सुरक्षित पेमेंट की पुष्टि

Eiji Kitamura

सुरक्षित पेमेंट की पुष्टि (एसपीसी) एक ऐसा सुझाया गया वेब स्टैंडर्ड है जिसकी मदद से ग्राहक, क्रेडिट कार्ड जारी करने वाले बैंक, बैंक या पेमेंट सेवा देने वाली किसी अन्य कंपनी की पुष्टि कर सकते हैं. इसके लिए, प्लैटफ़ॉर्म ऑथेंटिकेटर का इस्तेमाल किया जाता है:

  • macOS डिवाइस पर, Touch ID की मदद से अनलॉक करने की सुविधा
  • Windows डिवाइस पर Windows Hello

एसपीसी की मदद से, व्यापारी/कंपनी/कारोबारी, खरीदारों को अपनी खरीदारी की पुष्टि करने की सुविधा तुरंत और आसानी से दे सकते हैं. साथ ही, कार्ड जारी करने वाले बैंक, अपने ग्राहकों को धोखाधड़ी से बचाते हैं.

एसपीसी के दो चरण होते हैं: रजिस्ट्रेशन और पुष्टि.

  • रजिस्ट्रेशन: पेमेंट करने वाला व्यक्ति, अपने डिवाइस को भरोसेमंद पार्टी (आरपी) से लिंक करता है. भरोसा करने वाली पार्टी, क्रेडिट कार्ड जारी करने वाला बैंक, बैंक या पेमेंट सेवा देने वाली कोई दूसरी कंपनी हो सकती है.
  • पुष्टि करना: पेमेंट करने वाला व्यक्ति, रजिस्टर किए गए डिवाइस का इस्तेमाल करके, पेमेंट की पुष्टि करने से पहले, सीधे व्यापारी/कंपनी/कारोबारी के प्लैटफ़ॉर्म से आरपी की मदद से अपनी पहचान की पुष्टि करता है.

धोखाधड़ी से बचाव के लिए पुष्टि करना

पुष्टि करने की प्रोसेस, पेमेंट से जुड़ी धोखाधड़ी को रोकने में अहम भूमिका निभाती है. हालांकि, पुष्टि करने की यह प्रोसेस अक्सर कमज़ोर तरीकों पर निर्भर करती है. जैसे, क्रेडिट कार्ड नंबर और कार्ड के मालिक के नाम का कॉम्बिनेशन या कार्ड के पीछे लिखा गया अतिरिक्त सीवीसी कोड. अगर डेटा की सुरक्षा से जुड़ी समस्याओं की वजह से कार्ड की जानकारी लीक हो जाती है, तो इन तरीकों का इस्तेमाल करके आसानी से कार्ड की जानकारी चुराई जा सकती है और किसी दूसरे के नाम पर कार्ड का इस्तेमाल किया जा सकता है. जैसे, खाता हाइजैक होना या फ़िशिंग हमले.

धोखाधड़ी से बचने के लिए, कुछ और तरीके भी शुरू किए गए हैं. जैसे, EMV® 3-D Secure. इसमें, पैसे चुकाने वाले व्यक्ति से कार्ड जारी करने वाली संस्था या बैंक के सामने पुष्टि करने के लिए कहा जा सकता है. पुष्टि करने के लिए, उपयोगकर्ता अपने उपयोगकर्ता नाम और पासवर्ड या एक बार इस्तेमाल होने वाले पासवर्ड (ओटीपी) से साइन इन करता है. ओटीपी, पैसे चुकाने वाले व्यक्ति के फ़ोन पर एसएमएस से भेजा जाता है. इससे ग्राहकों को धोखाधड़ी से बचाने में मदद मिलती है. हालांकि, कुछ मान्य ग्राहकों के लिए पेमेंट करने में समस्या आ सकती है. एसपीसी का मकसद पुष्टि करने की प्रक्रिया को आसान बनाना है, ताकि खरीदारी के दौरान कार्ट छोड़ने की संख्या कम हो.

इस बीच, पुष्टि करने का एक नया स्टैंडर्ड सामने आया है, जिसे WebAuthn कहा जाता है.

WebAuthn क्या है?

वेब पर पुष्टि करने की सुविधा (जिसे कम शब्दों में WebAuthn कहा जाता है) एक वेब स्टैंडर्ड है. इसकी मदद से, भरोसेमंद पक्ष (आरपी) के सर्वर, पासवर्ड के बजाय सार्वजनिक कुंजी क्रिप्टोग्राफ़ी का इस्तेमाल करके, ब्राउज़र में उपयोगकर्ताओं को रजिस्टर और उनकी पुष्टि कर सकते हैं.

आरपी, सुरक्षा कुंजी जैसे फ़िज़िकल ऑथेंटिकेटर पर भरोसा करते हैं. आरपी, निजी-सार्वजनिक पासकोड का जोड़ा जनरेट करने के लिए, सुरक्षा पासकोड का अनुरोध करते हैं. इसके बाद, वे सार्वजनिक पासकोड को सर्वर पर सेव करते हैं (रजिस्ट्रेशन). जनरेट की गई ये कुंजियां, डिवाइस के लिए यूनीक होती हैं. इससे, हमलावर उपयोगकर्ता के नाम पर काम नहीं कर पाते. यह स्टैंडर्ड, फ़िशिंग से सुरक्षित है, क्योंकि पासकोड का जोड़ा ऑरिजिन से जुड़ा होता है.

