La popularité des paiements dématérialisés a entraîné une augmentation de la fraude par carte de crédit au Japon. Pour les entreprises exploitant des sites de commerce en ligne et utilisant des paiements en ligne, les mesures de sécurité sont une obligation, et pas seulement une option. Dans cet article, nous fournissons une explication des Directives de sécurité pour les cartes de crédit au Japon, y compris leur objectif, leur contexte et les étapes à suivre à des fins de conformité.
Sommaire
- Quelles sont les directives de sécurité des cartes de crédit?
- Pourquoi les Directives de sécurité des cartes de crédit sont-elles nécessaires?
- Quelles sont les différences entre les versions 5.0 et 6.0 des Directives sur la sécurité des cartes de crédit?
- Étapes à suivre pour respecter les directives de sécurité des cartes de crédit
- Quelles sont les conséquences en cas de non-respect des Directives de sécurité des cartes de crédit?
- Pourquoi les entreprises devraient-elles mettre en place des mesures continues en matière de sécurité?
Quelles sont les directives de sécurité des cartes de crédit?
Les Directives sur la sécurité des cartes de crédit sont un ensemble de politiques qui réglementent les mesures de sécurité pour l’utilisation des cartes bancaires. Toutes les entreprises japonaises doivent suivre ces directives. Elles sont établies sur un plan du ministère de l’Économie, du Commerce et du Secteur (METI) visant à réduire le risque de fuites d’informations et fraudes et à créer un environnement sécurisé pour les transactions. La Japan Consumer Credit Association (JCA) s’efforce également de sensibiliser les entreprises à la sécurité et de s’assurer qu’elles prennent des mesures approfondies dans l’ensemble du secteur.
La version 6.0, la dernière version des directives, exige des normes de sécurité plus strictes que les versions précédentes. Il est important pour les entreprises de se tenir au courant des derniers développements et de réagir en conséquence. Ces développements comprennent une gestion appropriée des informations de carte bancaire, une détection précoce et une réponse en cas d’utilisation frauduleuse ou non autorisée, une formation en matière de sécurité pour les employés et des mesures pour remédier aux vulnérabilités systémiques.
La conformité aux directives peut aider les entreprises à gagner la confiance de leurs clients et à rester durables. Toutes les entreprises doivent comprendre le détail des dernières directives et prendre les mesures appropriées pour les respecter.
Pourquoi les Directives de sécurité des cartes de crédit sont-elles nécessaires?
Selon une enquête de la JCA axée sur les entreprises émettrices de cartes internationales de crédit de marque au Japon, le montant des pertes dues aux fraudes par carte de crédit en 2024 devrait atteindre environ 55,5 milliards de yens. Il s’agit d’une augmentation significative par rapport à 2014, où la somme s’élevait à un peu plus de 11 milliards de yens. Les pertes causées par le vol de numéro représentaient près de 60 % du total en 2014. Ce pourcentage dépassait 90 % en 2024, ce qui souligne la vulnérabilité des transactions en ligne, telles que celles sur les sites de commerce en ligne.
Ces données indiquent pourquoi il est important pour les entreprises de respecter les dernières directives sur la sécurité des cartes de crédit. Ces directives peuvent aider les entreprises à protéger leurs clients, respecter la loi et maintenir la fiabilité de leurs marques. Dans le cas peu probable d’une fuite de données ou d’un accès non autorisé, les conséquences pourraient inclure la perte de clients, des contestations de paiement, des sanctions administratives ou le paiement de dommages-intérêts.
Quelles sont les différences entre les versions 5.0 et 6.0 des Directives sur la sécurité des cartes de crédit?
Les Directives sur la sécurité des carte de crédit ont été révisées à plusieurs reprises depuis leur publication initiale en 2020. Les mesures sont divisées en deux catégories : les transactions sans présentation (c’est-à-dire les transactions de commerce en ligne) et les transactions en personne. Il est important que les entreprises suivent les directives qui régissent leur type d’entreprise. Par exemple, la version 6.0 contient de nouvelles mesures pour les entreprises de commerce en ligne, il est donc important que les entreprises de ce type respectent ces nouvelles directives.
Les Directives sur la sécurité des cartes de crédit sont très détaillées. Comprendre les points clés peut aider une entreprise à démarrer et à répondre pour chaque mesure. Dans le tableau ci-dessous, nous comparons les versions 5.0 et 6.0 pour aider à indiquer les mesures qui ont été ajoutées à chacune des directives.
