กฎหมายว่าด้วยการขายแบบผ่อนชำระเป็นหนึ่งในกฎหมายคุ้มครองผู้บริโภคหลักของญี่ปุ่นที่บังคับใช้กับธุรกิจบนอินเทอร์เน็ตทั้งหมดในญี่ปุ่นที่ยอมรับการชำระเงินด้วยบัตรเครดิต โดยในปี 2018 รัฐบาลญี่ปุ่นได้ปรับปรุงกฎหมายว่าด้วยการขายแบบผ่อนชำระเพื่อให้ธุรกิจออนไลน์สามารถจัดการข้อมูลผู้บริโภคได้อย่างปลอดภัย และเพื่อลดการฉ้อโกงทางออนไลน์
คู่มือนี้จะแนะนำข้อกำหนดหลักต่างๆ ของกฎระเบียบใหม่ และวิธีการที่ธุรกิจ Stripe ในญี่ปุ่นจะปฏิบัติตามข้อกำหนดได้ตลอด
ภูมิหลัง
รายงานเดือนมีนาคม 2018 (ภาษาญี่ปุ่น) ที่ได้รับคำสั่งจากสมาคมเครดิตผู้บริโภคแห่งประเทศญี่ปุ่น (JCA) ระบุว่าปี 2017 เป็นปีที่อุตสาหกรรมประสบความสูญเสียจากการทุจริตสูงสุดเป็นประวัติการณ์ โดยมีมูลค่าความเสียหายจากการฉ้อโกงออนไลน์มากกว่า 2.36 หมื่นล้านเยน (มากกว่า 200 ล้านดอลลาร์สหรัฐ) ซึ่งเพิ่มขึ้นถึง 65% จากปีก่อนหน้า
เพื่อเป็นการตอบสนองต่อสถานการณ์นี้ คณะกรรมการด้านความปลอดภัยของธุรกรรมเครดิตของ JCA ได้ประกาศแผนการดำเนินงานประจำปี 2018 (ภาษาญี่ปุ่น) ซึ่งมีจุดมุ่งหมายเพื่อปรับปรุงนโยบายด้านความปลอดภัยและการป้องกันฉ้อโกงสำหรับธุรกิจที่ยอมรับการชำระเงินด้วยบัตรผ่านระบบออนไลน์ ทั้งนี้ เนื่องจากกฎหมายว่าด้วยการขายแบบผ่อนชำระฉบับปรับปรุง (改正割賦販売法) มีผลบังคับใช้ ธุรกิจออนไลน์จึงมีหน้าที่ต้องจัดการข้อมูลบัตรเครดิตอย่างเหมาะสม และปรับใช้มาตรการการป้องกันการฉ้อโกง
การจัดการข้อมูลบัตรเครดิตอย่างเหมาะสม
PCI-DSS (มาตรฐานการรักษาความปลอดภัยข้อมูลสำหรับอุตสาหกรรมบัตรชำระเงิน) เป็นมาตรฐานการรักษาความปลอดภัยข้อมูลระดับโลกสำหรับธุรกิจที่รับการชำระเงินด้วยบัตรเครดิต แผนการดำเนินงานของ JCA ปี 2018 มีการระบุใช้มาตรฐานระดับโลกนี้ในแนวทางดำเนินการ ดังนั้น การปฏิบัติตามข้อกำหนดของ PCI จึงถือเป็นวิธีหลักที่ธุรกิจสามารถรับรองว่าตนได้ปฏิบัติตามข้อกำหนดของกฎหมายว่าด้วยการขายแบบผ่อนชำระฉบับปรับปรุง
ธุรกรรมออนไลน์เป็นตัวก่อให้เกิดความเสี่ยงเพิ่มขึ้นต่อความปลอดภัยของข้อมูลเจ้าของบัตร ดังนั้นแผนการดำเนินงานของ JCA จึงเป็นตัวกระตุ้นให้ธุรกิจหลีกเลี่ยงการจัดการข้อมูลบัตรแบบดิบ โดยเฉพาะอย่างยิ่งธุรกิจไม่ควร ส่ง จัดเก็บ หรือ ดำเนินการข้อมูล เจ้าของบัตรบนคอมพิวเตอร์ เซิร์ฟเวอร์ หรืออุปกรณ์อื่นๆ ในเครือข่ายของตน
เพื่อให้เป็นไปตามข้อกำหนดนี้ ธุรกิจต่างๆ สามารถแปลงข้อมูลบัตรเป็นโทเค็นได้ ซึ่งการแปลงเป็นโทเค็นจะช่วยให้ธุรกิจของคุณสามารถ เก็บรายละเอียดของบัตรที่ละเอียดอ่อนจากลูกค้าได้อย่างปลอดภัย ข้อมูลที่ละเอียดอ่อนจะไม่ไหลเข้าสู่เซิร์ฟเวอร์ของคุณ แต่จะส่งโทเค็นที่แสดงถึงข้อมูลนี้กลับไปยังเซิร์ฟเวอร์เพื่อให้นำไปใช้ได้ การใช้ผู้ประมวลผลการชำระเงินที่เป็นไปตามข้อกำหนดของ PCI อย่าง Stripe จะช่วยให้ธุรกิจของคุณไม่ต้องดำเนินการชำระเงินกับเครือข่ายบัตรโดยตรงได้
ผลที่ตามมาสำหรับผู้ใช้ Stripe
ผู้ใช้ Stripe ควรใช้ Stripe Elements, Stripe Checkout หรือ SDK สำหรับอุปกรณ์เคลื่อนที่ตัวใดตัวหนึ่ง เพื่อรับชำระเงิน หากใช้ผลิตภัณฑ์เหล่านี้และหากมีการรับรองแนวทางธุรกิจที่ดีเกี่ยวกับการรักษาความปลอดภัยของข้อมูล ก็จะช่วยให้ธุรกิจไม่จำเป็นต้องจัดการข้อมูลบัตรแบบดิบเพื่อรับชำระเงินออนไลน์
เมื่อคุณมีข้อกำหนดด้านธุรกิจในการจัดการข้อมูลดิบ
ระเบียบข้อบังคับใหม่กำหนดให้ธุรกิจที่จัดการข้อมูลบัตรแบบดิบต้องผ่านการรับรองของ PCI-DSS ก่อน หากธุรกิจของคุณจำเป็นต้องจัดการข้อมูลบัตรแบบดิบ โปรดทราบด้วยว่ากระบวนการรับรองอาจมีค่าใช้จ่ายสูงและใช้เวลานาน โดยระบบจะมีการสนับสนุนผ่านขั้นตอนแนะนำในแดชบอร์ด Stripe และคุณสามารถดูรายละเอียดเพิ่มเติมได้ในคู่มือการปฏิบัติตามข้อกำหนดของ PCI-DSS ของเรา
|
ข้อกำหนดของ JCA
|
แนวทางที่เป็นไปได้
|
ค่าใช้จ่าย
|
|---|---|---|
|
ไม่มีการส่ง เก็บ หรือประมวลผลข้อมูลบัตรหรือการรับรองมาตรฐาน PCI-DSS |
Stripe Elements, Stripe Checkout หรือ SDK สำหรับอุปกรณ์เคลื่อนที่ของการชำระเงินทั้งหมด | ฟรี |
| ขอรับการรับรองมาตรฐาน PCI-DSS และรายงานสถานะการรับรองของคุณผ่านแดชบอร์ด Stripe (ดูคู่มือการปฏิบัติตามข้อกำหนดของ PCI ของเรา.) | แตกต่างกันไปตามขนาดและความซับซ้อนของธุรกิจ (ดูได้ที่เว็บไซต์ของสภามาตรฐานความปลอดภัย PCI)) |
ใช้มาตรการป้องกันการฉ้อโกง
แผนการดำเนินการของ JCA แนะนำวิธีการป้องกันการฉ้อโกงสำหรับธุรกิจออนไลน์ดังต่อไปนี้:
1. การตรวจสอบสิทธิ์ส่วนบุคคล: เจ้าของบัตรจะตรวจสอบสิทธิ์ธุรกรรมโดยการป้อนรหัสผ่านที่ลงทะเบียนกับบริษัทผู้ออกบัตรเครดิต (เช่น 3D Secure)
2. รหัสความปลอดภัย: เจ้าของบัตรต้องป้อนหมายเลข 3 หรือ 4 หลักที่อยู่ด้านหลังของบัตรในระหว่างที่ทำธุรกรรมออนไลน์ (เช่น การตรวจสอบ CVC)
3. การวิเคราะห์แอตทริบิวต์และรูปแบบพฤติกรรม สามารถระบุธุรกรรมที่เป็นการฉ้อโกงได้โดยการจับคู่แอตทริบิวต์ของธุรกรรมและรูปแบบพฤติกรรมเข้ากับข้อมูลที่เก็บรวบรวมมาจากธุรกรรมที่เป็นการฉ้อโกงในอดีต ส่วนข้อมูลเพิ่มเติม เช่น ที่อยู่ IP และกิจกรรมของลูกค้า จะช่วยเพิ่มความแม่นยำของผลลัพธ์ได้
4. ข้อมูลที่อยู่สำหรับจัดส่ง: บางครั้งเราสามารถระบุการชำระเงินที่เป็นการฉ้อโกงได้โดยการนำที่อยู่สำหรับจัดส่งไปตรวจสอบเทียบกับรายการที่อยู่ที่ทราบว่าเคยถูกใช้ในการทำธุรกรรมที่เป็นการฉ้อโกงในอดีต ฐานข้อมูลเหล่านี้อาจมาจากบุคคลที่สามหรือได้รับการจัดการดูแลจากธุรกิจเองโดยตรง
ผลที่ตามมาสำหรับผู้ใช้ Stripe
Stripe มอบช่องทางที่ธุรกิจสามารถใช้เพื่อนำวิธีการเหล่านี้ไปใช้งานได้อย่างรวดเร็วและง่ายดาย
|
คำแนะนำของ JCA
|
คำแนะนำของ Stripe
|
|---|---|
| การตรวจสอบสิทธิ์ส่วนบุคคล | 3D Secure |
| รหัสความปลอดภัย | การตรวจสอบ CVC ผ่าน Radar |
| การวิเคราะห์ลักษณะและพฤติกรรม | Stripe Radar |
| ข้อมูลที่อยู่สำหรับจัดส่ง | รายการ Stripe Radar |
บทสรุป
แพลตฟอร์ม Stripe ออกแบบมาเพื่อช่วยให้ผู้ใช้ของเราสามารถคอยติดตามฟีเจอร์ใหม่ๆ หรือการเปลี่ยนแปลงระเบียบข้อบังคับได้ตลอด เราหวังว่าคู่มือฉบับนี้จะช่วยให้คุณเข้าใจเกี่ยวกับข้อกำหนดใหม่ๆ ที่กฎหมายว่าด้วยการขายแบบผ่อนชำระฉบับปรับปรุง (และแผนการดำเนินงานของ JCA) ได้นำมาใช้ รวมทั้งวิธีที่ Stripe สามารถปฏิบัติตามข้อกำหนดได้ตลอด หากมีข้อสงสัยใดๆ โปรดแจ้งให้เราทราบ
ข้อมูลอ้างอิง
- กฎหมายว่าด้วยการขายแบบผ่อนชำระ (กระทรวงเศรษฐกิจ การค้า และ อุตสาหกรรม)
- ธุรกรรมเครดิต (กระทรวงเศรษฐกิจ การค้า และ อุตสาหกรรม)
- แนวทางการรักษาความปลอดภัยของบัตรเครดิต (สมาคมเครดิตผู้บริโภคแห่งประเทศญี่ปุ่น)
- สถิติเกี่ยวกับเครดิต (สมาคมเครดิตผู้บริโภคแห่งประเทศญี่ปุ่น)
- เว็บไซต์ของคณะกรรมการมาตรฐานด้านการรักษาความปลอดภัยของ PCI