Endast kortutfärdare och kortbetalningsnätverk tillåts spara kortdata från ett Indien-utfärdat kort för transaktioner som bearbetas genom betaltjänstleverantörer licensierade av Reserve Bank of India (RBI). RBI kräver att betalningsaggregatorer (som Stripe Indien) använder nätverkstoken för betalningshantering i stället för det faktiska kredit-/bankkortsnumret.

Dessa regler påverkar främst företag baserade i Indien. Kortnätverk har lanserat kort-på-fil (CoF) tokeniseringstjänster för att uppfylla dessa krav och Stripe har utvecklat lösningar som våra kunder kan dra nytta av. För mer information om Indiens regler, se vår artikel om Bakgrund till beslutade regleringar av indiska regeringen som påverkar kortbetalningar.

Vanliga frågor

Vad exakt säger Reserve Bank of Indias riktlinjer om lagring av kortuppgifter?

Ingen enhet i korttransaktionskedjan får spara kundkortsrelaterad information (annat än kortutgivare och kortbetalningsnätverk) – denna begränsning sträcker sig till handlare, betalningsaggregatorer (PA:er), betalningsgateways (PG:er) och inlösande banker. Det bekräftar också att nätverkstokenisering och utfärdartokenisering är den enda tillämpliga vägen framåt för branschen.

Det finns också ytterligare krav runt implementeringen av tokenisering som måste följas:

• En token måste göras unik avseende handlare, kundkort och tokenbeställare (som Stripe India)

• Uttryckligt samtycke från kunden och ytterligare autentiseringsfaktor krävs innan en token får genereras

• En handlare ska ge kunden möjlighet att radera kortet som det har skapats en token av från handlarens plattform

• Bara de sista fyra siffrorna på kundkortet, den utfärdande bankens namn och kortnätverk kan vara tillgängliga för en handlare vid transaktioner (dvs. synliga på Stripe Dashboard för betalningar).

Detta gäller bara för indiska handlare vid transaktioner i Indien. Om du är en internationell handlare på Stripe har du inget avtal med Stripe India, den här bestämmelsen ska därför inte finna tillämpning och inga kort ska tokeniseras.

Kan jag nu lagra tokens i stället för kort?

Nej, på samma sätt som vid Card on file-lagring (CoF-lagring), kan bara PCI DSS-godkända handlare lagra tokens själva. Resten av handlare, som för närvarande använder en tredjepartstjänst för att lagra sina kort, måste fortsätta att göra samma sak för sina tokens också.

Stripe är en certifierad token-beställare som inte enbart kan lagra tokens och underlätta token-baserade betalningar, men även möjliggöra token-generering via kortbetalningsnätverken. 

Inget ändras i din Stripe-integration. Stripe hanterar insamling och användning av nätverkstoken på dina kunders räkning på ett friktionsfritt sätt under huven. Du behöver inte hantera den processen själv.

Är en token som har skapats för ett kundkort samma för mina kunder och för andra handlare?

En token kommer alltid att vara unik för en handlare, ett kund-ID, en tokenbeställare och ett kortnätverk. En token som har genererats på en handlares plattform är inte giltig för användning på en annan handlares plattform.

I princip har en kortinnehavares kort flera tokens, baserat på antalet befintliga kombinationer av handlare och kund-id:n som kortinnehavaren har. 

Denna karta underhålls av tokenbeställaren (Stripe). Däremot kan vi inte garantera att en handlare som har genomgått onboarding hos kortbetalningsnätverken har samma handlar-id som andra tokenbeställare har tilldelat dem (duplicering kan alltså förekomma). Därför kan vi inte garantera att om en token som har tillhandahållits av Stripe funkar för samma kombination av handlare och kund om den används via andra betalningsaggregatorer/betalningsgateways. 

Hur påverkas kassaupplevelsen för mina kunder?

Tokeniseringen har en minimal påverkan för slutkunden. För att konvertera ett kundkort till en token måste kunden ge dig samtycke för att göra det vid betalning för en pågående transaktion. Detta är fallet såväl för det nya kortflödet som för det sparade kortflödet.

För att göra det lättare för dig lanserar Stripe en integrerad formulärvy i kassaflödet, Stripe Managed Tokenization Consent (SMTC), för att samla in kundsamtycke för din räkning utan att du behöver bygga ett nytt UX-flöde eller göra ändringar i integreringen.

Du har möjligheten att välja bort Stripe Managed Tokenization Consent (se avregistrering nedan) om du vill bygga eller integrera ditt egna anpassade flöde för samtycke som ska användas i kassaupplevelsen.

För användare som redan har tokeniserat sina kunders kort är bara de fyra sista siffrorna på de sparade korten synliga.

Kortinnehavare som väljer att inte tokenisera sina kort måste ange det 16-siffriga kortnumret, utgångsmånaden och CVV-koden vid alla kommande korttransaktioner.

Hur kan jag välja bort Stripe Managed Tokenization Consent?

Om du vill välja bort Stripe Managed Tokenization Consent för att du vill skapa ditt egna anpassade flöde för samtycke, gå till sektionen efterlevnad i inställningssidan för Stripe Dashboard för att godta lagring av kortuppgifter.

Aktivera bekräftelse av insamling av samtycke i vyn för att godta lagring av kortuppgifter.

Så snart du har valt bort SMTC är det din skyldighet att samla in kundsamtycke och endast spara kortinformation för framtida användning på Stripe-kundobjektet om kortinnehavaren har gett samtycke i ditt flöde för samtycke i kassan.

Vilka av mina flöden kan möjligtvis sluta att fungera?

För användare som inte använder Stripe Billing, Stripe Checkout eller Stripe Elements påverkas alla flöden som baserar på kundkortnummer. Du måste verkställa avregistreringen via dashboard och samla in samtycke från dina kunder för att vi ska kunna tokenisera och spara informationen på Stripes system.

Var hittar jag mer information?

Skriv till support.stripe.com för att komma i kontakt med vårt team som gärna hjälper dig med alla frågor du kan ha. De hjälper dig också att förstå hur du ska efterleva regelkraven.