Le 14 mars 2023, un ensemble de directives du secteur décrivant les mesures de sécurité pour les entreprises qui effectuent des transactions par carte, les « Directives de sécurité des cartes de crédit » (Directives de sécurité des cartes de crédit Version 4.0, ci-après « Directives de sécurité des cartes de crédit »). Par la suite, le 14 novembre, un document intitulé « Feuille de route pour le déploiement du protocole EMV 3D Secure pour les marchands » (la « Feuille de route ») a été publié pour compléter les Directives de sécurité des cartes de crédit.
Le protocole 3D Secure est un mécanisme qui fournit un niveau d'authentification supplémentaire pour les transactions par carte de crédit et protège les entreprises de la responsabilité des paiements frauduleux par carte.
Les Directives de sécurité des cartes de crédit et la Feuille de route indiquent que les marchands japonais qui effectuent des ventes en ligne (utilisateurs de Stripe) doivent activer 3D Secure 2 d'ici la fin mars 2025 afin de lutter contre la fraude.
Les marchands ont l'obligation d'adopter certaines mesures de sécurité en vertu de la loi sur les ventes à tempérament, et ils doivent adopter des mesures conformes aux Directives de sécurité des cartes de crédit et à la Feuille de route d'ici à la fin mars 2025.
Les marchands sont tenus de mettre en œuvre 3D Secure 2, conformément aux Directives de sécurité des cartes de crédit et à la Feuille de route, dans l'ordre de priorité suivant.
Niveau |
Champ d'application |
Action requise |
Niveau 1 |
Marchands dont le montant des transactions frauduleuses confirmées est supérieur à 500 000 JPY par mois sur une période de trois mois consécutifs (« Marchands exposés à la fraude ») |
Commencer immédiatement à mettre en œuvre 3D Secure 2 |
Niveau 2 |
Marchands qui ne sont pas des « marchands exposés à la fraude », mais qui ont observé au moins cinq transactions frauduleuses confirmées ou au moins 100 000 JPY de transactions frauduleuses confirmées au cours des deux dernières années |
Prévoir la mise en œuvre de 3D Secure 2 et y procéder rapidement |
Niveau 3 |
Marchands qui vendent du contenu numérique, de l'électronique, de la monnaie électronique ou des valeurs stockées, sites de billetterie ou de réservation d'hébergement |
Prévoir la mise en œuvre de 3D Secure 2 et y procéder rapidement |
Niveau 4 |
Autres marchands |
Prévoir la mise en œuvre de 3D Secure 2 et y procéder rapidement |
Si vous utilisez déjà Stripe, vous devrez peut-être vérifier votre intégration pour vous assurer que 3D Secure 2 est pris en charge.
Si vous êtes sur l'API Charges
L'API Charges ne prend pas en charge 3D Secure 2. Par conséquent, si votre compte utilise l'API Charges, tous les paiements effectués par le biais de l'API qui nécessitent l'authentification de l'émetteur de la carte échoueront. Pour éviter une augmentation des paiements refusés sur votre compte, nous vous recommandons vivement de migrer vers l'API Payment Intents dès que possible.
Si vous utilisez l'API Payment Intents
Pour éviter une augmentation des paiements refusés sur votre compte, vous devez vous assurer que votre intégration peut gérer l'état `requires_action` afin d'inviter vos clients à authentifier leurs paiements. Si vous avez précédemment procédé à l'intégration de cartes de base, vous devrez mettre à jour votre intégration pour gérer l'authentification de carte.
Nous vous recommandons de tester votre intégration pour confirmer que vous avez mis en œuvre 3D Secure 2. Si vous ne savez pas comment tester votre intégration, vous trouverez des conseils supplémentaires dans notre documentation sur les tests.
Stripe propose un produit de prévention de la fraude appelé Radar, qui utilise l'apprentissage automatique en analysant les données de paiement de plus d'un million d'entreprises dans le monde et qui détecte et bloque les transactions frauduleuses. Radar utilise l'apprentissage automatique pour effectuer des évaluations de risques basées sur des centaines d'indicateurs, notamment le type de carte, le pays d'utilisation, l'appareil et le comportement. Stripe propose trois règles Radar par défaut qui demandent dynamiquement 3D Secure 2. En définissant ces règles dans le Dashboard, une authentification supplémentaire peut être demandée aux clients lorsque la société émettrice de leur carte exige 3D Secure 2.
Grâce à Radar for Fraud Teams, qui permet de définir des règles personnalisées, les entreprises peuvent adapter leurs propres paramètres de gestion des risques pour 3D Secure 2. Les demandes 3D Secure 2 peuvent être basées sur des niveaux de risque ou des métadonnées particulières, ce qui permet d'éviter le blocage excessif des paiements légitimes, de réduire le taux de refus de paiement des transactions et de maximiser les revenus.
L'utilisation de Radar peut contribuer à atténuer la perte de conversion tout en prévoyant des mesures antifraude basées sur le risque.
Les « fournisseurs de services de paiement » comme Stripe et les acquéreurs avec lesquels nous sommes partenaires (SMCC, JCB, American Express, etc.) accompagneront les utilisateurs dans la mise en œuvre de 3D Secure 2 d'ici la fin du mois de mars 2025. Il nous est également demandé de nous rapprocher des « marchands exposés à la fraude » afin qu'ils activent rapidement 3D Secure 2.
Stripe continuera à collaborer avec ses partenaires pour fournir des informations et une assistance pertinentes à ses utilisateurs. Nous avertirons les utilisateurs s'ils doivent modifier leur intégration et nous assurerons un suivi avec eux si nécessaire pour soutenir la mise en œuvre de 3D Secure 2.
Les transactions effectuées à l'aide de cartes de crédit de marque internationale sont concernées. Dans la pratique, les marchands devront traiter les cartes prépayées, les cartes de débit, les cartes d'entreprise et les cartes émises à l'étranger de la même manière que les cartes de crédit personnelles émises au Japon. Pour les cartes dont l'émetteur n'est pas en mesure de traiter 3D Secure 2, la transaction demandée devrait être approuvée sans recourir à 3D Secure 2.
Les transactions pour lesquelles une carte physique est utilisée en personne sont hors périmètre.
Aucune amende n'est prévue, mais l'autorité de réglementation peut demander des informations et effectuer des inspections dans les locaux du marchand. En outre, l'émetteur peut demander une enquête concernant le marchand par l'intermédiaire de Stripe ou de l'acquéreur, qui peut demander au marchand de prendre les mesures de sécurité nécessaires si le marchand n'a pas pris les mesures appropriées pour empêcher l'utilisation frauduleuse et protéger les numéros de carte de crédit. Si, malgré ces instructions, un marchand n'adopte pas les mesures de sécurité, il peut être exclu du réseau de marchands.
Les catégories exemptées et hors périmètre sont en cours d'examen. Nous attendons de la part du comité sectoriel concerné qu'il publie des informations supplémentaires au fur et à mesure qu'elles seront disponibles.