Kami merujuk kepada artikel “Tingkatkan ciri keselamatan kad” yang telah diterbitkan di dalam Utusan Malaysia pada hari Selasa, 19 Julai 2016.

1.1 Industri perbankan komersil sentiasa meningkatkan ciri-ciri keselamatan kad-kad pembayaran bagi memanfaatkan pemegang-pemegang kad. Industri perbankan telahpun memindahkan kad-kad pembayaran ke kad-kad mengandungi cip, yang adalah lebih selamat, pada tahun 2005, dan ianya telah terbukti keberkesanannya dalam mengurangkan penipuan kad palsu. Menurut Laporan Kestabilan Kewangan dan Sistem Pembayaran 2015 oleh Bank Negara Malaysia, dengan pepindahan kepada kad pembayaran mengandungi cip pada tahun 2005, kerugian bersabit dengan penipuan kad-kad pembayaran kekal rendah iaitu kurang daripada 0.04% daripada jumlah nilai transaksi dari tahun 2006 hingga 2015.

1.2 Persatuan Bank-Bank Dalam Malaysia (ABM) juga telah berkerjasama dengan bank-bank ahli kami dalam mengambil langkah-langkah untuk mengurangkan risiko penipuan kad kredit. Salah satu daripada langkah utama tersebut adalah pelaksanaan sistem penipuan bagi memantau corak perbelanjaan pemegang-pemegang kad kredit. Tindakan yang segera dan bersesuaian akan diambil serta merta bagi melindungi kepentingan pemegang-pemegang kad kredit. Ini mungkin termasuk pihak bank menghubungi pemegang kad kredit melalui panggilan telefon atau SMS bagi mengesahkan sesuatu transaksi yang luar biasa berdasarkan kepada corak perbelanjaan pelanggan tersebut. Pengesahan tersebut akan menentukan tindakan seterusnya yang bersesuaian yang akan diambil oleh pihak bank.

1.3 Satu lagi langkah keselamatan yang telahpun digunapakai oleh bank-bank ahli kami adalah penggunaan One Time Passwords (OTPs) yang dihantar ke nombor telefon bimbit pemegang-pemegang kredit kad yang telah didaftarkan dengan bank atau pengeluar kad setiap kali kad kredit digunakan bila membuat transaksi atau pembelian secara dalam talian (online).

2.1 Pada masa ini di Malaysia, majoriti kad-kad kredit yang diedarkan adalah kad-kad berciri tandatangan di mana pemegang kad perlu menandatangani resit pembayaran bagi mengesahkan identiti beliau ketika menggunakan kad untuk membuat pembayaran pada waktu urusniaga jual beli (attended point of sale). Pengeluar-pengeluar kad pembayaran Malaysia telahpun memulakan satu initiatif yang melibatkan seluruh industri untuk berpindah dari tandatangan ke Nombor Pengenalan Peribadi (PIN) sebagai cara pengesahan pelanggan ketika menggunakan kad di terminal tempat jualan (POS) dalam negeri. PIN merupakan kod rahsia yang sama ada diberikan atau dipilih oleh pemegang kad bagi membuktikan bahawa mereka adalah pemilik sah kad pembayaran tersebut. Nombor PIN bagi kad-kad Malaysia mengandungi 6 digit dan mestilah senantiasa dirahsiakan dan tidak ditulis di mana-mana.

2.2 Sebab utama bagi perubahan ini adalah untuk menyelaraskan Malaysia dengan amalan terbaik global bagi penggunaan kad, memperbaiki keselamatan kad-kad Malaysia di kedua-dua terminal Malaysia dan luar negara yang ada penggunaan PIN. Langkah ini akan membantu mengurangkan penipuan dan meningkatkan keyakinan pelanggan ketika menggunakan kad pembayaran.

2.3 Dengan pengenalan kad-kad PIN ini, penipuan disebabkan oleh kehilangan atau kecurian kad akan menurun kerana kedua-dua kad dan PIN adalah diperlukan ketika membuat pembayaran. Mulai 1 Julai 2017, penggunaan kad PIN dengan tandatangan dari pengeluar kad Malaysia tidak lagi boleh digunakan di Malaysia.

2.4 Kad-kad bertandatangan akan diganti dengan kad baru yang mengandungi PIN, dan semua terminal POS akan dikemas kini bagi membolehkan penggunaan PIN pada penghujung tahun 2016. Terminal-terminal yang telah dikemas kini boleh dikenal pasti dengan mudah melalui logo “PIN & BAYAR”.

2.5 Pemegang-pemegang kad kredit akan menerima kad baru yang mengandungi PIN melalui pos. Mereka perlu mengaktifkan kad PIN baru tersebut dan memilih 6-digit PIN kerana kad tandatangan mereka tidak lagi boleh digunakan 3 bulan selepas pengesahan penerimaan kad kredit PIN baru.

2.6 Bagi pemegang kad debit pula, pengeluar-pengeluar kad akan sama ada menghantar kad PIN tersebut atau pemegang akan dihubungi oleh pengeluar kad untuk pergi ke cawangan bank yang berdekatan bagi menukar kad mereka. Pemegang-pemegang kad adalah dinasihati untuk mengaktifkan kad baru mereka dengan serta merta kerana kad debit lama mungkin tidak boleh digunakan selepas tempoh tertentu.

2.7 Bagi pemegang-pemegang kad yang telah menerima kad PIN baru mereka dan merancang untuk ke luar negara, mereka perlu memastikan yang mereka tahu dan boleh menggunakan PIN mereka bila diminta untuk memasukkan PIN. Ada terdapat beberapa peniaga luar negara yang tidak membenarkan kad PIN digunakan sekiranya pelanggan tidak dapat memasukkan PIN.

Akhir kata, kami mengambil maklum akan rujukan kepada sistem pengesahan biometrik contohnya sistem cap jari bagi mengesahkan identiti pengguna kad. Setakat ini, walaupun terdapat cubaan dan bukti konsep ujian yang terhad, tidak terdapat satu standard pengeluaran global bagi pengesahan biometrik untuk identiti bagi urus niaga kad pembayaran. Standard global pada masa kini hanya membenarkan untuk penggunaan PIN atau tandatangan sahaja sebagai cara pengesahan pemegang kad pada waktu urus niaga jual beli (attended point of sale). Ianya adalah dijangka bahawa biometrik akan menjadi berdaya maju (viable) apabila industri memindahkan pelanggan daripada kad plastik ke peranti peribadi seperti telefon bimbit yang boleh membuat pembayaran. Adalah penting bagi sistem pembayaran Malaysia untuk meneruskan pelaksanaan dan mematuhi standard pembayaran global bagi memastikan yang kami kekal saling beroperasi dengan seluruh dunia. Pelaksanaan proprietari atau penyelesaian domestic sahaja mungkin akan menghasilkan kos yang lebih tinggi untuk pengguna Malaysia bagi produk pembayaran yang hanya akan berfungsi dalam Malaysia, atau kad-kad pembayaran yang tidak akan berfungsi dalam pasaran luar negara.

Pihak industri sedang bekerja bersungguh-sungguh bagi memastikan pemindahan yang lancar dari sistem tandatangan ke PIN. Kami ingin mengesa orang ramai dan peruncit yang ingin tahu dengan lebih lanjut lagi berkenaan initiatif ini untuk melawat laman web PIN & Pay atau laman web pengeluar kad mereka masing-masing.

Untuk maklumat lanjut, orang ramai juga boleh menghubungi kami di talian ABMConnect dengan mendail 1-300-88-9980, atau melalui eABMConnect dengan melayari laman web kami, www.abm.org.my.

Reference is made to the article, “Tingkatkan ciri keselamatan kad” published in Utusan Malaysia on Tuesday, 19 July 2016.

1.1 The commercial banking industry is constantly enhancing the security features of payment cards for the benefit of cardholders. The banking industry migrated payment cards to the more secure chip-based cards in 2005 which has proven to be effective in mitigating fraud due to counterfeit. According to Bank Negara Malaysia’s Financial Stability and Payment Systems Report 2015, with the migration to chip-based payment cards in 2005, fraud losses related to payment cards remained low at less than 0.04% of total transaction value over the period from 2006 to 2015.

1.2 The Association of Banks in Malaysia (ABM) has also been working with our member banks to take measures to mitigate risk of credit card fraud. One of the key measures is the implementation of fraud systems to monitor the spending patterns of their credit cardholders. Prompt and appropriate actions are taken immediately to protect the credit cardholders’ interests which may include the banks contacting their credit cardholders via calls or SMS to verify/confirm a transaction that seems out of the ordinary based on the usual spending patterns of their customers. The verification will determine the next appropriate action for the bank to take.

1.3 Another security measure which has already been adopted by member banks is the use of One Time Passwords (OTPs) which are sent to the credit cardholders’ mobile number which is registered with the bank/card issuers when the credit card is being used to make online purchases/ transactions.

2.1 In Malaysia currently, a majority of the credit cards in circulation are signature-based cards, where the cardholder is required to sign on the payment chit to verify their identity when using the card to make a retail purchase at attended point of sale. The Malaysian payment card issuers have embarked on an industry-wide initiative to migrate from signature to Personal Identification Number (PIN) as the means by which customers are verified when using their card at domestic point of sale (POS) terminals. A PIN is a secret code that is either assigned to, or selected by cardholders to prove they are the rightful owner of the payment card. PINs for Malaysian cards have six digits and must always be kept a secret and never noted down.

2.2 The main reason for this change is to align Malaysia with global best practices for card use, improving security for Malaysian cards at both Malaysian terminals, and those terminals overseas that support PIN entry. This move will also help to reduce fraud and enhance customer’s confidence when using their payment card.

2.3 With the introduction of PIN cards, fraud due to lost or stolen cards will be reduced as both the card and PIN are required when making payment. From 1 July 2017, using a PIN card with signature from Malaysian card issuers will no longer be supported in Malaysia.

2.4 Signature cards will be replaced with new PIN enabled cards, and all POS terminals will be upgraded to support PIN entry by the end of 2016. The terminals that have been upgraded can be easily identified by the “PIN & PAY” logo.

2.5 Credit cardholders will receive a new PIN-enabled card through the post. They must activate the new PIN card, select a 6-digit PIN as their signature card can no longer be used 3 months after receipt of the new PIN credit card.

2.6 As for debit cardholders, their card issuers will either be sending a new PIN enabled card or they will be contacted by their card issuer to visit their nearest bank branch to collect their new PIN card. They are advised to activate their new card immediately as their old debit card may not be used after a certain period thereafter.

2.7 For cardholders who have received their new PIN card and are planning to travel overseas, they must ensure that they know and can use their PIN when prompted to enter a PIN. Some overseas retailers will not allow a PIN enabled card to be used if the customer is not able to enter a PIN.

Lastly, we note the reference to biometric verification systems such as a thumb print system for verifying the identity of the card user. As of today, although there have been limited trials and proof of concept tests, there are no production global standards for biometric verification for identity for payment card transactions. Current global standards only allow for either PIN or signature as methods of verification of a cardholder at attended point of sale. It is envisaged that biometrics will become viable when the industry migrates from the customer from a plastic card to a personal device such as a mobile phone enabled for payment. It is very important for Malaysian payment systems that we continue to implement and comply with global payment standards to ensure we remain interoperable with the rest of the world. The implementation of proprietary or domestic only solutions may result in higher costs to Malaysian consumers for payment products that will only work in Malaysia, or payment cards that will not work in overseas markets.

The industry is working cohesively and diligently to ensure a smooth migration from signature to PIN. We would urge members of the public and retailers who want to know more about the initiative to visit PIN & Pay or their card issuer’s website.

For further enquires, members of the public are welcomed to contact us at our ABMConnect hotline by dialing 1-300-88-9980, or through eABMConnect by logging on to our website, www.abm.org.my.