La popularidad de los pagos sin efectivo ha provocado un aumento del fraude con tarjetas de crédito en Japón. Para las empresas que operan sitios de e-commerce y utilizan pagos en línea, las medidas de seguridad son una obligación, no solo una opción. En este artículo, ofrecemos una explicación de las Directrices de seguridad de tarjetas de crédito en Japón, incluyendo su propósito, antecedentes y pasos para su cumplimiento.
Esto es lo que encontrarás en este artículo:
- ¿Cuáles son las Directrices de seguridad de tarjetas de crédito?
- ¿Por qué son necesarias las Directrices de seguridad de tarjetas de crédito?
- ¿Cuáles son las diferencias entre las versiones 5.0 y 6.0 de las Directrices de seguridad de tarjetas de crédito?
- Pasos para cumplir las Directrices de seguridad de tarjetas de crédito
- ¿Cuáles son las consecuencias del incumplimiento de las Directrices de seguridad de tarjetas de crédito?
- ¿Por qué las empresas deben tener medidas de seguridad continuas?
¿Cuáles son las directrices de seguridad de tarjetas de crédito?
Las directrices de seguridad de tarjetas de crédito son un conjunto de políticas que regulan las medidas de seguridad para usar tarjetas de crédito. Todas las empresas de Japón deben seguir estas directrices, establecidas en un plan del Ministerio de economía, comercio e industria (METI) para reducir el riesgo de filtraciones de información y fraude y crear un entorno seguro para las transacciones. La Asociación Japonesa de Crédito al Consumo (JCA) también trabaja para crear conciencia sobre la seguridad y garantizar que las empresas tomen medidas exhaustivas en todo el sector.
La versión 6.0, la última versión de las directrices, requiere estándares de seguridad más estrictos que las versiones anteriores. Es importante que las empresas se mantengan al día con las últimas novedades y respondan en consecuencia. Estas novedades incluyen una gestión adecuada de la información de tarjetas de crédito, la detección temprana y la respuesta al uso fraudulento o no autorizado, la formación en seguridad para los empleados y medidas para abordar las vulnerabilidades sistémicas.
El cumplimiento de las directrices puede ayudar a las empresas a ganarse la confianza de los clientes y a mantener su sostenibilidad. Todas las empresas deben comprender los detalles de las últimas directrices y adoptar las medidas adecuadas para cumplirlas.
¿Por qué son necesarias las directrices de seguridad de tarjetas de crédito?
Según un estudio de la JCA centrado en empresas que emiten tarjetas de crédito de marcas internacionales en Japón, se previó que el importe de las pérdidas por fraude con tarjetas de crédito en 2024 alcanzaría unos 55.500 millones de yenes. Se trata de un aumento significativo con respecto a 2014, cuando fue de poco más de 11.000 millones de yenes. Las pérdidas provocadas por el robo de números representaron casi el 60% del total en 2014. Este porcentaje superó el 90% en 2024, lo que pone de relieve la vulnerabilidad de las transacciones en línea, como las de los sitios de e-commerce.
Estas cifras indican por qué es importante que las empresas cumplan las últimas directrices de seguridad de tarjetas de crédito. Las directrices pueden ayudar a las empresas a proteger a los clientes, cumplir la ley y mantener la fiabilidad de sus marcas. En el improbable caso de una filtración de datos o acceso no autorizado, las consecuencias podrían incluir la pérdida de clientes, pérdidas por contracargos, sanciones administrativas o el pago de indemnizaciones por daños.
¿En qué se diferencian las versiones 5.0 y 6.0 de las Directrices de seguridad de tarjetas de crédito?
Las Directrices de seguridad de tarjetas de crédito se han revisado varias veces desde su lanzamiento inicial en 2020. Las medidas se dividen en dos categorías: transacciones no presenciales (es decir, transacciones de e-commerce) y transacciones presenciales. Es importante que las empresas sigan las directrices que regulan su tipo de empresa. Por ejemplo, la versión 6.0 contiene nuevas medidas para empresas de e-commerce, por lo que es importante que las empresas de este tipo cumplan estas nuevas directrices.
