இந்தியாவில் சுமார் 100 கோடி டெபிட் கார்டுகளும், கிரெடிட் கார்டுகளும் புழக்கத்தில் உள்ளன. இதன் மூலம் தினமும் கிட்டத்தட்ட 1.5 கோடி பரிவர்த்தனைகள் மேற்கொள்ளப்படுவதோடு ரூ.4,000 கோடி அளவுக்கான வர்த்தகம் நடைபெற்றுவருவதாக சமீபத்தில் நடந்து முடிந்த சிஐஐ (CII) கருத்தரங்கில் தெரிவிக்கப்பட்டது. குறிப்பாக, பெருந்தொற்றுக் காலத்தில் ஆன்லைன் வழியான பரிவர்த்தனையானது பலமடங்கு அதிகரித்திருப்பதாகப் புள்ளிவிவரங்கள் கூறுகின்றன. ஆன்லைன் மூலமான பரிவர்த்தனைகள் அதிகரித்துவருவதுபோலவே அது தொடர்பான மோசடிகளும் அதிகரித்துவருகின்றன என்பதைப் பயன்பாட்டாளர்களான நீங்களும் அறிந்திருப்பீர்கள். இதற்குத் தீர்வு காணும் பொருட்டும், பயனாளர்களின் நலனைக் காக்கும் பொருட்டும் மத்திய ரிசர்வ் வங்கியானது ‘அடையாளக் குறியாக்கம் அல்லது டோக்கன் முறை’ (Tokenisation) என்கிற ஒரு மாற்றுவழியை அறிமுகப்படுத்தியுள்ளது.
2022, ஜனவரி 1 முதல் வங்கிகளும், ஆன்லைன் பரிவர்த்தனையில் ஈடுபட்டிருக்கும் வர்த்தகர்களும் டோக்கன் நடைமுறையைக் கொண்டுவர வேண்டும் என்று செப்டம்பர் மாதம் அறிவிப்பொன்றை ரிசர்வ் வங்கி வெளியிட்டது. ஆனால், எஸ்பிஐ, ஹெச்டிஎஃப்சி, ஐசிஐசிஐ போன்ற முன்னணி வங்கிகள் இந்த முறையை நடைமுறைப்படுத்த அனைத்து நடவடிக்கைகளையும் எடுத்துத் தயாராக இருந்தாலும் பெரும்பாலான வர்த்தக நிறுவனங்களும், சிறிய வங்கிகள் பலவும் இன்னும் இதற்குத் தயாரான நிலையில் இல்லை. எனவே, டோக்கன் முறையை நடைமுறைப்படுத்துவதற்கான காலக்கெடு 2022, ஜூன் மாதத்துக்கு ஒத்திவைக்கப்பட்டிருக்கிறது.
சரி, அது என்ன டோக்கன் முறை? அதைப் பார்ப்பதற்கு முன்பு ஆன்லைன் பரிவர்த்தனையில் தற்போது நடைமுறையில் இருக்கும் வழக்கத்தைப் பார்க்கலாம்.
தற்போதைய நடைமுறை
இப்போது, ஒருவர் ஆன்லைனில் ஏதேனும் பொருளையோ சேவையையோ வாங்க வேண்டுமெனில் ‘பில்லிங்’ அல்லது ‘செக் அவுட்’ பகுதிக்குச் சென்று மூன்று நடவடிக்கைகளை மேற்கொள்வார். அவை டெபிட் / கிரெடிட் கார்டின் எண்ணைப் பதிவிடுவது, கார்டில் இருக்கும் மூன்றிலக்க CVV எண்ணைப் பதிவிடுவது, அதன் பின் கைபேசி அல்லது மின்னஞ்சலுக்கு வரும் ‘OTP’யைப் பதிவுசெய்து பணம் செலுத்துவது.
இதோடு நீங்கள் விருப்பப்பட்டால் இந்தத் தகவலை நிரந்தரமாக அந்த வர்த்தக நிறுவனம் அல்லது அதன் தளத்தில் சேமித்து வைத்துக்கொள்ள ஒப்புதல் அளிக்கலாம். இதனால் ஒருவர் அடுத்தடுத்து அந்தத் தளத்தில் பரிவர்த்தனை செய்யும்போது மீண்டும் மீண்டும் டெபிட்/கிரெடிட் கார்டின் எண்ணைப் பதிவு செய்யத் தேவையில்லை. ஆனால் இதைச் சேமித்து வைக்கும் தளத்திலிருந்து கார்டு குறித்த தகவல்களை `ஹேக்’ செய்வதன் மூலம் விவரங்களைக் களவாடி, கார்டு உரிமையாளருக்குத் தெரியாமலேயே `களவாடியவர்’ பரிவர்த்தனைகளை மேற்கொள்ள முடியும். இதைத் தவிர்க்கும் பொருட்டே டோக்கன் முறையை நடைமுறைப்படுத்துமாறு ஆன்லைன் பரிவர்த்தனையில் ஈடுபட்டிருக்கும் நிறுவனங்களை மத்திய ரிசர்வ் வங்கி கட்டாயத்துக்கு உள்ளாக்கியிருக்கிறது.
டோக்கன் முறை என்றால் என்ன?
டோக்கன் முறை என்பது வாடிக்கையாளரின் உண்மையான கிரெடிட் மற்றும் டெபிட் கார்டின் பதினாறு இலக்க எண்ணுக்குப் பதிலாக தனித்துவமான (unique) மாற்று பதினாறு இலக்க எண்ணை கார்டு விநியோக நிறுவனம் (விசா, மாஸ்டர்கார்டு, ரூபே போன்றவை) வர்த்தக நிறுவனத்துக்கு வழங்குவதாகும்.
தற்போதிருக்கும் நடைமுறையை மேலே பார்த்தோம். இனி இந்த அடையாளக் குறியாக்கம் என அறியப்படும் `டோக்கனைஸேஷன்’ மூலம் பரிவர்த்தனைகளை எப்படி மேற்கொள்வது எனப் பார்ப்போம். உதாரணமாக, ஒருவர் அமேசான் தளத்தில் ஆன்லைன் பரிவர்த்தனை செய்யும்போது முதலில் கார்டு எண்ணைப் பதிவு செய்யவேண்டும். அதன் பின் CVV எண்ணைப் பதிவுசெய்ய வேண்டும். இதற்குப் பிறகு, அமேசானானது இந்த கார்டு விவரங்களை டோக்கனாக மாற்றலாமா என்று கேட்கும். நீங்கள் ஒப்புதல் அளித்தபின், சம்பந்தப்பட்ட கார்டு விநியோக நிறுவனத்துக்கு (விசா, மாஸ்டர்கார்டு, ரூபே போன்றவை) வாடிக்கையாளர் பதிவு செய்த விவரங்களை அனுப்பும். அதைப் பெற்றுக்கொண்ட கார்டு விநியோக நிறுவனம், அமேசான் தளத்திலிருந்து பெற்ற வாடிக்கையாளரின் தகவலைப் பரிசீலித்து உறுதிசெய்தபின், கார்டின் பதினாறு இலக்க எண்ணுக்குப் பதிலாக வேறொரு பதினாறு இலக்க எண்ணை அமேசானுக்கு அனுப்பும். இது உங்கள் பரிவர்த்தனைக்கான டோக்கனாகப் பயன்படுத்தப்படும். எனவே, அமேசானிடம் இருப்பது உங்கள் கார்டின் இலக்க எண்கள் இல்லை. மாறாக, கார்டு விநியோக நிறுவனம் அனுப்பிய மாற்று பதினாறு இலக்க எண்களாகும். இந்த மாற்று பதினாறு இலக்க எண்ணுக்கு வாடிக்கையாளர் ஒப்புதல் அளிக்கும்பட்சத்தில் அமேசான் அதன் சர்வரில் சேமித்து வைத்துக்கொள்ளும். அடுத்தடுத்து அமேசான் மூலம் வாடிக்கையாளர் பரிவர்த்தனை செய்யும்போது இந்த டோக்கனோடு தங்களது கார்டின் CVV-யை பதிவு செய்து OTP பெற்று பயன்படுத்தலாம். அமேசானில் உபயோகித்த கார்டை `மேக் மை ட்ரிப்’பில் உபயோகப்படுத்த வேண்டுமெனில் அதற்கென்று மேற்குறிப்பிட்ட முறைப்படி இன்னொரு தனித்துவமான பதினாறு இலக்க எண்ணை கார்டு விநியோக நிறுவனம் வழங்கும். ஆக, எந்தவொரு தளத்திலும் வாடிக்கையாளரின் டெபிட்/கிரெடிட் கார்டின் உண்மையான பதினாறு இலக்க எண்கள் சேமித்து வைக்கப்பட மாட்டாது என்பதோடு அவருடைய கார்டுக்கான மாற்று பதினாறு இலக்க எண்ணும் தளத்துக்குத் தளம் வேறுபடும்.
