Seuls les émetteurs et les réseaux de cartes pourront stocker les données de carte d'une carte émise en Inde pour les transactions traitées par les prestataires de services de paiement autorisés par la Reserve Bank of India (RBI). La RBI oblige les agrégateurs de paiement (comme Stripe India) à utiliser des jetons réseau pour le traitement des paiements plutôt que le numéro de carte de crédit/de débit.

Cette réglementation concerne principalement les entreprises établies en Inde. Les réseaux de cartes ont lancé des services d'utilisation de jetons pour les cartes enregistrées en vue de se conformer à ces exigences et nous avons développé des solutions pour que nos clients puissent en profiter. Pour en savoir plus sur la réglementation en Inde, veuillez consulter notre article intitulé Précisions sur le contexte de la réglementation du gouvernement indien concernant les paiements par carte.

FAQ

Que prévoient exactement les directives de la Reserve Bank of India sur le stockage des identifiants de carte?

Aucune entité de la chaîne de transaction par carte n'est autorisée à stocker les informations de carte des clients (excepté l'émetteur et les réseaux de cartes). Cette restriction vise également les marchands, les agrégateurs de paiements, les plateformes de paiement et les banques acquéreuses. Cela confirme que l'utilisation de jetons de réseau et de l'émetteur est la seule voie possible pour le secteur.

D'autres exigences relatives à la mise en œuvre de l'utilisation de jetons doivent également être respectées :

• Un jeton doit être associé à un marchand, à la carte d'un client et à un demandeur de jeton (tel que Stripe India).
• Il est nécessaire d'obtenir le consentement explicite du client et de procéder à une authentification par facteur supplémentaire avant de générer un jeton.
• Les marchands doivent proposer au client une option de suppression de la carte qui est segmentée en jetons de la plateforme.
• Seuls les quatre derniers chiffres de la carte du client, ainsi que le nom de l'institution financière émettrice et le réseau de cartes peuvent être communiqués aux marchands lors des transactions (c'est-à-dire visibles sur le Dashboard Stripe pour les paiements).

Ces règles s'appliquent uniquement aux marchands en Inde qui réalisent des transactions nationales. Si vous utilisez Stripe en tant que marchand international et que vous n'avez pas conclu de contrat avec Stripe India, cette réglementation ne s'applique pas et les cartes ne seront pas segmentées en jetons.

Puis-je désormais stocker des jetons plutôt que des cartes?

Non, comme dans le cas du stockage des cartes enregistrées, seuls les marchands qui se conforment à la norme PCI DSS peuvent stocker eux-mêmes des jetons. Les autres marchands qui utilisent pour l'instant un service tiers pour stocker leurs cartes devront continuer à faire de même pour leurs jetons.

Stripe est un demandeur de jetons certifié, qui peut non seulement les stocker et effectuer les transactions qui les utilisent, mais aussi activer la génération de jetons à l'aide des réseaux de cartes.

Aucune modification ne sera apportée à votre intégration Stripe. Stripe gère en arrière-plan la récupération et l'utilisation des jetons de réseau de manière transparente pour vos clients. Vous n'aurez pas à gérer ce processus.

Les jetons créés pour les cartes seront-ils identiques pour mes clients et pour les autres marchands?

Un jeton sera toujours propre à un marchand, à un ID de client, à un demandeur de jeton et à un réseau de cartes. Un jeton généré sur la plateforme d'un marchand ne sera pas valide sur la plateforme d'un autre marchand.

Une carte sera en principe associée à plusieurs jetons en fonction du nombre de combinaisons d'ID de marchand et d'ID de client pour lesquelles elle sera utilisée.

Ces associations seront gérées par le demandeur de jetons (Stripe). Nous ne pouvons toutefois pas garantir qu'un marchand intégré aux réseaux de cartes se verra attribuer le même identifiant par les autres demandeurs de jeton (il peut donc y avoir des doublons). Par conséquent, nous ne pouvons pas non plus assurer qu'un jeton fourni par Stripe fonctionnera pour la même combinaison marchand-client s'il est utilisé par d'autres agrégateurs de paiement ou plateformes de paiement.

Quelle incidence cela aura-t-il sur l'expérience de paiement de mes clients?

Pour le client final, l'incidence de l'utilisation de jetons sera minime. Le client doit vous donner son consentement pour convertir sa carte en jeton au moment de payer une transaction en cours. Ce sera le cas pour le flux des nouvelles cartes et pour celui des cartes enregistrées.

Pour vous simplifier la tâche, Stripe lance Stripe Managed Tokenization Consent (SMTC), un formulaire intercepté dans le cadre du processus de paiement, pour demander le consentement du client en votre nom, sans que vous ayez à créer un nouveau flux d'expérience utilisateur ou à effectuer des changements à l'intégration.

Vous avez la possibilité de ne pas utiliser Stripe Managed Tokenization Consent (voir la question suivante) si vous souhaitez créer et intégrer votre propre flux de consentement personnalisé à votre expérience de paiement fluide.

Pour les utilisateurs qui ont créé des jetons pour les cartes de leurs clients, seuls les quatre derniers chiffres des numéros des cartes enregistrées seront maintenant affichés.

Les titulaires de carte qui choisissent de ne pas utiliser les jetons devront saisir le numéro à 16 chiffres de leur carte, la date d'expiration et le CVV pour toutes les transactions.

Comment puis-je désactiver le formulaire Stripe Managed Tokenization Consent?

Si vous ne souhaitez pas utiliser Stripe Managed Tokenization Consent pour créer votre flux de consentement personnalisé, veuillez consulter la section Conformité dans les paramètres du Dashboard Stripe, où vous trouverez la rubrique Consentement au stockage des cartes.

Une fois dans la rubrique, activez l'option par laquelle vous déclarez collecter le consentement.

Lorsque vous avez désactivé le formulaire, vous devez demander le consentement du client et enregistrer les informations de la carte pour une utilisation ultérieure sur l'objet Customer Stripe seulement si le titulaire de la carte a donné son consentement dans votre flux de consentement de paiement.

Quels sont les flux qui risquent d'être interrompus pour moi?

Pour les utilisateurs qui n'utilisent pas Stripe Billing, Stripe Checkout ou Stripe Elements, tous les flux qui reposent sur le numéro de carte de vos clients seront affectés. Vous devrez utiliser le mécanisme de désactivation du Dashboard et collecter le consentement de vos clients pour nous permettre d'utiliser des jetons et de stocker les informations de leurs cartes sur les systèmes de Stripe.