Seuls les émetteurs et les réseaux de cartes pourront stocker les données de carte d'une carte émise en Inde pour les transactions traitées par les prestataires de services de paiement autorisés par la Reserve Bank of India (RBI). La RBI oblige les agrégateurs de paiement (comme Stripe India) à utiliser des jetons réseau pour le traitement des paiements plutôt que le numéro de carte de crédit/de débit.

Ces règles concernent principalement les entreprises établies en Inde. Les réseaux de cartes ont lancé des services de création de jetons de type « card-on-file » (CoF) pour se conformer à ces exigences et Stripe a développé des solutions dont ses clients peuvent bénéficier. Pour plus d'informations sur la réglementation indienne, veuillez consulter notre article sur le contexte de la réglementation du gouvernement indien concernant les paiements par carte.

FAQ

Que disent exactement les directives de la Reserve Bank of India sur le stockage des identifiants de cartes?

Aucune entité de la chaîne de transaction par carte ne peut stocker les informations relatives aux cartes des clients (autres que les émetteurs de cartes et les réseaux de cartes). Cette restriction s'étend aux marchands, aux agrégateurs de paiements (AP), aux plateformes de paiement (PP) et aux banques acquéreuses. Cela vient confirmer que la création de jetons de réseau et d'émetteur est la seule voie possible pour le secteur.

Des exigences supplémentaires concernant la mise en œuvre de la création de jetons doivent être respectées :

• Un jeton doit être associé à un marchand, à une carte d'un client et à un demandeur de jetons (tel que Stripe India)

• Le consentement explicite du client et l'authentification par facteur supplémentaire doivent être obtenus avant de générer un jeton

• Un marchand doit donner au client la possibilité de supprimer la carte à jetons de la plateforme du marchand

• Seuls les 4 derniers chiffres de la carte du client, ainsi que le nom de la banque émettrice et le réseau de la carte peuvent être accessibles à un marchand lors des transactions (c'est-à-dire visibles sur le Dashboard Stripe pour les paiements).

Cela s'applique uniquement aux marchands indiens pour les transactions nationales. Si vous êtes un marchand international sur Stripe, vous n'êtes pas sous contrat avec Stripe India, ce règlement ne devrait pas s'appliquer et les cartes ne seront pas utilisées comme jetons.

Puis-je désormais stocker des jetons au lieu de cartes?

Non, comme dans le cas du stockage de type « card-on-file » (CoF), seuls les marchands conformes à la certification PCI DSS peuvent stocker des jetons eux-mêmes. Pour les autres marchands qui utilisent actuellement un service tiers pour stocker leurs cartes, ils devront continuer à faire de même pour leurs jetons.

Stripe est un demandeur de jetons certifié qui peut non seulement stocker des jetons et faciliter les transactions reposant sur des jetons, mais aussi permettre la génération de jetons par les réseaux de cartes. 

Rien ne changera dans votre intégration Stripe. Stripe assurera la récupération et l'utilisation des jetons de réseau pour le compte de vos clients. Vous n'aurez pas à gérer ce processus.

Un jeton créé pour la carte d'un client sera-t-il le même pour mes clients et pour d'autres marchands?

Un jeton sera toujours unique à un marchand, un identifiant client, un demandeur de jetons et un réseau de cartes. Un jeton généré sur la plateforme d'un marchand ne sera pas valide sur la plateforme d'un autre marchand.

En fait, la carte d'un titulaire de carte aura plusieurs jetons en fonction du nombre de combinaisons d'identifiants marchand-client existantes. 

Cet arrangement sera géré par le demandeur de jetons (Stripe). Cependant, nous ne pouvons garantir qu'un marchand intégré aux réseaux de cartes aura le même identifiant marchand que celui fourni par d'autres demandeurs de jetons (c'est-à-dire qu'il peut y avoir des duplications). Par conséquent, nous ne pouvons garantir qu'un jeton fourni par Stripe fonctionnera pour la même combinaison marchand/client s'il est utilisé par l'intermédiaire d'autres agrégateurs de paiement ou plateformes de paiement. 

Comment l'expérience de paiement de mes clients sera-t-elle affectée?

Pour le client final, l'impact de la création de jetons sera minime. Pour convertir ses cartes en jetons, le client devra vous donner son accord au moment où il procède au paiement d'une transaction en cours. Ce sera le cas pour le flux des nouvelles cartes ainsi que pour le flux des cartes enregistrées.

Pour vous faciliter la vie, Stripe lance Stripe Managed Tokenization Consent (SMTC), une vue de formulaire interceptée dans le cadre du flux de paiement, pour obtenir le consentement du client pour votre compte, sans que vous ayez à créer un nouveau flux d'expérience utilisateur ou à effectuer des changements d'intégration.

Vous avez la possibilité de refuser Stripe Managed Tokenization Consent (voir l'option de refus ci-dessous) si vous souhaitez créer ou intégrer votre propre flux de consentement personnalisé que vous comptez utiliser de manière transparente dans votre expérience de paiement.

Pour les utilisateurs qui ont déjà créé des jetons pour les cartes de leurs clients, les cartes enregistrées seront désormais davantage masquées, de sorte que seuls les quatre derniers chiffres seront visibles.

Les titulaires de cartes qui ne souhaitent pas que des jetons soient créés pour leurs cartes devront désormais saisir le numéro de leur carte à 16 chiffres, la date d'expiration et le CVV pour toutes les transactions par carte.

Comment puis-je refuser Stripe Managed Tokenization Consent?

Si vous souhaitez refuser Stripe Managed Tokenization Consent, car vous voulez créer votre propre flux de consentement personnalisé, veuillez vous rendre dans la section conformité de la page des paramètres du Dashboard Stripe, dans la rubrique Consentement au stockage des cartes.

Dans la rubrique Consentement au stockage des cartes, veuillez activer la confirmation de l'obtention du consentement.

Une fois que vous avez refusé, vous avez l'obligation d'obtenir le consentement du client et de ne sauvegarder les informations de carte pour une utilisation ultérieure sur l'objet Customer Stripe que si le titulaire de la carte a donné son consentement dans votre flux de consentement de paiement.

Quels flux sont potentiellement concernés?

Pour les utilisateurs qui n'utilisent pas Stripe Billing, Stripe Checkout ou Stripe Elements, tous les flux qui reposent sur le numéro de carte de votre client seront affectés. Vous devrez refuser en utilisant le mécanisme du Dashboard et obtenir le consentement de vos clients pour nous permettre de créer des jetons et de stocker leurs informations sur les systèmes Stripe.

Où puis-je trouver plus d'informations?

Veuillez nous contacter en toute sécurité sur la page support.stripe.com où notre équipe se fera un plaisir de répondre à toutes vos questions et de vous aider à mieux comprendre comment vous conformer à la réglementation.