第三方应用程序RBI允许卡网络提供令牌化服务

2019-07-03 14:52:18

印度储备银行(RBI)周二允许授权卡支付网络向任何令牌请求者或第三方应用提供商提供卡片令牌化服务,但须符合某些条件。“此许可适用于所有使用案例/渠道(例如,基于近场通信(NFC)/磁安全传输(MST)的非接触式交易,应用内支付,基于QR码的支付等)或令牌存储机制(云) ,安全元素,可信赖的执行环境等),“央行在其网站上的通知中说。“目前,该设施只能通过手机/平板电脑提供。它将扩展到其他设备,稍后将根据获得的经验进行检查。“

关于卡交易的安全性和安全性的RBI的所有现有指令,包括额外的认证因素(AFA)和PIN输入的授权,也适用于标记化的卡交易。所提供的卡片令牌化服务的最终责任在于授权的卡片网络,不允许从用户那里收回任何用于使用该服务的费用。

在提供卡片令牌化服务之前,将要求授权卡片支付网络以频繁的间隔(至少每年)为参与向客户提供卡片令牌化服务的所有实体建立定期系统审核机制。该系统审核应由印度计算机应急响应小组(CERT-In)的审核员进行,并且还应遵守RBI关于系统审核的所有相关指示。

该审计报告的副本必须发送给RBI,并附有审计员对中央银行规定的条件(如果有的话)的偏差以及对其的遵守情况的评论。此外,每月应向中央银行支付和结算系统部门提交有关服务和交易数据登记卡数量的详细信息。

提供令牌化的条件之一是卡网络必须采取适当的安全措施,以确保除了卡网络之外,任何人都无法从令牌中找到持卡人的PAN,反之亦然。另一个要求是,在令牌请求者的应用程序上注册卡片只能通过AFA明确的客户同意,而不是强制,默认或自动选择复选框,单选按钮或类似设备。

卡网络还需要建立争议解决流程和机制,以确保交易请求源自“已识别的设备”。