--- url: 'https://www.corbado.com/hi/blog/malaysia-banking-mfa-passkeys' title: 'मलेशियाई सेंट्रल बैंक जोखिम प्रबंधन में MFA अपडेट' description: 'जानें कि मलेशिया की अपडेटेड RMiT नीति में क्या बदला है, BNM को अब फिशिंग-प्रतिरोधी MFA की आवश्यकता क्यों है और पासकी कैसे कंप्लायंस में मदद करती हैं।' lang: 'hi' author: 'Alex' date: '2026-05-22T13:50:42.268Z' lastModified: '2026-05-22T15:12:56.324Z' keywords: 'RMiT मलेशिया, BNM RMiT 2025, मलेशिया MFA रेगुलेशन, Bank Negara Malaysia ऑथेंटिकेशन, RMiT पासकी, फिशिंग-प्रतिरोधी MFA मलेशिया, डिवाइस बाइंडिंग मलेशिया बैंकिंग, SMS OTP मलेशिया, RMiT कंप्लायंस, मलेशिया डिजिटल बैंकिंग सिक्योरिटी' category: 'Authentication' --- # मलेशियाई सेंट्रल बैंक जोखिम प्रबंधन में MFA अपडेट ## Key Facts - **RMiT** नवंबर 2025 BNM ऑथेंटिकेशन मार्गदर्शन को बाध्यकारी रेगुलेशन में परिवर्तित करता है, जो मलेशिया में सभी लाइसेंस प्राप्त बैंकों, बीमाकर्ताओं, ई-मनी जारीकर्ताओं और पेमेंट सिस्टम ऑपरेटरों को कवर करता है। - **SMS OTP** अब एक स्टैंडअलोन सेकंड फैक्टर के रूप में स्पष्ट रूप से गैर-अनुपालक (non-compliant) है। MFA को इंटरसेप्शन-प्रतिरोधी (interception-resistant) होना चाहिए और विशिष्ट लाभार्थी और राशि से जुड़ा होना चाहिए। - **डिवाइस बाइंडिंग** डिफ़ॉल्ट रूप से प्रति खाते एक मोबाइल डिवाइस पर सेट होती है। मल्टी-डिवाइस एक्सेस के लिए स्पष्ट ग्राहक ऑप्ट-इन और एक ऑडिट करने योग्य अपवाद प्रक्रिया की आवश्यकता होती है। - **पासकी** (FIDO2/WebAuthn) एक साथ फिशिंग-प्रतिरोधी MFA, पासवर्डलेस ऑथेंटिकेशन और डिवाइस बाइंडिंग आवश्यकताओं को पूरा करती हैं, जिससे वे पूर्ण कंप्लायंस का सबसे सीधा रास्ता बन जाती हैं। - मलेशियाई बैंकों ने 2024 में 383 मिलियन रिंग्गिट (100 मिलियन अमेरिकी डॉलर) से अधिक के धोखाधड़ी वाले लेनदेन को ब्लॉक किया, जिससे अनिवार्य फिशिंग-प्रतिरोधी नियंत्रणों की ओर बदलाव को बढ़ावा मिला। ## 1. परिचय बैंक नेगारा मलेशिया (BNM) ने नवंबर 2025 में एक अपडेटेड [रिस्क मैनेजमेंट इन टेक्नोलॉजी (RMiT)](https://www.bnm.gov.my/documents/20124/938039/pd-rmit-nov25.pdf) पॉलिसी जारी की, जिसने जून 2023 के संस्करण को बदल दिया है। हालांकि अपडेट प्रौद्योगिकी जोखिम क्षेत्रों की एक विस्तृत श्रृंखला को कवर करता है, सबसे महत्वपूर्ण बदलाव ऑथेंटिकेशन, डिवाइस बाइंडिंग, मल्टी-फैक्टर ऑथेंटिकेशन (MFA) और धोखाधड़ी की रोकथाम में हैं। वित्तीय संस्थानों के लिए यह मलेशियाई [बैंकिंग](https://www.corbado.com/passkeys-for-banking) रेगुलेशन अब केवल सर्वोत्तम प्रथा या मार्गदर्शन नहीं है, बल्कि एक अनिवार्य मानक बन गया है। BNM 2023 से धीरे-धीरे संस्थानों को SMS OTP से दूर कर रहा है। इसका कारण सीधा था: धोखेबाजों ने ग्राहकों के देखने से पहले SMS ऑथेंटिकेशन कोड को इंटरसेप्ट करने के टूल बना लिए थे, और SIM-स्वैप हमलों ने अपराधियों को अपने नियंत्रण वाले उपकरणों पर कोड रीडायरेक्ट करने की अनुमति दी। 