La popularidad de los pagos sin dinero en efectivo provocó un aumento del fraude con tarjetas de crédito en Japón. Para las empresas que operan sitios de comercio electrónico y utilizan pagos electrónicos, las medidas de seguridad son una obligación, no una opción. En este artículo, explicamos las Pautas de seguridad para tarjetas de crédito en Japón, incluido su propósito, su contexto y las acciones requeridas para garantizar su cumplimiento.
¿Qué contiene este artículo?
- ¿Cuáles son las Pautas de seguridad para tarjetas de crédito?
- ¿Por qué son necesarias las Pautas de seguridad para tarjetas de crédito?
- ¿Cuáles son las diferencias entre las versiones 5.0 y 6.0 de las Pautas de seguridad para tarjetas de crédito?
- Pasos para cumplir con las Pautas de seguridad para tarjetas de crédito
- ¿Cuáles son las consecuencias del incumplimiento de las Pautas de seguridad para tarjetas de crédito?
- ¿Por qué las empresas deben tener medidas de seguridad continuas?
¿Qués son las Pautas de seguridad para tarjetas de crédito?
Las Pautas de seguridad para tarjetas de crédito son un conjunto de políticas que regulan las medidas de seguridad en el uso de tarjetas de crédito. Todas las empresas de Japón deben seguir estas pautas, que se basan en un plan del Ministerio de Economía, Comercio e Industria (METI), para reducir el riesgo de filtraciones de información y fraude, y crear un entorno seguro para las transacciones. La Asociación Japonesa de Crédito al Consumidor (JCA) también trabaja para crear conciencia sobre la seguridad y garantizar que las empresas adopten medidas exhaustivas en todo el sector.
La versión 6.0, actualmente la más reciente, establece requisitos de seguridad más rigurosos que los contemplados en ediciones previas. Resulta esencial que las empresas se mantengan al día con estas actualizaciones y actúen en consecuencia. Entre los aspectos destacados figuran la correcta administración de la información de tarjetas de crédito, la detección y reacción temprana frente a usos indebidos o no autorizados, la capacitación en seguridad dirigida al personal y la implementación de medidas para mitigar vulnerabilidades de los sistemas.
La observancia de estas pautas contribuye a que las empresas fortalezcan la confianza del cliente y garanticen su sostenibilidad en el tiempo. Es imprescindible que todas las empresas conozcan en detalle las disposiciones más recientes y adopten las medidas pertinentes para asegurar su cumplimiento.
¿Por qué son necesarias las Pautas de seguridad para tarjetas de crédito?
Según una encuesta de la JCA centrada en empresas que emiten tarjetas de crédito de marcas internacionales en Japón, se estimó que las pérdidas por fraudes con tarjetas de crédito en 2024 llegarían a unos ¥55,500 millones. Esto representa un aumento significativo con respecto a 2014, cuando apenas superaba los ¥11,000 millones. Las pérdidas por robo de números de tarjeta representaron casi el 60 % del total en 2014. Este porcentaje superó el 90 % en 2024, lo que pone de manifiesto la vulnerabilidad de las transacciones en línea y de los sitios de comercio electrónico.
Estas cifras indican por qué es importante que las empresas cumplan con las últimas Pautas de seguridad para tarjetas de crédito, ya que pueden ayudarlas a proteger a los clientes, a cumplir con la ley y a mantener la confianza en sus marcas. En el improbable caso de una filtración de datos o acceso no autorizado, las consecuencias podrían incluir pérdida de clientes, pérdidas por contracargos, sanciones administrativas o el pago de daños y perjuicios.
¿Cuáles son las diferencias entre las versiones 5.0 y 6.0 de las Pautas de seguridad para tarjetas de crédito?
Las Pautas de seguridad para tarjetas de crédito se han revisado varias veces desde su lanzamiento inicial en 2020. Las medidas se dividen en dos categorías: transacciones no presenciales (es decir, transacciones de comercio electrónico) y transacciones presenciales. Es importante que las empresas sigan las pautas que regulan su tipo de empresa. Por ejemplo, la versión 6.0 contiene nuevas medidas para empresas de comercio electrónico, por lo que es importante que estas empresa cumplan con esas pautas.
Las Pautas de seguridad para tarjetas de crédito son muy detalladas. Comprender los puntos clave puede ayudar a una empresa a empezar y responder a cada medida. En la siguiente tabla, comparamos las versiones 5.0 y 6.0 para destacar las medidas que se agregaron a cada una de las pautas.
Medidas |
Versión 5.0 |
Versión 6.0 |
---|---|---|
Protección de datos de tarjetas |
Comercio electrónico y empresas presenciales
|
Empresas de comercio electrónico
|
Protección contra fraudes |
Empresas de comercio electrónico
Empresas presenciales
|
Empresas de comercio electrónico
|
Aparición frecuente de fraude/empresas de alto riesgo |
Empresas de comercio electrónico
|
Empresas de comercio electrónico
|
Empresas que gestionan transacciones de pedidos telefónicos/por correo (MO/TO) |
Empresas que gestionan transacciones MO/TO
|
Empresas que gestionan transacciones MO/TO
|
Soporte para la empresa |
— |
Empresas de comercio electrónico
|
Ingresar el número de identificación personal (PIN) durante el pago con tarjeta |
— |
Empresas presenciales
|
Medidas para evitar el robo de información de tarjetas de crédito
En la versión 5.0, la JCA implementó medidas de protección de la información de las tarjetas, como la no retención y el cumplimiento de la normativa PCI DSS. Estas medidas resultaron eficaces hasta un punto para evitar incidentes en los que se roban grandes volúmenes de datos de tarjetas en un corto período de tiempo.
Sin embargo, se produjeron incidentes en los que se filtró información de tarjetas como resultado de accesos externos no autorizados, virus o manipulación del sistema. Esto se debió a contramedidas de vulnerabilidad insuficientes, como medidas antivirus en sistemas y sitios web de empresas de comercio electrónico, gestión de privilegios de administrador y gestión de dispositivos. Por lo tanto, la versión 6.0 requiere que las empresas de comercio electrónico implementen las siguientes contramedidas de vulnerabilidad del sistema y en el sitio web para evitar filtraciones de información de tarjetas:
- Restricciones en el acceso a las pantallas de administración del sistema y la gestión de ID/contraseñas para los administradores
- Medidas para abordar los errores e insuficiencias de configuración asociados con la exposición al directorio de datos
- Contramedidas de vulnerabilidad para aplicaciones web
- Introducción y funcionamiento de software antivirus como medida contra el malware
- Medidas contra comprobaciones de validez maliciosas y ataques maestros de crédito
Cuando se externalizan tareas relacionadas con el desarrollo, la configuración y la gestión de sistemas o sitios de comercio electrónico, el contratista está obligado a observar las medidas de protección frente a vulnerabilidades que resultan de cumplimiento obligatorio para las empresas del sector.
Medidas de protección contra fraudes para evitar el uso de información de tarjetas
En 2023, el uso fraudulento de tarjetas en Japón alcanzó más de ¥54,000 millones. De esa cantidad, el 93 % fue a través del robo de identidad en empresas de comercio electrónico. Por lo tanto, se sumaron medidas con el objetivo de prevenir el fraude antes y durante los pagos con tarjeta.
Así es como puede ocurrir el fraude cuando se usa una tarjeta:
- Antes de un pago con tarjeta: los estafadores pueden registrar una cuenta fraudulenta o utilizar inicios de sesión fraudulentos haciéndose pasar por el cliente.
- Durante un pago con tarjeta: hubo casos de uso no autorizado de números de tarjetas e información de tarjetas generados por el plan maestro de crédito. Además, se utilizaron estafas de phishing para robar información de tarjetas, cuentas, contraseñas e información de atributos.
- Después de un pago con tarjeta: los bienes pueden entregarse o revenderse de forma fraudulenta, por lo que es necesario comprobar los detalles del pedido y la dirección de envío.
Debido a la posibilidad de fraude, es necesario implementar medidas que regulen el flujo de transacciones con tarjeta. Por ejemplo, evitar inicios de sesión no autorizados antes de pagos con tarjeta e introducir EMV 3D Secure durante el proceso de pago con tarjeta.
Medidas para evitar el inicio de sesión no autorizado
En la versión 6.0, se recomiendan las siguientes medidas para evitar inicios de sesión no autorizados:
- Restricciones de acceso desde direcciones de protocolo de Internet (IP) sospechosas
- Identificación mediante verificación en dos pasos o autenticación multifactor
- Confirmación de datos personales durante el registro de miembros
- Restricciones más fuertes sobre la cantidad de intentos de inicio de sesión
- Correos electrónicos y notificaciones del servicio de mensajes cortos (SMS) cuando los miembros inician sesión o cambian sus atributos
- Análisis de comportamiento y atributos
- Huella digital del dispositivo
Adopción de EMV 3D Secure
La versión 6.0 incluye medidas relacionadas con la introducción de EMV 3D Secure. Las empresas de comercio electrónico deben hacer lo siguiente:
- Integrar EMV 3D Secure y realizar la autenticación para garantizar que pueda verificar adecuadamente la identidad del titular de tarjeta
- Mejorar la precisión de la autenticación basada en el riesgo (RBA)
Aparición frecuente de fraude y empresas de alto riesgo
Se considera que las empresas tienen una incidencia frecuente de fraude cuando han incurrido en múltiples cargos fraudulentos de forma continua. A los efectos de estas pautas, se considera que las empresas tienen casos frecuentes de fraude cuando sus cargos fraudulentos superan los ¥500.000 en tres meses consecutivos.
Las empresas de alto riesgo son aquellas que manejan principalmente productos digitales, como juegos en línea, electrodomésticos, dinero electrónico, entradas y servicios de reserva de alojamiento. Las empresas de alto riesgo y aquellas con una alta incidencia de fraude deben promulgar medidas adicionales.
Hasta la versión 5.0, las empresas con antecedentes de fraude debían implementar al menos dos de las cuatro medidas previstas en las Pautas de seguridad para tarjetas de crédito. Las empresas de alto riesgo debían aplicar al menos una. Estas medidas incluyen la autenticación del titular de la tarjeta, la verificación de la tarjetas, el análisis de atributos y comportamientos, y la verificación de la dirección de envío.
Sin embargo, a partir de la versión 6.0, las empresas ahora deben implementar medidas adicionales y adecuadas o más robustas dentro de un enfoque de seguridad por capas. Este enfoque debe adaptarse tanto a los daños reales que provoca el fraude como a los métodos específicos empleados. Este cambio se debe a la diversidad de productos y servicios que pueden ofrecer las empresas y a la variedad de métodos que emplean los estafadores para crear o tomar el control de las cuentas.
Empresas que gestionan transacciones de pedidos telefónicos/por correo (MO/TO)
«MO/TO» es un término que se usa a menudo en Japón para referirse a ventas por correo (MO) y pedidos telefónicos (TO). En otras palabras, las empresas MO/TO procesan pagos con tarjeta por teléfono o correo.
Muchas empresas que gestionan transacciones MO/TO también se dedican al comercio electrónico. Por lo tanto, se revisaron las cuatro medidas para las empresas MO/TO que se incluyeron en las pautas hasta la versión 5.0. Las siguientes medidas siguen siendo obligatorias para las empresas MO/TO en la versión 6.0:
- Establecimiento de un sistema de procesamiento de autorizaciones
- Deber de diligencia como gerente calificado, según lo estipulado en el contrato de la empresa
- Integración de medidas no presenciales contra el uso fraudulento en función del riesgo y daño incurridos
Soporte para la empresa
Las empresas de tarjetas de crédito y los proveedores de servicios de pago deben proporcionar información y soporte sobre las contramedidas de vulnerabilidad que deben implementar las empresas de comercio electrónico.
Además, los proveedores de sistemas y otras empresas deben seguir las contramedidas de vulnerabilidad cuando creen y configuren sitios de comercio electrónico. Si operan y hacen el mantenimiento de los sitios, también deben proporcionar asesoramiento y soporte a las empresas de comercio electrónico.
Ingreso de PIN para pagos con tarjeta
Desde abril de 2025, las empresas que realizan transacciones en persona ya no están obligadas a verificar las identidades de los clientes con firmas durante los pagos con tarjeta. En cambio, deben pedir a los clientes que ingresen un PIN.
Pasos para cumplir con las Pautas de seguridad para tarjetas de crédito
Para prevenir el robo y uso fraudulento de la información de tarjetas, se deben aplicar diversas medidas. Más abajo presentamos la cadena de hechos que desemboca en el robo y el uso ilegal de los datos, y luego explicamos qué acciones conviene tomar en cada fase.
Para cumplir con la versión 6.0, las empresas deben implementar medidas multifacéticas adaptadas a su tipo de sector y a sus patrones de transacción. Además, deben establecer una estructura organizativa interna adecuada.
A continuación, se muestran algunos ejemplos específicos de cómo las empresas pueden seguir cumpliendo con las pautas:
Evaluar el estado actual y cumplimiento de la normativa
El primer paso es que la empresa evalúe su nivel de seguridad y cómo se compara con las pautas de la versión 6.0. Esta evaluación puede ayudar a identificar brechas entre sus prácticas reales y la normativa. Estas son algunas preguntas que las empresas pueden utilizar para confirmar el estado actual de su información de tarjeta y las medidas de protección contra fraudes:
Medidas para prevenir el robo de información de tarjetas
- ¿Hay restricciones para acceder a las pantallas de gestión?
- ¿Se gestionan correctamente las ID y contraseñas de administrador?
- ¿Los archivos importantes se mantienen fuera de los directorios públicos?
- ¿Hay alguna vulnerabilidad en las aplicaciones web?
- ¿Se aplican medidas contra el malware?
- ¿Se implementó un software antivirus?
- ¿Existen medidas de protección de un plan maestro de crédito?
Medidas para evitar el uso de la información de tarjetas
- ¿Se implementó EMV 3D Secure?
- ¿Existen restricciones de acceso desde direcciones IP sospechosas?
- ¿Se implementó la autenticación de dos o varios factores para verificar la identidad del cliente?
- ¿Se implementó un límite en la cantidad de intentos de inicio de sesión? ¿Las cuentas de clientes se bloquean después de una cierta cantidad de intentos fallidos de inicio de sesión?
- ¿Se verifican los cambios en la información de los miembros (p. ej., direcciones de correo electrónico, domicilios particulares, número de teléfono)?
- ¿Se identifican las transacciones fraudulentas basadas en evaluaciones de riesgo con información de transacciones anteriores (es decir, un sistema de detección de fraude)?
- ¿Es posible identificar dispositivos mediante tecnología de huellas?
Determinar las prioridades
Las medidas de seguridad deben ser más que una combinación de múltiples medidas. En cambio, deben determinarse de acuerdo con la empresa y su situación. Las empresas pueden analizar su grado de riesgo para determinar qué medidas particulares deben implementarse de la lista anterior. Esto puede ayudarlas a fijar un enfoque multicapa para seguir las medidas.
Revisar periódicamente y capacitar al personal
El fraude es cada vez más sofisticado. A medida que las empresas introducen nuevas medidas de seguridad, los métodos de fraude evolucionan para contrarrestarlas. Por eso hacen falta medidas técnicas, iniciativas organizacionales y capacitación para el personal. Además, la revisión inicial del riesgo de fraude debe complementarse con revisiones continuas.
¿Cuáles son las consecuencias del incumplimiento de las Pautas de seguridad para tarjetas de crédito?
El incumplimiento de las pautas puede tener graves impactos en las operaciones de una empresa. Estos son los principales riesgos de incumplimiento:
Filtraciones de datos y pérdida de confianza
Las filtraciones de datos personales pueden socavar la confianza en una empresa, lo que lleva a la pérdida de clientes y daño a la marca a través de la cobertura de los medios de comunicación.
Pérdidas financieras y contracargos
Los contracargos y las compensaciones de pago por fraude pueden ser una carga significativa, especialmente para las pequeñas y medianas empresas.
Sanciones administrativas o suspensión de empresas
Si la agencia administrativa detecta una infracción a las pautas, la empresa podría recibir una orden de mejora o una suspensión.
¿Por qué las empresas deben tener medidas de seguridad continuas?
Las Pautas de seguridad para tarjetas de crédito son lineamientos prácticos orientados a la prevención frente a los riesgos de fraude, que se encuentran en constante transformación. La versión 6.0 de las pautas exige el cumplimiento de la normativa de no retención de datos y del estándar PCI DSS, además de la implementación de contramedidas frente a vulnerabilidades personalizadas según las características de cada empresa. Estas acciones se estructuran bajo un enfoque basado en la línea de negocio.
Las empresas que demoren o eviten la implementación de estas medidas corren el riesgo de perder la confianza de sus clientes. Además, ponen en riesgo el futuro de su empresa. Recomendamos utilizar una plataforma de pagos integral que cumpla con el estándar PCI DSS, como Stripe Payments. De esta manera, puedes avanzar de manera progresiva hacia un entorno plenamente compatible con la última versión vigente de las pautas.
El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, adecuación o vigencia de la información incluida en el artículo. Si necesitas asistencia para tu situación particular, te recomendamos consultar a un abogado o un contador competente con licencia para ejercer en tu jurisdicción.