Solo los emisores de tarjetas y las redes de tarjeta podrán almacenar datos de una tarjeta emitida en la India para transacciones procesadas mediante proveedores de servicios de pago con licencia del Banco de la Reserva de la India (RBI). El RBI exige a los agregadores de pagos (como Stripe India) que usen tokens de redes para el procesamiento de pagos en lugar del número real de tarjeta de crédito o débito.

Esta normativa afecta principalmente a las empresas establecidas en la India. Las redes de tarjeta lanzaron los servicios de tokenización Card on File (CoF) para cumplir con estos requisitos. Además, Stripe desarrolló soluciones que benefician a nuestros clientes. Para obtener más información sobre la normativa de la India, consulta nuestro artículo sobre antecedentes de la normativa del Gobierno indio que afectan a los pagos con tarjeta.

Preguntas frecuentes

¿Qué indican exactamente las pautas del Banco de la Reserva de la India sobre el almacenamiento de credenciales de tarjetas?

Ninguna entidad de la cadena de transacciones con tarjeta puede almacenar la información relacionada con la tarjeta del cliente (a menos que se trate de los emisores y las redes de tarjeta). Esta restricción se rige para los comerciantes, los agregadores de pagos (PA), las pasarelas de pagos (PG) y los bancos adquirentes. También confirma que la tokenización de las redes y los emisores es la única manera posible de proceder para el sector.

Además, existen otros requisitos relativos a la implementación de la tokenización con los que es necesario cumplir:

• El alcance del token comprende al comerciante, a la tarjeta del cliente y al solicitante del token (como Stripe India).
• Es necesario obtener el consentimiento explícito del cliente y la autenticación de factor adicional antes de generar un token.
• El comerciante debe dar al cliente la posibilidad de elegir si desea eliminar la tarjeta tokenizada de la plataforma del comerciante.
• Durante las transacciones, el comerciante solo puede acceder a los últimos 4 dígitos de la tarjeta del cliente, a la red de la tarjeta y al nombre del banco emisor (es decir, se mostrarán en la sección de pagos del Dashboard de Stripe).

Esto se aplica únicamente a las transacciones nacionales que realizan los comerciantes de la India. Si eres comerciante internacional en Stripe, no tienes un contrato con Stripe India. Por lo tanto, esta regulación no será de aplicación y las tarjetas no se tokenizarán.

¿Ahora puedo almacenar los tokens en lugar de las tarjetas?

No. Tal como ocurre con el almacenamiento de Card on File (CoF), solo los comerciantes que cumplen con las Normas de seguridad de datos del sector de tarjetas de pago (PCI DSS) pueden almacenar los tokens ellos mismos. El resto de los comerciantes que, por el momento, utilicen un servicio externo para almacenar sus tarjetas, deberán seguir haciendo lo mismo con sus tokens.

Stripe es un solicitante certificado de tokens que no solo puede almacenar tokens y facilitar las transacciones basadas en ellos, sino que también puede generarlos por medio de las redes de tarjeta.

Tu integración de Stripe no se verá afectada. Stripe manejará la obtención y el uso de los tokens de red en representación de los clientes sin inconvenientes y sin que lo notes. No deberás gestionar ese proceso.

¿El token creado para la tarjeta de un cliente será el mismo que para mis clientes y otros comerciantes?

El token siempre será exclusivo de un comerciante, una identificación de cliente, un solicitante de token y una red de tarjeta. El token generado en la plataforma de un comerciante no será válido para su uso en la plataforma de otro comerciante.

Básicamente, la tarjeta de un titular tendrá varios tokens en función de la cantidad de combinaciones de identificaciones entre el comerciante y el cliente que tenga.

El solicitante de token (Stripe) mantendrá este mapa. Sin embargo, no podemos garantizar que el comerciante incorporado a las redes de tarjeta tenga la misma identificación que proporcionan los otros solicitantes de token (es decir, la duplicación es posible). Por lo tanto, no podemos garantizar que el token proporcionado por Stripe se pueda utilizar en la misma combinación entre comerciante y cliente si se utiliza con otros agregadores de pagos o pasarelas de pagos.

¿Cómo se verá afectada la experiencia de confirmación de compra de mis clientes?

Para el cliente final, el impacto de la tokenización será mínimo. Para convertir sus tarjetas en un token, el cliente tendrá que prestar su consentimiento para que lo hagas, cuando proceda a pagar una transacción en curso. Este será el caso del flujo de tarjetas nuevas y del flujo de tarjetas guardadas.

Para facilitarte el proceso, Stripe lanza Stripe Managed Tokenization Consent (SMTC), que consiste en un formulario interceptado que se visualiza como parte del flujo de compra y que te permite obtener el consentimiento del cliente en tu nombre, sin que por ello debas desarrollar ninguna experiencia de usuario nueva ni efectuar cambios de integración.

Si deseas desarrollar o integrar tu propio flujo personalizado de consentimiento para utilizarlo sin problemas en la experiencia de confirmación de compra, puedes desactivar Stripe Managed Tokenization Consent (consulta la opción para desactivarlo a continuación).

En el caso de los usuarios que ya tokenizaron las tarjetas de sus clientes, las tarjetas guardadas se ocultarán de tal manera que solo podrán ver los últimos 4 dígitos.

Los titulares de tarjeta que opten por no tokenizar sus tarjetas deberán introducir los 16 dígitos del número de tarjeta, la fecha de vencimiento y el valor de verificación de la tarjeta (CVV) de todas las transacciones con tarjetas que se encuentran en curso.

¿Cómo puedo desactivar Stripe Managed Tokenization Consent?

Si quieres desactivar Stripe Managed Tokenization Consent debido a que deseas crear tu propio flujo personalizado de consentimiento, dirígete a la sección de cumplimiento de la normativa que aparece en la página de configuración del Dashboard de Stripe, en el apartado Consentimiento para almacenamiento de tarjeta.

Dentro de Consentimiento para almacenamiento de tarjeta, activa o desactiva el reconocimiento para la obtención de consentimiento.

Una vez que desactives esta función, será tu obligación obtener el consentimiento de los clientes. Además, solo puedes guardar los datos de la tarjeta para utilizarlos en el futuro en el Customer object de Stripe si el titular de la tarjeta prestó su consentimiento en tu flujo de consentimientos de confirmación de compra.

¿Cuáles son los flujos que podrían interrumpirse?

En el caso de los usuarios que no usan Stripe Billing, Stripe Checkout ni Stripe Elements, se verán afectados los flujos que dependan del número de tarjeta del cliente. Deberás prescindir de usar el mecanismo del Dashboard y obtener el consentimiento de los clientes para permitirnos tokenizar y almacenar la información en los sistemas de Stripe.