Mandat 3DS di Jepang

Pada tanggal 14 Maret 2023, serangkaian pedoman industri yang menguraikan langkah-langkah keamanan untuk bisnis yang melakukan transaksi kartu, yaitu "Pedoman Keamanan Kartu Kredit", telah direvisi (Pedoman Keamanan Kartu Kredit Versi 4.0, selanjutnya disebut "Pedoman Keamanan Kartu Kredit"). Selanjutnya, pada tanggal 14 November, sebuah dokumen berjudul "Roadmap Penyebaran EMV 3-D Secure untuk Merchants" ("Roadmap") dirilis untuk melengkapi Pedoman Keamanan Kartu Kredit.

3D Secure adalah mekanisme yang menyediakan lapisan autentikasi tambahan untuk transaksi kartu kredit dan melindungi bisnis dari tanggung jawab atas pembayaran kartu berpotensi penipuan.

Pedoman Keamanan Kartu Kredit dan Roadmap menyatakan bahwa merchant Jepang yang melakukan penjualan online (pengguna Stripe) harus mengaktifkan 3D Secure 2 pada akhir Maret 2025 untuk memerangi penipuan.

Implementasi dan penyebaran EMV 3DS 2

Merchant berkewajiban untuk menerapkan langkah-langkah keamanan tertentu berdasarkan Undang-Undang Penjualan Angsuran, dan mereka harus menerapkan langkah-langkah yang sejalan dengan Pedoman Keamanan Kartu Kredit dan Roadmap pada akhir Maret 2025.

Merchant diwajibkan untuk memulai implementasi 3D Secure 2, sesuai dengan Pedoman Keamanan Kartu Kredit dan Roadmap, dengan urutan prioritas sebagai berikut.

Tingkatan

Cakupan

Ekspektasi

Tingkatan 1

Merchant dengan transaksi penipuan terkonfirmasi yang melebihi 500.000JPY per bulan selama 3 bulan berturut-turut ("Merchant yang Terpapar Penipuan")

Segera mulai menerapkan 3D Secure 2

Tingkatan 2

Merchant yang bukan merupakan "Merchant yang Terpapar Penipuan", tetapi telah mengalami setidaknya lima transaksi penipuan yang terkonfirmasi atau setidaknya senilai 100.000JPY dalam transaksi penipuan yang terkonfirmasi selama dua tahun terakhir

Rencanakan implementasi 3D Secure 2 dan terapkan dengan cepat

Tingkatan 3

Merchant yang menjual konten digital, elektronik, uang elektronik atau nilai dana tersimpan, tiket, atau situs pemesanan penginapan

Rencanakan implementasi 3D Secure 2 dan terapkan dengan cepat

Tingkatan 4

Merchant lainnya

Rencanakan implementasi 3D Secure 2 dan terapkan dengan cepat

Tindakan yang Direkomendasikan

Jika Anda sudah menggunakan Stripe, Anda mungkin perlu memeriksa integrasi Anda untuk memastikan 3D Secure 2 didukung.

Jika Anda menggunakan Charges API

Charges API tidak mendukung 3D Secure 2. Akibatnya, jika akun Anda menggunakan Charges API, setiap pembayaran melalui Charges API yang memerlukan autentikasi oleh penerbit kartu akan gagal. Demi mencegah meningkatnya pembayaran yang gagal pada akun, sebaiknya Anda segera bermigrasi ke Payment Intents API.

Jika Anda menggunakan Payment Intents API

Demi mencegah meningkatnya pembayaran yang gagal pada akun, pastikan integrasi Anda dapat menangani status `requires_action` untuk meminta pelanggan mengautentikasi pembayaran mereka. Jika sebelumnya Anda mengintegrasikan dengan integrasi kartu dasar, Anda perlu memperbarui integrasi Anda agar dapat menangani autentikasi kartu.

Kami sarankan untuk menguji integrasi Anda untuk memastikan bahwa Anda telah menerapkan 3D Secure 2. Jika tidak yakin bagaimana cara menguji integrasi Anda, silakan lihat panduannya di dokumentasi pengujian kami.

