La Ley de venta a plazos es uno de los principales reglamentos japoneses de protección del consumidor aplicable a todas las empresas de Japón que operan por Internet que aceptan pagos con tarjeta de crédito. En 2018, el Gobierno japonés revisó la Ley de venta a plazos para garantizar que las empresas que operan por Internet traten los datos del consumidor de manera segura y para reducir el fraude en línea.
En esta guía se presentan los requisitos principales del nuevo reglamento y se expone de qué forma las empresas de Stripe de Japón pueden mantener el cumplimiento.
Antecedentes
En un informe de marzo de 2018 (en japonés) encargado por la Asociación Japonesa de Crédito al Consumidor (JCA, por sus siglas en inglés) se identifica 2017 como el año con las mayores pérdidas por fraude en toda la industria registradas hasta la fecha. Más de 23 600 millones de JPY (más de 200 millones de dólares) en pérdidas económicas se atribuyeron al fraude por Internet, lo que supone un aumento del 65 % respecto al año anterior.
En consecuencia, el Consejo de Seguridad para Transacciones de Crédito de la JCA anunció su Plan de implementación de 2018 (en japonés), que pretende reforzar las políticas de seguridad y prevención de fraude para las empresas que aceptan pagos con tarjeta a través de Internet. Con la Ley revisada de venta a plazos (改正割賦販売法) en vigor, las empresas que operan por Internet ahora están obligadas a tratar los datos de las tarjetas de crédito correctamente y a implementar las medidas de prevención de fraude.
Tratamiento correcto de los datos de las tarjetas de crédito
El PCI-DSS (Estándar de seguridad de datos del sector de pagos con tarjeta) es el estándar global de seguridad de la información para las empresas que aceptan pagos con tarjeta de crédito. El Plan de implementación de 2018 de la JCA hace referencia en su enfoque a este estándar global. De hecho, el cumplimiento de la normativa PCI es el requisito principal para que las empresas puedan garantizar la observancia de las disposiciones de la Ley revisada de venta a plazos.
Las transacciones por Internet plantean más riesgos para la seguridad de los datos del titular de la tarjeta, por lo que el Plan de implementación de la JCA recomienda encarecidamente a las empresas que eviten tratar información sin procesar de las tarjetas. En particular, las empresas no deben transmitir, almacenar ni procesar los datos del titular de la tarjeta en equipos, servidores u otros dispositivos de su red.
Para cumplir este requisito, las empresas pueden tokenizar los datos de las tarjetas. Gracias la tokenización, tu empresa puede recopilar de los clientes los datos confidenciales de su tarjeta de manera segura. La información confidencial no llega a tus servidores; en su lugar, un token que representa estos datos se devuelve al servidor para poder utilizarlos. Con un procesador de pagos que respeta la normativa PCI como Stripe, tu empresa no procesa los detalles de los pagos directamente con las redes de tarjetas.
¿Qué supone para los usuarios de Stripe?
Los usuarios de Stripe deben usar Stripe Elements, Stripe Checkout o uno de los SDK para móviles para aceptar pagos. Al usar estos productos y garantizar las mejores prácticas empresariales en relación con la seguridad de los datos, las empresas no necesitan tratar datos sin procesar de las tarjetas para aceptar pagos por Internet.
Existencia de un requisito empresarial para tratar los datos sin procesar
Los nuevos reglamentos exigen que las empresas que tratan datos sin procesar de las tarjetas tengan la certificación PCI-DSS. Si tu empresa necesita tratar datos sin procesar de las tarjetas, ten en cuenta que el proceso para obtener la certificación puede ser caro y llevar mucho tiempo. Puedes acceder a soporte a través de un proceso guiado en el Dashboard de Stripe y puedes encontrar más información en nuestra guía para cumplir con la normativa PCI-DSS.
Requisito de la JCA
|
Posible enfoque
|
Coste
|
---|---|---|
Sin transmisión, almacenamiento ni procesamiento de los detalles de la tarjeta ni de la certificación PCI-DSS |
Stripe Elements, Stripe Checkout o SDK para móviles para todos los pagos | Gratis |
Obtén la certificación PCI-DSS e indica tu estado de certificación en el Dashboard de Stripe. (Consulta nuestra guía para cumplir con la normativa PCI). | Varía en función del tamaño y la complejidad de la empresa. (Consulta el sitio web del Consejo de Estándares de Seguridad de la Normativa PCI). |
Implementación de medidas de prevención de fraude
El Plan de implementación de la JCA recomienda los siguientes métodos de prevención de fraude para las empresas que operan por Internet:
1. Autenticación personal: el titular de la tarjeta autentica una transacción introduciendo una contraseña que se ha registrado con el emisor de la tarjeta de crédito (por ejemplo, 3D Secure).
2. Códigos de seguridad: durante la transacción por Internet, el titular de la tarjeta introduce un número de tres o cuatro dígitos que se encuentra en el reverso de la tarjeta (e.g., comprobaciones de CVC).
3. Análisis de atributos y patrones de comportamiento: se pueden identificar posibles transacciones fraudulentas gracias a la asociación de los atributos de la transacción y los patrones de comportamiento con aquellos recabados de las transacciones fraudulentas anteriores. Los datos adicionales, como la dirección IP y la actividad del cliente, pueden mejorar la precisión de los resultados.
4. Información de la dirección de envío: los pagos fraudulentos a veces se pueden identificar comprobando las direcciones de envío en la lista de direcciones conocidas utilizadas en transacciones fraudulentas anteriores. Estas bases de datos las proporcionan terceros, o son las empresas las que se encargan directamente de su mantenimiento.
¿Qué supone para los usuarios de Stripe?
Stripe ofrece opciones para que las empresas implementen estos cuatro métodos de forma rápida y sencilla, como se ilustra a continuación:
Recomendación de la JCA
|
Recomendación de Stripe
|
---|---|
Autenticación personal | 3D Secure |
Códigos de seguridad | Comprobaciones de CVC mediante Radar |
Análisis de comportamiento y atributos | Stripe Radar |
Información de la dirección de envío | Listas de Stripe Radar |
Conclusión
La plataforma de Stripe está diseñada para ayudar a nuestros usuarios a estar al tanto de las nuevas funciones o de los cambios en los reglamentos. Esperamos que esta guía te haya ayudado a conocer los nuevos requisitos establecidos por la Ley revisada de venta a plazos y el Plan de implementación de la JCA y cómo los usuarios de Stripe pueden mantener el cumplimiento. Si tienes alguna pregunta, contáctanos.
Referencias
- Ley de ventas a plazos (Ministerio de Economía, Comercio e Industria)
- Transacciones de crédito (Ministerio de Economía, Comercio e Industria)
- Directrices de seguridad de tarjetas de crédito (Asociación de Crédito del consumidor de Japón)
- Estadísticas relacionadas con el crédito (Asociación de Crédito del consumidor de Japón)
- Sitio web del Consejo de Estándares de Seguridad de la Normativa PCI