Las Directrices de seguridad de las tarjetas de crédito son muy detalladas. Comprender los puntos clave puede ayudar a una empresa a empezar y responder a cada medida. En la siguiente tabla, comparamos las Versiones 5.0 y 6.0 para ayudar a indicar las medidas que se han añadido a cada una de las directrices.
|
Medidas |
Versión 5.0 |
Versión 6.0 |
|---|---|---|
|
Protección de información de tarjetas |
Empresas de e-commerce y presenciales
|
Empresas de e-commerce
|
|
Protección antifraude |
Empresas de e-commerce
Empresas presenciales
|
Empresas de e-commerce
|
|
Incidencia frecuente de fraude/empresas de alto riesgo |
Empresas de e-commerce
|
Empresas de e-commerce
|
|
Empresas que gestionan transacciones de pedidos por correo o por teléfono (MO/TO) |
Empresas que gestionan transacciones MO/TO
|
Empresas que gestionan transacciones MO/TO
|
|
Soporte para la empresa |
— |
Empresas de e-commerce
|
|
Introducir el número de identificación personal (PIN) durante el pago con tarjeta |
— |
Empresas presenciales
|
Medidas para evitar el robo de información de tarjetas de crédito
En la versión 5.0, la JCA implementó medidas de protección de datos de tarjetas, como la no retención y cumplimiento de la normativa PCI DSS. Estas medidas han sido en cierta medida eficaces para evitar incidentes en los que se roban grandes volúmenes de datos de tarjetas en un corto período de tiempo.
Sin embargo, se han producido incidentes en los que se ha filtrado información de tarjetas como consecuencia de accesos externos no autorizados, virus o manipulación del sistema. Estos incidentes se debieron a medidas insuficientes contra las vulnerabilidades, como medidas antivirus en los sistemas y sitios web de e-commerce, gestión de los privilegios de administrador y gestión de dispositivos. Por tanto, la versión 6.0 exige a las empresas de e-commerce que implementen las siguientes medidas contra las vulnerabilidades de los sistemas y sitios web para evitar la filtración de información de tarjetas:
- Restricciones de acceso a pantallas de administración del sistema y gestión de ID/contraseña para los administradores
- Medidas para abordar errores e insuficiencias de configuración asociados a la exposición al directorio de datos
- Contramedidas de vulnerabilidad para aplicaciones web
- Introducción y funcionamiento de software antivirus como medida contra el malware
- Contramedidas contra comprobaciones de validez maliciosas y maestros de crédito
Al externalizar la creación, configuración y operación de sistemas o sitios web de e-commerce, el contratista externo debe seguir las contramedidas de vulnerabilidad que las empresas de e-commerce están obligadas a implementar.
Medidas de protección antifraude para evitar el uso de información de tarjetas
En 2023, el uso fraudulento de tarjetas en Japón alcanzó más de 54 mil millones de yenes. De esa cantidad, el 93% fue a través del robo de identidad en empresas de e-commerce. Por tanto, se han añadido medidas con el objetivo de prevenir fraude antes y durante la realización de pagos con tarjeta.
Así es como se puede producir un fraude antes, durante y después de utilizar una tarjeta:
- Antes del pago con tarjeta: los estafadores pueden registrar una cuenta fraudulenta o usar inicios de sesión fraudulentos haciéndose pasar por el cliente.
- Durante un pago con tarjeta: se han producido casos de uso no autorizado de números de tarjetas e información de tarjetas generados por el maestro de crédito. Además, se han utilizado estafas de phishing para robar información de tarjetas, cuentas, contraseñas e información de atributos.
- Después de un pago con tarjeta: los productos se pueden entregar o revender de forma fraudulenta, por lo que es necesario comprobar los detalles del pedido y la dirección de envío.
Debido a la posibilidad de fraude, es necesario implementar medidas que regulen el flujo de transacciones con tarjeta. Por ejemplo, evitar inicios de sesión no autorizados antes de pagos con tarjeta e introducir EMV 3D Secure durante el proceso de pago con tarjeta.
