Solo le società emittenti e i circuiti delle carte di credito potranno memorizzare i dati di una carta emessa in India per le transazioni elaborate tramite fornitori di servizi di pagamento autorizzati dalla Reserve Bank of India (RBI). La RBI richiede agli aggregatori di pagamenti come Stripe India di utilizzare token di circuito per l'elaborazione dei pagamenti anziché il numero effettivo della carta di credito/debito.

Tali normative influiranno principalmente sulle attività con sede in India. I circuiti delle carte di credito hanno lanciato i servizi di tokenizzazione delle carte in archivio (CoF) per conformarsi a questi requisiti e Stripe ha sviluppato appositamente delle soluzioni per i nostri clienti. Per ulteriori informazioni sulle normative in India, leggi il nostro articolo Informazioni generali sulle normative del governo indiano che interessano i pagamenti con carta.

Domande frequenti

Cosa dicono esattamente le linee guida della Reserve Bank of India sull'archiviazione dei dati identificativi delle carte?

Nessuna entità nella catena delle transazioni con carta può archiviare le informazioni relative alla carta del cliente (oltre alla società emittente e ai circuiti della carta). Questa restrizione si estende a esercenti, aggregatori di pagamento (PA), gateway di pagamento (PG) e banche acquirenti. Ciò conferma inoltre che la tokenizzazione dei circuiti e delle società emittenti è l'unica possibilità futura per il settore.

Esistono anche ulteriori requisiti sull'implementazione della tokenizzazione a cui occorre aderire:

• I token devono avere come ambito un esercente, una carta del cliente e il richiedente del token (come Stripe India)
• Prima di generare un token, occorre ottenere il consenso esplicito del cliente e usare l'autenticazione a fattore aggiuntivo
• L'esercente dovrebbe dare al cliente la possibilità di eliminare la carta tokenizzata dalla sua piattaforma
• Solo le ultime 4 cifre della carta del cliente, oltre al nome della banca emittente e al circuito della carta, possono essere a disposizione dell'esercente durante le transazioni (ovvero visibili sulla Dashboard Stripe per i pagamenti).

Ciò è valido solo per gli esercenti indiani e per le transazioni nazionali. Se sei un esercente internazionale su Stripe, non hai un contratto con Stripe India, tale normativa non si applica e le carte non saranno tokenizzate.

Ora posso salvare i token al posto delle carte?

No, come nel caso della conservazione delle carte in archivio (CoF), solo gli esercenti conformi alle norme PCI DSS possono archiviare i token. Gli altri esercenti che attualmente utilizzano servizi di terze parti per salvare le carte dovranno continuare a fare lo stesso anche per i token.

Stripe è un richiedente di token certificato che non solo può conservare i token e facilitare le transazioni basate sugli stessi, ma può anche abilitare la generazione di token attraverso i circuiti di carte di credito.

Nella tua integrazione Stripe non cambierà nulla. Stripe gestirà perfettamente il recupero e l'utilizzo dei token dei circuiti per conto dei tuoi clienti dietro le quinte. Non spetterà a te gestire quel processo.

Il token creato per la carta di un cliente sarà lo stesso per i miei clienti e altri esercenti?

Ogni token sarà sempre esclusivamente correlato a un esercente, un ID cliente, un richiedente del token e un circuito della carta. Un token generato sulla piattaforma di un esercente non sarà valido su quella di un altro esercente.

Sostanzialmente, la carta di un titolare avrà più token in base al numero di combinazioni esercente-ID cliente che ha.

Questa mappa verrà mantenuta dal richiedente del token (Stripe). Tuttavia, non possiamo garantire che un esercente registrato sui circuiti delle carte avrà lo stesso ID fornito da altri richiedenti del token (ovvero, potrebbero esserci dei duplicati). Pertanto, non possiamo garantire che un token fornito da Stripe funzionerà per la stessa combinazione esercente-cliente se utilizzato attraverso altri aggregatori di pagamento/gateway di pagamento.

Quale sarà l'impatto sull'esperienza di pagamento dei clienti?

Per il cliente finale, l'impatto della tokenizzazione sarà minimo. Per convertire le carte in token, il cliente dovrà fornirti il suo consenso durante la procedura di pagamento di una transazione in corso. Questo vale sia per i flussi con carte nuove che quelli con carte salvate.

Per semplificarti le cose, Stripe sta lanciando il Consenso alla tokenizzazione gestito da Stripe (SMTC), che prevede la visualizzazione di un modulo intercettato durante il flusso di pagamento, per raccogliere il consenso del cliente per tuo conto, senza dover creare nuovi flussi nell'esperienza d'uso o apportare modifiche all'integrazione.

Se vuoi creare o integrare il tuo flusso di consenso personalizzato da usare agevolmente nella tua esperienza di pagamento, hai la possibilità di disattivare il Consenso alla tokenizzazione gestito da Stripe (consulta la sezione sulla disattivazione che segue).

Per gli utenti che hanno già tokenizzato le carte dei loro clienti, le carte salvate saranno ulteriormente oscurate in modo tale che siano visibili solo le ultime 4 cifre.

I titolari delle carte che scelgono di non tokenizzare le loro carte dovranno inserire il numero della carta di 16 cifre, la scadenza e il CVV per tutte le transazioni con carta future.

Come faccio a disattivare il Consenso alla tokenizzazione gestito da Stripe??

Per disattivare il Consenso alla tokenizzazione gestito da Stripe al fine di creare un flusso di consenso del cliente personalizzato, accedi alla sezione sulla conformità nella pagina delle impostazioni della Dashboard Stripe e vai a Consenso per la conservazione dei dati delle carte di credito.

Alla voce Consenso per la conservazione dei dati delle carte di credito, attiva l'acquisizione del consenso.

Una volta disattivata l'opzione, avrai l'obbligo di acquisire il consenso del cliente e salvare solo i dati della carta per uso futuro sull'oggetto Customer Stripe, se il titolare della carta ha dato il consenso nell'ambito del tuo flusso di consenso al momento del pagamento.

Quali flussi potrebbero interrompersi?

Per gli utenti che non usano Stripe Billing, Stripe Checkout o Stripe Elements, saranno interessati tutti i flussi basati sul numero di carta del cliente. Dovrai disattivare l'opzione attraverso il meccanismo della Dashboard e raccogliere il consenso dai tuoi clienti per consentirci di tokenizzare e archiviare le informazioni sui sistemi Stripe.