Instructions sur la sécurité des cartes de crédit au Japon : Ce que les entreprises doivent savoir

Payments
Payments

Acceptez des paiements en ligne, en personne et dans le monde entier, grâce à une solution de paiement adaptée à toutes les entreprises, des jeunes pousses aux multinationales.

En savoir plus 
  1. Introduction
  2. Quelles sont les directives de sécurité des cartes de crédit?
  3. Pourquoi les Directives de sécurité des cartes de crédit sont-elles nécessaires?
  4. Quelles sont les différences entre les versions 5.0 et 6.0 des Directives sur la sécurité des cartes de crédit?
    1. Mesures visant à prévenir le vol des informations de carte de crédit
    2. Mesures de protection contre la fraude pour empêcher l’utilisation des informations de carte
    3. Mesures pour empêcher toute utilisation non autorisée
    4. Adoption d’EMV 3D Secure
    5. Fréquence des fraudes et des entreprises à haut risque
    6. Entreprises traitant des transactions de commande par courrier/téléphone
    7. Soutien à l’entreprise
    8. Saisie du NIP pour les paiements par carte
  5. Étapes à respecter pour respecter les directives de sécurité des cartes de crédit
    1. Évaluer l’état actuel et les lacunes en matière de conformité
    2. Établir les priorités
    3. Vérifier régulièrement et former le personnel
  6. Quelles sont les conséquences en cas de non-respect des Directives de sécurité des cartes de crédit?
    1. Fuite de données et perte de confiance
    2. Pertes financières et contestations de paiement
    3. Sanctions administratives ou suspension de l’entreprise
  7. Pourquoi les entreprises devraient-elles mettre en place des mesures continues en matière de sécurité?

La popularité des paiements dématérialisés a entraîné une augmentation de la fraude par carte de crédit au Japon. Pour les entreprises exploitant des sites de commerce en ligne et utilisant des paiements en ligne, les mesures de sécurité sont une obligation, et pas seulement une option. Dans cet article, nous fournissons une explication des Directives de sécurité pour les cartes de crédit au Japon, y compris leur objectif, leur contexte et les étapes à suivre à des fins de conformité.

Sommaire

  • Quelles sont les directives de sécurité des cartes de crédit?
  • Pourquoi les Directives de sécurité des cartes de crédit sont-elles nécessaires?
  • Quelles sont les différences entre les versions 5.0 et 6.0 des Directives sur la sécurité des cartes de crédit?
  • Étapes à suivre pour respecter les directives de sécurité des cartes de crédit
  • Quelles sont les conséquences en cas de non-respect des Directives de sécurité des cartes de crédit?
  • Pourquoi les entreprises devraient-elles mettre en place des mesures continues en matière de sécurité?

Quelles sont les directives de sécurité des cartes de crédit?

Les Directives sur la sécurité des cartes de crédit sont un ensemble de politiques qui réglementent les mesures de sécurité pour l’utilisation des cartes bancaires. Toutes les entreprises japonaises doivent suivre ces directives. Elles sont établies sur un plan du ministère de l’Économie, du Commerce et du Secteur (METI) visant à réduire le risque de fuites d’informations et fraudes et à créer un environnement sécurisé pour les transactions. La Japan Consumer Credit Association (JCA) s’efforce également de sensibiliser les entreprises à la sécurité et de s’assurer qu’elles prennent des mesures approfondies dans l’ensemble du secteur.

La version 6.0, la dernière version des directives, exige des normes de sécurité plus strictes que les versions précédentes. Il est important pour les entreprises de se tenir au courant des derniers développements et de réagir en conséquence. Ces développements comprennent une gestion appropriée des informations de carte bancaire, une détection précoce et une réponse en cas d’utilisation frauduleuse ou non autorisée, une formation en matière de sécurité pour les employés et des mesures pour remédier aux vulnérabilités systémiques.

La conformité aux directives peut aider les entreprises à gagner la confiance de leurs clients et à rester durables. Toutes les entreprises doivent comprendre le détail des dernières directives et prendre les mesures appropriées pour les respecter.

Pourquoi les Directives de sécurité des cartes de crédit sont-elles nécessaires?

Selon une enquête de la JCA axée sur les entreprises émettrices de cartes internationales de crédit de marque au Japon, le montant des pertes dues aux fraudes par carte de crédit en 2024 devrait atteindre environ 55,5 milliards de yens. Il s’agit d’une augmentation significative par rapport à 2014, où la somme s’élevait à un peu plus de 11 milliards de yens. Les pertes causées par le vol de numéro représentaient près de 60 % du total en 2014. Ce pourcentage dépassait 90 % en 2024, ce qui souligne la vulnérabilité des transactions en ligne, telles que celles sur les sites de commerce en ligne.

