Endast kortutfärdare och kortbetalningsnätverk är tillåtna att spara kortuppgifter från ett kort utfärdat i Indien för transaktioner som behandlas genom betaltjänstleverantörer med tillstånd från Indiens centralbank (Reserve Bank of India, RBI). RBI kräver att leverantörer av betalningstjänster (som Stripe India) använder nätverkstokens för att hantera betalningar istället för kredit-/bankkortsnummer.

De här reglerna påverkar främst företag baserade i Indien. Kortbetalningsnätverken har lanserat tokeniseringstjänster med sparade kort (Card-on-File, CoF) för att uppfylla dessa krav och Stripe har utvecklat lösningar som våra kunder kan dra nytta av. Mer information om de indiska reglerna finns i vår artikel Bakgrund till regler från den indiska regeringen som påverkar kortbetalningar.

Vanliga frågor

Vad säger reglerna från Indiens centralbank om lagring av kortuppgifter?

Enligt dessa regler får ingen enhet i korttransaktionskedjan spara uppgifter kopplade till kundkort (med undantag av kortutfärdare och kortbetalningsnätverk), och begränsningen omfattar handlare, leverantörer av betalningstjänster, betalningsgateways och inlösande banker. Det här visar att nätverkstokenisering och utfärdartokenisering är den enda vägen framåt för branschen.

Det finns också ytterligare krav kring tokenisering som måste följas:

• En token måste utfärdas till en säljare, ett kundkort och en Token Requestor – en enhet som begär en token (som Stripe India).
• Kunden måste ge sitt uttryckliga samtycke och flerfaktorsautentisering måste användas innan en token skapas.
• Handlare bör ge kunden möjlighet att ta bort det tokeniserade kortet från dess plattform.
• Endast de fyra sista siffrorna på kundkortet, tillsammans med den utfärdande bankens namn och kortbetalningsnätverket får vara synliga för handlare vid en transaktion (dvs. visas som betalningar i Stripe Dashboard).

Detta gäller endast för lokala handlare och transaktioner i Indien. Om du är en internationell handlare på Stripe utan ett konto hos Stripe India, omfattas du inte av de här reglerna. Du behöver med andra ord inte tokenisera kundkort.

Kan jag nu spara tokens istället för kort?

Nej, precis som i fallet med sparade kort (Card on File, CoF) får endast de handlare som uppfyller kraven i PCI DSS spara tokens. De handlare som istället använder tredjepartstjänster för att spara kort måste även fortsättningsvis använda dessa tjänster för att spara tokens.

Stripe är en certifierad Token Requestor som kan spara tokens och underlätta tokenbaserade transaktioner samt möjliggöra generering av tokens via kortbetalningsnätverken.

Det krävs inga ändringar i din Stripe-integration. Stripe hanterar effektivt inhämtning och användning av nätverkstokens för dina kunders räkning. Du kommer inte behöva hantera den processen.

Är en token som skapas för ett kundkort densamma för mina kunder och andra handlare?

En token är alltid unik för en handlare, ett kund-ID, en Token Requestor och ett kortbetalningsnätverk. De tokens som genereras på en handlares plattform kan inte användas på andra handlares plattformar.

Det betyder att ett kort har lika många tokens som antalet kombinationer av handlar- och kund-ID:n.

Dessa kopplingar underhålls av Token Requestor (Stripe). Vi kan dock inte garantera att en handlare som är registrerad hos ett kortbetalningsnätverk kommer att ha samma handlar-ID som hos andra Token Requestors (dvs. dubbletter kan förekomma). Därför kan vi inte garantera att en token som tillhandahålls av Stripe kommer att fungera för samma kombination av handlar- och kund-ID om den används via andra leverantörer av betaltjänster/betalningsgateways.

Hur påverkas kundens upplevelse i kassan?

Tokenisering har en minimal inverkan på slutkunden. För att konvertera sitt kort till en token måste kunden ge dig sitt samtycke till det när hen ska betala för en pågående transaktion. Det här gäller både för nya och sparade kort.

För att göra saker och ting enklare för dig lanserar vi Stripe Managed Tokenization Consent (SMTC), ett formulär som visas i kassaflödet och används för att inhämta kundens samtycke för din räkning. Det här gör att du slipper bygga nya användarupplevelser eller göra integrationsändringar.

Du har möjlighet att välja bort Stripe Managed Tokenization Consent (se nedan) om du vill bygga eller integrera ett eget samtyckesflöde i din kassaupplevelse.

För de användare som redan har tokeniserat sina kunders kort kommer nu uppgifterna på de sparade korten att döljas ytterligare så att endast de fyra sista siffrorna syns.

De kortinnehavare som väljer att inte tokenisera sina kort måste ange dess 16-siffriga nummer, utgångsdatum och CVV-kod för alla transaktioner framöver.

Hur kan jag välja bort Stripe Managed Tokenization Consent?

Om du vill välja bort Stripe Managed Tokenization Consent eftersom du vill skapa ditt eget samtyckesflöde ska du gå till Inställningar i Stripe Dashboard, öppna Efterlevnad och handlingar, och sedan Samtycke till lagring av kortuppgifter.

På sidan Samtycke till lagring av kortuppgifter inaktiverar du inhämtande av samtycke.

Nu är det din skyldighet att inhämta kundens samtycke och endast spara kortuppgifter för framtida användning med Stripes Customer-objekt om kortinnehavaren har gett sitt samtycke i ditt samtyckesflöde.

Vilka av mina flöden kommer eventuellt att påverkas?

För användare som inte använder Stripe Billing, Stripe Checkout eller Stripe Elements kommer alla flöden som använder kundens kortnummer att påverkas. Du måste välja bort det genom att använda Dashboard och inhämta samtycke från dina kunder för att tillåta oss att tokenisera och lagra informationen på Stripes system.