Medidas para evitar el inicio de sesión no autorizado
En la Versión 6.0, se recomiendan las siguientes medidas para evitar inicios de sesión no autorizados:
- Restricciones de acceso desde direcciones de protocolo de Internet (IP) sospechosas
- Identificación mediante verificación en dos pasos o autenticación multifactor
- Confirmación de datos personales durante el registro de miembros
- Restricciones más estrictas en el número de intentos de inicio de sesión
- Correos electrónicos y notificaciones de servicios de mensajes cortos (SMS) cuando los miembros inician sesión o cambian sus atributos
- Análisis de comportamiento y atributos
- Huella digital del dispositivo
Adopción de EMV 3D Secure
La versión 6.0 incluye medidas relacionadas con la introducción de EMV 3D Secure. Las empresas de e-commerce deben hacer lo siguiente:
- Integrar EMV 3D Secure y realizar la autenticación para garantizar que puedan verificar adecuadamente la identidad del titular de la tarjeta
- Mejorar la precisión de la autenticación basada en riesgos (RBA)
Incidencia frecuente de fraude y empresas de alto riesgo
Se considera que las empresas tienen una incidencia frecuente de fraude cuando han soportado varios cobros fraudulentos de forma continua. A efectos de estas directrices, se considera que las empresas tienen incidencias frecuentes de fraude cuando sus cobros fraudulentos superan los 500.000 yenes en tres meses consecutivos.
Las empresas de alto riesgo son cualquier empresa que maneja principalmente productos digitales, como juegos en línea, electrodomésticos, dinero electrónico, entradas y servicios de reserva de alojamientos. Las empresas de alto riesgo y aquellas con una alta incidencia de fraude deben habilitar medidas adicionales.
Hasta la versión 5.0, las empresas con historial de fraude debían implementar al menos dos de las cuatro medidas descritas en las Directrices de seguridad de tarjetas de crédito. Las empresas de alto riesgo tenían que habilitar al menos una. Estas medidas incluyen la autenticación del titular de la tarjeta, verificación de tarjetas, análisis de atributos y comportamientos y verificación de la dirección de envío.
Sin embargo, a partir de la versión 6.0, las empresas ahora están obligadas a implementar medidas adicionales y adecuadas o medidas mejoradas establecidas en un modelo por capas. Este modelo debe personalizarse para los daños reales causados por el fraude y los métodos específicos empleados. Este cambio en las directrices se debe a los diversos productos y servicios que pueden ofrecer las empresas y a los múltiples métodos que pueden utilizar los estafadores para crear o tomar el control de las cuentas.
Empresas que gestionan transacciones de pedidos telefónicos/por correo (MO/TO)
«MO/TO» es un término que se suele utilizar en Japón para referirse a la venta por correo (MO) y pedido telefónico (TO). Es decir, las empresas MO/TO procesan pagos con tarjeta por teléfono o correo.
Muchas empresas que manejan transacciones MO/TO también participan en e-commerce. Por tanto, se han revisado las cuatro medidas para empresas MO/TO que se incluyeron en las directrices hasta la versión 5.0. Las siguientes medidas siguen siendo obligatorias para las empresas MO/TO en la versión 6.0:
- Establecimiento de un sistema de procesamiento de autorizaciones
- Deber de diligencia como gestor cualificado, según lo estipulado en el contrato comercial
- Integración de medidas no presenciales contra el uso fraudulento, en función del riesgo y daño soportado
Soporte para la empresa
Las empresas de tarjetas de crédito y los proveedores de servicios de pago deben proporcionar información y soporte relativos a las contramedidas de vulnerabilidad que las empresas de e-commerce deben implementar.
Además, los proveedores de sistemas y otras empresas deben seguir las contramedidas de vulnerabilidad al realizar la creación y configuración de sitios de e-commerce. Al operar y mantener estos sitios, también tienen que proporcionar asesoramiento y soporte a las empresas de e-commerce.
Uso de PIN para pagos con tarjeta
Desde abril de 2025, las empresas que realizan transacciones presenciales ya no están obligadas a verificar las identidades de los clientes con firma durante los pagos con tarjeta. En su lugar, deben pedir a los clientes que introduzcan sus números PIN.
Pasos para cumplir las Directrices de seguridad de tarjetas de crédito
Se requieren diferentes medidas para evitar que se roben y utilicen datos de tarjetas. A continuación, proporcionamos la secuencia de eventos que conducen al robo y uso fraudulento de datos de tarjetas. Luego, describimos las medidas que se deben tomar en cada etapa.
Para cumplir la versión 6.0, las empresas deben implementar medidas polifacéticas personalizadas para su tipo de sector y patrones de transacción. También deben establecer una estructura organizativa interna adecuada.
