Somente os emissores de cartões e as bandeiras de cartão poderão armazenar os dados de um cartão emitido na Índia para transações processadas por prestadores de serviços de pagamento licenciados pelo Reserve Bank of India (RBI). O RBI exige que agregadores de pagamento (como a Stripe Índia) usem tokens de rede para processar pagamentos, em vez do número real do cartão de crédito/débito.

Esses regulamentos afetam principalmente as empresas sediadas na Índia. As bandeiras de cartão lançaram serviços de tokenização de cartões cadastrados (CoF) para cumprir esses requisitos, e a Stripe desenvolveu soluções para nossos clientes os usarem. Para obter mais informações sobre regulamentos da Índia, consulte o nosso artigo Contexto sobre os regulamentos do governo indiano que afetam pagamentos com cartão.

Perguntas frequentes

O que exatamente as diretrizes do Reserve Bank of India dizem sobre o armazenamento de credenciais de cartão?

Nenhuma entidade na cadeia de transações com cartão pode armazenar informações relacionadas a cartões de clientes (exceto emissores e bandeiras de cartão). A restrição se estende a comerciantes, agregadores de pagamentos (PAs), gateways de pagamento (PGs) e bancos adquirentes. Ele também confirma que a tokenização de rede e a tokenização de emissores é o único caminho a seguir para o setor.

Também há requisitos adicionais envolvendo a implementação de tokenização que precisam ser cumpridos:

• Um token precisa ser associado a um comerciante, cartão de cliente e solicitador de token (como Stripe Índia)
• É preciso obter consentimento explícito do cliente e autenticação de fator adicional antes de gerar um token
• Um comerciante deve dar ao cliente uma opção para excluir o cartão tokenizado da plataforma do cliente
• Somente os últimos 4 dígitos do cartão do cliente, junto com o nome do banco emissor e a bandeira do cartão, podem estar disponíveis para os comerciantes durante transações (ou seja, visível no Stripe Dashboard para pagamentos).

Isso se aplica somente a comerciantes internos da Índia para transações internas. Se você for um comerciante internacional na Stripe ou não tem contrato com a Stripe Índia, esse regulamento não deve se aplicar, e os cartões não devem ser tokenizados.

Posso armazenar tokens em vez de cartões?

Não. Assim como no caso do armazenamento de cartão cadastrado (CoF), somente comerciantes em conformidade com PCI DSS podem armazenar tokens por si só. No caso dos demais comerciantes que usam um serviço de terceiros para armazenar seus cartões, eles também precisarão continuar fazendo o mesmo para seus tokens.

A Stripe é um solicitador de tokens certificado que pode armazenar tokens, facilitar transações baseadas em tokens e ativar a geração de tokens usando bandeiras de cartão.

Nada mudará na sua integração da Stripe. A Stripe gerenciará o processo de obtenção e uso de tokens de rede em nome dos seus clientes. Você não precisará gerenciar esse processo.

Um token criado para um cartão de cliente pode ser o mesmo para os meus clientes e outros comerciantes?

Um token sempre será único para um comerciante, um ID do cliente, um solicitador de token e uma bandeira de cartão. Um token gerado em uma plataforma de comerciante não será válido na plataforma de outro comerciante para uso.

Essencialmente, o cartão de um titular de cartão terá vários tokens com base no número de combinações de IDs de comerciante-cliente que ele tiver.

Esse mapa será mantido por um solicitador de token (Stripe). Entretanto, não podemos garantir que um comerciante integrado às bandeiras de cartão terá o mesmo ID de comerciante fornecido por outros solicitadores de tokens (isto é, pode ocorrer duplicação). Portanto, não podemos garantir que um token fornecido pela Stripe funcionará para a mesma combinação de comerciante-cliente se for usado por meio de outros agregadores ou gateways de pagamento.

Como a experiência de checkout do meu cliente será impactada?

Para o cliente final, o impacto da tokenização será mínimo. Para converter cartões em token, o cliente precisará dar a você consentimento enquanto avança para pagar uma transação em andamento. Esse será o caso para o fluxo de novo cartão, bem como o fluxo do cartão salvo.

Para facilitar sua vida, a Stripe está lançando o Stripe Managed Tokenization Consent (SMTC), uma visualização de formulário interceptada como parte do fluxo de checkout, para coletar consentimento do cliente em seu nome, sem você criar nenhum novo fluxo de UX nem precisar fazer alterações na integração.

Você tem a opção de optar por não aderir ao Stripe Managed Tokenization Consent (consulte a não adesão abaixo), caso pretenda construir ou integrar seu próprio fluxo de consentimento personalizado para usar na sua experiência de checkout.

Para usuários que já tokenizaram os cartões dos clientes, os cartões salvos agora seriam mascarados de modo que apenas os últimos 4 dígitos ficarão visíveis para eles.

Para titulares que optaram por não tokenizar os cartões, será necessário inserir seu número do cartão de 16 dígitos, a validade e o CVV para todas as transações com cartão daqui em diante.

Como faço para optar por não aderir ao Stripe Managed Tokenization Consent?

Se você quiser optar para não aderir ao Stripe Managed Tokenization Consent porque quer criar seu próprio fluxo de consentimento personalizado, navegue pela seção de conformidade na página de configurações do Stripe Dashboard para encontrar a área de consentimento de armazenamento de cartão.

Consentimento de armazenamento de cartão interno, alterne o reconhecimento de coleta de consentimento.

Depois de optar por não aderir, é sua obrigação coletar consentimento do cliente e somente salvar dados de cartão para uso futuro no objeto Stripe Customer se o titular do cartão tiver dado consentimento no seu fluxo de consentimento de checkout.

Quais são os fluxos que talvez deixem de funcionar para mim?

Para usuários que não usam Stripe Billing, Stripe Checkout ou Stripe Elements, todos os fluxos que dependerem do número do cartão do seu cliente serão impactados. Você precisará optar por não aderir ao mecanismo do Dashboard e coletar consentimento dos seus clientes para nos permitir tokenizar e armazenar as informações em sistemas da Stripe.