El 14 de marzo de 2023, se revisó un conjunto de lineamientos del sector que determinan medidas de seguridad para las empresas que realizan transacciones de tarjeta, las «Pautas de seguridad para tarjetas de crédito» (las Pautas de seguridad para tarjetas de crédito versión 4.0, en adelante, «Pautas de seguridad para tarjetas de crédito»). Posteriormente, el 14 de noviembre, se publicó un documento titulado «Mapa de ruta de desarrollo de 3D Secure EMV para comerciantes» (el «Mapa de ruta») para complementar las Pautas de seguridad para tarjetas de crédito.
La autenticación mediante 3D Secure es un mecanismo que proporciona un nivel de autenticación adicional en las transacciones con tarjeta de crédito y protege a las empresas de la responsabilidad de pagos fraudulentos con tarjeta.
Las Pautas de seguridad para tarjetas de crédito y el Mapa de ruta establecen que los comerciantes de Japón que realizan ventas en línea (usuarios de Stripe) deben habilitar 3D Secure 2 antes de fines de marzo de 2025 para combatir el fraude.
Los comerciantes tienen la obligación de adoptar ciertas medidas de seguridad según la Ley de ventas en cuotas, así como medidas que cumplan con las Pautas de seguridad para tarjetas de crédito y el Mapa de ruta antes de fines de marzo de 2025.
Los comerciantes deben iniciar con la implementación de 3D Secure 2, en función de las Pautas de seguridad para tarjetas de crédito y el Mapa de ruta, con el siguiente orden de prioridades.
Nivel |
Alcance |
Expectativas |
Nivel 1 |
Comerciantes con más de JPY 500,000 en transacciones fraudulentas confirmadas al mes en un período de 3 meses consecutivos («Comerciantes expuestos a fraude»). |
Implementación inmediata de 3D Secure 2. |
Nivel 2 |
Comerciantes que no están identificados como «expuestos a fraude», pero que detectaron al menos cinco transacciones fraudulentas confirmadas o al menos JPY 100,000 en transacciones fraudulentas en los últimos dos años. |
Planificación para la implementación de 3D Secure 2 e implementación rápida. |
Nivel 3 |
Comerciantes que venden contenido digital, artículos electrónicos, dinero electrónico o valor almacenado, entradas o sitios de reserva de alojamiento. |
Planificación para la implementación de 3D Secure 2 e implementación rápida. |
Nivel 4 |
Otros comerciantes |
Planificación para la implementación de 3D Secure 2 e implementación rápida. |
Si ya utilizas Stripe, es posible que debas revisar tu integración para asegurar que sea compatible con 3D Secure 2.
Si utilizas la API Charges:
La API Charges no es compatible con 3D Secure 2. Por lo tanto, si tu cuenta utiliza la API de Charges, se rechazarán los pagos que se hagan a través de ella que requieran autenticación del emisor de la tarjeta. Para evitar un aumento de los pagos rechazados en tu cuenta, recomendamos con firmeza que migres a la API Payment Intents lo antes posible.
Si utilizas la API Payment Intents:
Para evitar un incremento de los pagos rechazados en tu cuenta, deberás asegurarte de que tu integración pueda gestionar el estado `requires_action` para indicar a tus clientes que autentiquen sus pagos. Si se realizó previamente una integración con la integración básica de tarjetas, deberás actualizarla para que gestione la autenticación de tarjetas.
Te recomendamos que pruebes tu integración para confirmar que se implementó 3D Secure 2. Si tienes dudas sobre cómo probar tu integración, encontrarás lineamientos en nuestra documentación de prueba.
Stripe ofrece un producto de prevención de fraude llamado Radar, que utiliza machine learning a través del análisis de datos de pago de más de un millón de empresas en todo el mundo para detectar y bloquear transacciones fraudulentas. Radar usa machine learning para realizar evaluaciones de riesgo basadas en cientos de indicadores, como los tipos de tarjeta, el país de uso, dispositivo y comportamiento. Stripe ofrece tres reglas predeterminadas de Radar que solicitan 3D Secure 2 de forma dinámica. Cuando se configuran estas reglas en el dashboard, se puede solicitar una autenticación adicional a los clientes si la empresa emisora de tarjeta requiere 3D Secure 2.
Con Radar para Equipos de Fraude, que permite la configuración de reglas personalizadas, las empresas pueden crear configuraciones de gestión de riesgos exclusivas para 3D Secure 2. Las solicitudes de 3D Secure 2 pueden realizarse en función de los niveles de riesgos o metadatos específicos, lo que ayuda a prevenir el bloqueo excesivo de pagos legítimos, reducir la tasa de rechazo de transacciones y maximizar los ingresos.
El uso de Radar puede ayudar a prevenir la pérdida de conversiones y permite implementar medidas antifraude basadas en el riesgo.
Se espera que los «Proveedores de servicios de pago» como Stripe, así como los adquirentes con los que nos asociamos (SMCC, JCB, American Express, etc.), brinden soporte a los usuarios a medida que implementan 3D Secure 2 antes de fines de marzo de 2025. También se nos solicitó que colaboremos con los «comerciantes expuestos a fraude» para que puedan implementar 3D Secure 2 rápidamente.
Stripe continuará trabajando con nuestros socios para proporcionar datos relevantes y brindar soporte a nuestros usuarios. Enviaremos avisos si los usuarios necesitan cambiar sus integraciones y haremos un seguimiento según sea necesario para brindarles soporte durante la implementación de 3D Secure 2.
Están incluidas las transacciones con tarjeta de crédito con marcas internacionales. En la práctica, los comerciantes deberán procesar las tarjetas prepagas, tarjetas de débito, tarjetas corporativas y tarjetas emitidas en el exterior de la misma forma que las tarjetas de crédito personales emitidas en Japón. Si el emisor de la tarjeta no puede procesar 3D Secure 2, se espera que la transacción solicitada se apruebe sin 3D Secure 2.
No se incluyen las transacciones en las que se usa una tarjeta física en persona.
No se cobra una multa, pero la entidad reguladora puede solicitar información y llevar a cabo inspecciones en la sede del comerciante. Además, el emisor puede solicitar una investigación a través de Stripe o del adquirente, que puede instar al comerciante a implementar las medidas de seguridad necesarias si no ha dado los pasos necesarios para proteger los números de las tarjetas de crédito y evitar el uso fraudulento. Si, pese a estas instrucciones, el comerciante no adopta las medidas de seguridad, es posible que se cancele su incorporación como comerciante.
Aún se están analizando las exenciones y las categorías no incluidas. Se espera que el consejo del sector correspondiente publique más información a medida que esté disponible.