PSD3 / PSR के तहत डेलीगेटेड ऑथेंटिकेशन और पासकीज़

यूरोपीय पेमेंट परिदृश्य को दूसरे पेमेंट सेवा निर्देश (PSD2) ने काफी हद तक बदल दिया है। 2018 से धीरे-धीरे लागू हुए, PSD2 ने सुरक्षा बढ़ाने और धोखाधड़ी से निपटने के लिए अधिकांश इलेक्ट्रॉनिक पेमेंट्स के लिए स्ट्रांग कस्टमर ऑथेंटिकेशन (SCA) को अनिवार्य कर दिया। इसमें आमतौर पर उपयोगकर्ता की पहचान को तीन स्वतंत्र कारकों में से कम से कम दो का उपयोग करके सत्यापित करने की आवश्यकता होती है: ज्ञान (कुछ ऐसा जो केवल उपयोगकर्ता जानता है, जैसे पासवर्ड), कब्ज़ा (कुछ ऐसा जो केवल उपयोगकर्ता के पास है, जैसे फोन या हार्डवेयर टोकन), और इन्हेरेंस (कुछ ऐसा जो उपयोगकर्ता है, जैसे फिंगरप्रिंट या चेहरे का स्कैन)।

हालांकि PSD2 की SCA आवश्यकताओं ने कुछ प्रकार की धोखाधड़ी को निश्चित रूप से कम किया है, लेकिन उन्होंने पेमेंट प्रक्रिया में रुकावट भी पैदा की, खासकर कार्ड पेमेंट्स के लिए जिनमें 3-डी सिक्योर (3DS) प्रोटोकॉल शामिल हैं, जो अक्सर उपयोगकर्ताओं को प्रमाणीकरण के लिए उनके बैंक के डोमेन पर रीडायरेक्ट करते हैं। यह अतिरिक्त चेकआउट रुकावट कार्ट छोड़ने और एक कम सहज उपयोगकर्ता अनुभव का कारण बन सकती है।

इन चुनौतियों और डिजिटल पेमेंट बाजार के तेजी से विकास को पहचानते हुए, यूरोपीय आयोग ने 28 जून, 2023 को इस ढांचे को अपडेट करने के लिए विधायी प्रस्ताव प्रकाशित किए। इस पैकेज में एक नया पेमेंट सर्विसेज डायरेक्टिव (PSD3) और एक पेमेंट सर्विसेज रेगुलेशन (PSR) शामिल है।

अक्सर "क्रांति नहीं, बल्कि विकास" के रूप में वर्णित, इस सुधार का उद्देश्य स्ट्रांग कस्टमर ऑथेंटिकेशन (SCA) और ओपन बैंकिंग जैसी मौजूदा अवधारणाओं को परिष्कृत करना, धोखाधड़ी के खिलाफ उपभोक्ता संरक्षण को और मजबूत करना, पेमेंट सेवा प्रदाताओं (PSPs) के बीच प्रतिस्पर्धा को बढ़ावा देना, और यूरोपीय संघ के पेमेंट बाजार के समग्र कामकाज में सुधार करना है। विकास के प्रमुख क्षेत्रों में से एक डेलीगेटेड ऑथेंटिकेशन के लिए प्रदान किया गया स्पष्ट स्पष्टीकरण और ढांचा है।

प्रस्ताव से लेकर आवेदन तक की यात्रा में कई चरण शामिल हैं। जून 2023 के प्रकाशन के बाद, प्रस्ताव यूरोपीय संसद और यूरोपीय संघ की परिषद से जुड़ी यूरोपीय संघ की विधायी प्रक्रिया में प्रवेश कर गए। संसद की आर्थिक और मौद्रिक मामलों (ECON) समिति ने 2023 के अंत और 2024 की शुरुआत में संशोधनों के साथ मसौदा रिपोर्ट प्रकाशित की, जिसके बाद संसद ने अप्रैल 2024 में पहली रीडिंग में अपनी स्थिति अपनाई। अगले चरण में अंतिम ग्रंथों पर सहमत होने के लिए संसद, परिषद और आयोग के बीच बातचीत शामिल है। इस पूरी प्रक्रिया के दौरान, बैंक, PSP, प्रौद्योगिकी कंपनियां और उपभोक्ता समूह जैसे हितधारक परिणाम को प्रभावित करने के लिए सार्वजनिक परामर्श और लॉबिंग प्रयासों में संलग्न होते हैं।

हालांकि शुरुआती अनुमानों ने 2024 के अंत या 2025 की शुरुआत तक अंतिम रूप देने का सुझाव दिया था, विधायी प्रक्रिया जटिल हो सकती है, और कुछ विश्लेषण अब संभावित देरी का सुझाव देते हैं, जो संभवतः अंतिम समझौते को बाद में और आवेदन की तारीख को 2027 की पहली तिमाही में धकेल सकता है। आम तौर पर, नए नियमों के यूरोपीय संघ के आधिकारिक जर्नल में प्रकाशन के 18 महीने बाद लागू होने की उम्मीद है, जिससे संभावित शुरुआत की तारीख 2026 के मध्य में सबसे पहले होगी, लेकिन अंतिम रूप देने की समय-सीमा के आधार पर संभावित रूप से बाद में भी हो सकती है।

एक महत्वपूर्ण संरचनात्मक परिवर्तन PSD3 के साथ PSR की शुरूआत है। PSR सभी यूरोपीय संघ के सदस्य राज्यों में सीधे लागू होगा, जिससे SCA आवश्यकताओं और ओपन बैंकिंग पहुंच जैसे परिचालन नियमों का एक समान कार्यान्वयन सुनिश्चित होगा। यह सीधे PSD2 की एक कमजोरी को संबोधित करता है, जहां एक निर्देश के रूप में इसकी प्रकृति ने राष्ट्रीय हस्तांतरण और कार्यान्वयन में भिन्नताएं पैदा कीं, जिससे विखंडन हुआ। PSD3, एक निर्देश बना रहेगा, जो भुगतान संस्थानों के प्राधिकरण, लाइसेंसिंग और पर्यवेक्षण पर ध्यान केंद्रित करेगा, जिससे बाजार की निगरानी में कुछ राष्ट्रीय संदर्भ की अनुमति मिलेगी। यह दोहरी संरचना एक रणनीतिक दृष्टिकोण का प्रतिनिधित्व करती है: विनियमन के माध्यम से महत्वपूर्ण परिचालन क्षेत्रों में तेजी से, सुसंगत सामंजस्य का लक्ष्य, जबकि संस्थागत निरीक्षण के लिए निर्देश प्रारूप को बनाए रखना जहां राष्ट्रीय विशिष्टताएं अधिक प्रासंगिक हैं।

ट्रायलॉग वार्ताओं की जटिलताओं, यूरोपीय बैंकिंग प्राधिकरण (EBA) को विस्तृत नियामक तकनीकी मानक (RTS) और दिशानिर्देश विकसित करने की बाद की आवश्यकता, और उद्योग को कार्यान्वयन के लिए तैयार करने के लिए आवश्यक समय को देखते हुए, आमतौर पर उद्धृत 18 महीने की संक्रमण अवधि महत्वाकांक्षी लगती है। व्यवसायों को अपनी योजना में संभावित देरी को ध्यान में रखना चाहिए, 2026 के अंत या यहां तक कि 2027 की शुरुआत को प्रशंसनीय आवेदन तिथियों के रूप में देखना चाहिए।

प्रस्तावित PSD3/PSR ढांचे में सबसे उल्लेखनीय स्पष्टीकरणों में से एक डेलीगेटेड ऑथेंटिकेशन (DA) के लिए स्पष्ट अनुमति है।

डेलीगेटेड ऑथेंटिकेशन (DA) उस प्रक्रिया को संदर्भित करता है जहां एक भुगतानकर्ता का पेमेंट सर्विस प्रोवाइडर (PSP), आमतौर पर भुगतान साधन जारी करने वाला बैंक (जैसे, कार्ड issuer), किसी तीसरे पक्ष को अपनी ओर से स्ट्रांग कस्टमर ऑथेंटिकेशन (SCA) करने की अनुमति देता है।

प्रस्तावित विनियमन का मूल पाठ (PSR प्रस्ताव का अनुच्छेद 87, जोर दिया गया) पढ़ता है:

मसौदा ग्रंथों में कहा गया है कि issuers (आमतौर पर भुगतान खाता प्रदान करने वाले बैंक) SCA लागू करने की जिम्मेदारी कुछ तीसरे पक्षों को सौंप सकते हैं। इन तीसरे पक्षों में merchants, पेमेंट गेटवे या acquirers, ऑनलाइन marketplaces, या डिजिटल वॉलेट प्रदाता शामिल होने की परिकल्पना की गई है।

यह कदम महत्वपूर्ण है क्योंकि यह औपचारिक रूप से उन परिदृश्यों को स्वीकार करता है और उनके लिए एक संभावित नियामक मार्ग प्रदान करता है जहां खाता-धारक संस्थान के अलावा कोई और SCA के तहत आवश्यक प्रमाणीकरण जांच करता है। DA को सक्षम करने के पीछे बताया गया लक्ष्य प्रमाणीकरण अनुभव में नवाचार को बढ़ावा देना है। प्रतिनिधिमंडल की अनुमति देकर, विनियमन उन संस्थाओं को सशक्त बनाने की उम्मीद करता है जो अक्सर ग्राहक संपर्क के सबसे करीब होती हैं (जैसे merchants या वॉलेट) ताकि वे कम-घर्षण, अधिक एकीकृत प्रमाणीकरण प्रवाह का निर्माण कर सकें जो नवीनतम तकनीकों, जैसे कि बायोमेट्रिक्स या पासकीज़ का लाभ उठाते हैं, अंततः उपयोगकर्ता अनुभव में सुधार करते हैं। शुरुआती उदाहरण, जैसे कि Stripe का DA कार्यान्वयन जो PSD3 मसौदे से पहले लॉन्च किया गया था, का उद्देश्य इन लाभों को प्राप्त करना था, जिसमें भाग लेने वाले issuers के लिए तेजी से प्रमाणीकरण समय और बढ़ी हुई रूपांतरण दर की रिपोर्टिंग की गई थी।

हालांकि, मसौदा प्रस्ताव एक महत्वपूर्ण शर्त पेश करते हैं: एक issuer द्वारा किसी तीसरे पक्ष को SCA का प्रतिनिधिमंडल स्पष्ट रूप से आउटसोर्सिंग के रूप में वर्गीकृत किया गया है। यह वर्गीकरण केवल शब्दार्थ नहीं है; यह महत्वपूर्ण नियामक वजन रखता है। इसका मतलब है कि किसी भी DA व्यवस्था को वित्तीय संस्थानों द्वारा आउटसोर्सिंग को नियंत्रित करने वाले कड़े नियमों का पालन करना चाहिए, मुख्य रूप से आउटसोर्सिंग व्यवस्था पर EBA दिशानिर्देश। इसके अलावा, SCA तत्वों को सत्यापित करने वाले डिजिटल वॉलेट ऑपरेटरों को जारी करने वाले बैंकों के साथ औपचारिक आउटसोर्सिंग समझौतों की आवश्यकता होगी।

यह 'आउटसोर्सिंग' लेबल एक जटिल व्यापार-बंद प्रस्तुत करता है। एक ओर, स्पष्ट रूप से DA की अनुमति देना नवाचार और संभावित रूप से बेहतर UX के लिए नियामक खुलेपन का संकेत देता है। दूसरी ओर, इन व्यवस्थाओं को वित्तीय सेवाओं के आउटसोर्सिंग नियमों के पूरे भार के अधीन करना पर्याप्त अनुपालन ओवरहेड का परिचय देता है। यह प्रक्रिया एक संभावित सरल तकनीकी हैंड-ऑफ से एक मुख्य, विनियमित सुरक्षा फ़ंक्शन के प्रतिनिधिमंडल में बदल जाती है। यह उचित परिश्रम, संविदात्मक विशिष्टताओं, जोखिम प्रबंधन, चल रही निगरानी, ऑडिट अधिकारों और संभावित रूप से डिजिटल ऑपरेशनल रेजिलिएंस एक्ट (DORA) के अनुपालन से संबंधित व्यापक आवश्यकताओं को ट्रिगर करता है। इन आउटसोर्सिंग आवश्यकताओं से जुड़ा महत्वपूर्ण बोझ संभावित रूप से उस नवाचार को रोक सकता है जिसे DA प्रोत्साहित करने का इरादा रखता है, खासकर छोटे merchants या TSPs के लिए जिनके पास इस जटिल नियामक परिदृश्य को नेविगेट करने के लिए संसाधनों की कमी है।

PSD3/PSR प्रस्तावों के तहत डेलीगेटेड ऑथेंटिकेशन का 'आउटसोर्सिंग' के रूप में वर्गीकरण का मतलब है कि ऐसी व्यवस्थाएं सीधे EBA के आउटसोर्सिंग व्यवस्था पर दिशानिर्देशों के दायरे में आती हैं। ये दिशानिर्देश एक व्यापक ढांचा स्थापित करते हैं जिसका वित्तीय संस्थानों (SCA सौंपने वाले issuers सहित) और, विस्तार से, डेलीगेटेड फ़ंक्शन करने वाले तकनीकी सेवा प्रदाताओं (TSPs) को पालन करना चाहिए।

ये दिशानिर्देश कई प्रमुख दायित्वों को लागू करते हैं:

• उचित परिश्रम: SCA सौंपने से पहले, issuer को तकनीकी सेवा प्रदाताओं (TSP) पर गहन उचित परिश्रम करना चाहिए। इसमें TSP की व्यावसायिक प्रतिष्ठा, तकनीकी क्षमताओं, वित्तीय स्थिरता, विशेषज्ञता, संसाधनों (मानव, आईटी), संगठनात्मक संरचना और सुरक्षा उपायों का आकलन करना शामिल है ताकि यह सुनिश्चित हो सके कि वे SCA के महत्वपूर्ण कार्य को करने के लिए उपयुक्त हैं।
• जोखिम मूल्यांकन: आउटसोर्सिंग व्यवस्था में प्रवेश करने से पहले और उसके दौरान एक व्यापक जोखिम विश्लेषण अनिवार्य है। इसमें परिचालन जोखिम, कानूनी जोखिम, अनुपालन जोखिम, एकाग्रता जोखिम (एक TSP पर बहुत अधिक निर्भर रहना), और उप-आउटसोर्सिंग से जुड़े जोखिम (जहां TSP फ़ंक्शन के कुछ हिस्सों को आगे सौंपता है) को कवर करना होगा। 'महत्वपूर्ण या महत्वपूर्ण' माने जाने वाले कार्यों को आउटसोर्स करना (SCA को स्पष्ट रूप से छूट दिए जाने तक, निहित रूप से ऐसा माना जाता है) और भी सख्त आवश्यकताओं को ट्रिगर करता है।
• संविदात्मक आवश्यकताएँ: एक विस्तृत लिखित समझौता आवश्यक है। इस अनुबंध में सौंपे गए फ़ंक्शन के दायरे, भूमिकाओं और जिम्मेदारियों, सेवा स्तर समझौतों, शासी कानून, वित्तीय दायित्वों, डेटा सुरक्षा प्रावधानों (पहुंच, उपलब्धता, अखंडता, गोपनीयता और सुरक्षा को कवर करते हुए), व्यापार निरंतरता योजनाओं और समाप्ति खंडों को स्पष्ट रूप से परिभाषित करना होगा। गंभीर रूप से, समझौते को सौंपने वाले संस्थान और उसके नियामकों को आउटसोर्स किए गए फ़ंक्शन के संबंध में पहुंच और ऑडिट के अप्रतिबंधित अधिकार प्रदान करने होंगे।
• चल रही निगरानी: जारीकर्ता केवल 'सौंपकर भूल' नहीं सकता। उन्हें सहमत मेट्रिक्स के खिलाफ TSP के प्रदर्शन की लगातार निगरानी करनी चाहिए, इसकी चल रही जोखिम मुद्रा का आकलन करना चाहिए, और इसके सुरक्षा और व्यापार निरंतरता उपायों की समीक्षा करनी चाहिए। केवल TSP प्रमाणपत्रों पर निर्भर रहना अपर्याप्त है।
• निकास रणनीति: SCA जैसे महत्वपूर्ण कार्यों के लिए, जारीकर्ता के पास एक प्रलेखित निकास योजना होनी चाहिए। इस योजना में व्यवस्था को समाप्त करने, फ़ंक्शन को दूसरे TSP में स्थानांतरित करने, या सेवा को बाधित किए बिना या सुरक्षा या अनुपालन से समझौता किए बिना फ़ंक्शन को वापस इन-हाउस लाने की रणनीतियों की रूपरेखा होनी चाहिए।
• एकाग्रता जोखिम: सौंपने वाले संस्थानों और सक्षम अधिकारियों दोनों को एक ही TSP पर निर्भर कई संस्थानों, या प्रमुख TSPs की एक छोटी संख्या से उत्पन्न होने वाले एकाग्रता जोखिमों की निगरानी करनी चाहिए, खासकर महत्वपूर्ण कार्यों के लिए।
• कोई 'खाली खोल' नहीं: दिशानिर्देश स्पष्ट रूप से कहते हैं कि आउटसोर्सिंग से ऐसी स्थिति नहीं बननी चाहिए जहां सौंपने वाला संस्थान एक 'खाली खोल' बन जाए जिसमें अधिकृत बने रहने के लिए पदार्थ और परिचालन क्षमता की कमी हो। अनुपालन और जोखिम प्रबंधन की अंतिम जिम्मेदारी सौंपने वाले संस्थान के प्रबंधन निकाय के पास रहती है।

