Se conformer à la loi révisée sur les ventes à tempérament

Guide destiné aux utilisateurs de Stripe au Japon

  1. Introduction
  2. Contexte
  3. Gestion appropriée des données relatives aux cartes bancaires
    1. Quest-ce que cela implique pour les utilisateurs de Stripe ?
  4. Lorsque votre entreprise est tenue de respecter une exigence en matière de traitement des données brutes
  5. Implémenter des mesures de prévention de la fraude
    1. Quest-ce que cela implique pour les utilisateurs de Stripe ?
  6. Conclusion
  7. Documentation

La loi révisée sur les ventes à tempérament est l'une des lois de protection des consommateurs au Japon. Elle s'applique à toutes les entreprises du pays qui exercent une activité sur Internet et qui acceptent les paiements par carte. En 2018, le gouvernement japonais a révisé la loi sur les ventes à tempérament pour veiller à ce que les entreprises qui exercent une activité en ligne gèrent les données des consommateurs de manière sécurisée afin de prévenir la fraude en ligne.

Ce guide présente les exigences clés de la nouvelle réglementation et la manière dont les entreprises qui utilisent Stripe au Japon peuvent s'y conformer.

Contexte

Un rapport de mars 2018 (en japonais) commissionné par l'association japonaise des crédits à la consommation (Japan Consumer Credit Association ou JCA) identifie l'année 2017 comme celle qui a enregistré le plus de pertes dues à la fraude à l'échelle du secteur. Plus de 23,6 milliards de JPY (plus de 200 millions d'USD) de pertes financières ont été attribués à la fraude en ligne, soit une augmentation de 65 % par rapport à l'année précédente.

Pour y répondre, le conseil de sécurité des transactions de crédit (Credit Transaction Security Council) de la JCA a annoncé son plan d'implémentation de 2018 (en japonais), qui vise à améliorer les politiques de sécurité et de prévention de la fraude pour les entreprises qui acceptent les paiements par carte en ligne. Avec l'entrée en vigueur de la loi révisée sur les ventes à tempérament (改正割賦販売法), les entreprises qui exercent une activité en ligne sont désormais tenues de gérer les données relatives aux cartes bancaires de manière appropriée et de mettre en œuvre des mesures de prévention de la fraude.

Gestion appropriée des données relatives aux cartes bancaires

La norme PCI DSS (Payment Card Industry Data Security Standards) est la norme internationale de sécurité des informations pour les entreprises qui acceptent des paiements par carte. Le plan d'implémentation de 2018 de la JCA se réfère à cette norme mondiale dans son approche. Les entreprises qui se conforment à la norme PCI peuvent s'assurer de répondre aux exigences de la loi révisée sur les ventes à tempérament.

Les transactions en ligne présentent un risque accru pour la sécurité des données des titulaires de cartes bancaires, c'est pourquoi le plan d'implémentation de la JCA encourage fortement les entreprises à éviter le traitement d'informations brutes concernant les cartes bancaires. Plus spécifiquement, elles ne doivent pas transmettre, stocker ni traiter des données relatives aux titulaires de cartes bancaires sur des ordinateurs, des serveurs ou d'autres appareils sur leur réseau.

Pour répondre à cette exigence, les entreprises ont la possibilité de tokeniser les données relatives aux cartes bancaires. Ce processus leur permet de collecter des informations de carte sensibles auprès de leurs clients de manière sécurisée. Les données sensibles ne sont pas directement envoyées vers leurs serveurs, mais sont représentées par un token. L'utilisation d'un prestataire de services de paiement conforme à la norme PCI tel que Stripe signifie également que les entreprises ne traitent pas d'informations de paiement directement avec les réseaux de cartes.

Qu'est-ce que cela implique pour les utilisateurs de Stripe ?

Les utilisateurs de Stripe doivent utiliser Stripe ElementsStripe Checkout ou l'un des SDK mobiles afin d'accepter des paiements. Grâce à ces produits et au respect des bonnes pratiques en matière de sécurité des données, les entreprises n'ont plus besoin de gérer les données relatives aux cartes bancaires pour accepter des paiements.

Lorsque votre entreprise est tenue de respecter une exigence en matière de traitement des données brutes

Les nouvelles réglementations stipulent que les entreprises qui traitent des données de carte brutes doivent être certifiées PCI DSS. Si les besoins de votre entreprise impliquent de traiter ce type de données, veuillez noter que le processus qui permet d'obtenir cette certification peut être long et coûteux. Une assistance est disponible via un flux guidé dans votre Dashboard Stripe, et de plus amples informations se trouvent dans notre guide de mise en conformité PCI.

Exigence de la JCA
Approche possible
Coût

Pas de transmission, de stockage ni de traitement d'informations relatives aux cartes bancaires OU certification PCI DSS

Stripe Elements, Stripe Checkout ou SDK mobiles pour tous les paiements Gratuit
Obtenez la certification PCI DSS et signalez l'état de votre certification via le Dashboard Stripe. (Consultez notre guide de mise en conformité PCI.) Varie selon l'envergure et la complexité de votre entreprise. (Consultez le site officiel du Conseil des normes de sécurité PCI.)

Implémenter des mesures de prévention de la fraude

Le plan d'implémentation de la JCA recommande les méthodes de prévention de la fraude suivantes pour les entreprises qui exercent une activité en ligne :

1. Authentification personnelle : pour authentifier une transaction, le titulaire de la carte saisit un mot de passe qui a été enregistré auprès de l'émetteur de sa carte bancaire (p. ex. 3D Secure).

2. Codes de sécurité : lors de la transaction en ligne, le titulaire de la carte saisit un code à trois ou quatre chiffres présent au dos de la carte (p. ex. Vérifications de carte bancaire).

3. Analyse des attributs et des schémas comportementaux : les transactions potentiellement frauduleuses peuvent être identifiées grâce à la mise en correspondance des attributs de la transaction et des schémas comportementaux avec ceux issus de précédentes transactions frauduleuses. D'autres données telles que l'adresse IP et l'activité du client peuvent améliorer la précision des résultats.

4. Informations relatives à l'adresse de livraison : pour identifier les paiements frauduleux, il est parfois possible de comparer des adresses de livraison à une liste d'adresses connues qui ont été utilisées lors de précédentes transactions frauduleuses. Ces bases de données sont fournies par des tiers ou alimentées directement par les entreprises elles-mêmes.

Source (en japonais)

Qu'est-ce que cela implique pour les utilisateurs de Stripe ?

Stripe permet aux entreprises de mettre rapidement et facilement en œuvre ces quatre méthodes, comme indiqué ci-dessous :

Recommandation de la JCA
Recommandation de Stripe
Authentification personnelle 3D Secure
Codes de sécurité Vérification CVC via Radar
Analyse des attributs et des comportements Stripe Radar
Informations relatives à l'adresse de livraison Listes Stripe Radar

Conclusion

La plateforme Stripe est conçue pour permettre à nos utilisateurs de toujours bénéficier des dernières fonctionnalités et d'être en conformité avec les nouvelles réglementations. Nous espérons que ce guide vous a permis de comprendre les nouvelles réglementations introduites par la loi révisée sur les ventes à tempérament (ainsi que le plan d'implémentation de la JCA) et de savoir comment les utilisateurs de Stripe peuvent rester en conformité. Si vous avez des questions, n'hésitez pas à nous contacter.

Envie de vous lancer ? Contactez-nous ou créez un compte.

Créez un compte et commencez à accepter des paiements rapidement, sans avoir à signer de contrat ni à fournir vos coordonnées bancaires. N'hésitez pas à nous contacter pour discuter de solutions personnalisées pour votre entreprise.