भारतीय रिज़र्व बैंक (डिजिटल भुगतान लेनदेन के लिए प्रमाणीकरण तंत्र) निदेश, 2025

Notification Marquee

RbiAnnouncementWeb

असेट प्रकाशक

25 सितंबर 2025 को प्रकाशित

सुनें

पीडीएफ ( 252203 )

भारतीय रिज़र्व बैंक (डिजिटल भुगतान लेनदेन के लिए प्रमाणीकरण तंत्र) निदेश, 2025

आरबीआई/2025-26/79
केका.डीपीएसएस.नीति.सं. एस 668/02-14-015/2025-2026

25 सितंबर 2025

भारतीय रिज़र्व बैंक (डिजिटल भुगतान लेनदेन के लिए प्रमाणीकरण तंत्र) निदेश, 2025

अनुक्रमणिका

6. डिजिटल भुगतान लेनदेन के प्रमाणीकरण के सिद्धांत

7. अंतर-संचालनीयता / निर्बाध पहुँच

8. जोखिम आधारित दृष्टिकोण

9. जारीकर्ता की ज़िम्मेदारी

1. प्रस्तावना

भारत में सभी डिजिटल भुगतान लेनदेनों के लिए प्रमाणीकरण के दो-कारक मानदंड को पूरा करना आवश्यक है। हालाँकि प्रमाणीकरण के लिए कोई विशिष्ट कारक अनिवार्य नहीं किया गया था, फिर भी डिजिटल भुगतान पारिस्थितिकी तंत्र ने मुख्य रूप से एसएमएस-आधारित वन टाइम पासवर्ड (ओटीपी) को अतिरिक्त कारक के रूप में अपनाया है।

जैसा कि 8 फरवरी 2024 को विकासात्मक और नियामक नीतियों पर वक्तव्य में घोषित किया गया था, भुगतान पारिस्थितिकी तंत्र को वैकल्पिक प्रमाणीकरण तंत्रों को लागू करने हेतु तकनीकी प्रगति का लाभ उठाने में सक्षम बनाने के लिए, भारतीय रिज़र्व बैंक (डिजिटल भुगतान लेनदेन के लिए प्रमाणीकरण तंत्र) निदेश, 2025 (इसके बाद "निदेश" के रूप में संदर्भित) प्रकाशित करने का निर्णय लिया गया है। ये निदेश ऐसेव्यापक सिद्धांत प्रदान करते हैं जिनका भुगतान श्रृंखला में सभी प्रतिभागियों द्वारा प्रमाणीकरण के किसी भी रूप का उपयोग करते समय अनुपालन किया जाएगा।

यद्यपि ये निदेश केवल घरेलू लेनदेनों पर लागू होते हैं, भारत में जारी किए गए कार्डों का उपयोग करके किए गए ऑनलाइन अंतर्राष्ट्रीय लेनदेन के लिए समान स्तर की सुरक्षा प्रदान करने के लिए, इन निदेशों में विशिष्ट सीमा पार कार्ड लेनदेन के लिए आवश्यक निर्देश भी शामिल हैं, जो 7 फरवरी 2025 विकासात्मक और नियामक नीतियों पर वक्तव्य के अनुरूप हैं।

ये निदेश भुगतान और निपटान प्रणाली (पीएसएस) अधिनियम, 2007 (2007 का अधिनियम 51) की धारा 10(2) के साथ धारा 18 के तहत जारी किए गए हैं।

2. संक्षिप्त शीर्षक

इन निदेशों को भारतीय रिज़र्व बैंक (डिजिटल भुगतान लेनदेन के लिए प्रमाणीकरण तंत्र) निदेश, 2025 कहा जाएगा।

3. प्रभावी तिथि

1 अप्रैल 2026 तक बैंकों और गैर-बैंक संस्थाओं सहित सभी भुगतान प्रणाली प्रदाता और भुगतान प्रणाली प्रतिभागी इन निदेशों का अनुपालन सुनिश्चित करेंगे, जब तक कि यहाँ किसी विशिष्ट प्रावधान के लिए अन्यथा इंगित न किया गया हो।

4. प्रयोज्यता

क. ये निदेश सभी भुगतान प्रणाली प्रदाताओं और भुगतान प्रणाली प्रतिभागियों (बैंक और गैर-बैंक) पर लागू होंगे।

ख. ये निदेश सभी घरेलू डिजिटल भुगतान लेनदेन पर लागू होंगे, जब तक कि विशेष रूप से अन्यथा छूट न दी गई हो।

