Solo los emisores de tarjetas y las redes de tarjeta podrán almacenar datos de una tarjeta emitida en la India para transacciones procesadas mediante proveedores de servicios de pago con licencia del Banco de la Reserva de la India (RBI). El RBI exige a los agregadores de pagos (como Stripe India) que usen tokens de redes para el procesamiento de pagos en lugar del número real de la tarjeta de crédito o débito.

Esta normativa afecta principalmente a las empresas establecidas en la India. Las redes de tarjeta lanzaron los servicios de tokenización Card on File (CoF) para cumplir con estos requisitos. Además, Stripe desarrolló soluciones que benefician a los clientes. Para obtener más información sobre la normativa de la India, consulta nuestro artículo sobre antecedentes de la normativa del Gobierno indio que afectan a los pagos con tarjeta.

Preguntas frecuentes

¿Qué indican exactamente las pautas del Banco de la Reserva de la India sobre el almacenamiento de credenciales de tarjetas?

Ninguna entidad de la cadena de transacciones de tarjeta puede almacenar la información relacionada con la tarjeta del cliente (a menos que se trate de los emisores y las redes de tarjeta). Esta restricción rige para los comerciantes, los agregadores de pagos (PA), las pasarelas de pagos (PG) y los bancos adquirentes. También confirma que la tokenización de las redes y los emisores es la única manera posible de proceder para el sector.

Además, existen otros requisitos relativos a la implementación de la tokenización con los que es necesario cumplir:

• el alcance del token comprende al comerciante, a la tarjeta del cliente y al solicitante del token (como Stripe India);

• es necesario obtener el consentimiento explícito del cliente y la autenticación de factor adicional antes de generar un token;

• el comerciante debe dar al cliente la posibilidad de elegir si desea eliminar la tarjeta tokenizada de la plataforma del comerciante; y

• durante las transacciones, el comerciante solo puede acceder a los últimos 4 dígitos de la tarjeta del cliente, a la red de la tarjeta y al nombre del banco emisor (es decir, se mostrarán en la sección de pagos del Dashboard de Stripe).

Esto aplica solo para las transacciones nacionales que realizan los comerciantes de la India. Si eres comerciante internacional en Stripe, no estás comprometido con Stripe India. Por lo tanto, esta regulación no regirá y las tarjetas no se tokenizarán.

¿Ahora puedo almacenar los tokens en lugar de las tarjetas?

No. Tal como ocurre con el almacenamiento de Card on File (CoF), solo los comerciantes que cumplen con la normativa PCI DSS pueden almacenar los tokens ellos mismos. El resto de los comerciantes que, por el momento, utilicen un servicio de terceros para almacenar sus tarjetas, deberán seguir haciendo lo mismo con sus tokens.

Stripe es un solicitante certificado de tokens que no solo puede almacenar tokens y facilitar las transacciones basadas en ellos, sino que también puede generarlos por medio de las redes de tarjeta. 

Tu integración de Stripe no se verá afectada. Stripe manejará la obtención y el uso de los tokens de red en representación de los clientes sin inconvenientes y sin que lo notes. No deberás gestionar ese proceso.

¿El token creado para la tarjeta de un cliente será el mismo que para mis clientes y otros comerciantes?

El token siempre será exclusivo de un comerciante, un ID de cliente, un solicitante de token y una red de tarjeta. El token generado en la plataforma de un comerciante no será válido para su uso en la plataforma de otro comerciante.

Básicamente, la tarjeta de un titular tendrá varios tokens en función de la cantidad de combinaciones de ID entre el comerciante y el cliente que tenga. 

El solicitante de token (Stripe) mantendrá este mapa. Sin embargo, no podemos garantizar que el comerciante incorporado a las redes de tarjeta tenga el mismo ID que proporcionan los otros solicitantes de token (es decir, la duplicación es posible). Por lo tanto, no podemos garantizar que el token proporcionado por Stripe se pueda utilizar en la misma combinación entre comerciante y cliente si se lo utiliza por medio de otros agregadores de pagos o pasarelas de pagos. 

¿Cómo se verá afectada la experiencia de finalización de compra de mis clientes?

Para el cliente final, el impacto de la tokenización será mínimo. Para convertir sus tarjetas en un token, el cliente tendrá que prestar su consentimiento para que lo hagas, dado que pagará por una transacción en curso. Este será el caso del flujo de tarjetas nuevas y del flujo de tarjetas guardadas.

Para facilitarte el proceso, Stripe lanza Stripe Managed Tokenization Consent (SMTC), que consiste en un formulario interceptado que se visualiza como parte del flujo de compra y que te permite obtener el consentimiento del cliente en tu nombre, sin que por ello debas desarrollar ninguna experiencia de usuario nueva ni efectuar cambios de integración.

Si deseas desarrollar o integrar tu propio flujo personalizado de consentimiento para utilizarlo sin problemas en la experiencia de finalización de compra, puedes desactivar Stripe Managed Tokenization Consent (consulta la opción para desactivarlo a continuación).

En el caso de los usuarios que ya tokenizaron las tarjetas de sus clientes, las tarjetas guardadas se ocultarán de tal manera que solo podrán ver los últimos 4 dígitos.

Los titulares de tarjeta que optan por no tokenizar sus tarjetas deberán ingresar los 16 dígitos del número de tarjeta, la fecha de vencimiento y el CVV de todas las transacciones con tarjetas que se encuentran en curso.

¿Cómo puedo desactivar Stripe Managed Tokenization Consent?

Si quieres desactivar Stripe Managed Tokenization Consent debido a que deseas crear tu propio flujo personalizado de consentimiento, dirígete a la sección de cumplimiento de la normativa que aparece en la página de configuración del Dashboard de Stripe e ingresa en Consentimiento para almacenamiento de tarjeta.

Dentro de Consentimiento para almacenamiento de tarjeta, activa o desactiva el reconocimiento para la obtención de consentimiento.

Una vez que desactives esta función, será tu obligación obtener el consentimiento de los clientes. Además, solo puedes guardar los datos de la tarjeta para utilizarlos en el futuro en el objeto Customer de Stripe si el titular de la tarjeta prestó su consentimiento en tu flujo de consentimientos de finalización de compra.

¿Cuáles son los flujos que posiblemente se rompan en mi caso?

En el caso de los usuarios que no usan Stripe Billing, Stripe Checkout ni Stripe Elements, se verán afectados los flujos que dependan del número de tarjeta del cliente. Deberás prescindir de usar el mecanismo del Dashboard y obtener el consentimiento de los clientes para permitirnos tokenizar y almacenar la información en los sistemas de Stripe.

¿Dónde puedo obtener más información?

Envíanos un correo electrónico a support.stripe.com para contactarnos de manera segura. Nuestro equipo tendrá el agrado de asistirte para responder todas las preguntas que pudieras tener y ayudarte a entender mejor cómo cumplir con la normativa.