2024 तक, मलेशियाई बैंकों ने सामूहिक रूप से 383 मिलियन रिंग्गिट मलेशिया (100 मिलियन अमेरिकी डॉलर से अधिक) के धोखाधड़ी वाले लेनदेन (उनकी वार्षिक रिपोर्ट के अनुसार) को ब्लॉक किया। नवंबर 2025 का अपडेट उस प्रगति को लेता है और इसे बाध्यकारी रेगुलेशन में संहिताबद्ध करता है। यह लेख अपडेटेड RMiT में प्रमुख ऑथेंटिकेशन और MFA परिवर्तनों को तोड़ता है, रेगुलेटरी संदर्भ की व्याख्या करता है, और दिखाता है कि कंप्लायंस की तस्वीर में पासकी और फिशिंग-प्रतिरोधी ऑथेंटिकेशन कहां फिट होते हैं। हम निम्नलिखित सवालों के जवाब देते हैं: 1. RMiT पॉलिसी क्या है और यह किस पर लागू होती है? 2. नवंबर 2025 से पहले ऑथेंटिकेशन परिदृश्य कैसा दिखता था? 3. ऑथेंटिकेशन और MFA आवश्यकताओं में सबसे महत्वपूर्ण बदलाव क्या हैं? 4. पासकी वित्तीय संस्थानों को अपडेटेड RMiT का अनुपालन करने में कैसे मदद करती हैं? ## 2. बैंक नेगारा मलेशिया (BNM) रिस्क मैनेजमेंट इन टेक्नोलॉजी (RMiT) पॉलिसी क्या है? RMiT पॉलिसी BNM का **केंद्रीय रेगुलेटरी ढांचा** है जो यह नियंत्रित करता है कि विनियमित वित्तीय संस्थान प्रौद्योगिकी जोखिम का प्रबंधन कैसे करते हैं। BNM RMiT कंप्लायंस IT गवर्नेंस, साइबर सिक्योरिटी, डिजिटल सेवाओं, क्लाउड उपयोग और ऑथेंटिकेशन नियंत्रणों के लिए आवश्यकताएं निर्धारित करता है, जिसका लक्ष्य [वित्तीय सेवाओं](https://www.corbado.com/passkeys-for-banking) को उपलब्ध, लचीला और विश्वसनीय बनाए रखना है, जैसे-जैसे डिजिटल चैनल और खतरे के स्तर विकसित होते हैं। पॉلیسی क्लाउड उपयोग को आउटसोर्सिंग का एक रूप भी मानती है, जिसके लिए संस्थानों को ग्राहक डेटा और क्रिप्टोग्राफ़िक कीज़ (keys) पर उचित स्वामित्व और नियंत्रण बनाए रखने की आवश्यकता होती है। व्यवहार में, RMiT वह कंप्लायंस आधार रेखा (baseline) है जिसके चारों ओर मलेशिया में प्रत्येक विनियमित वित्तीय संस्थान को अपनी प्रौद्योगिकी जोखिम स्थिति का निर्माण करना चाहिए। ## 3. RMiT पॉलिसी का अनुपालन किसे करना चाहिए? RMiT आवश्यकताएँ BNM द्वारा विनियमित सभी वित्तीय संस्थानों पर लागू होती हैं। इसका दायरा व्यापक है, जिसमें न केवल पारंपरिक बैंक शामिल हैं बल्कि बीमाकर्ता, ई-मनी जारीकर्ता, [पेमेंट](https://www.corbado.com/passkeys-for-payment) सिस्टम ऑपरेटर और प्रेषण (remittance) संस्थान भी शामिल हैं। निम्नलिखित तालिका मुख्य श्रेणियों का सारांश प्रस्तुत करती है: | **संस्थान श्रेणी** | **उदाहरण** | | ---------------------------------------- | ----------------------------------------------------------------------- | | **लाइसेंस प्राप्त बैंक** | CIMB Bank, Maybank, HSBC Malaysia, Hong Leong Bank, AmBank, Public Bank | | **लाइसेंस प्राप्त निवेश बैंक** | CIMB Investment Bank, Affin Hwang, AmInvestment Bank | | **लाइसेंस प्राप्त इस्लामी बैंक** | Bank Islam Malaysia, Bank Muamalat, CIMB Islamic Bank | | **लाइसेंस प्राप्त बीमाकर्ता और पुनर्बीमाकर्ता** | AIA Berhad, Allianz General, Etiqa General, AXA Affin | | **ताकाफुल ऑपरेटर और रीताकाफुल** | AIA PUBLIC Takaful, Etiqa Family Takaful, FWD Takaful | | **विकास वित्तीय संस्थान** | Agrobank, Bank Rakyat, BSN, SME Bank, EXIM Bank | | **स्वीकृत ई-मनी जारीकर्ता** | Boost, GrabPay, BigPay, TNG Digital, Kiplepay | | **पेमेंट सिस्टम ऑपरेटर** | Visa, Mastercard, PayNet, UnionPay, JCB, Alipay Connect | | **पंजीकृत मर्चेंट एक्वायरर** | iPay88, Adyen Malaysia, GHL