सुरक्षित पेमेंट की पुष्टि

Eiji Kitamura

सुरक्षित पेमेंट की पुष्टि (एसपीसी) एक सुझाया गया वेब स्टैंडर्ड है. इसकी मदद से ग्राहक, प्लैटफ़ॉर्म Authenticator का इस्तेमाल करके, क्रेडिट कार्ड जारी करने वाले बैंक, क्रेडिट कार्ड जारी करने वाली कंपनी या पेमेंट की सेवा देने वाली दूसरी कंपनी के साथ अपनी पुष्टि कर सकते हैं:

  • macOS डिवाइस पर, Touch ID की मदद से अनलॉक करने की सुविधा
  • Windows डिवाइस पर Windows Hello

SPC की मदद से, व्यापारी/कंपनी/कारोबारी अपने ग्राहकों को खरीदारी की तुरंत और आसानी से पुष्टि करने की सुविधा दे सकते हैं. साथ ही, जारी करने वाले बैंक अपने ग्राहकों को धोखाधड़ी से बचाते हैं.

एसपीसी के दो चरण होते हैं: रजिस्ट्रेशन और पुष्टि.

  • रजिस्ट्रेशन: पेमेंट करने वाला व्यक्ति, अपने डिवाइस को भरोसेमंद पार्टी (आरपी) से लिंक करता है. भरोसा करने वाली पार्टी, क्रेडिट कार्ड जारी करने वाली कंपनी, बैंक या पेमेंट सेवा देने वाली कोई दूसरी कंपनी हो सकती है.
  • पुष्टि करना: पेमेंट करने वाला व्यक्ति, रजिस्टर किए गए डिवाइस का इस्तेमाल करके, पेमेंट की पुष्टि करने से पहले, सीधे व्यापारी/कंपनी/कारोबारी के प्लैटफ़ॉर्म से आरपी के साथ अपनी पहचान की पुष्टि करता है.

धोखाधड़ी से बचाव के लिए पुष्टि करना

पुष्टि करने की प्रोसेस, पेमेंट से जुड़ी धोखाधड़ी को रोकने में अहम भूमिका निभाती है. हालांकि, पुष्टि की यह प्रक्रिया अक्सर कमज़ोर तरीकों का इस्तेमाल करती है. जैसे क्रेडिट कार्ड नंबर और कार्ड के मालिक का नाम या कार्ड के पीछे लिखा अतिरिक्त सीवीसी कोड. अगर डेटा की सुरक्षा से जुड़ी समस्याओं की वजह से, कार्ड की जानकारी लीक हो जाती है, तो इन तरीकों का इस्तेमाल करके आसानी से कार्ड की जानकारी चुराई जा सकती है और किसी दूसरे के नाम पर कार्ड का इस्तेमाल किया जा सकता है. जैसे, खाता हाइजैक होना या फ़िशिंग हमले.

धोखाधड़ी रोकने के कुछ और तरीके भी शुरू किए गए हैं, जैसे कि EMV® 3-D Secure. पेमेंट करने वाले को कार्ड जारी करने वाले बैंक या कंपनी से अपनी पहचान की पुष्टि करने के लिए कहा जा सकता है. पुष्टि करने के लिए, उपयोगकर्ता अपने उपयोगकर्ता नाम और पासवर्ड या एक बार इस्तेमाल होने वाले पासवर्ड (ओटीपी) से साइन इन करता है. ओटीपी, पैसे चुकाने वाले व्यक्ति के फ़ोन पर एसएमएस से भेजा जाता है. इससे ग्राहकों को धोखाधड़ी से बचाने में मदद मिलती है. हालांकि, कुछ मान्य ग्राहकों के लिए पेमेंट करने में समस्या आ सकती है. एसपीसी का मकसद पुष्टि करने में आने वाली दिक्कतों को कम करना है, ताकि कार्ट छोड़ने की प्रक्रिया में कमी लाई जा सके.

इस दौरान, पुष्टि करने के एक नए स्टैंडर्ड का नाम बदल रहा है, जिसका नाम WebAuthn है.

WebAuthn क्या है?

वेब पर पुष्टि करने की सुविधा (जिसे कम शब्दों में WebAuthn कहा जाता है), एक वेब स्टैंडर्ड है. इसकी मदद से, भरोसेमंद पक्ष (आरपी) के सर्वर, पासवर्ड के बजाय सार्वजनिक कुंजी क्रिप्टोग्राफ़ी का इस्तेमाल करके, ब्राउज़र में उपयोगकर्ताओं को रजिस्टर और उनकी पुष्टि कर सकते हैं.

आरपी, सुरक्षा कुंजी जैसे फ़िज़िकल ऑथेंटिकेटर पर भरोसा करते हैं. आरपी, निजी-सार्वजनिक पासकोड का जोड़ा जनरेट करने के लिए, सुरक्षा पासकोड का अनुरोध करते हैं. इसके बाद, वे सार्वजनिक पासकोड को सर्वर पर सेव करते हैं (रजिस्ट्रेशन). जनरेट की गई ये कुंजियां, डिवाइस के लिए यूनीक होती हैं. इससे, हमलावर उपयोगकर्ता के नाम पर काम नहीं कर पाते. यह स्टैंडर्ड, फ़िशिंग से सुरक्षित है, क्योंकि पासकोड का जोड़ा ऑरिजिन से जुड़ा होता है.