5. परिभाषाएँ

I. जब तक संदर्भ में अन्यथा अपेक्षित न हो, निम्नलिखित शब्दों के अर्थ नीचे दिए गए अनुसार होंगे:

क. प्रमाणीकरण: भुगतान निर्देश जारी करने वाले ग्राहक के क्रेडेंशियल्स (साख) को मान्य और पुष्टि करने की प्रक्रिया।

ख. कार्ड नॉट प्रेजेंट (सीएनपी) लेनदेन: ऐसा लेनदेन जहाँ लेनदेन करते समय कार्ड और स्वीकृति अवसंरचना नज़दीक मौजूद न हों।

ग. कार्ड प्रेजेंट लेनदेन: ऐसा लेनदेन जो लेनदेन के समय कार्ड के भौतिक उपयोग के माध्यम से किया जाता है।

घ. सीमा-पार सीएनपी लेनदेन: ऐसा भुगतान निर्देश जिसमें किसी भारतीय जारीकर्ता द्वारा जारी कार्ड का उपयोग किसी विदेशी अधिग्रहणकर्ता द्वारा अधिग्रहीत व्यापारी के पक्ष में भुगतान लेनदेन करने के लिए किया जाता है। ऐसे लेनदेन के लिए विदेशी मुद्रा के बहिर्वाह की परिकल्पना की गई है।

ङ. डिजिटल भुगतान लेनदेन का वही अर्थ होगा जो पीएसएस अधिनियम, 2007 में परिभाषित "इलेक्ट्रॉनिक निधि अंतरण" का है।

च. प्रमाणीकरण का कारक: ग्राहक का क्रेडेंशियल (साख) जिसका उपयोग प्रमाणीकरण के लिए किया जाता है। प्रमाणीकरण के कारक "उपयोगकर्ता के पास कुछ है", "उपयोगकर्ता कुछ जानता है" या "उपयोगकर्ता कुछ है" हो सकते हैं और इसमें अन्य के साथ-साथ, पासवर्ड, एसएमएस आधारित ओटीपी, पासफ़्रेज़, पिन, कार्ड हार्डवेयर, सॉफ़्टवेयर टोकन, फ़िंगरप्रिंट या बायोमेट्रिक्स का कोई अन्य रूप (डिवाइस नेटिव या आधार आधारित) शामिल हो सकते हैं।

छ. जारीकर्ता: एक बैंक या गैर-बैंक जो ग्राहक के खाते का रखरखाव करता है जिससे भुगतान किया जाता है, जैसे कि जमा खाता या क्रेडिट लाइन या प्रीपेड लिखत।

II. इन निर्देशों में प्रयुक्त लेकिन परिभाषित नहीं किए गए और पीएसएस अधिनियम, 2007 में परिभाषित शब्दों और अभिव्यक्तियों के वही अर्थ होंगे जो उस अधिनियम में उन्हें दिए गए हैं।

6. डिजिटल भुगतान लेनदेन के प्रमाणीकरण के सिद्धांत

भुगतान प्रणाली प्रदाता / भुगतान प्रणाली प्रतिभागी(यों) द्वारा भुगतान निर्देश को प्रमाणित करने के लिए प्रयुक्त तकनीक और प्रक्रिया निम्नलिखित सिद्धांतों का पालन करेगी:

क. प्रमाणीकरण के न्यूनतम दो कारक

सभी डिजिटल भुगतान लेनदेन, अनुच्छेद-5(च) में परिभाषित कम से कम दो अलग-अलग प्रमाणीकरण कारकों द्वारा प्रमाणित किए जाएँगे, जब तक कि छूट न दी गई हो। वर्तमान में लागू छूटों की सूची अनुलग्नक-1 में दी गई है।

नोट - जारीकर्ता, अपने विवेकानुसार, इन निदेशों के अनुपालन में अपने ग्राहकों को प्रमाणीकरण कारकों का विकल्प प्रदान कर सकते हैं।

ख. कारकों में से कम से कम एक गतिशील होना चाहिए

यह सुनिश्चित किया जाएगा कि कार्ड प्रेजेंट लेनदेन के अलावा, डिजिटल भुगतान लेनदेन के लिए, प्रमाणीकरण के कम से कम एक कारक को गतिशील रूप से बनाया या सिद्ध किया गया हो, अर्थात, लेनदेन के भाग के रूप में भेजे जा रहे कारक के स्वामित्व का प्रमाण, उस लेनदेन के लिए अद्वितीय हो।

ग. सुदृढ़

प्रमाणीकरण का कारक ऐसा होना चाहिए कि एक कारक के समझौता होने से दूसरे की विश्वसनीयता प्रभावित न हो।

