टिप्पणियों के लिए प्रारूप ढांचा

सीओ.डीपीएसएस.पीओएलसी.नंबर. एस**/ 02-14-015 / 2024-2025                   

जारी करने की तिथि

सभी भुगतान प्रणाली प्रदाता और भुगतान प्रणाली प्रतिभागी (बैंक और गैर-बैंक)

प्रिय महोदय/महोदया,

“डिजिटल भुगतान लेनदेन के लिए वैकल्पिक अधिप्रमाणन व्यवस्था संबंधी ढांचा” – ड्राफ्ट

भारतीय रिजर्व बैंक ने कार्ड, प्रीपेड लिखतों  और मोबाइल बैंकिंग चैनलों का उपयोग करके किए जाने वाले सभी लेन-देन के लिए अतिरिक्त अधिप्रमाणन कारक (एएफए) अनिवार्य किया है। हालांकि अधिप्रमाणन के लिए कोई विशेष कारक अनिवार्य नहीं था, लेकिन डिजिटल भुगतान पारिस्थितिकी तंत्र ने मुख्य रूप से एसएमएस-आधारित ओटीपी को एएफए के रूप में अपनाया है।
2. जैसा कि 08 फरवरी, 2024 को विकासात्मक और विनियामक नीतियों पर वक्तव्य में घोषित किया गया था, भुगतान पारिस्थितिकी तंत्र को तकनीकी प्रगति का लाभ उठाने और वैकल्पिक प्रमाणीकरण तंत्र को लागू करने में सक्षम बनाने के लिए, डिजिटल भुगतान लेनदेन के लिए वैकल्पिक अधिप्रमाणन व्यवस्था संबंधी ढांचा प्रकाशित करने का निर्णय लिया गया है। अनुलग्नक में प्रस्तुत ढांचा व्यापक सिद्धांत प्रदान करता है जिसका भुगतान श्रृंखला में सभी प्रतिभागियों को अधिप्रमाणन के विभिन्न रूपों का उपयोग करते समय अनुपालन करना होगा।
3. इन निदेशों के जारी होने की तारीख से तीन महीने के भीतर सभी भुगतान प्रणाली प्रदाता और भुगतान प्रणाली भागीदार (बैंक और गैर-बैंक) इस ढांचे का अनुपालन सुनिश्चित करेंगे। ये निदेश भुगतान और निपटान प्रणाली (पीएसएस) अधिनियम, 2007 (2007 का अधिनियम 51) की धारा 10(2) के साथ धारा 18 के तहत जारी किए गए हैं।
भवदीय,
प्रभारी मुख्य महाप्रबंधक

संलग्न: अनुलग्नक

---

सीओ.डीपीएसएस.पीओएलसी.नंबर. एस ** / 02-14-015 / 2024-2025

दिनांक **** **, ****

अनुलग्नक

“डिजिटल भुगतान लेनदेन के लिए वैकल्पिक अधिप्रमाणन व्यवस्था संबंधी ढांचा” – ड्राफ्ट

1. प्रयोज्यता
यह ढांचा सभी भुगतान प्रणाली प्रदाताओं और भुगतान प्रणाली प्रतिभागियों पर लागू होता है, जैसा कि भुगतान और निपटान प्रणाली (पीएसएस) अधिनियम, 2007 में परिभाषित किया गया है।
2. परिभाषाएँ:
इस ढांचे में, जब तक कि संदर्भ से अन्यथा अपेक्षित न हो, यहां दी गई शर्तों का अर्थ निम्नानुसार होगा –

