मलेशियाई सेंट्रल बैंक जोखिम प्रबंधन में MFA अपडेट

1. परिचय#

बैंक नेगारा मलेशिया (BNM) ने नवंबर 2025 में एक अपडेटेड रिस्क मैनेजमेंट इन टेक्नोलॉजी (RMiT) पॉलिसी जारी की, जिसने जून 2023 के संस्करण को बदल दिया है। हालांकि अपडेट प्रौद्योगिकी जोखिम क्षेत्रों की एक विस्तृत श्रृंखला को कवर करता है, सबसे महत्वपूर्ण बदलाव ऑथेंटिकेशन, डिवाइस बाइंडिंग, मल्टी-फैक्टर ऑथेंटिकेशन (MFA) और धोखाधड़ी की रोकथाम में हैं। वित्तीय संस्थानों के लिए यह मलेशियाई बैंकिंग रेगुलेशन अब केवल सर्वोत्तम प्रथा या मार्गदर्शन नहीं है, बल्कि एक अनिवार्य मानक बन गया है।

BNM 2023 से धीरे-धीरे संस्थानों को SMS OTP से दूर कर रहा है। इसका कारण सीधा था: धोखेबाजों ने ग्राहकों के देखने से पहले SMS ऑथेंटिकेशन कोड को इंटरसेप्ट करने के टूल बना लिए थे, और SIM-स्वैप हमलों ने अपराधियों को अपने नियंत्रण वाले उपकरणों पर कोड रीडायरेक्ट करने की अनुमति दी। 2024 तक, मलेशियाई बैंकों ने सामूहिक रूप से 383 मिलियन रिंग्गिट मलेशिया (100 मिलियन अमेरिकी डॉलर से अधिक) के धोखाधड़ी वाले लेनदेन (उनकी वार्षिक रिपोर्ट के अनुसार) को ब्लॉक किया। नवंबर 2025 का अपडेट उस प्रगति को लेता है और इसे बाध्यकारी रेगुलेशन में संहिताबद्ध करता है।

यह लेख अपडेटेड RMiT में प्रमुख ऑथेंटिकेशन और MFA परिवर्तनों को तोड़ता है, रेगुलेटरी संदर्भ की व्याख्या करता है, और दिखाता है कि कंप्लायंस की तस्वीर में पासकी और फिशिंग-प्रतिरोधी ऑथेंटिकेशन कहां फिट होते हैं। हम निम्नलिखित सवालों के जवाब देते हैं:

1. RMiT पॉलिसी क्या है और यह किस पर लागू होती है?

2. नवंबर 2025 से पहले ऑथेंटिकेशन परिदृश्य कैसा दिखता था?

3. ऑथेंटिकेशन और MFA आवश्यकताओं में सबसे महत्वपूर्ण बदलाव क्या हैं?

4. पासकी वित्तीय संस्थानों को अपडेटेड RMiT का अनुपालन करने में कैसे मदद करती हैं?

2. बैंक नेगारा मलेशिया (BNM) रिस्क मैनेजमेंट इन टेक्नोलॉजी (RMiT) पॉलिसी क्या है?#

RMiT पॉलिसी BNM का केंद्रीय रेगुलेटरी ढांचा है जो यह नियंत्रित करता है कि विनियमित वित्तीय संस्थान प्रौद्योगिकी जोखिम का प्रबंधन कैसे करते हैं। BNM RMiT कंप्लायंस IT गवर्नेंस, साइबर सिक्योरिटी, डिजिटल सेवाओं, क्लाउड उपयोग और ऑथेंटिकेशन नियंत्रणों के लिए आवश्यकताएं निर्धारित करता है, जिसका लक्ष्य वित्तीय सेवाओं को उपलब्ध, लचीला और विश्वसनीय बनाए रखना है, जैसे-जैसे डिजिटल चैनल और खतरे के स्तर विकसित होते हैं।

पॉلیسی क्लाउड उपयोग को आउटसोर्सिंग का एक रूप भी मानती है, जिसके लिए संस्थानों को ग्राहक डेटा और क्रिप्टोग्राफ़िक कीज़ (keys) पर उचित स्वामित्व और नियंत्रण बनाए रखने की आवश्यकता होती है। व्यवहार में, RMiT वह कंप्लायंस आधार रेखा (baseline) है जिसके चारों ओर मलेशिया में प्रत्येक विनियमित वित्तीय संस्थान को अपनी प्रौद्योगिकी जोखिम स्थिति का निर्माण करना चाहिए।

3. RMiT पॉलिसी का अनुपालन किसे करना चाहिए?#

RMiT आवश्यकताएँ BNM द्वारा विनियमित सभी वित्तीय संस्थानों पर लागू होती हैं। इसका दायरा व्यापक है, जिसमें न केवल पारंपरिक बैंक शामिल हैं बल्कि बीमाकर्ता, ई-मनी जारीकर्ता, पेमेंट सिस्टम ऑपरेटर और प्रेषण (remittance) संस्थान भी शामिल हैं। निम्नलिखित तालिका मुख्य श्रेणियों का सारांश प्रस्तुत करती है:

व्यावहारिक शब्दों में: यदि आपके संगठन के पास मलेशिया के वित्तीय क्षेत्र में काम करने के लिए BNM लाइसेंस, पंजीकरण या अनुमोदन है, तो RMiT आप पर लागू होता है।

4. नवंबर 2025 से पहले BNM की ऑथेंटिकेशन आवश्यकताएं कैसी दिखती थीं?#

नवंबर 2025 के अपडेट से पहले, RMiT में पहले से ही सार्थक ऑथेंटिकेशन आवश्यकताएँ शामिल थीं, लेकिन कई अनिवार्य मानकों के बजाय मार्गदर्शन (guidance) के स्तर पर थीं। बेसलाइन को समझने से यह स्पष्ट करने में मदद मिलती है कि कितना कुछ बदल गया है।

4.1 MFA कंट्रोल#

• उच्च जोखिम वाले लेनदेन के लिए MFA की आवश्यकता थी, विशेष रूप से खुले थर्ड-पार्टी फंड ट्रांसफर और पेमेंट लेनदेन।

• 10,000 RM से ऊपर के लेनदेन पर विशेष ध्यान दिया गया था, हालांकि 2023 संस्करण ने सभी डिजिटल लेनदेन के लिए MFA पर जोर देना शुरू कर दिया था।

• 2023 के संस्करण ने स्पष्ट रूप से ऑथेंटिकेशन को "इंटरसेप्शन या हेरफेर के प्रतिरोधी" की ओर ले जाने के लिए प्रोत्साहित किया, जो SMS-आधारित OTP के अंत की शुरुआत का संकेत देता है।

• MFA को 2023 में "मार्गदर्शन" (सर्वोत्तम अभ्यास) से "मानक" (अनिवार्य) तक बढ़ा दिया गया था।

4.2 ऑथेंटिकेशन कंट्रोल और एक्सेस मैनेजमेंट#

• संस्थानों को न्यूनतम विशेषाधिकार (least privilege) का सिद्धांत लागू करना पड़ता था और कम से कम सालाना एक्सेस मैट्रिक्स की समीक्षा करनी होती थी।

• विशेषाधिकार प्राप्त खातों के लिए सख्त नियंत्रण की आवश्यकता थी, जिसमें अनिवार्य MFA शामिल था, चाहे एक्सेस आंतरिक हो या बाहरी।

• आंतरिक नेटवर्क (जैसे VPN के माध्यम से) के रिमोट एक्सेस के लिए गैर-परक्राम्य (non-negotiable) मानक के रूप में MFA की आवश्यकता थी।

4.3 डिजिटल सर्विस कंट्रोल#

2023 RMiT का परिशिष्ट (Appendix) 11 डिजिटल बैंकिंग सुरक्षा के लिए प्रमुख संदर्भ था। इसके लिए ट्रांजेक्शन साइनिंग (MFA को प्राप्तकर्ता और राशि जैसे लेनदेन विवरण से जोड़ना), डिवाइस बाइंडिंग (उपयोगकर्ता की डिजिटल पहचान को किसी विश्वसनीय डिवाइस से जोड़ना), और सामान्य धोखाधड़ी काउंटरमेज़र्स की आवश्यकता थी।

5. BNM RMiT पॉलिसी में सबसे महत्वपूर्ण बदलाव क्या हैं?#

नवंबर 2025 का अपडेट 2022 और 2024 धोखाधड़ी काउंटरमेज़र विनिर्देशों सहित कई पूर्व सर्कुलर और विनिर्देशों को समेकित और मजबूत करता है। परिणाम एक एकल, व्यापक पॉलिसी है जिसमें संस्थान उपयोगकर्ताओं को प्रमाणित करने और डिजिटल सेवाओं की सुरक्षा के लिए अधिक स्पष्ट और अनिवार्य आवश्यकताएं हैं। ऐसे पांच क्षेत्र हैं जो सबसे ज्यादा मायने रखते हैं।

5.1 डिफ़ॉल्ट रूप से, प्रति उपयोगकर्ता एक डिवाइस#

"डिफ़ॉल्ट रूप से खाताधारक के प्रति एक मोबाइल डिवाइस या सुरक्षित डिवाइस पर डिजिटल सेवा लेनदेन के ऑथेंटिकेशन को प्रतिबंधित करने के लिए सुरक्षित बाइंडिंग और अनबाइंडिंग प्रक्रियाओं को सुनिश्चित करें"

— RMiT परिशिष्ट 3, पैराग्राफ 3(a)

यह सिम-स्वैप धोखाधड़ी और खाता अधिग्रहण (account takeover) हमलों का सीधा जवाब है, जहां धोखेबाज किसी मौजूदा खाते में एक नया डिवाइस पंजीकृत करते हैं और इसे खाली कर देते हैं जबकि वैध डिवाइस सक्रिय रहता है। "डिफ़ॉल्ट" फ्रेमिंग महत्वपूर्ण है: ग्राहक कई उपकरणों का उपयोग करने का विकल्प चुन सकते हैं, लेकिन उन्हें स्पष्ट रूप से इसका अनुरोध करना होगा और संबंधित जोखिमों को स्वीकार करना होगा। संस्थान मल्टी-डिवाइस को डिफ़ॉल्ट नहीं बना सकता।

व्यावहारिक रूप से, इसका अर्थ है कि ऑनबोर्डिंग और ऑथेंटिकेशन प्रवाह को डिवाइस पंजीकरण को ट्रैक करने, डिफ़ॉल्ट रूप से एकल बाइंडिंग लागू करने और ग्राहक-अनुरोधित अपवादों के लिए स्पष्ट, ऑडिट-सक्षम प्रक्रिया बनाए रखने की आवश्यकता है।

5.2 फ़ोन नंबर परिवर्तन के लिए मजबूत सत्यापन#

"नए मोबाइल फोन नंबर का पंजीकरण या मौजूदा मोबाइल फोन नंबर का प्रतिस्थापन ग्राहक की प्रामाणिकता की पुष्टि करने के लिए मजबूत सत्यापन विधियों को लागू करने के बाद ही संसाधित किया जाता है"

— RMiT परिशिष्ट 3, पैराग्राफ 3(c)

कई संस्थान अभी भी मौजूदा नंबर पर भेजे गए OTP से ज्यादा कुछ नहीं के साथ फोन नंबर परिवर्तन को संसाधित करते हैं। यदि नंबर से पहले ही समझौता किया जा चुका है या सिम स्वैप हो चुका है तो वह दृष्टिकोण विफल हो जाता है। BNM की फ्रेमिंग में "मजबूत सत्यापन" का अर्थ उन तरीकों से है जो बदले जा रहे चैनल से परे जाते हैं: पहचान का पुन: सत्यापन, बायोमेट्रिक्स का उपयोग करके स्टेप-अप ऑथेंटिकेशन, या उच्च जोखिम वाले परिवर्तनों के लिए इन-ब्रांच पुष्टि।

5.3 नए उपकरणों के लिए कूलिंग-ऑफ़ अवधि और लेनदेन सीमाएँ#

"डिजिटल सेवाओं या सुरक्षित डिवाइस के पहले नामांकन (enrollment) और लगातार कई उच्च-मात्रा वाले लेनदेन या अन्य असामान्य लेनदेन पैटर्न के लिए उचित सत्यापन और कूलिंग-ऑफ़ अवधि लागू करें"