जटिलता की एक और परत डिजिटल ऑपरेशनल रेजिलिएंस एक्ट (DORA) है, जो वित्तीय क्षेत्र में सूचना और संचार प्रौद्योगिकी (ICT) जोखिमों के प्रबंधन के लिए पूरे यूरोपीय संघ में सामंजस्यपूर्ण नियम स्थापित करता है। DORA 17 जनवरी, 2025 से लागू होता है।

DORA कई मायनों में DA के लिए प्रासंगिक है:

• प्रत्यक्ष प्रयोज्यता: DORA सीधे वित्तीय संस्थाओं पर लागू होता है, जिसमें बैंक और अन्य PSPs शामिल हैं जो SCA सौंप रहे होंगे।
• महत्वपूर्ण ICT तृतीय-पक्ष प्रदाता (CTPPs): DORA वित्तीय प्रणाली के लिए महत्वपूर्ण माने जाने वाले ICT तृतीय-पक्ष प्रदाताओं के लिए एक निगरानी ढांचा स्थापित करता है। बड़े पैमाने पर DA सेवाएं प्रदान करने वाले बड़े TSPs (जैसे, प्रमुख पेमेंट गेटवे, वॉलेट प्रदाता, संभावित रूप से शामिल क्लाउड सेवा प्रदाता) को CTPPs के रूप में नामित किया जा सकता है, जिससे वे यूरोपीय संघ के अधिकारियों द्वारा सीधे पर्यवेक्षण के अधीन आ जाते हैं।
• PSD3/PSR के साथ एकीकरण: PSD3/PSR प्रस्ताव स्पष्ट रूप से DORA का संदर्भ देते हैं, यह दर्शाता है कि DA सहित आउटसोर्सिंग व्यवस्थाओं को इसकी आवश्यकताओं का पालन करना होगा। इसका मतलब है कि DA करने वाले TSPs को ICT जोखिम प्रबंधन, घटना रिपोर्टिंग, लचीलापन परीक्षण और तृतीय-पक्ष जोखिम प्रबंधन के लिए DORA के मानकों को पूरा करने की आवश्यकता होगी, जिससे अनुपालन का बोझ और बढ़ जाएगा।

EBA आउटसोर्सिंग दिशानिर्देशों और DORA के बीच की परस्पर क्रिया DA में उद्यम करने वाले किसी भी TSP के लिए अनुपालन दायित्वों का एक घना जाल बनाती है। इन सेवाओं को सफलतापूर्वक प्रदान करने के लिए न केवल तकनीकी कौशल की आवश्यकता होगी, बल्कि शासन संरचनाओं, जोखिम प्रबंधन ढांचे, मजबूत प्रलेखन, ऑडिट तैयारी और प्रदर्शन योग्य परिचालन लचीलापन में भी महत्वपूर्ण निवेश की आवश्यकता होगी। यह जटिल वातावरण अनजाने में बड़े, स्थापित TSPs का पक्ष ले सकता है जिनके पास इन मांग वाली आवश्यकताओं को नेविगेट करने के लिए संसाधन और विशेषज्ञता है।

प्रस्तावित ढांचे के तहत DA का एक महत्वपूर्ण परिणाम धोखाधड़ी वाले लेनदेन के लिए देनदारी में बदलाव है जहां SCA विफल हो जाता है।

• मसौदा प्रस्तावों से संकेत मिलता है कि डेलीगेटेड SCA करने वाला तीसरा पक्ष (जैसे, merchant, गेटवे, वॉलेट) धोखाधड़ी से होने वाले वित्तीय नुकसान के लिए उत्तरदायी हो जाता है यदि वे SCA को सही ढंग से लागू करने में विफल रहते हैं। यह 3DS के तहत सामान्य देनदारी बदलाव से एक मौलिक परिवर्तन है, जहां SCA सफलतापूर्वक लागू होने पर देनदारी अक्सर जारीकर्ता को स्थानांतरित हो जाती है।
• इसके अलावा, मसौदा PSR तकनीकी सेवा प्रदाताओं और भुगतान योजना ऑपरेटरों के लिए संभावित देनदारी का परिचय देता है यदि SCA विफलता उनके सिस्टम या infrastructure के कारण होती है। इस विशिष्ट बिंदु को कड़े विरोध का सामना करना पड़ता है, विशेष रूप से Mastercard से, जो तर्क देता है कि यह SCA कार्यान्वयन जिम्मेदारियों के बारे में गलत धारणाओं पर आधारित है।
• जारीकर्ता, जबकि संभावित रूप से SCA प्रक्रिया को सौंपते हैं, पूरी तरह से बरी नहीं होते हैं। वे कुछ प्रकार की धोखाधड़ी के लिए उत्तरदायी रहते हैं, जैसे 'स्पूफिंग' जहां एक धोखेबाज बैंक का प्रतिरूपण करता है। यूरोपीय संसद ने APP धोखाधड़ी के मामलों में इन धनवापसी अधिकारों का विस्तार करने का भी प्रस्ताव दिया है।

DA के तहत SCA विफलताओं के लिए TSPs पर रखी गई यह सीधी देनदारी एक महत्वपूर्ण वित्तीय जोखिम का प्रतिनिधित्व करती है। जबकि बेहतर उपयोगकर्ता अनुभव और रूपांतरण दरों का वादा आकर्षक है, धोखाधड़ी की संभावित लागत कई TSPs के लिए एक बड़ा निवारक के रूप में कार्य कर सकती है जो DA सेवाएं प्रदान करने पर विचार कर रहे हैं। मजबूत जोखिम शमन रणनीतियाँ, जिनमें संभावित रूप से उच्च सेवा शुल्क या विशेष बीमा शामिल हैं, व्यापारियों और गेटवे द्वारा व्यापक DA अपनाने के लिए आवश्यक पूर्वापेक्षाएँ बन सकती हैं।

डेलीगेटेड ऑथेंटिकेशन में कार्ड पेमेंट्स के लिए उपयोगकर्ता अनुभव को मौलिक रूप से नया आकार देने की क्षमता है, खासकर पारंपरिक 3-डी सिक्योर (3DS) प्रक्रिया की तुलना में।

वर्तमान में, SCA चुनौतियों के लिए 3DS प्रक्रिया में आमतौर पर एक हैंड-ऑफ शामिल होता है जहां ग्राहक एक जारीकर्ता-नियंत्रित तत्व के साथ बातचीत करता है। परंपरागत रूप से, इसका मतलब merchant's वेबसाइट या ऐप से दूर issuer's डोमेन (जैसे, उनके बैंकिंग ऐप या एक विशिष्ट प्रमाणीकरण पृष्ठ) पर एक पूर्ण ब्राउज़र रीडायरेक्ट था। तेजी से, नए 3DS संस्करण इस चुनौती को merchant's पृष्ठ पर एक एम्बेडेड iframe के माध्यम से इनलाइन प्रस्तुत करते हैं। जबकि एक iframe एक पूर्ण पृष्ठ प्रस्थान से बचता है, उपयोगकर्ता के ध्यान को एक जारीकर्ता-नियंत्रित चरण पर पुनर्निर्देशित करने के दोनों तरीके परेशान करने वाले हो सकते हैं, चेकआउट प्रक्रिया में समय जोड़ सकते हैं, और ग्राहक ड्रॉप-ऑफ में योगदान कर सकते हैं।

DA प्रक्रिया में इस बदलाव की रुकावट को खत्म करने का एक मार्ग प्रदान करता है। merchant, पेमेंट गेटवे, या डिजिटल वॉलेट को अपने स्वयं के वातावरण में सीधे SCA करने की अनुमति देकर, प्रमाणीकरण चरण को चेकआउट प्रवाह में सहजता से एकीकृत किया जा सकता है। यह ग्राहक के लिए एक सहज, तेज और अधिक सामंजस्यपूर्ण अनुभव का वादा करता है। जब डिवाइस-एकीकृत बायोमेट्रिक्स (फेस आईडी, फिंगरप्रिंट स्कैन) या पासकीज़ जैसे आधुनिक, कम-घर्षण प्रमाणीकरण तरीकों के साथ जोड़ा जाता है, तो DA चेकआउट घर्षण को काफी कम कर सकता है, जिससे संभावित रूप से कम कार्ट परित्याग दर और उच्च भुगतान रूपांतरण दर हो सकती है। वास्तविक दुनिया के डेटा, जैसे कि स्ट्राइप की रिपोर्ट की गई 7% रूपांतरण वृद्धि और वाइज कार्डधारकों के साथ उनके DA समाधान का उपयोग करने वाले लेनदेन के लिए चार गुना तेज प्रमाणीकरण, इस संभावित लाभ को रेखांकित करता है।

इस क्षमता को साकार करने के लिए महत्वपूर्ण तकनीकी और वाणिज्यिक आधार की आवश्यकता है। इसमें व्यापारियों/गेटवे/वॉलेट और जारीकर्ताओं के बीच नए एकीकरण बिंदु और संचार प्रोटोकॉल स्थापित करना शामिल है। Visa और Mastercard जैसी भुगतान योजनाएं यहां एक महत्वपूर्ण भूमिका निभाती हैं। मास्टरकार्ड, उदाहरण के लिए, ने अपना Identity Check Express विकसित किया है जो व्यापारियों और मास्टरकार्ड को merchant's flow के भीतर जारीकर्ता की ओर से उपभोक्ता को प्रमाणित करने में सक्षम बनाता है। इसी तरह, स्ट्राइप ने वाइज जैसे विशिष्ट जारीकर्ताओं के साथ द्विपक्षीय समझौतों के आधार पर अपनी DA क्षमताओं का निर्माण किया है।

ये विकास बताते हैं कि DA केवल एक नियामक अद्यतन से कहीं अधिक है। यह भुगतान प्रमाणीकरण प्रवाह को फिर से डिजाइन करने में मदद के रूप में कार्य करता है। प्रमाणीकरण के बिंदु को issuer's डोमेन से वापस merchant या वॉलेट वातावरण की ओर ले जाने से समृद्ध, अधिक संदर्भ-जागरूक प्रमाणीकरण निर्णयों और उपयोगकर्ता अनुभवों के लिए अवसर पैदा होते हैं जो पारंपरिक रीडायरेक्ट मॉडल की तुलना में कम विघटनकारी होते हैं। इस वास्तुशिल्प बदलाव के लिए पासकीज़ जैसे आधुनिक प्रमाणीकरण तरीकों को सीधे चेकआउट प्रक्रियाओं में एकीकृत करने की आवश्यकता है। हालांकि, यह संक्रमण मजबूत सुरक्षा उपायों, स्पष्ट देनदारी आवंटन (जैसा कि पहले चर्चा की गई है), और विश्वसनीय ढांचे की स्थापना पर निर्भर करता है, जो संभवतः योजना नियमों, द्विपक्षीय समझौतों और कड़े आउटसोर्सिंग और DORA नियमों के पालन के संयोजन द्वारा शासित होता है।

जबकि PSD3/PSR मसौदा प्रस्ताव विधायी आधार स्थापित करते हैं, डेलीगेटेड ऑथेंटिकेशन का अंतिम आकार प्रमुख उद्योग खिलाड़ियों से चल रही बातचीत और लॉबिंग से काफी प्रभावित होगा। बैंक, PSPs, प्रौद्योगिकी प्रदाता और व्यापारी सक्रिय रूप से इन मसौदों की व्याख्या कर रहे हैं और उन परिवर्तनों की वकालत कर रहे हैं जो उनके व्यापार मॉडल और रणनीतिक लक्ष्यों के अनुरूप हैं। कई यूरोपीय संघ लॉबिंग प्रयास जर्मन लॉबी रजिस्टर के माध्यम से सुलभ हैं (नोट: यह रजिस्टर मुख्य रूप से जर्मन में है, और प्रस्तुत किए गए कई दस्तावेज अन्य यूरोपीय संघ निकायों को भी भेजे गए थे)। निम्नलिखित विश्लेषण इन सार्वजनिक प्रस्तुतियों से उपलब्ध सारांशों और दस्तावेजों पर आधारित है।

एक प्रमुख भुगतान infrastructure प्रदाता के रूप में, स्ट्राइप DA में महत्वपूर्ण अवसर देखता है। वे इसे भुगतान रूपांतरण दरों में सुधार और घर्षण को कम करके ग्राहक चेकआउट अनुभव को बढ़ाने के लिए एक महत्वपूर्ण उपकरण के रूप में देखते हैं। स्ट्राइप ने सक्रिय रूप से अपना स्वयं का DA समाधान लॉन्च किया है, जो वाइज जैसे जारीकर्ताओं के साथ द्विपक्षीय समझौतों पर आधारित है, जो PSD3/PSR के अंतिम रूप दिए जाने से पहले ही इस मॉडल के प्रति अपनी प्रतिबद्धता को प्रदर्शित करता है। उनके लॉबिंग प्रयास यह सुनिश्चित करने पर केंद्रित प्रतीत होते हैं कि नियामक वातावरण नवाचार का समर्थन करता है और बोझ को कम करता है। प्रमुख क्षेत्रों में PSD3 के तहत मौजूदा लाइसेंस प्राप्त संस्थाओं के लिए सुव्यवस्थित पुन: प्राधिकरण प्रक्रियाओं की वकालत करना, SCA छूट (जैसे लेनदेन जोखिम विश्लेषण (TRA) थ्रेसहोल्ड और मर्चेंट-इनिशिएटेड ट्रांजैक्शन (MITs)) के संबंध में अधिक स्पष्टता और लचीलेपन की मांग करना, यह सुनिश्चित करना कि स्ट्राइप कनेक्ट जैसे समाधानों का उपयोग करने वाले प्लेटफॉर्म अनावश्यक रूप से एजेंट लाइसेंसिंग आवश्यकताओं से बोझिल न हों, और गैर-बैंक PSPs के लिए भुगतान प्रणालियों तक सीधी पहुंच के लिए जोर देना शामिल है।

PayPal, एक प्रमुख ई-मनी संस्थान और वॉलेट प्रदाता, SCA के लिए परिणाम-आधारित दृष्टिकोण का एक मुखर प्रस्तावक है। वे तर्क देते हैं कि नियमों को एक प्रमाणीकरण विधि की प्रदर्शन योग्य सुरक्षा प्रभावशीलता को प्राथमिकता देनी चाहिए - विशेष रूप से phishing जैसे आधुनिक खतरों के प्रति इसका प्रतिरोध - बजाय PSD2 में परिभाषित पारंपरिक ज्ञान/कब्जा/इन्हेरेंस कारक श्रेणियों का सख्ती से पालन करने के। वे अपने पासकी कार्यान्वयन की सफलता पर प्रकाश डालते हैं, जिसने लॉगिन सफलता में सुधार करते हुए धोखाधड़ी को काफी कम कर दिया। नतीजतन, पेपैल नीति निर्माताओं से PSR डिजाइन करते समय प्रमाणीकरण समाधानों की समग्र ताकत पर ध्यान केंद्रित करने, मजबूत कारकों के संयोजन की अनुमति देने, भले ही वे एक ही श्रेणी से हों (जैसे, दो कब्ज़ा कारक), सुरक्षा को उपयोगिता के साथ संतुलित करने, और अत्यधिक निर्देशात्मक तकनीकी जनादेश से बचने का आग्रह करता है।

मास्टरकार्ड मसौदे के सभी DA के व्यापक वर्गीकरण को आउटसोर्सिंग के रूप में दृढ़ता से चुनौती देता है। वे, अन्य उद्योग समूहों के साथ, तर्क देते हैं कि केवल उन प्रमाणीकरण मॉडलों को जहां जारीकर्ता के पास SCA प्रक्रिया पर नियंत्रण की कमी होती है, को आउटसोर्सिंग आवश्यकताओं की पूरी कठोरता के अधीन किया जाना चाहिए। उनकी लॉबिंग स्थिति इसे दर्शाती है: वे यह स्पष्टीकरण चाहते हैं कि DA 'महत्वपूर्ण' आउटसोर्सिंग नहीं है, DA अपनाने की सुविधा के लिए स्केलेबल या बहुपक्षीय आउटसोर्सिंग समझौतों की वकालत करते हैं, और SCA विफलताओं से संबंधित योजनाओं और TSPs के लिए प्रस्तावित देनदारी को पूरी तरह से हटाना चाहते हैं। इसके अतिरिक्त, मास्टरकार्ड व्यापारियों को जोखिम मूल्यांकन में सुधार के लिए जारीकर्ताओं को व्यवहार और पर्यावरणीय डेटा जैसी अतिरिक्त जानकारी भेजने के लिए अनिवार्य करने पर जोर देता है, और TSPs को विशेष रूप से SCA उद्देश्यों के लिए स्पष्ट उपयोगकर्ता सहमति के बिना बायोमेट्रिक डेटा संसाधित करने की स्पष्ट अनुमति का अनुरोध करता है, और विशिष्ट कम जोखिम वाले उपयोग के मामलों के लिए SCA छूट को ठीक करने का सुझाव देता है।

व्यापार संघ और उद्योग निकाय बड़े पैमाने पर प्रमुख खिलाड़ियों द्वारा उठाई गई चिंताओं को दोहराते हैं। पेमेंट्स यूरोप, उदाहरण के लिए, आउटसोर्सिंग परिभाषा पर Mastercard's के रुख को दर्शाता है, इस बात पर जोर देते हुए कि केवल वे परिदृश्य जहां जारीकर्ता नियंत्रण खो देता है, को आउटसोर्सिंग नियमों को ट्रिगर करना चाहिए। बिटकॉम, डिजिटल उद्योग का प्रतिनिधित्व करते हुए, इस बिंदु पर स्पष्टता की मांग करता है और SCA के लिए व्यवहारिक बायोमेट्रिक्स के स्पष्ट विनियमन की वकालत करता है। ये समूह लगातार SCA ढांचे के भीतर तकनीकी तटस्थता और लचीलेपन की आवश्यकता पर जोर देते हैं ताकि नवाचार को बढ़ावा दिया जा सके और डिजिटल बहिष्करण से बचा जा सके)। CCIA यूरोप DA व्यवस्थाओं के तहत TSPs के सुरक्षा प्रावधानों का ऑडिट और नियंत्रण करने के जारीकर्ताओं के व्यापक अधिकारों की कार्यान्वयन क्षमता के बारे में व्यावहारिक चिंताएं उठाता है।

तालिका: PSD3/PSR के तहत डेलीगेटेड ऑथेंटिकेशन और SCA पर प्रमुख उद्योग की स्थितियाँ

मसौदे के मौजूदा दृष्टिकोण के खिलाफ मजबूत, समन्वित धक्का-मुक्की एक मौलिक तनाव को रेखांकित करती है। उद्योग DA द्वारा संभावित रूप से पेश किए जाने वाले उपयोगकर्ता अनुभव और नवाचार लाभों की इच्छा रखता है, लेकिन EBA दिशानिर्देशों के तहत विनियमित आउटसोर्सिंग से जुड़े महत्वपूर्ण अनुपालन बोझ से बचना चाहता है। उनका प्रस्तावित विकल्प - इस आधार पर आउटसोर्सिंग को परिभाषित करना कि क्या जारीकर्ता नियंत्रण बनाए रखता है - का उद्देश्य DA के लिए एक ऐसी जगह बनाना है जो कम नियामक रूप से गहन हो। विधायी चर्चाओं के दौरान इस बहस का समाधान कई TSPs के लिए DA की व्यावहारिक व्यवहार्यता और आकर्षण को निर्धारित करने में महत्वपूर्ण होगा।

इस नियामक अनिश्चितता के बावजूद, स्ट्राइप और मास्टरकार्ड जैसे प्रमुख खिलाड़ी इंतजार नहीं कर रहे हैं। वे अब सक्रिय रूप से DA समाधान विकसित और तैनात कर रहे हैं, द्विपक्षीय समझौतों और योजना नियमों जैसे मौजूदा ढांचे का उपयोग कर रहे हैं, जिसमें अक्सर बायोमेट्रिक्स और FIDO मानकों जैसी उन्नत प्रौद्योगिकियों को शामिल किया जाता है। यह सक्रिय रणनीति उन्हें शुरुआती बाजार हिस्सेदारी हासिल करने, DA की तकनीकी व्यवहार्यता प्रदर्शित करने, संभावित रूप से उभरते मानकों को आकार देने और अपने ग्राहकों को भविष्य के परिदृश्य के लिए तैयार करने की अनुमति देती है। यह दृष्टिकोण केवल उपभोक्ता अनुभव को बढ़ाने से प्रेरित नहीं है; यह ग्राहकों को जारीकर्ता के बजाय भुगतान प्रदाता से अधिक निकटता से बांधने का भी काम करता है, जबकि एक विकसित नियामक वातावरण और संबंधित देनदारी बदलावों के अंतर्निहित जोखिमों को नेविगेट करता है। जैसे-जैसे उद्योग इन नए DA मॉडलों की खोज करता है, पासकीज़ जैसी उन्नत प्रमाणीकरण प्रौद्योगिकियों की भूमिका सुरक्षा और उपयोगकर्ता अनुभव दोनों लक्ष्यों को प्राप्त करने के लिए तेजी से केंद्रीय हो जाती है।

पासकीज़, जो FIDO Alliance के WebAuthn मानक पर आधारित हैं, प्रमाणीकरण प्रौद्योगिकी में एक महत्वपूर्ण प्रगति का प्रतिनिधित्व करते हैं, और यह खंड चर्चा करेगा कि वे डेलीगेटेड ऑथेंटिकेशन (DA) संदर्भ में स्ट्रांग कस्टमर ऑथेंटिकेशन (SCA) के लिए अंतर को पाटने में कैसे मदद कर सकते हैं।

पासकीज़ की मुख्य ताकत प्रत्येक वेबसाइट या ऐप के लिए अद्वितीय क्रेडेंशियल बनाने के लिए सार्वजनिक-कुंजी क्रिप्टोग्राफी का उपयोग करना है। यह तंत्र उन्हें phishing हमलों के प्रति स्वाभाविक रूप से प्रतिरोधी बनाता है, क्योंकि क्रेडेंशियल केवल उस वैध साइट पर काम करता है जिसके लिए इसे बनाया गया था, और पासवर्ड जैसे साझा रहस्यों के बजाय सुरक्षित डिवाइस अनलॉकिंग (अक्सर बायोमेट्रिक्स के माध्यम से) पर निर्भर करता है। यह संयोजन बढ़ी हुई सुरक्षा और एक सहज उपयोगकर्ता अनुभव दोनों की क्षमता प्रदान करता है।

एक तकनीकी दृष्टिकोण से, पासकीज़ डेलीगेटेड ऑथेंटिकेशन परिदृश्यों के लिए आदर्श रूप से अनुकूल प्रतीत होते हैं। एक DA प्रवाह में, SCA करने वाला एक व्यापारी या गेटवे उपयोगकर्ता को उनके डिवाइस (फोन, कंप्यूटर) पर संग्रहीत पासकी का उपयोग करके प्रमाणित करने के लिए प्रेरित कर सकता है। यह प्रमाणीकरण सीधे merchant's या TSP's वातावरण में होता है, सत्यापन के लिए डिवाइस की अंतर्निहित बायोमेट्रिक क्षमताओं (जैसे फेस आईडी या फिंगरप्रिंट स्कैनिंग) का लाभ उठाता है, इस प्रकार रीडायरेक्ट या बोझिल वन-टाइम पासकोड (OTPs) की आवश्यकता समाप्त हो जाती है। यह DA के अधिक सहज और सुरक्षित चेकआउट बनाने के लक्ष्य के साथ पूरी तरह से मेल खाता है। लेकिन आइए देखें कि एक जारीकर्ता पासकीज़ के साथ तीसरे पक्ष के प्रमाणीकरण को कैसे नियंत्रित और सत्यापित कर सकता है।

हालांकि, पासकीज़ को SCA की विनियमित दुनिया में एकीकृत करना, विशेष रूप से DA के तहत, चुनौतियों का सामना करता है। PSD2's के कठोर तीन-कारक (ज्ञान, कब्ज़ा, इन्हेरेंस) वर्गीकरण ने इस बारे में अस्पष्टता पैदा की कि पासकीज़ कैसे फिट होते हैं, विशेष रूप से 'कब्ज़ा' तत्व और कारकों की स्वतंत्रता के संबंध में जब बायोमेट्रिक्स उस डिवाइस को अनलॉक करते हैं जिसमें पासकी होती है। सिंक किए गए पासकीज़ (जो कई उपकरणों पर उपलब्ध हो सकते हैं) का उदय इस वर्गीकरण को और जटिल बनाता है।

जबकि PSD3/PSR कुछ लचीलापन पेश करता है यह स्पष्ट करके कि प्रमाणीकरण कारकों को केवल स्वतंत्र होने की आवश्यकता है (एक का समझौता दूसरे को प्रभावित नहीं करता है) बजाय इसके कि वे आवश्यक रूप से विभिन्न श्रेणियों से संबंधित हों, जैसा कि प्रस्तावित विनियमन में स्पष्ट रूप से कहा गया है:

यह वर्गीकरण की अस्पष्टता को पूरी तरह से हल नहीं करता है या synced-passkeys के लिए SCA-अनुपालन के रूप में स्पष्ट समर्थन प्रदान नहीं करता है। यह नियामक अनिश्चितता पेपैल जैसे खिलाड़ियों द्वारा किए गए तर्कों को पुष्ट करती है, जो SCA के लिए परिणाम-आधारित दृष्टिकोण की वकालत करते हैं, जो पासकीज़ जैसे तरीकों द्वारा दिए गए सिद्ध सुरक्षा परिणामों (जैसे phishing प्रतिरोध) पर ध्यान केंद्रित करते हैं, बजाय उन्हें संभावित रूप से पुराने श्रेणीबद्ध बक्सों में मजबूर करने के। (outcome-based SCA और पासकीज़ में गहरी डुबकी के लिए हमारी परिणाम-आधारित SCA विश्लेषण देखें)

उपयोगकर्ताओं और व्यापारियों द्वारा सिंक किए गए पासकीज़ को व्यापक रूप से अपनाने और SPC की सीमाओं को देखते हुए, PSD3/PSR ढांचे का लक्ष्य डेलीगेटेड ऑथेंटिकेशन के भीतर इन मौजूदा पासकी संबंधों का लाभ उठाने के लिए एक स्पष्ट मार्ग बनाना होना चाहिए। यह दृष्टिकोण सिंक किए गए पासकीज़ की परिपक्वता से पहले मूल रूप से कल्पना किए गए विशिष्ट तकनीकी कार्यान्वयन द्वारा बाधित होने के बजाय व्यावहारिक, परिणाम-आधारित सुरक्षा पर ध्यान केंद्रित करेगा। इसे प्राप्त करने के लिए, नियामक समायोजन, परिचालन विश्वास तंत्र और विकसित हो रहे उद्योग मानकों पर ध्यान केंद्रित करते हुए कई प्रमुख विकास आवश्यक हैं। सिंक किए गए पासकीज़ का लाभ उठाने वाला एक भविष्य-प्रूफ DA मॉडल कई प्रमुख विकासों को शामिल कर सकता है जिन पर हम अब चर्चा करेंगे।

DA में सिंक किए गए पासकीज़ का प्रभावी मुख्यधारा में लाना PSD3/PSR के तहत स्पष्ट नियामक सक्षमता और जनादेश के साथ शुरू होता है। इसमें निम्नलिखित प्रमुख विचार शामिल हैं:

• DA के लिए सिंक किए गए पासकीज़ का स्पष्ट समर्थन: PSD3/PSR को स्पष्ट रूप से स्पष्ट करना चाहिए कि सिंक किए गए पासकीज़, जब उचित रूप से उपयोग किए जाते हैं, तो DA संदर्भ में SCA आवश्यकताओं को पूरा कर सकते हैं। ध्यान सत्यापन योग्य क्रिप्टोग्राफ़िक लिंक, प्राप्त फ़िशिंग प्रतिरोध, और प्रमाणीकरण प्रक्रिया की स्वतंत्रता पर होना चाहिए, बजाय इसके कि पासकी-पूर्व SCA कारक वर्गीकरणों का कठोर पालन किया जाए।
• अनिवार्य रिच ऑथेंटिकेशन डेटा: उद्योग के अनुरोधों (जैसे कि मास्टरकार्ड से) के साथ संरेखित करते हुए, विनियमन को यह अनिवार्य करना चाहिए कि DA करने वाले TSPs को भुगतान नेटवर्क और जारीकर्ताओं को भेजे गए भुगतान लेनदेन की जानकारी के भीतर व्यापक, मानकीकृत प्रमाणीकरण डेटा (जैसे, पासकी प्रमाणीकरण का विवरण, प्रासंगिक FIDO assertion तत्व, और प्रासंगिक जोखिम संकेत) शामिल करना होगा। यह मौजूदा तंत्रों पर आधारित है जैसे कि मर्चेंट FIDO डेटा 1 के लिए EMV 3DS में उपयोग किया जाने वाला threeDSRequestorAuthenticationInfo फ़ील्ड।

नियामक स्पष्टता से परे, व्यापक रूप से अपनाने के लिए मर्चेंट-हेल्ड पासकीज़ के साथ विश्वास को क्रियान्वित करना महत्वपूर्ण है। इसके लिए मजबूत प्रणालियों और प्रक्रियाओं की आवश्यकता है:

• मर्चेंट-इनिशिएटेड DA का जारीकर्ता सत्यापन: जारीकर्ताओं को पासकीज़ से उत्पन्न प्रमाणीकरण assertions प्राप्त करने और क्रिप्टोग्राफ़िक रूप से सत्यापित करने के लिए मजबूत प्रणालियों की आवश्यकता होगी। महत्वपूर्ण रूप से, कई DA परिदृश्यों में, उपयोग की जाने वाली पासकी वह हो सकती है जिसे उपयोगकर्ता ने पहले से ही व्यापारी की अपनी सेवाओं तक पहुंचने के लिए व्यापारी के साथ बनाया है।
• डायनेमिक चैलेंज और जारीकर्ता नियंत्रण: जारीकर्ता नियंत्रण बनाए रखने और dynamic linking सुनिश्चित करने के लिए, एक DA लेनदेन इस प्रकार काम कर सकता है:
  • जारीकर्ता (या उसकी ओर से भुगतान नेटवर्क) TSP (व्यापारी/गेटवे) को एक अद्वितीय, लेनदेन-विशिष्ट चुनौती प्रदान करता है।
  • TSP उपयोगकर्ता को व्यापारी के साथ पंजीकृत अपने मौजूदा synced passkey का उपयोग करके इस चुनौती (प्लस महत्वपूर्ण लेनदेन डेटा) पर हस्ताक्षर करके लेनदेन को अधिकृत करने के लिए प्रेरित करता है।
  • हस्ताक्षरित assertion सत्यापन के लिए जारीकर्ता को वापस कर दिया जाता है।
• सशर्त DA रोल-ओवर: जारीकर्ता के साथ सीधे एक प्रारंभिक, मजबूत प्रमाणीकरण (शायद एक जारीकर्ता-नामांकित पासकी या एक मजबूत 3DS चुनौती प्रवाह का उपयोग करके) एक विशिष्ट व्यापारी पासकी के लिए एक विश्वसनीय संबंध स्थापित कर सकता है। उसी सत्यापित व्यापारी पासकी का उपयोग करके बाद के DA लेनदेन तब ऊपर वर्णित गतिशील चुनौती मॉडल के साथ आगे बढ़ सकते हैं, जब तक पासकी वैध रहती है और जोखिम पैरामीटर पूरे होते हैं, तब तक एक सहज उपयोगकर्ता अनुभव प्रदान करते हैं।

अंत में, पासकी-आधारित DA की दीर्घकालिक सफलता विकसित हो रहे मानकों और एक परिणाम-आधारित SCA परिप्रेक्ष्य की ओर एक दृढ़ बदलाव पर निर्भर करेगी। इसमें शामिल हैं:

• उद्योग निकायों की भूमिका: FIDO Alliance (इसके भुगतान-केंद्रित कार्य समूहों सहित) और EMVCo जैसे संगठन ऐसे DA मॉडलों को सुरक्षित और स्केलेबल रूप से समर्थन देने के लिए आवश्यक प्रोटोकॉल और विश्वास संकेतों को विकसित करने और मानकीकृत करने में महत्वपूर्ण हैं। इसमें यह परिभाषित करना शामिल है कि व्यापारी-आयोजित पासकीज़ से प्रमाणीकरण assertions को DA संदर्भ में जारीकर्ताओं द्वारा मज़बूती से कैसे प्रस्तुत और सत्यापित किया जा सकता है।
• कठोर SCA परिभाषाओं से परे: अंतिम लक्ष्य SCA के लिए एक परिणाम-आधारित दृष्टिकोण की ओर संक्रमण करना होना चाहिए। यदि सिंक किए गए पासकीज़ (यहां तक कि व्यापारी के साथ बनाए गए) का उपयोग करने वाली एक DA विधि प्रदर्शनकारी रूप से फ़िशिंग-प्रतिरोधी, multi-factor authentication प्रदान कर सकती है जो लेनदेन से गतिशील रूप से जुड़ी हुई है, तो इसे अनुपालन माना जाना चाहिए। यह SCA तत्वों की पारंपरिक, कभी-कभी पुरानी, व्याख्याओं के पालन पर वास्तविक सुरक्षा परिणाम को प्राथमिकता देता है, जिससे नवाचार को बढ़ावा मिलता है और उपयोगकर्ताओं से पहले से परिचित तकनीकों का लाभ उठाया जाता है।

यह विकास भुगतान पारिस्थितिकी तंत्र को उपयोगकर्ताओं और व्यापारियों दोनों द्वारा सिंक किए गए पासकीज़ में और अपनाने में महत्वपूर्ण मौजूदा निवेश का लाभ उठाने की अनुमति देगा, जिससे अधिक सुरक्षित, सहज और व्यापक रूप से सुलभ डेलीगेटेड ऑथेंटिकेशन का मार्ग प्रशस्त होगा।

उपरोक्त अनुक्रम आरेख भुगतान पारिस्थितिकी तंत्र के भीतर पासकीज़ का लाभ उठाते हुए डेलीगेटेड ऑथेंटिकेशन (DA) के लिए एक संभावित भविष्य को दर्शाता है। यह एक सुव्यवस्थित प्रवाह को दर्शाता है जहां व्यापारी, पासकीज़ का उपयोग करते हुए, जारीकर्ताओं की ओर से स्ट्रांग कस्टमर ऑथेंटिकेशन (SCA) कर सकते हैं। यह दृष्टि PSD3/PSR की दिशा और पासकी प्रौद्योगिकी को अपनाने में वृद्धि के साथ संरेखित है।

वास्तविकता की जांच: हालांकि, यह परिकल्पित भविष्य अभी तक वर्तमान मानक नहीं है। व्यापक रूप से अपनाने के लिए कई व्यावहारिक चुनौतियों का समाधान किया जाना चाहिए। नियामक ढांचे, विशेष रूप से आगामी PSD3/PSR के तहत, को पूरी तरह से स्पष्ट करने की आवश्यकता है कि synced passkeys स्ट्रांग कस्टमर ऑथेंटिकेशन में कैसे फिट होते हैं और डेलीगेटेड ऑथेंटिकेशन परिदृश्यों में देनदारी का प्रबंधन कैसे किया जाएगा। आवश्यक तकनीकी मानक, जिनमें जारीकर्ताओं के लिए व्यापारी-आयोजित पासकीज़ को सत्यापित करने और सभी प्लेटफार्मों पर सुसंगत dynamic transaction linking सुनिश्चित करने के लिए शामिल हैं, अभी भी परिपक्व हो रहे हैं। व्यापारी के नेतृत्व वाली प्रमाणीकरण प्रक्रियाओं में व्यापक जारीकर्ता विश्वास का निर्माण भी एक महत्वपूर्ण कदम है। इसके अलावा, एक सहज उपयोगकर्ता अनुभव सुनिश्चित करना, प्रति उपयोगकर्ता संभावित रूप से कई पासकीज़ का प्रबंधन करना, और सभी आवश्यक भुगतान-विशिष्ट कार्यात्मकताओं के लिए सार्वभौमिक ब्राउज़र/प्लेटफ़ॉर्म समर्थन प्राप्त करना चल रहे प्रयास हैं। अंत में, synced passkey पारिस्थितिकी तंत्र के आसपास किसी भी शेष सुरक्षा धारणाओं और attestation की विश्वसनीयता को संबोधित करना पूर्ण विश्वास बनाने के लिए महत्वपूर्ण होगा।

इन बाधाओं के बावजूद - जिनमें से कई यूरोपीय SCA कानून के लिए विशिष्ट हैं, जिसे याद रखना महत्वपूर्ण है, केवल यूरोप पर लागू होता है - ऐसी प्रणाली के लिए अंतर्निहित तकनीक काफी हद तक मौजूद है। यह आज की वास्तविकता से प्रमाणित है: यूरोपीय संघ के बाहर प्रमुख खिलाड़ियों द्वारा व्यापक passkey adoption, जैसे कि PayPal, और कई अमेरिकी बैंकों द्वारा व्यापक उपयोग (जिनमें जैक हेनरी द्वारा बन्नो का उपयोग करने वाले और कई अन्य शामिल हैं)। दर्शाया गया प्रवाह इसलिए तकनीकी रूप से व्यवहार्य है और उपयोगकर्ताओं और व्यापारियों द्वारा passkey adoption की इस मजबूत, मौजूदा गति का लाभ उठाएगा, बजाय इसके खिलाफ काम करने के। यह दृष्टिकोण विश्व स्तर पर अधिक सुरक्षित और सहज भुगतान अनुभवों का मार्ग प्रशस्त कर सकता है।

प्रस्तावित PSD3 और PSR यूरोपीय संघ के भुगतान नियामक ढांचे में एक महत्वपूर्ण विकास का प्रतिनिधित्व करते हैं, जिसका उद्देश्य PSD2's की नींव पर निर्माण करना है, जबकि इसकी सीमाओं को संबोधित करना और तेजी से डिजिटलीकरण वाले बाजार के अनुकूल होना है।

एक प्रमुख विकास डेलीगेटेड ऑथेंटिकेशन (DA) का स्पष्ट सक्षमता है, जो व्यापारियों और वॉलेट जैसे तीसरे पक्षों को जारी करने वाले बैंकों की ओर से स्ट्रांग कस्टमर ऑथेंटिकेशन (SCA) करने की अनुमति देता है। हालांकि, यह सक्षमता यूरोपीय संघ के भीतर एक महत्वपूर्ण चेतावनी के साथ आती है: DA का 'आउटसोर्सिंग' के रूप में वर्गीकरण। यह EBA के आउटसोर्सिंग व्यवस्था पर दिशानिर्देशों और डिजिटल ऑपरेशनल रेजिलिएंस एक्ट (DORA) के तहत अनुपालन दायित्वों का एक जटिल जाल शुरू करता है। इसके अलावा, प्रस्ताव विफल SCA के लिए देनदारी को सीधे डेलीगेटेड प्रमाणीकरण करने वाली इकाई पर स्थानांतरित करते हैं।

यह एक मौलिक तनाव पैदा करता है, विशेष रूप से यूरोपीय संदर्भ में। एक तरफ, बढ़ी हुई सुरक्षा, नियंत्रण और लचीलेपन के लिए नियामक अभियान है, जो कड़े आउटसोर्सिंग और परिचालन लचीलापन आवश्यकताओं के माध्यम से प्रकट होता है। दूसरी तरफ, नवाचार, लचीलेपन और बेहतर उपयोगकर्ता अनुभवों के लिए उद्योग की मजबूत इच्छा है, जिसे DA, विशेष रूप से जब पासकीज़ जैसे आधुनिक तरीकों के साथ जोड़ा जाता है, देने का वादा करता है। DA उद्देश्यों के लिए 'आउटसोर्सिंग' की परिभाषा के आसपास के गहन लॉबिंग प्रयास इस संघर्ष को उजागर करते हैं। यह ध्यान देने योग्य है कि जबकि ये विशिष्ट नियामक बाधाएं यूरोपीय संघ में प्रमुख हैं, अंतर्निहित पासकी तकनीक मजबूत वैश्विक अपनाने और विभिन्न नियामक परिदृश्यों वाले अन्य बाजारों में सफल कार्यान्वयन देख रही है।

डेलीगेटेड ऑथेंटिकेशन की भविष्य की अपनाने की दर और प्रभाव, विशेष रूप से यूरोपीय संघ के भीतर, विधायी प्रक्रिया के अंतिम विवरणों पर गंभीर रूप से निर्भर करता है - विशेष रूप से आउटसोर्सिंग नियमों के दायरे, देनदारी के आवंटन, और महत्वपूर्ण रूप से, DA के भीतर SCA-अनुपालन तंत्र के रूप में सिंक किए गए पासकीज़ की स्पष्ट मान्यता के संबंध में। जारीकर्ताओं और प्रमाणीकरण करने वाले TSPs के बीच व्यावहारिक, स्केलेबल विश्वास ढांचे स्थापित करने की उद्योग की क्षमता भी सर्वोपरि होगी।

पासकीज़, विशेष रूप से सिंक किए गए पासकीज़, स्वाभाविक रूप से DA के लक्ष्यों के साथ संरेखित हैं, जो मजबूत फ़िशिंग प्रतिरोध और सहज, बायोमेट्रिक-आधारित उपयोगकर्ता अनुभवों की क्षमता प्रदान करते हैं। वे पारंपरिक पासवर्ड और OTPs के लिए एक आकर्षक विकल्प का प्रतिनिधित्व करते हैं। चुनौती DA के लिए पासकीज़ का उपयोग करने की तकनीकी व्यवहार्यता में नहीं है - जैसा कि विभिन्न प्रमाणीकरण उद्देश्यों के लिए उनके सफल वैश्विक अपनाने से प्रमाणित है - बल्कि यूरोपीय संघ-विशिष्ट नियामक आवश्यकताओं को नेविगेट करने और SCA के तहत उनकी स्वीकृति के लिए स्पष्ट, परिणाम-आधारित मानदंड स्थापित करने में है। एक ऐसा दृष्टिकोण जो पासकी प्रमाणीकरण के प्रदर्शन योग्य सुरक्षा परिणामों (जैसे, क्रिप्टोग्राफ़िक सत्यापन, फ़िशिंग प्रतिरोध, dynamic linking) को पारंपरिक कारक वर्गीकरणों के कठोर पालन पर प्राथमिकता देता है, DA में उनकी पूरी क्षमता को अनलॉक करने के लिए आवश्यक होगा।

यूरोपीय भुगतान पारिस्थितिकी तंत्र में काम करने वाले व्यवसायों के लिए, आने वाले वर्षों में PSD3, PSR, और संबंधित EBA तकनीकी मानकों के अंतिम रूप दिए जाने की सावधानीपूर्वक निगरानी की आवश्यकता है। संगठनों को सक्रिय रूप से मूल्यांकन करना चाहिए कि डेलीगेटेड ऑथेंटिकेशन, परिपक्व हो रहे पासकी पारिस्थितिकी तंत्र द्वारा सुपरचार्ज किया गया, उनकी भुगतान और प्रमाणीकरण रणनीतियों को कैसे नया आकार दे सकता है। इसमें न केवल सिंक किए गए पासकीज़ जैसी तकनीकों की क्षमता का मूल्यांकन करना शामिल है, बल्कि DA व्यवस्थाओं में भागीदारों के साथ सत्यापन योग्य विश्वास बनाने के लिए आवश्यक परिचालन और अनुपालन बदलावों के लिए तैयारी करना भी शामिल है।

प्रमाणीकरण समाधानों के प्रदाताओं के लिए, अवसर ऐसे प्रस्तावों को विकसित करने में निहित है जो सुरक्षित, उपयोगकर्ता-अनुकूल और ग्राहकों (TSPs) को PSD3/PSR परिदृश्य के भीतर DA की मांग वाली अनुपालन आवश्यकताओं को पूरा करने में मदद करने के लिए डिज़ाइन किए गए हैं। इसमें प्रमाणीकरण डेटा के सुरक्षित आदान-प्रदान की सुविधा और ऐसे तंत्रों का समर्थन करना शामिल है जो जारीकर्ताओं को व्यापारी-आयोजित पासकीज़ के साथ किए गए DA लेनदेन को आत्मविश्वास से सत्यापित करने की अनुमति देते हैं, अंततः पासकी प्रौद्योगिकी की वैश्विक गति का लाभ उठाकर सुरक्षित और सहज भुगतान अनुभव को बढ़ावा देते हैं जिसे PSD3/PSR प्राप्त करने का लक्ष्य रखता है।