A Lei de Vendas a Prestações é uma das principais leis japonesas de proteção ao consumidor que se aplica a todas as empresas de internet no Japão que aceitam pagamento com cartão de crédito. Em 2018, o governo japonês revisou a Lei de Vendas a Prestações para garantir que as empresas online gerenciem com segurança os dados do consumidor e reduzam a fraude online.
Este guia apresenta os principais requisitos do novo regulamento e como as empresas da Stripe no Japão podem permanecer em conformidade.
Background
Um relatório de março de 2018 (japonês) encomendado pela Associação de Crédito ao Consumidor do Japão (JCA) identifica 2017 como o ano com as maiores perdas de fraude em todo o setor até o momento. Mais de 23,6 bilhões de ienes (mais de 200 milhões de dólares) em perdas financeiras foram atribuídas a fraudes online - um aumento de 65% em relação ao ano anterior.
Em resposta, o Conselho de Segurança de Transações de Crédito da JCA anunciou seuPlano de Implementação de 2018 (Japonês), que visa melhorar as políticas de segurança e prevenção a fraudes para empresas que aceitam pagamento com cartão online. Com a Lei de Vendas a Prestações Revisada (改正割賦販売法) em vigor, as empresas on-line agora são obrigadas a lidar com os dados do cartão de crédito adequadamente e implementar medidas de prevenção a fraudes.
Lidar com os dados do cartão de crédito de forma adequada
PCI-DSS (Payment Card Industry Data Security Standard) é o padrão global de segurança da informação para empresas que aceitam pagamento com cartão de crédito. O Plano de Implementação de 2018 da JCA faz referência a esse padrão global em sua abordagem. Ou seja, estar em conformidade com o PCI é a principal maneira de as empresas garantirem que atendam aos requisitos da Lei de Vendas a Prestações Revisada.
As transações on-line apresentam um risco maior para a segurança dos dados do titular do cartão, portanto, o Plano de Implementação da JCA incentiva fortemente as empresas a evitar o manuseio de informações brutas do cartão. Especificamente, as empresas não devem transmitir, armazenar ou processar os dados do titular do cartão em computadores, servidores ou outros dispositivos em sua rede.
Para atender a esse requisito, as empresas podem tokenização cartão dados. Com a tokenização, a sua empresa pode recolher dados do cartão confidenciais dos seus clientes de forma segura. Os dados confidenciais não atingem seus servidores e, em vez disso, um token que representa essas informações é retornado ao servidor para uso. Usar um processador de pagamentos compatível com PCI como o Stripe também significa que sua empresa não está processando detalhes de pagamento diretamente com bandeiras de cartão.
O que isso significa para os usuários da Stripe
Os usuários da Stripe devem usaro Stripe Elements,Stripe Checkout ou um dosSDKs para dispositivos móveis para aceitar pagamentos. Ao usar esses produtos e garantir boas práticas de empresas em relação à segurança de dados, as empresas não precisam lidar com dados brutos de cartão para aceitar pagamentos online.
Quando você tem um requisito de empresa para lidar com dados brutos
Os novos regulamentos exigem que as empresas que lidam com dados brutos do cartão sejam certificadas pelo PCI-DSS. Se as necessidades da sua empresa exigirem o manuseio de dados brutos do cartão, observe que o processo de certificação pode ser caro e demorado. O suporte está disponível por meio de um fluxo guiado em seu Stripe Dashboard e você pode encontrar mais detalhes emnosso guia de conformidade PCI-DSS.
|
Requisito JCA
|
Possibilidade de abordagem
|
Custo
|
|---|---|---|
|
Nenhuma transmissão, armazenamento ou processamento de dados do cartão OU certificação PCI-DSS |
Stripe Elements, Stripe Checkout ou SDKs para celular para todos os pagamentos | Grátis |
| Obtenha a certificação PCI-DSS e informe seu status de certificação no Stripe Dashboard. (Consulte nosso guia de conformidade com PCI.) | Depende do tamanho e complexidade da empresa. (Consulte o site do Conselho de padrões de segurança PCI.) |
Implementação de medidas de prevenção a fraudes
O Plano de Implementação da JCA recomenda os seguintes métodos de prevenção a fraudes para negócios online:
1. Autenticação pessoal: O titular do cartão autentica um transação digitando uma senha que foi registrada com seu cartão emissor de crédito (por exemplo,3D Secure).
2. Códigos de segurança: O titular do cartão insere um número de três ou quatro dígitos presente no verso do cartão durante a transação online (por exemplo,verificações CVC).
3. Análise de padrões de atributos e comportamentos: Transações potencialmente fraudulentas podem ser identificadas combinando atributos da transação e padrões comportamentais com aqueles coletados de transações fraudulentas históricas. Dados adicionais, como endereço IP e atividade do cliente, podem melhorar a precisão dos resultados.
4. Informações de endereço de entrega: Pagamentos fraudulentos às vezes podem ser identificados verificando os endereços de entrega em uma lista de endereços conhecidos por terem sido usados em transações fraudulentas anteriores. Esses bancos de dados são fornecidos por terceiros ou mantidos diretamente pelas próprias empresas.
O que isso significa para os usuários da Stripe
A Stripe oferece maneiras para as empresas implementarem de forma rápida e fácil todos esses quatro métodos, conforme mostrado abaixo:
|
Recomendação de JCA
|
Recomendação da Stripe
|
|---|---|
| Autenticação pessoal | 3D Secure |
| Códigos de segurança | Verificação de CVC pelo Radar |
| Análise de atributos e comportamentos | Stripe Radar |
| Dados do endereço de entrega | Listas do Stripe Radar |
Conclusão
A plataforma Stripe foi desenvolvida para ajudar nossos usuários a se manterem atualizados com novos recursos ou mudanças nas regulamentações. Esperamos que este guia tenha ajudado você a entender os novos requisitos introduzidos pela Lei de Vendas a Prestações Revisada (e o plano de implementação da JCA) e como os usuários da Stripe podem manter a conformidade. Se você tiver alguma dúvida, por favorentre em contato.
Referências
- Lei de Vendas a Prestações (Ministério da Economia, Comércio e Indústria)
- Operações de Crédito (Ministério da Economia, Comércio e Indústria)
- Diretrizes de segurança de cartão de crédito (Associação de Crédito ao Consumidor do Japão)
- Estatísticas relacionadas ao crédito (Associação de Crédito ao Consumidor do Japão)
- Site do Conselho de Padrões de Segurança PCI