क. अतिरिक्त अधिप्रमाणन कारक (एएफए): भुगतान निर्देश ¹ के अधिप्रमाणन के लिए एक से अधिक कारकों का उपयोग।
ख. अधिप्रमाणन: भुगतान निर्देश देने वाले ग्राहक की पहचान (क्रेडेंशियल) को सत्यापित करने और पुष्टि करने की प्रक्रिया।
ग. कार्ड प्रेजेंट लेन-देन: ऐसा लेन-देन जो लेन-देन समय कार्ड के भौतिक उपयोग के माध्यम से किया जाता है। इसे फेस-टू-फेस या प्रॉक्सिमिटी पेमेंट लेन-देन के रूप में भी जाना जाता है।
घ. डिजिटल भुगतान लेनदेन का वही अर्थ होगा जो भुगतान और निपटान प्रणाली अधिनियम, 2007 में परिभाषित "इलेक्ट्रॉनिक फंड ट्रांसफर" का है।
ङ. अधिप्रमाणन का कारक: ग्राहक द्वारा दिया गया कोई भी क्रेडेंशियल इनपुट जिसे भुगतान निर्देश के स्रोत की पुष्टि करने के उद्देश्य से सत्यापित किया जाता है। अधिप्रमाणन के कारकों को व्यापक रूप से नीचे वर्गीकृत किया गया है:
i. कुछ ऐसा जो उपयोगकर्ता जानता है (जैसे पासवर्ड, पासफ़्रेज़, पिन)
ii. ऐसा कुछ उपयोगकर्ता के पास हो (जैसे कार्ड हार्डवेयर या सॉफ्टवेयर टोकन)
iii. ऐसा कुछ जो उपयोगकर्ता हो (जैसे फिंगरप्रिंट या बायोमेट्रिक्स का कोई अन्य रूप)

च. जारीकर्ता: बैंक/गैर-बैंक जहां ग्राहक का खाता (जमा /क्रेडिट लाइन या पीपीआई खाता शेष) बनाए रखा जाता है। जारीकर्ता उपयोगकर्ता क्रेडेंशियल सत्यापित करते हैं और भुगतान निर्देश प्राप्त होने पर खाते में डेबिट की पुष्टि प्रदान करते हैं।
छ. प्रौद्योगिकी सेवा प्रदाता (टीएसपी): अधिप्रमाणन प्रक्रिया को लागू करने के लिए जारीकर्ता द्वारा अपनाई गई प्रौद्योगिकी अवसंरचना का प्रदाता। सॉफ्टवेयर-आधारित समाधान प्रदाताओं के अलावा, इसमें डिवाइस निर्माता और हार्डवेयर समाधान प्रदाता शामिल होंगे जो ऐसी तकनीक प्रदान करते हैं।
ज. टोकन सेवा प्रदाता: एक संस्था जो कार्ड क्रेडेंशियल को टोकनाइज़ करती है और जब भी आवश्यक हो, उन्हें डी-टोकनाइज़ करती है। इसमें कार्ड नेटवर्क और कार्ड जारीकर्ता शामिल हैं।

3. डिजिटल भुगतान लेनदेन के अधिप्रमाणन के सिद्धांत:
भुगतान प्रणाली प्रदाता/भुगतान प्रणाली प्रतिभागी(ओं)² द्वारा भुगतान निर्देश को प्रमाणित करने के लिए प्रयुक्त प्रौद्योगिकी और प्रक्रिया निम्नलिखित सिद्धांतों का अनुपालन करेगी:

क. अधिप्रमाणन का अनिवार्य अतिरिक्त कारक:
सभी डिजिटल भुगतान लेनदेन को प्रमाणीकरण के अतिरिक्त कारक (एएफए) के साथ अधिप्रमाणित किया जाएगा, जब तक कि इस ढांचे में अन्यथा छूट न दी गई हो।
ख. गतिशील रूप से निर्मित: कार्ड प्रेजेंट लेनदेन के अलावा सभी डिजिटल भुगतान लेनदेन में यह सुनिश्चित किया जाएगा कि प्रमाणीकरण के कारकों में से एक गतिशील रूप से बनाया गया है, यानी कारक भुगतान आरंभ होने के बाद उत्पन्न होता है, लेनदेन के लिए विशिष्ट होता है और इसका पुन: उपयोग नहीं किया जा सकता है।
ग. सुदृढ़(रोबस्ट): अधिप्रमाणन का पहला कारक और एएफए अलग-अलग श्रेणियों से होंगे, जैसा कि इस ढांचे के पैरा 2(इ)में परिभाषित किया गया है।
घ. अधिप्रमाणन के लिए जोखिम आधारित दृष्टिकोण:
जारीकर्ता, ग्राहक और/या लाभार्थी के जोखिम प्रोफाइल, लेनदेन मूल्य, उत्पत्ति प्रणाली आदि के आधार पर, किसी लेनदेन के लिए उपयुक्त एएफए तय करने में जोखिम-आधारित दृष्टिकोण अपना सकते हैं।
डं.लेनदेन अलर्ट: जारीकर्ताओं के पास सभी पात्र ³ डिजिटल भुगतान लेनदेन के लिए ग्राहक को लगभग वास्तविक समय में अलर्ट करने की प्रणाली होगी।
च.ग्राहक की सहमति:
जारीकर्ता को ग्राहक के लिए अधिप्रमाणन के किसी भी नए कारक को सक्षम करने से पहले स्पष्ट सहमति प्राप्त करनी होगी। ग्राहक को प्रमाणीकरण के नए ⁴ कारक का उपयोग करने से पंजीकरण रद्द करने की सुविधा भी प्रदान की जाएगी।
छ. जारीकर्ता की जिम्मेदारी:
i. जारीकर्ता अधिप्रमाणन कारक की प्रक्रिया या प्रौद्योगिकी की मजबूती और अखंडता को सुनिश्चित करेगा।
ii. डिजिटल भुगतान लेनदेन को अधिप्रमाणित करने की प्रक्रिया और प्रौद्योगिकी के लिए जारीकर्ता उत्तरदायी होगा।
ज. तृतीय-पार्टी व्यवस्था:
i. जारीकर्ता किसी भी भुगतान सेवा प्रदाता/प्रौद्योगिकी सेवा प्रदाता के साथ कोई अनन्य व्यवस्था नहीं करेगा - जो वैकल्पिक अधिप्रमाणन समाधानों को प्रदान करने की उसकी क्षमता को सीमित कर सकता है।
ii. 8 जनवरी, 2019 को “ टोकनाइजेशन - कार्ड लेनदेन” पर आरबीआई के निर्देशों के अनुरूप, जो कि समय-समय पर संशोधित किये गये है, विभिन्न उपकरणों पर टोकन वाले कार्ड से जुड़े लेनदेन के लिए, जारीकर्ता/टोकन सेवा प्रदाता यह सुनिश्चित करेगा कि डिवाइस वातावरण गैर-अनन्य आधार पर टोकनाइजेशन का समर्थन करता है।

4. ग्राहक अधिप्रमाणन से छूट:
निम्नलिखित को एएफए आवश्यकता से छूट दी गई है:

क. छोटे मूल्य के संपर्क रहित कार्ड भुगतान:
प्वाइंट ऑफ सेल (पीओएस) टर्मिनलों पर संपर्क रहित मोड में प्रति लेनदेन ₹5000/- तक के मूल्य के छोटे मूल्य के कार्ड प्रेसेंट लेनदेन।
( संदर्भ:डीपीएसएस.सीओ.पीडी.नं..2163/02.14.003/2014-2015 दिनांक 14 मई, 2015 और डीपीएसएस.सीओ.पीडी नं.752/02.14.003/2020-21 दिनांक 04 दिसंबर, 2020)

ख. आवर्ती (पहले के अलावा) लेन-देन के लिए ई-अधिदेश:
इनसे संबंधित लेन-देन: क) म्यूचुअल फंड की सदस्यता; ख) बीमा प्रीमियम का भुगतान और सी) क्रेडिट कार्ड बिल भुगतान, ₹1,00,000 तक के मूल्य के लिए, और अन्य सभी श्रेणियों के संबंध में, ₹15,000/- तक के मूल्य के लिए।
(संदर्भ: सीओ.डीपीएसएस.पीओएलसी.सं.एस -882/02.14.003/2023-24 दिनांक 12 दिसंबर, 2023 और आरबीआई द्वारा “आवर्ती लेनदेन के लिए ई-अधिदेश की प्रक्रिया” पर जारी किए गए अन्य संबंधित परिपत्र)
ग. चुनिंदा पूर्वदत्त भुगतान लिखतों (पीपीआई)/एनईटीसी के माध्यम से उपयोगिता:
निम्नलिखित श्रेणियों के लिखत/प्रणालियाँ:

i. पीपीआई - मास ट्रांजिट सर्विस और गिफ्ट पीपीआई के तहत जारी किए गए प्रीपेड लिखत (पीपीआई)।
(संदर्भ: सीओ.डीपीएसएस.पीओएलसी.सं.एस -479/02.14.006/2021-22 दिनांक 27 अगस्त, 2021)।
ii. राष्ट्रीय इलेक्ट्रॉनिक टोल संग्रह (एनईटीसी) प्रणाली में लेनदेन
(संदर्भ: सीओ.डीपीएसएस.पीओएलसी.सं.एस.1227/02.31.001/2019-20 दिनांक 30 दिसंबर, 2019)।
घ. ऑफ़लाइन मोड में छोटे मूल्य के डिजिटल भुगतान:
₹500/- तक के मूल्य के ऑफ़लाइन भुगतान लेनदेन। (संदर्भ: सीओ.डीपीएसएस.पीओएलसी.सं.एस 1264/02-14-003/2021-2022 दिनांक 03 जनवरी, 2022)।

5. यह ढांचा, समय-समय पर रिजर्व बैंक द्वारा जारी अधिप्रमाणन संबंधी निर्देशों को समेकित करता है, जैसा कि परिशिष्ट में सूचीबद्ध है।

---

परिशिष्ट

(संदर्भ: सीओ.डीपीएसएस.पीओएलसी.नंबर. एस**/ 02-14-015 / 2024-2025 दिनांक **** **, ****)

संख्या	परिपत्र सं.	दिनांक	विषय
1.	आरबीआई/डीपीएसएस नं.1501 / 02.14.003 / 2008-2009	18 फरवरी, 2009	क्रेडिट / डेबिट कार्ड लेनदेन- सुरक्षा मामले और जोखिम शमन के उपाय
2.	आरबीआई/डीपीएसएस नं. 2303 / 02.14.003 / 2009-2010	23 अप्रैल, 2010	क्रेडिट/डेबिट कार्ड लेन-देन- आईवीआर  लेन-देन के लिए सुरक्षा मुद्दे और जोखिम कम करने के उपाय
3.	आरबीआई/डीपीएसएस नं..914/02.14.003/2010-2011	25 अक्टूबर, 2010	क्रेडिट/डेबिट कार्ड लेनदेन- कार्ड मौजूद नहीं (दूरस्थ) लेन-देन से संबंधित सुरक्षा मुद्दे और जोखिम कम करने के उपाय
4.	डीपीएसएस.सीओ.स.1503/02.14.003/2010-2011	31 दिसंबर, 2010	कार्ड नॉट प्रेजेंट लेन-देन से संबंधित सुरक्षा मुद्दे और जोखिम कम करने के उपाय
5.	डीपीएसएस. सीओ. पीडी 2224/02.14.003/2010-2011	29 मार्च, 2011	सुरक्षा मुद्दे और जोखिम न्यूनीकरण उपाय- क्रेडिट/डेबिट कार्ड के उपयोग पर कार्डधारक को ऑनलाइन एलर्ट
6.	डीपीएसएस.पीडी.सीओ. सं.223/02.14.003/2011-2012	04 अगस्त, 2011	कार्ड उपलब्‍ध नहीं (सीएनपी) लेनदेनों संबंधी सुरक्षा मामले और जोखिम कम करने के उपाय
7.	डीपीएसएस.पीडी.सीओ.सं..513/02.14.003/2011-2012	22 सितंबर, 2011	कार्ड उपलब्‍ध (सीपी) लेनदेनों संबंधी सुरक्षा मामले और जोखिम कम करने के उपाय
8.	डीपीएसएस.सीओ.पीडी.सं.1910/02.14.003/2011-12	17 अप्रैल, 2012	कार्ड प्रेजेंट (सीपी) लेन-देन से संबंधित सुरक्षा मुद्दे और जोखिम कम करने के उपाय
9.	डीपीएसएस (सीओ) पीडीनं.2377/02.14.003/2012-13	24 जून, 2013	कार्ड प्रेजेंट और इलेक्ट्रॉनिक भुगतान लेनदेन के लिए सुरक्षा और जोखिम कम करने के उपाय
10.	डीपीएसएस (सीओ) पीडीनं.719/02.14.011/2013-14	27 सितंबर, 2013	कार्ड प्रेजेंट लेन-देन के लिए सुरक्षा और जोखिम कम करने के उपाय
11.	डीपीएसएस (सीओ) पीडीनं.1164/02.14.003/2013-14	26 नवंबर, 2013	कार्ड प्रेजेंट लेन-देन के लिए सुरक्षा और जोखिम कम करने के उपाय
12.	डीपीएसएस (सीओ) पीडीनं.371/02.14.003/2014-2015	22 अगस्त, 2014	सुरक्षा मामले और कार्ड नॉट प्रेजेंट (CNP) लेनदेन से संबंधित जोखिम कम करने के उपाय
13.	डीपीएसएस (सीओ) पीडीनं.2163/02.14.003/2014-2015	14 मई, 2015	कार्ड भुगतान - छोटे मूल्य के कार्ड प्रेजेंट लेन-देन के लिए प्रमाणीकरण के अतिरिक्त कारक की आवश्यकता में छूट प्रदान करना
14.	डीपीएसएस.पीडी.सीओ.सं..448/02.14.003/2015-16	27 अगस्त, 2015	कार्ड प्रेजेंट और इलेक्ट्रॉनिक भुगतान लेनदेनों के लिए सुरक्षा और जोखिम कम करने के उपाय - ईएमवी चिप और पिन कार्ड जारी करना
15.	डीपीएसएस.पीडी.सीओ.सं..2895/02.10.002/2015-2016	26 मई, 2016	एटीएम - कार्ड प्रेजेंट (सीपी) लेनदेनों के लिए सुरक्षा और जोखिम कम करने के उपाय
16.	डीपीएसएस.सीओ.पीडी.मोबाइल बैंकिंग.नंबर./2/ 02.23.001/2016-2017	14 जुलाई, 2016	मोबाइल बैंकिंग परिपत्र
17.	डीपीएसएस.सीओ.पीडी नं.812/02.14.003/2016-17	15 सितंबर, 2016	कार्ड उपलब्ध और इलेक्ट्रॉनिक भुगतान लेनदेनों के लिए सुरक्षा और जोखिम कम करने के उपाय - ईएमवी चिप और पिन कार्ड जारी करना
18.	डीपीएसएस.सीओ.पीडीनं.1431/02.14.003/2016-17	06 दिसंबर, 2016	कार्ड नॉट प्रेजेंट लेनदेन - कार्ड नेटवर्क द्वारा उपलब्ध कराए गए प्रमाणीकरण सल्यूशन्स के लिए ₹ 2000/- तक भुगतान के लिए प्रमाणीकरण के अतिरिक्त कारक में छूट
19.	डीपीएसएस.सीओ.पीडी नं.752/02.14.003/2020-21	04 दिसंबर, 2020	संपर्क रहित मोड में कार्ड लेनदेन - प्रमाणीकरण के अतिरिक्त कारक की आवश्यकता में छूट
20.	सीओ.डीपीएसएस.पीओएलसी.सं.S479/02.14.006/ 2021-22	27 अगस्त, 2021	पूर्वदत्त भुगतान लिखतों (पीपीआई) पर मास्टर निदेश
21.	डीपीएसएस.सीओ.पीडी.सं.1810/02.14.008/2019-20	17 मार्च, 2020	भुगतान एग्रीगेटर्स (पीए) पर दिशानिर्देशों का पैरा 12.3