सितंबर में मौद्रिक नीति की समीक्षा पेश करने के बाद मीडिया से बातचीत करते हुए भारतीय रिजर्व बैंक (आरबीआई) के डिप्टी गवर्नर टी रवि शंकर ने कहा कि डेबिट और क्रेडिट कार्ड के विवरण के बदले टोकन यानी एक विशिष्ट वैकल्पिक कोड (टोकनाइजेशन) बनाने की शुरुआत 1 अक्टूबर से होगी, हालांकि इसको अपनाने में देरी हो सकती है क्योंकि संभव है कि कई लोग नियमों का पालन करने के इच्छुक नहीं हो सकते हैं।
शंकर के अनुसार, अब तक 35 करोड़ टोकन बनाए गए हैं और लगभग 63,000 करोड़ रुपये मूल्य के 40 प्रतिशत ऑनलाइन कार्ड लेनदेन के टोकन पहले ही बनाए जा चुके हैं। टोकनाइजेशन क्या है और हमें इसकी आवश्यकता क्यों है? कसीनो में, कसीनो केज, गेमिंग टेबल या कैशियर के काउंटर पर टोकन के लिए पैसे का आदान-प्रदान किया जाता है। कसीनो में टोकन के पैसे के साथ अदला-बदली की जा सकती है लेकिन कसीनो के बाहर इसका कोई मूल्य नहीं है।
लेकिन हम यहां एक अलग तरह के टोकन की बात कर रहे हैं। जब हम अपने क्रेडिट और डेबिट कार्ड का उपयोग करके ऑनलाइन कुछ भी खरीदते हैं तब हमारे पास दो विकल्प होते हैं। पहला, जब हम किसी वेब प्लेटफॉर्म पर खरीदारी करते हैं तब हम हर बार कार्ड का पूरा विवरण डालते हैं और कार्ड का विवरण सेव किए बिना ही चीजें खरीदते हैं। दूसरा, हम कार्ड का विवरण सेव करते हैं और साथ ही इन्हें स्टोर करने की अनुमति देते हैं।
कुछ मंच ग्राहकों को सेव का विकल्प देते हैं लेकिन आमतौर पर उन लोगों के लिए जो अक्सर खरीदारी करते हैं और उनके कार्ड विवरण संग्रह किए जाते हैं। कुछ ऑनलाइन बाजार, खरीदारों के चाहने या न चाहने के बावजूद भी कार्ड के विवरण सेव करते हैं। जब हम सीधे दुकानों से चीजें खरीदते हैं और कार्ड स्वाइप कर भुगतान करते हैं तब भी इसमें कार्ड की कोई जानकारी संग्रह नहीं होती है।
कार्ड विवरण तक किसकी पहुंच हो सकती है? इसका ब्योरा कार्ड जारी करने वाले बैंक, क्रेडिट कार्ड नेटवर्क जैसे वीजा, मास्टरकार्ड, अमेरिकन एक्सप्रेस, रुपे, डाइनर्स क्लब और निश्चित रूप से कार्ड के उपयोगकर्ता के पास भी होता है।
व्यापारियों और भुगतान एग्रीगेटरों के पास भी उपभोक्ताओं का कार्ड विवरण होता है और इसी वजह से कई तरह की समस्याएं खड़ी हो रही हैं। इनके पास खरीदार के नाम, कार्ड विवरण के साथ ही खरीदार की खर्च करने की आदत से जुड़ी सूचनाएं भी होती हैं। इसी वजह से इसके हैक होने का जोखिम और बढ़ जाता है और इंटरनेट की दुनिया में इन विवरणों की मौजूदगी भी जोखिम बढ़ाती है। वे बैंकों और क्रेडिट कार्ड नेटवर्क की तुलना में अधिक धोखाधड़ी करने में माहिर हैं।
डार्क वेब, जिसे डार्क नेट भी कहा जाता है वह इंटरनेट का एक हिस्सा है जिसका इंडेक्स सर्च इंजन द्वारा तैयार नहीं किया जाता है और जिस तक केवल टोर नाम के एक अनाम ब्राउजर के इस्तेमाल से पहुंच बनाई जा सकती है। डार्क वेब से कोई भी कार्ड धारकों के कार्ड डेटा और खर्च करने की आदतों की जानकारी पैसे खर्च करके हासिल कर सकता है।
