Japanse richtlijnen voor de beveiliging van betaalkaarten: Wat ondernemingen moeten weten

Payments
Payments

Ontvang over de hele wereld online en fysieke betalingen met een betaaloplossing die past bij elke onderneming, van veelbelovende start-ups tot multinationals.

Meer informatie 
  1. Inleiding
  2. Wat zijn de richtlijnen voor de beveiliging van betaalkaarten?
  3. Waarom zijn de richtlijnen voor de beveiliging van betaalkaarten nodig?
  4. Wat zijn de verschillen tussen versie 5.0 en 6.0 van de richtlijnen voor de beveiliging van betaalkaarten?
    1. Maatregelen om diefstal van creditcardgegevens te voorkomen
    2. Fraudebeschermingsmaatregelen om het gebruik van betaalkaartgegevens te voorkomen
    3. Maatregelen om ongeoorloofd inloggen te voorkomen
    4. Invoering van EMV 3D Secure
    5. Veelvuldig optreden van fraude en risicovolle ondernemingen
    6. Ondernemingen die transacties in verband met bestellingen per mail/telefoon (MO/TO) verwerken
    7. Zakelijke ondersteuning
    8. PIN-invoer voor kaartbetalingen
  5. Stappen om te voldoen aan de richtlijnen voor de beveiliging van betaalkaarten
    1. De huidige status en compliancehiaten beoordelen
    2. Prioriteiten bepalen
    3. Regelmatig controleren en personeel opleiden
  6. Wat zijn de gevolgen van het niet naleven van de richtlijnen voor de beveiliging van betaalkaarten?
    1. Datalekken en verlies van vertrouwen
    2. Financiële verliezen en chargebacks
    3. Administratieve sancties of opschorting van zakelijke activiteiten
  7. Waarom moeten ondernemingen voortdurend beveiligingsmaatregelen nemen?

De populariteit van cashloze betalingen heeft geleid tot een toenemende fraude met creditcards in Japan. Voor ondernemingen die e-commercesites exploiteren en online betalingen gebruiken, zijn veiligheidsmaatregelen een verplichting, niet slechts een optie. In dit artikel geven we uitleg over de richtlijnen voor de beveiliging van betaalkaarten in Japan, inclusief het doel, de achtergrond en de stappen voor compliance.

Wat staat er in dit artikel?

  • Wat zijn de richtlijnen voor de beveiliging van betaalkaarten?
  • Waarom zijn de richtlijnen voor de beveiliging van betaalkaarten nodig?
  • Wat zijn de verschillen tussen versie 5.0 en 6.0 van de richtlijnen voor de beveiliging van betaalkaarten?
  • Stappen om te voldoen aan de richtlijnen voor de beveiliging van betaalkaarten
  • Wat zijn de gevolgen van het niet naleven van de richtlijnen voor de beveiliging van betaalkaarten?
  • Waarom moeten ondernemingen voortdurend beveiligingsmaatregelen nemen?

Wat zijn de richtlijnen voor de beveiliging van betaalkaarten?

De richtlijnen voor de beveiliging van betaalkaarten zijn een reeks beleidsregels die de beveiligingsmaatregelen voor het gebruik van betaalkaarten regelen. Alle ondernemingen in Japan moeten deze richtlijnen volgen. Ze zijn gebaseerd op een plan van het Ministerie van Economie, Handel en Industrie (METI) om het risico van informatielekken en fraude te verminderen en een veilige omgeving voor transacties te creëren. De Japan Consumer Credit Association (JCA) zet zich ook in om het beveiligingsbewustzijn te vergroten en ervoor te zorgen dat ondernemingen grondige maatregelen nemen in de hele branche.

Versie 6.0 - de nieuwste versie van de richtlijnen - schrijft strengere beveiligingsnormen voor dan eerdere versies. Het is belangrijk voor ondernemingen om op de hoogte te blijven van de nieuwste ontwikkelingen en dienovereenkomstig te reageren. Deze ontwikkelingen omvatten het juiste beheer van creditcardgegevens, vroegtijdige opsporing van en reactie op frauduleus of ongeoorloofd gebruik, beveiligingstraining voor werknemers en maatregelen om systeemkwetsbaarheden aan te pakken.

Naleving van de richtlijnen kan ondernemingen helpen het vertrouwen van klanten te winnen en duurzaam te blijven. Alle ondernemingen moeten de details van de nieuwste richtlijnen begrijpen en de juiste maatregelen nemen om eraan te voldoen.

Waarom zijn de richtlijnen voor de beveiliging van betaalkaarten nodig?

Volgens een JCA-onderzoek dat zich richtte op ondernemingen die creditcards van internationale merken uitgeven in Japan zou het verlies als gevolg van fraude met creditcards in 2024 ongeveer 55,5 miljard yen bedragen. Dit is een aanzienlijke stijging ten opzichte van 2014, toen dit iets meer dan 11 miljard yen bedroeg. Verliezen door diefstal van nummers waren in 2014 goed voor bijna 60% van het totaal. Dit percentage zou in 2024 meer dan 90% bedragen, wat de kwetsbaarheid van online transacties, zoals die op e-commercesites, benadrukt.

Deze cijfers geven aan waarom het belangrijk is voor ondernemingen om te voldoen aan de nieuwste richtlijnen voor de beveiliging van creditcards. De richtlijnen kunnen ondernemingen helpen om klanten te beschermen, aan de wet te voldoen en de betrouwbaarheid van hun branding te behouden. In het onwaarschijnlijke geval van een gegevenslek of onbevoegde toegang kunnen de gevolgen onder meer zijn: verlies van klanten, chargebackverliezen, administratieve boetes of het betalen van schadevergoeding.

Wat zijn de verschillen tussen versie 5.0 en 6.0 van de richtlijnen voor de beveiliging van betaalkaarten?

De richtlijnen voor de beveiliging van betaalkaarten zijn sinds de eerste uitgave in 2020 verschillende keren herzien. De maatregelen zijn onderverdeeld in twee categorieën: transacties zonder persoonlijk contact (d.w.z. e-commercetransacties) en transacties met persoonlijk contact. Het is belangrijk voor ondernemingen om de richtlijnen te volgen die gelden voor hun bedrijfstype. Versie 6.0 bevat bijvoorbeeld nieuwe maatregelen voor e-commercebedrijven, dus het is belangrijk voor dit soort ondernemingen om aan deze nieuwe richtlijnen te voldoen.

De richtlijnen voor de beveiliging van betaalkaarten zijn zeer gedetailleerd. Inzicht in de belangrijkste punten kan een onderneming helpen aan de slag te gaan en op elke maatregel in te gaan. In de onderstaande tabel vergelijken we de versies 5.0 en 6.0 om aan te geven welke maatregelen aan elke van de richtlijnen zijn toegevoegd.

Maatregelen

Versie 5.0

Versie 6.0

Bescherming van kaartgegevens

E-commerce en ondernemingen met persoonlijk contact

E-commercebedrijven

  • Naast de punten in versie 5.0 moeten ondernemingen maatregelen tegen kwetsbaarheden implementeren voor hun systemen en websites.

Fraudebescherming

E-commercebedrijven

  • Opzetten van een autorisatieverwerkingssysteem.
  • Voorkomen van frauduleus of ongeoorloofd gebruik met de hulp van een gekwalificeerd beheerder, zoals vastgelegd in de zakelijke overeenkomst.

Ondernemingen met persoonlijk contact

  • Alle betaalterminals moeten EMV-compatibel zijn om transacties met IC-kaarten (Integrated Circuit) mogelijk te maken.

E-commercebedrijven

Vaak voorkomende fraude / bedrijven met een hoog risico

E-commercebedrijven

  • Ondernemingen die met producten met een hoog risico werken moeten minstens één van de vier maatregelen implementeren die in richtlijnen voor de beveiliging van betaalkaarten worden beschreven. Ondernemingen met een geschiedenis van fraude moeten minstens twee maatregelen implementeren. (Deze vereiste is vervallen na versie 5.0.)

E-commercebedrijven

  • Ondernemingen met een geschiedenis van fraude moeten passende maatregelen nemen om soortgelijke frauduleuze activiteiten in de toekomst te voorkomen door aanvullende maatregelen te implementeren van de fraudepreventiemaatregelen die in de richtlijnen worden beschreven, afhankelijk van de omstandigheden van de frauduleuze activiteit.

Ondernemingen die transacties in verband met bestellingen per mail/telefoon afhandelen

Ondernemingen die MO/TO-transacties afhandelen

  • Opzetten van een autorisatieverwerkingssysteem.
  • Zorgplicht bieden als gekwalificeerd beheerder, zoals bepaald in de zakelijke overeenkomst.
  • Integreren van maatregelen tegen frauduleus gebruik voor ondernemingen zonder persoonlijk contact, afhankelijk van het risico en de geleden schade.
  • Bedrijven met een hoog risico moeten minstens één van de vier maatregelen implementeren, terwijl bedrijven met een geschiedenis van fraude minstens twee maatregelen moeten implementeren. (Deze vereiste is vervallen na versie 5.0.)

Ondernemingen die MO/TO-transacties afhandelen

  • Opzetten van een autorisatieverwerkingssysteem.
  • Zorgplicht bieden als gekwalificeerd beheerder, zoals bepaald in de zakelijke overeenkomst.
  • Integreren van maatregelen tegen frauduleus gebruik voor ondernemingen zonder persoonlijk contact, afhankelijk van het risico en de geleden schade.

Zakelijke ondersteuning

E-commercebedrijven

  • De betaalkaartmaatschappij en betaaldienstverlener (PSP) zal coördineren en samenwerken om advies en informatie te verstrekken aan e-commerce ondernemingen.
  • Leveranciers van e-commercesystemen en andere aanverwante dienstverleners moeten begrijpen welke maatregelen tegen kwetsbaarheden e-commercebedrijven moeten nemen en moeten diensten voor het configureren en herstellen van e-commercesystemen, evenals voor onderhoud, beheer, advies en informatie.

Persoonlijk identificatienummer (PIN) invoeren tijdens betaalkaartbetalingen

Ondernemingen met persoonlijk contact

  • Klanten verplichten om pincodes in te voeren bij creditcardbetalingen.
  • De PIN-bypass wordt stopgezet.

Maatregelen om diefstal van creditcardgegevens te voorkomen

In versie 5.0 heeft JCA maatregelen ter bescherming van betaalkaartgegevens geïmplementeerd, zoals niet-bewaring en PCI DSS-compliance. Deze maatregelen zijn enigszins effectief geweest in het voorkomen van incidenten waarbij grote hoeveelheden betaalkaartgegevens in korte tijd worden gestolen.

Er hebben zich echter incidenten voorgedaan waarbij betaalkaart-informatie is gelekt als gevolg van ongeoorloofde externe toegang, virussen of manipulatie van het systeem. Deze waren te wijten aan onvoldoende maatregelen tegen kwetsbaarheden, zoals antivirusmaatregelen op e-commercebedrijfssystemen en -websites, beheer van beheerdersrechten en apparaatbeheer. Daarom schrijft versie 6.0 voor dat e-commercebedrijven de volgende maatregelen tegen systeem- en websitekwetsbaarheden implementeren om het lekken van betaalkaartgegevens te voorkomen:

  • Beperkingen op toegang tot systeembeheerschermen en ID-/wachtwoordbeheer voor beheerders
  • Maatregelen om configuratiefouten en tekortkomingen in verband met blootstelling aan gegevensmappen aan te pakken
  • Maatregelen tegen kwetsbaarheden voor webapps
  • Introductie en gebruik van antivirussoftware als maatregel tegen malware
  • Maatregelen tegen kwaadaardige geldigheidscontroles en kredietbeheerders

Bij het uitbesteden van de creatie, configuratie en werking van e-commercesystemen of -websites moet de onderaannemer de maatregelen volgen die e-commercebedrijven verplicht moeten implementeren.

Fraudebeschermingsmaatregelen om het gebruik van betaalkaartgegevens te voorkomen

In 2023 was met het frauduleuze gebruik van betaalkaarten in Japan meer dan ¥ 54 miljard gemoeid. Van dat bedrag was 93% het gevolg van identiteitsdiefstal bij e-commercebedrijven. Daarom zijn er maatregelen toegevoegd om fraude voor en tijdens kaartbetalingen te voorkomen.

Hier lees je hoe fraude kan optreden voor, tijdens en nadat een betaalkaart is gebruikt:

  • Voor een kaartbetaling: Frauduleuze actoren kunnen een frauduleus account registreren of frauduleuze inloggegevens gebruiken door zich voor te doen als de klant.
  • Tijdens een kaartbetaling: Er zijn gevallen bekend van ongeoorloofd gebruik van betaalkaartnummers en betaalkaartgegevens dat door de kredietbeheerder is gegenereerd. Daarnaast zijn phishingscams gebruikt om betaalkaartgegevens, accounts, wachtwoorden en attribuutinformatie te stelen.
  • Na een kaartbetaling: Goederen kunnen frauduleus worden geleverd of doorverkocht, dus het is noodzakelijk om de bestellingsdetails en het bezorgadres te controleren.

Vanwege de mogelijkheid van fraude is het noodzakelijk om maatregelen te nemen die de stroom van betaalkaarttransacties reguleren. Voorbeelden hiervan zijn het voorkomen van ongeoorloofd inloggen voor kaartbetalingen en het introduceren van EMV 3D Secure tijdens de kaartbetalingsprocedure.

Maatregelen om ongeoorloofd inloggen te voorkomen

In versie 6.0 worden de volgende maatregelen aanbevolen om ongeoorloofd inloggen te voorkomen:

  • Beperkingen op toegang vanaf verdachte IP-adressen (Internet Protocol)
  • Identificatie met tweestapsverificatie of multifactorauthenticatie
  • Bevestiging van persoonlijke gegevens tijdens de registratie van leden
  • Sterkere beperkingen op het aantal inlogpogingen
  • E-mails en sms-berichten wanneer leden inloggen of hun attributen wijzigen
  • Analyse van attributen en gedrag
  • Identificatie van apparaten aan de hand van hun kenmerken

Invoering van EMV 3D Secure

Versie 6.0 bevat maatregelen met betrekking tot de introductie van EMV 3D Secure. E-commercebedrijven moeten het volgende doen:

  • EMV 3D Secure integreren en authenticatie uitvoeren om ervoor te zorgen dat ze de identiteit van de kaarthouder goed kunnen verifiëren
  • De nauwkeurigheid verbeteren van risicogebaseerde authenticatie (RBA)

Veelvuldig optreden van fraude en risicovolle ondernemingen

Bedrijven worden geacht vaak met fraude te maken te hebben wanneer ze doorlopend kosten maken in verband met fraude. In het kader van deze richtlijnen worden bedrijven geacht vaak fraude te hebben wanneer hun kosten in verband met fraude meer dan ¥ 500.000 bedragen gedurende drie opeenvolgende maanden.

Bedrijven met een hoog risico zijn bedrijven die voornamelijk digitale producten verwerken, zoals online games, huishoudelijke apparaten, elektronisch geld, tickets en reserveringsdiensten voor accommodaties. Bedrijven met een hoog risico en bedrijven met een hoge kans op fraude moeten aanvullende maatregelen nemen.

Tot versie 5.0 waren bedrijven met een geschiedenis van fraude verplicht om ten minste twee van de vier maatregelen te implementeren die worden beschreven in de richtlijnen voor de beveiliging van betaalkaarten. Bedrijven met een hoog risico moesten er minstens één uitvaardigen. Deze maatregelen omvatten authenticatie van de kaarthouder, betaalkaartverificatie, attribuut- en gedragsanalyse en verificatie van het bezorgadres.

Vanaf versie 6.0 zijn ondernemingen echter verplicht om aanvullende en passende maatregelen te implementeren of verbeterde maatregelen op basis van een gelaagde aanpak te nemen. Deze aanpak moet worden afgestemd op de werkelijke schade die door de fraude is veroorzaakt en de specifieke methoden die zijn gebruikt. Deze wijziging in de richtlijnen is te wijten aan de verschillende producten en diensten die bedrijven kunnen aanbieden en de vele methoden die frauduleuze actoren kunnen gebruiken om accounts aan te maken of over te nemen.

Ondernemingen die transacties in verband met bestellingen per mail/telefoon (MO/TO) verwerken

"MO/TO" is een term die in Japan vaak wordt gebruikt om te verwijzen naar verkoop via e-mailbestelling (MO) en telefoonbestelling (TO). Met andere woorden, MO/TO-bedrijven verwerken kaartbetalingen telefonisch of per mail.

Veel ondernemingen die MO/TO transacties afhandelen, houden zich ook bezig met e-commerce. Daarom zijn de vier maatregelen voor MO/TO-ondernemingen die tot versie 5.0 in de richtlijnen stonden, herzien. De volgende maatregelen blijven vereist voor MO/TO-ondernemingen in versie 6.0:

  • Opzetten van een autorisatieverwerkingssysteem
  • Zorgplicht als gekwalificeerd beheerder, zoals vastgelegd in de zakelijke overeenkomst
  • Integreren van maatregelen tegen frauduleus gebruik voor ondernemingen zonder persoonlijk contact, afhankelijk van het risico en de geleden schade

Zakelijke ondersteuning

Kredietkaartbedrijven en PSP's zijn verplicht om informatie en ondersteuning te bieden met betrekking tot de maatregelen die e-commercebedrijven moeten implementeren om kwetsbaarheden tegen te gaan.

Bovendien moeten systeemaanbieders en andere ondernemingen tegenmaatregelen tegen kwetsbaarheden nemen bij het maken en configureren van e-commercesites. Bij de exploitatie en het onderhoud van de sites moeten zij ook advies en ondersteuning bieden aan ondernemingen die e-commerce aanbieden.

PIN-invoer voor kaartbetalingen

Sinds april 2025 hoeven ondernemingen die fysieke betalingen uitvoeren bij kaartbetalingen niet langer de identiteit van klanten te verifiëren met handtekeningen. In plaats daarvan moeten ze klanten vragen om hun pincode in te voeren.

Stappen om te voldoen aan de richtlijnen voor de beveiliging van betaalkaarten

Er zijn verschillende maatregelen nodig om te voorkomen dat betaalkaartgegevens gestolen en gebruikt worden. Hieronder geven we de volgorde weer van gebeurtenissen die leiden tot diefstal en frauduleus gebruik van betaalkaartgegevens. Vervolgens schetsen we de maatregelen die in elk stadium genomen moeten worden.

Om aan versie 6.0 te voldoen, moeten ondernemingen veelzijdige maatregelen implementeren die zijn aangepast aan hun bedrijfstype en transactiepatronen. Ze moeten ook een geschikte interne organisatiestructuur opzetten.

Hieronder volgen enkele specifieke voorbeelden van hoe ondernemingen aan de richtlijnen kunnen blijven voldoen:

De huidige status en compliancehiaten beoordelen

De eerste stap is dat de onderneming haar beveiligingsniveau beoordeelt en nagaat hoe dit zich verhoudt tot de richtlijnen in versie 6.0. Deze beoordeling kan ondernemingen helpen bij het identificeren van hiaten tussen hun huidige praktijken en de voorschriften. Hier volgen enkele vragen die ondernemingen kunnen gebruiken om de huidige status van hun maatregelen ter bescherming van betaalkaartgegevens ter voorkoming van fraude te bevestigen:

Maatregelen om diefstal van betaalkaartgegevens te voorkomen

  • Zijn er beperkingen voor de toegang tot beheerschermen?
  • Worden beheerder-ID's en wachtwoorden naar behoren beheerd?
  • Worden belangrijke bestanden uit openbare mappen gehouden?
  • Zijn er kwetsbaarheden in webapps?
  • Zijn er antimalwaremaatregelen genomen?
  • Is er antivirussoftware geïnstalleerd?
  • Zijn er kredietbeschermingsmaatregelen getroffen?

Maatregelen om het gebruik van betaalkaartgegevens te voorkomen

  • Is EMV 3D Secure geïmplementeerd?
  • Zijn er beperkingen voor toegang vanaf verdachte IP-adressen?
  • Is er tweefactorauthenticatie of multifactorauthenticatie geïmplementeerd om de identiteit van de klant te verifiëren?
  • Is er een limiet op het aantal inlogpogingen geïmplementeerd? Worden accounts van klanten geblokkeerd na een bepaald aantal mislukte inlogpogingen?
  • Worden wijzigingen in de gegevens van leden (bijv. e-mailadressen, huisadressen, telefoonnummers) gecontroleerd?
  • Worden frauduleuze transacties geïdentificeerd op basis van risicobeoordelingen met behulp van informatie over eerdere transacties (d.w.z. een fraudedetectiesysteem)?
  • Is het mogelijk om apparaten te identificeren met behulp van fingerprinttechnologie?

Prioriteiten bepalen

Beveiligingsmaatregelen moeten meer zijn dan een combinatie van meerdere maatregelen. In plaats daarvan moeten ze worden bepaald op basis van de onderneming en haar situatie. Ondernemingen kunnen hun risiconiveau analyseren om te bepalen welke van de bovenstaande lijst van afzonderlijke maatregelen moeten worden geïmplementeerd. Dit kan ondernemingen helpen om de maatregelen in meerdere lagen te implementeren.

Regelmatig controleren en personeel opleiden

Fraude wordt steeds geraffineerder. Naarmate ondernemingen nieuwe beveiligingsmaatregelen invoeren, ontwikkelen de fraudemethoden zich om deze tegen te gaan. Daarom zijn technische maatregelen, organisatorische initiatieven en opleiding van werknemers noodzakelijk. Bovendien moet de eerste controle van het frauderisico ondersteund worden door een doorlopende controle.

Wat zijn de gevolgen van het niet naleven van de richtlijnen voor de beveiliging van betaalkaarten?

Het niet voldoen aan de richtlijnen kan ernstige gevolgen hebben voor de activiteiten van een onderneming. Hieronder volgen de belangrijkste risico's van niet-naleving:

Datalekken en verlies van vertrouwen

Het uitlekken van persoonlijke gegevens kan de betrouwbaarheid van een onderneming ondermijnen, wat kan leiden tot verlies van klanten en schade aan de branding door media-aandacht.

Financiële verliezen en chargebacks

Chargebacks en compensatiebetalingen als gevolg van fraude kunnen een aanzienlijke last zijn, vooral voor kleine en middelgrote ondernemingen.

Administratieve sancties of opschorting van zakelijke activiteiten

Als de administratieve instantie een overtreding van de richtlijnen vaststelt, kan een onderneming een bevel tot verbetering of opschorting krijgen.

Waarom moeten ondernemingen voortdurend beveiligingsmaatregelen nemen?

De richtlijnen voor de beveiliging van betaalkaarten zijn praktische richtlijnen om je voor te bereiden op de steeds veranderende risico's van fraude. Versie 6.0 van de richtlijnen vereist compliance ten aanzien van niet-bewaring en PCI DSS, evenals de implementatie van maatregelen om kwetsbaarheden tegen te gaan, die voor elke onderneming zijn aangepast. Deze maatregelen zijn gebaseerd op de aard van de onderneming.

Ondernemingen die de implementatie van deze maatregelen uitstellen of vermijden, kunnen het vertrouwen van hun klanten op het spel zetten. Ook de toekomst van hun onderneming loopt gevaar. Het is een goed idee om een uitgebreid betaalplatform te gebruiken dat voldoet aan PCI DSS, zoals Stripe Payments. Op deze manier kan je onderneming geleidelijk een omgeving opbouwen die voldoet aan de nieuwste versie van de richtlijnen.

De inhoud van dit artikel is uitsluitend bedoeld voor algemene informatieve en educatieve doeleinden en mag niet worden opgevat als juridisch of fiscaal advies. Stripe verklaart of garandeert niet dat de informatie in dit artikel nauwkeurig, volledig, adequaat of actueel is. Voor aanbevelingen voor jouw specifieke situatie moet je het advies inwinnen van een bekwame, in je rechtsgebied bevoegde advocaat of accountant.

Klaar om aan de slag te gaan?

Maak een account en begin direct met het ontvangen van betalingen. Contracten of bankgegevens zijn niet vereist. Je kunt ook contact met ons opnemen om een pakket op maat voor je onderneming samen te stellen.
Payments

Payments

Ontvang over de hele wereld online en fysieke betalingen met een betaaloplossing die past bij elke onderneming.

Documentatie voor Payments

Vind een whitepaper over de integratie van de betaal-API's van Stripe.