Avbetalningsförsäljningslagen är en av de stora japanska konsumentskyddslagarna som gäller för alla internetföretag i Japan som tar emot kreditkortsbetalningar. År 2018 reviderade den japanska regeringen lagen om avbetalningsförsäljning för att säkerställa att onlineföretag hanterar konsumentdata på ett säkert sätt och för att minska onlinebedrägerier.
I den här guiden beskriver vi de viktigaste kraven i den nya förordningen och hur Stripe-företag i Japan kan fortsätta att följa reglerna.
Bakgrund
En rapport från mars 2018 (japanska)På uppdrag av Japan Consumer Credit Association (JCA) identifieras 2017 som det år med de högsta bedrägeriförlusterna i branschen hittills. Mer än 23,6 miljarder JPY (över 200 miljoner USD) i ekonomiska förluster tillskrevs onlinebedrägerier – en ökning med 65 % från föregående år.
Som svar på detta tillkännagav JCA:s säkerhetsråd för kredittransaktioner sin genomförandeplan för 2018 (japanska), som syftar till att förbättra säkerheten och bedrägeribekämpningen för företag som tar emot kortbetalningar online. Med den reviderade lagen om avbetalningsförsäljning (改正割賦販売法) i kraft, är onlineföretag nu skyldiga att hantera kreditkortsuppgifter på lämpligt sätt och vidta åtgärder för att förhindra bedrägerier.
Hantering av kreditkortsuppgifter på lämpligt sätt
PCI-DSS (Payment Card Industry Data Security Standard)är den globala informationssäkerhetsstandarden för företag som tar emot kreditkortsbetalningar. I JCA:s genomförandeplan för 2018 hänvisas till denna globala standard i tillvägagångssättet. Det vill säga, att vara PCI-kompatibel är det primära sättet för företag att säkerställa att de uppfyller kraven i den reviderade avbetalningsförsäljningslagen.
Onlinetransaktioner utgör en ökad risk för säkerheten för kortinnehavares uppgifter, så JCA:s genomförandeplan uppmuntrar starkt företag att undvika att hantera rå kortinformation. Mer specifikt bör företag inte överföra, lagra eller behandla kortinnehavardata på datorer, servrar eller andra enheter i sitt nätverk.
För att uppfylla detta krav kan företag tokenisera kortdata. Med tokenisering kan ditt företag samla in känsliga kortuppgifter från dina kunder på ett säkert sätt. Känsliga data når inte dina servrar, och i stället returneras en token som representerar denna information till servern för användning. Att använda en PCI-kompatibel betalleverantör som Stripe innebär också att ditt företag inte behandlar betalningsuppgifter direkt med kortnätverk.
Vad detta innebär för Stripe-användare
Stripe-användare bör användaStripe Elements,Stripe Checkout, eller en av följandemobila SDK:erför att ta emot betalningar. Genom att använda dessa produkter och säkerställa god affärspraxis kring datasäkerhet behöver företag inte hantera rådata från kort för att ta emot betalningar online.
När du har ett affärsbehov av att hantera rådata
De nya reglerna kräver att företag som hanterar rådata från kort är PCI-DSS-certifierade. Om ditt företag behöver hantera rådata från kort, observera att processen att bli certifierad kan vara dyr och tidskrävande. Support är tillgänglig via ett guidat flöde i din Stripe Dashboard och du kan hitta mer information ivår guide för PCI-DSS-efterlevnad.
|
JCA-krav
|
Möjligt tillvägagångssätt
|
Kostnad
|
|---|---|---|
|
Ingen överföring, lagring eller behandling av kortuppgifter ELLER PCI DSS-certifiering |
Stripe Elements, Stripe Checkout eller mobila SDK:er för alla betalningar | Kostnadsfritt |
| Erhåll PCI DSS-certifiering och rapportera din certifieringsstatus via Stripe Dashboard. (Se vår guide till PCI-efterlevnad.) | Varierar beroende på företagets storlek och struktur. (Se PCI Security Standards Councils webbplats.) |
Implementering av bedrägeriförebyggande åtgärder
JCA:s genomförandeplan rekommenderar följande metoder för att förebygga bedrägerier för onlineföretag:
1. Personlig autentisering: Kortinnehavaren autentiserar en transaktion genom att ange ett lösenord som har registrerats hos deras kreditkortsutgivare (t.ex.3D Secure).
2. Säkerhetskoder: Kortinnehavaren anger ett tre- eller fyrsiffrigt nummer som finns på baksidan av kortet vid online-transaktioner (t.ex.CVC-kontroller).
3. Analys av attribut och beteendemönster: Potentiellt bedrägliga transaktioner kan identifieras genom att matcha attribut för transaktionen och beteendemönster med de som samlats in från tidigare bedrägliga transaktioner. Ytterligare data, t.ex. IP-adress och kundaktivitet, kan förbättra resultatens noggrannhet.
4. Information om leveransadress: Bedrägliga betalningar kan ibland identifieras genom att kontrollera leveransadresserna mot en lista med adresser som är kända för att ha använts i tidigare bedrägliga transaktioner. Dessa databaser tillhandahålls av tredje part eller underhålls direkt av företagen själva.
Vad detta innebär för Stripe-användare
Stripe erbjuder sätt för företag att snabbt och enkelt implementera alla dessa fyra metoder, som visas nedan:
|
JCA-rekommendation
|
Stripe-rekommendation
|
|---|---|
| Personlig autentisering | 3D Secure |
| Säkerhetskoder | CVC-kontroller via Radar |
| Attribut- och beteendeanalys | Stripe Radar |
| Information om leveransadress | Stripe Radar-listor |
Slutsats
Stripe-plattformen är utformad för att hjälpa våra användare att hålla sig uppdaterade med nya funktioner eller ändrade regler. Vi hoppas att den här guiden har hjälpt dig att förstå de nya kraven som introduceras av ten reviderade lagen om försäljning på avbetalning (och JCA:s implementeringsplan) och hur Stripe-användare kan följa reglerna. Om du har några frågor kontakta oss.
Referenser
- Lagen om avbetalningsköp (Ministeriet för ekonomi, handel och bransch)
- Kredittransaktioner (ministeriet för ekonomi, handel och bransch)
- Riktlinjer för kreditkortssäkerhet (Japan Consumer Credit Association)
- Kreditrelaterad statistik (Japan Consumer Credit Association)
- Webbplats för PCI Security Standards Council