किसी भी खरीद के लिए जैसे ही कोई ग्राहक किसी वेबसाइट पर सीवीवी (कार्ड सत्यापन से जुड़ा अंक) नंबर डालता है तब यह एक भुगतान एग्रीगेटर के जरिये कार्ड जारी करने वाले बैंक में चला जाता है। एक बार जब बैंक इसे मंजूरी दे देता है तब कोई भी लेन-देन पूरा होता है। ये नेटवर्क तथाकथित तौर पर वैसे बैंक जो प्वाइंट ऑफ सेल या पीओएस मशीन के मालिक हैं और कार्ड जारी करने वाले बैंक के बीच लेनदेन के लिए मंजूरी देता है या फिर उसे अस्वीकार करता है। साथ ही ये नेटवर्क सीवीवी नंबर संग्रह नहीं करते हैं।
जोखिम खत्म करने और डेटा चोरी से ग्राहकों की सुरक्षा का आश्वासन देने का एक तरीका यह है कि उन जगहों की संख्या कम कर दी जाए जहां जानकारी संग्रह की जाती है। बैंकों, कार्ड नेटवर्क और कार्डधारक भले ही इसकी जानकारी रखें लेकिन खरीदारी वाले वेबसाइट या भुगतान एग्रीगेटरों के लिए इन जानकारी का संग्रह करने की आवश्यकता नहीं है।
यहां से टोकनाइजेशन की भूमिका शुरू होती है। यह डेबिट/क्रेडिट कार्ड की 16 अंकों की संख्या, नाम, एक्सपायरी तिथियों की जगह लेनदेन वाली वेबसाइट पर भविष्य के भुगतान के लिए संग्रह किए गए विवरण के कोड को टोकन के रूप में बदल देता है।
आरबीआई ने विवरणों के विशिष्ट कोड को टोकन में बदलने की प्रक्रिया से जुड़े टोकनाइजेशन पर पहला कदम जनवरी 2019 में उठाया था। मार्च 2020 में, इसने भुगतान एग्रीगेटर और भुगतान के विभिन्न विकल्पों के लिए दिशानिर्देश जारी किए। उस साल जुलाई में लागू हुए मानदंडों ने ग्राहकों के कार्ड डेटाबेस को संग्रह करने से प्रतिबंधित कर दिया था।
कुछ ऑनलाइन मंच चाहते थे कि नियामक इस पर दोबारा विचार करे क्योंकि उन्हें इस बात की आशंका है कि उनके मंच पर ग्राहकों के भुगतान पर इसका बड़ा असर पड़ेगा। एक क्लिक में भुगतान करने की प्रक्रिया के बाद अब हरेक लेनदेन के लिए कार्ड विवरण दर्ज करने की ओर स्थानांतरण वास्तव में थकाऊ और समय लगने वाली प्रक्रिया है।
यह ग्राहक की सुरक्षा और सुविधा के बीच का एक विकल्प था। आरबीआई ने पहली प्रक्रिया को प्राथमिकता दी क्योंकि उसका मानना है कि विवरण स्टोर करने की जगह जितनी कम होगी, डिजिटल ग्राहकों को धोखाधड़ी और साइबर हमलों के जोखिम से बचाने के साथ ऐसी घटनाएं कम हो सकती हैं।
उपभोक्ताओं के लिए कुछ भी नहीं बदला है क्योंकि टोकन सिर्फ कार्ड से जुड़े ब्योरे की जगह ले रहा है। अगर खरीदारी से जुड़ी वेबसाइट के पास कार्ड विवरण नहीं है और अगर वेबसाइट हैक हो जाती है तब भी हैकर को सिर्फ टोकन ही मिल सकता है। कारोबार से जुड़ी हरेक वेबसाइटें सभी ग्राहकों के एक विशिष्ट टोकन तैयार करती हैं जिसका इस्तेमाल कहीं और नहीं किया जा सकता है।
