Japanska riktlinjerna för kreditkortssäkerhet: Vad företag behöver veta

Payments
Payments

Ta emot betalningar online, i fysisk miljö och globalt med en betalningslösning som är skapad för alla typer av företag – från växande startup-företag till globala storföretag.

Läs mer 
  1. Introduktion
  2. Vilka är riktlinjerna för kreditkortssäkerhet?
  3. Varför är riktlinjerna för kreditkortssäkerhet nödvändiga?
  4. Vilka är skillnaderna mellan version 5.0 och 6.0 av riktlinjerna för kreditkortssäkerhet?
    1. Åtgärder för att förhindra stöld av kreditkortsinformation
    2. Bedrägeriskyddsåtgärder för att förhindra användning av kortinformation
    3. Åtgärder för att förhindra obehöriga inloggningar
    4. Införande av EMV 3D Secure
    5. Frekvent förekomst av bedrägerier och högriskföretag
    6. Företag som hanterar post-/telefonordertransaktioner (MO/TO)
    7. Företagssupport
    8. PIN-inmatning för kortbetalningar
  5. Steg för att följa riktlinjerna för kreditkortssäkerhet
    1. Bedöm nuvarande status och brister i efterlevnad
    2. Bestäm prioriteringar
    3. Regelbunden genomgång och utbildning av personalen
  6. Vilka är konsekvenserna om man inte följer riktlinjerna för kreditkortssäkerhet?
    1. Dataläckor och förlorat förtroende
    2. Ekonomiska förluster och återkrediteringar
    3. Administrativa sanktioner eller avstängning av affärsverksamhet
  7. Varför ska företag ha kontinuerliga säkerhetsåtgärder?

Populariteten för kontantlösa betalningar har lett till ökande kreditkortsbedrägerier i Japan. För företag som driver e-handelswebbplatser och använder onlinebetalningar är säkerhetsåtgärder en skyldighet, inte bara ett alternativ. I den här artikeln ger vi en förklaring av riktlinjerna för kreditkortssäkerhet i Japan, inklusive deras syfte, bakgrund och steg för efterlevnad.

Vad innehåller den här artikeln?

  • Vilka är riktlinjerna för kreditkortssäkerhet?
  • Varför är riktlinjerna för kreditkortssäkerhet nödvändiga?
  • Vilka är skillnaderna mellan version 5.0 och version 6.0 av riktlinjerna för kreditkortssäkerhet?
  • Steg för att följa riktlinjerna för kreditkortssäkerhet
  • Vilka är konsekvenserna om man inte följer riktlinjerna för kreditkortssäkerhet?
  • Varför ska företag ha kontinuerliga säkerhetsåtgärder?

Vilka är riktlinjerna för kreditkortssäkerhet?

Riktlinjer för kreditkortssäkerhet är en uppsättning policyer som reglerar säkerhetsåtgärder för kreditkortsanvändning. Alla företag i Japan måste följa dessa riktlinjer. De grundar sig på en plan från ministeriet för ekonomi, handel och industri (METI) för att minska risken för informationsläckage och bedrägerier och skapa en säker miljö för transaktioner. Japan Consumer Credit Association (JCA) arbetar också för att öka säkerhetsmedvetenheten och se till att företag vidtar grundliga åtgärder i hela branschen.

Version 6.0 – den senaste versionen av riktlinjerna – kräver strängare säkerhetsstandarder än tidigare versioner. Det är viktigt för företag att hålla sig uppdaterade med den senaste utvecklingen och reagera därefter. Denna utveckling omfattar lämplig hantering av kreditkortsinformation, tidig upptäckt och reaktion på bedräglig eller obehörig användning, säkerhetsutbildning för anställda och åtgärder för att hantera systemsårbarheter.

Att följa riktlinjerna kan hjälpa företag att vinna kundernas förtroende och förbli hållbara. Alla företag måste förstå detaljerna i de senaste riktlinjerna och vidta lämpliga åtgärder för att följa dem.

Varför är riktlinjerna för kreditkortssäkerhet nödvändiga?

Enligt en undersökning från JCA som var inriktad på företag som ger ut internationella märkeskreditkort i Japan, beräknades förlusten till följd av kreditkortsbedrägerier under 2024 uppgå till cirka 55,5 miljarder yen. Det är en rejäl ökning från 2014 då den var drygt 11 miljarder yen. År 2014 var skadorna till följd av kortuppgiftsstölder nästan 60 procent av det totala antalet stölder. Denna procentandel översteg 90 % år 2024, vilket belyser sårbarheten hos onlinetransaktioner, till exempel de som finns på e-handelswebbplatser.

