3DS-machtiging in Japan

Op 14 maart 2023 werd een reeks brancherichtlijnen herzien die beveiligingsmaatregelen beschrijven voor bedrijven die kaarttransacties uitvoeren, bekend als de 'Credit Card Security Guidelines' (Credit Card Security Guidelines Version 4.0, hierna de 'richtlijnen voor creditcardbeveiliging' genoemd). Op 14 november werd vervolgens een document met de titel 'Deployment Roadmap for EMV 3-D Secure for Merchants' (de 'Roadmap') uitgegeven om de richtlijnen voor creditcardbeveiliging aan te vullen.

3D Secure is een mechanisme dat een aanvullende laag authenticatie biedt voor creditcardtransacties en dat bedrijven beschermt tegen aansprakelijkheid voor frauduleuze kaartbetalingen.

De richtlijnen voor creditcardbeveiliging en de roadmap stellen dat Japanse verkopers die online verkopen (Stripe-gebruikers) 3D Secure 2 vóór eind maart 2025 moeten inschakelen om fraude te bestrijden.

Implementatie en uitrol van EMV 3DS 2

Volgens de Installment Sales Act zijn verkopers verplicht om bepaalde beveiligingsmaatregelen aan te nemen en ze moeten maatregelen aannemen conform de richtlijnen voor creditcardbeveiliging en de roadmap vóór eind maart 2025.

Verkopers zijn verplicht om de implementatie van 3D Secure 2 te starten, conform de richtlijnen voor creditcardbeveiliging en de roadmap, in de volgende volgorde van prioriteiten.

Tier

Scope

Verwachting

Tier 1

Verkopers met meer dan 500.000 JPY in bevestigde frauduleuze transacties per maand over een aaneensluitende periode van drie maanden ('verkopers met frauderisico')

Begin onmiddellijk 3D Secure 2 te implementeren

Tier 2

Verkopers die geen 'verkopers met frauderisico' zijn maar die in de laatste vijf maanden bevestigde frauduleuze transacties hebben gezien of minimaal JPY 100.000 aan bevestigde frauduleuze transacties hebben gezien in de afgelopen twee jaar

Plan de implementatie van 3D Secure 2 en implementeer snel

Tier 3

Verkopers die digitale content, elektronica, e-money of opgeslagen waarde, tickets of overnachtingen verkopen

Plan de implementatie van 3D Secure 2 en implementeer snel

Tier 4

Overige verkopers

Plan de implementatie van 3D Secure 2 en implementeer snel

Aanbevolen acties

Als je al Stripe gebruikt, moet je mogelijk in je integratie controleren of 3D Secure 2 wordt ondersteund.

Als je de Charges-API gebruikt

De Charges-API ondersteunt niet 3D Secure 2. Als je account de Charges API gebruikt, mislukken bijgevolg alle betalingen via de API waarvoor authenticatie door de issuer is vereist. Om meer geweigerde betalingen in je account te vermijden raden we met klem aan dat je zo snel mogelijk naar de Payment Intents-API migreert.

Als je de Payment Intents-API gebruikt

Om een toename aan geweigerde betalingen in je account te voorkomen, moet je zorgen dat je integratie de status `requires_action` kan verwerken om je klanten te vragen hun betalingen te authenticeren. Als je eerder al hebt geïntegreerd met de basiskaartintegratie, moet je je integratie bijwerken om kaartauthenticatie te verwerken.

We raden je aan om je integratie te testen om te bevestigen dat je 3D Secure 2 hebt geïmplementeerd. Als je niet zeker weet hoe je je integratie moet testen, kun je verder advies vinden in onze documentatie over het testen.

Radar en Radar for Fraud Teams gebruiken

Stripe biedt een fraudepreventieproduct aan onder de naam Radar, dat machine-learning gebruikt door betalingsgegevens van meer dan een miljoen bedrijven wereldwijd te analyseren en dat frauduleuze transacties detecteert en blokkeert. Radar maakt gebruik van machine-learning om risico-analyses uit te voeren op basis van honderden signalen, inclusief kaarttype, land van gebruik, apparaat en gedrag. Stripe biedt drie standaard Radar-regels die dynamisch 3D Secure 2 aanvragen. Door deze regels in te stellen in het dashboard, kunnen klanten worden gevraagd om aanvullende authenticatie wanneer hun kaartuitgiftebedrijf 3D Secure 2 vereist.

Met Radar for Fraud Teams dat de instelling van regels op maat mogelijk maakt, kunnen bedrijven hun eigen unieke risicobeheerinstellingen op maat voor 3D Secure 2 instellen. 3D Secure 2-aanvragen kunnen worden gedaan op basis van risiconiveaus of specifieke metadata, wat helpt om buitensporige blokkering van legitieme betalingen te voorkomen, het weigeringspercentage van transacties te verkleinen en omzet te maximaliseren.

Radar gebruiken kan helpen om conversieverlies te verkleinen, terwijl het antifraudemaatregelen op risicobasis mogelijk maakt.

'Betaaldienstverleners' zoals Stripe en de acquirers waarmee we samenwerken (SMCC, JCB, American Express, etc.), worden geacht gebruikers te ondersteunen terwijl deze 3D Secure 2 implementeren vóór eind maart 2025. We zijn ook gevraagd om te werken met 'verkopers met frauderisico' om hen meteen 3D Secure 2 te laten inschakelen.

Stripe blijft samenwerken met onze partners om onze gebruikers relevante informatie en ondersteuning te bieden. We sturen een kennisgeving als gebruikers hun integraties moeten wijzigen en zullen verder contact opnemen met gebruikers zo nodig om implementatie van 3D Secure 2 te ondersteunen.

VEELGESTELDE VRAGEN

Welke creditcardtransacties vallen binnen het bereik?

Transacties waarbij creditcards met internationale merken worden gebruikt vallen binnen het bereik. In de praktijk wordt van verkopers verwacht dat ze prepaid-kaarten, debitcards, bedrijfskaarten en in het buitenland uitgegeven kaarten hetzelfde behandelen als in Japan uitgegeven persoonlijke creditcards. Voor kaarten waarbij de uitgever 3D Secure 2 niet kan verwerken wordt verwacht dat de aangevraagde transactie wordt goedgekeurd zonder dat 3D Secure 2 plaatsvindt.

Vallen fysieke creditcardtransacties buiten het bereik?

Transacties waarbij een fysieke kaart in persoon wordt gebruikt, vallen buiten het bereik.

Verkopers in Japan worden geacht om beveiligingsmaatregelen in te voeren volgens de Installment Sales Act, maar geldt er een boete als verkopers deze vereisten niet opvolgen?

Er geldt geen boete maar de overheid kan die informatie wel opvragen en inspecties op de locatie van de verkoper uitvoeren. Daarnaast kan de uitgever een onderzoek van een verkoper via Stripe of de acquirer aanvragen, die vervolgens de verkoper kan opdragen om de nodige beveiligingsmaatregelen door te voeren indien de verkoper niet de nodige stappen heeft genomen om frauduleus gebruik te voorkomen en creditcardnummers te beschermen. Indien de verkoper ondanks zulke instructies niet de beveiligingsmaatregelen invoert, kan deze worden ge-offboard als verkoper.

Zijn er vrijstellingen en categorieën buiten het bereik van transacties?

Vrijgestelde categorieën en categorieën buiten het bereik worden nog overwogen. We verwachten dat de relevante brancheraad aanvullende informatie zal publiceren zodra deze beschikbaar wordt.