आरबीआई/2021-22/96
सीओ.डीपीएसएस.पीओएलसी.सं.एस-516/02-14-003/2021-22

07 सितंबर 2021

सभी भुगतान प्रणाली प्रदाता और भुगतान प्रणाली सहभागी

महोदया / महोदय,

टोकनाइजेशन - कार्ड लेनदेन: कार्ड-ऑन-फाइल टोकनाइजेशन (सीओएफटी) सेवाओं की अनुमति

कृपया "टोकनाइजेशन - कार्ड ट्रांजैक्शन" पर दिनांक 08 जनवरी 2019 के हमारे परिपत्र डीपीएसएस.सीओ.पीडी सं.1463/02.14.003/2018-19 का संदर्भ ग्रहण करें, जिसके अंतर्गत प्राधिकृत कार्ड नेटवर्क को कार्ड टोकनाइजेशन सेवाओं की पेशकश करने की अनुमति प्रदान की गई है, जो उसमें सूचीबद्ध शर्तों के अधीन है । शुरुआत में यह सुविधा मोबाइल फोन और टैबलेट तक ही सीमित थी, जिसे बाद में "टोकनाइजेशन - कार्ड लेनदेन : अनुमत उपकरणों की व्याप्ति का विस्तार" पर हमारे दिनांक 25 अगस्त 2021 के परिपत्र सीओ.डीपीएसएस.पीओएलसी.सं.एस-469/02-14-003/2021-22 के जरिये लैपटॉप, डेस्कटॉप, धारणीय वस्तुओं ( कलाई घड़ी, बैंड, आदि), इंटरनेट ऑफ थिंग्स (आईओटी) उपकरणों, आदि तक विस्तारित किया गया था ।

2. ‘‘भुगतान एग्रीगेटर और भुगतान गेटवे के विनियमन पर दिशानिर्देश’’ पर हमारे दिनांक 17 मार्च 2020 के परिपत्र डीपीएसएस.सीओ.पीडी.सं.1810/02.14.008/2019-20 (समय-समय पर अद्यतन) और दिनांक 31 मार्च 2021 के परिपत्र सीओ.डीपीएसएस.पीओएलसी.सं.एस33/02-14-008/2020-21 का भी संदर्भ ग्रहण लें, जिनके अंतर्गत यह सूचित किया गया था कि न तो भुगतान एग्रीगेटर (पीए) और न ही उनके द्वारा ऑनबोर्ड किए गए व्यापारी ग्राहकों के कार्ड क्रेडेंशियल [कार्ड-ऑन-फाइल (सीओएफ) के रूप में भी जाना जाने वाला] को संगृहीत कर सकते हैं ।

3. टोकनकरण ढांचे की समीक्षा करने और कार्डधारकों को टोकनयुक्त कार्ड लेनदेन की सुरक्षा के साथ-साथ सीओएफ की सुविधा का लाभ उठाने में सक्षम बनाने के लिए, निम्नलिखित वृद्धियों को प्रभाव में लाने का निर्णय लिया गया है -

ए) ऊपर दिए गए पैरा 1 में संदर्भित उपकरण-आधारित टोकनाइजेशन¹ ढांचा को सीओएफ टोकनाइजेशन (सीओएफटी) तक भी विस्तारित किया जाए ।

बी) कार्ड जारीकर्ताओं को टोकन सेवा प्रदाता² (टीएसपी) के रूप में कार्ड टोकनाइजेशन सेवाओं की पेशकश करने की अनुमति दी जाए ।

सी) टीएसपी द्वारा केवल उनके द्वारा जारी/उनसे संबद्ध कार्डों के लिए टोकनाइजेशन की सुविधा की पेशकश की जाएगी ।

डी) कार्ड डेटा को टोकनाइज³ करने और डी-टोकनाइज करने की क्षमता उसी टीएसपी में निहित होगी।

ई) कार्ड जारीकर्ता द्वारा प्रमाणीकरण के अतिरिक्त कारक (एएफए) सत्यापन की आवश्यकता के लिए स्पष्ट रूप से ग्राहक की सहमति के साथ कार्ड डेटा का टोकनाइजेशन किया जाएगा।

एफ) सीओएफटी से संबंधित अतिरिक्त आवश्यकताएं अनुबंध में सूचीबद्ध हैं।

4. इसके अलावा, स्पष्टता के लिए, निम्नलिखित बातों को नोट किया जाए –

ए) 1 जनवरी 2022 से कार्ड जारीकर्ता और/अथवा कार्ड नेटवर्क को छोड़कर कार्ड लेनदेन / भुगतान शृंखला में कोई भी संस्था वास्तविक कार्ड डेटा को संगृहीत नहीं करेगी। पहले से संगृहीत ऐसे किसी भी डेटा को मिटा दिया जाएगा।

बी) लेनदेन पर नज़र रखने और / अथवा समाधान के उद्देश्यों के लिए, संस्थाएं लागू मानकों का अनुपालन करते हुए सीमित डेटा - वास्तविक कार्ड नंबर के अंतिम चार अंक और कार्ड जारीकर्ता के नाम - संगृहीत कर सकती हैं ।

