Op 14 maart 2023 werd een reeks brancherichtlijnen herzien die beveiligingsmaatregelen beschrijven voor bedrijven die kaarttransacties uitvoeren, bekend als de 'Credit Card Security Guidelines' (Credit Card Security Guidelines Version 4.0, hierna de 'richtlijnen voor creditcardbeveiliging' genoemd). Op 14 november werd vervolgens een document met de titel 'Deployment Roadmap for EMV 3-D Secure for Merchants' (de 'Roadmap') uitgegeven om de richtlijnen voor creditcardbeveiliging aan te vullen.
3D Secure is een mechanisme dat een aanvullende laag authenticatie biedt voor creditcardtransacties en dat bedrijven beschermt tegen aansprakelijkheid voor frauduleuze kaartbetalingen.
De richtlijnen voor creditcardbeveiliging en de roadmap stellen dat Japanse verkopers die online verkopen (Stripe-gebruikers) 3D Secure 2 vóór eind maart 2025 moeten inschakelen om fraude te bestrijden.
Volgens de Installment Sales Act zijn verkopers verplicht om bepaalde beveiligingsmaatregelen aan te nemen en ze moeten maatregelen aannemen conform de richtlijnen voor creditcardbeveiliging en de roadmap vóór eind maart 2025.
Verkopers zijn verplicht om de implementatie van 3D Secure 2 te starten, conform de richtlijnen voor creditcardbeveiliging en de roadmap, in de volgende volgorde van prioriteiten.
Tier |
Scope |
Verwachting |
Tier 1 |
Verkopers met meer dan 500.000 JPY in bevestigde frauduleuze transacties per maand over een aaneensluitende periode van drie maanden ('verkopers met frauderisico') |
Begin onmiddellijk 3D Secure 2 te implementeren |
Tier 2 |
Verkopers die geen 'verkopers met frauderisico' zijn maar die in de laatste vijf maanden bevestigde frauduleuze transacties hebben gezien of minimaal JPY 100.000 aan bevestigde frauduleuze transacties hebben gezien in de afgelopen twee jaar |
Plan de implementatie van 3D Secure 2 en implementeer snel |
Tier 3 |
Verkopers die digitale content, elektronica, e-money of opgeslagen waarde, tickets of overnachtingen verkopen |
Plan de implementatie van 3D Secure 2 en implementeer snel |
Tier 4 |
Overige verkopers |
Plan de implementatie van 3D Secure 2 en implementeer snel |
Als je al Stripe gebruikt, moet je mogelijk in je integratie controleren of 3D Secure 2 wordt ondersteund.
Als je de Charges-API gebruikt
De Charges-API ondersteunt niet 3D Secure 2. Als je account de Charges API gebruikt, mislukken bijgevolg alle betalingen via de API waarvoor authenticatie door de issuer is vereist. Om meer geweigerde betalingen in je account te vermijden raden we met klem aan dat je zo snel mogelijk naar de Payment Intents-API migreert.
Als je de Payment Intents-API gebruikt
Om een toename aan geweigerde betalingen in je account te voorkomen, moet je zorgen dat je integratie de status `requires_action` kan verwerken om je klanten te vragen hun betalingen te authenticeren. Als je eerder al hebt geïntegreerd met de basiskaartintegratie, moet je je integratie bijwerken om kaartauthenticatie te verwerken.
We raden je aan om je integratie te testen om te bevestigen dat je 3D Secure 2 hebt geïmplementeerd. Als je niet zeker weet hoe je je integratie moet testen, kun je verder advies vinden in onze documentatie over het testen.
Stripe biedt een fraudepreventieproduct aan onder de naam Radar, dat machine-learning gebruikt door betalingsgegevens van meer dan een miljoen bedrijven wereldwijd te analyseren en dat frauduleuze transacties detecteert en blokkeert. Radar maakt gebruik van machine-learning om risico-analyses uit te voeren op basis van honderden signalen, inclusief kaarttype, land van gebruik, apparaat en gedrag. Stripe biedt drie standaard Radar-regels die dynamisch 3D Secure 2 aanvragen. Door deze regels in te stellen in het dashboard, kunnen klanten worden gevraagd om aanvullende authenticatie wanneer hun kaartuitgiftebedrijf 3D Secure 2 vereist.
Met Radar for Fraud Teams dat de instelling van regels op maat mogelijk maakt, kunnen bedrijven hun eigen unieke risicobeheerinstellingen op maat voor 3D Secure 2 instellen. 3D Secure 2-aanvragen kunnen worden gedaan op basis van risiconiveaus of specifieke metadata, wat helpt om buitensporige blokkering van legitieme betalingen te voorkomen, het weigeringspercentage van transacties te verkleinen en omzet te maximaliseren.
Radar gebruiken kan helpen om conversieverlies te verkleinen, terwijl het antifraudemaatregelen op risicobasis mogelijk maakt.
'Betaaldienstverleners' zoals Stripe en de acquirers waarmee we samenwerken (SMCC, JCB, American Express, etc.), worden geacht gebruikers te ondersteunen terwijl deze 3D Secure 2 implementeren vóór eind maart 2025. We zijn ook gevraagd om te werken met 'verkopers met frauderisico' om hen meteen 3D Secure 2 te laten inschakelen.
Stripe blijft samenwerken met onze partners om onze gebruikers relevante informatie en ondersteuning te bieden. We sturen een kennisgeving als gebruikers hun integraties moeten wijzigen en zullen verder contact opnemen met gebruikers zo nodig om implementatie van 3D Secure 2 te ondersteunen.
Transacties waarbij creditcards met internationale merken worden gebruikt vallen binnen het bereik. In de praktijk wordt van verkopers verwacht dat ze prepaid-kaarten, debitcards, bedrijfskaarten en in het buitenland uitgegeven kaarten hetzelfde behandelen als in Japan uitgegeven persoonlijke creditcards. Voor kaarten waarbij de uitgever 3D Secure 2 niet kan verwerken wordt verwacht dat de aangevraagde transactie wordt goedgekeurd zonder dat 3D Secure 2 plaatsvindt.
Transacties waarbij een fysieke kaart in persoon wordt gebruikt, vallen buiten het bereik.
Er geldt geen boete maar de overheid kan die informatie wel opvragen en inspecties op de locatie van de verkoper uitvoeren. Daarnaast kan de uitgever een onderzoek van een verkoper via Stripe of de acquirer aanvragen, die vervolgens de verkoper kan opdragen om de nodige beveiligingsmaatregelen door te voeren indien de verkoper niet de nodige stappen heeft genomen om frauduleus gebruik te voorkomen en creditcardnummers te beschermen. Indien de verkoper ondanks zulke instructies niet de beveiligingsmaatregelen invoert, kan deze worden ge-offboard als verkoper.
Vrijgestelde categorieën en categorieën buiten het bereik worden nog overwogen. We verwachten dat de relevante brancheraad aanvullende informatie zal publiceren zodra deze beschikbaar wordt.