भारिबैं/2011-12/194
भुनिप्रवि.पीडी.केंका.सं. 513 / 02.14.003 / 2011-2012

22 सितंबर 2011

अध्यक्ष और प्रबंध निदेशक/मुख्य कार्यकारी अधिकारी
क्षेत्रीय ग्रामीण बैंकों/शहरी सहकारी बैंकों/राज्य सहकारी बैंकों/
जिला केंद्रीय सहकारी बैंकों/अधिकृत कार्ड भुगतान नेटवर्कों सहित
सभी अनुसूचित वाणिज्यिक बैंक

महोदया / महोदय

कार्ड उपलब्‍ध (सीपी) लेनदेनों संबंधी सुरक्षा मामले और जोखिम कम करने के उपाय

जैसा कि आप जानते हैं, कि यह सुनिश्चित करने के प्रयास में कि देश में संचालित भुगतान प्रणालियां सुरक्षित, अच्‍छी और दक्ष हैं, भारतीय रिज़र्व बैंक इन प्रणालियों में धोखाधड़ी की घटनाओं को रोकने के लिए अतिसक्रिय उपाय करता रहा है। ऐसा ही एक उपाय कार्ड अनुपलब्‍ध (सीएनपी) लेनदेनों को सुरक्षित बनाना है, जिसे क्रेडिट/डेबिट/प्रीपेड कार्ड पर अनुपलब्‍ध सूचना के आधार पर सभी ऑनलाइन/आईवीआर/मोटो/आवर्ती लेनदेनों के लिए बैंकों द्वारा अतिरिक्‍त प्रमाणीकरण/वैधीकरण करना अनिवार्य कर दिया गया है।

2. कार्ड उपलब्‍ध (सीपी) लेनदेनों (एटीएम और पीओएस वितरण चैनलों में लेनदेन) का देश में कार्ड आधारित लेनदेनों में बड़ा अनुपात है। हालांकि एटीएम से नकद आहरणके लिए पिन सत्यापन आवश्यक है, लेकिन पीओएस पर अधिकांश कार्ड लेनदेन किसी अतिरिक्त प्रमाणीकरण (हस्ताक्षर के अलावा) के लिए सक्षम नहीं हैं। भारत में बैंकों द्वारा जारी अधिकांश कार्ड मैगस्‍ट्राइप (Magstripe) कार्ड हैं और इस तरह के कार्डों पर संचित डेटा स्किमिंग और क्लोनिंग के प्रति असुरक्षित हैं।

3. विभिन्न वितरण चैनलों में क्रेडिट/डेबिट कार्ड के उपयोग में हुई वृद्धि ने भी कार्ड खोने/चोरी  होने, डेटा को जोखिम में डालने और कार्ड स्किम्ड किये जाने/जाली होने के कारण धोखाधड़ी में बढ़ोत्‍तरी की है। इसलिए ऐसे कार्ड आधारित लेनदेनों(सीपी लेनदेनों) को सुरक्षित करना और कार्ड धारकों के हितों की रक्षा करना अत्‍यावश्‍यक है। इसके लिए भारतीय रिज़र्व बैंक ने, इन पहलुओं की जांच करने और एक ऐसी कार्य योजना की सिफारिश करने जो कि आर्थिक प्रणाली को विश्‍वसनीय और आसान बनाये, के लिए विभिन्न हितधारकों के प्रतिनिधित्‍व सहित  मार्च 2011 में एक कार्य समूह का गठन किया था। इस समूह ने जून 2011 में अपनी रिपोर्ट प्रस्तुत की और इसकी सिफारिशों में अन्य बातों के साथ सभी सी.पी. लेनदेनों के लिए मैगस्‍ट्राइप (Magstripe) कार्ड के साथ पिन के स्‍थान पर 'आधार'(भारतीय विशिष्‍ट पहचान प्राधिकरण की पहल) के उपयोग आधारित बॉयोमीट्रिक प्रमाणीकरण का सतत कारक होना शामिल है। ईएमवी चिप और पिन आधारित कार्ड में पूर्ण स्‍थानांतरण की आवश्‍यकता पर लगभग 18 महीनों में 'आधार'की प्रगति के आधार पर विचार किया जा सकता है। समूह ने प्रौद्योगिकी बुनियादी ढांचे को सुरक्षित करने, धोखाधड़ी जोखिम प्रबंधन तरीकों में सुधार लाने और 12-24 महीनों की अवधि के भीतर मर्चेन्‍ट सोर्सिंग प्रक्रिया को मजबूत करने के उपायों की सिफारिश की है। इस रिपोर्ट की जांच की गयी और उसमें की गयी सिफारिशों को मोटे तौर पर भारतीय रिज़र्व बैंक द्वारा स्वीकार किया गया है। (रिपोर्ट /documents/87730/39711208/SCP020611FS.pdf पर उपलब्ध है)

4. तदनुसार, बैंकों और अन्य हितधारकों को निर्देश दिया जाता है कि वे प्रत्‍येक कार्य के सामने दर्शाये गये समय के भीतर निम्नलिखित कार्यों को पूरा करने के लिए तत्काल कार्रवाई शुरू करें।

क. मौजूदा भुगतान बुनियादी ढांचा और प्रणाली की भविष्य प्रूफिंगका मजबूतीकरण:

ख. कार्ड स्‍वीकरण के लिए बुनियादी ढांचा/ तैयारी:

ग. अंतर्राष्‍ट्रीय स्‍तर पर उपयोग किये जा रहे डेबिट/क्रेडिटकार्ड:

5. कार्ड आधारित लेनदेनोंके लिए ईएमवी चिप और पिन प्रौद्योगिकी पर पूर्ण अंतरण की जरूरत का आकलन करने के लिए कार्ड उपलब्‍ध लेनदेनों के प्रमाणीकरण के दूसरे कारक के रूप में 'आधार'-आधारित बॉयोमीट्रिक प्रमाणीकरण की स्थिति की समीक्षा दिसंबर 2012 के अंत तक की जाएगी। हालांकि यह स्पष्ट किया जाता है कि ईएमवी चिप और पिन आधारित प्रौद्योगिकी पर अंतरण करने के लिए बैंक अपने वाणिज्यिक निर्णय और अपने बोर्डों द्वारा लिए गए निर्णयों के आधार पर स्वतंत्र हैं। आगे यह भी स्पष्ट किया जाता  है कि भारतीय रिज़र्व बैंक पिन के प्रकार और इसकी प्रकृति (स्थिर या गतिशील) के संबं‍ध में प्रौद्योगिकी तटस्थ है।

6. बैंक और अन्य हितधारक की गयी कार्रवाई की प्रगति की निगरानी सतत आधार पर करें और इस संबंध में अपने बोर्डों को विस्तृत रिपोर्ट त्रैमासिक आधार पर प्रस्‍तुत करें।

7. यह निर्देश भुगतान और निपटान प्रणाली अधिनियम, 2007 (2007 के अधिनियम 51) की धारा 18 के तहत जारी किया जाता है।

कृपया प्राप्ति सूचना दें।

भवदीय

विजय चुग
मुख्य महाप्रबंधक