सुरक्षित पेमेंट की पुष्टि (SPC), सुझाया गया वेब स्टैंडर्ड है. इसकी मदद से, ग्राहक किसी प्लैटफ़ॉर्म पर पुष्टि करने वाले टूल का इस्तेमाल करके, क्रेडिट कार्ड जारी करने वाले बैंक, बैंक या पेमेंट की सेवा देने वाली दूसरी कंपनी से पुष्टि कर सकते हैं:
- किसी macOS डिवाइस पर, Touch ID जैसी सुविधाओं को अनलॉक किया जा सकता है
- Windows डिवाइस पर Windows Hello
SPC की मदद से, कारोबारी या कंपनियां अपने ग्राहकों को खरीदारी की तुरंत और आसानी से पुष्टि करने की सुविधा दे सकती हैं. वहीं, बैंक जारी करने वाले बैंक अपने ग्राहकों को धोखाधड़ी से बचा सकते हैं.
SPC के दो चरण होते हैं: रजिस्ट्रेशन और पुष्टि करना.
- रजिस्ट्रेशन: पेमेंट करने वाला व्यक्ति, अपने डिवाइस को किसी भरोसेमंद पक्ष (आरपी) से लिंक करता है. भरोसा करने वाला पक्ष, क्रेडिट कार्ड जारी करने वाला, बैंक या पेमेंट की सेवा देने वाली कोई अन्य कंपनी हो सकती है.
- पुष्टि करना: पेमेंट करने वाला व्यक्ति, रजिस्टर किए गए डिवाइस का इस्तेमाल करके, पेमेंट की पुष्टि करने से पहले, सीधे कारोबारी के प्लैटफ़ॉर्म से आरपी से अपनी पहचान की पुष्टि करता है.
धोखाधड़ी से बचाव के लिए पुष्टि
पेमेंट से जुड़ी धोखाधड़ी को रोकने में, पुष्टि करने की अहम भूमिका होती है. हालांकि, पुष्टि की यह प्रक्रिया अक्सर कमज़ोर तरीकों का इस्तेमाल करती है, जैसे कि क्रेडिट कार्ड नंबर और कार्ड के मालिक का नाम मिलाना या कार्ड के पीछे लिखा गया अतिरिक्त सीवीसी कोड. अगर खाता हाइजैक या फ़िशिंग अटैक जैसे डेटा सुरक्षा के उल्लंघनों की वजह से कार्ड की जानकारी लीक हो जाती है, तो इन तरीकों के साथ आसानी से छेड़छाड़ की जा सकती है और इनके नाम पर काम किया जा सकता है.
धोखाधड़ी रोकने के लिए अतिरिक्त तरीके लॉन्च किए गए हैं, जैसे कि EMV® 3-D Secure, जहां पैसे चुकाने वाले को कार्ड जारी करने वाले बैंक या कंपनी के ख़िलाफ़ पुष्टि करने के लिए कहा जा सकता है. पुष्टि करने के लिए उपयोगकर्ता, पैसे चुकाने वाले के फ़ोन पर मैसेज (एसएमएस) से भेजे गए उपयोगकर्ता नाम और पासवर्ड या वन-टाइम-पासवर्ड (ओटीपी) से साइन इन करता है. यह ग्राहकों को धोखाधड़ी से बचाने का काम करता है. हालांकि, कुछ मान्य ग्राहकों को पेमेंट पूरा करने में रुकावट भी बन सकती है. SPC का लक्ष्य पुष्टि करने में आने वाली रुकावटों को कम करना है, ताकि कार्ट छोड़ने की संख्या को कम किया जा सके.
इस दौरान, पुष्टि करने का एक नया मानक जोड़ा गया है जिसका नाम WebAuthn है.
WebAuthn क्या है?
वेब की पुष्टि करना (WebAuthn) एक वेब स्टैंडर्ड है. इसमें, भरोसेमंद पक्ष (आरपी) सर्वर को पासवर्ड के बजाय, सार्वजनिक कुंजी की क्रिप्टोग्राफ़ी का इस्तेमाल करके, ब्राउज़र में उपयोगकर्ताओं को रजिस्टर करने और उनकी पुष्टि करने की सुविधा मिलती है.
Google आरपी, सुरक्षा कुंजी जैसे फ़िज़िकल तौर पर पुष्टि करने वाले दस्तावेज़ पर निर्भर करते हैं. आरपी, निजी-सार्वजनिक कुंजी का जोड़ा जनरेट करने के लिए, सुरक्षा कुंजी का अनुरोध करते हैं. इसके बाद, सार्वजनिक कुंजी को सर्वर (रजिस्ट्रेशन) पर सेव करते हैं. जनरेट की गई ये कुंजियां, डिवाइस के लिए खास होती हैं. इससे हमलावरों को किसी उपयोगकर्ता की पहचान चुराने से रोका जा सकता है. यह स्टैंडर्ड फ़िशिंग से बचाव करता है, क्योंकि कुंजी का जोड़ा ऑरिजिन से जुड़ा होता है.
FIDO एलायंस पुष्टि करने वाले के काम करने के तरीके को मानक बनाता है. कुछ Authenticator में, बायोमेट्रिक फ़ैक्टर (जैसे कि फ़िंगरप्रिंट या चेहरे की पहचान) या नॉलेज फ़ैक्टर (जैसे कि पिन कोड) से स्थानीय उपयोगकर्ता की पुष्टि करने की सुविधा मिलती है. इनमें से कई डिवाइस, लैपटॉप या स्मार्टफ़ोन जैसे कंप्यूटर डिवाइसों में इंटिग्रेट किए गए हैं. इन्हें प्लैटफ़ॉर्म की पुष्टि करने वाला कहा जाता है. WebAuthn सभी बड़े ब्राउज़र (डेस्कटॉप और मोबाइल) पर काम करता है. साथ ही, पुष्टि करने की सुविधा अरबों डिवाइसों पर उपलब्ध है. लोग इस प्लैटफ़ॉर्म पर अपनी पहचान की पुष्टि करके, खुद को रजिस्टर और पुष्टि कर सकते हैं.
SPC को उपयोगकर्ता की पुष्टि करने वाले प्लैटफ़ॉर्म Authenticator (UVPA) के साथ काम करने के लिए डिज़ाइन किया गया है.
पेमेंट सुरक्षित होने की पुष्टि कैसे की जाती है?
सुरक्षित पेमेंट की पुष्टि (SPC), WebAuthn पर की गई है. इसे खास तौर पर, पैसे चुकाने के मकसद से डिज़ाइन किया गया है. WebAuthn क्रेडेंशियल कुछ खास डोमेन के लिए रजिस्टर किए जाते हैं. इसलिए, इन क्रेडेंशियल का इस्तेमाल करके, रजिस्ट्रेशन नहीं की गई उन साइटों पर अपनी पहचान की पुष्टि नहीं की जा सकती जो किसी व्यापारी या कंपनी की पहचान चुरा सकती हैं. यह सुविधा WebAuthn को फ़िशिंग हमलों के ख़िलाफ़ असरदार बनाती है.
SPC, WebAuthn के ऊपर क्रेडिट/डेबिट कार्ड की जानकारी का लेयर जोड़ता है, ताकि कार्ड जारी करने वाला या बैंक एक जैसा पेमेंट अनुभव दे सके. जब पैसे चुकाने वाले, भरोसेमंद पक्ष के साथ पुष्टि करने वाले को रजिस्टर करते हैं, तो उसका इस्तेमाल अलग-अलग कारोबारियों या कंपनियों की साइटों पर पुष्टि करने के लिए किया जा सकता है. भरोसेमंद पक्ष, पेमेंट क्रेडेंशियल को सामान्य WebAuthn क्रेडेंशियल के तौर पर इस्तेमाल करने का विकल्प भी चुन सकता है.
Stripe ने Chrome के ऑरिजिन ट्रायल के हिस्से के तौर पर, अपने प्रोडक्शन एनवायरमेंट पर SPC के साथ एक प्रयोग चलाया. इस प्रयोग में, Stripe ने 8% बेहतर कन्वर्ज़न रेट हासिल किया और चेकआउट रेट तीन गुना तेज़ी से हासिल हुआ. डब्ल्यू3सी वेब पेमेंट वर्किंग ग्रुप में एसपीसी रिपोर्ट में, इन लोगों के नतीजों के बारे में पढ़ें.
उपयोगकर्ताओं को एसपीसी से कैसा अनुभव मिलता है?
SPC फ़्रंट-एंड के दो चरण होते हैं: रजिस्ट्रेशन और पुष्टि करना.
ग्राहक को पहले अपने डिवाइस को रजिस्टर करने के लिए, उपयोगकर्ता की पुष्टि करने वाले प्लैटफ़ॉर्म पुष्टि करने वाले (UVPA) का इस्तेमाल करना होगा. डिवाइस के रजिस्टर हो जाने पर, इसका इस्तेमाल उपयोगकर्ता की पुष्टि करने और व्यापारी/कंपनी की साइट पर एसपीसी किए जाने पर पेमेंट की पुष्टि करने के लिए किया जा सकता है.
रजिस्ट्रेशन
उपयोगकर्ता, एसपीसी के लिए दो तरीकों से रजिस्टर कर सकते हैं:
- आरपी की वेबसाइट पर सीधे रजिस्टर करें.
- किसी कारोबारी की वेबसाइट पर, सीधे तौर पर रजिस्टर नहीं किया जा सकता.
आरपी की वेबसाइट पर रजिस्ट्रेशन
आरपी की वेबसाइट पर, SPC रजिस्ट्रेशन, WebAuthn रजिस्ट्रेशन से अलग नहीं है. हमारा सुझाव है कि आरपी, ग्राहक को साइन-इन फ़्लो के तहत, अपना यूवीपीए रजिस्टर करने के लिए कहें.
आम तौर पर, ऐसा दिख सकता है:
- ग्राहक आपके बैंक की वेबसाइट पर साइन इन करने के लिए, उपयोगकर्ता नाम, पासवर्ड, और पुष्टि करने के दूसरे चरण (आम तौर पर, एक बार इस्तेमाल होने वाला पासवर्ड या ओटीपी) का इस्तेमाल करता है.
- पुष्टि करने के बाद, अनुमति का अनुरोध दिखाएं. इसमें, ग्राहक से उनका डिवाइस (यूवीपीए) रजिस्टर करने के लिए कहा जाता है.
- अनुमति मिलने के बाद, ब्राउज़र WebAuthn रजिस्ट्रेशन डायलॉग दिखाता है.
- ग्राहक, बायोमेट्रिक ऑथेंटिकेशन की मदद से डिवाइस को रजिस्टर करने की सहमति देता है.
- ग्राहक अब अपने डिवाइस का इस्तेमाल करके, सुरक्षित तरीके से लॉगिन करके पेमेंट कर सकता है.
reauthentication करने पर, किसी उपयोगकर्ता ने पहले से ही लॉग इन किया हुआ है, लेकिन उसे फिर से पुष्टि करने के लिए कहा जाता है, ताकि यह पक्का किया जा सके कि वही उपयोगकर्ता अब भी मौजूद है. आम तौर पर, इस डिज़ाइन को सुरक्षा के लिहाज़ से अहम कार्रवाई के तौर पर देखा जाता है. जैसे, पासवर्ड बदलने का अनुरोध करना या पेमेंट करते समय. WebAuthn UVPA के साथ, फिर से पुष्टि करने की सुविधा, पासवर्ड इस्तेमाल करने के मुकाबले ज़्यादा तेज़ और बेहतर होती है.
अपना पहला WebAuthn ऐप्लिकेशन बनाएं पर जाकर, फिर से पुष्टि करने के लिए, WebAuthn रजिस्ट्रेशन और पुष्टि करने का फ़्लो बनाने का तरीका जानें.
पेमेंट के दौरान, कारोबारी की वेबसाइट पर रजिस्ट्रेशन करना
अगर आपका ग्राहक, पेमेंट जारी करने वाले बैंक की वेबसाइट पर अपना डिवाइस रजिस्टर नहीं करता है, तो वह सीधे व्यापारी/कंपनी की वेबसाइट पर जाकर अपना डिवाइस रजिस्टर कर सकता है. इंटरफ़ेस वैसा ही दिखता है, लेकिन उपयोगकर्ता का रजिस्ट्रेशन, आरपी के कोड से शुरू होता है.
यह तरीका तब सही रहता है, जब खरीदार आरपी की वेबसाइट पर बार-बार न आते हों, लेकिन आरपी अब भी पुष्टि करने का विकल्प देना चाहता हो.
पुष्टि (पेमेंट की पुष्टि)
पुष्टि करना तब ज़रूरी होता है, जब पेमेंट करने वाला व्यक्ति, पेमेंट के दौरान पेमेंट क्रेडेंशियल देता है.
- पेमेंट करने वाला, पेमेंट क्रेडेंशियल देता है, जैसे कि क्रेडिट कार्ड की जानकारी.
- व्यापारी/कंपनी यह जांच करती है कि ब्राउज़र, पेमेंट के सुरक्षित तरीके की पुष्टि करने की सुविधा देता है या नहीं.
- अगर ब्राउज़र पर SPC की सुविधा काम करती है, तो पेमेंट के तरीके के तौर पर SPC की मदद से, पेमेंट अनुरोध एपीआई को कॉल करें. अगर ऐसा नहीं है, तो पुष्टि करने के मौजूदा तरीके पर वापस जाएं.
- पैसे चुकाने वाला, लेन-देन की जानकारी की पुष्टि करता है और पुष्टि की प्रक्रिया पूरी करता है. जैसे, बायोमेट्रिक प्लैटफ़ॉर्म की पुष्टि करने वाले टूल को छूकर.
इन प्लैटफ़ॉर्म पर चलाया जा सकता है
फ़िलहाल, macOS और Windows पर Google Chrome में सुरक्षित पेमेंट की पुष्टि करने की सुविधा काम करती है. मई 2022 से यह सुविधा अन्य प्लैटफ़ॉर्म पर काम नहीं करेगी. जैसे, Android, iOS, ChromeOS.