De Installment Sales Act is een van de grote consumentbeschermingswetten in Japan die geldt voor alle internetbedrijven in Japan die creditcardbetalingen accepteren. In 2018 paste de Japanse overheid de Installment Sales Act aan om te zorgen dat online bedrijven op veilige wijze omgaan met consumentgegevens en om online fraude te bestrijden.
Deze gids beschrijft de belangrijkste vereisten van de nieuwe regelgeving en hoe Stripe-bedrijven in Japan volledig compliant kunnen blijven.
Achtergrond
Een onderzoek uit maart 2018 (in het Japans) in opdracht van de Japan Consumer Credit Association (JCA) identificeert 2017 als het jaar met de grootste verliezen door fraude in de gehele industrie tot nu toe. Meer dan 23,6 miljard yen (meer dan 200 miljoen euro) aan financiële verliezen werden toegeschreven aan online fraude. Dat betekent een toename van 65% ten opzichte van het vorige jaar.
De Credit Transaction Security Council van de JCA kondigde als reactie zijn 2018 Implementation Plan (in het Japans) aan. Dit plan is bedoeld om het veiligheids- en fraudepreventiebeleid te verbeteren bij bedrijven die kaartbetalingen online accepteren. Dankzij de ingevoerde Revised Installment Sales Act (改正割賦販売法) moeten online bedrijven nu op gepaste wijze met creditcardgegevens omgaan en fraudepreventiemaatregelen invoeren.
Op geschikte wijze met creditcardgegevens omgaan
PCI-DSS (Payment Card Industry Data Security Standard) is de wereldwijde informatieveiligheidsstandaard voor bedrijven die online creditcardbetalingen accepteren. Het 2018 Implementation Plan van de JCA verwijst naar deze wereldwijde standaard in zijn aanpak. Dat wil zeggen dat PCI-compliant zijn de voornaamste manier is voor bedrijven om te zorgen dat ze voldoen aan de vereisten van de Revised Installment Sales Act.
Online transacties vormen een verhoogd risico voor de veiligheid van kaarthoudergegevens, dus beveelt het JCA Implementation Plan bedrijven met klem aan om te voorkomen dat er ruwe kaartgegevens worden verwerkt. Bedrijven mogen met name geen kaarthoudergegevens verzenden, opslaan of verwerken op computers, servers of andere apparaten op hun netwerk.
Om aan deze vereiste te voldoen, kunnen bedrijven kaartgegevens tokeniseren. Met tokenisatie kan jouw bedrijf gevoelige kaartgegevens op een veilige manier van je klanten verzamelen. Gevoelige gegevens komen niet op je servers terecht, maar in plaats daarvan wordt een token dat deze informatie vertegenwoordigt naar je servers gestuurd voor gebruik. Een PCI-compliant betalingsverwerker zoals Stripe gebruiken betekent ook dat je bedrijf geen betaalgegevens rechtstreeks verwerkt met kaartnetwerken.
Wat betekent dit voor Stripe-gebruikers?
Stripe-gebruikers moeten Stripe Elements, Stripe Checkout of een van de mobiele SDK's gebruiken om betalingen te accepteren. Door deze producten te gebruiken en te zorgen voor goede praktijken rond gegevensbeveiliging, hoeven bedrijven geen ruwe kaartgegevens te verwerken om betalingen online te accepteren.
Wanneer het voor jouw bedrijf noodzakelijk is om ruwe gegevens te verwerken
De nieuwe regelgeving vereist dat bedrijven die ruwe kaartgegevens verwerken PCI-DSS-gecertificeerd zijn. Als je bedrijf noodzakelijkerwijs ruwe kaartgegevens moet verwerken, houd er dan rekening mee dat het certificeringsproces duur en tijdrovend kan zijn. Ondersteuning is verkrijgbaar via een begeleide flow op je Stripe-dashboard en je kunt meer gegevens vinden in onze gids voor PCI-DSS-compliance.
JCA-vereiste
|
Mogelijke aanpak
|
Kosten
|
---|---|---|
Geen transmissie, opslag of verwerking van kaartgegevens OF PCI-DSS-certificaat |
Stripe Elements, Stripe Checkout of mobiele SDK's voor alle betalingen | Gratis |
Verkrijg een PCI-DSS-certificaat en rapporteer je certificaatstatus via het Stripe-dashboard. (Zie onze gids voor PCI-compliance.) | Verschilt afhankelijk van de grootte en complexiteit van het bedrijf. (Zie de website van de PCI Security Standards Council.) |
Fraudepreventiemaatregelen implementeren
Het JCA Implementation Plan beveelt de volgende methoden voor fraudepreventie aan voor online bedrijven:
1. Persoonsauthenticatie: De kaarthouder authenticeert een transactie door een wachtwoord in te voeren dat is geregistreerd bij de verstrekker van de creditcard (bijv. 3D Secure).
2. Beveiligingscodes: De kaarthouder voert tijdens een online transactie een drie- of viercijferig nummer in dat te lezen is op de achterkant van de kaart (bijv. CVC-controles).
3. Kenmerk en gedragspatroonanalyse: Potentieel frauduleuze transacties kunnen worden herkend door kenmerken van de transactie en gedragspatronen te vergelijken met die van eerdere frauduleuze transacties. Aanvullende gegevens, zoals IP-adressen en klantactiviteit, kunnen de nauwkeurigheid van resultaten verbeteren.
4. Verzendadresgegevens: Frauduleuze betalingen kunnen soms worden herkend door het verzendadres te vergelijken met een lijst van verzendadressen die zijn gebruikt in eerdere frauduleuze transacties. Deze databases worden geleverd door derden of onderhouden door de bedrijven zelf.
Wat betekent dit voor Stripe-gebruikers?
Stripe biedt bedrijven manieren om snel en gemakkelijk alle vier deze methoden te implementeren, zoals hieronder weergegeven:
JCA-aanbeveling
|
Stripe-aanbeveling
|
---|---|
Persoonsauthenticatie | 3D Secure |
Beveiligingscodes | CVC-controles via Radar |
Kenmerk en gedragsanalyse | Stripe Radar |
Verzendadresgegevens | Stripe Radar-lijsten |
Conclusie
Het Stripe-platform is ontworpen om onze gebruikers te helpen op de hoogte te blijven van nieuwe functionaliteiten en veranderende regelgeving. We hopen dat deze gids je heeft geholpen de nieuwe vereisten te begrijpen die zijn geïntroduceerd door de Revised Installment Sales Act (en het JCA Implementation Plan) en hoe Stripe-gebruikers compliant kunnen blijven. Als je nog vragen hebt, laat het ons weten.
Documentatie
- Installment Sales Act (Ministerie van Economie, Handel en Industrie, in het Japans)
- Krediettransacties (Ministerie van Economie, Handel en Industrie, in het Japans)
- Richtlijnen voor creditcardbeveiliging (Japan Consumer Credit Association, in het Japans)
- Kredietgerelateerde statistieken (Japan Consumer Credit Association, in het Japans)
- Website van de PCI Security Standards Council (in het Japans)