Seuls les émetteurs et les réseaux de cartes sont autorisés à stocker les données d'une carte bancaire émise en Inde pour régler des transactions traitées par le biais de fournisseurs de solutions de paiement agréés par la Reserve Bank of India (RBI). Cette dernière exige que les agrégateurs de paiement (tels que Stripe India) aient recours à des tokens de réseau pour le traitement des paiements, au lieu d'utiliser le numéro de carte de crédit ou de débit.

Ces réglementations concernent principalement les entreprises établies en Inde. Les réseaux de cartes ont lancé des services de tokenisation de type « card-on-file » (CoF) pour se conformer à ces exigences et Stripe a développé des solutions pour ses clients. Pour plus d'informations sur les réglementations en Inde, veuillez consulter notre article intitulé Précisions sur le contexte des réglementations du gouvernement indien concernant les paiements par carte.

FAQ

Que prescrivent exactement les directives de la Reserve Bank of India sur le stockage des identifiants de carte ?

Aucune entité de la chaîne des transactions par carte bancaire n'est autorisée à stocker les informations des cartes des clients (excepté l'émetteur et les réseaux associés). Cette restriction s'étend aux marchands, aux agrégateurs de paiements, aux plateformes de paiement et aux banques acquéreuses. Cela confirme que la tokenisation du réseau et de l'émetteur est la seule voie possible pour le secteur.

D'autres exigences relatives à la mise en œuvre de la tokenisation doivent également être respectées :

• un token doit être associé à un marchand, à une carte client et à un demandeur de token (tel que Stripe India) ;

• avant de générer un jeton, il est nécessaire d'obtenir le consentement explicite du client et de procéder à une authentification par facteur supplémentaire ;

• les marchands doivent proposer au client une option de suppression de la carte tokenisée de la plateforme ;

• seuls les 4 derniers chiffres de la carte bancaire du client, ainsi que le nom de la banque émettrice et le réseau de cartes peuvent être communiqués aux marchands lors des transactions (c'est-à-dire visibles sur le Dashboard Stripe pour les paiements).

Ces règles s'appliquent uniquement aux marchands indiens réalisant des transactions nationales. Si vous utilisez Stripe en tant que marchand international et que vous n'avez pas conclu de contrat avec Stripe India, vous n'êtes pas concerné par cette réglementation et les cartes ne seront pas tokenisées.

Puis-je désormais stocker des tokens à la place des cartes ?

Non, comme dans le cas du stockage CoF (Card on File), seuls les marchands qui se conforment à la norme PCI DSS peuvent stocker eux-mêmes des tokens. Les autres marchands qui utilisent pour l'instant un service tiers pour stocker leurs cartes devront continuer à faire de même pour leurs tokens.

Stripe est un Token Requestor (demandeur de tokens) certifié, qui peut non seulement les stocker et faciliter les transactions basées sur les tokens, mais aussi permettre leur génération via les réseaux de cartes. 

Aucune modification ne sera apportée à votre intégration Stripe. Stripe gère de manière transparente la récupération et l'utilisation des tokens de réseau pour le compte de vos clients. Vous n'aurez pas à vous occuper de ce processus.

Un token créé pour une carte bancaire client sera-t-il réutilisé pour le client et pour d'autres marchands ?

Un token sera toujours propre à un marchand, à un identifiant client, à un demandeur de token et à un réseau de cartes. Un token généré sur la plateforme d'un marchand ne sera pas valable sur la plateforme d'un autre marchand.

Une carte bancaire sera en principe associée à plusieurs tokens en fonction du nombre de combinaisons d'identifiants marchand-client pour lesquelles elle sera utilisée. 

Ces associations seront gérées par le demandeur de tokens (Stripe). Nous ne pouvons toutefois pas garantir qu'un marchand intégré aux réseaux de cartes se verra attribuer le même identifiant par les autres demandeurs de token (il peut donc y avoir des doublons). Par conséquent, nous ne pouvons pas non plus assurer qu'un token fourni par Stripe fonctionnera pour la même combinaison marchand-client s'il est utilisé par d'autres agrégateurs de paiement ou passerelles de paiement. 

Quelle incidence cela aura-t-il sur l'expérience de paiement de mes clients ?

Pour le client final, l'incidence de la tokenisation sera minimale. Pour convertir ses cartes en token, il devra vous donner son accord, au moment de payer une transaction en cours, et ce, aussi bien pour le tunnel des nouvelles cartes que pour celui des cartes enregistrées.

Pour vous simplifier la tâche, Stripe lance Stripe Managed Tokenization Consent (SMTC), une vue de formulaire intercepté intégrée dans le tunnel de paiement pour demander le consentement du client en votre nom, sans que vous ayez à créer un nouveau tunnel d'expérience utilisateur ou à effectuer des changements d'intégration.

Vous avez la possibilité de vous désinscrire de Stripe Managed Tokenization Consent (voir l'option de désinscription ci-dessous) si vous souhaitez créer et intégrer votre propre tunnel de consentement personnalisé pour une expérience de paiement fluide.

Pour les utilisateurs ayant déjà procédé à la tokenisation des cartes de leurs clients, seuls les quatre derniers chiffres des numéros des cartes enregistrées leur seront désormais affichés.

Les titulaires de carte qui choisissent de ne pas les tokeniser devront désormais saisir le numéro de leur carte à 16 chiffres, sa date d'expiration et son CVV pour toutes les transactions.

Comment puis-je me désinscrire de Stripe Managed Tokenization Consent ?

Si vous souhaitez vous désinscrire de Stripe Managed Tokenization Consent pour créer votre propre tunnel de consentement personnalisé, veuillez vous rendre dans la section Conformité de la page de paramètres du Dashboard Stripe, où vous trouverez la rubrique Consentement au stockage des cartes.

Une fois dans la rubrique, activez l'option par laquelle vous déclarez collecter le consentement.

Dès lors, vous êtes tenu de demander le consentement du client et de n'enregistrer les informations de la carte bancaire pour une utilisation ultérieure sur l'objet Customer Stripe que si le titulaire de la carte a donné son consentement dans votre flux lors du paiement.

Quels flux risquent de ne pas fonctionner pour moi ?

Pour les utilisateurs qui n'utilisent pas Stripe Billing, Stripe Checkout ni Stripe Elements, tous les flux qui reposent sur le numéro de carte bancaire de vos clients seront affectés. Vous devrez vous désinscrire à l'aide du mécanisme du Dashboard et collecter le consentement de vos clients pour nous permettre de tokeniser et de stocker les informations de leurs cartes sur les systèmes de Stripe.

Où puis-je trouver plus d'informations à ce sujet ?

Vous pouvez nous contacter en toute sécurité à l'adresse support.stripe.com. Notre équipe se fera un plaisir de répondre à toutes vos questions et de vous aider à mieux comprendre comment vous conformer à la réglementation.