सी) शामिल सभी संस्थाओं द्वारा उपर्युक्त के पूर्ण और निरंतर अनुपालन की जिम्मेदारी कार्ड नेटवर्क की होगी।

5. यह निदेश भुगतान और निपटान प्रणाली अधिनियम, 2007 (2007 का अधिनियम 51) की धारा 18 के साथ पठित धारा 10 (2) के अंतर्गत जारी किया गया है।

भवदीय,

(पी. वासुदेवन)
मुख्य महाप्रबंधक

अनुबंध

(सीओ.डीपीएसएस.पीओएलसी.सं.एस-516/02-14-003/2021-22 दिनांकित 07 सितंबर 2021)

सीओएफटी सेवाओं की पेशकश के लिए पूरी की जाने वाली शर्तें

1. सीओएफटी के प्रयोजन के लिए, कार्ड, टोकन अनुरोधकर्ता और व्यापारी⁴ के मेल के लिए टोकन विशिष्ट होगा।

2. यदि सीओएफटी के लिए पंजीकरण के साथ-साथ किसी व्यापारी के खरीद संबंधी लेनदेन के लिए कार्ड भुगतान किया जा रहा है, तो एएफए सत्यापन को सम्मिलित किया जा सकता है।

3. व्यापारी कार्डधारक को टोकन को डी-रजिस्टर करने का विकल्प देगा। इसके अलावा, कार्डधारक के साथ सीधा संबंध रखने वाला टोकन अनुरोधकर्ता उन व्यापारियों को सूचीबद्ध करेगा जिनके संबंध में कार्डधारक द्वारा सीओएफटी को इसके माध्यम से चुना गया है; और ऐसे किसी भी टोकन को डी-रजिस्टर करने का विकल्प प्रदान किया जाए ।

4. कार्ड जारीकर्ता द्वारा कार्डधारक को उन व्यापारियों की सूची देखने की सुविधा भी दी जाएगी जिनके संबंध में उनके द्वारा सीओएफटी को चुना गया है, और ऐसे किसी भी टोकन को डी-रजिस्टर करने की सुविधा भी दी जाएगी। यह सुविधा निम्नलिखित में से एक अथवा अधिक माध्यमों - मोबाइल एप्लिकेशन, इंटरनेट बैंकिंग, इंटरएक्टिव वॉयस रिस्पांस (आईवीआर) अथवा शाखाओं / कार्यालयों में प्रदान की जाएगी ।

5. जब भी किसी कार्ड का नवीनीकरण अथवा प्रतिस्थापन किया जाता है, तो कार्ड जारीकर्ता को उन व्यापारियों के साथ लिंक करने के लिए कार्डधारक की स्पष्ट सहमति लेनी होगी जिनके साथ उसने पहले कार्ड पंजीकृत किया था ।

6. टीएसपी यह सुनिश्चित करने के लिए एक तंत्र स्थापित करेगा कि लेनदेन अनुरोध व्यापारी और टोकन अनुरोधकर्ता से उद्भूत हुआ है जिसके साथ टोकन जुड़ा हुआ है ।

7. आरबीआई के दिनांक 8 जनवरी 2019 और 25 अगस्त 2021 के परिपत्र के अन्य सभी प्रावधान लागू होंगे ।

8. टीएसपी इस संबंध में निगरानी और अनुपालन सुनिश्चित करेंगे।

¹ इस परिपत्र में जहां कहीं भी "उपकरण-आधारित टोकनाइजेशन" शब्द का उपयोग किया गया है, वह आरबीआई के दिनांक 8 जनवरी 2019 और 25 अगस्त 2021 के परिपत्रों द्वारा निर्धारित कार्ड टोकननाइजेशन ढांचे को संदर्भित करता है।

² टोकन सेवा प्रदाता (टीएसपी) उस संस्था को संदर्भित करता है जो वास्तविक कार्ड क्रेडेंशियल्स को टोकनाइज करता है और जब भी आवश्यक हो उन्हें डी-टोकनाइज करता है। पहले केवल कार्ड नेटवर्क को ही टीएसपी के रूप में कार्य करने की अनुमति थी।

³ इस परिपत्र में, जहां कहीं भी "टोकन" शब्द का इस्तेमाल किया गया है, उसमें टोकन संदर्भ संख्या, कार्ड संदर्भ संख्या अथवा कोई अन्य समान शब्द शामिल है।

⁴ इस परिपत्र में जहां कहीं भी "व्यापारी" शब्द का उपयोग किया गया है, वह अंतिम-व्यापारी को संदर्भित करता है। तथापि, ई-कॉमर्स मार्केटप्लेस संस्था के मामले में, व्यापारी उक्त ई-कॉमर्स संस्था को संदर्भित करता है। इसके अलावा, टोकन अनुरोधकर्ता और व्यापारी समान संस्था हो सकता है अथवा नहीं भी हो सकता है ।