कार्डधारक किसी व्यापारिक वेबसाइट द्वारा दिए गए ऐप पर अनुरोध कर अपने कार्ड का टोकन बनवा सकते हैं। ये व्यापारिक वेबसाइटें कार्ड नेटवर्क को अपना अनुरोध भेज सकती है जो कार्ड जारी करने वाली कंपनी की सहमति से मुफ्त में टोकन जारी करेगा। टोकनाइजेशन की सुविधा मोबाइल फोन, टैबलेट, लैपटॉप, डेस्कटॉप, कलाई की घड़ी और बैंड जैसी पहनने लायक चीजें, आईओटी या इंटरनेट ऑफ थिंग्स उपकरणों आदि पर उपलब्ध है। हालांकि यह ग्राहकों के लिए अनिवार्य नहीं है।
उनके पास टोकनाइजेशन के लिए अपने कार्ड को पंजीकृत कराने और अपंजीकृत कराने का भी विकल्प है। टोकनाइजेशन अनुरोध के लिए पंजीकरण ग्राहक की सहमति के साथ, प्रमाणीकरण के अतिरिक्त कारक (एएफए) के माध्यम से किया जाता है न कि चेक बॉक्स के स्वचालित चयन के माध्यम से।
ग्राहकों को इसके उपयोग का चयन करने और इसकी सीमा निर्धारित करने का भी विकल्प भी दिया जाता है जिसे संशोधित किया जा सकता है। टोकन वाले कार्ड की लेनदेन के लिए रोज की सीमा भी निर्धारित की जा सकती है। दुनिया में कहीं भी ग्राहक की सुरक्षा के लिए यह प्रयोग नहीं किया गया है। दो स्तर पर प्रमाणीकरण की प्रक्रिया भी विशिष्ट मानी जा सकती है।
किसी भी ऑनलाइन लेनदेन का पहला चरण, व्यापारिक वेबसाइट के भुगतान मंच पर कार्ड का विवरण देने के साथ पूरा होता है और फिर ग्राहकों के मोबाइल फोन पर एक वन-टाइम पासवर्ड (ओटीपी) भेजा जाता है जिसे खरीदारी पूरी करने की प्रक्रिया के लिए डालने की आवश्यकता होती है।
आमतौर पर 5,000 रुपये से अधिक के हर भुगतान के लिए दो चरणों वाली सत्यापन प्रक्रिया अनिवार्य है। कई लोगों का मानना है कि जब यह लेनदेन की सुरक्षा बढ़ाता है तब इससे छोटे व्यापारी प्रभावित होते हैं। अक्टूबर 2021 से, ग्राहकों के लिए 5,000 रुपये से अधिक के प्रत्येक भुगतान के लिए सहमति अनिवार्य कर दी गई थी और स्वतः तरीके से पैसे कटने के प्रचलित नियमों की जगह हर बार भुगतान करने के लिए दो चरणों के प्रमाणीकरण की प्रक्रिया पूरी की जाती है।
5,000 रुपये तक के भुगतान के लिए, ग्राहकों को अब एएफए के बिना आवर्ती भुगतान के लिए पहले के किसी भी निर्देश को फिर से प्रमाणित करने की आवश्यकता है। कुछ समय पहले तक, भले ही कोई एक बार ऑनलाइन लेनदेन कर रहा हो लेकिन व्यापारिक वेबसाइटें चेकआउट के बाद भी कम से कम छह महीने तक डेटा को सेव करती थीं और ऐसा अक्सर ग्राहक की सहमति के बिना किया जाता था।
आखिर वे ऐसा क्यों करती थीं? इसकी वजह यह थी कि अगर कोई ग्राहक खरीदे गए माल को वापस करना चाहता है या फिर किसी विवाद का समाधान करना हो तब उसके लिए यह जरूरी था। आरबीआई ने हाल ही में ऐसी किसी स्थिति के लिए इस समय को घटाकर चार दिन कर दिया है।