A continuación se muestran algunos ejemplos específicos de cómo las empresas pueden seguir cumpliendo las directrices:
Evaluar el estatus actual y las deficiencias en materia de cumplimiento de la normativa
El primer paso es que la empresa evalúe su nivel de seguridad y lo compare con las directrices de la versión 6.0. Esta evaluación puede ayudar a las empresas a identificar las diferencias entre sus prácticas reales y la normativa. A continuación se incluyen algunas preguntas que las empresas pueden utilizar para confirmar el estado actual de su información sobre tarjetas y sus medidas de protección antifraude:
Medidas para prevenir el robo de datos de tarjetas
- ¿Hay restricciones para acceder a las pantallas de gestión?
- ¿Se gestionan correctamente los ID y las contraseñas de los administradores?
- ¿Se mantienen archivos importantes fuera de directorios públicos?
- ¿Hay alguna vulnerabilidad en las aplicaciones web?
- ¿Se han implementado medidas antimalware?
- ¿Se ha implementado un software antivirus?
- ¿Existen medidas de protección principal de crédito?
Medidas para evitar el uso de datos de tarjetas
- ¿Se ha implementado EMV 3D Secure?
- ¿Existen restricciones de acceso desde direcciones IP sospechosas?
- ¿Se ha implementado la autenticación de dos factores o multifactorial para verificar la identidad de los clientes?
- ¿Se ha implementado un límite en el número de intentos de inicio de sesión? ¿Se bloquean las cuentas de clientes después de un cierto número de intentos de inicio de sesión fallidos?
- ¿Se comprueban los cambios en la información de los miembros (por ejemplo, direcciones de correo electrónico, direcciones postales, números de teléfono)?
- ¿Las transacciones fraudulentas están identificadas en función de evaluaciones de riesgo utilizando información de transacciones anteriores (es decir, un sistema de detección de fraude)?
- ¿Es posible identificar dispositivos mediante tecnología de huellas?
Determinar prioridades
Las medidas de seguridad deben ser más que una combinación de múltiples medidas. En su lugar, deben determinarse según la empresa y su situación. Las empresas pueden analizar su grado de riesgo para determinar qué medidas particulares deben implementarse de la lista anterior. Esto puede ayudar a las empresas a habilitar un enfoque multicapa para seguir las medidas.
Revisión periódica y formación del personal
El fraude es cada vez más sofisticado. A medida que las empresas introducen nuevas medidas de seguridad, los métodos de fraude evolucionan para contrarrestarlas. Por eso son necesarias medidas técnicas, iniciativas organizativas y formación de los empleados. Además, la revisión inicial del riesgo de fraude debe estar respaldada por una revisión continua.
¿Cuáles son las consecuencias del incumplimiento de las directrices de seguridad de tarjetas de crédito?
El incumplimiento de las directrices puede tener graves repercusiones en las operaciones de una empresa. A continuación se enumeran los principales riesgos del incumplimiento:
Fugas de datos y pérdida de confianza
Las filtraciones de datos personales pueden socavar la fiabilidad de una empresa, lo que lleva a la pérdida de clientes y al daño a la marca por la cobertura mediática.
Pérdidas financieras y contracargos
Los contracargos y pagos de compensación por fraude pueden suponer una carga significativa, especialmente para las pequeñas y medianas empresas.
Sanciones administrativas o suspensión de empresas
Si la agencia administrativa encuentra una infracción de las directrices, la empresa podría recibir una orden de mejora o suspensión.
¿Por qué las empresas deben tener medidas de seguridad continuas?
Las Directrices de seguridad de tarjetas de crédito son pautas prácticas para prepararse ante riesgos de fraude en constante evolución. La versión 6.0 de las directrices exige el cumplimiento de la normativa de no retención y PCI DSS, así como la implementación de contramedidas de vulnerabilidad personalizadas para cada empresa. Estas contramedidas se basan en un modelo por línea de negocio.
Las empresas que retrasan o evitan implementar estas medidas podrían arriesgar la confianza de sus clientes. También se enfrentan a una amenaza para el futuro de la empresa. Es una buena idea utilizar una plataforma de pagos integral que cumpla la normativa PCI DSS, como Stripe Payments. De esta manera, tu empresa puede crear gradualmente un entorno que cumpla la versión más reciente de las directrices.
El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, la adecuación o la vigencia de la información incluida en el artículo. Busca un abogado o un asesor fiscal profesional y con licencia para ejercer en tu jurisdicción si necesitas asesoramiento para tu situación particular.