説明：クレジットカードの詳細の代わりにトークンがどのように取引をより安全にすることができるか

インド準備銀行は、支払い中にカードのトークン化を許可しています。これはどういう意味ですか、そしてそれはどのように機能しますか？

RBIによると、トランザクションの追跡と調整のために、エンティティは適用可能な標準に準拠して限られたデータを保存できます。

多くの加盟店やeコマースエンティティは、顧客にデビットカードまたはクレジットカードの詳細を保存するように強制します。これにより、カードデータが盗まれるリスクが高まります。これは、インド準備銀行が支払い中にカードのトークン化を許可することで回避できます。

トークン化とは何ですか？

これは、カードの詳細を「トークン」と呼ばれる代替コードに置き換えることを指します。これは、カードとトークンリクエスター（顧客からのカードのトークン化の要求を受け入れてカードに渡すエンティティ）の組み合わせに固有のものです。トークンを発行するネットワーク）とデバイス、RBIは言います。カードの詳細を共有することから生じる詐欺の可能性を減らします。トークンは、POS（point-of-sale）端末での非接触型カード取引とQRコード決済を実行するために使用されます。

RBIはまた、カードオンファイル（CoF）トランザクションのトークン化を拡張し（カードの詳細はマーチャントによって保存されていました）、2022年1月1日からシステムにカードの詳細を保存しないようにマーチャントに指示しました。CoFトランザクションは1つです。カード所有者がマーチャントにマスターカードまたはビザの支払いの詳細を保存し、保存されたアカウントに請求することを許可した場合。 Eコマース企業や航空会社、スーパーマーケットチェーンは、カードの詳細を保存することがよくあります。

2022年1月1日より、カード発行者とカードネットワークを除き、カードトランザクションまたは支払いチェーンのエンティティは実際のカードデータを保存できなくなります。以前に保存されたそのようなデータはすべてパージされると、RBIは回覧で述べた。 RBIは、2020年3月にデータの保存を以前に禁止していましたが、期限を2021年12月31日に延長しました。

トークン化はどのように機能しますか？

カード所有者は、トークンリクエスターが提供するアプリでリクエストを開始することで、カードをトークン化できます。トークンリクエスターは、カード発行者の同意を得て、カード、トークンリクエスター、およびデバイスの組み合わせに対応するトークンを発行するカードネットワークにリクエストを転送します。 RBIによると、トークン化は、非接触型カードトランザクション、QRコードやアプリによる支払いなど、すべてのユースケースとチャネルで携帯電話またはタブレットを介して許可されています。

トークンは、トークンサービスプロバイダー（TSP）のように機能するVisaやMasterCardなどの企業によって生成され、モバイル決済またはeコマースプラットフォームにトークンを提供して、顧客のクレジットカードの詳細の代わりにトランザクション中に使用できるようにします。

ユーザーがカードの詳細をGooglePayやPhonePeなどの仮想ウォレットに入力すると、これらのプラットフォームはこれらのTSPの1つにトークンを要求します。 TSPは、最初に顧客の銀行にデータの検証を要求します。データが検証されると、コードが生成され、ユーザーのデバイスに送信されます。一意のトークンが生成されると、それはお客様のデバイスに不可逆的にリンクされたままになり、置き換えることはできません。したがって、顧客が自分のデバイスを使用して支払いを行うたびに、プラットフォームは、顧客の実際のデータを明らかにすることなく、トークンを共有するだけでトランザクションを承認できます。トークンは、モバイルウォレットやAmazonのような実店舗またはオンラインストアでの支払いを保護するために生成できます。インドでの運用がRBIによって承認されたカードネットワークのリストは、以下で入手できます。 リンク。

カードをトークン化できるのは誰ですか？

RBIは、カード発行者がTSPとして機能することを許可しており、TSPは、発行されたカードまたは関連するカードに対してのみトークン化サービスを提供します。カードデータをトークン化およびトークン化解除する機能は、同じTSPを使用します。 RBIによると、カードデータのトークン化は、カード発行者による追加認証要素（AFA）の検証を必要とする明示的な顧客の同意を得て行われます。

通常、トークン化されたカードトランザクションでは、関係する利害関係者は、マーチャント、マーチャントのアクワイアラー、カード支払いネットワーク、トークンリクエスター、発行者、および顧客です。トークン化リクエストの登録は、AFAによる明示的な顧客の同意がある場合にのみ行われ、チェックボックス、ラジオボタンなどの強制、デフォルト、または自動選択によっては行われません。顧客は、ユースケースと制限の設定。顧客は、トークン化されたカード取引の取引ごとおよび1日の取引制限を設定および変更するオプションがあります。

トークン化後はどうなりますか？

RBIによると、トランザクションの追跡と調整のために、エンティティは、該当する標準に準拠して、限られたデータ（実際のカード番号とカード発行者の名前の最後の4桁）を保存できます。実際のカードデータ、トークン、およびその他の関連する詳細は、承認されたカードネットワークによって安全なモードで保存されます。トークンリクエスターは、カード番号やその他のカードの詳細を保存できません。カードネットワークは、国際的なベストプラクティス/世界的に認められた標準に準拠したセキュリティの認定を受けたトークンリクエスターを取得することも義務付けられています。

顧客は、自分のカードをトークン化するかどうかを選択できます。さらに、カード発行者は、カード所有者に、CoFトランザクションを選択した加盟店のリストを表示し、そのようなトークンの登録を解除する機能を提供する必要があります。

なぜRBIはトークン化に向かう​​のですか？

オンラインでカード取引を行う際のユーザーの利便性と快適さを引用して、カード取引に関与する多くのエンティティは、CoFである実際のカードの詳細を保存します。実際、一部の加盟店は顧客にカードの詳細を保存するように強制しています。 RBIによると、多数の加盟店でこのような詳細を入手できると、カードデータが盗まれるリスクが大幅に高まります。

最近では、一部の加盟店が保存しているカードデータが漏洩したり漏洩したりする事件が発生しています。多くの管轄区域ではカード取引にAFAが必要ないため、CoFデータの漏洩は深刻な影響を与える可能性があります。 RBIによると、盗まれたカードデータは、ソーシャルエンジニアリング技術を通じてインド国内で詐欺を実行するためにも使用される可能性があります。

ニュースレター|クリックして、その日の最高の説明者を受信トレイに表示します

友達と共有してください: