Het is alleen voor kaartverstrekkers en kaartnetwerken toegestaan om de kaartgegevens van een in India uitgegeven kaart op te slaan voor transacties die worden verwerkt door betaaldienstverleners die zijn gelicentieerd door de Reserve Bank of India (RBI). De RBI verplicht tussenpartijen voor betalingen (zoals Stripe India) om netwerktokens te gebruiken voor betalingsverwerking, in plaats van het daadwerkelijke credit-/debitcardnummer.
Deze regelgeving heeft vooral impact op in India gevestigde bedrijven. Kaartnetwerken hebben tokenisatiediensten voor geregistreerde betaalkaarten gelanceerd om te voldoen aan deze vereisten en Stripe heeft oplossingen ontwikkeld waar onze klanten hun voordeel mee kunnen doen. Zie voor meer informatie over de Indiase regelgeving ons artikel Achtergrond over Indiase overheidsvoorschriften die van invloed zijn op kaartbetalingen.
Geen entiteit in de keten voor kaarttransacties mag kaartgerelateerde informatie van de klant bewaren (afgezien van de kaartverstrekkers en kaartnetwerken). Deze beperking geldt ook voor handelaren, tussenpartijen voor betalingen, betaalgateways en wervende banken. Deze richtlijnen bevestigen ook dat netwerktokenisatie en verstrekkerstokenisatie de enige geldige weg naar voren is voor de branche.
Er zijn ook aanvullende vereisten rond de implementatie van tokenisatie die moeten worden opgevolgd:
Een token moet worden afgebakend tot een handelaar, klantenkaart en tokenaanvrager (zoals Stripe India).
Er moet expliciete toestemming van de klant worden ingewonnen en aanvullende factorauthenticatie worden uitgevoerd voordat een token wordt gegenereerd.
Een handelaar moet de klant een optie geven om de getokeniseerde kaart te verwijderen van het platform van de handelaar.
Slechts de laatste 4 cijfers van de klantenkaart, samen met de naam van de verstrekker en het kaartnetwerk, mogen zichtbaar zijn voor een handelaar tijdens transacties (d.w.z. zichtbaar op het Stripe-dashboard voor betalingen).
Dit geldt alleen voor Indiase binnenlandse handelaren bij binnenlandse transacties. Als je een internationale handelaar bent op Stripe en je geen contract hebt bij Stripe India, geldt deze regelgeving niet en worden kaarten niet getokeniseerd.
Nee, net zoals bij opslag voor geregistreerde betaalkaarten kunnen alleen PCI DSS-compliant handelaren zelf tokens opslaan. De resterende handelaren die momenteel een derde dienst gebruiken om hun kaarten op te slaan, moeten hetzelfde voor hun tokens blijven doen.
Stripe is een gecertificeerde tokenaanvrager die niet alleen tokens kan opslaan en op tokens gebaseerde transacties kan faciliteren, maar die ook de generatie van tokens kan verzorgen via de kaartnetwerken.
Je Stripe-integratie verandert niet. Stripe zal op naadloze wijze het ophalen en gebruiken van netwerktokens namens jouw klanten verzorgen. Je hoeft dat proces zelf niet te beheren.
Een token is altijd uniek voor een handelaar, een klant-ID, een tokenaanvrager en een kaartnetwerk. Een token dat is gegenereerd op het platform van één handelaar, is niet geldig voor gebruik op het platform van een andere handelaar.
De kaart van één kaarthouder krijgt meerdere tokens op basis van het aantal combinaties van handelaar en klant-ID.
Deze toegewezen tokens worden bijgehouden door de tokenaanvrager (Stripe). We kunnen echter niet garanderen dat een handelaar voor wie onboarding op de kaartnetwerken is uitgevoerd, dezelfde handelaars-ID heeft die is verstrekt door andere tokenaanvragers (duplicatie kan dus voorkomen). We kunnen daarom niet garanderen dat een token dat is verstrekt door Stripe, zal werken voor dezelfde combinatie van handelaar en klant als het wordt gebruikt via andere tussenpartijen voor betalingen/betaalgateways.
Voor de eindklant is de impact van tokenisatie minimaal. Klanten moeten toestemming geven om hun betaalkaart om te zetten in een token en kunnen dan gewoon verdergaan met de betaling van hun transactie. Dit geldt voor betaalflows met nieuwe betaalkaarten en met opgeslagen betaalkaarten.
Om het leven gemakkelijker voor je te maken, lanceert Stripe Managed Tokenization Consent (SMTC), een automatische formulierweergave als onderdeel van de checkoutflow, om de toestemming van de klant namens jou te verkrijgen. Je hoeft dan geen nieuwe gebruikersflow te bouwen of je integratie aan te passen.
Je hebt de optie om je af te melden voor Stripe Managed Tokenization Consent (zie hieronder), als je je eigen toestemmingsflow voor klanten wilt bouwen of integreren, die je naadloos kunt gebruiken in je eigen checkoutervaring.
Voor gebruikers die de kaarten van hun klanten hebben getokeniseerd, worden hun opgeslagen kaarten nu verder gemaskeerd zodat alleen de laatste 4 cijfers zichtbaar zijn.
Kaarthouders die ervoor kiezen om hun kaarten niet te tokeniseren, moeten vanaf nu hun 16-cijferige kaartnummer, de vervaldatum en de CCV invoeren voor alle kaarttransacties.
Als je je wilt afmelden voor Stripe Managed Tokenization Consent, omdat je je eigen aangepaste toestemmingsflow wilt maken, ga je op het Stripe-dashboard naar de pagina Instellingen > het gedeelte Compliance > Toestemming voor opslaan van betaalkaarten.
Gebruik de schuifknop bij Toestemming voor opslaan van betaalkaarten om de bevestiging voor het verkrijgen van toestemming uit te zetten.
Zodra je je afmeldt, ben je verplicht om de toestemming van de klant te verzamelen en alleen kaartgegevens op te slaan voor toekomstig gebruik op het Stripe-klantobject als de kaarthouder toestemming heeft gegeven in de toestemmingsflow van je checkout.
Voor gebruikers die niet Stripe Billing, Stripe Checkout of Stripe Elements gebruiken, worden alle flows beïnvloed waarvoor het kaartnummer van je klant is vereist. Je moet je afmelden via het dashboardmechanisme en toestemming van je klanten verkrijgen om ons de gegevens te laten tokeniseren en opslaan op de Stripe-systemen.
Neem veilig contact met ons op via support.stripe.com. Ons team helpt je graag met alle vragen die je hebt en kan je meer uitleg geven over de wet- en regelgeving en hoe je hieraan kunt voldoen.