Gids over de wet- en regelgeving voor netwerktokenisatie van de Indiase overheid


Het is alleen issuers en kaartnetwerken toegestaan om de kaartgegevens van een in India uitgegeven betaalkaart op te slaan voor transacties die worden verwerkt door betaaldienstverleners met een vergunning van de Reserve Bank of India (RBI). Tussenpartijen bij betalingen (zoals Stripe India) moeten volgens de regels van RBI netwerktokens gebruiken voor het verwerken van betalingen, in plaats van het daadwerkelijke credit- of debitcardnummer.


Deze regelgeving heeft vooral impact op in India gevestigde ondernemingen. Kaartnetwerken hebben tokenisatiediensten voor geregistreerde betaalkaarten geïntroduceerd om aan deze vereisten te voldoen en Stripe heeft oplossingen ontwikkeld waar onze klanten hun voordeel mee kunnen doen. Lees voor meer informatie over de regelgeving in India het artikel Achtergrond over Indiase overheidsvoorschriften die van invloed zijn op kaartbetalingen.

Veelgestelde vragen

Wat zeggen de richtlijnen van de Reserve Bank of India precies over het bewaren van aanmeldgegevens voor betaalkaarten?


Geen enkele entiteit in de keten voor kaarttransacties mag kaartgerelateerde gegevens van de klant bewaren (afgezien van de issuers en kaartnetwerken). Deze beperking geldt ook voor verkopers, tussenpartijen bij betalingen, betaalgateways en acquiring banken. Verder is volgens deze richtlijnen netwerk- en issuertokenisatie de enige geschikte manier om in toekomst kaartgegevens te verwerken.


Er zijn ook aanvullende vereisten bij de implementatie van tokenisatie die moeten worden opgevolgd:


Dit geldt alleen voor verkopers in India bij binnenlandse transacties. Als je een internationale verkoper bent op Stripe en je geen contract hebt met Stripe India, geldt deze regelgeving niet en worden betaalkaarten niet getokeniseerd.


Kan ik nu tokens opslaan in plaats van betaalkaarten?


Nee, net zoals bij de opslag voor geregistreerde betaalkaarten kunnen alleen verkopers die voldoen aan PCI DSS zelf tokens opslaan. Alle andere verkopers die momenteel een externe dienst gebruiken om hun betaalkaarten op te slaan, moeten dit ook blijven doen voor hun tokens.


Stripe is een gecertificeerde tokenaanvrager die tokens kan opslaan en op tokens gebaseerde transacties kan faciliteren, maar daarnaast ook het genereren van tokens via de kaartnetwerken mogelijk kan maken.


Er verandert niets in je Stripe-integratie. Stripe zorgt ervoor dat het ophalen en gebruiken van netwerktokens namens jouw klanten moeiteloos verloopt. Je hoeft dat proces zelf niet te beheren.

Tokenisatieproces kaartnetwerken Stripe India.png

Is een token dat is gemaakt voor de betaalkaart van een klant hetzelfde voor alle verkopers?


Een token is altijd uniek voor een verkoper, een klant-ID, een tokenaanvrager en een kaartnetwerk. Een token dat is gegenereerd op het platform van één verkoper, is niet geldig voor gebruik op het platform van een andere verkoper.


De betaalkaart van één kaarthouder krijgt in wezen meerdere tokens op basis van het aantal combinaties van verkoper en klant-ID.


Deze toegewezen tokens worden bijgehouden door de tokenaanvrager (Stripe). We kunnen echter niet garanderen dat een verkoper voor wie onboarding op de kaartnetwerken is uitgevoerd, van een andere tokenaanvrager dezelfde verkoper-ID krijgt. Er kan dus duplicatie optreden. We kunnen dan ook niet garanderen dat een token dat is verstrekt door Stripe, ook werkt voor dezelfde combinatie van verkoper en klant als het wordt gebruikt bij andere tussenpartijen bij betalingen of betaalgateways.


Wat voor invloed heeft dit op de afrekenervaring voor mijn klanten?


Voor de eindklant is de impact van tokenisatie minimaal. Klanten moeten toestemming geven om hun betaalkaart om te zetten in een token en kunnen dan gewoon verdergaan met het voltooien van de transactie. Dit geldt zowel voor betaalprocessen met nieuwe betaalkaarten als met opgeslagen betaalkaarten.


Stripe lanceert Stripe Managed Tokenization Consent (SMTC) om je werk uit handen te nemen. Met deze automatische formulierweergave, geïntegreerd in het afrekenproces, verzamel je de klanttoestemming zonder dat er nieuwe gebruikersprocessen of integratiewijzigingen nodig zijn.

Schermafdruk SMCC.png


Als je zelf een toestemmingsproces op maat wilt bouwen of integreren voor naadloos gebruik in je eigen afrekenomgeving, kun je je hieronder afmelden voor Stripe Managed Tokenization Consent.

Voor gebruikers die de betaalkaarten van hun klanten al hebben getokeniseerd, worden de opgeslagen betaalkaarten nu verder afgeschermd zodat alleen de laatste vier cijfers zichtbaar zijn.

Kaarthouders die ervoor kiezen om hun betaalkaarten niet te tokeniseren, moeten vanaf nu voor alle kaarttransacties de zestien cijfers van het betaalkaartnummer, de vervaldatum en de CCV invoeren.


Hoe kan ik me afmelden voor Stripe Managed Tokenization Consent?


Als je je wilt afmelden voor Stripe Managed Tokenization Consent omdat je je eigen toestemmingsproces op maat wilt maken, ga je op het Stripe-dashboard naar de pagina Instellingen > het onderdeel Compliance > Toestemming voor opslaan van betaalkaarten.

Stripe Dashboard - Instellingen.png

Schakel bij 'Toestemming voor opslaan van betaalkaarten' de bevestiging voor het verkrijgen van toestemming uit.

Toestemming voor opslaan van betaalkaarten - verkrijgen van toestemming uitschakelen.png

Nadat je je hebt afgemeld, ben je zelf verplicht om de toestemming van de klant te verzamelen en kaartgegevens alleen op te slaan voor toekomstig gebruik op het Stripe-klantobject als de kaarthouder daarvoor toestemming heeft gegeven in het toestemmingsproces van je afrekenomgeving.


Bij welke processen kan ik mogelijk problemen ondervinden?


Als je Stripe Billing, Stripe Checkout of Stripe Elements niet gebruikt, heeft dat invloed op alle processen waarbij het kaartnummer van je klant nodig is. Je moet dit doorgeven via het dashboard en toestemming vragen aan je klanten, zodat we de gegevens kunnen tokeniseren en opslaan op de Stripe-systemen.