Somente os emissores e as bandeiras de cartão poderão armazenar os dados de um cartão emitido na Índia para transações processadas por provedores de serviços de pagamento licenciados pelo RBI (Reserve Bank of India). O RBI exige que agregadores de pagamento, como a Stripe India, usem tokens de rede em vez do número real do cartão de crédito/débito para processar pagamentos.

Esses regulamentos afetam principalmente as empresas estabelecidas na Índia. As bandeiras de cartão lançaram serviços de tokenização card on file (CoF) para cumprir esses requisitos, e a Stripe desenvolveu soluções para nossos clientes. Para obter mais informações sobre os regulamentos da Índia, consulte nosso artigo Contexto sobre os regulamentos do governo indiano que afetam pagamentos com cartão.

Perguntas frequentes

O que exatamente as diretrizes do Reserve Bank of India dizem sobre o armazenamento das credenciais do cartão?

Nenhuma entidade na cadeia de transação com cartão pode armazenar os dados do cartão do cliente além dos emissores e das bandeiras de cartão. Essa restrição também abrange comerciantes, PAs (payment aggregators, agregadores de pagamentos), PGs (payment gateways, gateways de pagamentos) e bancos adquirentes. Isso também confirma que a tokenização de rede e a tokenização do emissor são os únicos caminhos futuros possíveis para o setor.

Também há requisitos adicionais para a implementação da tokenização que precisam ser cumpridos:

• Um token deve ser atribuído a um comerciante, cartão do cliente e solicitante do token, como a Stripe India

• Deve haver o consentimento explícito do cliente e a autenticação de fator adicional antes de gerar o token

• O comerciante deve dar ao cliente a opção de excluir o cartão tokenizado da plataforma do comerciante

• Apenas os quatro últimos dígitos do cartão do cliente, o nome do banco emissor e a bandeira do cartão podem estar disponíveis para o comerciante durante as transações, ou seja, visíveis no Stripe Dashboard para os pagamentos.

Isso vale apenas para as transações e os comerciantes nacionais da Índia. Se você for um comerciante internacional que utiliza a Stripe, a Stripe India não terá um contrato com você, esse regulamento não se aplicará, e os cartões não serão tokenizados.

Posso armazenar tokens em vez de cartões?

Não. Como acontece com o armazenamento de card on file (CoF), apenas comerciantes que seguem o DSS do PCI podem armazenar tokens. Os outros comerciantes que utilizam um serviço de terceiros para armazenar os cartões terão que continuar fazendo a mesma coisa com os tokens.

A Stripe é uma solicitante de token certificada que pode não só armazenar tokens e facilitar transações baseadas em token, como também permite a geração de tokens por meio das bandeiras de cartão. 

Nada mudará em sua integração da Stripe. A Stripe lidará facilmente com a obtenção e a utilização dos tokens de rede em nome dos seus clientes abrangidos. Você não precisará gerenciar esse processo.

O token criado para o cartão de um cliente será igual para meus clientes e outros comerciantes?

O token sempre será exclusivo para o comerciante, o ID do cliente, o solicitante do token e a bandeira de cartão. Um token gerado na plataforma de um comerciante não será válido para uso na plataforma de outro comerciante.

Basicamente, o cartão de um titular do cartão terá diversos tokens com base no número de combinações de comerciante-ID do cliente que houver. 

Esse mapa será mantido pelo solicitante de token (Stripe). No entanto, não podemos garantir que um comerciante integrado às bandeiras de cartão terá a mesma ID do comerciante fornecida por outros solicitantes de token, ou seja, pode haver duplicação. Assim, não podemos garantir que o token fornecido pela Stripe funcionará para a mesma combinação de comerciante-cliente se utilizado por outros PAs/PGs. 

Qual será a consequência para a experiência de checkout dos meus clientes?

Para o cliente final, o impacto da tokenização será mínimo. Para converter os cartões em um token, o cliente terá que dar consentimento para você fazer isso ao realizar o pagamento de uma transação em andamento. Isso acontecerá com o fluxo de cartão novo e com o fluxo de cartão salvo.

Para facilitar as coisas, a Stripe está lançando o SMTC (Stripe managed tokenization consent, consentimento gerenciado de tokenização), uma visualização de formulário interceptada que faz parte do fluxo de checkout, para obter o consentimento do cliente em seu nome, sem precisar criar um novo fluxo de UX nem fazer alterações na integração.

Você pode optar por não utilizar o SMTC (consulte abaixo) se quiser criar ou integrar seu próprio fluxo de consentimento personalizado para utilizar em sua experiência de checkout.

Para usuários que já tiverem tokenizado os cartões dos clientes, os cartões salvos serão ocultados de modo que apenas os 4 últimos dígitos ficarão visíveis.

Para titulares de cartão que optarem por não tokenizar os cartões, será necessário inserir o número do cartão com 16 dígitos, a data de validade e o CVV em todas as transações com cartão daqui em diante.

Como faço para não usar o SMTC?

Se você não quiser usar o recurso porque deseja criar seu próprio fluxo de consentimento personalizado, acesse a seção de conformidade na página de configurações do Stripe Dashboard e vá para Consentimento de armazenamento do cartão.

Em Consentimento de armazenamento do cartão, clique no botão de reconhecimento de obtenção de consentimento.

Depois disso, você deverá obter o consentimento do cliente e salvar os detalhes do cartão apenas para uso futuro no objeto Customer da Stripe se o titular do cartão tiver dado consentimento em seu fluxo de consentimento do checkout.

Quais fluxos poderão ser afetados para mim?

No caso de usuários que não usam o Stripe Billing, o Stripe Checkout ou o Stripe Elements, todos os fluxos que dependem do número do cartão para seu cliente serão afetados. Você terá que parar de utilizar o mecanismo do Dashboard e obter consentimento dos seus clientes para que possamos tokenizar e armazenar as informações deles nos sistemas da Stripe.

Onde posso encontrar mais informações?

Entre em contato conosco pelo site support.stripe.com. Nossa equipe estará à disposição para tirar qualquer dúvida que você tenha, além de informar como cumprir os regulamentos.