FIDO Alliance में, पुष्टि करने वाले के व्यवहार का स्टैंडर्ड तय किया जाता है. कुछ पुष्टि करने वाले, स्थानीय उपयोगकर्ता की पुष्टि बायोमेट्रिक तरीके (जैसे, फ़िंगरप्रिंट या चेहरे की पहचान) या नॉलेज फैक्टर (जैसे, पिन कोड) की मदद से करते हैं. कई एआई, लैपटॉप या स्मार्टफ़ोन जैसे कंप्यूटिंग डिवाइसों में इंटिग्रेट किए गए होते हैं. इन्हें प्लैटफ़ॉर्म की पुष्टि करने वाले टूल कहा जाता है. WebAuthn, सभी मुख्य ब्राउज़र (डेस्कटॉप और मोबाइल) पर काम करता है. साथ ही, पुष्टि करने वाले टूल कई अरब डिवाइसों पर उपलब्ध हैं. उपयोगकर्ता, प्लैटफ़ॉर्म पर अपनी पहचान की पुष्टि करके, खुद को रजिस्टर और पुष्टि कर सकते हैं.

एसपीसी को, उपयोगकर्ता की पुष्टि करने वाले प्लैटफ़ॉर्म की पुष्टि करने वाले एजेंट (यूवीपीए) के साथ काम करने के लिए डिज़ाइन किया गया है.

उदाहरण के लिए, Apple Touch ID और मोबाइल फ़ोन का कैमरा
कई डिवाइस, बायोमेट्रिक सेंसर को इंटिग्रेट करते हैं. पुष्टि करने वाले इन प्रोग्राम को, यूज़र वेरिफ़ाइड प्लैटफ़ॉर्म ऑथेंटिकेटर (यूवीपीए) कहा जाता है.

सुरक्षित पेमेंट की पुष्टि करने की सुविधा कैसे काम करती है?

सुरक्षित पेमेंट की पुष्टि (एसपीसी) की सुविधा, WebAuthn पर आधारित है. इसे खास तौर पर पेमेंट के लिए डिज़ाइन किया गया है. WebAuthn क्रेडेंशियल कुछ खास डोमेन के लिए रजिस्टर किए जाते हैं. इसलिए, इन क्रेडेंशियल का इस्तेमाल उन साइटों पर पुष्टि के लिए नहीं किया जा सकता जो शायद किसी व्यापारी या कंपनी की पहचान चुराती हैं. इस सुविधा की मदद से, WebAuthn को फ़िशिंग अटैक से सुरक्षित बनाया जा सकता है.

एसपीसी, WebAuthn के ऊपर क्रेडिट/डेबिट कार्ड की जानकारी की लेयर जोड़ता है, ताकि कार्ड जारी करने वाला बैंक या कंपनी, पेमेंट का एक जैसा अनुभव दे सके. पेमेंट करने वाला व्यक्ति, पुष्टि करने वाली पार्टी के साथ पुष्टि करने वाले टूल को रजिस्टर करने के बाद, इसका इस्तेमाल अलग-अलग व्यापारी/कंपनी/कारोबारी की साइटों पर पुष्टि करने के लिए किया जा सकता है. भरोसा करने वाली पार्टी, पेमेंट क्रेडेंशियल को सामान्य WebAuthn क्रेडेंशियल के तौर पर इस्तेमाल करने का विकल्प भी चुन सकती है.

Stripe ने Chrome के ऑरिजिन ट्रायल के तहत, अपने प्रोडक्शन एनवायरमेंट पर SPC के साथ एक एक्सपेरिमेंट चलाया. इस एक्सपेरिमेंट में, Stripe को 8% बेहतर कन्वर्ज़न रेट मिला और चेकआउट की दर तीन गुना तेज़ हुई. W3C वेब पेमेंट वर्किंग ग्रुप की SPC रिपोर्ट में उनके नतीजों के बारे में पढ़ें.

उपयोगकर्ताओं को एसपीसी से कैसा अनुभव मिलता है?

SPC के फ़्रंट-एंड में दो चरण होते हैं: रजिस्ट्रेशन और पुष्टि.

ग्राहक को सबसे पहले, उपयोगकर्ता की पुष्टि करने वाले प्लैटफ़ॉर्म के पुष्टि करने वाले ऐप्लिकेशन (यूवीपीए) का इस्तेमाल करके, अपना डिवाइस रजिस्टर करना होगा. डिवाइस रजिस्टर होने के बाद, इसका इस्तेमाल उपयोगकर्ता की पुष्टि करने और व्यापारी/कंपनी/कारोबारी की साइट पर एसपीसी होने पर पेमेंट की पुष्टि करने के लिए किया जा सकता है.

