Précisions sur le contexte des réglementations du gouvernement indien concernant les paiements par carte

Des modifications apportées aux réglementations de la Reserve Bank of India (RBI) rendent plus difficile l'acceptation des paiements issus de cartes émises en Inde. Compte tenu de la complexification des tunnels de paiement, les réseaux de cartes et les banques émettrices sont contraints de remanier leurs systèmes et leurs infrastructures. Alors que le secteur s'adapte à ces modifications, certains types de paiements, tels que les paiements récurrents, vont connaître une hausse irrémédiable des taux d'échec en raison des exigences supplémentaires en matière d'autorisation.

La meilleure solution pour les utilisateurs de Stripe consiste à suivre notre guide d'évaluation de l'impact et à se préparer, le cas échéant, à ces modifications.

Mandats électroniques pour les paiements récurrents

Le titulaire d'une carte émise en Inde doit autoriser les marchands à déduire les paiements récurrents via un mandat électronique capturé par la banque émettrice. De plus, l'émetteur de la carte doit notifier le titulaire au moins 24 heures avant tout traitement de paiement. Si le paiement récurrent est supérieur à 15 000 INR (190 USD environ), le titulaire de la carte doit autoriser séparément chaque paiement supplémentaire. À tout moment, les titulaires de carte peuvent aisément révoquer un mandat électronique et décider de mettre un terme aux paiements récurrents au profit d'une entreprise par l'intermédiaire de leur banque.

Ces modifications visent à donner davantage de contrôle aux titulaires de carte, mais complexifient les tunnels de paiements récurrents. En conséquence, les banques émettrices refuseront davantage de paiements récurrents.

Que faire ?

La meilleure manière de préparer votre entreprise à ces modifications consiste à utiliser les solutions Stripe Billing pour vous conformer aux réglementations de paiements récurrents. Consultez notre documentation sur l'acceptation des paiements récurrents réalisés avec des cartes émises en Inde.

Tokenisation pour les transactions par carte

Seuls les émetteurs et les réseaux de cartes sont autorisés à stocker les données des cartes émises en Inde pour les transactions traitées par l'intermédiaire de fournisseurs de services de paiement agréés par la RBI. Cette dernière exige que les agrégateurs de paiement (tels que Stripe India) aient recours à des tokens de réseau pour le traitement des paiements, au lieu d'utiliser le numéro de carte de crédit ou de débit.

Ces réglementations concernent principalement les entreprises établies en Inde. Les réseaux de cartes ont lancé des services de tokenisation CoF (Card on File) en vue de se conformer à ces exigences.

Stripe a lancé une solution permettant d'utiliser les tokens de réseau pour les paiements provenant de cartes émises en Inde.

Que faire ?

Si vous êtes un utilisateur de Stripe basé en Inde, vous devez :

  1. cesser de conserver sur vos serveurs les données des cartes de crédit et de débit émises en Inde ;
  2. obtenir le consentement de vos clients afin de stocker et d'utiliser les tokens de réseau pour les cartes émises en Inde. Pour ce faire, vous devrez peut-être mettre à jour les conditions d'utilisation de votre service.

Aussi, notez que Stripe lance Stripe Managed Tokenization Consent qui permet une collecte automatique des consentements de vos clients si vous ne souhaitez pas créer votre propre flux. Pour plus d'informations, veuillez consulter le Guide sur la réglementation du gouvernement indien relative à la tokenisation des réseaux.

Stockez les informations de carte sur Stripe. Grâce à notre solution conforme, développée conjointement avec les réseaux de cartes, nous tokenisons les cartes et traitons les paiements au moyen de ces tokens. Nous vous permettons d'accepter aussi bien les paiements ponctuels à l'aide des informations de cartes enregistrées que les paiements récurrents.

À mesure que nous testerons et développerons nos solutions auprès des réseaux de cartes, nous migrerons les données de cartes que nous stockons pour vous (aussi bien pour les cartes existantes que pour les nouvelles) vers les tokens de réseau qui conviennent.

À l'heure actuelle, nous ne proposons pas de tokenisation en tant que service, c.-à-d. la possibilité de solliciter des tokens de réseau auprès de Stripe et de les transférer sur vos serveurs à des fins de stockage.

Contactez-nous pour toute question au sujet de la tokenisation.

Localisation des données

La RBI a déclaré que les données de paiement des transactions traitées via des intermédiaires ou des fournisseurs de solution de paiement indiens doivent uniquement être stockées sur des bases de données et des serveurs situés en Inde. Cela concerne l'ensemble des transactions, par carte et par d'autres moyens, traitées par les intermédiaires et les prestataires de services de paiement indiens, y compris toutes les transactions domestiques (c.-à-d. lorsque l'entreprise et le titulaire de la carte se trouvent tous deux en Inde), de même que les paiements d'acheteurs étrangers au profit d'entreprises établies en Inde.

Les données de paiement comprennent : les données client (p. ex., le nom, le numéro de téléphone portable, l'adresse e-mail, etc.), les données de paiement sensibles (p. ex., les informations de compte des clients et des bénéficiaires), les identifiants de paiement (p. ex., OTP, code PIN, mots de passe, etc.) et les données de transaction (p. ex., horodatage, montant, etc.).

Stripe se conforme aux directives de la RBI quant à l'emplacement des données (également appelées directives de stockage des données de paiement).

Que faire ?

Si vous stockez actuellement les données de paiement de vos transactions en Inde sur des serveurs qui ne sont pas établis en Inde, nous vous recommandons de consulter un spécialiste afin de déterminer si vous devez purger ces données pour vous conformer aux directives de stockage des données de paiement.

Si vous faites appel à un fournisseur tiers de services financiers/de paiement/de facturation, vous devriez également lui demander de clarifier son niveau de conformité aux directives de la RBI. Ils ne doivent pas conserver les données de paiement hors d'Inde. Si tel est le cas, vous devez cesser de leur transmettre les données de paiement.

Contactez-nous si vous avez d'autres questions ou consultez nos tarifs pour commencer à utiliser nos services en Inde.