குறிப்பிட்ட தளத்தில் அடுத்தடுத்துப் பரிவர்த்தனையில் ஈடுபடும்போது வாடிக்கையாளர் தனது கார்டில் இருக்கும் CVV எண்ணை மட்டும் பதிவிட்டு, OTP கிடைத்தவுடன் அதையும் பதிவிட்டு தங்களது பரிவர்த்தனையை மேற்கொள்ள முடியும். இதனால் கார்டு குறித்த உண்மையான தகவல்கள் எங்கும் இருக்காது என்பதால் `ஹேக்’ செய்து தகவல்களைத் திருடி உரிய வாடிக்கையாளர்களுக்குத் தெரியாமல் வேறு ஒருவரால் பரிவர்த்தனையில் ஈடுபட முடியாது.
இந்த முன்னெடுப்பின் முதல்படியாக, ஆன்லைன் பரிவர்த்தனையில் ஈடுபட்டிருக்கும் அனைத்து நிறுவனங்களும் அமைப்புகளும் வாடிக்கையாளர்களின் கார்டு சம்பந்தப்பட்ட விவரங்களைத் தங்களது ‘சர்வரி’லிருந்து அழித்துவிட வேண்டும் என்றும் மேற்கொண்டு வாடிக்கையாளர்களின் கார்டு விவரங்களை அந்நிறுவனங்கள் தங்கள் தளத்தில் சேமிக்கக் கூடாது என்றும் ரிசர்வ் வங்கி கூறியிருக்கிறது. இதை உடனடியாக நடைமுறைப்படுத்துவதில் பல வங்கிகளும், ஆன்லைன் வர்த்தக நிறுவனங்களும், பேமெண்ட் நிறுவனங்களும் தயார் நிலையில் இல்லாததால் அவை மத்திய ரிசர்வ் வங்கியிடம் இதை நடைமுறைப்படுத்த அவகாசம் கேட்டன. ரிசர்வ் வங்கி ஆறு மாத காலம் அவகாசம் கொடுத்திருக்கிறது.
நன்கு பரீட்சித்துப் பார்ப்பதற்கு முன்பு இம்முறையை நடைமுறைப்படுத்தினால் புதிதாக வடிவமைக்கப்பட்ட வருமானவரி தாக்கல் செய்யும் இணையத்தில் ஏற்பட்ட, ஏற்பட்டுவருகிற குளறுபடிகள் இதிலும் ஏற்படக்கூடும். எனவே, இதை முறையாகத் திட்டமிட்டு அமலுக்குக் கொண்டுவரும் பட்சத்தில் வாடிக்கையாளர்களின் நலன் காக்கப்படும் என நம்புவோம்.
– சித்தார்த்தன் சுந்தரம், சந்தை ஆய்வாளர். தொடர்புக்கு: [email protected]