Ces données indiquent pourquoi il est important pour les entreprises de respecter les dernières directives sur la sécurité des cartes de crédit. Ces directives peuvent aider les entreprises à protéger leurs clients, respecter la loi et maintenir la fiabilité de leurs marques. Dans le cas peu probable d’une fuite de données ou d’un accès non autorisé, les conséquences pourraient inclure la perte de clients, des contestations de paiement, des sanctions administratives ou le paiement de dommages-intérêts.

Quelles sont les différences entre les versions 5.0 et 6.0 des Directives sur la sécurité des cartes de crédit?

Les Directives sur la sécurité des carte de crédit ont été révisées à plusieurs reprises depuis leur publication initiale en 2020. Les mesures sont divisées en deux catégories : les transactions sans présentation (c’est-à-dire les transactions de commerce en ligne) et les transactions en personne. Il est important que les entreprises suivent les directives qui régissent leur type d’entreprise. Par exemple, la version 6.0 contient de nouvelles mesures pour les entreprises de commerce en ligne, il est donc important que les entreprises de ce type respectent ces nouvelles directives.

Les Directives sur la sécurité des cartes de crédit sont très détaillées. Comprendre les points clés peut aider une entreprise à démarrer et à répondre pour chaque mesure. Dans le tableau ci-dessous, nous comparons les versions 5.0 et 6.0 pour aider à indiquer les mesures qui ont été ajoutées à chacune des directives.

Mesures

Version 5.0

Version 6.0

Protection des informations de carte

Commerce en ligne et entreprises en présentiel

Entreprises de commerce en ligne

  • En plus des éléments de la version 5.0, les entreprises doivent mettre en œuvre des contre-mesures de vulnérabilité pour leurs systèmes et leurs sites Web.

Protection contre la fraude

Entreprises de commerce en ligne

  • Mettre en place un système de traitement des autorisations.
  • Empêcher toute utilisation frauduleuse ou non autorisée avec l’aide d’un responsable qualifié, comme stipulé dans le contrat d’entreprise.

Entreprises en personne

  • Tous les terminaux de paiement doivent être conformes à la norme EMV pour permettre les transactions par carte à circuit intégré (CI).

Entreprises de commerce en ligne

Fréquence des fraudes/entreprises à haut risque

Entreprises de commerce en ligne

  • Les entreprises qui manipulent des produits à haut risque doivent mettre en œuvre au moins une des quatre mesures décrites dans les Directives sur la sécurité des cartes de crédit. Les entreprises ayant des antécédents de fraude doivent appliquer au moins deux mesures. (Cette exigence a pris fin dans la version 5.0.)

Entreprises de commerce en ligne

  • Les entreprises ayant des antécédents de fraude doivent prendre les mesures appropriées pour éviter que de telles activités frauduleuses ne se reproduisent à l’avenir en mettant en œuvre des mesures supplémentaires découlant des mesures de prévention de la fraude décrites dans les lignes directrices, en fonction des circonstances de l’activité frauduleuse.

Entreprises traitant des transactions de commande postale/commande téléphonique (MO/TO)

Entreprises traitant des transactions MO/TO

  • Mettre en place un système de traitement des autorisations.
  • Fournir une obligation de diligence en tant que gestionnaire qualifié, comme stipulé dans l’accord d’entreprise.
  • Intégrer des mesures non présentielles contre les utilisations frauduleuses, en fonction du risque et des dommages encourus.
  • Les entreprises à haut risque doivent mettre en œuvre au moins une des quatre mesures, tandis que les entreprises ayant des antécédents de fraude doivent appliquer au moins deux mesures. (Cette exigence a pris fin dans la version 5.0.)

Entreprises traitant des transactions MO/TO

  • Mettre en place un système de traitement des autorisations.
  • Fournir une obligation de diligence en tant que gestionnaire qualifié, comme stipulé dans l’accord d’entreprise.
  • Intégrer des mesures non présentielles contre les utilisations frauduleuses, en fonction du risque et des dommages encourus.

Soutenir l'entreprise

Entreprises de commerce en ligne

  • L’entreprise émettrice de la carte et le fournisseur de solutions de paiement (PSP) se coordonneront et collaboreront pour fournir des conseils et des informations aux entreprises de commerce en ligne.
  • Les fournisseurs de systèmes de commerce en ligne et les autres entreprises liées doivent comprendre les contre-mesures de vulnérabilité que les entreprises de commerce en ligne doivent mettre en œuvre et fournir des services de configuration et de solution de systèmes de commerce en ligne, ainsi que de la maintenance, de la gestion, des conseils et de l’information.

Saisissez votre numéro d’identification personnel (NIP) lors du paiement par carte

Entreprises en personne

Mesures visant à prévenir le vol des informations de carte de crédit

Dans la version 5.0, la JCA a mis en place des mesures de protection des informations de carte, telles que la non conservation et la conformité PCI DSS. Ces mesures se sont avérées assez efficaces pour prévenir les incidents où de grands volumes de données de carte sont volés en peu de temps.

Cependant, des incidents sont survenus lorsque des informations de carte ont été divulguées à la suite d’un accès externe non autorisé, de virus ou d’une altération du système. Ces incidents étaient dus à des contre-mesures de vulnérabilité insuffisantes, telles que des mesures antivirus sur les systèmes et les sites Web d’entreprise de commerce en ligne, la gestion des privilèges d’administrateur et la gestion des appareils. Par conséquent, la version 6.0 oblige les entreprises de commerce en ligne à appliquer les contre-mesures de vulnérabilité du système et du site Web suivantes pour éviter les fuites d’informations de carte :

  • Restrictions à l’accès aux écrans d’administration du système et à la gestion des identifiants/mots de passe pour les administrateurs
  • Mesures visant à corriger les erreurs de configuration et les insuffisances associées à l’exposition au répertoire de données
  • Contre-mesures de vulnérabilité pour les applications Web
  • Introduction et utilisation d’un logiciel antivirus comme mesure contre les logiciels malveillants
  • Contre-mesures contre les contrôles de validité malveillants et les dossiers de crédit principaux

Lorsqu’il externalise la création, la configuration et l’exploitation de systèmes ou de sites Web de commerce en ligne, le sous-traitant doit suivre les contre-mesures de vulnérabilité que les entreprises de commerce en ligne sont tenues de mettre en œuvre.

Mesures de protection contre la fraude pour empêcher l’utilisation des informations de carte

En 2023, l’utilisation frauduleuse des cartes au Japon a atteint plus de 54 milliards de yens. Sur ce montant, 93 % ont été effectués par usurpation d’identité dans des entreprises de commerce en ligne. Des mesures ont donc été ajoutées dans le but de prévenir la fraude avant et pendant les paiements par carte.

Voici comment la fraude peut se produire avant, pendant et après l’utilisation d’une carte :

  • Avant un paiement par carte : les fraudeurs peuvent enregistrer un compte frauduleux ou utiliser des identifiants frauduleux en usurpant l’identité du client.
  • Lors d'un paiement par carte : il y a eu des cas d’utilisation non autorisée des numéros de carte et des informations de carte générés par le dossier de crédit principal. De plus, des escroqueries par hameçonnage ont été utilisées pour voler les informations de carte, les comptes, les mots de passe et les informations d’attribut.
  • Après un paiement par carte : les marchandises peuvent être livrées ou revendues frauduleusement. Il est donc nécessaire de vérifier les détails de la commande et l’adresse de livraison.

En raison des risques de fraude, il est nécessaire de mettre en œuvre des mesures qui réglementent le flux des transactions par carte. Par exemple, empêcher les connexions non autorisées avant les paiements par carte et introduire EMV 3D Secure pendant le processus de paiement par carte.

Mesures pour empêcher toute utilisation non autorisée

Dans la version 6.0, les mesures suivantes sont recommandées pour éviter les connexions non autorisées :

  • Restrictions d’accès à partir d’adresses IP suspectes
  • Identification par authentification à deux facteurs ou authentification multifacteur
  • Confirmation des données personnelles lors de l’inscription des membres
  • Restrictions plus strictes sur le nombre de tentatives de connexion
  • Courriels et notifications par service de messages courts (message texte) lorsque les membres se connectent ou modifient leurs attributs
  • Analyse des attributs et des comportements
  • Prise d’empreinte des appareils

Adoption d’EMV 3D Secure

La version 6.0 comprend des mesures liées à l’introduction d’EMV 3D Secure. Les entreprises de commerce en ligne doivent procéder comme suit :

  • Intégrer EMV 3D Secure et effectuer l’authentification pour s’assurer de pouvoir vérifier correctement l’identité du titulaire de la carte.
  • Améliorer la précision de l’authentification établie sur les risques (RBA)

Fréquence des fraudes et des entreprises à haut risque

Les entreprises sont considérées comme ayant des cas fréquent de fraude lorsqu’elles ont subi plusieurs paiements frauduleux de manière continue. Aux fins de ces directives, les entreprises sont considérées comme ayant des cas fréquents de fraude lorsque leurs paiements frauduleux dépassent 500 000 ¥ sur trois mois consécutifs.

Les entreprises à haut risque sont toutes les entreprises qui manipulent principalement des produits numériques, tels que des jeux en ligne, des appareils électroménagers, de la monnaie électronique, des billets et des services de réservation d’hébergement. Les entreprises à haut risque et celles présentant un taux élevé de fraude doivent adopter des mesures supplémentaires.

Jusqu’à la version 5.0, les entreprises ayant des antécédents de fraude devaient mettre en œuvre au moins deux des quatre mesures décrites dans les Directives sur la sécurité des cartes de crédit. Les entreprises à haut risque devaient en adopter au moins une. Ces mesures comprennent l’authentification du titulaire de la carte, la vérification de la carte, l’analyse des attributs et des habitudes et la vérification de l’adresse de livraison.

Cependant, à partir de la version 6.0, les entreprises sont désormais tenues de mettre en œuvre des mesures supplémentaires et appropriées ou des mesures renforcées établies sur une approche à plusieurs niveaux. Cette approche doit être personnalisée en fonction des dommages réels causés par la fraude et des méthodes spécifiques utilisées. Cette modification des lignes directrices est due aux divers produits et services que les entreprises peuvent offrir et aux multiples méthodes que les fraudeurs peuvent utiliser pour créer ou reprendre des comptes.

Entreprises traitant des transactions de commande par courrier/téléphone

« MO/TO » est un terme souvent utilisé au Japon pour désigner les ventes par commande postale (MO) et par téléphone (TO). En d’autres termes, les entreprises MO/TO processus les paiements par carte par téléphone ou par courrier.

De nombreuses entreprises qui traitent des transactions de vente par correspondance/téléphone exercent également des activités de commerce en ligne. Par conséquent, les quatre mesures pour les entreprises de vente par correspondance/téléphone qui étaient incluses dans les lignes directrices jusqu’à la version 5.0 ont été révisées. Les mesures suivantes continuent d’être requises pour les entreprises de vente par correspondance/téléphone dans la version 6.0 :

  • Mise en place d’un système de traitement des autorisations
  • Obligation de diligence en tant que gestionnaire qualifié, comme stipulé dans l’accord d’entreprise
  • Intégration de mesures non présentielles contre les utilisations frauduleuses, en fonction du risque et des dommages encourus

Soutien à l’entreprise

Les sociétés émettrices de cartes et les prestataires de services de paiement sont tenus de fournir des informations et soutenir les mesures de lutte contre la vulnérabilité que les entreprises de commerce en ligne devraient mettre en œuvre.

En outre, les fournisseurs de systèmes et les autres entreprises doivent suivre des contre-mesures de vulnérabilité lorsqu’ils gèrent la création et la configuration de sites de commerce en ligne. Lors de l’exploitation et de la maintenance des sites, ils doivent également fournir des conseils et soutenir les entreprises de commerce en ligne.

Saisie du NIP pour les paiements par carte

Depuis avril 2025, les entreprises qui effectuent des transactions en personne ne sont plus tenues de vérifier l’identité des clients avec des signatures lors des paiements par carte. Elles sont plutôt tenues de demander aux clients de saisir leur NIP.

Étapes à respecter pour respecter les directives de sécurité des cartes de crédit

Différentes mesures sont nécessaires pour éviter que les informations de carte soient volées et utilisées. Ci-dessous, nous fournissons la séquence des événements ayant conduit au vol et à l’utilisation frauduleuse des informations de carte. Ensuite, nous décrivons les mesures qui doivent être prises à chaque étape.

Pour respecter la version 6.0, les entreprises sont tenues d’appliquer des mesures multidimensionnelles personnalisées en fonction de leur type de secteur et de leurs habitudes de transaction. Elles doivent également établir une structure organisationnelle interne appropriée.

Vous trouverez ci-dessous quelques exemples précis de la manière dont les entreprises peuvent rester en conformité avec les directives :

Évaluer l’état actuel et les lacunes en matière de conformité

La première étape consiste pour l’entreprise à évaluer son niveau de sécurité et comment il se compare aux directives de la version 6.0. Cette évaluation peut aider les entreprises à identifier les écarts entre leurs pratiques réelles et les réglementations. Voici quelques questions que les entreprises peuvent utiliser pour confirmer l’état actuel des informations de leur carte et les mesures de protection contre la fraude :

Mesures de prévention du vol des informations de carte

  • Existe-t-il des restrictions à l’accès aux écrans de gestion?
  • Les ID d’administrateur et les mots de passe sont-ils correctement gérés?
  • Les fichiers importants sont-ils conservés hors des répertoires publics?
  • Y a-t-il des vulnérabilités dans les applications Web?
  • Des mesures antimalware sont-elles en place?
  • Un logiciel antivirus a-t-il été déployé?
  • Existe-t-il des mesures de protection du crédit principal en place?

Mesures visant à empêcher l’utilisation des informations de la carte

  • EMV 3D Secure a-t-il été mis en œuvre?
  • Des restrictions d’accès aux adresses IP suspectes sont-elles en place?
  • Une authentification à deux facteurs ou multifacteur a-t-elle été mise en place pour vérifier l’identité client?
  • Une limite au nombre de tentatives de connexion a-t-elle été mise en place? Les comptes clients sont-ils bloqués après un certain nombre de tentatives de connexion infructueuses?
  • Les modifications apportées aux informations des membres (p. ex. adresses courriel, adresses personnelles, numéro de téléphone) sont-elles vérifiées?
  • Les transactions frauduleuses sont-elles établies sur la base d’évaluations des risques effectuées à l’aide d’informations de transactions antérieures (c’est-à-dire un système de détection de la fraude)?
  • Est-il possible d’identifier les appareils à l’aide de la technologie d’empreinte digitale?

Établir les priorités

Les mesures de sécurité doivent être plus qu’une combinaison de plusieurs mesures. Au lieu de cela, elles doivent être déterminées en fonction de l’entreprise et de sa situation. Les entreprises peuvent analyser leur degré de risque pour déterminer quelles mesures particulières doivent être mises en œuvre à partir de la liste ci-dessus. Cela peut aider les entreprises à adopter une approche à plusieurs niveaux pour effectuer le suivi des mesures.

Vérifier régulièrement et former le personnel

La fraude devient de plus en plus sophistiquée. À mesure que les entreprises introduisent de nouvelles mesures de sécurité, les méthodes de lutte contre la fraude évoluent pour les contrer. C’est pourquoi des mesures techniques, des initiatives organisationnelles et la formation des employés sont nécessaires. En outre, un examen initial du risque de fraude devrait être soutenu par une surveillance continue.

Quelles sont les conséquences en cas de non-respect des Directives de sécurité des cartes de crédit?

Le non-respect des directives peut avoir de graves répercussions sur les activités d’une entreprise. Voici les principaux risques de non-conformité :

Fuite de données et perte de confiance

Les fuites de données personnelles peuvent saper la fiabilité d’une entreprise, entraînant la perte de clients et une atteinte à la marque par la couverture médiatique.

Pertes financières et contestations de paiement

Les contestations de paiement et paiements compensatoires dus à la fraude peuvent représenter un fardeau important, en particulier pour les petites et moyennes entreprises.

Sanctions administratives ou suspension de l’entreprise

Si l’organisme administratif constate une violation des directives, une entreprise pourrait faire l’objet d’une injonction d’amélioration ou d’une suspension.

Pourquoi les entreprises devraient-elles mettre en place des mesures continues en matière de sécurité?

Les Directives sur la sécurité des cartes de crédit sont des directives pratiques pour se préparer à des risques de fraude en constante évolution. La version 6.0 des directives exige la conformité en matière de non-rétention et à la norme PCI DSS, ainsi que la mise en œuvre de contre-mesures de vulnérabilité personnalisées pour chaque entreprise. Ces contre-mesures sont établies sur une approche de secteur d’entreprise.

Les entreprises qui retardent ou évitent de mettre en œuvre ces mesures pourraient mettre en péril la confiance de leurs clients. Elles sont également confrontées à une menace pour l’avenir de l’entreprise. Il est recommandé d’utiliser une plateforme de paiement complète conforme à la norme PCI DSS, telle que Stripe Payments. De cette façon, votre entreprise peut progressivement créer un environnement conforme à la dernière version des directives.

Le contenu de cet article est fourni uniquement à des fins informatives et pédagogiques. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de consulter un avocat compétent ou un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation particulière.

Envie de vous lancer ?

Créez un compte et commencez à accepter des paiements rapidement, sans avoir à signer de contrat ni à fournir vos coordonnées bancaires. N'hésitez pas à nous contacter pour discuter de solutions personnalisées pour votre entreprise.
Payments

Payments

Acceptez des paiements en ligne, en personne et dans le monde entier, grâce à une solution de paiement adaptée à toutes les entreprises.

Documentation Payments

Trouvez un guide qui vous aidera à intégrer les API de paiement de Stripe.