रजिस्ट्रेशन

उपयोगकर्ता, SPC के लिए दो तरीकों से रजिस्टर कर सकते हैं:

  • सीधे आरपी की वेबसाइट पर जाकर रजिस्टर करें.
  • किसी कारोबारी या कंपनी की वेबसाइट पर जाकर रजिस्टर करें.

आरपी की वेबसाइट पर रजिस्ट्रेशन करना

आरपी की वेबसाइट पर, एसपीसी रजिस्ट्रेशन और WebAuthn रजिस्ट्रेशन में कोई अंतर नहीं होता. हमारा सुझाव है कि आरपी, साइन-इन फ़्लो के दौरान ग्राहक से अपना यूवीपीए रजिस्टर करने के लिए कहे.

आम तौर पर, ऐसा कुछ ऐसा दिख सकता है:

  1. कोई ग्राहक, उपयोगकर्ता नाम, पासवर्ड, और पुष्टि करने के एक और चरण (आम तौर पर एक बार इस्तेमाल होने वाला पासवर्ड या ओटीपी) का इस्तेमाल करके, आपकी बैंक वेबसाइट पर साइन इन करता है.
  2. पुष्टि हो जाने के बाद, अनुमति का अनुरोध दिखाएं. इसमें ग्राहक से अपना डिवाइस रजिस्टर करने के लिए कहा जाएगा (यूवीपीए).
  3. अनुमति मिलने के बाद, ब्राउज़र में WebAuthn रजिस्ट्रेशन डायलॉग दिखता है.
  4. ग्राहक, बायोमेट्रिक ऑथेंटिकेशन की मदद से डिवाइस रजिस्टर करने की सहमति देता है.
  5. ग्राहक अब अपने डिवाइस का इस्तेमाल करके, सुरक्षित तरीके से लॉगिन करके पेमेंट कर सकते हैं.

फिर से पुष्टि करने की सुविधा से, उपयोगकर्ता पहले से ही लॉग इन होता है. हालांकि, यह पक्का करने के लिए कि वह अब भी मौजूद है, उससे फिर से पुष्टि करने के लिए कहा जाता है. आम तौर पर, यह डिज़ाइन सुरक्षा से जुड़े अहम कामों के लिए दिखता है. जैसे, पासवर्ड बदलने का अनुरोध या पेमेंट करते समय. WebAuthn UVPA की मदद से, पासवर्ड का इस्तेमाल करने के मुकाबले, फिर से पुष्टि करना काफ़ी तेज़ और मज़बूत होता है.

अपना पहला WebAuthn ऐप्लिकेशन बनाएं पर जाकर, फिर से पुष्टि करने के लिए, WebAuthn रजिस्ट्रेशन और पुष्टि करने का फ़्लो बनाने का तरीका जानें.

पेमेंट के दौरान, व्यापारी/कंपनी की वेबसाइट पर रजिस्टर करना

अगर आपका ग्राहक अपने डिवाइस को पेमेंट जारी करने वाली कंपनी की वेबसाइट पर रजिस्टर नहीं करता है, तो वह सीधे व्यापारी/कंपनी की वेबसाइट पर जाकर रजिस्टर कर सकता है. इंटरफ़ेस एक जैसा दिखता है, लेकिन उपयोगकर्ता का रजिस्ट्रेशन आरपी के कोड से शुरू होता है.

यह तरीका तब सबसे सही होता है, जब ग्राहक अक्सर आरपी की वेबसाइट पर नहीं जाते हैं, लेकिन आरपी फिर भी पुष्टि करने का विकल्प देना चाहता है.

पुष्टि करना (पेमेंट की पुष्टि करना)

पेमेंट करने वाला व्यक्ति, पेमेंट लेन-देन के दौरान पेमेंट क्रेडेंशियल उपलब्ध कराने पर, पुष्टि करना ज़रूरी है.

  1. पेमेंट करने वाला व्यक्ति, पेमेंट क्रेडेंशियल (जैसे, क्रेडिट कार्ड की जानकारी) देता है.
  2. कारोबारी या कंपनी यह जांच करता है कि ब्राउज़र पर, सुरक्षित पेमेंट की पुष्टि करने की सुविधा काम करती है या नहीं.
  3. अगर ब्राउज़र एसपीसी के साथ काम करता है, तो पेमेंट के तरीके के तौर पर एसपीसी के साथ Payment Request API को कॉल करें. अगर ऐसा नहीं होता है, तो पुष्टि करने के मौजूदा तरीके का इस्तेमाल करें.
  4. पैसे चुकाने वाला व्यक्ति, लेन-देन की जानकारी की पुष्टि करता है और पुष्टि की प्रक्रिया पूरी करता है. जैसे, अपने बायोमेट्रिक प्लैटफ़ॉर्म की पुष्टि करने वाले टूल को छूना.

डेटा डालने और 360 डिग्री में, वीडियो चलाने की सुविधा देने वाले प्लैटफ़ॉर्म

फ़िलहाल, सुरक्षित तरीके से पेमेंट करने की पुष्टि करने की सुविधा, Google Chrome पर macOS और Windows पर काम करती है. मई 2022 से, Android, iOS, और ChromeOS जैसे अन्य प्लैटफ़ॉर्म पर,

अगले चरण