คำแนะนำสำหรับระเบียบข้อบังคับของรัฐบาลอินเดียเกี่ยวกับการแปลงเป็นโทเค็นของเครือข่าย

มีเพียงบริษัทผู้ออกบัตรและเครือข่ายบัตรเท่านั้นที่ได้รับอนุญาตให้จัดเก็บข้อมูลของบัตรที่ออกในอินเดียสำหรับธุรกรรมที่ประมวลผลผ่านผู้ให้บริการชำระเงินที่ได้รับอนุญาตโดยธนาคารกลางอินเดีย (RBI) ทั้งนี้ RBI กำหนดให้ผู้รวบรวมการชำระเงิน (เช่น Stripe India) ใช้โทเค็นของเครือข่ายในการประมวลผลการชำระเงินแทนหมายเลขจริงของบัตรเครดิต/บัตรเดบิต

ระเบียบข้อบังคับนี้จะส่งผลกระทบต่อธุรกิจที่จัดตั้งขึ้นในอินเดียเป็นหลัก โดยฝั่งเครือข่ายบัตรต่างๆ ก็ได้เปิดตัวบริการการแปลงข้อมูลบัตรในระบบ (Card-on-File หรือ CoF) เป็นโทเค็นเพื่อปฏิบัติตามข้อกำหนดเหล่านี้ และ Stripe เองก็ได้พัฒนาโซลูชันขึ้นมาให้ลูกค้าของเราได้ใช้ประโยชน์ หากต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับระเบียบข้อบังคับของอินเดีย โปรดดูบทความของเราที่มีเนื้อหาว่าด้วยข้อมูลที่มาที่ไปเกี่ยวกับระเบียบข้อบังคับของรัฐบาลอินเดียที่ส่งผลกระทบต่อการชำระเงินด้วยบัตร

คำถามที่พบบ่อย

ธนาคารกลางอินเดียกำหนดแนวทางเกี่ยวกับการจัดเก็บข้อมูลประจำบัตรไว้ว่าอย่างไรกันแน่

ไม่อนุญาตให้บริษัทใดๆ ในเครือธุรกิจการทำธุรกรรมผ่านบัตรจัดเก็บข้อมูลที่เกี่ยวข้องกับบัตรของลูกค้าทั้งสิ้น (ยกเว้นเพียงบริษัทผู้ออกบัตรและเครือข่ายบัตร) โดยข้อจำกัดที่ว่านี้จะขยายผลรวมไปถึงผู้ค้า, ผู้รวบรวมการชำระเงิน (PA), เกตเวย์การชำระเงิน (PG) และธนาคารที่ให้บริการประมวลผลแทนผู้ค้าด้วยเช่นกัน อีกทั้งยังเป็นเครื่องยืนยันว่าการแปลงเป็นโทเค็นของเครือข่ายและของบริษัทผู้ออกบัตรคือทางเลือกเดียวที่จะทำให้อุตสาหกรรมนี้เดินหน้าต่อไปได้

ไม่เพียงเท่านั้น การปรับใช้มาตรการการแปลงเป็นโทเค็นยังมีข้อกำหนดเพิ่มเติมที่จำเป็นจะต้องปฏิบัติตามดังนี้

โทเค็นจะต้องมีการจำกัดขอบเขตการดำเนินการไว้ที่ผู้ค้า บัตรของลูกค้า และผู้ส่งคำขอโทเค็น (เช่น Stripe India)
ก่อนที่จะสร้างโทเค็นขึ้นมาได้ ลูกค้าจำเป็นจะต้องมอบคำยินยอมโดยชัดแจ้ง รวมทั้งจะต้องมีการตรวจสอบสิทธิ์ด้วยปัจจัยเพิ่มเติม
ผู้ค้าควรเสนอตัวเลือกให้ลูกค้าสามารถลบข้อมูลบัตรที่ผ่านการแปลงเป็นโทเค็นออกจากแพลตฟอร์มของตัวผู้ค้าได้
ข้อมูลที่ผู้ค้าจะเข้าถึงได้ในระหว่างที่ทำธุรกรรม (กล่าวคือปรากฏให้เห็นบนแดชบอร์ด Stripe เมื่อมีการชำระเงิน) ควรมีเพียงหมายเลข 4 หลักสุดท้ายของบัตรลูกค้า ตลอดจนชื่อธนาคารผู้ออกบัตรและเครือข่ายบัตรเท่านั้น

ข้อกำหนดนี้มีผลเฉพาะกับผู้ค้าภายในอินเดียที่ทำธุรกรรมภายในประเทศ หากคุณเป็นผู้ค้าระหว่างประเทศที่ใช้บริการ Stripe และไม่ได้อยู่ภายใต้สัญญาร่วมกับ Stripe India ระเบียบข้อบังคับนี้ก็ไม่ควรจะมีผลกับคุณ ดังนั้นจึงจะไม่มีการแปลงข้อมูลบัตรเป็นโทเค็นแต่อย่างใด

ตอนนี้ฉันสามารถจัดเก็บโทเค็นแทนข้อมูลบัตรได้แล้วใช่ไหม

ไม่ได้ มีเพียงผู้ค้าที่ผ่านมาตรฐาน PCI DSS เท่านั้นที่สามารถจัดเก็บโทเค็นเองได้ เช่นเดียวกับกรณีของการจัดเก็บข้อมูลบัตรในระบบ (CoF) สำหรับผู้ค้ารายอื่นๆ ที่ใช้บริการของบริษัทอื่นในการจัดเก็บข้อมูลบัตรของตนอยู่ในปัจจุบัน ผู้ค้ากลุ่มนี้จะต้องใช้แนวทางเดียวกันนี้กับการจัดเก็บโทเค็นต่อไปเหมือนเดิม

Stripe เป็นผู้ส่งคำขอโทเค็นที่ผ่านการรับรอง เราไม่เพียงแต่จัดเก็บโทเค็นและอำนวยความสะดวกให้กับธุรกรรมที่ใช้โทเค็นได้เท่านั้น แต่ยังเปิดให้สามารถสร้างโทเค็นผ่านเครือข่ายบัตรได้อีกด้วย

การผสานการทำงาน Stripe ของคุณจะไม่มีการเปลี่ยนแปลงใดๆ ทั้งสิ้น Stripe จะทำหน้าที่อยู่เบื้องหลังเพื่อจัดการกับการดึงและใช้โทเค็นของเครือข่ายในนามลูกค้าของคุณอย่างไร้สะดุด คุณจึงไม่ต้องเป็นฝ่ายจัดการขั้นตอนนี้ด้วยตัวเอง

Stripe India card network tokenization flow.png

โทเค็นที่สร้างขึ้นจากบัตรของลูกค้าใบหนึ่งๆ สำหรับลูกค้าของฉันและผู้ค้ารายอื่นๆ จะเป็นโทเค็นดียวกันหรือไม่

โทเค็นสำหรับผู้ค้า, ID ลูกค้า, ผู้ส่งคำขอโทเค็น และเครือข่ายบัตรจะเป็นโทเค็นที่ไม่ซ้ำกันเสมอ ดังนั้นโทเค็นที่สร้างขึ้นบนแพลตฟอร์มของผู้ค้ารายหนึ่งจะไม่สามารถนำไปใช้งานบนแพลตฟอร์มของผู้ค้าอีกรายได้

หากว่ากันโดยพื้นฐานแล้ว บัตรแต่ละใบของเจ้าของบัตรจะมีหลายโทเค็น ทั้งนี้จะขึ้นอยู่กับจำนวนของการจับคู่ระหว่างผู้ค้ากับ ID ลูกค้าที่มีอยู่ในระบบ

และผู้ส่งคำขอโทเค็น (Stripe) จะเป็นฝ่ายควบคุมดูแลแผนผังการจับคู่ดังกล่าว อย่างไรก็ดี เราไม่สามารถรับประกันได้ว่าผู้ค้ารายหนึ่งที่ใช้งานเครือข่ายบัตรต่างๆ จะมี ID ผู้ค้าเดียวกันกับที่ผู้ส่งคำขอโทเค็นเจ้าอื่นๆ ระบุ (ซึ่งหมายความว่า ID ผู้ค้าอาจซ้ำกันได้นั่นเอง) ด้วยเหตุนี้เราจึงไม่อาจรับประกันได้ว่าโทเค็นที่คุณได้รับจาก Stripe จะใช้งานได้สำหรับการจับคู่ระหว่างผู้ค้ากับลูกค้าชุดเดียวกัน หากนำโทเค็นดังกล่าวไปใช้งานผ่านผู้รวบรวมการชำระเงิน / เกตเวย์การชำระเงินอื่นๆ

ประสบการณ์การชำระเงินสำหรับลูกค้าของฉันจะได้รับผลกระทบอย่างไรบ้าง

ขั้นตอนการแปลงเป็นโทเค็นจะส่งผลกระทบต่อตัวลูกค้าปลายทางเพียงเล็กน้อย โดยลูกค้าจะต้องเป็นฝ่ายมอบคำยินยอมขณะทำการชำระเงินสำหรับรายการธุรกรรมที่ดำเนินอยู่ เพื่อให้คุณสามารถแปลงข้อมูลบัตรของลูกค้าเป็นโทเค็นได้ ขั้นตอนการทำงานทั้งของบัตรใหม่และบัตรที่บันทึกไว้จะต้องเป็นไปตามที่ว่านี้

เพื่ออำนวยความสะดวกให้กับคุณ Stripe จึงจะเปิดตัว Stripe Managed Tokenization Consent (SMTC) หรือคำยินยอมให้แปลงเป็นโทเค็นที่ Stripe ดูแลจัดการ ซึ่งเป็นมุมมองแบบฟอร์มที่แทรกเข้ามาเป็นส่วนหนึ่งของขั้นตอนการชำระเงินเพื่อเก็บรวบรวมคำยินยอมจากลูกค้าในนามของคุณ ดังนั้นคุณจึงไม่ต้องพัฒนาขั้นตอน UX ใดๆ ขึ้นมาใหม่หรือเปลี่ยนแปลงการผสานการทำงานแต่อย่างใด

SMCC Screenshot.png

ในกรณีที่คุณต้องการจะพัฒนาหรือผสานการทำงานกับขั้นตอนการเก็บรวบรวมคำยินยอมแบบกำหนดเองเพื่อใช้เป็นส่วนหนึ่งของประสบการณ์การชำระเงินได้อย่างไร้สะดุด คุณก็สามารถเลือกไม่ใช้ Stripe Managed Tokenization Consent ได้เช่นกัน (โปรดดูการเลือกไม่ใช้ที่ด้านล่าง)

สำหรับผู้ใช้ที่ได้แปลงบัตรของลูกค้าตัวเองเป็นโทเค็นไปเรียบร้อยแล้ว ตอนนี้ข้อมูลบัตรที่ได้บันทึกไว้ก็จะถูกซ่อนเพิ่มอีกชั้น โดยจะดูได้เพียงหมายเลขบัตร 4 หลักสุดท้ายเท่านั้น

สำหรับเจ้าของบัตรที่เลือกไม่แปลงบัตรตัวเองเป็นโทเค็น เจ้าของบัตรจะต้องป้อนหมายเลขบัตร 16 หลัก วันหมดอายุ และ CVV สำหรับการทำธุรกรรมผ่านบัตรทุกรายการในอนาคตต่อจากนี้

ฉันจะเลือกไม่ใช้ Stripe Managed Tokenization Consent ได้อย่างไร

ในกรณีที่คุณต้องการเลือกไม่ใช้ Stripe Managed Tokenization Consent เพราะอยากจะสร้างขั้นตอนการเก็บรวบรวมคำยินยอมแบบกำหนดเอง โปรดไปที่ส่วนการปฏิบัติตามข้อกำหนดในหน้าการตั้งค่าของแดชบอร์ด Stripe แล้วจึงไปที่คำยินยอมให้จัดเก็บข้อมูลบัตร

Stripe Dashboard - Settings page.png

เมื่อเข้าไปที่คำยินยอมให้จัดเก็บข้อมูลบัตร โปรดกดสลับปุ่มการรับรองว่าด้วยการเก็บรวบรวมคำยินยอม

Card storage consent - Opting out of Stripe managed customer consent collection.png

หลังเลือกไม่ใช้เรียบร้อยแล้ว ภาระผูกพันในการเก็บรวบรวมคำยินยอมของลูกค้า ตลอดจนการบันทึกรายละเอียดของบัตรไว้ที่ออบเจ็กต์ Customer ของ Stripe เพื่อใช้สำหรับครั้งต่อๆ ไปในอนาคตเฉพาะเมื่อได้รับคำยินยอมจากเจ้าของบัตรในระหว่างขั้นตอนการเก็บรวบรวมคำยินยอมขณะชำระเงินจะตกเป็นของคุณ

มีขั้นตอนอะไรบ้างที่น่าจะใช้งานไม่ได้อีกต่อไปสำหรับฉัน

สำหรับผู้ใช้ที่ไม่ได้ใช้ Stripe Billing, Stripe Checkout หรือ Stripe Elements ขั้นตอนใดๆ ที่ต้องใช้หมายเลขบัตรของลูกค้าต่างก็จะได้รับผลกระทบ ดังนั้นคุณจะต้องเลือกไม่ใช้ฟีเจอร์ผ่านกลไกของแดชบอร์ด จากนั้นจึงเก็บรวบรวมคำยินยอมจากลูกค้าของคุณเพื่อให้เราสามารถแปลงข้อมูลบัตรเป็นโทเค็นและจัดเก็บไว้ในระบบ Stripe ได้

ฉันจะหาข้อมูลเพิ่มเติมได้จากที่ไหน

โปรดติดต่อเราผ่าน support.stripe.com ซึ่งเป็นช่องทางที่ปลอดภัย ทีมงานยินดีตอบข้อสงสัยใดๆ ที่คุณอาจมีอยู่ในใจ พร้อมทั้งช่วยเสริมสร้างความเข้าใจเกี่ยวกับวิธีปฏิบัติตามระเบียบข้อบังคับนี้ให้ชัดเจนยิ่งขึ้น