7. अंतर-संचालनीयता / निर्बाध पहुँच

सिस्टम प्रदाता और सिस्टम प्रतिभागी प्रमाणीकरण या टोकनीकरण की सेवा प्रदान करेंगे जो उस ऑपरेटिंग वातावरण में कार्यरत सभी अनुप्रयोगों / टोकन अनुरोधकर्ताओं के लिए सभी उपयोग मामलों / चैनलों या टोकन भंडारण तंत्रों के लिए सुलभ हो।

नोट -

ऑपरेटिंग वातावरण में डिवाइस हार्डवेयर, ऑपरेटिंग सिस्टम आदि शामिल हैं।
'टोकनीकरण', 'टोकन अनुरोधकर्ता', 'उपयोग मामले/चैनल' और 'टोकन भंडारण तंत्र' शब्दों का वही अर्थ होगा जो उन्हें आरबीआई के "टोकनीकरण - कार्ड लेनदेन" पर दिनांक 8 जनवरी 2019 के निदेशों में निर्दिष्ट किया गया है, जिन्हें समय-समय पर संशोधित किया गया है।

8. जोखिम आधारित दृष्टिकोण

जारीकर्ता अपनी आंतरिक जोखिम प्रबंधन नीतियों के अनुरूप, व्यवहारिक / प्रासंगिक मापदंडों, जैसे लेनदेन का स्थान, उपयोगकर्ता व्यवहार पैटर्न, डिवाइस विशेषताएँ, ऐतिहासिक लेनदेन प्रोफ़ाइल, आदि के आधार पर मूल्यांकन हेतु लेनदेन को निर्धारित कर सकते हैं। लेनदेन से जुड़े संभावित जोखिम के आधार पर, न्यूनतम दो-कारक प्रमाणीकरण से परे अतिरिक्त जाँच का सहारा लिया जा सकता है। जारीकर्ता उच्च-जोखिम वाले लेनदेनों की सूचना और पुष्टि के लिए डिजिलॉकर को एक प्लेटफ़ॉर्म के रूप में उपयोग करने पर भी विचार कर सकते हैं।

9. जारीकर्ता की ज़िम्मेदारी

क. जारीकर्ता को परिनियोजन से पहले प्रमाणीकरण तंत्र की सुदृढता और अखंडता सुनिश्चित करनी होगी।

ख. यदि इन निदेशों का पालन किए बिना किए गए लेनदेन से कोई नुकसान होता है, तो जारीकर्ता बिना किसी आपत्ति के ग्राहक को नुकसान की पूरी भरपाई करेगा।

ग. जारीकर्ता को डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 के प्रावधानों का पालन सुनिश्चित करना होगा।

10. सीमा पार लेनदेन

क. उपर्युक्त निदेश डिजिटल भुगतान लेनदेन पर लागू नहीं होते हैं। हालाँकि, कार्ड जारीकर्ता 1 अक्तूबर 2026 तक गैर-आवर्ती, सीमा पार कार्ड मौजूद नहीं (सीएनपी) लेन-देन को मान्य करने के लिए एक तंत्र स्थापित करेंगे, जहाँ प्रमाणीकरण का अनुरोध किसी विदेशी व्यापारी या विदेशी अधिग्रहणकर्ता द्वारा किया जाता है। अनुपालन सुनिश्चित करने के लिए, कार्ड जारीकर्ता अपने बैंक पहचान संख्या (बीआईएन) को कार्ड नेटवर्क के साथ पंजीकृत करेंगे।

ख. इसके अलावा, कार्ड जारीकर्ताओं द्वारा 01 अक्तूबर 2026 तक सभी सीमा-पार सीएनपी लेनदेन की देख-रेख हेतु एक जोखिम-आधारित तंत्र भी स्थापित किया जाएगा।

11. निरसन

निरस्त किए गए परिपत्रों/निदेशों की सूची अनुलग्नक-2 में दी गई है।

अनुलग्नक-1

(संदर्भ: केका.डीपीएसएस.नीति.सं. एस 668/02-14-015/2025-2026 दिनांक 25 सितंबर 2025)

इन निदेशों के पैराग्राफ-6(ए) के अंतर्गत प्रमाणीकरण के कम से कम दो कारकों की आवश्यकता से मौजूदा छूट। समय-समय पर किए गए कोई भी परिवर्धन/संशोधन भी लागू होंगे।

