ネットワークのトークン化に関するインド政府の規制ガイド

インド準備銀行 (RBI) によって認可された決済サービスプロバイダーを通じて処理される取引で、インドで発行されたカードのデータを保存できるのは、カード発行会社とカードネットワークのみです。RBI は、決済アグリゲーター (Stripe India など) に対し、実際のクレジットカード / デビットカード番号の代わりにネットワークトークンを使用して決済処理を行うことを要求しています。

これらの規制は主にインドに所在するビジネスに影響します。カードネットワークは、これらの要件に準拠するために Card on File (CoF) トークン化サービスを開始し、Stripe はお客様にご利用いただくためのソリューションを開発しました。インドの規制に対する詳細は、カード支払いに影響を及ぼすインド政府による規制の背景をご覧ください。

よくあるご質問

インド準備銀行のガイドラインでは、カードの認証情報の保存について、正確にはどのように述べられていますか？

カード取引チェーンの法人は顧客のカード関連情報を保存できません (カード発行会社およびカードネットワークを除く)。加盟店、決済アグリゲーター (PA)、ペイメントゲートウェイ (PG)、アクワイアリング銀行もこの制限の対象となります。業界内で今後適用できるのはネットワークのトークン化やカード発行会社のトークン化のみであることも明確に述べられています。

トークン化の実装に関して順守すべき追加の要件もあります。

トークンは加盟店、顧客のカード、トークンリクエスター (Stripe India など) を対象としたものであること
トークンを生成する前に顧客の明確な同意と追加要素認証を取得すること
加盟店は顧客に対し、加盟店のプラットフォームからトークン化されたカードを削除するオプションを提示すること
取引中に加盟店が利用できる情報 (決済のために Stripe ダッシュボードに表示される情報) は顧客のカードの最後の 4 桁、カード発行銀行の名前、カードネットワークのみであること

これは国内取引を行うインド国内の加盟店にのみ適用されます。Stripe を利用するインド国外の加盟店で Stripe India と契約していない場合はこの規制は適用されず、カードのトークン化は行われません。

カードの代わりにトークンを保存することはできますか？

いいえ。Card on File (CoF) の保存と同様に、トークン自体を保存できるのは PCI DSS に準拠した加盟店のみです。現在カードの保存にサードパーティーのサービスを利用しているその他の加盟店は、トークンも同様に扱わなければなりません。

Stripe は、トークンの保存やトークンベースの取引の処理に加え、カードネットワークを介したトークンの生成も可能な認定トークンリクエスターです。

貴社が構築した Stripe のシステムに変更はありません。Stripe は、顧客の代わりに、ネットワークトークンの取得や使用といった処理を内部でシームレスに行います。お客様がプロセスを管理する必要はありません。

Stripe India card network tokenization flow.png

顧客カードのために生成されたトークンは、顧客や他の加盟店向けのものと同じですか？

トークンは加盟店、顧客 ID、トークンリクエスター、カードネットワークに対して常に一意となります。ある加盟店のプラットフォームで生成されたトークンは、別の加盟店のプラットフォームでは使用できません。

基本的に、カード保有者のカードごとに、加盟店と顧客 ID の組み合わせに基づく複数のトークンが存在します。

このマップはトークンリクエスター (Stripe) が維持します。しかし、弊社は、カードネットワークに登録した加盟店が、他のトークンリクエスターから提供された同一の加盟店 ID を持つことを保証することはできません (重複する可能性もあります)。そのため、Stripe が提供したトークンが他の決済アグリゲーター / ペイメントゲートウェイを介して使用された場合、同じ加盟店と顧客の組み合わせに使用できると保証することはできません。

顧客のチェックアウト体験にどのような影響がありますか？

トークン化が最終顧客に与える影響はごくわずかです。カードをトークンに変換するには、顧客が進行中の取引で支払いに進む際に、顧客からトークン化の同意を得る必要があります。これは、新規のカードのフローだけでなく、保存されたカードのフローでも同様です。

より使いやすくするために、Stripe は Stripe Managed Tokenization Consent (SMTC) を立ち上げました。これはチェックアウトフローの一環として途中でフォームを表示するもので、お客様の代わりに顧客の同意を収集します。新たにユーザー体験のフローを構築したり API を変更したりする必要はありません。

SMCC Screenshot.png

シームレスなチェックアウト体験のために、ユーザー自身でシステムを構築される場合は、Stripe Managed Tokenization Consent をオプトアウトすることができます (以下のオプトアウトをご覧ください)。

ユーザーが顧客のカードをすでにトークン化している場合、保存されたカードは、最後の 4 桁以外の値が伏字で表示されるようになります。

カード保有者がカードのトークン化を望まない場合、今後のすべてのカード取引において、16 桁のカード番号、有効期限、CVV の入力が必要となります。

Stripe Managed Tokenization Consent をオプトアウトする方法

独自の同意フローを構築するために Stripe Managed Tokenization Consent をオプトアウトする場合、Stripe ダッシュボードの設定ページのコンプライアンスセクションから Card Storage Consent (カード保存同意) に進んでください。

Stripe Dashboard - Settings page.png

Card Storage Consent (カード保存同意) の中で同意収集承認を切り替えます。

Card storage consent - Opting out of Stripe managed customer consent collection.png

オプトアウトすると、顧客の同意を収集することはお客様の義務となります。また、カード保有者がお客様の決済の同意フローで同意した場合は、将来の使用に備えて Stripe カスタマーオブジェクトにカード詳細のみが保存されます。

影響を受ける可能性があるフローはどれですか？

Stripe Billing、Stripe Checkout、または Stripe Elements を利用していないユーザーの場合、顧客のカード番号に依存しているフローはすべて影響を受けます。ダッシュボードメカニズムを使ってオプトアウトして、顧客から同意を収集し、Stripe が情報をトークン化して Stripe のシステムに保存できるようにする必要があります。

詳細情報はどこで確認できますか？

support.stripe.com までお気軽にお問い合わせください。お客様のご質問についてサポートし、規制に準拠する方法をより詳しくご説明いたします。