インド準備銀行 (RBI) による規制の変更により、インドで発行されたカードによる決済をシームレスに受け付けることが難しくなっています。決済フローに多くの影響が生じ、カードネットワークやカード発行会社は、既存のシステムやインフラストラクチャーの全面的な見直しを余儀なくされました。業界ではこれらの変更への適応が進んでいますが、継続支払いなどの一部の支払いタイプでは、オーソリ要件の追加により、今後も支払いの失敗率が高くなると見込まれています。
Stripe ユーザーに対してお勧めできるのは、Stripe の影響評価ガイドに従い、必要に応じてこれらの変更に備えることです。
インドで発行されたカードの保有者は、カード発行会社が収集する電子同意書を通じて、継続支払いの引き落としを加盟店に許可する必要があります。また、カード発行会社は、請求が処理される 24 時間以上前にカード保有者に通知を行う必要があります。継続支払いが 15,000 INR (約 190 USD) を超える場合、カード保有者は毎回、その後の支払いを個別にオーソリする必要があります。また、カード保有者は、銀行を通じて、いつでも簡単に電子同意書を取り消して、ビジネスへの継続支払いを停止することができます。
これらの変更はカード保有者により多くの権限を与えることを目的としていますが、継続支払いのフローに大きな影響を与え、カード発行会社によって継続支払いが拒否される確率が上昇する可能性があります。
ビジネスでこれらの変更に備える最善の方法として、Stripe のソリューションを使用して継続支払いの規制に準拠することをお勧めします。このトピックに関する専用のサポートドキュメントをご確認ください。
RBI によって認可された決済サービスプロバイダーを通じて処理される取引では、インドで発行されたカードのデータを保存できるのはカード発行会社とカードネットワークのみに制限されます。RBI は、決済アグリゲーター (Stripe India など) に対し、実際のクレジットカード / デビットカード番号の代わりにネットワークトークンを使用して決済処理を行うことを義務付けています。
これらの規制は主にインドに所在するビジネスに影響します。カードネットワークは、これらの要件に準拠するために、Card on File (CoF) トークン化サービスを開始しました。
Stripe は、インドで発行されたカードによる支払いにネットワークトークンを使用するソリューションを開始しました。
インドに所在する Stripe ユーザーに求められる対応は以下のとおりです。
インドで発行されたクレジットカードとデビットカードの両方のデータについて、自社サーバーでの保存を停止する。
インドで発行されたカードに対するネットワークトークンの保存と使用について、利用者から同意を得る (この同意を得るために、利用者向けの利用規約の更新が必要な場合があります)。
利用者から同意を得るにあたって独自の同意フローを構築したくない場合、Stripe が提供を始めた Stripe Managed Tokenization Consent を利用して、利用者の代わりに自動的に同意を収集することができます。詳細については、ネットワークのトークン化に関するインド政府の規制ガイドをご覧ください。
Stripe をカードボールトとして利用できます。Stripe では、規制に準拠した独自のソリューション (カードネットワークと共同で開発) によってカードがトークン化され、そのトークンが決済処理に利用されます。Stripe は、保存されたカード情報を使用した 1 回限りの支払いと継続支払いの両方に対応しています。
Stripe がカードネットワークとともにソリューションのテストとスケーリングを行う際、Stripe が保存する必要のあるお客様のカードデータ (既存のカードと新規のカードの両方のデータ) は、適切なネットワークトークンに移行されます。
現時点では、Stripe にネットワークトークンをリクエストし、返信でトークンを入手してお客様のサーバーに保存する機能 (サービスとしてのトークン化 (TaaS) とも呼ばれる) は提供されていません。
トークン化に関するご質問は、Stripe までお問い合わせください。
RBI は、インドの決済サービスプロバイダーや決済仲介業者を通じて処理された取引の決済データをインド国内にあるデータベースおよびサーバーでのみ保管するとしています。これは、インドのサービスプロバイダーや仲介業者が処理するすべてのカードおよび非カード取引に適用されます。これには、すべての国内取引 (ビジネスとカード保有者の両方がインド国内にいる場合) のほか、海外の買い手からインドのビジネスに支払いを行う場合も含まれます。
決済データには、利用者のデータ (氏名、携帯電話番号、メールアドレスなど)、決済に関する機密情報 (利用者および受取人の口座情報など)、決済に関する認証情報 (OTP、PIN、パスワードなど)、取引データ (タイムスタンプ、金額など) が含まれます。
Stripe は、データローカライゼーションに関する RBI ガイドライン (決済データストレージガイドラインとも呼ばれる) に準拠しています。
現在、インドでの取引の決済データをインド国外のサーバーで保管している場合は、決済データストレージガイドラインに準拠するためにこのデータを削除する必要があるかどうかに関してアドバイスを受けることをお勧めします。
また、利用しているサードパーティーの決済 / 請求 / 金融サービスプロバイダーについても、RBI ガイドラインへの準拠状況を確認する必要があります。サービスプロバイダーは、決済データをインド国外で保管することはできません。ご利用のサービスプロバイダーが、このデータをインド国外に保存している場合は、決済データの受け渡しを中止する必要があります。
ご不明な点は、Stripe にお問い合わせください。または、インドにおける Stripe のサービスの料金体系をご確認のうえ、ご利用を開始してください。