Solo le società emittenti e i circuiti delle carte di credito saranno autorizzati a memorizzare i dati delle carte emesse in India per le transazioni elaborate tramite fornitori di servizi di pagamento con licenza della Reserve Bank of India (RBI). La RBI richiede agli aggregatori di pagamenti come Stripe India di utilizzare token di rete per l'elaborazione dei pagamenti anziché il numero effettivo della carta di credito/debito.
Tali normative influiranno principalmente sulle aziende con sede in India. I circuiti delle carte di credito hanno lanciato i servizi di tokenizzazione delle carte in archivio (CoF) per conformarsi a questi requisiti e Stripe ha sviluppato soluzioni per far sì che i nostri clienti ne possano approfittare. Per ulteriori informazioni sulle normative dell’India, consulta il nostro articolo su Informazioni generali sulle normative del governo indiano che interessano i pagamenti con carta.
Nessuna entità nella catena delle transazioni con carta può archiviare le informazioni relative alla carta del cliente (oltre alla società emittente e ai circuiti della carta). Questa restrizione si estende a esercenti, aggregatori di pagamento (PA), gateway di pagamento (PG) e banche di acquisizione. Ciò conferma inoltre che la tokenizzazione dei circuiti e delle società emittenti sia l’unica possibilità futura per il settore.
Esistono anche ulteriori requisiti sull’implementazione della tokenizzazione a cui occorre aderire:
Il token deve avere come ambito un esercente, una carta del cliente e il richiedente del token (come ad esempio Stripe India)
Prima di generare il token, occorre ricevere il consenso esplicito del cliente e usare l’autenticazione a fattore aggiuntivo
L’esercente dovrebbe dare al cliente la possibilità di eliminare la carta tokenizzata dalla piattaforma dell’esercente
Solo le ultime 4 cifre della carta del cliente, oltre al nome della banca emittente e al circuito della carta, possono essere a disposizione del venditore durante le transazioni (ad esempio, visibili sulla Dashboard Stripe per i pagamenti).
Ciò è valido solo per i venditori che operano in India con transazioni nazionali. Se sei un esercente internazionale su Stripe, non hai un contratto con Stripe India, tale normativa non si applicherebbe e le carte non saranno tokenizzate.
No, come nel caso della conservazione delle carte in archivio (CoF), solo i venditori conformi PCI DSS possono archiviare i token. Gli altri venditori che attualmente utilizzano servizi di terze parti per conservare le carte dovranno continuare a fare lo stesso anche per i token.
Stripe è un richiedente del token certificato che non solo può conservare i token ed effettuare transazioni basate sugli stessi, ma può anche abilitare la generazione dei token attraverso i circuiti delle carte.
Nella tua integrazione Stripe non cambierà nulla. Stripe gestirà perfettamente il recupero e l’utilizzo dei token dei circuiti per conto dei tuoi clienti dietro le quinte. Tu non dovrai gestire quel processo.
Ogni token sarà sempre unico in quanto a venditore, ID cliente, richiedente del token e circuito della carta. Un token generato sulla piattaforma di un venditore non sarà valido per l’uso sulla piattaforma di un altro venditore.
Essenzialmente, una carta di un titolare avrà più token in base al numero di combinazioni venditore-ID cliente che si avranno.
Questa mappa verrà mantenuta dal richiedente del token (Stripe). Tuttavia, non possiamo garantire che un venditore attivato sui circuiti delle carte avrà lo stesso ID venditore fornito da altri richiedenti del token (ovvero, potrebbero esserci duplicati). Pertanto, non possiamo garantire che un token fornito da Stripe funzionerà per la stessa combinazione venditore-cliente se utilizzato attraverso altri aggregatori di pagamento/gateway di pagamento.
Per il cliente finale, l’impatto della tokenizzazione sarà minimo. Per convertire le carte in token, il cliente dovrà fornirti il suo consenso durante la procedura di pagamento di una transazione in corso. È il caso di un nuovo flusso di carta e del flusso di una carta salvata.
Per semplificarti le cose, Stripe sta lanciando il Consenso di Tokenizzazione Gestito da Stripe (SMTC), che visualizza un modulo intercettato come parte del flusso di pagamento, per raccogliere il consenso del cliente per tuo conto, senza dover creare nuovi flussi UX o apportare modifiche all’integrazione.
Se vuoi creare o integrare il tuo flusso di consenso personalizzato da usare agevolmente nella tua esperienza di pagamento, hai la possibilità di disattivare il Consenso di Tokenizzazione Gestito da Stripe (consulta la sezione sulla disattivazione di seguito).
Per utenti che hanno già tokenizzato le carte dei loro clienti, le loro carte salvate saranno ulteriormente oscurate in modo tale che siano visibili solo le ultime 4 cifre.
I titolari delle carte che scelgono di non tokenizzare le carte dovranno inserire numero della carta di 16 cifre, scadenza e CVV per tutte le transazioni con carta future.
Per disattivare il Consenso di tokenizzazione gestito da Stripe al fine di creare il tuo flusso personalizzato di consenso del cliente, accedi alla sezione sulla conformità nella pagina delle impostazioni della Dashboard Stripe e vai a Consenso all’archiviazione delle carte.
Consenso all’archiviazione della carta interno: attiva la conferma dell’acquisizione del consenso.
Una volta disattivata l'opzione, hai l'obbligo di acquisire il consenso del cliente e salvare solo i dettagli della carta per uso futuro sull'oggetto Customer Stripe, se il titolare della carta ha dato il consenso nell'ambito del tuo flusso di consenso al momento del pagamento.
Per gli utenti che non usano Stripe Billing, Stripe Checkout o Stripe Elements, tutti i flussi che si affidano al numero di carta del cliente saranno interessati. Dovrai disattivarlo attraverso il meccanismo della Dashboard e raccogliere il consenso dai tuoi clienti per consentirci di tokenizzare e archiviare le informazioni sui sistemi Stripe.
Contattaci in maniera sicura all'indirizzo support.stripe.com e il nostro team sarà lieto di assisterti per qualsiasi domanda e di aiutarti a capire meglio come operare in piena conformità.