Mesures |
Version 5.0 |
Version 6.0 |
---|---|---|
Protection des informations de carte |
Commerce en ligne et entreprises en présentiel
|
Entreprises de commerce en ligne
|
Protection contre la fraude |
Entreprises de commerce en ligne
Entreprises en personne
|
Entreprises de commerce en ligne
|
Fréquence des fraudes/entreprises à haut risque |
Entreprises de commerce en ligne
|
Entreprises de commerce en ligne
|
Entreprises traitant des transactions de commande postale/commande téléphonique (MO/TO) |
Entreprises traitant des transactions MO/TO
|
Entreprises traitant des transactions MO/TO
|
Soutenir l'entreprise |
— |
Entreprises de commerce en ligne
|
Saisissez votre numéro d’identification personnel (NIP) lors du paiement par carte |
— |
Entreprises en personne
|
Mesures visant à prévenir le vol des informations de carte de crédit
Dans la version 5.0, la JCA a mis en place des mesures de protection des informations de carte, telles que la non conservation et la conformité PCI DSS. Ces mesures se sont avérées assez efficaces pour prévenir les incidents où de grands volumes de données de carte sont volés en peu de temps.
Cependant, des incidents sont survenus lorsque des informations de carte ont été divulguées à la suite d’un accès externe non autorisé, de virus ou d’une altération du système. Ces incidents étaient dus à des contre-mesures de vulnérabilité insuffisantes, telles que des mesures antivirus sur les systèmes et les sites Web d’entreprise de commerce en ligne, la gestion des privilèges d’administrateur et la gestion des appareils. Par conséquent, la version 6.0 oblige les entreprises de commerce en ligne à appliquer les contre-mesures de vulnérabilité du système et du site Web suivantes pour éviter les fuites d’informations de carte :
- Restrictions à l’accès aux écrans d’administration du système et à la gestion des identifiants/mots de passe pour les administrateurs
- Mesures visant à corriger les erreurs de configuration et les insuffisances associées à l’exposition au répertoire de données
- Contre-mesures de vulnérabilité pour les applications Web
- Introduction et utilisation d’un logiciel antivirus comme mesure contre les logiciels malveillants
- Contre-mesures contre les contrôles de validité malveillants et les dossiers de crédit principaux
Lorsqu’il externalise la création, la configuration et l’exploitation de systèmes ou de sites Web de commerce en ligne, le sous-traitant doit suivre les contre-mesures de vulnérabilité que les entreprises de commerce en ligne sont tenues de mettre en œuvre.
Mesures de protection contre la fraude pour empêcher l’utilisation des informations de carte
En 2023, l’utilisation frauduleuse des cartes au Japon a atteint plus de 54 milliards de yens. Sur ce montant, 93 % ont été effectués par usurpation d’identité dans des entreprises de commerce en ligne. Des mesures ont donc été ajoutées dans le but de prévenir la fraude avant et pendant les paiements par carte.
Voici comment la fraude peut se produire avant, pendant et après l’utilisation d’une carte :
- Avant un paiement par carte : les fraudeurs peuvent enregistrer un compte frauduleux ou utiliser des identifiants frauduleux en usurpant l’identité du client.
- Lors d'un paiement par carte : il y a eu des cas d’utilisation non autorisée des numéros de carte et des informations de carte générés par le dossier de crédit principal. De plus, des escroqueries par hameçonnage ont été utilisées pour voler les informations de carte, les comptes, les mots de passe et les informations d’attribut.
- Après un paiement par carte : les marchandises peuvent être livrées ou revendues frauduleusement. Il est donc nécessaire de vérifier les détails de la commande et l’adresse de livraison.
En raison des risques de fraude, il est nécessaire de mettre en œuvre des mesures qui réglementent le flux des transactions par carte. Par exemple, empêcher les connexions non autorisées avant les paiements par carte et introduire EMV 3D Secure pendant le processus de paiement par carte.
Mesures pour empêcher toute utilisation non autorisée
Dans la version 6.0, les mesures suivantes sont recommandées pour éviter les connexions non autorisées :
- Restrictions d’accès à partir d’adresses IP suspectes
- Identification par authentification à deux facteurs ou authentification multifacteur
- Confirmation des données personnelles lors de l’inscription des membres
- Restrictions plus strictes sur le nombre de tentatives de connexion
- Courriels et notifications par service de messages courts (message texte) lorsque les membres se connectent ou modifient leurs attributs
- Analyse des attributs et des comportements
- Prise d’empreinte des appareils
Adoption d’EMV 3D Secure
La version 6.0 comprend des mesures liées à l’introduction d’EMV 3D Secure. Les entreprises de commerce en ligne doivent procéder comme suit :
- Intégrer EMV 3D Secure et effectuer l’authentification pour s’assurer de pouvoir vérifier correctement l’identité du titulaire de la carte.
- Améliorer la précision de l’authentification établie sur les risques (RBA)
Fréquence des fraudes et des entreprises à haut risque
Les entreprises sont considérées comme ayant des cas fréquent de fraude lorsqu’elles ont subi plusieurs paiements frauduleux de manière continue. Aux fins de ces directives, les entreprises sont considérées comme ayant des cas fréquents de fraude lorsque leurs paiements frauduleux dépassent 500 000 ¥ sur trois mois consécutifs.
Les entreprises à haut risque sont toutes les entreprises qui manipulent principalement des produits numériques, tels que des jeux en ligne, des appareils électroménagers, de la monnaie électronique, des billets et des services de réservation d’hébergement. Les entreprises à haut risque et celles présentant un taux élevé de fraude doivent adopter des mesures supplémentaires.
Jusqu’à la version 5.0, les entreprises ayant des antécédents de fraude devaient mettre en œuvre au moins deux des quatre mesures décrites dans les Directives sur la sécurité des cartes de crédit. Les entreprises à haut risque devaient en adopter au moins une. Ces mesures comprennent l’authentification du titulaire de la carte, la vérification de la carte, l’analyse des attributs et des habitudes et la vérification de l’adresse de livraison.
Cependant, à partir de la version 6.0, les entreprises sont désormais tenues de mettre en œuvre des mesures supplémentaires et appropriées ou des mesures renforcées établies sur une approche à plusieurs niveaux. Cette approche doit être personnalisée en fonction des dommages réels causés par la fraude et des méthodes spécifiques utilisées. Cette modification des lignes directrices est due aux divers produits et services que les entreprises peuvent offrir et aux multiples méthodes que les fraudeurs peuvent utiliser pour créer ou reprendre des comptes.
Entreprises traitant des transactions de commande par courrier/téléphone
« MO/TO » est un terme souvent utilisé au Japon pour désigner les ventes par commande postale (MO) et par téléphone (TO). En d’autres termes, les entreprises MO/TO processus les paiements par carte par téléphone ou par courrier.
De nombreuses entreprises qui traitent des transactions de vente par correspondance/téléphone exercent également des activités de commerce en ligne. Par conséquent, les quatre mesures pour les entreprises de vente par correspondance/téléphone qui étaient incluses dans les lignes directrices jusqu’à la version 5.0 ont été révisées. Les mesures suivantes continuent d’être requises pour les entreprises de vente par correspondance/téléphone dans la version 6.0 :
- Mise en place d’un système de traitement des autorisations
- Obligation de diligence en tant que gestionnaire qualifié, comme stipulé dans l’accord d’entreprise
- Intégration de mesures non présentielles contre les utilisations frauduleuses, en fonction du risque et des dommages encourus
Soutien à l’entreprise
Les sociétés émettrices de cartes et les prestataires de services de paiement sont tenus de fournir des informations et soutenir les mesures de lutte contre la vulnérabilité que les entreprises de commerce en ligne devraient mettre en œuvre.
En outre, les fournisseurs de systèmes et les autres entreprises doivent suivre des contre-mesures de vulnérabilité lorsqu’ils gèrent la création et la configuration de sites de commerce en ligne. Lors de l’exploitation et de la maintenance des sites, ils doivent également fournir des conseils et soutenir les entreprises de commerce en ligne.
Saisie du NIP pour les paiements par carte
Depuis avril 2025, les entreprises qui effectuent des transactions en personne ne sont plus tenues de vérifier l’identité des clients avec des signatures lors des paiements par carte. Elles sont plutôt tenues de demander aux clients de saisir leur NIP.
Étapes à respecter pour respecter les directives de sécurité des cartes de crédit
Différentes mesures sont nécessaires pour éviter que les informations de carte soient volées et utilisées. Ci-dessous, nous fournissons la séquence des événements ayant conduit au vol et à l’utilisation frauduleuse des informations de carte. Ensuite, nous décrivons les mesures qui doivent être prises à chaque étape.
Pour respecter la version 6.0, les entreprises sont tenues d’appliquer des mesures multidimensionnelles personnalisées en fonction de leur type de secteur et de leurs habitudes de transaction. Elles doivent également établir une structure organisationnelle interne appropriée.
Vous trouverez ci-dessous quelques exemples précis de la manière dont les entreprises peuvent rester en conformité avec les directives :
Évaluer l’état actuel et les lacunes en matière de conformité
La première étape consiste pour l’entreprise à évaluer son niveau de sécurité et comment il se compare aux directives de la version 6.0. Cette évaluation peut aider les entreprises à identifier les écarts entre leurs pratiques réelles et les réglementations. Voici quelques questions que les entreprises peuvent utiliser pour confirmer l’état actuel des informations de leur carte et les mesures de protection contre la fraude :
Mesures de prévention du vol des informations de carte
- Existe-t-il des restrictions à l’accès aux écrans de gestion?
- Les ID d’administrateur et les mots de passe sont-ils correctement gérés?
- Les fichiers importants sont-ils conservés hors des répertoires publics?
- Y a-t-il des vulnérabilités dans les applications Web?
- Des mesures antimalware sont-elles en place?
- Un logiciel antivirus a-t-il été déployé?
- Existe-t-il des mesures de protection du crédit principal en place?
Mesures visant à empêcher l’utilisation des informations de la carte
- EMV 3D Secure a-t-il été mis en œuvre?
- Des restrictions d’accès aux adresses IP suspectes sont-elles en place?
- Une authentification à deux facteurs ou multifacteur a-t-elle été mise en place pour vérifier l’identité client?
- Une limite au nombre de tentatives de connexion a-t-elle été mise en place? Les comptes clients sont-ils bloqués après un certain nombre de tentatives de connexion infructueuses?
- Les modifications apportées aux informations des membres (p. ex. adresses courriel, adresses personnelles, numéro de téléphone) sont-elles vérifiées?
- Les transactions frauduleuses sont-elles établies sur la base d’évaluations des risques effectuées à l’aide d’informations de transactions antérieures (c’est-à-dire un système de détection de la fraude)?
- Est-il possible d’identifier les appareils à l’aide de la technologie d’empreinte digitale?
Établir les priorités
Les mesures de sécurité doivent être plus qu’une combinaison de plusieurs mesures. Au lieu de cela, elles doivent être déterminées en fonction de l’entreprise et de sa situation. Les entreprises peuvent analyser leur degré de risque pour déterminer quelles mesures particulières doivent être mises en œuvre à partir de la liste ci-dessus. Cela peut aider les entreprises à adopter une approche à plusieurs niveaux pour effectuer le suivi des mesures.
Vérifier régulièrement et former le personnel
La fraude devient de plus en plus sophistiquée. À mesure que les entreprises introduisent de nouvelles mesures de sécurité, les méthodes de lutte contre la fraude évoluent pour les contrer. C’est pourquoi des mesures techniques, des initiatives organisationnelles et la formation des employés sont nécessaires. En outre, un examen initial du risque de fraude devrait être soutenu par une surveillance continue.
Quelles sont les conséquences en cas de non-respect des Directives de sécurité des cartes de crédit?
Le non-respect des directives peut avoir de graves répercussions sur les activités d’une entreprise. Voici les principaux risques de non-conformité :
Fuite de données et perte de confiance
Les fuites de données personnelles peuvent saper la fiabilité d’une entreprise, entraînant la perte de clients et une atteinte à la marque par la couverture médiatique.
Pertes financières et contestations de paiement
Les contestations de paiement et paiements compensatoires dus à la fraude peuvent représenter un fardeau important, en particulier pour les petites et moyennes entreprises.
Sanctions administratives ou suspension de l’entreprise
Si l’organisme administratif constate une violation des directives, une entreprise pourrait faire l’objet d’une injonction d’amélioration ou d’une suspension.
Pourquoi les entreprises devraient-elles mettre en place des mesures continues en matière de sécurité?
Les Directives sur la sécurité des cartes de crédit sont des directives pratiques pour se préparer à des risques de fraude en constante évolution. La version 6.0 des directives exige la conformité en matière de non-rétention et à la norme PCI DSS, ainsi que la mise en œuvre de contre-mesures de vulnérabilité personnalisées pour chaque entreprise. Ces contre-mesures sont établies sur une approche de secteur d’entreprise.
Les entreprises qui retardent ou évitent de mettre en œuvre ces mesures pourraient mettre en péril la confiance de leurs clients. Elles sont également confrontées à une menace pour l’avenir de l’entreprise. Il est recommandé d’utiliser une plateforme de paiement complète conforme à la norme PCI DSS, telle que Stripe Payments. De cette façon, votre entreprise peut progressivement créer un environnement conforme à la dernière version des directives.
Le contenu de cet article est fourni uniquement à des fins informatives et pédagogiques. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de consulter un avocat compétent ou un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation particulière.