— RMiT परिशिष्ट 3, पैराग्राफ 3(e)

नए नामांकित डिवाइस में तुरंत पूर्ण लेनदेन क्षमता नहीं होनी चाहिए। संस्थानों को समय-आधारित प्रतिबंध और वेग नियंत्रण (velocity controls) लागू करने की आवश्यकता है जो धीरे-धीरे अनलॉक होते हैं क्योंकि डिवाइस और उपयोगकर्ता व्यवहार एक विश्वास इतिहास स्थापित करते हैं। यदि कोई हैकर एक्सेस प्राप्त कर लेता है, तो वे आम तौर पर दैनिक ट्रांसफर सीमा बढ़ाने और तुरंत पैसा स्थानांतरित करने का प्रयास करते हैं। कूलिंग-ऑफ़ अवधि वैध मालिक और बैंक की धोखाधड़ी टीम को सत्र का पता लगाने और रोकने के लिए एक विंडो देती है।

धोखाधड़ी का पता लगाने वाले मानकों के साथ संयुक्त, जिन्हें वास्तविक समय में व्यवहार संबंधी प्रोफाइलिंग और जोखिम स्कोरिंग की आवश्यकता होती है, यह एक स्पष्ट अपेक्षा पैदा करता है: ऑथेंटिकेशन परत को न केवल क्रेडेंशियल, बल्कि संदर्भ (context) के बारे में भी जागरूक होने की आवश्यकता है।

5.4 MFA जो अनएन्क्रिप्टेड SMS से अधिक सुरक्षित है#

अपडेट में यह सबसे महत्वपूर्ण ऑथेंटिकेशन आवश्यकता है। यह वर्षों के BNM मार्गदर्शन पर आधारित है और इसे एक बाध्यकारी मानक में बदल देता है:

"MFA प्रौद्योगिकी और चैनलों की तैनाती जो अनएन्क्रिप्टेड SMS से अधिक सुरक्षित हैं ... MFA समाधान पूरी ऑथेंटिकेशन प्रक्रिया के दौरान किसी भी तीसरे पक्ष द्वारा इंटरसेप्शन या हेरफेर के लिए प्रतिरोधी है"

— RMiT परिशिष्ट 3, पैराग्राफ 5 और 6

पॉलिसी ट्रांजेक्शन बाइंडिंग शुरू करके आगे बढ़ती है:

"ऑथेंटिकेशन कोड को MFA का उपयोग करके भुगतानकर्ता/प्रेषक द्वारा स्थानीय रूप से आरंभ और उत्पन्न किया जाना चाहिए ... भुगतानकर्ता/प्रेषक द्वारा उत्पन्न ऑथेंटिकेशन कोड पुष्ट पहचान वाले लाभार्थी और राशि के लिए विशिष्ट होना चाहिए"

— RMiT परिशिष्ट 3, पैराग्राफ 6(c) और 6(d)

ट्रांजेक्शन बाइंडिंग का मतलब है कि ऑथेंटिकेशन कोड को विशिष्ट लेनदेन विवरण (प्राप्तकर्ता और राशि) से जोड़ा जाना चाहिए, न कि केवल सत्र या लॉगिन से। यह सीधे "OTP रीडायरेक्ट" हमलों को संबोधित करता है, जहां उपयोगकर्ता द्वारा प्रमाणित किए जाने के बाद धोखेबाज लेनदेन में हेरफेर करते हैं। खाता A में 500 RM के पेमेंट के लिए जनरेट किया गया OTP खाता B में 50,000 RM के भुगतान के लिए पुन: उपयोग नहीं किया जा सकता है।

उन संस्थानों के लिए जो अभी भी अपने प्राथमिक सेकंड फैक्टर के रूप में SMS OTP पर भरोसा कर रहे हैं, यह अब तक का सबसे स्पष्ट संकेत है: माइग्रेशन पथ वैकल्पिक नहीं है। नीचे दी गई तालिका संक्षेप में बताती है कि कौन सी MFA विधियां नई आवश्यकताओं के अनुरूप हैं:

5.5 BNM RMiT के लिए पासकी और क्रिप्टोग्राफ़िक की-आधारित ऑथेंटिकेशन#

BNM स्पष्ट रूप से संस्थानों को पासवर्डलेस विकल्प पेश करने की भी आवश्यकता बताता है:

"अपने ग्राहक को मौजूदा पासवर्ड-आधारित ऑथेंटिकेशन विधि के विकल्प के रूप में एक मजबूत क्रिप्टोग्राफ़िक की-आधारित ऑथेंटिकेशन जैसे डिजिटल प्रमाणपत्र या पासवर्डलेस प्रदान करें"

— RMiT परिशिष्ट 3, पैराग्राफ 9

यह पासकी, हार्डवेयर-समर्थित ऑथेंटिकेशन या प्रमाणपत्र-आधारित विधियों की ओर बढ़ने का एक स्पष्ट निर्देश है। MFA अपग्रेड के विपरीत, जो SMS OTP को बदलने पर केंद्रित है, यह आवश्यकता पासवर्ड को ही लक्षित करती है। दोनों आवश्यकताएं एक साथ काम करती हैं: संस्थानों को सेकंड फैक्टर के लिए SMS से आगे बढ़ने और फर्स्ट फैक्टर के लिए पासवर्ड का विकल्प देने की आवश्यकता है।

पासकी यहाँ सबसे स्वाभाविक फिट हैं। एक सिंगल पासकी क्रेडेंशियल एक साथ दोनों आवश्यकताओं को पूरा करता है। यह एक क्रिप्टोग्राफ़िक की-आधारित ऑथेंटिकेशन विधि (पैराग्राफ 9) है, यह अनएन्क्रिप्टेड SMS (पैराग्राफ 5-6) की तुलना में अधिक सुरक्षित है, और क्योंकि पासकी विशिष्ट मूल (वेबसाइट या ऐप) के लिए ऑथेंटिकेशन को बांधती हैं, वे ट्रांजेक्शन बाइंडिंग के पीछे के इरादे का भी समर्थन करती हैं।

6. सारांश: नवंबर 2025 अपडेट से पहले और बाद में#

7. क्षेत्रीय संदर्भ: मलेशिया अकेला नहीं है#

मलेशिया का अपडेटेड RMiT एक व्यापक क्षेत्रीय प्रवृत्ति (trend) के भीतर बैठता है। पूरे एशिया-प्रशांत में, वित्तीय नियामक समान आवश्यकताओं के एक सेट पर अभिसरण (converging) कर रहे हैं: डिवाइस-बाउंड क्रेडेंशियल, फिशिंग-प्रतिरोधी MFA, और पासवर्ड और SMS OTP से दूर जाना।

• सिंगापुर (MAS): मॉनेटरी अथॉरिटी ऑफ सिंगापुर ने लंबे समय से डिजिटल बैंकिंग के लिए डिवाइस बाइंडिंग और ट्रांजेक्शन साइनिंग की आवश्यकता बताई है और प्रगतिशील रूप से अपने टेक्नोलॉजी रिस्क मैनेजमेंट (TRM) दिशानिर्देशों को BNM के दृष्टिकोण से निकटता से मेल खाने वाली दिशा में कड़ा कर रहा है।

• भारत (RBI): भारतीय रिजर्व बैंक (RBI) ने ऑथेंटिकेशन और लेनदेन-विशिष्ट प्राधिकरण के अतिरिक्त कारकों पर जोर दिया है, विशेष रूप से कार्ड-नॉट-प्रेजेंट और UPI लेनदेन के लिए।

• हांगकांग (HKMA): हांगकांग मॉनेटरी अथॉरिटी के ई-बैंकिंग दिशानिर्देशों में उच्च जोखिम वाले संचालन के लिए मजबूत ग्राहक ऑथेंटिकेशन और डिवाइस पंजीकरण नियंत्रण की आवश्यकता है।

• वियतनाम (स्टेट बैंक ऑफ वियतनाम): सर्कुलर 45/2025 में बैंकों को कुछ उच्च-मूल्य वाले लेनदेन के लिए चिप-आधारित नागरिक ID या राष्ट्रीय डेटाबेस के खिलाफ ग्राहक बायोमेट्रिक्स को सत्यापित करने की आवश्यकता है, जो एक केंद्रीकृत सत्यापन कदम पेश करता है।

RMiT कंप्लायंस के लिए आवश्यक आर्किटेक्चर, जिसमें क्रिप्टोग्राफ़िक डिवाइस बाइंडिंग, पासकी और लेनदेन-स्तर (transaction-level) का ऑथेंटिकेशन शामिल है, वह जगह है जहाँ पूरा क्षेत्र जा रहा है। जो संस्थान अब इस आर्किटेक्चर में निवेश करते हैं, वे केवल एक राष्ट्रीय नीति के लिए नहीं, बल्कि क्षेत्रीय विनियामक अभिसरण के लिए निर्माण कर रहे हैं।

8. Corbado वित्तीय संस्थानों को अपडेटेड RMiT को पूरा करने में कैसे मदद करता है#

Corbado का प्लेटफ़ॉर्म उन ऑथेंटिकेशन चुनौतियों के लिए बनाया गया है जिन्हें अपडेटेड RMiT संबोधित करने के लिए डिज़ाइन किया गया है। यहाँ बताया गया है कि प्रमुख आवश्यकताएँ Corbado की क्षमताओं से कैसे मैप होती हैं:

• फिशिंग-प्रतिरोधी MFA और पासवर्डलेस ऑथेंटिकेशन: Corbado का पासकी कार्यान्वयन BNM की MFA आवश्यकताओं के अनुपालन के लिए एक सीधा मार्ग प्रदान करता है जो अनएन्क्रिप्टेड SMS (पैराग्राफ 5-6) से अधिक सुरक्षित है और पासवर्ड (पैराग्राफ 9) के विकल्प के रूप में क्रिप्टोग्राफ़िक की-आधारित ऑथेंटिकेशन के लिए है। एक सिंगल पासकी क्रेडेंशियल एक साथ दोनों आवश्यकताओं को संबोधित करता है।

• डिवाइस बाइंडिंग: Corbado डिवाइस-बाउंड पासकी और क्रिप्टोग्राफ़िक क्रेडेंशियल्स का समर्थन करता है जो एक विशिष्ट डिवाइस से बंधे होते हैं। नामांकन प्रवाह ग्राहक-अनुरोधित अपवादों के लिए स्पष्ट तंत्र के साथ एक-डिवाइस-प्रति-उपयोगकर्ता डिफ़ॉल्ट लागू कर सकता है, यह सब एक पूर्ण ऑडिट ट्रेल के साथ।

• ऑडिट और कंप्लायंस तत्परता: Corbado की टेलीमेट्री, इवेंट लॉगिंग और रिपोर्टिंग क्षमताएं यह प्रदर्शित करना आसान बनाती हैं कि ऑथेंटिकेशन नियंत्रण न केवल डिज़ाइन किए गए हैं बल्कि प्रभावी ढंग से काम कर रहे हैं। Corbado ISO 27001-प्रमाणित ISMS के तहत काम करता है और SOC 2 Type II अटेस्टेशन रखता है, जो अपनी खुद की सुरक्षा स्थिति को मलेशियाई वित्तीय संस्थानों पर रखी गई अपेक्षाओं के साथ जोड़ता है।

9. निष्कर्ष#

नवंबर 2025 का RMiT अपडेट ऑथेंटिकेशन सुरक्षा पर वर्षों के BNM मार्गदर्शन को बाध्यकारी रेगुलेशन में बदल देता है। SMS OTP अब एक स्टैंडअलोन सेकंड फैक्टर के रूप में अनुपालक नहीं है। डिवाइस बाइंडिंग डिफ़ॉल्ट रूप से अनिवार्य है। ट्रांजेक्शन ऑथेंटिकेशन को विशिष्ट भुगतान विवरण से जोड़ा जाना चाहिए। और संस्थानों को पासवर्ड के लिए क्रिप्टोग्राफ़िक की-आधारित विकल्प प्रदान करने होंगे।

जिन संस्थानों ने पहले ही SMS से दूर और फिशिंग-प्रतिरोधी तरीकों की ओर माइग्रेट करना शुरू कर दिया है, उनके लिए अपडेट संहिताबद्ध करता है कि वे पहले से ही क्या कर रहे थे। जिन लोगों ने ऐसा नहीं किया है, उनके लिए वर्तमान अभ्यास और नए मानक के बीच का अंतर महत्वपूर्ण है, और कंप्लायंस की समयरेखा अब तय हो गई है।

अपडेटेड आवश्यकताओं को पूरा करने के लिए पासकी सबसे सीधा रास्ता हैं। एक सिंगल पासकी क्रेडेंशियल एक ही कार्यान्वयन में MFA अपग्रेड, पासवर्डलेस विकल्प और डिवाइस बाइंडिंग आवश्यकताओं को पूरा करता है। संवेदनशील संचालन के लिए स्टेप-अप ऑथेंटिकेशन और नए नामांकनों के लिए कूलिंग-ऑफ़ लॉजिक के साथ संयुक्त, यह संस्थानों को पॉइंट समाधानों के पैचवर्क के बजाय एक सुसंगत आर्किटेक्चर देता है।

हम इस विषय के संबंध में सबसे महत्वपूर्ण प्रश्नों के उत्तर भी दे सकते हैं:

• RMiT पॉलिसी क्या है और यह किस पर लागू होती है? RMiT BNM का केंद्रीय प्रौद्योगिकी जोखिम ढांचा है, जो मलेशिया में बैंक, बीमाकर्ता, ई-मनी जारीकर्ता, पेमेंट सिस्टम ऑपरेटर और प्रेषण प्रदाताओं सहित सभी विनियमित वित्तीय संस्थानों पर लागू होता है।

• नवंबर 2025 से पहले ऑथेंटिकेशन परिदृश्य कैसा दिखता था? उच्च जोखिम वाले लेनदेन और विशेषाधिकार प्राप्त पहुंच के लिए MFA पहले से ही अनिवार्य था, लेकिन SMS OTP को अभी भी सहन किया गया था, मल्टी-डिवाइस सेटअप को ढीले ढंग से नियंत्रित किया गया था, और पासवर्डलेस विकल्प अभी तक आवश्यक नहीं था।

• ऑथेंटिकेशन और MFA में सबसे महत्वपूर्ण बदलाव क्या हैं? पाँच बदलाव सामने आते हैं: डिफ़ॉल्ट रूप से प्रति उपयोगकर्ता एक डिवाइस, फ़ोन नंबर में बदलाव के लिए मजबूत सत्यापन, नए डिवाइस के लिए अनिवार्य कूलिंग-ऑफ़ अवधि, ट्रांजेक्शन बाइंडिंग के साथ SMS की तुलना में अधिक सुरक्षित MFA, और पासकी या क्रिप्टोग्राफ़िक की-आधारित ऑथेंटिकेशन प्रदान करने की आवश्यकता।

• पासकी वित्तीय संस्थानों को अनुपालन करने में कैसे मदद करती हैं? पासकी एक ही कार्यान्वयन में MFA अपग्रेड, पासवर्डलेस विकल्प और डिवाइस बाइंडिंग आवश्यकताओं को पूरा करती हैं, जबकि फिशिंग, SIM-स्वैप और OTP इंटरसेप्शन हमलों के प्रतिरोधी भी हैं।

Corbado के बारे में

Corbado बड़े पैमाने पर consumer authentication चलाने वाली CIAM टीमों के लिए Passkey Intelligence Platform है। हम आपको वह दिखाते हैं जो IDP logs और सामान्य analytics tools नहीं दिखा सकते: कौन-से devices, OS versions, browsers और credential managers passkeys को support करते हैं, क्यों enrollments login में नहीं बदलते, WebAuthn flow कहाँ fail होता है, और कब कोई OS या browser update चुपचाप login को तोड़ देता है — और यह सब Okta, Auth0, Ping, Cognito या आपके in-house IDP को बदले बिना। दो products: Corbado Observe जोड़ता है passkeys और किसी भी अन्य login method के लिए observability। Corbado Connect देता है analytics के साथ built-in managed passkeys (आपके IDP के साथ-साथ)। VicRoads, Corbado के साथ 5M+ users के लिए passkeys चला रहा है (+80% passkey activation)। Passkey विशेषज्ञ से बात करें →

अक्सर पूछे जाने वाले प्रश्न#

BNM RMiT कंप्लायंस के संदर्भ में 'ट्रांजेक्शन बाइंडिंग' का क्या अर्थ है?#

ट्रांजेक्शन बाइंडिंग की आवश्यकता है कि प्रत्येक ऑथेंटिकेशन कोड भुगतानकर्ता द्वारा स्थानीय रूप से जनरेट किया जाए और गणितीय रूप से विशिष्ट लाभार्थी खाते और भुगतान राशि से जुड़ा हो। यह OTP रीडायरेक्ट हमलों को रोकता है, जहां एक धोखेबाज उपयोगकर्ता द्वारा प्रमाणित किए जाने के बाद लेनदेन विवरण में हेरफेर करता है। एक खाते में भुगतान के लिए उत्पन्न कोड का उपयोग किसी भिन्न भुगतान या राशि को अधिकृत करने के लिए नहीं किया जा सकता है।

RMiT 2025 अपडेट में ग्राहक द्वारा नए डिवाइस को रजिस्टर करने के बाद कूलिंग-ऑफ अवधि की आवश्यकता क्यों है?#

कूलिंग-ऑफ अवधि उन धोखेबाजों को रोकती है जो खाते तक पहुंच प्राप्त कर लेते हैं और तुरंत एक नए पंजीकृत डिवाइस के माध्यम से धन हस्तांतरित करते हैं। BNM को संस्थानों को नए नामांकित उपकरणों के लिए प्रारंभिक ट्रस्ट-बिल्डिंग चरण के दौरान लेनदेन सीमा और समय-आधारित प्रतिबंध लागू करने की आवश्यकता है। यह पूर्ण लेनदेन क्षमता अनलॉक होने से पहले वैध खाताधारक और संस्थान की धोखाधड़ी टीम दोनों को एक पहचान विंडो देता है।

मलेशिया का अपडेटेड RMiT अन्य एशियाई देशों में ऑथेंटिकेशन रेगुलेशन की तुलना में कैसा है?#

मलेशिया का RMiT 2025 एक क्षेत्रीय एशिया-प्रशांत प्रवृत्ति के अनुरूप है जहां सिंगापुर का MAS, भारत का RBI, हांगकांग का HKMA और वियतनाम का स्टेट बैंक सभी डिवाइस-बाउंड क्रेडेंशियल, फिशिंग-प्रतिरोधी MFA और SMS OTP को खत्म करने पर जोर दे रहे हैं। वियतनाम का सर्कुलर 45/2025 विशेष रूप से उच्च-मूल्य वाले लेनदेन के लिए चिप-आधारित राष्ट्रीय पहचान दस्तावेजों के खिलाफ बायोमेट्रिक सत्यापन की आवश्यकता बताता है। RMiT-अनुरूप आर्किटेक्चर में निवेश करने वाले संस्थान इसलिए क्षेत्रीय नियामक अभिसरण के लिए स्थिति बना रहे हैं, न कि केवल एकल राष्ट्रीय आवश्यकता के लिए।

BNM RMiT को अब क्या सत्यापन आवश्यक है जब कोई ग्राहक अपना पंजीकृत मोबाइल फोन नंबर बदलता है?#

अपडेटेड RMiT को किसी भी फोन नंबर परिवर्तन को संसाधित करने से पहले मजबूत सत्यापन की आवश्यकता होती है, जो वर्तमान नंबर पर केवल एक OTP भेजने से परे है। स्वीकार्य दृष्टिकोण में पहचान का पुन: सत्यापन, स्टेप-अप बायोमेट्रिक ऑथेंटिकेशन या इन-ब्रांच पुष्टि शामिल है, यह सुनिश्चित करना कि सत्यापन चैनल प्रतिस्थापित किए जा रहे चैनल से स्वतंत्र है। यह सीधे SIM-स्वैप हमलों को संबोधित करता है, जहां एक धोखेबाज जो पहले से ही एक फोन नंबर को नियंत्रित करता है, अन्यथा परिवर्तन को स्व-अधिकृत कर सकता है।