《分期付款销售法》是日本主要的消费者保护法律之一,适用于日本所有接受信用卡付款的互联网商家。2018 年,日本政府修订了《分期付款销售法》,以确保线上商家安全地管理消费者数据,减少网络欺诈行为。
本指南将介绍新法规的关键要求,以及日本使用 Stripe 的商家如何做到合规。
背景
日本消费者信贷协会 (JCA) 于 2018 年 3 月委托发布的一份报告(日文)指出,2017 年是迄今为止全行业欺诈损失最高的一年。网络欺诈造成的经济损失超过 236 亿日元(超过 2 亿美元),比上一年增加了 65%。
为此,JCA 信用交易安全委员会公布了其《2018 年实施方案》(日文),旨在改善接受银行卡线上付款的商家的安全和欺诈预防政策。随着《分期付款销售法修订版》(改正割賦販売法)的生效,线上商家现在必须妥善处理信用卡数据并实施欺诈预防措施。
妥善处理信用卡数据
PCI-DSS(支付卡行业数据安全标准),是针对接受信用卡付款的商家的全球信息安全标准。JCA 的《2018 年实施方案》在方法上参考了这一全球标准。也就是说,符合 PCI 要求是商家确保自身满足《分期付款销售法修订版》要求的主要途径。
线上交易增加了持卡人数据的安全风险,因此 JCA 的《实施方案》强烈建议商家避免处理原始卡信息。具体而言,商家不得在自身网络中的计算机、服务器或其他设备上传输、存储或处理持卡人数据。
为满足这一要求,商家可以对银行卡数据进行令牌化处理。通过令牌化,商家能够以安全的方式收集客户的敏感卡信息。敏感数据不会传输至商家的服务器,而是返回一个代表这些信息的令牌,供商家服务器使用。使用像 Stripe 这样符合 PCI 标准的支付处理机构,也意味着商家无需直接通过卡组织处理支付细节。
这对 Stripe 用户意味着什么
Stripe 用户应使用 Stripe Elements、Stripe Checkout,或移动 SDK 之一接受付款。通过使用这些产品,并围绕数据安全采取良好的业务实践,商家在接受在线支付时无需处理原始银行卡数据。
当存在需要处理原始数据的业务需求时
新法规要求处理原始银行卡数据的商家必须通过 PCI-DSS 认证。如果您确实需要处理原始银行卡数据,请注意,获得认证的过程可能既昂贵又耗时。您可以通过 Stripe 管理平台中的指导流程获得支持,还可以在我们的 PCI 合规指南中找到更多详细信息。
|
JCA 要求
|
实施路径
|
成本
|
|---|---|---|
|
不传输、存储或处理卡片信息或取得 PCI-DSS 认证 |
所有支付使用 Stripe Elements、Stripe Checkout 或移动 SDK | 免费 |
| 获取 PCI-DSS 认证并通过 Stripe 管理平台报告认证状态。(参见我们的 PCI 合规指南。) | 依企业规模及复杂度而异(参见 PCI 安全标准委员会官网。) |
实施欺诈预防措施
JCA 的《实施方案》建议线上商家采用以下方法预防欺诈:
1. 个人身份验证: 持卡人输入已在信用卡发卡行注册的密码(如3DS 验证)来验证交易。
2. 安全代码: 持卡人进行线上交易时输入卡背面的三位或四位数字(如CVC 检查)。
3. 属性和行为模式分析: 将交易的属性和行为模式与从历史欺诈交易中收集到的相应属性和模式进行比对,能够识别出潜在的欺诈交易。此外,利用 IP 地址和客户活动等额外数据,可进一步提升识别结果的准确性。
4. 收货地址信息: 欺诈性付款有时可通过将收货地址与已知曾用于过往欺诈性交易的地址清单进行比对来识别。这些数据库由第三方机构提供,或直接由商家自行维护。
这对 Stripe 用户意味着什么
如下所示,Stripe 为商家提供了快速、轻松地实施上述四种方法的途径:
|
JCA 建议
|
Stripe 建议
|
|---|---|
| 个人身份验证 | 3DS 验证 |
| 安全码 | 通过 Radar 进行 CVC 检查 |
| 属性与行为分析 | Stripe Radar |
| 收货地址信息 | Stripe Radar 列表 |
结论
Stripe 平台会帮助用户及时了解新功能或不断变化的法规。我们希望本指南能帮助您了解《修订分期付款销售法案》(及 JCA 的实施方案)提出的新要求,以及 Stripe 用户如何保持合规。如果您有任何问题,请告诉我们。