Selgitatakse: kuidas krediitkaardiandmete asemel märgid võivad tehinguid turvalisemaks muuta

India reservpank lubab maksete tegemise ajal kaartide märgistamist. Mida see tähendab ja kuidas see toimib?

RBI andmetel saavad üksused tehingute jälgimiseks ja vastavusse viimiseks salvestada piiratud andmeid kooskõlas kohaldatavate standarditega.

Paljud kaupmehed ja e-kaubandusettevõtted sunnivad kliente salvestama deebet- või krediitkaardiandmeid, mis suurendab kaardiandmete varastamise ohtu. Seda saab nüüd vältida, kui India reservpank lubab maksete tegemise ajal kaarte tokeniseerida.

Mis on tokeniseerimine?

See viitab kaardi andmete asendamisele alternatiivse koodiga, mida nimetatakse 'tokeniks', mis on ainulaadne kaardi ja loa taotleja kombinatsiooni jaoks (üksus, mis võtab vastu kliendi taotluse kaardi tokeniseerimiseks ja edastab selle kaardile võrk märgi väljastamiseks) ja seade, ütleb RBI. See vähendab kaardiandmete jagamisest tulenevat pettuse tõenäosust. Tokenit kasutatakse kontaktivabade kaarditehingute tegemiseks müügipunkti (PoS) terminalides ja QR-koodiga maksmiseks.

RBI on laiendanud ka Card-on-File (CoF) tehingute märgistamist, kus kaupmehed salvestasid kaardiandmeid, ja käskisid kaupmeestel alates 1. jaanuarist 2022 oma süsteemides kaardiandmeid mitte salvestada. CoF-tehing on üks milles kaardiomanik on volitanud kaupmeest salvestama oma Mastercardi või Visa makseandmeid ja esitama talletatud kontole arve. E-kaubanduse ettevõtted ning lennufirmad ja supermarketite ketid salvestavad sageli kaardiandmeid.

Alates 1. jaanuarist 2022 ei tohi ükski kaarditehingu või makseahela üksus peale kaardi väljastajate ja kaardivõrgustike tegelikke kaardiandmeid talletada. Kõik sellised varem salvestatud andmed kustutatakse, teatas RBI ringkirjas. RBI keelas varem andmete salvestamise 2020. aasta märtsis, kuid pikendas tähtaega 31. detsembrini 2021.

Kuidas tokeniseerimine toimib?

Kaardiomanik saab kaardi tokeniseerida, algatades päringu märgi taotleja pakutavas rakenduses. Tokeni küsija edastab päringu kaardivõrku, kes kaardi väljastaja nõusolekul väljastab kaardi, tokenite taotleja ja seadme kombinatsioonile vastava tokeni. RBI andmetel on tokeniseerimine mobiiltelefonide või tahvelarvutite kaudu lubatud kõigi kasutusjuhtude ja kanalite jaoks, nagu kontaktivabad kaarditehingud, QR-koodide ja rakenduste kaudu maksed.

Tokeneid genereerivad sellised ettevõtted nagu Visa ja MasterCard, mis toimivad nagu Token Service Providers (TSP-d) ja pakuvad žetoone mobiilimaksete või e-kaubanduse platvormidele, et neid saaks tehingute ajal kasutada kliendi krediitkaardiandmete asemel.

Kui kasutajad sisestavad oma kaardiandmed virtuaalsesse rahakotti, nagu Google Pay või PhonePe, küsivad need platvormid ühelt nendest teenusepakkujatest märki. TSP-d nõuavad esmalt kliendi pangalt andmete kontrollimist. Kui andmed on kontrollitud, genereeritakse kood ja saadetakse kasutaja seadmesse. Kui kordumatu tunnus on loodud, jääb see kliendi seadmega pöördumatult seotuks ja seda ei saa asendada. Seega iga kord, kui klient kasutab oma seadet makse sooritamiseks, saab platvorm tehingu autoriseerida lihtsalt märgi jagamise teel, ilma et peaks avaldama kliendi tegelikke andmeid. Tokeneid saab luua maksete kaitsmiseks mobiilsetes rahakottides ja füüsilistes või veebipoodides, nagu Amazon. RBI poolt Indias tegutsemiseks volitatud kaardivõrkude loend on saadaval järgmisel lehel link.

Kes saab kaarte märgistada?

RBI on lubanud kaardi väljastajatel tegutseda TSP-dena, kes pakuvad tokeniseerimisteenuseid ainult nende väljastatud või nendega seotud kaartidele. Kaardiandmete märgistamise ja eemaldamise võimalus on sama TSP-ga. RBI teatas, et kaardiandmete märgistamine toimub kliendi selgesõnalise nõusolekuga, mis nõuab täiendava autentimisteguri (AFA) valideerimist kaardi väljaandja poolt.

Tavaliselt on tokeniseeritud kaarditehingusse kaasatud sidusrühmad kaupmees, kaupmehe vastuvõtja, kaardimaksevõrk, märgi taotleja, väljastaja ja klient. Tokeniseerimistaotluse registreerimine toimub ainult kliendi selgesõnalise nõusolekuga AFA kaudu, mitte aga sunnitud, vaikimisi või automaatse märkeruudu, raadionupu vms valiku kaudu. Samuti antakse klientidele võimalus valida kasutusjuht ja piirangute seadmine. Klientidel on võimalus määrata ja muuta tokeniseeritud kaarditehingute tehingupõhiseid ja igapäevaseid tehingulimiite.

Mis juhtub pärast tokeniseerimist?

RBI andmetel saavad üksused tehingute jälgimiseks ja kooskõlastamiseks salvestada piiratud andmeid – tegeliku kaardinumbri ja kaardi väljaandja nime neli viimast numbrit – kooskõlas kohaldatavate standarditega. Tegelikud kaardiandmed, märgid ja muud asjakohased üksikasjad salvestatakse volitatud kaardivõrgud turvalises režiimis. Tokeni taotleja ei saa salvestada kaardi numbrit ega muid kaardi üksikasju. Kaardivõrgud on ka volitatud hankima märgi taotleja turvasertifikaati, mis vastab rahvusvahelistele parimatele tavadele / ülemaailmselt tunnustatud standarditele.

Klient saab valida, kas lasta oma kaarti märgistada või mitte. Peale selle peaks kaardi väljastaja andma kaardiomanikule võimaluse vaadata nende kaupmeeste nimekirja, kelle jaoks ta on valinud CoF-i tehingud, ja tühistada kõik sellised märgid.

Miks kavatseb RBI tokeniseerida?

Viidates kasutajate mugavusele ja mugavusele kaarditehingute tegemisel võrgus, salvestavad paljud kaarditehingutega seotud üksused tegelikke kaardiandmeid, milleks on CoF. Tegelikult sunnivad mõned kaupmehed oma kliente kaardiandmeid talletama. RBI teatas, et selliste andmete kättesaadavus suure hulga kaupmeeste juures suurendab oluliselt kaardiandmete varastamise ohtu.

Lähiminevikus on ette tulnud juhtumeid, kus mõne kaupmehe salvestatud kaardiandmed on sattunud ohtu või lekkinud. CoF-andmete mis tahes lekkimisel võivad olla tõsised tagajärjed, sest paljud jurisdiktsioonid ei nõua kaarditehingute jaoks AFA-d. RBI teatas, et varastatud kaardiandmeid saab kasutada ka Indias pettuste toimepanemiseks sotsiaalse insenertehnilise tehnika abil.

Infoleht| Klõpsake, et saada oma postkasti päeva parimad selgitused

Jagage Oma Sõpradega: