Einhaltung des geänderten Ratenverkaufsgesetzes

Ein Leitfaden von Stripe für Nutzer in Japan

  1. Einführung
  2. Hintergrund
  3. Angemessene Verarbeitung von Kreditkartendaten
    1. Was bedeutet das für Stripe-Nutzer?
  4. Wenn Sie aus geschäftlichen Gründen unverschlüsselte Daten verarbeiten müssen
  5. Umsetzung von Maßnahmen zur Betrugsprävention
    1. Was bedeutet das für Stripe-Nutzer?
  6. Fazit
  7. Referenzen

Das Ratenverkaufsgesetz ist eines der wichtigsten japanischen Verbraucherschutzgesetze. Es gilt für alle Internetunternehmen in Japan, die Kreditkartenzahlungen akzeptieren. 2018 hat die japanische Regierung das Ratenverkaufsgesetz mit dem Ziel überarbeitet, ein sicheres Management der Kundendaten bei Onlineunternehmen herbeizuführen und den Onlinebetrug zu reduzieren.

In diesem Leitfaden sind die zentralen Anforderungen der neuen Bestimmungen zusammengefasst. Außerdem wird erläutert, was Stripe-Unternehmen in Japan zur Einhaltung dieser Bestimmungen benötigen.

Hintergrund

Nach einem Bericht vom März 2018 (in japanischer Sprache), der von der Japan Consumer Credit Association (JCA) in Auftrag gegeben wurde, ist es im Jahr 2017 branchenweit zu den bislang höchsten Verlusten durch Betrug gekommen. Auf Onlinebetrug waren damals mehr als 23,6 Milliarden JPY (ca. 170 Millionen EUR) zurückzuführen. Gegenüber dem Vorjahr war das ein Anstieg um 65 %.

Als Reaktion darauf kündigte der Credit Transaction Security Council der JCA den Umsetzungsplan 2018 (in japanischer Sprache) zur Verbesserung der Sicherheits- und Betrugspräventionsrichtlinien von Unternehmen, die Online-Kartenzahlungen akzeptieren, an. Mit dem Inkrafttreten des geänderten Ratenverkaufsgesetzes (改正割賦販売法) müssen Onlineunternehmen Kreditkartendaten angemessen verarbeiten und Maßnahmen zur Betrugsprävention umsetzen.

Angemessene Verarbeitung von Kreditkartendaten

Der Standard PCI-DSS (Payment Card Industry Data Security Standard) ist der weltweite Standard für die Informationssicherheit bei Unternehmen, die Kreditkartenzahlungen akzeptieren. Im Implementierungsplan 2018 der JCA wird auf diesen weltweiten Standard Bezug genommen. PCI-Konformität ist die zentrale Methode für Unternehmen, die Anforderungen des geänderten Ratenverkaufsgesetzes zu erfüllen.

Onlinetransaktionen bedeuten für Karteninhaberdaten ein erhöhtes Sicherheitsrisiko. Daher sieht der Umsetzungsplan der JCA vor, dass die Verarbeitung von unverschlüsselten Kartendaten weitestgehend vermieden werden soll. Insbesondere sollten Unternehmen die Karteninhaberdaten weder zwischen Computern, Servern oder anderen Geräten im Netzwerk übertragen noch darauf speichern oder verarbeiten.

Hierfür können die Unternehmen eine Tokenisierung der Kartendaten vornehmen. Durch die Tokenisierung kann das Unternehmen vertrauliche Kartendetails Ihrer Kunden auf sichere Weise erfassen. Bei dieser Konfiguration gelangen keine vertraulichen Daten auf Ihre Server. Stattdessen werden auf den Servern Tokens verarbeitet, die für diese Informationen stehen. Bei einem PCI-konformen Zahlungsabwickler wie Stripe bedeutet dies außerdem, dass Ihr Unternehmen keine Zahlungsdetails direkt in Kartennetzwerken verarbeitet.

Was bedeutet das für Stripe-Nutzer?

Stripe-Nutzer sollten Zahlungen in Stripe ElementsStripe Checkout oder einem der mobilen SDKs akzeptieren. Durch den Einsatz dieser Produkte und die Beachtung einer guten Geschäftspraxis im Zusammenhang mit der Datensicherheit müssen die Unternehmen für die Annahme von Online-Zahlungen keine unverschlüsselten Kartendaten verarbeiten.

Wenn Sie aus geschäftlichen Gründen unverschlüsselte Daten verarbeiten müssen

Den neuen Bestimmungen zufolge müssen Unternehmen, die unverschlüsselte Kartendaten verarbeiten, PCI-DSS-zertifiziert sein. Diese Zertifizierung kann äußert kostspielig und zeitintensiv sein. Dazu bietet der geführte Ablauf im Stripe-Dashboard Unterstützung. Weitere Informationen finden Sie in unserem Leitfaden zur PCI-DSS-Konformität.

JCA-Anforderung
Mögliche Herangehensweise
Kosten

Keine Übertragung, Speicherung oder Verarbeitung von Kartendaten ODER PCI-DSS-Zertifizierung

Stripe Elements, Stripe Checkout oder mobile SDKs für alle Zahlungen Kostenlos
Schließen Sie Ihre PCI-DSS-Zertifizierung ab und geben Sie Ihren Zertifizierungsstatus im Stripe-Dashboard an. (Weitere Informationen finden Sie in unserem Leitfaden zu PCI-Konformität.) Variiert je nach Unternehmensgröße und -komplexität. (Siehe Website des PCI Security Standards Council.)

Umsetzung von Maßnahmen zur Betrugsprävention

Im Umsetzungsplan der JCA werden Onlineunternehmen die folgenden Methoden zur Betrugsprävention vorgeschlagen:

1. Persönliche Authentifizierung: Der Karteninhaber authentifiziert eine Transaktion, indem er ein beim Aussteller der Kreditkarte hinterlegtes Passwort (z. B. 3D Secure) eingibt.

2. Sicherheitscodes: Der Karteninhaber gibt bei Onlinetransaktionen eine drei- oder vierstellige Zahl ein, die auf der Rückseite der Karte zu finden ist (z. B. Prüfziffer/CVC).

3. Merkmals- und Verhaltensanalyse: Potenziell betrügerische Transaktionen lassen sich anhand von Merkmalen und Verhaltensmustern erkennen, die mit Merkmalen und Mustern früherer betrügerischer Transaktionen abgeglichen werden. Zusätzliche Daten wie IP-Adressen und Kundenaktivitäten können die Genauigkeit der Ergebnisse steigern.

4. Versandadressdaten: Betrügerische Zahlungen können bisweilen durch einen Abgleich der Versandadressen mit einer Liste von in der Vergangenheit für betrügerische Transaktionen genutzten Adressen ermittelt werden. Diese Datenbanken werden von Dritten bereitgestellt oder von den Unternehmen selbst geführt.

Quelle (in japanischer Sprache)

Was bedeutet das für Stripe-Nutzer?

Stripe bietet Unternehmen die Möglichkeit zur schnellen und einfachen Umsetzung aller vier Methoden:

JCA-Empfehlung
Stripe-Empfehlung
Persönliche Authentifizierung 3D Secure
Sicherheitscodes CVC-Überprüfungen mittels Radar
Merkmals- und Verhaltensanalyse Stripe Radar
Versandadressdaten Stripe Radar-Listen

Fazit

Die Stripe-Datenplattform hilft unseren Nutzern dabei, bei Funktionen und geänderten Bestimmungen immer auf dem neuesten Stand zu bleiben. Wir hoffen, dass Ihnen dieser Leitfaden dabei hilft, die neuen Anforderungen aus dem geänderten Ratenverkaufsgesetz (und dem Umsetzungsplan der JCA) nachzuvollziehen und Lösungen für eine dauerhafte Konformität zu finden. Bitte wenden Sie sich an uns, falls Sie Fragen haben.

Startklar? Kontaktieren Sie uns oder erstellen Sie ein Konto.

Erstellen Sie ein Konto und beginnen Sie direkt mit dem Akzeptieren von Zahlungen, ohne Verträge abschließen oder Bankdaten angeben zu müssen. Oder wenden Sie sich an uns. Gerne erstellen wir ein Paket für Sie, das genau auf Ihr Unternehmen abgestimmt ist.