ネットワークのトークン化に関するインド政府の規制ガイド

インド準備銀行 (RBI) によって認可された決済サービスプロバイダーを通じて処理される取引で、インドで発行されたカードのカードデータを保存できるのはカード発行会社とカードネットワークのみに制限されます。RBI は、(Stripe India のような) 決済アグリゲーターに対し、実際のクレジットカード / デビットカード番号の代わりにネットワークトークンを使用して決済処理を行うことを要求しています。

これらの規制は主にインドに所在するビジネスに影響します。カードネットワークは、これらの要件に従うために、カードオンファイル (CoF) トークン化サービスを開始し、Stripe はお客様にご利用いただくためのソリューションを開発しました。インドの規制について、詳細はカード支払いに影響を及ぼすインド政府による規制の背景をご覧ください。

よくあるご質問

インド準備銀行のガイドラインでは、カードの認証情報の保存について、具体的にはどのように記載されていますか？

カード取引チェーンの法人は顧客のカード関連情報を保存できません (カード発行会社およびカードネットワークを除く)。加盟店、決済アグリゲーター (PA)、ペイメントゲートウェイ (PG)、アクワイアリング銀行もこの制限の対象となります。業界内で今後適用できるのは、ネットワークのトークン化とカード発行会社のトークン化のみであることも明確に述べられています。

トークン化の実装に関して順守すべき追加の要件もあります。

トークンは加盟店、顧客のカード、トークンリクエスター (Stripe India など) を対象としたものであること
トークンを生成する前に顧客の明確な同意と追加要素認証を取得すること
加盟店は顧客に対し、トークン化されたカードを加盟店のプラットフォームから削除することを選択する機会を与えること
取引中に加盟店が利用できる情報 (決済のために Stripe ダッシュボードに表示される情報) は顧客のカードの最後の 4 桁、カード発行銀行の名前、カードネットワークのみであること

これは国内取引を行うインド国内の加盟店にのみ適用されます。Stripe を利用するインド国外の加盟店は、Stripe India と契約していない場合はこの規制は適用されず、カードのトークン化は行われません。

カードの代わりにトークンを保存することはできますか？

いいえ。カードオンファイル (CoF) の保存と同様に、トークン自体を保存できるのは PCI DSS に準拠した加盟店のみです。カードの保存にサードパーティーのサービスを現在利用しているその他の加盟店は、トークンも同様に扱わなければなりません。

Stripe は、トークンの保存やトークンベースの取引の処理に加え、カードネットワークを介したトークンの生成も可能な認定トークンリクエスターです。

構築済みの Stripe のシステムに変更はありません。Stripe は、顧客の代わりにネットワークトークンの取得や使用といった処理を内部でシームレスに行います。お客様がこのプロセスを管理する必要はありません。

Stripe India card network tokenization flow.png

顧客カードのために生成されるトークンは、当社の顧客と他の加盟店で同じものですか？

トークンは加盟店、顧客 ID、トークンリクエスター、カードネットワークに対して常に一意となります。ある加盟店のプラットフォームで生成されたトークンは、別の加盟店のプラットフォームでは使用できません。

基本的に、カード保有者のカードごとに、加盟店と顧客 ID の組み合わせに基づく複数のトークンが存在します。

この対応付けはトークンリクエスター (Stripe) が管理しますが、弊社は、カードネットワークに登録した加盟店が、他のトークンリクエスターから同一の加盟店 ID を提供されることを保証することはできません (重複する可能性もあります)。そのため、Stripe が提供したトークンが他の決済アグリゲーター / ペイメントゲートウェイを介して使用された場合、同じ加盟店と顧客の組み合わせに使用できると保証することはできません。

顧客の決済フロー体験にどのような影響がありますか？

トークン化が最終顧客に与える影響はごくわずかです。カードをトークンに変換するには、顧客が進行中の取引で支払いに進む際に、トークン化について顧客の同意を得る必要があります。これは、新規のカードのフローだけでなく、保存されたカードのフローでも同様です。

このプロセスを簡単にするために、Stripe は Stripe Managed Tokenization Consent (SMTC) の提供を開始しました。これにより、決済フローの途中でフォームが表示され、お客様の代理で顧客の同意が収集されるため、新たにユーザー体験のフローを構築したり API を変更したりする必要はありません。

SMCC Screenshot.png

シームレスな決済フロー体験を提供するために自社でカスタムの同意フローを構築または実装される場合は、Stripe Managed Tokenization Consent をオプトアウトすることができます (以下のオプトアウトをご覧ください)。

顧客のカードをすでにトークン化している場合、保存されたカードは、最後の 4 桁以外の値が伏字で表示されるようになります。

カード保有者がカードのトークン化を望まない場合、今後のすべてのカード取引において、16 桁のカード番号、有効期限、セキュリティコードの入力が必要となります。

Stripe Managed Tokenization Consent をオプトアウトする方法

自社のカスタムの同意フローを構築するために Stripe Managed Tokenization Consent をオプトアウトする場合、Stripe ダッシュボードの設定ページのコンプライアンスセクションから「カードの保存に関する同意」に進んでください。

Stripe Dashboard - Settings page.png

カードの保存に関する同意で、同意の収集に関する承認を切り替えます。

Card storage consent - Opting out of Stripe managed customer consent collection.png

オプトアウトすると、顧客の同意を収集すること、およびカード保有者が決済の同意フローで同意した場合にのみ、将来の使用に備えて Stripe Customer オブジェクトにカード詳細を保存することは、お客様の義務となります。

影響を受ける可能性があるフローはどれですか？

Stripe Billing、Stripe Checkout、または Stripe Elements を利用していないユーザーの場合、顧客のカード番号に依存しているフローはすべて影響を受けます。ダッシュボードの機能を使ってオプトアウトして、Stripe で情報をトークン化して Stripe のシステムに保存できるように顧客から同意を収集する必要があります。