आरबीआई/2021-22/96
सीओ.डीपीएसएस.पीओएलसी.सं.एस-516/02-14-003/2021-22
07 सितंबर 2021
सभी भुगतान प्रणाली प्रदाता और भुगतान प्रणाली सहभागी
महोदया / महोदय,
टोकनाइजेशन - कार्ड लेनदेन: कार्ड-ऑन-फाइल टोकनाइजेशन (सीओएफटी) सेवाओं की अनुमति
कृपया "टोकनाइजेशन - कार्ड ट्रांजैक्शन" पर दिनांक 08 जनवरी 2019 के हमारे परिपत्र डीपीएसएस.सीओ.पीडी सं.1463/02.14.003/2018-19 का संदर्भ ग्रहण करें, जिसके अंतर्गत प्राधिकृत कार्ड नेटवर्क को कार्ड टोकनाइजेशन सेवाओं की पेशकश करने की अनुमति प्रदान की गई है, जो उसमें सूचीबद्ध शर्तों के अधीन है । शुरुआत में यह सुविधा मोबाइल फोन और टैबलेट तक ही सीमित थी, जिसे बाद में "टोकनाइजेशन - कार्ड लेनदेन : अनुमत उपकरणों की व्याप्ति का विस्तार" पर हमारे दिनांक 25 अगस्त 2021 के परिपत्र सीओ.डीपीएसएस.पीओएलसी.सं.एस-469/02-14-003/2021-22 के जरिये लैपटॉप, डेस्कटॉप, धारणीय वस्तुओं ( कलाई घड़ी, बैंड, आदि), इंटरनेट ऑफ थिंग्स (आईओटी) उपकरणों, आदि तक विस्तारित किया गया था ।
2. ‘‘भुगतान एग्रीगेटर और भुगतान गेटवे के विनियमन पर दिशानिर्देश’’ पर हमारे दिनांक 17 मार्च 2020 के परिपत्र डीपीएसएस.सीओ.पीडी.सं.1810/02.14.008/2019-20 (समय-समय पर अद्यतन) और दिनांक 31 मार्च 2021 के परिपत्र सीओ.डीपीएसएस.पीओएलसी.सं.एस33/02-14-008/2020-21 का भी संदर्भ ग्रहण लें, जिनके अंतर्गत यह सूचित किया गया था कि न तो भुगतान एग्रीगेटर (पीए) और न ही उनके द्वारा ऑनबोर्ड किए गए व्यापारी ग्राहकों के कार्ड क्रेडेंशियल [कार्ड-ऑन-फाइल (सीओएफ) के रूप में भी जाना जाने वाला] को संगृहीत कर सकते हैं ।
3. टोकनकरण ढांचे की समीक्षा करने और कार्डधारकों को टोकनयुक्त कार्ड लेनदेन की सुरक्षा के साथ-साथ सीओएफ की सुविधा का लाभ उठाने में सक्षम बनाने के लिए, निम्नलिखित वृद्धियों को प्रभाव में लाने का निर्णय लिया गया है -
ए) ऊपर दिए गए पैरा 1 में संदर्भित उपकरण-आधारित टोकनाइजेशन1 ढांचा को सीओएफ टोकनाइजेशन (सीओएफटी) तक भी विस्तारित किया जाए ।
बी) कार्ड जारीकर्ताओं को टोकन सेवा प्रदाता2 (टीएसपी) के रूप में कार्ड टोकनाइजेशन सेवाओं की पेशकश करने की अनुमति दी जाए ।
सी) टीएसपी द्वारा केवल उनके द्वारा जारी/उनसे संबद्ध कार्डों के लिए टोकनाइजेशन की सुविधा की पेशकश की जाएगी ।
डी) कार्ड डेटा को टोकनाइज3 करने और डी-टोकनाइज करने की क्षमता उसी टीएसपी में निहित होगी।
ई) कार्ड जारीकर्ता द्वारा प्रमाणीकरण के अतिरिक्त कारक (एएफए) सत्यापन की आवश्यकता के लिए स्पष्ट रूप से ग्राहक की सहमति के साथ कार्ड डेटा का टोकनाइजेशन किया जाएगा।
एफ) सीओएफटी से संबंधित अतिरिक्त आवश्यकताएं अनुबंध में सूचीबद्ध हैं।
4. इसके अलावा, स्पष्टता के लिए, निम्नलिखित बातों को नोट किया जाए –
