La loi sur les ventes à versements échelonnés est l’une des principales lois japonaises sur la protection des consommateurs qui s’applique à toutes les entreprises en ligne au Japon qui acceptent les paiements par carte de crédit. En 2018, le gouvernement japonais a révisé cette loi afin de garantir que les entreprises en ligne gèrent de manière sécurisée les données des consommateurs et de réduire la fraude en ligne.
Ce guide présente les principales exigences de la nouvelle réglementation et explique comment les entreprises Stripe au Japon peuvent rester conformes.
Contexte
Un rapport de mars 2018 (japonais) commandé par l’Association japonaise du crédit à la consommation (JCA) identifie 2017 comme l’année où les pertes liées à la fraude à l’échelle du secteur ont été les plus élevées à ce jour. Plus de 23,6 milliards de yens (plus de 200M USD) de pertes financières ont été attribuées à la fraude en ligne-une augmentation de 65 % par rapport à l’année précédente.
En réponse, le Conseil de sécurité des transactions de crédit de la JCA a annoncé son Plan de mise en œuvre pour 2018 (en japonais), qui vise à améliorer les politiques de sécurité et de prévention de la fraude pour les entreprises qui acceptent les paiements par carte en ligne. Avec l’entrée en vigueur de la loi révisée sur les ventes à versements échelonnés (改正割賦販売法), les entreprises en ligne sont désormais tenues de traiter les données des cartes de crédit de manière appropriée et de mettre en œuvre des mesures de prévention de la fraude.
Traiter les données des cartes de crédit de manière appropriée
PCI-DSS (Payment Card Industry Data Security Standard) est la norme mondiale de sécurité de l’information pour les entreprises qui acceptent les paiements par carte. Le plan de mise en œuvre 2018 de la JCA fait référence à ce Standard mondial dans son approche. Autrement dit, le fait d’être conforme à la norme PCI est le principal moyen pour les entreprises de s’assurer qu’elles répondent aux normes de la loi révisée sur les versements échelonnés.
Les transactions en ligne présentent un risque accru pour la sécurité des informations sur les titulaires de cartes, c’est pourquoi le plan de mise en œuvre de la JCA encourage vivement les entreprises à éviter de manipuler des informations brutes sur les cartes. Plus précisément, les entreprises ne doivent pas transmettre, sauvegarder ou traiter les données des titulaires de cartes sur les ordinateurs, les serveurs ou d’autres dispositifs de leur réseau.
Pour répondre à cette exigence, les entreprises peuvent utiliser des jetons pour les données des cartes. Avec l’utilisation de jetons, votre entreprise peut collecter les informations sensibles des cartes de vos clients de manière sécurisée. Les données sensibles n’atteignent pas vos serveurs, et à la place, un jeton représentant ces informations est renvoyé à votre serveur pour être utilisé. L’utilisation d’un prestataire de services de paiement conforme aux normes PCI, tel que Stripe, signifie également que votre entreprise ne traite pas les informations de paiement directement avec les réseaux de cartes.
Ce que cela signifie pour les utilisateurs de Stripe
Les utilisateurs de Stripe doivent utiliser Stripe Elements, Stripe Checkout, ou l’un des SDK mobiles pour accepter des paiements. En utilisant ces produits et en acceptant de bonnes interentreprises en matière de sécurité des données, les entreprises n’ont pas besoin de traiter les données brutes des cartes pour accepter les paiements en ligne.
Lorsque votre entreprise a besoin de traiter des données brutes
Les nouvelles normes PCI exigent que les entreprises qui traitent des données brutes de cartes soient certifiées PCI-DSS. Si votre entreprise a besoin de traiter des données brutes de cartes, veuillez noter que le processus de certification peut être long et coûteux. Le service d’assistance est disponible via un flux guidé dans votre Dashboard Stripe, et vous pouvez trouver plus de détails sur notre guide de conformité PCI-DSS.
|
Exigence JCA
|
Approche possible
|
Coût
|
|---|---|---|
|
Pas de transmission, de stockage ni de traitement des informations de carte OU certification PCI-DSS |
Stripe Elements, Stripe Checkout ou trousses mobiles SDK pour tous les paiements | Gratuit |
| Obtenez la certification PCI-DSS et signalez l’état de votre certification par l’intermédiaire du Dashboard Stripe. (Consultez notre guide sur la conformité PCI.) | Varie en fonction de la taille et de la complexité de l’entreprise. (Consultez le site Web du Conseil des normes de sécurité PCI.) |
Mise en œuvre des mesures de prévention de la fraude
Le plan de mise en œuvre de la JCA recommande les méthodes suivantes de prévention de la fraude pour les entreprises en ligne :
_1. Authentification personnelle : _ Le titulaire de la carte s’identifie lors d’une transaction en saisissant un mot de passe qui a été enregistré auprès de l’émetteur de sa carte de crédit (par exemple, 3D Secure).
_2. Codes de sécurité : _ Le titulaire de la carte saisit un numéro à trois ou quatre chiffres figurant au dos de la carte lors d’une transaction en ligne (par exemple, vérifications CVC).
_3. Analyse des attributs et des modèles de comportement : _ Les transactions potentiellement frauduleuses peuvent être identifiées en faisant correspondre les attributs de la transaction et les modèles de comportement avec ceux collectés lors de transactions frauduleuses antérieures. Des données supplémentaires, telles que l’adresse IP et l’activité du client, peuvent améliorer la précision des résultats.
_4. Informations sur l’adresse de livraison : _ Les paiements frauduleux peuvent parfois être identifiés en vérifiant les adresses de livraison par rapport à une liste d’adresses connues pour avoir été utilisées dans des transactions frauduleuses antérieures. Ces bases de données sont fournies par des tiers ou gérées directement par les entreprises elles-mêmes.
Ce que cela signifie pour les utilisateurs de Stripe
Stripe offre aux entreprises des moyens simples et rapides de mettre en œuvre ces quatre méthodes, comme indiqué ci-dessous :
|
Recommandation JCA
|
Recommandation Stripe
|
|---|---|
| Authentification personnelle | 3D Secure |
| Codes de sécurité | Vérifications du CVC via Radar |
| Analyse des attributs et des comportements | Stripe Radar |
| Adresse de livraison | Listes Stripe Radar |
Conclusion
La plateforme Stripe est conçue pour aider nos utilisateurs à rester à jour avec les nouvelles fonctionnalités ou l’évolution des réglementations. Nous espérons que ce guide vous a aidé à comprendre les nouvelles exigences introduites par la loi révisée sur les versements échelonnés (et le plan de mise en œuvre de la JCA) et comment les utilisateurs de Stripe peuvent rester conformes. Si vous avez des questions, n’hésitez pas, contactez-nous.
Références
- Loi sur les versements échelonnés (ministère de l’Économie, du Commerce et de l’Industrie)
- Transactions de crédit (ministère de l’Économie, du Commerce et de l’Industrie)
- Credit Card Security Guidelines (Association japonaise du crédit à la consommation)
- Credit-Related Statistics (Association japonaise du crédit à la consommation)
- Site du Conseil des normes de sécurité PCI