RBI estende prazo para cumprir as normas de tokenização de cartão até 30 de setembro

O Reserve Bank of India (RBI) estendeu na sexta-feira o prazo de tokenização do cartão em arquivo (CoF) por três meses até 30 de setembro, em vista de várias representações recebidas de órgãos do setor. Card-on-file, ou CoF, refere-se às informações do cartão armazenadas pelo gateway de pagamento e pelos comerciantes para processar transações futuras. A tokenização é o processo de substituição dos detalhes reais do cartão por um código alternativo exclusivo chamado 'Token' - permitindo assim transações mais seguras.

O RBI agora orientou os comerciantes a implementar suas normas de tokenização até 30 de setembro. Esta é a terceira vez que o banco central estendeu o prazo de sua implementação.

As partes interessadas do setor destacaram algumas questões relacionadas à implementação da estrutura em relação às transações de check-out de hóspedes, disse o RBI em comunicado.

Além disso, várias transações processadas usando tokens ainda não ganharam força em todas as categorias de comerciantes.

“Estas questões estão a ser tratadas em consulta com as partes interessadas, e para evitar perturbações e incómodos para os titulares de cartões, o Reserve Bank anunciou hoje a prorrogação do referido prazo de 30 de junho, por mais três meses, ou seja, até 30 de setembro.” disse.

De acordo com o mandato do RBI para aumentar a segurança das transações on-line, os detalhes do cartão salvos no site/aplicativo do comerciante deveriam ser excluídos pelos comerciantes até 30 de junho.

Até o momento, cerca de 19.5 milhões de tokens foram criados, disse o comunicado.

“A opção pelo CoFT (ou seja, a criação de tokens) é voluntária para os portadores de cartão. Aqueles que não desejam criar um token podem continuar a transacionar como antes, inserindo os detalhes do cartão manualmente no momento da transação (comumente referida como 'transação de checkout de convidado')”, observou.

O objetivo básico da tokenização é aumentar e melhorar a segurança do cliente. Com a tokenização, o armazenamento dos detalhes do cartão é limitado.

Atualmente, muitas entidades, incluindo comerciantes, envolvidos em uma cadeia de transações de cartão on-line armazenam dados do cartão, como número do cartão, data de validade (Card-on-File), citando a conveniência e o conforto do titular do cartão para realizar transações no futuro.

Embora essa prática ofereça conveniência, a disponibilidade de detalhes do cartão com várias entidades aumenta o risco de roubo/utilização indevida dos dados do cartão. Há casos em que esses dados armazenados por comerciantes foram comprometidos.

Dado que muitas jurisdições não exigem um fator adicional de autenticação (AFA) para autenticar transações com cartão, dados roubados nas mãos de fraudadores podem resultar em transações não autorizadas e perda monetária resultante para os titulares de cartão. Dentro da Índia também, técnicas de engenharia social podem ser empregadas para cometer fraudes usando esses dados, disse o comunicado.

Para criar um token sob a estrutura do CoF, o titular do cartão deve passar por um processo de registro único para cada cartão em cada site/aplicativo móvel do comerciante on-line/e-commerce, inserindo os detalhes do cartão e dando consentimento para a criação de um token. .

O consentimento é validado por meio de autenticação por meio de um AFA. A partir daí, é criado um token específico para o cartão e o comerciante online/e-commerce. O token não pode ser usado para pagamento em nenhum outro comerciante.

Para transações futuras realizadas no mesmo site do comerciante/aplicativo móvel, o titular do cartão pode identificar o cartão com os quatro últimos dígitos durante o processo de checkout, disse o RBI.

Assim, o titular do cartão não é obrigado a lembrar ou inserir o token para transações futuras e um cartão pode ser tokenizado em qualquer número de comerciantes online ou de comércio eletrônico, observou.

Essa extensão de três meses pelo RBI dará espaço para todas as partes envolvidas cumprirem as normas de tokenização e certamente ajudará em uma transição mais suave, disse Vishwas Patel, diretor executivo da Infibeam Avenues Ltd e presidente do Conselho de Pagamentos da Índia ( PCI).