FIDO Alliance, पुष्टि करने वाले टूल के काम करने के तरीके को स्टैंडर्ड बनाता है. पुष्टि करने वाले कुछ टूल, उपयोगकर्ता की पहचान की पुष्टि करने के लिए, बायोमेट्रिक फ़ैक्टर (जैसे, फ़िंगरप्रिंट या चेहरे की पहचान करने वाली टेक्नोलॉजी) या नॉलेज फ़ैक्टर (जैसे, पिन कोड) का इस्तेमाल करते हैं. कई एआई, लैपटॉप या स्मार्टफ़ोन जैसे कंप्यूटिंग डिवाइसों में इंटिग्रेट किए गए होते हैं. इन्हें प्लैटफ़ॉर्म की पुष्टि करने वाले एआई कहा जाता है. WebAuthn, सभी मुख्य ब्राउज़र (डेस्कटॉप और मोबाइल) पर काम करता है. साथ ही, पुष्टि करने वाले टूल कई अरब डिवाइसों पर उपलब्ध हैं. उपयोगकर्ता, प्लैटफ़ॉर्म पर अपनी पहचान की पुष्टि करके, खुद को रजिस्टर और पुष्टि कर सकते हैं.

एसपीसी को, उपयोगकर्ता की पहचान की पुष्टि करने वाले प्लैटफ़ॉर्म (यूवीपीए) के साथ काम करने के लिए डिज़ाइन किया गया है.

उदाहरण के लिए, Apple Touch ID और मोबाइल फ़ोन का कैमरा
कई डिवाइसों में बायोमेट्रिक सेंसर इंटिग्रेट होता है. ऐसे पुष्टि करने वाले ऐप्लिकेशन को, उपयोगकर्ता की पुष्टि करने वाला प्लैटफ़ॉर्म पुष्टि करने वाला ऐप्लिकेशन (यूवीपीए) कहा जाता है.

सुरक्षित पेमेंट की पुष्टि करने की सुविधा कैसे काम करती है?

सुरक्षित पेमेंट की पुष्टि (एसपीसी) की सुविधा, WebAuthn पर आधारित है. इसे खास तौर पर पेमेंट के लिए डिज़ाइन किया गया है. WebAuthn क्रेडेंशियल, खास डोमेन के लिए रजिस्टर किए जाते हैं. इसलिए, इन क्रेडेंशियल का इस्तेमाल, रजिस्टर नहीं की गई उन साइटों पर पुष्टि करने के लिए नहीं किया जा सकता जो किसी व्यापारी/कंपनी के नाम का गलत इस्तेमाल कर सकती हैं. इस सुविधा की मदद से, WebAuthn को फ़िशिंग अटैक से सुरक्षित बनाया जा सकता है.

एसपीसी, WebAuthn के ऊपर पेमेंट की जानकारी वाली लेयर जोड़ता है, ताकि कार्ड जारी करने वाली कंपनी या बैंक, पेमेंट का बेहतर अनुभव दे सके. पेमेंट करने वाला व्यक्ति, पुष्टि करने वाली पार्टी के साथ पुष्टि करने वाले टूल को रजिस्टर करने के बाद, इसका इस्तेमाल अलग-अलग व्यापारी/कंपनी/कारोबारी की साइटों पर पुष्टि करने के लिए किया जा सकता है. भरोसा करने वाली पार्टी, पेमेंट क्रेडेंशियल को सामान्य WebAuthn क्रेडेंशियल के तौर पर इस्तेमाल करने का विकल्प भी चुन सकती है.

Stripe ने Chrome के ऑरिजिन ट्रायल के तहत, अपने प्रोडक्शन एनवायरमेंट पर SPC के साथ एक एक्सपेरिमेंट चलाया. इस एक्सपेरिमेंट में, Stripe को 8% बेहतर कन्वर्ज़न रेट मिला और चेकआउट की दर तीन गुना तेज़ हुई. W3C वेब पेमेंट्स वर्किंग ग्रुप की एसपीसी रिपोर्ट में, इनके नतीजों के बारे में पढ़ें.

उपयोगकर्ताओं को एसपीसी का अनुभव कैसे मिलता है?

SPC के फ़्रंट-एंड में दो चरण होते हैं: रजिस्ट्रेशन और पुष्टि.

ग्राहक को सबसे पहले, उपयोगकर्ता की पुष्टि करने वाले प्लैटफ़ॉर्म के पुष्टि करने वाले टूल (यूवीपीए) का इस्तेमाल करके, अपना डिवाइस रजिस्टर करना होगा. डिवाइस रजिस्टर होने के बाद, इसका इस्तेमाल उपयोगकर्ता की पुष्टि करने और व्यापारी/कंपनी/कारोबारी की साइट पर एसपीसी होने पर पेमेंट की पुष्टि करने के लिए किया जा सकता है.