क्र.सं.	यूस केस	मौजूदा निदेश
1.	छोटे मूल्य के संपर्क रहित कार्ड लेनदेन	डीपीएसएस.सीओ.पीडी संख्या 752/02.14.003/2020-21 दिनांक 04 दिसंबर, 2020
2.	ई-मैंडेट ढांचे के अंतर्गत आवर्ती लेनदेन (पहले के अलावा)	डीपीएसएस.सीओ.पीडी.सं.447/02.14.003/2019-20 दिनांक 21 आगस्त 2019 डीपीएसएस.सीओ.पीडी.सं.754/02.14.003/2020-21 दि नांक 04 दिसंबर 2020 केका.डीपीएसएस.नीति.सं.एस-882/02.14.003/2023-24 दिनांक 12 दिसंबर 2023
3.	चुनिंदा प्रीपेड लिखत जैसे पीपीआई-एमटीएस और गिफ्ट पीपीआई	सीओ.डीपीएसएस.पीओएलसी.सं.एस-479/02.14.006/2021-22 दिनांक 27 अगस्त 2021
4.	एनईटीसी लेनदेन	डीपीएसएस.सीओ.पीडी.सं.1227/02.31.001/2019-20 दिनांक 30 दिसंबर 2019
5.	ऑफ़लाइन मोड में छोटे मूल्य के डिजिटल भुगतान	सीओ.डीपीएसएस.पीओएलसी.सं.एस1264/02-14-003/2021-2022
6.	वाणिज्यिक/कॉर्पोरेट कार्ड के माध्यम से वैश्विक वितरण प्रणाली/आईएटीए से जुड़ी यात्रा बुकिंग।	भारतीय बैंक संघ को जारी दिनांक 17 अप्रैल, 2012 का पत्र (डीपीएसएस.केका.पीडी.सं.1910/02.14.003/2011-12)

अनुलग्नक-2

(संदर्भ: केका.डीपीएसएस.नीति.सं. एस 668/02-14-015/2025-2026 दिनांक 25 सितंबर 2025)

निरस्त किए गए परिपत्रों/निदेशों की सूची:

संख्या	परिपत्र सं.	दिनांक	विषय
1.	आरबीआई/डीपीएसएस सं.1501/02.14.003/2008-2009	18 फ़रवरी 2009	क्रेडिट / डेबिट कार्ड लेनदेन- सुरक्षा मामले और जोखिम शमन के उपाय
2.	आरबीआई/डीपीएसएस संख्या 2303/02.14.003/2009-2010	23 अप्रैल 2010	क्रेडिट/डेबिट कार्ड लेनदेन - आईवीआर लेनदेन के लिए सुरक्षा संबंधी मुद्दे और जोखिम न्यूनीकरण उपाय
3.	आरबीआई/डीपीएसएस सं.914/02.14.003/2010-2011	25 अक्टूबर 2010	क्रेडिट/डेबिट कार्ड लेनदेन- कार्ड मौजूद नहीं (दूरस्थ) लेन-देन से संबंधित सुरक्षा मुद्दे और जोखिम कम करने के उपाय
4.	डीपीएसएस.सीओ.सं.1503/02.14.003/2010-2011	31 दिसंबर 2010	कार्ड मौजूद नहीं (दूरस्थ) लेन-देन से संबंधित सुरक्षा मुद्दे और जोखिम कम करने के उपाय
5.	भुनिप्रवि केंका.नीप्र. 2224/02.14.003/2010-2011	29 मार्च 2011	सुरक्षा मुद्दे और जोखिम न्यूनीकरण उपाय- क्रेडिट/डेबिट कार्ड के उपयोग पर कार्डधारक को ऑनलाइन एलर्ट
6.	भुनिप्रवि.पीडी.केंका.सं. 223/02.14.003/2011-2012	4 अगस्त 2011	कार्ड उपलब्‍ध नहीं (सीएनपी) लेनदेनों संबंधी सुरक्षा मामले और जोखिम कम करने के उपाय
7.	डीपीएसएस.सीओ.पीडी.सं. 371/02.14.003/2014-2015	22 अगस्त 2014	सुरक्षा मामले और कार्ड नॉट प्रेजेंट (सीएनपी) लेनदेन से संबंधित जोखिम कम करने के उपाय
8.	डीपीएसएस.सीओ.पीडी.सं.1431/02.14.003/2016-17	6 दिसंबर 2016	कार्ड नॉट प्रेजेंट लेनदेन - कार्ड नेटवर्क द्वारा उपलब्ध कराए गए प्रमाणीकरण सल्यूशन्स के लिए ₹ 2000/- तक भुगतान के लिए प्रमाणीकरण के अतिरिक्त कारक में छूट