Solo los emisores y las redes de tarjetas pueden almacenar los datos de una tarjeta emitida en la India en el caso de las transacciones procesadas mediante proveedores de servicios de pago con licencia del Banco de la Reserva de la India (RBI). El RBI exige que los centralizadores de pagos (como Stripe India) usen tokens de red para procesar los pagos en lugar del número real de la tarjeta de crédito o débito.

Estas normativas afectan principalmente a las empresas con sede en la India. Las redes de tarjetas han lanzado servicios de tokenización card-on-file (CoF) para cumplir con estos requisitos, y Stripe ha desarrollado soluciones para que nuestros clientes puedan sacarles ventaja. Para obtener más información sobre las normativas de la India, consulta nuestro artículo sobre el Contexto de las regulaciones del gobierno de la India que afectan a los pagos con tarjeta.

Preguntas frecuentes

¿Qué dicen exactamente las normativas del Banco de la Reserva de la India (RBI) sobre el almacenamiento de las credenciales de las tarjetas?

Ninguna entidad de la cadena de transacción de la tarjeta puede almacenar información relacionada con la tarjeta del cliente (a excepción de los emisores y las redes de tarjetas). Esta restricción alcanza a los comerciantes, los centralizadores de pagos (PA), las pasarelas de pagos (PG) y los bancos adquirentes. También se confirma que la tokenización de redes y la tokenización del emisor son los únicos métodos que se permiten en el sector.

Además, hay requisitos adicionales sobre la implementación de la tokenización que deben respetarse:

• Un token debe estar vinculado a un comerciante, tarjeta de cliente y solicitante de token (como Stripe India).

• Se deben obtener el consentimiento explícito del cliente y una autenticación de factor adicional antes de generar un token.

• El comerciante debe dar al cliente la opción de eliminar la tarjeta tokenizada de su plataforma.

• Durante las transacciones, el comerciante solo puede ver los últimos cuatro dígitos de la tarjeta del cliente, además del nombre del banco emisor y la red de tarjetas (estos datos aparecen en los pagos en el Dashboard de Stripe).

Esto es válido únicamente para los comerciantes nacionales de la India en las transacciones dentro del país. Si eres un comerciante internacional de Stripe y no tienes un contrato con Stripe India, esta norma no sería de aplicación para ti y no se tokenizarán las tarjetas.

¿Puedo ahora almacenar tokens en lugar de tarjetas?

No, al igual que ocurre con el almacenamiento de Card on File (CoF), solo los comerciantes que cumplan con PCI DSS pueden almacenar los tokens. El resto de comerciantes que utilicen actualmente un servicio externo para almacenar sus tarjetas deberán continuar haciendo lo mismo con los tokens.

Stripe es un solicitante de tokens certificado que, además de almacenar tokens y facilitar las transacciones basadas en tokens, puede habilitar la generación de tokens a través de las redes de tarjetas. 

Toda tu integración con Stripe seguirá como siempre. Nadie se enterará de que Stripe se encarga de recopilar y de usar los tokens de red en nombre de tus clientes. A ti no te generará ningún inconveniente ni tendrás que preocuparte por ese proceso.

El token que se genera para la tarjeta de un cliente, ¿será el mismo para la relación entre mi cliente y otros comerciantes?

El token siempre será exclusivo de un comerciante, un ID de cliente, un solicitante de token y una red de tarjetas. Un token generado en la plataforma de un comerciante no se podrá usar en la plataforma de otro comerciante.

Básicamente, la tarjeta de un titular tendrá varios tokens según el número de combinaciones de comerciante-ID de cliente que existan. 

El solicitante de tokens (Stripe) mantendrá esta asignación. Sin embargo, no podemos garantizar que un comerciante integrado en las redes de tarjetas tenga el mismo ID de comerciante que hayan proporcionado otros solicitantes de tokens (es decir, puede haber una duplicación). Por lo tanto, no podemos asegurar que un token proporcionado por Stripe funcione en la misma combinación de comerciante y cliente si se usa en otros centralizadores de pagos o pasarelas de pagos. 

¿Cómo afectará esto a la experiencia de compra de mis clientes?

Para el cliente final, el impacto de la tokenización será mínimo. Si un cliente quiere convertir sus tarjetas en tokens, tendrá que darte el consentimiento cuando vaya a pagar una transacción que esté en marcha. Esto ocurrirá si es una nueva tarjeta o si es una tarjeta ya guardada.

Para hacerte las cosas mucho más sencillas, Stripe va a lanzar el Consentimiento de tokenización gestionado por Stripe (SMTC), un paso intermedio que formará parte del flujo del proceso de compra y en el que se recopilará el consentimiento del cliente en tu nombre sin que tengas que crear un nuevo flujo de experiencia del usuario ni hacer cambios en la integración.

Tienes la opción de no usar el Consentimiento de tokenización gestionado por Stripe (consulta la siguiente información sobre la cancelación) si quieres crear o integrar tu propio flujo de consentimiento para usarlo en tu experiencia de compra.

Esto significa que aquellos usuarios que ya hayan tokenizado las tarjetas de sus clientes observarán que las tarjetas guardadas estarán más cifradas, es decir, que solo podrán ver sus últimos 4 dígitos.

Los titulares de tarjetas que decidan no tokenizar sus tarjetas, tendrán que introducir los 16 dígitos, la fecha de caducidad y el CVV en todas las transacciones de ahora en adelante.

¿Cómo puedo revocar el Consentimiento de tokenización gestionado por Stripe?

Si quieres revocar el Consentimiento de tokenización gestionado por Stripe porque quieres crear tu propio flujo de consentimiento, en la página Configuración del Dashboard de Stripe, entra en la sección de cumplimiento de la normativa para ver el Consentimiento de almacenamiento de tarjetas.

En el Consentimiento de almacenamiento de tarjetas, desactiva el reconocimiento de la recopilación de consentimientos.

Una vez que prescindas de este servicio, será tu obligación obtener el consentimiento de los clientes y únicamente guardar los datos de la tarjeta para usarlos en el futuro en el objeto Customer de Stripe si el titular te ha dado su consentimiento en tu flujo correspondiente del proceso de compra.

¿Qué flujos podrían dejar de funcionarme?

Se verán afectados aquellos usuarios que no utilicen Stripe Billing, Stripe Checkout o Stripe Elements y tengan flujos que recaigan en el número de tarjeta de los clientes. Tendrás que revocar este consentimiento mediante los mecanismos del Dashboard y obtener el consentimiento de tus clientes para permitirnos tokenizar y almacenar la información en los sistemas de Stripe.

¿Dónde puedo conseguir más información?

Contáctanos de forma segura en support.stripe.com y nuestro equipo estará encantado de responder a tus preguntas y ayudarte a cumplir con las normativas.