रजिस्ट्रेशन

उपयोगकर्ता, SPC के लिए दो तरीकों से रजिस्टर कर सकते हैं:

  • सीधे आरपी की वेबसाइट पर जाकर रजिस्टर करें.
  • किसी कारोबारी या कंपनी की वेबसाइट पर जाकर रजिस्टर करें.

आरपी की वेबसाइट पर रजिस्टर करना

आरपी की वेबसाइट पर, एसपीसी रजिस्टरेशन और WebAuthn रजिस्टरेशन में कोई अंतर नहीं होता. हमारा सुझाव है कि आरपी, साइन-इन फ़्लो के दौरान ग्राहक से अपना यूवीपीए रजिस्टर करने के लिए कहे.

आम तौर पर, ऐसा दिख सकता है:

  1. कोई ग्राहक, उपयोगकर्ता नाम, पासवर्ड, और पुष्टि करने के एक और चरण (आम तौर पर एक बार इस्तेमाल होने वाला पासवर्ड या ओटीपी) का इस्तेमाल करके, आपकी बैंक वेबसाइट पर साइन इन करता है.
  2. पुष्टि हो जाने के बाद, अनुमति का अनुरोध दिखाएं. इसमें ग्राहक से अपना डिवाइस रजिस्टर करने के लिए कहा जाएगा (यूवीपीए).
  3. अनुमति मिलने के बाद, ब्राउज़र में WebAuthn रजिस्ट्रेशन डायलॉग दिखता है.
  4. ग्राहक, बायोमेट्रिक ऑथेंटिकेशन की मदद से डिवाइस रजिस्टर करने की सहमति देता है.
  5. ग्राहक अब अपने डिवाइस का इस्तेमाल करके, सुरक्षित तरीके से लॉगिन और पेमेंट कर सकता है.

फिर से पुष्टि करने की सुविधा से, उपयोगकर्ता पहले से ही लॉग इन होता है. हालांकि, यह पक्का करने के लिए कि वह अब भी मौजूद है, उससे फिर से पुष्टि करने के लिए कहा जाता है. आम तौर पर, यह डिज़ाइन सुरक्षा से जुड़े अहम कामों के लिए दिखता है. जैसे, पासवर्ड बदलने का अनुरोध या पेमेंट करते समय. WebAuthn UVPA की मदद से, फिर से पुष्टि करना, पासवर्ड इस्तेमाल करने के मुकाबले काफ़ी तेज़ और सुरक्षित होता है.

अपना पहला WebAuthn ऐप्लिकेशन बनाएं पर जाकर, फिर से पुष्टि करने के लिए, WebAuthn रजिस्ट्रेशन और पुष्टि करने का फ़्लो बनाने का तरीका जानें.

पेमेंट के दौरान, कारोबारी या कंपनी की वेबसाइट पर रजिस्टर करना

अगर आपका ग्राहक, पेमेंट जारी करने वाली कंपनी की वेबसाइट पर अपना डिवाइस रजिस्टर नहीं करता है, तो वह सीधे व्यापारी/कंपनी की वेबसाइट पर जाकर ऐसा कर सकता है. इंटरफ़ेस एक जैसा दिखता है, लेकिन उपयोगकर्ता का रजिस्ट्रेशन आरपी के कोड से शुरू होता है.

यह तब सही होता है, जब ग्राहक आरपी की वेबसाइट पर अक्सर न आते हों, लेकिन आरपी को पुष्टि करने का विकल्प देना हो.

पुष्टि करना (पेमेंट की पुष्टि करना)

पेमेंट करने वाला व्यक्ति, पेमेंट लेन-देन के दौरान पेमेंट क्रेडेंशियल उपलब्ध कराने पर, पुष्टि करना ज़रूरी है.

  1. पेमेंट करने वाला व्यक्ति, पेमेंट क्रेडेंशियल (जैसे, क्रेडिट कार्ड की जानकारी) देता है.
  2. कारोबारी या कंपनी यह जांच करता है कि ब्राउज़र पर, सुरक्षित पेमेंट की पुष्टि करने की सुविधा काम करती है या नहीं.
  3. अगर ब्राउज़र एसपीसी के साथ काम करता है, तो पेमेंट के तरीके के तौर पर एसपीसी के साथ Payment Request API को कॉल करें. अगर ऐसा नहीं होता है, तो पुष्टि करने के मौजूदा तरीके का इस्तेमाल करें.
  4. पेमेंट करने वाला व्यक्ति, लेन-देन की जानकारी की पुष्टि करता है और पुष्टि की प्रक्रिया पूरी करता है. जैसे, अपने बायोमेट्रिक प्लैटफ़ॉर्म के पुष्टि करने वाले डिवाइस को छूकर.

डेटा डालने और 360 डिग्री में, वीडियो चलाने की सुविधा देने वाले प्लैटफ़ॉर्म

फ़िलहाल, macOS और Windows पर Google Chrome में सुरक्षित पेमेंट की पुष्टि की सुविधा काम करती है. मई 2022 से, Android, iOS, और ChromeOS जैसे अन्य प्लैटफ़ॉर्म पर,

अगले चरण