La popularité des paiements dématérialisés a entraîné une augmentation de la fraude à la carte bancaire au Japon. Pour les entreprises qui exploitent des sites d'e-commerce et utilisent des paiements en ligne, les mesures de sécurité sont une obligation, et pas seulement une option. Dans cet article, nous fournissons une explication des Credit Card Security Guidelines au Japon, y compris leur objectif, leur contexte et les étapes à suivre pour s'y conformer.
Sommaire :
- Que sont les Credit Card Security Guidelines ?
- Pourquoi les Credit Card Security Guidelines sont-elles nécessaires ?
- Quelles sont les différences entre les Versions 5.0 et 6.0 des Credit Card Security Guidelines ?
- Étapes à suivre pour se conformer aux Credit Card Security Guidelines
- Quelles sont les conséquences en cas de non-respect des Credit Card Security Guidelines ?
- Pourquoi les entreprises devraient-elles avoir des mesures de sécurité continues ?
Que sont les Credit Card Security Guidelines ?
Les Credit Card Security Guidelines sont un ensemble de politiques qui réglementent les mesures de sécurité pour l'utilisation des cartes bancaires. Toutes les entreprises japonaises doivent suivre ces directives. Elles s'appuient sur un plan du ministère de l'Économie, du Commerce et du Secteur (METI) visant à réduire le risque de fuite d'informations et de fraude et à créer un environnement sécurisé pour les transactions. La Japan Consumer Credit Association (JCA) s'efforce également de sensibiliser les entreprises à la sécurité et de s'assurer qu'elles prennent des mesures approfondies dans l'ensemble du secteur.
La Version 6.0, la dernière version des directives, prévoit des normes de sécurité plus strictes que celles précédentes. Il est important pour les entreprises de se tenir au courant des derniers développements et de réagir en conséquence. Ces développements comprennent une gestion appropriée des informations de carte bancaire, une détection précoce et une réponse en cas d'utilisation frauduleuse ou non autorisée, une formation en matière de sécurité pour les employés et des mesures pour remédier aux vulnérabilités systémiques.
Le respect des directives peut aider les entreprises à gagner la confiance des clients et à rester durables. Toutes les entreprises doivent comprendre les détails des dernières directives et prendre les mesures appropriées pour s'y conformer.
Pourquoi les Credit Card Security Guidelines sont-elles nécessaires ?
Selon une enquête de la JCA portant sur les entreprises émettrices de cartes de crédit de marques internationales au Japon, le montant des pertes dues à la fraude à la carte bancaire en 2024 devrait atteindre environ 55,5 milliards de yens. Il s’agit d’une augmentation significative par rapport à 2014, où il était légèrement supérieur à 11 milliards de yens. Les pertes causées par le vol de numéros représentaient près de 60 % du total en 2014. Ce pourcentage dépassait 90 % en 2024, ce qui souligne la vulnérabilité des transactions en ligne, comme par exemple sur des sites d’e-commerce.
Ces chiffres indiquent pourquoi il est important pour les entreprises de se conformer aux dernières Credit Card Security Guidelines. Ces directives peuvent aider les entreprises à protéger leurs clients, à se conformer à la loi et à maintenir la fiabilité de leurs marques. Dans le cas peu probable d'une fuite de données ou d'un accès non autorisé, les conséquences peuvent inclure la perte de clients, des pertes dues à des contestations de paiement, des sanctions administratives ou le versement de dommages-intérêts.
Quelles sont les différences entre les Versions 5.0 et 6.0 des Credit Card Security Guidelines ?
Les Credit Card Security Guidelines ont été révisées à plusieurs reprises depuis leur publication initiale en 2020. Les mesures sont divisées en deux catégories : les transactions à distance (c'est-à-dire les transactions d'e-commerce) et les transactions en personne. Il est important que les entreprises suivent les directives qui réglementent leur type d'entreprise. Par exemple, la Version 6.0 contient de nouvelles mesures pour les entreprises d'e-commerce, il est donc important pour les entreprises de ce type de se conformer à ces nouvelles directives.