Dessa siffror visar varför det är viktigt för företag att följa de senaste riktlinjerna för kreditkortssäkerhet. Riktlinjerna kan hjälpa företag att skydda kunder, följa lagen och upprätthålla sina varumärkens trovärdighet. I den osannolika händelsen av en dataläcka eller obehörig åtkomst kan konsekvenserna inkludera förlust av kunder, återkrediteringsförluster, administrativa påföljder eller betalning för skador.

Vilka är skillnaderna mellan version 5.0 och 6.0 av riktlinjerna för kreditkortssäkerhet?

Riktlinjerna för kreditkortssäkerhet har reviderats flera gånger sedan den första versionen 2020. Åtgärderna är indelade i två kategorier: transaktioner som inte sker ansikte mot ansikte (dvs. e-handelstransaktioner) och transaktioner som sker ansikte mot ansikte. Det är viktigt för företag att följa de riktlinjer som reglerar deras företagstyp. Till exempel innehåller version 6.0 nya åtgärder för e-handelsföretag, så det är viktigt för företag av denna typ att följa dessa nya riktlinjer.

Riktlinjerna för kreditkortssäkerhet är mycket detaljerade. Att förstå de viktigaste punkterna kan hjälpa ett företag att komma igång och svara på varje åtgärd. I tabellen nedan jämför vi version 5.0 och 6.0 för att ange åtgärder som har lagts till i var och en av riktlinjerna.

Åtgärder

Version 5.0

Version 6.0

Skydd av kortuppgifter

E-handel och företag som är verksamma ansikte mot ansikte

E-handelsföretag

  • Utöver de punkter som finns i version 5.0 måste företag implementera sårbarhetsmotåtgärder för sina system och webbplatser.

Skydd mot bedrägeri

E-handelsföretag

  • Upprätta ett system för auktoriseringsbehandling.
  • Förhindra bedräglig eller obehörig användning med hjälp av en kvalificerad chef, enligt vad som anges i affärsavtalet.

Företag som är verksamma ansikte mot ansikte

  • Alla betalterminaler måste vara EMV-kompatibla för att tillåta korttransaktioner med integrerade kretsar (IC).

E-handelsföretag

Regelbunden förekomst av bedrägerier/högriskföretag

E-handelsföretag

  • Företag som hanterar högriskprodukter måste genomföra minst en av de fyra åtgärder som beskrivs i riktlinjerna för kreditkortssäkerhet. Företag med en historia av bedrägerier måste genomföra minst två åtgärder (det här kravet upphörde i version 5.0).

E-handelsföretag

  • Företag med en historia av bedrägerier måste vidta lämpliga åtgärder för att förhindra att liknande bedräglig aktivitet inträffar i framtiden genom att implementera ytterligare åtgärder från de bedrägeriförebyggande åtgärder som beskrivs i riktlinjerna, beroende på omständigheterna för den bedrägliga aktiviteten.

Företag som hanterar transaktioner via postorder/telefonorder (MO/TO)

Företag som hanterar MO/TO-transaktioner

  • Upprätta ett system för auktoriseringsbehandling.
  • Tillhandahålla omsorgsplikt som en kvalificerad chef, enligt vad som anges i affärsavtalet.
  • Integrera åtgärder mot bedräglig användning i verksamhet som inte sker ansikte mot ansikte, i enlighet med risken och skadan som uppstått.
  • Högriskföretag måste genomföra minst en av de fyra åtgärderna, medan företag med en historia av bedrägerier måste genomföra minst två åtgärder (det här kravet upphörde i version 5.0).

Företag som hanterar MO/TO-transaktioner

  • Upprätta ett system för auktoriseringsbehandling.
  • Tillhandahålla omsorgsplikt som en kvalificerad chef, enligt vad som anges i affärsavtalet.
  • Integrera åtgärder mot bedräglig användning i verksamhet som inte sker ansikte mot ansikte, i enlighet med risken och skadan som uppstått.

Företagssupport

E-handelsföretag

  • Kortföretaget och betaltjänstleverantören (PSP) kommer att samordna och samarbeta för att ge råd och information till e-handelsföretag.
  • Leverantörer av e-handelssystem och andra relaterade företag bör förstå de motåtgärder mot sårbarhet som e-handelsföretag bör implementera och tillhandahålla konfigurations- och lösningstjänster för e-handelssystem samt underhåll, hantering, rådgivning och information.

Inmatning av PIN-kod under kortbetalning

Företag som är verksamma ansikte mot ansikte

Åtgärder för att förhindra stöld av kreditkortsinformation

I version 5.0 implementerade JCA åtgärder för att skydda kortinformation, till exempel icke-lagring och PCI DSS-efterlevnad. Dessa åtgärder har varit något effektiva för att förhindra incidenter där stora mängder kortdata stjäls på kort tid.

Incidenter har dock inträffat där kortinformation läckt ut till följd av obehörig extern åtkomst, virus eller systemmanipulering. Dessa berodde på otillräckliga motåtgärder mot sårbarheter, såsom antivirusåtgärder på affärssystem och webbplatser för e-handel, hantering av administratörsbehörigheter och enhetshantering. Därför kräver version 6.0 att e-handelsföretag implementerar följande motåtgärder mot system- och webbplatssårbarhet för att förhindra läckor av kortinformation:

  • Begränsningar av åtkomst till systemadministrationsskärmar och ID/lösenordshantering för administratörer
  • Åtgärder för att hantera konfigurationsfel och brister i samband med exponering av datakataloger
  • Motåtgärder för sårbarheter för webbappar
  • Introduktion och drift av antivirusprogram som en åtgärd mot skadlig kod
  • Motåtgärder mot skadliga giltighetskontroller och kreditgivare

Vid outsourcing av skapande, konfiguration och drift av e-handelssystem eller webbplatser måste outsourcingentreprenören följa de motåtgärder mot sårbarhet som e-handelsföretag är skyldiga att implementera.

Bedrägeriskyddsåtgärder för att förhindra användning av kortinformation

År 2023 uppgick den bedrägliga kortanvändningen i Japan till över 54 miljarder yen. Av det beloppet kom 93 % från identitetsstöld hos e-handelsföretag. Därför har åtgärder tillkommit i syfte att förhindra bedrägerier före och vid kortbetalningar.

Så här kan bedrägerier inträffa före, under och efter att ett kort har använts:

  • Före en kortbetalning: Bedrägliga aktörer kan registrera ett bedrägligt konto eller använda bedrägliga inloggningar genom att utge sig för att vara kunden.
  • Under en kortbetalning: Det har förekommit fall av obehörig användning av kortnummer och kortinformation som genererats av kreditgivaren. Dessutom har nätfiskebedrägerier använts för att stjäla kortinformation, konton, lösenord och attributinformation.
  • Efter en kortbetalning: Varor kan levereras eller säljas vidare på ett bedrägligt sätt, så det är nödvändigt att kontrollera beställningsuppgifterna och leveransadressen.

På grund av risken för bedrägerier är det nödvändigt att genomföra åtgärder som reglerar flödet av korttransaktioner. Det kan till exempel handla om att förhindra obehöriga inloggningar före kortbetalningar och att införa EMV 3D Secure vid kortbetalning.

Åtgärder för att förhindra obehöriga inloggningar

I version 6.0 rekommenderas följande åtgärder för att förhindra obehöriga inloggningar:

  • Begränsningar för åtkomst från misstänkta IP-adresser
  • Identifiering med hjälp av tvåstegsverifiering eller multifaktorautentisering
  • Bekräftelse av personuppgifter vid medlemsregistrering
  • Starkare begränsningar för antalet inloggningsförsök
  • E-postmeddelanden och SMS-meddelanden när medlemmar loggar in eller ändrar sina attribut
  • Attribut- och beteendeanalys
  • Enhetens fingeravtryck

Införande av EMV 3D Secure

Version 6.0 innehåller åtgärder relaterade till införandet av EMV 3D Secure. E-handelsföretag måste göra följande:

  • Integrera EMV 3D Secure och utför autentisering för att säkerställa att de kan verifiera kortinnehavarens identitet på rätt sätt.
  • Förbättra noggrannheten för riskbaserad autentisering (RBA)

Frekvent förekomst av bedrägerier och högriskföretag

Företag anses ofta ha regelbunden förekomst av bedrägerier när de har ådragit sig flera bedrägliga debiteringar på löpande basis. Vid tillämpningen av dessa riktlinjer anses företag ofta ha regelbundna förekomster av bedrägerier när deras bedrägliga debiteringar överstiger 500 000 yen under tre på varandra följande månader.

Högriskföretag är alla företag som huvudsakligen hanterar digitala produkter, såsom onlinespel, hushållsapparater, elektroniska pengar, biljetter och bokningstjänster för boende. Högriskföretag och de med hög förekomst av bedrägerier måste vidta ytterligare åtgärder.

Upp till version 5.0 var företag med en historia av bedrägerier tvungna att implementera minst två av de fyra åtgärder som beskrivs i riktlinjerna för kreditkortssäkerhet. Högriskföretag var tvungna att implementera minst en. Dessa åtgärder inkluderar autentisering av kortinnehavaren, kortverifiering, attribut- och beteendeanalys samt verifiering av leveransadressen.

Från och med version 6.0 är företagen dock nu skyldiga att genomföra ytterligare och lämpliga åtgärder eller förstärkta åtgärder som bygger på en strategi på flera nivåer. Detta tillvägagångssätt bör anpassas till den faktiska skada som orsakats av bedrägeriet och de specifika metoder som används. Denna ändring av riktlinjerna beror på de olika produkter och tjänster som företag kan erbjuda och de många metoder som bedrägliga aktörer kan använda för att skapa eller ta över konton.

Företag som hanterar post-/telefonordertransaktioner (MO/TO)

”MO/TO” är en term som ofta används i Japan för att hänvisa till postorderförsäljning (MO) och telefonorderförsäljning (TO). Med andra ord behandlar MO/TO-företag kortbetalningar via telefon eller post.

Många företag som hanterar MO/TO-transaktioner ägnar sig också åt e-handel. Därför har de fyra åtgärder för MO/TO-verksamheter som ingick i riktlinjerna fram till version 5.0 reviderats. Följande åtgärder fortsätter att krävas för MO/TO-företag i version 6.0:

  • Inrättande av ett system för behandling av auktorisation
  • Omsorgsplikt som kvalificerad chef, i enlighet med affärsavtalet
  • Integrering av personliga åtgärder mot bedräglig användning, i enlighet med den risk och skada som uppstått.

Företagssupport

Kreditkortsföretag och betaltjänstleverantörer är skyldiga att tillhandahålla information och stöd gällande de sårbarhetsmotåtgärder som e-handelsföretag bör genomföra.

Dessutom måste systemleverantörer och andra företag följa motåtgärder mot sårbarhet när de hanterar skapandet och konfigurationen av e-handelswebbplatser. När de driver och underhåller webbplatserna måste de också ge råd och stöd till e-handelsföretag.

PIN-inmatning för kortbetalningar

Sedan april 2025 behöver företag som genomför personliga transaktioner inte längre verifiera kundidentiteter med signaturer vid kortbetalningar. Istället måste de be kunderna att ange sina PIN-koder.

Steg för att följa riktlinjerna för kreditkortssäkerhet

Olika åtgärder krävs för att förhindra att kortinformation stjäls och används. Nedan beskriver vi händelseförloppet som ledde fram till stöld och bedräglig användning av kortinformation. Sedan beskriver vi de åtgärder som ska vidtas i varje steg.

För att följa version 6.0 måste företag implementera mångfacetterade åtgärder som är anpassade för deras branschtyp och transaktionsmönster. De måste också upprätta en lämplig intern organisationsstruktur.

Nedan följer några specifika exempel på hur företag kan fortsätta att följa riktlinjerna:

Bedöm nuvarande status och brister i efterlevnad

Det första steget är att verksamheten utvärderar sin säkerhetsnivå och hur den står sig i jämförelse med riktlinjerna i version 6.0. Denna bedömning kan hjälpa företag att identifiera luckor mellan deras faktiska praxis och regelverket. Här är några frågor som företag kan använda för att bekräfta den aktuella statusen för sina kortuppgifter och bedrägeriskyddsåtgärder:

Åtgärder för att förhindra stöld av kortinformation

  • Finns det begränsningar för åtkomst till hanteringsskärmar?
  • Hanteras administratörs-ID:n och lösenord på rätt sätt?
  • Hålls viktiga filer borta från offentliga kataloger?
  • Finns det några sårbarheter i webbappar?
  • Finns det åtgärder mot skadlig kod på plats?
  • Har antivirusprogram distribuerats?
  • Finns det åtgärder för kreditskydd på plats?

Åtgärder för att förhindra användning av kortinformation

  • Har EMV 3D Secure implementerats?
  • Finns det begränsningar för åtkomst från misstänkta IP-adresser?
  • Har tvåfaktors- eller multifaktorautentisering implementerats för att verifiera kundidentitet?
  • Har en gräns för antalet inloggningsförsök införts? Blir kundkonton låsta efter ett visst antal misslyckade inloggningsförsök?
  • Kontrolleras ändringar av medlemsinformation (t.ex. e-postadresser, hemadresser, telefonnummer)?
  • Identifieras bedrägliga transaktioner baserat på riskbedömningar med hjälp av tidigare transaktionsinformation (t.ex. ett system för att upptäcka bedrägerier)?
  • Är det möjligt att identifiera enheter med hjälp av fingeravtrycksteknik?

Bestäm prioriteringar

Säkerhetsåtgärder bör vara mer än en kombination av flera åtgärder. I stället bör de bestämmas utifrån verksamheten och dess situation. Företag kan analysera sin grad av risk för att avgöra vilka enskilda åtgärder som måste genomföras från listan ovan. Detta kan hjälpa företag att anta en flerskiktad strategi för att följa åtgärderna.

Regelbunden genomgång och utbildning av personalen

Bedrägerier blir allt mer sofistikerade. I takt med att företag inför nya säkerhetsåtgärder utvecklas bedrägerimetoder för att motverka dem. Det är därför tekniska åtgärder, organisatoriska initiativ och utbildning av anställda är nödvändiga. Dessutom bör den inledande granskningen av bedrägeririsken stödjas av en kontinuerlig granskning.

Vilka är konsekvenserna om man inte följer riktlinjerna för kreditkortssäkerhet?

Underlåtenhet att följa riktlinjerna kan få allvarliga konsekvenser för ett företags verksamhet. Följande är de största riskerna med bristande efterlevnad:

Dataläckor och förlorat förtroende

Läckor av personlig information kan undergräva ett företags trovärdighet, vilket leder till förlorade kunder och skada på varumärket genom mediebevakning.

Ekonomiska förluster och återkrediteringar

Återkreditering och kompensationsbetalningar på grund av bedrägerier kan vara en betydande börda, särskilt för små och medelstora företag.

Administrativa sanktioner eller avstängning av affärsverksamhet

Om myndigheten finner en överträdelse av riktlinjerna kan ett företag få ett förbättringsföreläggande eller en avstängning.

Varför ska företag ha kontinuerliga säkerhetsåtgärder?

Riktlinjerna för kreditkortssäkerhet är praktiska riktlinjer för att förbereda sig för ständigt föränderliga bedrägeririsker. Version 6.0 av riktlinjerna kräver efterlevnad av icke-lagring och PCI DSS, samt implementering av sårbarhetsmotåtgärder anpassade för varje verksamhet. Dessa motåtgärder baseras på en verksamhetsspecifik strategi.

Företag som försenar eller undviker att genomföra dessa åtgärder kan riskera sina kunders förtroende. De står också inför ett hot mot företagets framtid. Det är en bra idé att använda en omfattande betalningsplattform som överensstämmer med PCI DSS, till exempel Stripe Payments. På så sätt kan ditt företag gradvis bygga upp en miljö som följer den senaste versionen av riktlinjerna.

Innehållet i den här artikeln är endast avsett för allmän information och utbildningsändamål och ska inte tolkas som juridisk eller skatterelaterad rådgivning. Stripe garanterar inte att informationen i artikeln är korrekt, fullständig, adekvat eller aktuell. Du bör söka råd från en kompetent advokat eller revisor som är licensierad att praktisera i din jurisdiktion för råd om din specifika situation.

Är du redo att sätta i gång?

Skapa ett konto och börja ta emot betalningar – inga avtal eller bankuppgifter behövs – eller kontakta oss för att ta fram ett specialanpassat paket för ditt företag.
Payments

Payments

Ta emot betalningar online, i fysisk miljö och globalt med en betalningslösning som är skapad för alla typer av företag.

Dokumentation om Payments

Hitta en guide för hur du integrerar Stripes betalnings-API:er.