La Ley de Ventas a Plazos es una de las principales leyes japonesas de protección del consumidor que se aplica a todas las empresas de Internet en Japón que aceptan pagos con tarjeta de crédito. En 2018, el gobierno japonés revisó la Ley de Ventas a Plazos para garantizar que las empresas en línea gestionen de forma segura los datos de los consumidores y para reducir el fraude en línea.
Esta guía presenta los requisitos clave de la nueva normativa y cómo las empresas de Stripe en Japón pueden seguir cumpliéndola.
Contexto
Un informe de marzo de 2018 (japonés) encargado por la Asociación Japonesa de Crédito al Consumo (JCA) identifica 2017 como el año con mayores pérdidas por fraude en todo el sector hasta la fecha. Más de 23.600 millones de yenes japoneses (más de 200 millones de dólares estadounidenses) en pérdidas financieras se atribuyeron al fraude en línea, un 65% más que el año anterior.
En respuesta, el Consejo de Seguridad de las Transacciones Crediticias de la JCA anunció su Plan de Implementación 2018 (en japonés), cuyo objetivo es mejorar las políticas de seguridad y prevención de fraude para las empresas que aceptan pagos con tarjeta en línea. Con la Ley Revisada de Ventas a Plazos (改正割賦販売法) en vigor, las empresas en línea están ahora obligadas a manejar adecuadamente los datos de las tarjetas de crédito y a aplicar medidas de prevención de fraude.
Tratamiento adecuado de los datos de las tarjetas de crédito
PCI-DSS (Payment Card Industry Data Security Standard) es la norma mundial de seguridad de la información para las empresas que aceptan pagos con tarjeta de crédito. El Plan de Implementación 2018 de la JCA hace referencia a este estándar global en su planteamiento. Es decir, cumplir con la norma PCI es la principal forma que tienen las empresas de asegurarse de que cumplen con los requisitos de la Ley Revisada de Ventas a Plazos.
Las transacciones en línea presentan un mayor riesgo para la seguridad de los datos de los titulares de tarjetas, por lo que el Plan de Implantación de la JCA anima encarecidamente a las empresas a evitar el manejo de datos brutos de tarjetas. En concreto, las empresas no deben transmitir, almacenar o procesar datos de titulares de tarjetas en ordenadores, servidores u otros dispositivos de su red.
Para cumplir este requisito, las empresas pueden realizar una tokenización de los datos de las tarjetas. Con la tokenización, tu empresa puede recopilar datos sensibles de la tarjeta de tus clientes de forma segura. Los datos sensibles no llegan a tus servidores y, en cambio, se devuelve a tu servidor un token que representa esta información para que puedas utilizarla. Utilizar un procesador de pagos que cumpla la normativa PCI, como Stripe, también significa que tu empresa no procesa los datos de la tarjeta directamente con las redes de tarjetas.
¿Qué significa esto para los usuarios de Stripe?
Los usuarios de Stripe deben utilizar Stripe Elements, Stripe Checkout o uno de los SDK para móviles para aceptar pagos. Utilizando estos productos y garantizando buenas prácticas empresariales en torno a la seguridad de los datos, las empresas no necesitan manejar datos de tarjetas sin procesar para aceptar pagos en línea.
Cuando tengas una necesidad empresarial de manejar datos sin procesar
La nueva normativa exige que las empresas que manejan datos sin procesar de tarjetas cuenten con la certificación PCI-DSS. Si las necesidades de tu empresa exigen manejar datos sin procesar de tarjetas, ten en cuenta que el proceso para obtener la certificación puede ser costoso y llevar mucho tiempo. El soporte está disponible a través de un flujo guiado en tu Dashboard de Stripe, y puedes encontrar más detalles en nuestra guía de cumplimiento de la normativa PCI-DSS.
|
Requisito de la JCA
|
Posible enfoque
|
Costo
|
|---|---|---|
|
Sin transmisión, almacenamiento ni procesamiento de los datos de la tarjeta NI certificación PCI-DSS |
Stripe Elements, Stripe Checkout o SDK para móviles para todos los pagos | Gratis |
| Obtén la certificación PCI-DSS e indica tu estado de certificación en el Dashboard de Stripe. (Consulta nuestra guía de cumplimiento de la normativa PCI). | Varía en función del tamaño y la complejidad de la empresa. (Consulta el sitio web del Consejo de Estándares de Seguridad PCI). |
Aplicación de medidas de prevención de fraude
El Plan de Implementación de la JCA recomienda los siguientes métodos de prevención de fraude para las empresas en línea:
1. Autenticación personal: El titular de tarjeta autentica una transacción introduciendo una contraseña que ha sido registrada con el emisor de su tarjeta de crédito (por ejemplo, 3D Secure).
2. Códigos de seguridad: El titular de tarjeta introduce un número de tres o cuatro cifras presente en el reverso de la tarjeta durante la transacción en línea (por ejemplo, verificaciones con CVC).
3. Análisis de atributos y patrones de comportamiento: Las transacciones potencialmente fraudulentas pueden identificarse cotejando los atributos de la transacción y los patrones de comportamiento con los cobrados de transacciones fraudulentas históricas. Los datos adicionales, como la dirección IP y la actividad del cliente, pueden mejorar la precisión de los resultados.
4. Información sobre la dirección de envío: En ocasiones, los pagos fraudulentos pueden identificarse cotejando las direcciones de envío con una lista de direcciones conocidas por haber sido utilizadas en transacciones fraudulentas anteriores. Estas bases de datos son proporcionadas por terceros o mantenidas directamente por las propias empresas.
¿Qué significa esto para los usuarios de Stripe?
Stripe ofrece formas para que las empresas implementen rápida y fácilmente estos cuatro métodos, como se muestra a continuación:
|
Recomendación de la JCA
|
Recomendación de Stripe
|
|---|---|
| Autenticación personal | 3D Secure |
| Códigos de seguridad | Comprobaciones de CVC mediante Radar |
| Análisis de comportamiento y atributos | Stripe Radar |
| Información de la dirección de envío | Listas de Stripe Radar |
Conclusión
La plataforma Stripe está diseñada para ayudar a nuestros usuarios a estar al día de las nuevas funcionalidades o de los cambios en la normativa. Esperamos que esta guía te haya ayudado a entender los nuevos requisitos introducidos por la Ley Revisada de Ventas a Plazos (y el Plan de Implementación de la JCA) y cómo los usuarios de Stripe pueden cumplirlos. Si tienes alguna pregunta, por favor infórmanos.
Referencias
- Ley de ventas a plazos (Ministerio de Economía, Comercio e Industria)
- Transacciones de crédito (Ministerio de Economía, Comercio e Industria)
- Directrices de seguridad para tarjetas de crédito (Asociación Japonesa de Crédito al Consumo)
- Estadísticas relacionadas con el crédito (Asociación Japonesa de Crédito al Consumo)
- Página web del Consejo de Estándares de Seguridad PCI