Menggunakan Radar dan Radar for Fraud Teams

Stripe menawarkan produk pencegahan penipuan bernama Radar, yang memanfaatkan pembelajaran mesin dengan menganalisis data pembayaran dari lebih dari satu juta perusahaan di seluruh dunia dan mendeteksi serta memblokir transaksi penipuan. Radar menggunakan pembelajaran mesin untuk melakukan penilaian risiko berdasarkan ratusan sinyal, termasuk jenis kartu, negara penggunaan, perangkat, dan perilaku. Stripe menawarkan tiga aturan Radar default yang secara dinamis meminta 3D Secure 2. Dengan menetapkan aturan ini di dashboard, autentikasi tambahan dapat diminta dari pelanggan ketika perusahaan penerbitan kartu mereka memerlukan 3D Secure 2.

Dengan Radar for Fraud Teams, yang memungkinkan pengaturan aturan kustom, bisnis dapat menyesuaikan pengaturan manajemen risiko unik mereka sendiri untuk 3D Secure 2. Permintaan 3D Secure 2 dapat dibuat berdasarkan tingkat risiko atau metadata tertentu, sehingga membantu mencegah pemblokiran pembayaran yang sah secara berlebihan, mengurangi rasio penolakan transaksi, dan memaksimalkan pendapatan.

Penggunaan Radar dapat membantu mengurangi kerugian konversi sekaligus memungkinkan tindakan anti-penipuan berbasis risiko.

"Penyedia Layanan Pembayaran" seperti Stripe, dan pengakuisisi yang bermitra dengan kami (SMCC, JCB, American Express, dll.), diharapkan dapat mendukung pengguna saat mereka mengimplementasikan 3D Secure 2 hingga akhir Maret 2025. Kami juga diminta untuk bekerja sama dengan "Merchant yang Terpapar Penipuan" agar mereka segera mengaktifkan 3D Secure 2.

Stripe akan terus bekerja sama dengan mitra kami untuk memberikan informasi dan dukungan yang relevan kepada pengguna kami. Kami akan memberitahukan jika pengguna perlu mengubah integrasi mereka, dan akan menindaklanjutinya dengan pengguna untuk mendukung implementasi 3D Secure 2 jika diperlukan.

PERTANYAAN UMUM

Transaksi kartu kredit apa saja yang termasuk dalam cakupan?

Transaksi menggunakan kartu kredit bermerek internasional termasuk dalam cakupan. Dalam praktiknya, merchant diharapkan memperlakukan kartu prabayar, kartu debit, kartu korporat, dan kartu yang diterbitkan di luar negeri sama dengan kartu kredit pribadi yang diterbitkan di Jepang. Untuk kartu yang penerbitnya tidak dapat memproses 3D Secure 2, diharapkan transaksi yang diminta akan disetujui tanpa adanya 3D Secure 2.

Apakah transaksi langsung dengan kartu kredit fisik berada di luar cakupan?

Transaksi yang dilakukan secara langsung menggunakan kartu fisik berada di luar cakupan.

Merchant di Jepang diwajibkan untuk memberlakukan langkah-langkah keamanan berdasarkan Undang-Undang Penjualan Angsuran, tetapi apakah ada penalti jika merchant tidak mengikuti persyaratan ini?

Tidak ada denda, tetapi regulator dapat meminta informasi dan melakukan inspeksi langsung ke lokasi merchant. Selain itu, penerbit dapat meminta penyelidikan merchant melalui Stripe atau pengakuisisi, yang dapat menginstruksikan merchant untuk memberlakukan langkah-langkah keamanan yang diperlukan jika merchant tidak mengambil langkah yang tepat untuk mencegah tindakan penipuan dan melindungi nomor kartu kredit. Jika, terlepas dari instruksi tersebut, merchant tidak menerapkan langkah-langkah keamanan, mereka dapat diberhentikan sebagai merchant.

Apakah ada pengecualian dan kategori transaksi di luar cakupan?

Kategori yang dikecualikan dan di luar cakupan sedang dipertimbangkan. Kami berharap dewan industri terkait akan mempublikasikan informasi tambahan jika sudah tersedia.