Seuls les émetteurs et les réseaux de cartes sont autorisés à stocker les données d'une carte émise en Inde pour régler des transactions traitées par le biais de prestataires de services de paiement agréés par la Reserve Bank of India (RBI). La RBI exige que les agrégateurs de paiement (tels que Stripe India) aient recours à des tokens de réseau pour le traitement des paiements, plutôt qu'au numéro de carte de crédit ou de débit.

Ces réglementations concernent principalement les entreprises établies en Inde. Les réseaux de cartes ont lancé des services de tokenisation CoF (Card on File) en vue de se conformer à ces exigences et nous avons développé des solutions pour que nos clients puissent en profiter. Pour obtenir plus d'informations sur la réglementation indienne, veuillez consulter notre article intitulé Précisions sur le contexte des réglementations du gouvernement indien concernant les paiements par carte.

FAQ

Que disent exactement les directives de la Reserve Bank of India sur le stockage des identifiants de carte ?

Aucune entité de la chaîne de transaction par carte n'est autorisée à stocker les informations de carte des clients (excepté l'émetteur et les réseaux de cartes). Cette restriction s'étend aux marchands, aux agrégateurs de paiements, aux plateformes de paiement et aux banques acquéreuses. Cela confirme que la tokenisation du réseau et de l'émetteur est la seule voie possible pour le secteur.

D'autres exigences relatives à la mise en œuvre de la tokenisation doivent également être respectées :

• Un token doit être associé à un marchand, à la carte d’un client et à un demandeur de token (tel que Stripe India)
• Avant de générer un token, il est nécessaire d'obtenir le consentement explicite du client et de procéder à une authentification par facteur supplémentaire
• Les marchands doivent proposer au client une option de suppression de la carte tokenisée de la plateforme
• Seuls les quatre derniers chiffres de la carte du client, ainsi que le nom de la banque émettrice et le réseau de cartes peuvent être communiqués aux marchands lors des transactions (c'est-à-dire visibles sur le Dashboard Stripe pour les paiements).

Ces règles s'appliquent uniquement aux marchands indiens réalisant des transactions nationales. Si vous utilisez Stripe en tant que marchand international et que vous n'avez pas conclu de contrat avec Stripe India, vous n'êtes pas concerné par cette réglementation et les cartes ne seront pas tokenisées.

Puis-je désormais stocker des tokens à la place des cartes ?

Non, comme dans le cas du stockage CoF (Card on File), seuls les marchands qui se conforment à la norme PCI DSS peuvent stocker eux-mêmes des tokens. Les autres marchands qui utilisent pour l'instant un service tiers pour stocker leurs cartes devront continuer à faire de même pour leurs tokens.

Stripe est un demandeur de tokens certifié, qui peut non seulement les stocker et faciliter les transactions qui les utilisent, mais aussi permettre leur génération via les réseaux de cartes.

Aucune modification ne sera apportée à votre intégration Stripe. Stripe gère en arrière-plan la récupération et l'utilisation des tokens de réseau de manière transparente pour vos clients. Vous n'aurez pas à vous occuper de ce processus.

Les tokens créés pour les cartes seront-ils identiques pour mes clients et pour les autres marchands ?

Un token sera toujours propre à un marchand, à un ID de client, à un demandeur de token et à un réseau de cartes. Un token généré sur la plateforme d'un marchand ne sera pas valable sur la plateforme d'un autre marchand.

Une carte sera en principe associée à plusieurs tokens en fonction du nombre de combinaisons d’ID de marchand-ID de client pour lesquelles elle sera utilisée.

Ces associations seront gérées par le demandeur de tokens (Stripe). Nous ne pouvons toutefois pas garantir qu'un marchand intégré aux réseaux de cartes se verra attribuer le même identifiant par les autres demandeurs de token (il peut donc y avoir des doublons). Par conséquent, nous ne pouvons pas non plus assurer qu'un token fourni par Stripe fonctionnera pour la même combinaison marchand-client s'il est utilisé par d'autres agrégateurs de paiement ou plateformes de paiement.

Quelle incidence cela aura-t-il sur l'expérience de paiement de mes clients ?

Pour le client final, l'incidence de la tokenisation sera minime. Pour convertir ses cartes en token, il devra vous donner son accord au moment de payer une transaction en cours. Ce sera le cas aussi bien pour le tunnel des nouvelles cartes que pour celui des cartes enregistrées.

Pour vous simplifier la tâche, Stripe lance Stripe Managed Tokenization Consent (SMTC), une vue de formulaire intercepté intégrée dans le tunnel de paiement pour demander le consentement du client en votre nom, sans que vous ayez à créer un nouveau tunnel d'expérience utilisateur ou à effectuer des changements d'intégration.

Vous avez la possibilité de ne pas utiliser Stripe Managed Tokenization Consent (voir la question suivante) si vous souhaitez créer et intégrer votre propre tunnel de consentement personnalisé pour une expérience de paiement fluide.

Pour les utilisateurs ayant déjà procédé à la tokenisation des cartes de leurs clients, seuls les quatre derniers chiffres des numéros des cartes enregistrées seront désormais affichés.

Les titulaires de carte qui choisissent de ne pas les tokeniser devront désormais saisir le numéro à 16 chiffres de leur carte, sa date d'expiration et son CVV pour toutes les transactions.

Comment puis-je désactiver Stripe Managed Tokenization Consent ?

Si vous ne souhaitez pas utiliser Stripe Managed Tokenization Consent pour créer votre propre tunnel de consentement personnalisé, veuillez consulter la section Conformité dans les paramètres du Dashboard Stripe, où vous trouverez la rubrique Consentement au stockage des cartes.

Une fois dans la rubrique, activez l'option par laquelle vous déclarez collecter le consentement.

Dès lors, vous êtes tenu de demander le consentement du client et d'enregistrer les informations de la carte pour une utilisation ultérieure sur l'objet Customer Stripe seulement si le titulaire de la carte a donné son consentement dans votre tunnel de consentement de paiement.

Quels sont les tunnels qui risquent de ne pas fonctionner pour moi ?

Pour les utilisateurs qui n'utilisent pas Stripe Billing, Stripe Checkout ni Stripe Elements, tous les tunnels qui reposent sur le numéro de carte de vos clients seront affectés. Vous devrez utiliser le mécanisme de désactivation du Dashboard et collecter le consentement de vos clients pour nous permettre de tokeniser et de stocker les informations de leurs cartes sur les systèmes de Stripe.