インド準備銀行(RBI)は火曜日に、決済システムの安全性とセキュリティを向上させるために、カードトークン化サービスに関するガイドラインを強化しました。 RBIはリリースで、デバイスベースのトークン化フレームワークが2019年1月と2021年8月のビデオ回覧をアドバイスし、カードオンファイルトークン化(CoFT)サービスにも拡張されたと述べました。さらに、カード発行者は、トークンサービスプロバイダー(TSP)としてカードトークン化サービスを提供することが許可されています。
「カードデータのトークン化は、追加の認証要素(AFA)を必要とする明示的な顧客の同意を得て行われるものとします」とRBIは述べています。
このリリースによると、上記の機能強化により、カード取引の利便性を維持しながら、カードデータの安全性とセキュリティが強化されることが期待されています。
RBIは、オンラインでカード取引を行う際のユーザーの利便性と快適性を理由に、カード決済取引チェーンに関与する多くのエンティティは、カードオンファイル(CoF)とも呼ばれる実際のカードの詳細を保存できると述べました。
「実際、一部の加盟店は顧客にカードの詳細を保存するように強制しています。多数の加盟店でこのような詳細を利用できると、カードデータが盗まれるリスクが大幅に高まります。最近、一部の加盟店が保存したカードデータが多くの法域ではカード取引にAFAが必要ないため、CoFデータの漏洩は深刻な影響を与える可能性があります。盗まれたカードデータは、ソーシャルエンジニアリング技術を通じてインド国内で詐欺を実行するためにも使用できます」とリリースは述べています。
したがって、RBIは、2020年3月に、承認された支払いアグリゲーターとそれらに参加している加盟店が実際のカードデータを保存してはならないことを規定していました。