A popularidade dos pagamentos sem dinheiro levou ao aumento das fraudes com cartões de crédito no Japão. Para as empresas que operam sites de e-commerce e utilizam pagamentos on-line, as medidas de segurança são uma obrigação, não apenas uma opção. Neste artigo, fornecemos uma explicação sobre as Diretrizes de Segurança para Cartões de Crédito no Japão, incluindo sua finalidade, histórico e etapas para conformidade.
O que há neste artigo?
- Quais são as Diretrizes de Segurança de Cartão de Crédito?
- Por que as Diretrizes de Segurança de Cartão de Crédito são necessárias?
- Quais são as diferenças entre as Versões 5.0 e 6.0 das Diretrizes de Segurança de Cartão de Crédito?
- Etapas para cumprir as Diretrizes de Segurança de Cartão de Crédito
- Quais são as consequências da não conformidade com as Diretrizes de Segurança de Cartão de Crédito?
- Por que as empresas devem ter medidas de segurança contínuas?
Quais são as Diretrizes de Segurança para Cartões de Crédito?
As Diretrizes de Segurança para Cartões de Crédito são um conjunto de políticas que regulamentam as medidas de segurança para o uso de cartões de crédito. Todas as empresas no Japão devem seguir essas diretrizes. Elas se baseiam em um plano do Ministério da Economia, Comércio e Indústria (METI) para reduzir o risco de vazamento de informações e fraudes e criar um ambiente seguro para transações. A Associação Japonesa de Crédito ao Consumidor (JCA) também trabalha para aumentar a conscientização sobre segurança e garantir que as empresas tomem medidas rigorosas em todo o setor.
A versão 6.0 — a versão mais recente das diretrizes — exige padrões de segurança mais rigorosos do que as versões anteriores. É importante que as empresas se mantenham atualizadas com os últimos desenvolvimentos e respondam de acordo. Esses desenvolvimentos incluem o gerenciamento adequado das informações de cartão de crédito, a detecção precoce e a resposta ao uso fraudulento ou não autorizado, o treinamento de segurança para funcionários e medidas para lidar com vulnerabilidades sistêmicas.
O cumprimento das diretrizes pode ajudar as empresas a conquistar a confiança dos clientes e a manter a sustentabilidade. Todas as empresas devem compreender os detalhes das diretrizes mais recentes e tomar as medidas adequadas para cumpri-las.
Por que as Diretrizes de Segurança de Cartão de Crédito são necessárias?
De acordo com uma pesquisa da JCA focada em empresas que emitem cartões de crédito de marcas internacionais no Japão, o valor das perdas decorrentes de fraudes com cartões de crédito em 2024 foi projetado em cerca de 55,5 bilhões de ienes. Isso representa um aumento significativo em relação a 2014, quando foi de pouco mais de 11 bilhões de ienes. As perdas causadas por roubo de números representaram quase 60% do total em 2014. Essa porcentagem ultrapassou 90% em 2024, destacando a vulnerabilidade das transações online, como as realizadas em sites de e-commerce.
Esses números indicam por que é importante que as empresas cumpram as diretrizes mais recentes de segurança de cartões de crédito. Essas diretrizes podem ajudar as empresas a proteger os clientes, cumprir a lei e manter a confiabilidade de suas marcas. No caso improvável de um vazamento de dados ou acesso não autorizado, as consequências podem incluir perda de clientes, estorno, penalidades administrativas ou pagamento por danos.
Quais são as diferenças entre as Versões 5.0 e 6.0 das Diretrizes de Segurança de Cartão de Crédito?
As Diretrizes de Segurança para Cartões de Crédito foram revisadas várias vezes desde o lançamento inicial em 2020. As medidas são divididas em duas categorias: transações não presenciais (ou seja, transações de e-commerce) e transações presenciais. É importante que as empresas sigam as diretrizes que regulamentam seu tipo de negócio. Por exemplo, a versão 6.0 contém novas medidas para empresas de e-commerce, por isso é importante que as empresas desse tipo cumpram essas novas diretrizes.
As Diretrizes de Segurança para Cartões de Crédito são muito detalhadas. Compreender os pontos principais pode ajudar uma empresa a começar e a responder a cada medida. Na tabela abaixo, comparamos as versões 5.0 e 6.0 para ajudar a indicar as medidas que foram adicionadas a cada uma das diretrizes.
Medidas |
Versão 5.0 |
Versão 6.0 |
---|---|---|
Proteção de informações de cartão |
Empresas de e-commerce e presenciais
|
Empresas de e-commerce
|
Proteção contra fraudes |
Empresas de e-commerce
Empresas presenciais
|
Empresas de e-commerce
|
Ocorrência frequente de fraudes/empresas de alto risco |
Empresas de e-commerce
|
Empresas de e-commerce
|
Empresas que lidam com transações de vendas por correspondência/telefone (MO/TO) |
Empresas que processam transações MO/TO
|
Empresas que processam transações MO/TO
|
Suporte comercial |
— |
Empresas de e-commerce
|
Insira o número de identificação pessoal (PIN) durante o pagamento com cartão |
— |
Empresas presenciais
|
Medidas para evitar o roubo de informações de cartão de crédito
Na versão 5.0, a JCA implementou medidas de proteção de informações de cartões, como não retenção e conformidade com o PCI DSS. Essas medidas têm sido relativamente eficazes na prevenção de incidentes em que grandes volumes de dados de cartões são roubados em um curto período de tempo.
No entanto, ocorreram incidentes em que informações de cartões foram vazadas como resultado de acesso externo não autorizado, vírus ou adulteração do sistema. Isso ocorreu devido a medidas insuficientes contra vulnerabilidades, como medidas antivírus em sistemas e sites de e-commerce, gerenciamento de privilégios de administrador e gerenciamento de dispositivos. Portanto, a versão 6.0 exige que as empresas de e-commerce implementem as seguintes medidas contra vulnerabilidades de sistemas e sites para evitar vazamentos de informações de cartões:
- Restrições de acesso a telas de administração do sistema e gerenciamento de ID/senha para administradores
- Medidas para resolver erros de configuração e insuficiências associadas à exposição de diretórios de dados
- Contramedidas para vulnerabilidades em aplicativos web
- Introdução e operação de software antivírus como medida contra malware
- Contramedidas para verificações de validade maliciosas e credit masters
Ao terceirizar a criação, configuração e operação de sistemas de e-commerce ou sites, o prestador de serviços terceirizador deve seguir as contramedidas de vulnerabilidade que as empresas de e-commerce são obrigadas a implementar.
Medidas de proteção contra fraudes para impedir o uso de informações de cartão
Em 2023, o uso fraudulento de cartões no Japão atingiu mais de ¥ 54 bilhões. Deste montante, 93% foi por roubo de identidade em empresas de e-commerce. Portanto, medidas foram adicionadas com o objetivo de prevenir fraudes antes e durante pagamentos com cartão.
Veja como a fraude pode ocorrer antes, durante e depois que um cartão é usado:
- Antes de um pagamento com cartão: Fraudadores podem registrar uma conta fraudulenta ou usar logins fraudulentos passando por cliente.
- Durante um pagamento com cartão:Houve casos de uso não autorizado de números de cartão e informações de cartão geradas pelo credit master. Além disso, golpes de phishing foram usados para roubar informações de cartão, contas, senhas e informações de atributos.
- Após um pagamento com cartão: Mercadorias podem ser entregues ou revendidas de forma fraudulenta, por isso é necessário verificar os detalhes do pedido e endereço de entrega.
Devido à possibilidade de fraude, é necessário implementar medidas que regulem o fluxo de transações com cartão, como evitar logins não autorizados antes dos pagamentos com cartão e introduzir o EMV 3D Secure durante o processamento do pagamento com cartão.
Medidas para evitar logins não autorizados
Na versão 6.0, as seguintes medidas são recomendadas para evitar logins não autorizados:
- Restrições ao acesso de endereços IP (protocolo de Internet) suspeitos
- Identificação usando verificação em duas etapas ou autenticação multifator
- Confirmação de dados pessoais durante o cadastro do membro
- Restrições mais fortes no número de tentativas de login
- E-mails e notificações de serviço de mensagens curtas (SMS) quando os membros fazem login ou alteram seus atributos
- Análise de atributos e comportamentos
- Identificação de dispositivos
Adoção do EMV 3D Secure
A versão 6.0 inclui medidas relacionadas à introdução do EMV 3D Secure. Empresas de e-commerce devem fazer o seguinte:
- Integrar o EMV 3D Secure e realizar a autenticação para garantir que possam verificar corretamente a identidade do titular do cartão.
- Melhorar a precisão da autenticação estabelecida (RBA)
Ocorrência frequente de fraudes e empresas de alto risco
As empresas são consideradas como tendo ocorrências frequentes de fraude se tiverem recebido várias cobranças por fraude de forma contínua. Para efeitos destas orientações, as empresas são consideradas como tendo ocorrências frequentes de fraude quando suas cobranças fraudulentas excedem ¥ 500.000 em três meses consecutivos.
Empresas de alto risco são empresas que lidam principalmente com produtos digitais, como jogos on-line, eletrodomésticos, dinheiro eletrônico, ingressos e serviços de reserva de hospedagem. Empresas de alto risco e aquelas com alta ocorrência de fraude devem promulgar medidas adicionais.
Até a versão 5.0, as empresas com histórico de fraude eram obrigadas a implementar pelo menos duas das quatro medidas descritas nas Diretrizes de Segurança do Cartão de Crédito. As empresas de alto risco tinham que promulgar pelo menos uma. Essas medidas incluem autenticação do titular do cartão, verificação do cartão, análise de atributos e comportamento e verificação do endereço de entrega.
No entanto, a partir da versão 6.0, as empresas agora são obrigadas a implementar medidas adicionais e apropriadas ou medidas reforçadas estabelecidas com base em uma abordagem em camadas. Essa abordagem deve ser personalizada para os danos reais causados pela fraude e os métodos específicos empregados. Essa mudança nas diretrizes é devido aos diversos produtos e serviços que as empresas podem oferecer e aos vários métodos que os fraudadores podem usar para criar ou tomar conta.
Empresas que lidam com transações de pedidos por correio/telefone (MO/TO)
“MO/TO” é um termo frequentemente usado no Japão para se referir a vendas de pedidos por correio (MO) e pedidos por telefone (TO). Em outras palavras, empresas de MO/TO processam pagamentos com cartão por telefone ou correio.
Muitas empresas que lidam com transações de MO/TO também se envolvem no e-commerce. Portanto, as quatro medidas para empresas de MO/TO que estavam incluídas nas diretrizes até a versão 5.0 foram revisadas. As seguintes medidas continuam sendo necessárias para empresas de MO/TO na versão 6.0:
- Estabelecimento de um sistema de processamento de autorizações
- Dever de cuidado como gestor qualificado, conforme estipulado no contrato da empresa
- Integração de medidas não presenciais contra o uso fraudulento, de acordo com o risco e os danos incorridos
Suporte comercial
As empresas de cartão de crédito e os PSPs são obrigados a fornecer informações e suporte sobre as contramedidas de vulnerabilidade que as empresas de e-commerce devem implementar.
Além disso, os provedores de sistemas e outras empresas devem seguir as contramedidas de vulnerabilidade ao lidar com a criação e configuração de sites de e-commerce e ao operar e manter os sites, eles também têm que fornecer aconselhamento e suporte às empresas de e-commerce.
Entrada de PIN para pagamentos com cartão
Desde abril de 2025, as empresas que realizam transações presenciais não precisam mais verificar a identidade dos clientes com assinaturas durante pagamentos com cartão, mas sim pedir que os clientes informem seus PINs.
Etapas para cumprir as Diretrizes de Segurança para Cartões de Crédito
São necessárias diferentes medidas para evitar que as informações do cartão sejam roubadas e utilizadas. Abaixo, apresentamos a sequência de eventos que levam ao roubo e uso fraudulento das informações do cartão. Em seguida, descrevemos as medidas que devem ser tomadas em cada etapa.
Para cumprir a versão 6.0, as empresas são obrigadas a implementar medidas multifacetadas personalizadas para o seu tipo setor e padrões de transação, além de estabelecer uma estrutura organizacional interna adequada.
Veja a seguir alguns exemplos específicos de como as empresas podem manter a conformidade com as diretrizes:
Avalie as lacunas atuais de status e conformidade
O primeiro passo é que a empresa avalie seu nível de segurança e como ele se compara com as diretrizes da versão 6.0. Essa avaliação pode ajudar as empresas a identificar lacunas entre suas práticas reais e as regulamentações. Aqui estão algumas perguntas que as empresas podem usar para confirmar o status atual das informações de cartão e medidas de proteção contra fraudes:
Medidas para evitar o roubo de informações de cartão
- Há restrições ao acesso a telas de gestão?
- Os IDs e senhas de administrador são gerenciados corretamente?
- Arquivos importantes são mantidos fora de diretórios públicos?
- Há alguma vulnerabilidade nos aplicativos da web?
- Há medidas antimalware em vigor?
- O software antivírus foi implementado?
- Existem medidas de proteção de crédito em vigor?
Medidas para impedir o uso de informações de cartão
- O EMV 3D Secure foi implementado?
- Existem restrições de acesso de endereços IP suspeitos?
- A autenticação de dois fatores ou multifator foi implementada para verificar a identidade do cliente?
- Foi implementado um limite para o número de tentativas de login? As contas dos clientes são bloqueadas após um certo número de tentativas malsucedidas de login?
- As alterações nas informações dos membros (por exemplo, endereços de e-mail, endereços residenciais, número de telefone) são verificadas?
- As transações fraudulentas são identificadas com base em avaliações de risco utilizando informações de transações anteriores (ou seja, um sistema de deteção de fraudes)?
- É possível identificar dispositivos usando impressão digital?
Determine as prioridades
As medidas de segurança devem ser mais do que uma combinação de várias medidas. Em vez disso, devem ser determinadas de acordo com a empresa e sua situação. As empresas podem analisar seu grau de risco para determinar quais medidas individuais devem ser implementadas da lista acima. Isso pode ajudar as empresas a adotar uma abordagem em várias camadas para seguir as medidas.
Revisão regular e treinamento da equipe
A fraude está se tornando cada vez mais sofisticada. À medida que as empresas introduzem novas medidas de segurança, os métodos de fraude evoluem para combatê-las. É por isso que medidas técnicas, iniciativas organizacionais e treinamento de funcionários são necessários. Além disso, a análise inicial do risco de fraude deve ser apoiada por uma análise contínua.
Quais são as consequências da não conformidade com as Diretrizes de Segurança de Cartão de Crédito?
O não cumprimento das diretrizes pode ter sérios impactos nas operações de uma empresa. A seguir estão os principais riscos do não cumprimento:
Perda de confiança e vazamento de dados
O vazamento de dados pessoais pode minar a confiabilidade de uma empresa, levando à perda de clientes e danos à marca por meio da cobertura da mídia.
Perdas financeiras e estornos
Estornos e pagamentos de indenização por fraude podem ser um fardo significativo, especialmente para pequenas e médias empresas.
Sanções administrativas ou suspensão de empresas
Se a agência administrativa constatar uma violação das diretrizes, uma empresa pode receber um pedido de melhoria ou suspensão.
Por que as empresas devem ter medidas de segurança contínuas?
As Diretrizes de Segurança para Cartões de Crédito são diretrizes práticas para se preparar para os riscos de fraude em constante evolução. A versão 6.0 das diretrizes exige conformidade com a não retenção e o PCI DSS, bem como a implementação de contramedidas de vulnerabilidade personalizadas para cada negócio. Essas contramedidas são baseadas em uma abordagem de linha de negócios.
Empresas que atrasam ou evitam implementar essas medidas podem arriscar a confiança de seus clientes. Eles também enfrentam uma ameaça para o futuro do negócio. É uma boa ideia usar uma plataforma de pagamento abrangente que esteja em conformidade com o PCI DSS, como o Stripe Payments. Dessa forma, sua empresa pode criar gradualmente um ambiente que esteja em conformidade com a versão mais recente das diretrizes.
O conteúdo deste artigo é apenas para fins gerais de informação e educação e não deve ser interpretado como aconselhamento jurídico ou tributário. A Stripe não garante a exatidão, integridade, adequação ou atualidade das informações contidas no artigo. Você deve procurar a ajuda de um advogado competente ou contador licenciado para atuar em sua jurisdição para aconselhamento sobre sua situação particular.