भारिबैं/2011-12/194
भुनिप्रवि.पीडी.केंका.सं. 513 / 02.14.003 / 2011-2012 22 सितंबर 2011 अध्यक्ष और प्रबंध निदेशक/मुख्य कार्यकारी अधिकारी
क्षेत्रीय ग्रामीण बैंकों/शहरी सहकारी बैंकों/राज्य सहकारी बैंकों/
जिला केंद्रीय सहकारी बैंकों/अधिकृत कार्ड भुगतान नेटवर्कों सहित
सभी अनुसूचित वाणिज्यिक बैंक महोदया / महोदय कार्ड उपलब्ध (सीपी) लेनदेनों संबंधी सुरक्षा मामले और जोखिम कम करने के उपाय जैसा कि आप जानते हैं, कि यह सुनिश्चित करने के प्रयास में कि देश में संचालित भुगतान प्रणालियां सुरक्षित, अच्छी और दक्ष हैं, भारतीय रिज़र्व बैंक इन प्रणालियों में धोखाधड़ी की घटनाओं को रोकने के लिए अतिसक्रिय उपाय करता रहा है। ऐसा ही एक उपाय कार्ड अनुपलब्ध (सीएनपी) लेनदेनों को सुरक्षित बनाना है, जिसे क्रेडिट/डेबिट/प्रीपेड कार्ड पर अनुपलब्ध सूचना के आधार पर सभी ऑनलाइन/आईवीआर/मोटो/आवर्ती लेनदेनों के लिए बैंकों द्वारा अतिरिक्त प्रमाणीकरण/वैधीकरण करना अनिवार्य कर दिया गया है। 2. कार्ड उपलब्ध (सीपी) लेनदेनों (एटीएम और पीओएस वितरण चैनलों में लेनदेन) का देश में कार्ड आधारित लेनदेनों में बड़ा अनुपात है। हालांकि एटीएम से नकद आहरणके लिए पिन सत्यापन आवश्यक है, लेकिन पीओएस पर अधिकांश कार्ड लेनदेन किसी अतिरिक्त प्रमाणीकरण (हस्ताक्षर के अलावा) के लिए सक्षम नहीं हैं। भारत में बैंकों द्वारा जारी अधिकांश कार्ड मैगस्ट्राइप (Magstripe) कार्ड हैं और इस तरह के कार्डों पर संचित डेटा स्किमिंग और क्लोनिंग के प्रति असुरक्षित हैं। 3. विभिन्न वितरण चैनलों में क्रेडिट/डेबिट कार्ड के उपयोग में हुई वृद्धि ने भी कार्ड खोने/चोरी होने, डेटा को जोखिम में डालने और कार्ड स्किम्ड किये जाने/जाली होने के कारण धोखाधड़ी में बढ़ोत्तरी की है। इसलिए ऐसे कार्ड आधारित लेनदेनों(सीपी लेनदेनों) को सुरक्षित करना और कार्ड धारकों के हितों की रक्षा करना अत्यावश्यक है। इसके लिए भारतीय रिज़र्व बैंक ने, इन पहलुओं की जांच करने और एक ऐसी कार्य योजना की सिफारिश करने जो कि आर्थिक प्रणाली को विश्वसनीय और आसान बनाये, के लिए विभिन्न हितधारकों के प्रतिनिधित्व सहित मार्च 2011 में एक कार्य समूह का गठन किया था। इस समूह ने जून 2011 में अपनी रिपोर्ट प्रस्तुत की और इसकी सिफारिशों में अन्य बातों के साथ सभी सी.पी. लेनदेनों के लिए मैगस्ट्राइप (Magstripe) कार्ड के साथ पिन के स्थान पर 'आधार'(भारतीय विशिष्ट पहचान प्राधिकरण की पहल) के उपयोग आधारित बॉयोमीट्रिक प्रमाणीकरण का सतत कारक होना शामिल है। ईएमवी चिप और पिन आधारित कार्ड में पूर्ण स्थानांतरण की आवश्यकता पर लगभग 18 महीनों में 'आधार'की प्रगति के आधार पर विचार किया जा सकता है। समूह ने प्रौद्योगिकी बुनियादी ढांचे को सुरक्षित करने, धोखाधड़ी जोखिम प्रबंधन तरीकों में सुधार लाने और 12-24 महीनों की अवधि के भीतर मर्चेन्ट सोर्सिंग प्रक्रिया को मजबूत करने के उपायों की सिफारिश की है। इस रिपोर्ट की जांच की गयी और उसमें की गयी सिफारिशों को मोटे तौर पर भारतीय रिज़र्व बैंक द्वारा स्वीकार किया गया है। (रिपोर्ट /documents/87730/39711208/SCP020611FS.pdf पर उपलब्ध है) 4. तदनुसार, बैंकों और अन्य हितधारकों को निर्देश दिया जाता है कि वे प्रत्येक कार्य के सामने दर्शाये गये समय के भीतर निम्नलिखित कार्यों को पूरा करने के लिए तत्काल कार्रवाई शुरू करें। क. मौजूदा भुगतान बुनियादी ढांचा और प्रणाली की भविष्य प्रूफिंगका मजबूतीकरण:
क्र.सं. |
कार्य |
पूर्ण करने की तारीख |
रिपोर्ट संदर्भ |
1. |
बेहतर धोखाधड़ी जोखिम प्रबंध तरीकों का कार्यान्वयन |
30 सितंबर 2012 |
पृष्ठ16 |
2. |
मर्चेन्ट सोर्सिंग और निगरानी प्रक्रिया को मजबूत करना |
30 सितंबर 2012 |
पृष्ठ17और18 |
3. |
प्रौद्योगिकी बुनियादी ढांचा (विशिष्ट कुंजी प्रति टर्मिनल- यूकेपीटी या व्युत्पन्न विशिष्ट कुंजी प्रति लेनदेन-डीयूकेपीटी/टर्मिनल लाइन एन्क्रिप्शन- टीएलई) को सुरक्षित करना |
30 सितंबर 2013 |
पृष्ठ15 |
ख. कार्ड स्वीकरण के लिए बुनियादी ढांचा/ तैयारी:
क्र.सं. |
कार्य |
पूर्ण करने की तारीख |
रिपोर्ट संदर्भ |
1. |
पीओएस लेनदेनों के संगत पिन के लिए बुनियादी ढा़चे की प्राप्ति की वाणिज्यिक तैयारी। ईएमवी चिप कार्ड स्वीकरण हेतु पीओएसबुनियादी ढा़चे को तैयार करना। |
30 जून 2013 |
पृष्ठ 23 |
2. |
पिन सहित डेबिट कार्ड लेनदेनों को स्वीकार करने के लिए सभी पीओएस टर्मिनल को सक्षम करना। |
30 जून 2013 |
पृष्ठ 24 |
3. |
ईएमवी जारी करने के लिए जारीकर्ता का तकनीकी परिप्रेक्ष्य से तैयार रहना |
30 जून 2013 |
पृष्ठ 23 |
ग. अंतर्राष्ट्रीय स्तर पर उपयोग किये जा रहे डेबिट/क्रेडिटकार्ड:
क्र.सं. |
कार्य |
पूर्ण करने की तारीख |
रिपोर्ट संदर्भ |
1. |
ईएमवी चिप कार्ड और पिन उन्हीं ग्राहकों को जारी किये जाएं जिन्होंने किसी विदेशी स्थान में अपने डेबिट/क्रेडिट कार्ड का उपयोग करके कम से कम एक बार खरीदारी की हो। |
30 जून 2013 |
पृष्ठ 24 |
5. कार्ड आधारित लेनदेनोंके लिए ईएमवी चिप और पिन प्रौद्योगिकी पर पूर्ण अंतरण की जरूरत का आकलन करने के लिए कार्ड उपलब्ध लेनदेनों के प्रमाणीकरण के दूसरे कारक के रूप में 'आधार'-आधारित बॉयोमीट्रिक प्रमाणीकरण की स्थिति की समीक्षा दिसंबर 2012 के अंत तक की जाएगी। हालांकि यह स्पष्ट किया जाता है कि ईएमवी चिप और पिन आधारित प्रौद्योगिकी पर अंतरण करने के लिए बैंक अपने वाणिज्यिक निर्णय और अपने बोर्डों द्वारा लिए गए निर्णयों के आधार पर स्वतंत्र हैं। आगे यह भी स्पष्ट किया जाता है कि भारतीय रिज़र्व बैंक पिन के प्रकार और इसकी प्रकृति (स्थिर या गतिशील) के संबंध में प्रौद्योगिकी तटस्थ है। 6. बैंक और अन्य हितधारक की गयी कार्रवाई की प्रगति की निगरानी सतत आधार पर करें और इस संबंध में अपने बोर्डों को विस्तृत रिपोर्ट त्रैमासिक आधार पर प्रस्तुत करें। 7. यह निर्देश भुगतान और निपटान प्रणाली अधिनियम, 2007 (2007 के अधिनियम 51) की धारा 18 के तहत जारी किया जाता है। कृपया प्राप्ति सूचना दें। भवदीय विजय चुग
मुख्य महाप्रबंधक |
