La legge per le vendite a rate è una delle principali leggi giapponesi a tutela dei consumatori che si applica a tutte le attività commerciali su Internet che accettano pagamenti con carta di credito in Giappone. Nel 2018, il governo giapponese ha rivisto la legge per le vendite a rate per garantire alle aziende online una gestione sicura dei dati dei consumatori e per ridurre le frodi online.
Questa guida illustra i requisiti principali della nuova normativa e le modalità con cui le aziende di Stripe con sede in Giappone possono conformarvisi.
Contesto
Un rapporto di marzo 2018 (in lingua giapponese) commissionato dalla Japan Consumer Credit Association (JCA) identifica il 2017 come l'anno con le più alte perdite per frode a livello di settore fino ad oggi. Oltre 23,6 miliardi di JPY (più di 200 milioni di dollari) di perdite finanziarie sono state attribuite a frodi online, con un aumento del 65% rispetto all'anno precedente.
In risposta, il Credit Transaction Security Council del JCA ha annunciato il Piano di implementazione 2018 (giapponese), che mira a migliorare le politiche di sicurezza e prevenzione delle frodi per le aziende che accettano pagamenti online con carta. Con l'entrata in vigore della legge rivista per le vendite a rate (改正割賦販売法), le aziende online sono ora tenute a gestire i dati delle carte di credito in modo appropriato e ad attuare misure di prevenzione delle frodi.
Gestione appropriata dei dati delle carte di credito
PCI-DSS (Payment Card Industry Data Security Standard) è lo standard globale di sicurezza delle informazioni per le aziende che accettano pagamenti con carta di credito. Il Piano di implementazione 2018 del JCA fa riferimento a questo standard globale nel suo approccio. Ovvero, la conformità alle norme PCI è il modo principale con cui le aziende possono garantire di soddisfare i requisiti della legge rivista per le vendite a rate.
Le transazioni online presentano un rischio maggiore per la sicurezza dei dati dei titolari delle carte, pertanto il piano di implementazione JCA incoraggia vivamente le aziende a evitare di trattare informazioni grezze sulle carte. In particolare, le aziende non devono trasmettere, memorizzare o elaborare i dati dei titolari delle carte su computer, server o altri dispositivi della loro rete.
Per soddisfare questo requisito, le aziende possono tokenizzare i dati delle carte. Con la tokenizzazione, la tua azienda può acquisire dai clienti i dati sensibili della carta in modo sicuro. Così facendo, non saranno i dati sensibili a raggiungere i tuoi server, bensì un token contenente le informazioni da utilizzare. L'utilizzo di un elaboratore di pagamenti conforme alle norme PCI, come Stripe, significa anche che la tua azienda non elabora i dati di pagamento direttamente con i circuiti delle carte.
Che cosa significa per gli utenti Stripe
Gli utenti di Stripe devono utilizzare Stripe Elements, Stripe Checkout o uno dei SDK per dispositivi mobili per accettare i pagamenti. Utilizzando questi prodotti e garantendo buone pratiche aziendali in materia di sicurezza dei dati, le aziende non hanno bisogno di trattare i dati grezzi delle carte per accettare i pagamenti online.
Quando si ha l'esigenza di trattare dati grezzi
Le nuove normative richiedono che le aziende che trattano i dati grezzi delle carte siano certificate PCI-DSS. Se le tue esigenze aziendali richiedono il trattamento di dati grezzi delle carte, tieni presente che il processo di certificazione può essere lungo e costoso. L'assistenza è disponibile mediante un flusso guidato nella Dashboard di Stripe e potrai trovare ulteriori dettagli nella nostra guida alla conformità PCI-DSS.
Requisito JCA
|
Approccio possibile
|
Costo
|
---|---|---|
Nessuna trasmissione, memorizzazione o elaborazione dei dati della carta NÉ certificazione PCI-DSS |
Stripe Elements, Stripe Checkout o SDK per dispositivi mobili per tutti i pagamenti | Gratis |
Ottieni la certificazione PCI-DSS e segnala lo stato della tua certificazione tramite la Dashboard di Stripe (vedi la nostra guida alla conformità PCI). | Varia in base alla dimensione e alla complessità dell'azienda (vedi sito web dell'ente responsabile degli standard di sicurezza PCI). |
Adottare misure di prevenzione delle frodi
Il Piano di implementazione del JCA raccomanda i seguenti metodi di prevenzione delle frodi per le aziende online:
1. Autenticazione personale: il titolare della carta autentica la transazione inserendo la password registrata dalla società emittente della carta di credito (ad esempio, 3D Secure).
2. Codici di sicurezza: il titolare della carta inserisce un numero di tre o quattro cifre presente sul retro della carta durante la transazione online (ad esempio, verifica del codice CVC).
3. Analisi degli attributi e del comportamento: le transazioni potenzialmente fraudolente possono essere identificate confrontando gli attributi della transazione e i modelli comportamentali con quelli acquisiti dalle transazioni fraudolente avvenute. Ulteriori dati, come l'indirizzo IP e l'attività del cliente, possono migliorare l'accuratezza dei risultati.
4. Dati dell'indirizzo di spedizione: talvolta, i pagamenti fraudolenti possono essere identificati confrontando l'indirizzo di spedizione con un elenco di indirizzi noti, utilizzati in passato per effettuare transazioni fraudolente. Questi database sono forniti da terzi o gestiti dalle aziende stesse.
* Fonte (in lingua giapponese)
Che cosa significa per gli utenti Stripe
Stripe offre alle aziende la possibilità di implementare rapidamente e facilmente tutti e quattro questi metodi, come illustrato di seguito:
Raccomandazione del JCA
|
Raccomandazione di Stripe
|
---|---|
Autenticazione personale | 3D Secure |
Codici di sicurezza | Verifiche CVC tramite Radar |
Analisi degli attributi e del comportamento | Stripe Radar |
Dati indirizzo di spedizione | Elenchi di Stripe Radar |
Conclusioni
La piattaforma Stripe è stata progettata per aiutare i nostri utenti a rimanere aggiornati sulle nuove funzionalità o sui cambiamenti normativi. Ci auguriamo che questa guida ti abbia aiutato a comprendere i nuovi requisiti introdotti dalla legge rivista per le vendite a rate (e il piano di implementazione del JCA) e come gli utenti di Stripe possano esservi conformi. Se hai domande, contattaci.
Fonti
- Installment Sales Act (Ministero dell'economia, del commercio e dell'industria)
- Transazioni di credito (Ministero dell'economia, del commercio e dell'industria)
- Linee guida di sicurezza dalla carta di credito (Japan Consumer Credit Association)
- Statistiche relative al credito (Japan Consumer Credit Association)
- Sito web del PCI Security Standards Council