכרטיסים ורשתות הכרטיסים, לא אמור לאחסן את נתוני הכרטיס בפועל. כל מידע כזה שנשמר בעבר יטוהר, אמר ה-RBI בחוזר. ה-RBI חסם מוקדם יותר אחסון נתונים במרץ 2020 אך האריך את המועד האחרון ל-31 בדצמבר 2021.

איך עובד טוקניזציה?

בעל הכרטיס יכול לקבל את הכרטיס בסימון על ידי הפעלת בקשה באפליקציה שסופקה על ידי מבקש האסימון. מבקש האסימון יעביר את הבקשה לרשת הכרטיסים אשר בהסכמת מנפיק הכרטיס תנפיק אסימון המתאים לשילוב של הכרטיס, מבקש האסימון והמכשיר. טוקניזציה הותרה דרך טלפונים ניידים או טאבלטים לכל מקרי השימוש והערוצים כמו עסקאות כרטיס ללא מגע, תשלומים באמצעות קודי QR ואפליקציות, על פי ה-RBI

האסימונים נוצרים על ידי חברות כמו ויזה ומסטרקארד, הפועלות כמו ספקי שירותי טוקן (TSP), והן מספקות את האסימונים לפלטפורמות תשלום נייד או מסחר אלקטרוני, כך שניתן יהיה להשתמש בהן במהלך עסקאות במקום בפרטי כרטיס האשראי של הלקוח.

כאשר משתמשים מכניסים את פרטי הכרטיס שלהם לארנק וירטואלי כמו Google Pay או PhonePe, הפלטפורמות הללו מבקשות מאחד מה-TSP הללו אסימון. ה-TSPs יבקשו תחילה אימות הנתונים מהבנק של הלקוח. לאחר אימות הנתונים, נוצר קוד ונשלח למכשיר המשתמש. לאחר שהאסימון הייחודי נוצר, הוא נשאר מקושר באופן בלתי הפיך למכשיר הלקוח ולא ניתן להחלפה. לפיכך, בכל פעם שלקוח משתמש במכשיר שלו לביצוע תשלום, הפלטפורמה תוכל לאשר את העסקה על ידי שיתוף האסימון, מבלי לחשוף את הנתונים האמיתיים של הלקוח. ניתן ליצור אסימונים כדי להגן על תשלומים בארנקים ניידים ובחנויות פיזיות או מקוונות כמו אמזון. רשימת רשתות הכרטיסים המורשים על ידי RBI לפעול בהודו זמינה ברשימה הבאה קישור.

מי יכול לתת כרטיסים אסימונים?

ה-RBI התיר למנפיקי כרטיסים לפעול כ-TSP, שיציעו שירותי טוקניזציה רק ​​עבור כרטיסים שהונפקו על ידם או קשורים אליהם. היכולת לבצע אסימון וביטול אסימון של נתוני כרטיסים תהיה עם אותו TSP. האסימון של נתוני הכרטיס ייעשה בהסכמת הלקוח המפורשת הדורשת אימות של גורם אימות נוסף (AFA) על ידי מנפיק הכרטיס, אמר RBI.

בדרך כלל, בעסקת כרטיס אסימון, בעלי העניין המעורבים הם הסוחר, הרוכש של הסוחר, רשת תשלומי הכרטיסים, מבקש האסימון, המנפיק והלקוח. ההרשמה לבקשת אסימון מתבצעת רק בהסכמת הלקוח המפורשת דרך AFA, ולא בדרך של בחירה כפויה, ברירת מחדל או אוטומטית של תיבת סימון, כפתור בחירה וכדומה. ללקוחות תינתן גם הבחירה בבחירת מקרה השימוש ו הגדרת גבולות. ללקוחות יש אפשרות להגדיר ולשנות מגבלות עסקאות ועסקאות יומיות עבור עסקאות בכרטיס סמלי.

מה קורה לאחר אסימון?

לפי ה-RBI, לצורך מעקב והתאמה של עסקאות, ישויות יכולות לאחסן נתונים מוגבלים - ארבע הספרות האחרונות של מספר הכרטיס בפועל ושם מנפיק הכרטיס - בהתאם לתקנים החלים. נתוני כרטיס בפועל, אסימון ופרטים רלוונטיים אחרים מאוחסנים במצב מאובטח על ידי רשתות כרטיסים מורשות. מבקש האסימון אינו יכול לאחסן את מספר הכרטיס, או כל פרט אחר של הכרטיס. רשתות כרטיסים גם מחויבות לקבל את מבקש האסימון אישור לאבטחה התואמת את שיטות העבודה המומלצות הבינלאומיות / תקנים מקובלים בעולם.

לקוח יכול לבחור אם לאפשר או לא לתת לכרטיס שלו אסימון. חוץ מזה, מנפיק הכרטיס צריך גם לתת לבעל הכרטיס את האפשרות להציג את רשימת הסוחרים שעבורם הוא או היא בחר בעסקאות CoF, ולבטל את הרישום של כל אסימון כזה.

למה ה-RBI הולך לטוקניזציה?

תוך ציון נוחות ונוחות למשתמשים בעת ביצוע עסקאות כרטיס באינטרנט, גופים רבים המעורבים בעסקאות הכרטיס מאחסנים פרטי כרטיס בפועל, שהם CoF. למעשה, חלק מהסוחרים מאלצים את הלקוחות שלהם לאחסן פרטי כרטיס. זמינות של פרטים כאלה עם מספר רב של סוחרים מגדילה באופן משמעותי את הסיכון לגניבת נתוני כרטיסים, אמר ה-RBI.

בעבר הקרוב, היו מקרים שבהם נתוני כרטיסים המאוחסנים על ידי סוחרים מסוימים נפגעו או דלפו. לכל דליפה של נתוני CoF יכולה להיות השלכות חמורות מכיוון שתחומי שיפוט רבים אינם דורשים AFA עבור עסקאות כרטיסים. נתוני כרטיסים גנובים יכולים לשמש גם לביצוע הונאות בתוך הודו באמצעות טכניקות הנדסה חברתית, אמר ה-RBI.

ניוזלטר| לחץ כדי לקבל את הסברים הטובים ביותר של היום בתיבת הדואר הנכנס שלך

שתף עם החברים שלך: