在日本,无现金支付的普及导致信用卡欺诈日益猖獗。对于经营电商网站和使用线上付款的商家来说,安全措施是一种义务,而不仅仅是一种选择。在本文中,我们将对日本的《信用卡安全指南》进行解释,包括其目的、背景和监管合规步骤。
本文内容
- 《信用卡安全指南》是什么?
- 《信用卡安全指南》为什么是必须的?
- 《信用卡安全指南》 5.0 版和 6.0 版有哪些差异?
- 遵从《信用卡安全指南》的步骤
- 不遵从《信用卡安全指南》会有什么后果?
- 商家为何要采取持续的安全措施?
《信用卡安全指南》是什么?
《信用卡安全指南》是一套规范信用卡使用安全措施的政策。日本的所有商家都必须遵守该指南。其基于经济产业省 (METI) 的一项计划,旨在降低信息泄露和欺诈的风险,并创造一个安全的交易环境。日本消费信贷协会 (JCA) 也致力于提高安全意识,确保全行业的商家都能采取周全的措施。
6.0 版——最新版本的指南——提出了比以往版本更为严格的安全标准。商家及时了解最新动态并做出相应调整至关重要。这些动态包括对信用卡信息的适当管理、对欺诈性使用或未经授权的使用行为的早期检测与应对、针对员工的安全培训,以及解决系统漏洞的相关措施。
遵守指南可以帮助商家赢得客户信任,保持可持续发展。所有商家都必须了解最新指南的详细内容,并采取适当措施遵从该指南。
《信用卡安全指南》为什么是必须的?
根据一项 JCA 调查,该调查主要针对在日本发卡的国际品牌商家,预计 2024 年信用卡欺诈造成的损失金额将达到约 555 亿日元。与 2014 年略高于 110 亿日元的数字相比,这一数字大幅增加。2014 年,盗号造成的损失占总额的近 60%。到 2024 年,这一比例超过了 90%,凸显了在线交易(如电商网站上的交易)的脆弱性。
这些数字说明了为什么商家必须遵从最新的《信用卡安全指南》。指南可以帮助商家保护客户、遵从法律并维护品牌的可信度。万一发生数据泄露或未经授权的访问,后果可能包括客户流失、撤单损失、行政处罚或赔偿损失。
《信用卡安全指南》5.0 版和 6.0 版有哪些差异?
2020 年首次发布以来,《信用卡安全指南》已经过多次修订。措施分为两类:非面对面交易(即电商交易)和面对面交易。对于商家来说,遵循规范其业务类型的指南非常重要。例如,6.0 版包含针对电商业务的新措施,因此该类型的商家必须遵从这些新指南。
《信用卡安全指南》内容十分详尽。理解其核心要点有助于商家着手落实并应对各项措施。在下方表格中,我们对 5.0 版本与 6.0 版本进行了对比,以明确各版本指南中新增的措施。
措施 |
版本 5.0 |
6.0 版 |
---|---|---|
银行卡信息保护 |
电商和面对面交易商家
|
电商企业
|
欺诈保护 |
电商企业
面对面交易商家
|
电商企业
|
欺诈频发企业/高风险商家 |
电商企业
|
电商企业
|
处理邮购/电话订购 (MO/TO) 交易的商家 |
处理 MO/TO 交易的商家
|
处理 MO/TO 交易的商家
|
业务支持 |
— |
电商企业
|
在银行卡支付时输入个人识别码 (PIN) |
— |
面对面交易商家
|
防止信用卡信息被盗的措施
在 5.0 版本中,JCA 推行了银行卡信息防护措施,例如信息不留存原则和符合 PCI DSS 标准等。这些措施在预防短期内大量银行卡数据被盗的事件方面已取得一定成效。
然而,因外部未授权访问、病毒入侵或系统篡改导致银行卡信息泄露的事件仍有发生。这些事件的根源在于漏洞防护措施不足,例如电子商务业务系统及网站的漏洞防护措施、管理员权限管理以及设备管理等方面存在疏漏。因此,6.0 版本要求电商企业实施以下系统及网站漏洞防护措施,以防止银行卡信息泄露:
- 对系统管理界面的访问限制以及管理员的账号/密码管理
- 针对配置错误及数据目录暴露相关缺陷的应对措施
- 网络应用程序的漏洞应对措施
- 作为恶意软件防护措施的杀毒软件部署与运行
- 针对恶意有效性验证及信用卡大师的防范措施
当将电子商务系统或网站的搭建、配置及运维工作外包时,外包服务商必须遵守电子商务企业所需执行的漏洞防护措施。
防止银行卡信息被滥用的欺诈防护措施
2023 年,日本的银行卡欺诈交易额超过 540 亿日元。其中,93% 的欺诈交易源于电商企业中的身份盗用行为。因此,新增了多项措施,旨在在银行卡支付前及支付过程中防范欺诈行为。
以下是银行卡在使用前、使用中及使用后可能发生欺诈的情形:
- 银行卡支付前: 欺诈分子可能会注册欺诈性账户,或通过冒充客户进行欺诈性登录。
- 在银行卡支付过程中: 曾发生过未经授权使用信用卡大师生成的卡号和银行卡信息的案例。此外,网络钓鱼诈骗也被用来窃取银行卡信息、账户、密码及属性信息。
- 银行卡支付后: 商品可能被欺诈性交付或转售,因此有必要检查订单信息和收货地址。
由于存在欺诈的可能性,因此有必要实施规范银行卡交易流程的措施。例如,在银行卡支付前防止未经授权的登录,以及在银行卡支付流程中引入 EMV 3D Secure。
未经授权登录防范措施
在 6.0 版中,建议采取以下措施防止未经授权的登录:
- 限制从可疑的互联网协议 (IP) 地址进行访问
- 使用两步验证或多因素身份验证进行身份识别
- 会员注册时确认个人信息
- 对登录尝试次数实施更严格的限制
- 会员登录或修改属性信息时的电子邮件及短信服务 (SMS) 通知
- 属性与行为分析
- 设备指纹识别
采用 EMV 3D 安全技术
6.0 版包括与引入 EMV 3D Secure 有关的措施。电商企业必须做到以下几点:
- 集成应用 EMV 3DS 验证并进行身份验证,确保能正确验证持卡人身份
- 提高基于风险身份验证 (RBA) 的准确性
欺诈行为的频发及高风险企业
如果商家持续多次发生欺诈性收款,则被视为频繁发生欺诈行为。就本指南而言,如果商家连续三个月的欺诈性收款超过 50 万日元,则被视为频繁欺诈。
高风险商家是指任何主要经营数字产品的商家,如网络游戏、家用电器、电子货币、门票和住宿预订服务等。高风险商家和欺诈发生率高的商家必须制定额外的措施。
在 5.0 版之前,有欺诈记录的商家必须实施《信用卡安全指南》中概述的四项措施中的至少两项。高风险商家必须至少采取一项措施。这些措施包括持卡人身份验证、银行卡验证、属性和行为分析以及收货地址验证。
然而,从 6.0 版开始,商家需基于分层防护方法,实施额外的适当措施或强化措施。这种方法应根据欺诈造成的实际损失和采用的具体方法来定制。指南之所以进行这种更改,是因为企业提供的产品与服务种类繁多,而欺诈分子创建或接管账户的手段也多种多样。
处理电子邮件/电话订单 (MO/TO) 交易的商家
“MO/TO”是日本经常使用的一个术语,指邮购 (MO) 和电话订购 (TO) 销售。换句话说,MO/TO 商家通过电话或邮件处理银行卡支付。
许多处理 MO/TO 交易的商家也从事电商业务。因此,截至 5.0 版的指南中包含的针对 MO/TO 商家的四项措施已作修订。在 6.0 版中,MO/TO 商家仍需采取以下措施:
- 建立授权处理系统
- 商家协议中规定的合格管理者的谨慎行事义务
- 根据风险及已造成的损失,集成防范欺诈使用的非面对面交易措施
业务支持
信用卡公司和 PSP 必须就电商企业应实施的漏洞防护措施提供信息及支持。
此外,系统供应商和其他商家在处理电商网站的搭建与配置时,必须遵循漏洞对策。在运营和维护网站时,他们还必须为电商企业提供建议与支持。
输入银行卡支付个人识别码 (PIN)
自 2025 年 4 月起,进行线下交易的商家不再需要在银行卡支付时通过签名验证客户身份。取而代之的是要求客户输入个人识别码 (PIN)。
遵从《信用卡安全指南》的步骤
防止银行卡信息被盗用需要采取多种不同的措施。下面,我们将梳理银行卡信息从被盗到被欺诈性使用的整个事件顺序,然后概述在每个阶段应采取的防护措施。
为遵从 6.0 版的要求,商家必须实施针对其行业类型和交易模式定制的多方面措施,同时还必须建立适当的内部组织结构。
以下是商家如何遵守这些指南的一些具体示例:
评估当前状况与合规缺口
首先,商家要评估自身的安全级别,以及与 6.0 版指南的契合程度。这项评估可以帮助商家找出实际操作与规定之间的差距。以下是一些商家可以用来确认银行卡信息及欺诈防护措施现状的几个问题:
防止银行卡信息被盗的措施
- 访问管理界面是否设有权限限制?
- 管理员账号和密码是否得到妥善管理?
- 重要文件是否存放在非公共目录中?
- 网络应用程序是否存在漏洞?
- 是否采取了反恶意软件措施?
- 是否部署了杀毒软件?
- 是否制定了信用卡大师防护措施?
防止银行卡信息被滥用的措施
- 是否已部署 EMV 3D Secure?
- 针对可疑 IP 地址的访问限制是否已设置?
- 是否已实施双因素或多因素认证来验证客户身份?
- 是否对登录尝试次数设置了限制?客户账户是否会在尝试登录失败达到一定次数后被锁定?
- 会员信息的变更(例如电子邮箱、家庭住址、电话号码)是否经过审核?
- 是否基于过往交易信息通过风险评估来识别欺诈交易(即是否部署了欺诈检测系统)?
- 使用指纹识别技术可以识别设备吗?
确定优先事项
安全措施不应仅仅是多种措施的简单叠加,而应根据商家自身及实际情况来制定。商家可通过分析自身的风险程度,从上述措施清单中确定必须实施的具体措施。这有助于商家采用多层级方法来落实各项安全措施。
定期审查与人员培训
欺诈手段正变得日益复杂。随着商家引入新的安全措施,欺诈方法也会不断演变以规避这些措施。因此,技术措施、组织举措和员工培训都必不可少。此外,在对欺诈风险进行初步审查的基础上,还应开展持续的风险审查。
不遵从《信用卡安全指南》会有什么后果?
不遵从指南会对商家的运营造成严重影响。以下是不遵守指南的主要风险:
数据泄露和信任缺失
个人信息泄露会破坏商家的可信度,导致客户流失,并通过媒体报道损害品牌。
财务损失和撤单
因欺诈而导致的撤单和支付赔偿可能是一个沉重的负担,尤其是对中小型商家而言。
行政处罚或暂停业务
如果行政机构发现有违反指南的行为,商家可能会收到改进令或停业令。
商家为何要采取持续的安全措施?
《信用卡安全指南》是应对不断变化的欺诈风险的实用性指南。其 6.0 版要求商家遵守信息不留存原则及 PCI DSS 标准,并基于业务类别实施定制化的漏洞防护措施。
推迟或避免实施这些措施的商家可能会面临失去客户信任的风险。其业务的未来发展也将受到威胁。建议使用符合 PCI DSS 标准的综合支付平台,如 Stripe Payments。通过这种方式,商家能够逐步构建符合最新版本指南要求的运营环境。
本文中的内容仅供一般信息和教育目的,不应被解释为法律或税务建议。Stripe 不保证或担保文章中信息的准确性、完整性、充分性或时效性。您应该寻求在您的司法管辖区获得执业许可的合格律师或会计师的建议,以就您的特定情况提供建议。