Cardpay, Revenue Monster | | **मध्यस्थ प्रेषण संस्थान** | MoneyGram, Western Union, Merchantrade Asia, Tranglo | व्यावहारिक शब्दों में: यदि आपके संगठन के पास मलेशिया के वित्तीय क्षेत्र में काम करने के लिए BNM लाइसेंस, पंजीकरण या अनुमोदन है, तो RMiT आप पर लागू होता है। ## 4. नवंबर 2025 से पहले BNM की ऑथेंटिकेशन आवश्यकताएं कैसी दिखती थीं? नवंबर 2025 के अपडेट से पहले, RMiT में पहले से ही सार्थक ऑथेंटिकेशन आवश्यकताएँ शामिल थीं, लेकिन कई अनिवार्य मानकों के बजाय मार्गदर्शन (guidance) के स्तर पर थीं। बेसलाइन को समझने से यह स्पष्ट करने में मदद मिलती है कि कितना कुछ बदल गया है। ### 4.1 MFA कंट्रोल - उच्च जोखिम वाले लेनदेन के लिए MFA की आवश्यकता थी, विशेष रूप से खुले थर्ड-पार्टी फंड ट्रांसफर और [पेमेंट](https://www.corbado.com/passkeys-for-payment) लेनदेन। - 10,000 RM से ऊपर के लेनदेन पर विशेष ध्यान दिया गया था, हालांकि 2023 संस्करण ने सभी डिजिटल लेनदेन के लिए MFA पर जोर देना शुरू कर दिया था। - 2023 के संस्करण ने स्पष्ट रूप से ऑथेंटिकेशन को "इंटरसेप्शन या हेरफेर के प्रतिरोधी" की ओर ले जाने के लिए प्रोत्साहित किया, जो SMS-आधारित OTP के अंत की शुरुआत का संकेत देता है। - MFA को 2023 में "मार्गदर्शन" (सर्वोत्तम अभ्यास) से "मानक" (अनिवार्य) तक बढ़ा दिया गया था। ### 4.2 ऑथेंटिकेशन कंट्रोल और एक्सेस मैनेजमेंट - संस्थानों को न्यूनतम विशेषाधिकार (least privilege) का सिद्धांत लागू करना पड़ता था और कम से कम सालाना एक्सेस मैट्रिक्स की समीक्षा करनी होती थी। - विशेषाधिकार प्राप्त खातों के लिए सख्त नियंत्रण की आवश्यकता थी, जिसमें अनिवार्य MFA शामिल था, चाहे एक्सेस आंतरिक हो या बाहरी। - आंतरिक नेटवर्क (जैसे VPN के माध्यम से) के रिमोट एक्सेस के लिए गैर-परक्राम्य (non-negotiable) मानक के रूप में MFA की आवश्यकता थी। ### 4.3 डिजिटल सर्विस कंट्रोल 2023 RMiT का परिशिष्ट (Appendix) 11 डिजिटल [बैंकिंग](https://www.corbado.com/passkeys-for-banking) सुरक्षा के लिए प्रमुख संदर्भ था। इसके लिए ट्रांजेक्शन साइनिंग (MFA को प्राप्तकर्ता और राशि जैसे लेनदेन विवरण से जोड़ना), डिवाइस बाइंडिंग (उपयोगकर्ता की डिजिटल पहचान को किसी विश्वसनीय डिवाइस से जोड़ना), और सामान्य धोखाधड़ी काउंटरमेज़र्स की आवश्यकता थी। ## 5. BNM RMiT पॉलिसी में सबसे महत्वपूर्ण बदलाव क्या हैं? नवंबर 2025 का अपडेट 2022 और 2024 धोखाधड़ी काउंटरमेज़र विनिर्देशों सहित कई पूर्व सर्कुलर और विनिर्देशों को समेकित और मजबूत करता है। परिणाम एक एकल, व्यापक पॉलिसी है जिसमें संस्थान उपयोगकर्ताओं को प्रमाणित करने और डिजिटल सेवाओं की सुरक्षा के लिए अधिक स्पष्ट और अनिवार्य आवश्यकताएं हैं। ऐसे पांच क्षेत्र हैं जो सबसे ज्यादा मायने रखते हैं। ### 5.1 डिफ़ॉल्ट रूप से, प्रति उपयोगकर्ता एक डिवाइस _"डिफ़ॉल्ट रूप से खाताधारक के प्रति एक मोबाइल डिवाइस या सुरक्षित डिवाइस पर डिजिटल सेवा लेनदेन के ऑथेंटिकेशन को प्रतिबंधित करने के लिए सुरक्षित बाइंडिंग और अनबाइंडिंग प्रक्रियाओं को सुनिश्चित करें"_ — RMiT परिशिष्ट 3, पैराग्राफ 3(a) यह सिम-स्वैप धोखाधड़ी और खाता अधिग्रहण (account takeover) हमलों का सीधा जवाब है, जहां धोखेबाज किसी मौजूदा खाते में एक नया डिवाइस पंजीकृत