ए) 1 जनवरी 2022 से कार्ड जारीकर्ता और/अथवा कार्ड नेटवर्क को छोड़कर कार्ड लेनदेन / भुगतान शृंखला में कोई भी संस्था वास्तविक कार्ड डेटा को संगृहीत नहीं करेगी। पहले से संगृहीत ऐसे किसी भी डेटा को मिटा दिया जाएगा।
बी) लेनदेन पर नज़र रखने और / अथवा समाधान के उद्देश्यों के लिए, संस्थाएं लागू मानकों का अनुपालन करते हुए सीमित डेटा - वास्तविक कार्ड नंबर के अंतिम चार अंक और कार्ड जारीकर्ता के नाम - संगृहीत कर सकती हैं ।
सी) शामिल सभी संस्थाओं द्वारा उपर्युक्त के पूर्ण और निरंतर अनुपालन की जिम्मेदारी कार्ड नेटवर्क की होगी।
5. यह निदेश भुगतान और निपटान प्रणाली अधिनियम, 2007 (2007 का अधिनियम 51) की धारा 18 के साथ पठित धारा 10 (2) के अंतर्गत जारी किया गया है।
भवदीय,
(पी. वासुदेवन)
मुख्य महाप्रबंधक
अनुबंध
(सीओ.डीपीएसएस.पीओएलसी.सं.एस-516/02-14-003/2021-22 दिनांकित 07 सितंबर 2021)
सीओएफटी सेवाओं की पेशकश के लिए पूरी की जाने वाली शर्तें
1. सीओएफटी के प्रयोजन के लिए, कार्ड, टोकन अनुरोधकर्ता और व्यापारी4 के मेल के लिए टोकन विशिष्ट होगा।
2. यदि सीओएफटी के लिए पंजीकरण के साथ-साथ किसी व्यापारी के खरीद संबंधी लेनदेन के लिए कार्ड भुगतान किया जा रहा है, तो एएफए सत्यापन को सम्मिलित किया जा सकता है।
3. व्यापारी कार्डधारक को टोकन को डी-रजिस्टर करने का विकल्प देगा। इसके अलावा, कार्डधारक के साथ सीधा संबंध रखने वाला टोकन अनुरोधकर्ता उन व्यापारियों को सूचीबद्ध करेगा जिनके संबंध में कार्डधारक द्वारा सीओएफटी को इसके माध्यम से चुना गया है; और ऐसे किसी भी टोकन को डी-रजिस्टर करने का विकल्प प्रदान किया जाए ।
4. कार्ड जारीकर्ता द्वारा कार्डधारक को उन व्यापारियों की सूची देखने की सुविधा भी दी जाएगी जिनके संबंध में उनके द्वारा सीओएफटी को चुना गया है, और ऐसे किसी भी टोकन को डी-रजिस्टर करने की सुविधा भी दी जाएगी। यह सुविधा निम्नलिखित में से एक अथवा अधिक माध्यमों - मोबाइल एप्लिकेशन, इंटरनेट बैंकिंग, इंटरएक्टिव वॉयस रिस्पांस (आईवीआर) अथवा शाखाओं / कार्यालयों में प्रदान की जाएगी ।
5. जब भी किसी कार्ड का नवीनीकरण अथवा प्रतिस्थापन किया जाता है, तो कार्ड जारीकर्ता को उन व्यापारियों के साथ लिंक करने के लिए कार्डधारक की स्पष्ट सहमति लेनी होगी जिनके साथ उसने पहले कार्ड पंजीकृत किया था ।
6. टीएसपी यह सुनिश्चित करने के लिए एक तंत्र स्थापित करेगा कि लेनदेन अनुरोध व्यापारी और टोकन अनुरोधकर्ता से उद्भूत हुआ है जिसके साथ टोकन जुड़ा हुआ है ।
7. आरबीआई के दिनांक 8 जनवरी 2019 और 25 अगस्त 2021 के परिपत्र के अन्य सभी प्रावधान लागू होंगे ।
8. टीएसपी इस संबंध में निगरानी और अनुपालन सुनिश्चित करेंगे।
|