Les Credit Card Security Guidelines sont très détaillées. Comprendre les points clés peut aider une entreprise à démarrer et à répondre à chaque mesure. Dans le tableau ci-dessous, nous comparons les Versions 5.0 et 6.0 pour vous aider à indiquer les mesures qui ont été ajoutées à chacune des directives.
|
Mesures |
Version 5.0 |
Version 6.0 |
|---|---|---|
|
Protection des informations de carte |
E-commerce et entreprises réalisant des transactions en personne − Conformité à la norme de sécurité des données du secteur des cartes de paiement (PCI DSS). |
Entreprises d'e-commerce
|
|
Protection contre la fraude |
Entreprises d'e-commerce
Entreprises réalisant des transactions en personne
|
Entreprises d'e-commerce
|
|
Fréquence de la fraude/entreprises à haut risque |
Entreprises d'e-commerce
|
Entreprises d'e-commerce
|
|
Entreprises traitant des transactions par courrier ou téléphone (MO/TO) |
Entreprises traitant des transactions MO/TO
|
Entreprises traitant des transactions MO/TO
|
|
Assistance aux entreprises |
— |
Entreprises d'e-commerce
|
|
Saisie du numéro d'identification personnel (PIN) lors du paiement par carte |
— |
Entreprises réalisant des transactions en personne
|
Mesures visant à prévenir le vol des informations de carte bancaire
Dans la Version 5.0, la JCA a mis en œuvre des mesures de protection des informations de carte bancaire, telles que la non-conservation et la conformité PCI DSS. Ces mesures ont été assez efficaces pour prévenir les incidents où de grands volumes de données de carte sont volés en peu de temps.
Cependant, des incidents se sont produits au cours desquels des informations de carte bancaire ont été divulguées à la suite d'un accès externe non autorisé, de virus ou d'une altération du système. Ces incidents étaient dus à des contre-mesures de vulnérabilité insuffisantes, telles que des mesures antivirus sur les systèmes et les sites Web des entreprises d'e-commerce, la gestion des privilèges d'administrateur et la gestion des appareils. Par conséquent, la Version 6.0 prévoit que les entreprises d'e-commerce implémentent les contre-mesures de vulnérabilité du système et des sites Web suivantes pour empêcher les fuites d'informations de carte bancaire :
- Limitation d’accès aux écrans d’administration système et gestion des identifiants/mots de passe pour les administrateurs
- Mesures visant à remédier aux erreurs de configuration et aux insuffisances associées à l’exposition au répertoire de données
- Contre-mesures de vulnérabilité pour les applications Web
- Introduction et utilisation d’un logiciel antivirus comme mesure de lutte contre les logiciels malveillants
- Contre-mesures contre les contrôles de validité malveillants et les attaques « credit masters »
Lors de l’externalisation de la création, de la configuration et de l’exploitation de systèmes ou de sites Web d’e-commerce, le sous-traitant d’externalisation doit suivre les contre-mesures de vulnérabilité que les entreprises d’e-commerce sont tenues de mettre en œuvre.
Mesures de protection contre la fraude pour empêcher l’utilisation des informations de carte bancaire
En 2023, l'utilisation frauduleuse des cartes bancaires au Japon a atteint plus de 54 milliards de yens, dont 93 % par usurpation d'identité dans des entreprises d'e-commerce. Des mesures ont donc été ajoutées afin de prévenir la fraude avant et pendant les paiements par carte bancaire.
Voici comment la fraude peut se produire avant, pendant et après l'utilisation d'une carte bancaire :
- Avant un paiement par carte bancaire : Les fraudeurs peuvent enregistrer un compte frauduleux ou utiliser des connexions frauduleuses en usurpant l’identité du client.
- Lors d'un paiement par carte : Les cas d’utilisation non autorisée des numéros de carte bancaire et des informations de carte générés par le « credit master » ont été constatés. En outre, des escroqueries par hameçonnage ont été utilisées pour voler les informations de carte bancaire, les comptes, les mots de passe et les informations d'attribut.
- Après un paiement par carte bancaire : Les marchandises peuvent être livrées ou revendues frauduleusement, il est donc nécessaire de vérifier les informations de la commande et l’adresse de livraison.
L’éventualité de fraudes impose de mettre en œuvre des mesures qui régulent le flux des transactions par carte bancaire, consistant par exemple à empêcher les connexions non autorisées avant les paiements par carte bancaire et à introduire EMV 3D Secure pendant le processus de paiement par carte bancaire.