करते हैं और इसे खाली कर देते हैं जबकि वैध डिवाइस सक्रिय रहता है। "डिफ़ॉल्ट" फ्रेमिंग महत्वपूर्ण है: ग्राहक कई उपकरणों का उपयोग करने का विकल्प चुन सकते हैं, लेकिन उन्हें स्पष्ट रूप से इसका अनुरोध करना होगा और संबंधित जोखिमों को स्वीकार करना होगा। संस्थान मल्टी-डिवाइस को डिफ़ॉल्ट नहीं बना सकता। व्यावहारिक रूप से, इसका अर्थ है कि ऑनबोर्डिंग और ऑथेंटिकेशन प्रवाह को डिवाइस पंजीकरण को ट्रैक करने, डिफ़ॉल्ट रूप से एकल बाइंडिंग लागू करने और ग्राहक-अनुरोधित अपवादों के लिए स्पष्ट, ऑडिट-सक्षम प्रक्रिया बनाए रखने की आवश्यकता है। ### 5.2 फ़ोन नंबर परिवर्तन के लिए मजबूत सत्यापन _"नए मोबाइल फोन नंबर का पंजीकरण या मौजूदा मोबाइल फोन नंबर का प्रतिस्थापन ग्राहक की प्रामाणिकता की पुष्टि करने के लिए मजबूत सत्यापन विधियों को लागू करने के बाद ही संसाधित किया जाता है"_ — RMiT परिशिष्ट 3, पैराग्राफ 3(c) कई संस्थान अभी भी मौजूदा नंबर पर भेजे गए OTP से ज्यादा कुछ नहीं के साथ फोन नंबर परिवर्तन को संसाधित करते हैं। यदि नंबर से पहले ही समझौता किया जा चुका है या सिम स्वैप हो चुका है तो वह दृष्टिकोण विफल हो जाता है। BNM की फ्रेमिंग में "मजबूत सत्यापन" का अर्थ उन तरीकों से है जो बदले जा रहे चैनल से परे जाते हैं: पहचान का पुन: सत्यापन, बायोमेट्रिक्स का उपयोग करके स्टेप-अप ऑथेंटिकेशन, या उच्च जोखिम वाले परिवर्तनों के लिए इन-ब्रांच पुष्टि। ### 5.3 नए उपकरणों के लिए कूलिंग-ऑफ़ अवधि और लेनदेन सीमाएँ _"डिजिटल सेवाओं या सुरक्षित डिवाइस के पहले नामांकन (enrollment) और लगातार कई उच्च-मात्रा वाले लेनदेन या अन्य असामान्य लेनदेन पैटर्न के लिए उचित सत्यापन और कूलिंग-ऑफ़ अवधि लागू करें"_ — RMiT परिशिष्ट 3, पैराग्राफ 3(e) नए नामांकित डिवाइस में तुरंत पूर्ण लेनदेन क्षमता नहीं होनी चाहिए। संस्थानों को समय-आधारित प्रतिबंध और वेग नियंत्रण (velocity controls) लागू करने की आवश्यकता है जो धीरे-धीरे अनलॉक होते हैं क्योंकि डिवाइस और उपयोगकर्ता व्यवहार एक विश्वास इतिहास स्थापित करते हैं। यदि कोई हैकर एक्सेस प्राप्त कर लेता है, तो वे आम तौर पर दैनिक ट्रांसफर सीमा बढ़ाने और तुरंत पैसा स्थानांतरित करने का प्रयास करते हैं। कूलिंग-ऑफ़ अवधि वैध मालिक और बैंक की धोखाधड़ी टीम को सत्र का पता लगाने और रोकने के लिए एक विंडो देती है। धोखाधड़ी का पता लगाने वाले मानकों के साथ संयुक्त, जिन्हें वास्तविक समय में व्यवहार संबंधी प्रोफाइलिंग और जोखिम स्कोरिंग की आवश्यकता होती है, यह एक स्पष्ट अपेक्षा पैदा करता है: ऑथेंटिकेशन परत को न केवल क्रेडेंशियल, बल्कि संदर्भ (context) के बारे में भी जागरूक होने की आवश्यकता है। ### 5.4 MFA जो अनएन्क्रिप्टेड SMS से अधिक सुरक्षित है अपडेट में यह सबसे महत्वपूर्ण ऑथेंटिकेशन आवश्यकता है। यह वर्षों के BNM मार्गदर्शन पर आधारित है और इसे एक बाध्यकारी मानक में बदल देता है: _"MFA प्रौद्योगिकी और चैनलों की तैनाती जो अनएन्क्रिप्टेड SMS से अधिक सुरक्षित हैं ... MFA समाधान पूरी ऑथेंटिकेशन प्रक्रिया के दौरान किसी भी तीसरे पक्ष द्वारा इंटरसेप्शन या हेरफेर के लिए प्रतिरोधी है"_ — RMiT परिशिष्ट 3, पैराग्राफ 5 और 6 पॉलिसी **ट्रांजेक्शन बाइंडिंग** शुरू करके आगे बढ़ती है: _"ऑथेंटिकेशन कोड को MFA का उपयोग करके भुगतानकर्ता/प्रेषक द्वारा स्थानीय रूप से आरंभ और उत्पन्न किया जाना चाहिए ... भुगतानकर्ता/प्रेषक द्वारा उत्पन्न ऑथेंटिकेशन कोड पुष्ट पहचान वाले लाभार्थी और राशि के लिए विशिष्ट होना चाहिए"_ — RMiT परिशिष्ट 3, पैराग्राफ 6(c) और 6(d) ट्रांजेक्शन बाइंडिंग का मतलब है कि ऑथेंटिकेशन कोड को विशिष्ट लेनदेन विवरण (प्राप्तकर्ता और राशि) से जोड़ा जाना चाहिए, न कि केवल सत्र या लॉगिन से। यह सीधे "OTP रीडायरेक्ट" हमलों को संबोधित करता है, जहां उपयोगकर्ता द्वारा प्रमाणित किए जाने के बाद धोखेबाज लेनदेन में हेरफेर करते हैं। खाता A में 500 RM के [पेमेंट](https://www.corbado.com/passkeys-for-payment) के लिए जनरेट किया गया OTP खाता B में 50,000 RM के भुगतान के लिए पुन: उपयोग नहीं किया जा सकता है। उन संस्थानों के लिए जो अभी भी अपने प्राथमिक सेकंड फैक्टर के रूप में SMS OTP पर भरोसा कर रहे हैं, यह अब तक का सबसे स्पष्ट संकेत है: माइग्रेशन पथ वैकल्पिक नहीं है। नीचे दी गई तालिका संक्षेप में बताती है कि कौन सी MFA विधियां नई आवश्यकताओं के अनुरूप हैं: | **MFA विधि** | **फिशिंग-प्रतिरोधी?** | **RMiT अनुपालक?** | | --------------------------------------- | ----------------------- | ------------------------------- | | **SMS OTP** | नहीं | नहीं | | **TOTP (जैसे Google Authenticator)** | नहीं | आंशिक (केवल संक्रमणकालीन) | | **पुश नोटिफिकेशन** | नहीं | आंशिक (केवल संक्रमणकालीन) | | **लेनदेन विवरण के साथ इन-ऐप OTP** | आंशिक | हाँ (यदि इंटरसेप्शन-प्रतिरोधी है) | | **पासकी (FIDO2 / WebAuthn)** | हाँ | हाँ | | **हार्डवेयर सुरक्षा कुंजियाँ (FIDO2)** | हाँ | हाँ | ### 5.5 BNM RMiT के लिए पासकी और क्रिप्टोग्राफ़िक की-आधारित ऑथेंटिकेशन BNM स्पष्ट रूप से संस्थानों को पासवर्डलेस विकल्प पेश करने की भी आवश्यकता बताता है: _"अपने ग्राहक को मौजूदा पासवर्ड-आधारित ऑथेंटिकेशन विधि के विकल्प के रूप में एक मजबूत क्रिप्टोग्राफ़िक की-आधारित ऑथेंटिकेशन जैसे डिजिटल प्रमाणपत्र या पासवर्डलेस प्रदान करें"_ — RMiT परिशिष्ट 3, पैराग्राफ 9 यह पासकी, हार्डवेयर-समर्थित ऑथेंटिकेशन या प्रमाणपत्र-आधारित विधियों की ओर बढ़ने का एक स्पष्ट निर्देश है। MFA अपग्रेड के विपरीत, जो SMS OTP को बदलने पर केंद्रित है, यह आवश्यकता पासवर्ड को ही लक्षित करती है। दोनों आवश्यकताएं एक साथ काम करती हैं: संस्थानों को सेकंड फैक्टर के लिए SMS से आगे बढ़ने **और** फर्स्ट फैक्टर के लिए पासवर्ड का विकल्प देने की आवश्यकता है। पासकी यहाँ सबसे स्वाभाविक फिट हैं। एक सिंगल पासकी क्रेडेंशियल एक साथ दोनों आवश्यकताओं को पूरा करता है। यह एक क्रिप्टोग्राफ़िक की-आधारित ऑथेंटिकेशन विधि (पैराग्राफ 9) है, यह अनएन्क्रिप्टेड SMS (पैराग्राफ 5-6) की तुलना में अधिक सुरक्षित है, और क्योंकि पासकी विशिष्ट मूल (वेबसाइट या ऐप) के लिए ऑथेंटिकेशन को बांधती हैं, वे ट्रांजेक्शन बाइंडिंग के पीछे के इरादे का भी समर्थन करती हैं। ## 6. सारांश: नवंबर 2025 अपडेट से पहले और बाद में | **क्षेत्र** | **नवंबर 2025 से पहले** | **नवंबर 2025 के बाद** | | ------------------------- | ---------------------------------------------------------- | ----------------------------------------------------------------------------------------------- | | **डिवाइस बाइंडिंग** | आवश्यक, लेकिन मल्टी-डिवाइस सामान्य था और ढीले ढंग से शासित था | डिफ़ॉल्ट रूप से प्रति उपयोगकर्ता एक डिवाइस; मल्टी-डिवाइस केवल ऑडिट ट्रेल के साथ स्पष्ट ग्राहक अनुरोध द्वारा | | **फ़ोन नंबर में बदलाव** | अक्सर वर्तमान नंबर पर SMS OTP के साथ संसाधित किया जाता था | मजबूत सत्यापन आवश्यक (बायोमेट्रिक्स, शाखा का दौरा, या स्वतंत्र चैनल) | | **नया डिवाइस नामांकन** | नामांकन के बाद तुरंत पूर्ण पहुंच सामान्य थी | अनिवार्य कूलिंग-ऑफ़ अवधि; ट्रस्ट-बिल्डिंग चरण के दौरान लेनदेन सीमाएँ | | **SMS OTP** | प्राथमिक सेकंड फैक्टर के रूप में हतोत्साहित किया गया लेकिन सहन किया गया | एकमात्र MFA के रूप में स्पष्ट रूप से गैर-अनुपालक; इंटरसेप्शन-प्रतिरोधी तरीकों से बदला जाना चाहिए | | **ट्रांजेक्शन बाइंडिंग** | उच्च जोखिम वाले लेनदेन के लिए आवश्यक (सामान्य) | ऑथेंटिकेशन कोड लाभार्थी और राशि के लिए विशिष्ट होना चाहिए; स्थानीय रूप से उत्पन्न | ## 7. क्षेत्रीय संदर्भ: मलेशिया अकेला नहीं है मलेशिया का अपडेटेड RMiT एक व्यापक क्षेत्रीय प्रवृत्ति (trend) के भीतर बैठता है। पूरे एशिया-प्रशांत में, वित्तीय नियामक समान आवश्यकताओं के एक सेट पर अभिसरण (converging) कर रहे हैं: डिवाइस-बाउंड क्रेडेंशियल, फिशिंग-प्रतिरोधी MFA, और पासवर्ड और SMS OTP से दूर जाना। - **सिंगापुर (MAS):** मॉनेटरी अथॉरिटी ऑफ सिंगापुर ने लंबे समय से डिजिटल [बैंकिंग](https://www.corbado.com/passkeys-for-banking) के लिए डिवाइस बाइंडिंग और ट्रांजेक्शन साइनिंग की आवश्यकता बताई है और प्रगतिशील रूप से अपने टेक्नोलॉजी रिस्क मैनेजमेंट (TRM) दिशानिर्देशों को BNM के दृष्टिकोण से निकटता से मेल खाने वाली दिशा में कड़ा कर रहा है। - **भारत (RBI):** भारतीय रिजर्व बैंक (RBI) ने ऑथेंटिकेशन और लेनदेन-विशिष्ट प्राधिकरण के अतिरिक्त कारकों पर जोर दिया है, विशेष रूप से कार्ड-नॉट-प्रेजेंट और UPI लेनदेन के लिए। - **हांगकांग (HKMA):** हांगकांग मॉनेटरी अथॉरिटी के ई-बैंकिंग दिशानिर्देशों में उच्च जोखिम वाले संचालन के लिए मजबूत ग्राहक ऑथेंटिकेशन और डिवाइस पंजीकरण नियंत्रण की आवश्यकता है। - **वियतनाम (स्टेट बैंक ऑफ वियतनाम):** सर्कुलर 45/2025 में बैंकों को कुछ उच्च-मूल्य वाले लेनदेन के लिए चिप-आधारित नागरिक ID या राष्ट्रीय डेटाबेस के खिलाफ ग्राहक बायोमेट्रिक्स को सत्यापित करने की आवश्यकता है, जो एक केंद्रीकृत सत्यापन कदम पेश करता है। RMiT कंप्लायंस के लिए आवश्यक आर्किटेक्चर, जिसमें क्रिप्टोग्राफ़िक डिवाइस बाइंडिंग, पासकी और लेनदेन-स्तर (transaction-level) का ऑथेंटिकेशन शामिल है, वह जगह है जहाँ पूरा क्षेत्र जा रहा है। जो संस्थान अब इस आर्किटेक्चर में निवेश करते हैं, वे केवल एक राष्ट्रीय नीति के लिए नहीं, बल्कि क्षेत्रीय विनियामक अभिसरण के लिए निर्माण कर रहे हैं। ## 8. Corbado वित्तीय संस्थानों को अपडेटेड RMiT को पूरा करने में कैसे मदद करता है Corbado का प्लेटफ़ॉर्म उन ऑथेंटिकेशन चुनौतियों के लिए बनाया गया है जिन्हें अपडेटेड RMiT संबोधित करने के लिए डिज़ाइन किया गया है। यहाँ बताया गया है कि प्रमुख आवश्यकताएँ Corbado की क्षमताओं से कैसे मैप होती हैं: - [**फिशिंग-प्रतिरोधी MFA**](https://www.corbado.com/blog/passkeys-phishing-resistant) **और पासवर्डलेस ऑथेंटिकेशन:** Corbado का पासकी कार्यान्वयन BNM की MFA आवश्यकताओं के अनुपालन के लिए एक सीधा मार्ग प्रदान करता है जो अनएन्क्रिप्टेड SMS (पैराग्राफ 5-6) से अधिक सुरक्षित है और पासवर्ड (पैराग्राफ 9) के विकल्प के रूप में क्रिप्टोग्राफ़िक की-आधारित ऑथेंटिकेशन के लिए है। एक सिंगल पासकी क्रेडेंशियल एक साथ दोनों आवश्यकताओं को संबोधित करता है। - **डिवाइस बाइंडिंग:** Corbado डिवाइस-बाउंड पासकी और क्रिप्टोग्राफ़िक क्रेडेंशियल्स का समर्थन करता है जो एक विशिष्ट डिवाइस से बंधे होते हैं। नामांकन प्रवाह ग्राहक-अनुरोधित अपवादों के लिए स्पष्ट तंत्र के साथ एक-डिवाइस-प्रति-उपयोगकर्ता डिफ़ॉल्ट लागू कर सकता है, यह सब एक पूर्ण ऑडिट ट्रेल के साथ। - **ऑडिट और कंप्लायंस तत्परता**: Corbado की टेलीमेट्री, इवेंट लॉगिंग और रिपोर्टिंग क्षमताएं यह प्रदर्शित करना आसान बनाती हैं कि ऑथेंटिकेशन नियंत्रण न केवल डिज़ाइन किए गए हैं बल्कि प्रभावी ढंग से काम कर रहे हैं। Corbado ISO 27001-प्रमाणित ISMS के तहत काम करता है और SOC 2 Type II अटेस्टेशन रखता है, जो अपनी खुद की सुरक्षा स्थिति को मलेशियाई वित्तीय संस्थानों पर रखी गई अपेक्षाओं के साथ जोड़ता है। ## 9. निष्कर्ष नवंबर 2025 का RMiT अपडेट ऑथेंटिकेशन सुरक्षा पर वर्षों के BNM मार्गदर्शन को बाध्यकारी रेगुलेशन में बदल देता है। SMS OTP अब एक स्टैंडअलोन सेकंड फैक्टर के रूप में अनुपालक नहीं है। डिवाइस बाइंडिंग डिफ़ॉल्ट रूप से अनिवार्य है। ट्रांजेक्शन ऑथेंटिकेशन को विशिष्ट भुगतान विवरण से जोड़ा जाना चाहिए। और संस्थानों को पासवर्ड के लिए क्रिप्टोग्राफ़िक की-आधारित विकल्प प्रदान करने होंगे। जिन संस्थानों ने पहले ही SMS से दूर और फिशिंग-प्रतिरोधी तरीकों की ओर माइग्रेट करना शुरू कर दिया है, उनके लिए अपडेट संहिताबद्ध करता है कि वे पहले से ही क्या कर रहे थे। जिन लोगों ने ऐसा नहीं किया है, उनके लिए वर्तमान अभ्यास और नए मानक के बीच का अंतर महत्वपूर्ण है, और कंप्लायंस की समयरेखा अब तय हो गई है। अपडेटेड आवश्यकताओं को पूरा करने के लिए पासकी सबसे सीधा रास्ता हैं। एक सिंगल पासकी क्रेडेंशियल एक ही कार्यान्वयन में MFA अपग्रेड, पासवर्डलेस विकल्प और डिवाइस बाइंडिंग आवश्यकताओं को पूरा करता है। संवेदनशील संचालन के लिए स्टेप-अप ऑथेंटिकेशन और नए नामांकनों के लिए कूलिंग-ऑफ़ लॉजिक के साथ संयुक्त, यह संस्थानों को पॉइंट समाधानों के पैचवर्क के बजाय एक सुसंगत आर्किटेक्चर देता है। हम इस विषय के संबंध में सबसे महत्वपूर्ण प्रश्नों के उत्तर भी दे सकते हैं: - **RMiT पॉलिसी क्या है और यह किस पर लागू होती है?** RMiT BNM का केंद्रीय प्रौद्योगिकी जोखिम ढांचा है, जो मलेशिया में बैंक, बीमाकर्ता, ई-मनी जारीकर्ता, पेमेंट सिस्टम ऑपरेटर और प्रेषण प्रदाताओं सहित सभी विनियमित वित्तीय संस्थानों पर लागू होता है। - **नवंबर 2025 से पहले ऑथेंटिकेशन परिदृश्य कैसा दिखता था?** उच्च जोखिम वाले लेनदेन और विशेषाधिकार प्राप्त पहुंच के लिए MFA पहले से ही अनिवार्य था, लेकिन SMS OTP को अभी भी सहन किया गया था, मल्टी-डिवाइस सेटअप को ढीले ढंग से नियंत्रित किया गया था, और पासवर्डलेस विकल्प अभी तक आवश्यक नहीं था। - **ऑथेंटिकेशन और MFA में सबसे महत्वपूर्ण बदलाव क्या हैं?** पाँच बदलाव सामने आते हैं: डिफ़ॉल्ट रूप से प्रति उपयोगकर्ता एक डिवाइस, फ़ोन नंबर में बदलाव के लिए मजबूत सत्यापन, नए डिवाइस के लिए अनिवार्य कूलिंग-ऑफ़ अवधि, ट्रांजेक्शन बाइंडिंग के साथ SMS की तुलना में अधिक सुरक्षित MFA, और पासकी या क्रिप्टोग्राफ़िक की-आधारित ऑथेंटिकेशन प्रदान करने की आवश्यकता। - **पासकी वित्तीय संस्थानों को अनुपालन करने में कैसे मदद करती हैं?** पासकी एक ही कार्यान्वयन में MFA अपग्रेड, पासवर्डलेस विकल्प और डिवाइस बाइंडिंग आवश्यकताओं को पूरा करती हैं, जबकि फिशिंग, SIM-स्वैप और OTP इंटरसेप्शन हमलों के प्रतिरोधी भी हैं। ## अक्सर पूछे जाने वाले प्रश्न ### BNM RMiT कंप्लायंस के संदर्भ में 'ट्रांजेक्शन बाइंडिंग' का क्या अर्थ है? ट्रांजेक्शन बाइंडिंग की आवश्यकता है कि प्रत्येक ऑथेंटिकेशन कोड भुगतानकर्ता द्वारा स्थानीय रूप से जनरेट किया जाए और गणितीय रूप से विशिष्ट लाभार्थी खाते और भुगतान राशि से जुड़ा हो। यह OTP रीडायरेक्ट हमलों को रोकता है, जहां एक धोखेबाज उपयोगकर्ता द्वारा प्रमाणित किए जाने के बाद लेनदेन विवरण में हेरफेर करता है। एक खाते में भुगतान के लिए उत्पन्न कोड का उपयोग किसी भिन्न भुगतान या राशि को अधिकृत करने के लिए नहीं किया जा सकता है। ### RMiT 2025 अपडेट में ग्राहक द्वारा नए डिवाइस को रजिस्टर करने के बाद कूलिंग-ऑफ अवधि की आवश्यकता क्यों है? कूलिंग-ऑफ अवधि उन धोखेबाजों को रोकती है जो खाते तक पहुंच प्राप्त कर लेते हैं और तुरंत एक नए पंजीकृत डिवाइस के माध्यम से धन हस्तांतरित करते हैं। BNM को संस्थानों को नए नामांकित उपकरणों के लिए प्रारंभिक ट्रस्ट-बिल्डिंग चरण के दौरान लेनदेन सीमा और समय-आधारित प्रतिबंध लागू करने की आवश्यकता है। यह पूर्ण लेनदेन क्षमता अनलॉक होने से पहले वैध खाताधारक और संस्थान की धोखाधड़ी टीम दोनों को एक पहचान विंडो देता है। ### मलेशिया का अपडेटेड RMiT अन्य एशियाई देशों में ऑथेंटिकेशन रेगुलेशन की तुलना में कैसा है? मलेशिया का RMiT 2025 एक क्षेत्रीय एशिया-प्रशांत प्रवृत्ति के अनुरूप है जहां सिंगापुर का MAS, भारत का RBI, हांगकांग का HKMA और वियतनाम का स्टेट बैंक सभी डिवाइस-बाउंड क्रेडेंशियल, फिशिंग-प्रतिरोधी MFA और SMS OTP को खत्म करने पर जोर दे रहे हैं। वियतनाम का सर्कुलर 45/2025 विशेष रूप से उच्च-मूल्य वाले लेनदेन के लिए चिप-आधारित राष्ट्रीय पहचान दस्तावेजों के खिलाफ बायोमेट्रिक सत्यापन की आवश्यकता बताता है। RMiT-अनुरूप आर्किटेक्चर में निवेश करने वाले संस्थान इसलिए क्षेत्रीय नियामक अभिसरण के लिए स्थिति बना रहे हैं, न कि केवल एकल राष्ट्रीय आवश्यकता के लिए। ### BNM RMiT को अब क्या सत्यापन आवश्यक है जब कोई ग्राहक अपना पंजीकृत मोबाइल फोन नंबर बदलता है? अपडेटेड RMiT को किसी भी फोन नंबर परिवर्तन को संसाधित करने से पहले मजबूत सत्यापन की आवश्यकता होती है, जो वर्तमान नंबर पर केवल एक OTP भेजने से परे है। स्वीकार्य दृष्टिकोण में पहचान का पुन: सत्यापन, स्टेप-अप बायोमेट्रिक ऑथेंटिकेशन या इन-ब्रांच पुष्टि शामिल है, यह सुनिश्चित करना कि सत्यापन चैनल प्रतिस्थापित किए जा रहे चैनल से स्वतंत्र है। यह सीधे SIM-स्वैप हमलों को संबोधित करता है, जहां एक धोखेबाज जो पहले से ही एक फोन नंबर को नियंत्रित करता है, अन्यथा परिवर्तन को स्व-अधिकृत कर सकता है।