Mesures pour empêcher les connexions non autorisées
La Version 6.0 recommande les mesures suivantes pour prévenir les connexions non autorisées :
- Limitations de l’accès aux adresses IP (protocole Internet) suspectes
- Identification par vérification à deux facteurs ou authentification multifacteur
- Confirmation des informations personnelles lors de l’inscription du membre
- Renforcement des limitations sur le nombre de tentatives de connexion
- E-mails et notifications par SMS (court message service) lorsque les membres se connectent ou modifient leurs attributs
- Analyse des attributs et des comportements
- Prise d’empreinte d’appareil
Adoption de EMV 3D Secure
La Version 6.0 inclut des mesures liées à l'introduction d'EMV 3D Secure. Les entreprises d'e-commerce doivent effectuer les actions suivantes :
- Intégrer EMV 3D Secure et procéder à l’authentification pour s’assurer qu’elles peuvent vérifier correctement l’identité du titulaire de la carte
- Améliorer la précision de l’authentification basée sur les risques (RBA)
Fréquence de la fraude et entreprises à haut risque
Les entreprises sont considérées comme étant fréquemment victimes de fraudes lorsqu'elles ont subi plusieurs paiements frauduleux de manière continue. Aux fins des présentes directives, les entreprises sont considérées comme étant fréquemment victimes de fraudes lorsque leurs paiements frauduleux dépassent 500 000 ¥ sur trois mois consécutifs.
Les entreprises à haut risque sont toutes les entreprises qui manipulent principalement des produits numériques, tels que les jeux en ligne, les appareils électroménagers, la monnaie électronique, les billets et les services de réservation d'hébergement. Les entreprises à haut risque et celles présentant un taux élevé de fraude doivent adopter des mesures supplémentaires.
Jusqu'à la Version 5.0, les entreprises ayant des antécédents de fraude devaient implémenter au moins deux des quatre mesures décrites dans les Credit Card Security Guidelines. Les entreprises à haut risque devaient en adopter au moins une. Ces mesures comprennent l'authentification du titulaire de la carte bancaire, la vérification de la carte bancaire, l'analyse des attributs et du comportement, ainsi que la vérification de l'adresse de livraison.
Toutefois, à partir de la Version 6.0, les entreprises sont désormais tenues de mettre en œuvre des mesures supplémentaires et appropriées ou des mesures renforcées basées sur une approche à plusieurs niveaux. Cette approche doit être personnalisée en fonction des dommages réels causés par la fraude et des méthodes spécifiques utilisées. Cette modification des directives est due aux divers produits et services que les entreprises peuvent proposer et aux multiples méthodes que les acteurs frauduleux peuvent utiliser pour créer ou reprendre des comptes.
Entreprises traitant des commandes par courrier/téléphone (MO/TO)
« MO/TO » est un terme souvent utilisé au Japon pour désigner les ventes par courrier (MO) et par téléphone (TO). En d'autres termes, les entreprises MO/TO traitent les paiements par carte par téléphone ou par courrier.
De nombreuses entreprises qui traitent des transactions MO/TO exercent également des activités d’e-commerce. Par conséquent, les quatre mesures pour les entreprises MO/TO qui étaient incluses dans les Directives jusqu'à la Version 5.0 ont été revues. Les mesures suivantes continuent d'être requises pour les entreprises MO/TO, dans la Version 6.0 :
- Mise en place d’un système de traitement des autorisations
- Devoir de vigilance en tant que gestionnaire qualifié, tel que stipulé dans le contrat d’entreprise
- Intégration de mesures à distance contre l’utilisation frauduleuse, en fonction du risque et des dommages encourus
Assistance aux entreprises
Les sociétés émettrices de cartes de crédit et les prestataires de services de paiement sont tenus de fournir des informations et une assistance concernant les contre-mesures de vulnérabilité que les entreprises d’e-commerce devraient mettre en œuvre.
En outre, les fournisseurs de systèmes et autres entreprises doivent suivre des mesures de lutte contre la vulnérabilité lorsqu'ils gèrent la création et la configuration de sites d'e-commerce. Lors de l'exploitation et de la maintenance des sites, ils doivent également fournir des conseils et un soutien aux entreprises d'e-commerce.
Saisie du code PIN pour les paiements par carte
Depuis avril 2025, les entreprises qui effectuent des transactions en personne ne sont plus tenues de vérifier l'identité des clients à l'aide de signatures lors des paiements par carte. À la place, elles doivent demander aux clients de saisir leur code PIN.
Étapes à suivre pour se conformer aux Credit Card Security Guidelines
Différentes mesures sont nécessaires pour empêcher le vol et l'utilisation des informations de carte bancaire. Vous trouverez ci-dessous la séquence des événements ayant conduit au vol et à l'utilisation frauduleuse des informations de carte bancaire. Nous décrivons ensuite les mesures à prendre à chaque étape.
Pour se conformer à la Version 6.0, les entreprises sont tenues de mettre en œuvre des mesures multidimensionnelles personnalisées en fonction de leur type de secteur et de leurs habitudes de transaction. Elles doivent également établir une structure organisationnelle interne appropriée.
Vous trouverez ci-dessous quelques exemples précis de la manière dont les entreprises peuvent rester en conformité avec les directives :
Évaluer la situation actuelle et les lacunes en matière de conformité
La première étape consiste pour l'entreprise à évaluer son niveau de sécurité et à le comparer aux directives de la Version 6.0. Cette évaluation peut les aider à identifier les écarts entre leurs pratiques réelles et les réglementations. Voici quelques questions que les entreprises peuvent utiliser pour confirmer l'état actuel de leurs informations de carte bancaire ainsi que des mesures de protection contre la fraude :
Mesures visant à prévenir le vol d’informations de carte bancaire
- Existe-t-il des limitations d’accès aux écrans de gestion ?
- Les identifiants et mots de passe des administrateurs sont-ils correctement gérés ?
- Les fichiers importants sont-ils tenus à l’écart des répertoires publics ?
- Y a-t-il des vulnérabilités dans les applications Web ?
- Des mesures de lutte contre les logiciels malveillants sont-elles en place ?
- Un logiciel antivirus a-t-il été déployé ?
- Des mesures contre les attaques « credit master » ont-elles été prises ?
Mesures visant à empêcher l’utilisation des informations de carte
- EMV 3D Secure a-t-il été mis en œuvre ?
- Des restrictions sont-elles en place pour l’accès aux adresses IP suspectes ?
- L’authentification à deux facteurs ou à plusieurs facteurs a-t-elle été mise en œuvre pour vérifier l’identité du client ?
- Le nombre de tentatives de connexion a-t-il été limité ? Les comptes clients sont-ils verrouillés après un certain nombre de tentatives de connexion échouées ?
- Les modifications apportées aux informations des membres (p. ex., adresses e-mail, adresses personnelles, numéro de téléphone) sont-elles vérifiées ?
- Les transactions frauduleuses sont-elles identifiées sur la base d’évaluations des risques à l’aide d’informations de transactions antérieures (c’est-à-dire un système de détection de la fraude) ?
- Est-il possible d’identifier les appareils utilisant la technologie d’empreinte d’identification ?
Déterminer les priorités
Les mesures de sécurité ne doivent pas se limiter à une combinaison de plusieurs mesures. Elles doivent plutôt être déterminées en fonction de l'entreprise et de sa situation. Les entreprises peuvent analyser leur degré de risque pour déterminer quelles mesures individuelles doivent être mises en œuvre à partir de la liste ci-dessus. Cela peut les aider à adopter une approche à plusieurs niveaux pour suivre les mesures.
Examen régulier et formation du personnel
La fraude devient de plus en plus élaborée. À mesure que les entreprises mettent en place de nouvelles mesures de sécurité, les méthodes de lutte contre la fraude évoluent pour les contrer. C'est pourquoi des mesures techniques, des initiatives organisationnelles et la formation des employés sont nécessaires. En outre, l'évaluation initiale du risque de fraude devrait être soutenue par un examen continu.
Quelles sont les conséquences en cas de non-respect des Credit Card Security Guidelines ?
Le non-respect des directives peut avoir de graves répercussions sur les activités d’une entreprise. Voici les principaux risques de non-conformité :
Fuite de données et perte de confiance
Les fuites d’informations personnelles peuvent nuire à la fiabilité d’une entreprise. À cause d’elles, les entreprises peuvent perdre des clients et leur image de marque peut être dégradée à travers la couverture médiatique qui en est faîte.
Pertes financières et contestations de paiement
Les contestations de paiement et les paiements compensatoires dus à la fraude peuvent constituer un fardeau important, en particulier pour les petites et moyennes entreprises.
Sanctions administratives ou suspension d’activité
Si l’organisme administratif constate une violation des directives, une entreprise peut recevoir un ordre d’amélioration ou une suspension.
Pourquoi les entreprises devraient-elles avoir des mesures de sécurité continues ?
Les Credit Card Security Guidelines sont des directives pratiques pour se préparer à des risques de fraude en constante évolution. La Version 6.0 des directive prévoit des obligations de non-conservation, le respect de la norme PCI DSS, ainsi que la mise en œuvre de contre-mesures de vulnérabilité personnalisées pour chaque entreprise. Ces contre-mesures sont basées sur une approche sectorielle.
Les entreprises qui retardent ou évitent de mettre en œuvre ces mesures pourraient mettre en péril la confiance de leurs clients. Leur pérennité est également mise en danger. Il est recommandé d'utiliser une plateforme de paiement complète conforme à la norme PCI DSS, telle que Stripe Payments. De cette façon, votre entreprise pourra progressivement créer un environnement conforme à la dernière version des directives.
Le contenu de cet article est fourni à des fins informatives et pédagogiques uniquement. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de solliciter l'avis d'un avocat compétent ou d'un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation.