关于卡组织令牌化的印度政府法规指南
只有发卡行和卡组织才能存储印度签发银行卡的银行卡数据,从而通过印度储备银行 (RBI) 许可的支付服务商处理交易。印度央行要求聚合支付服务商(如 Stripe 印度)使用卡组织令牌进行支付处理,而非使用真实的信用卡/借记卡号。
这些法规主要影响印度的企业。卡组织推出了存档卡片 (CoF) 令牌化服务来满足这些要求,Stripe 开发了可供客户利用的解决方案。有关印度法规的更多信息,请参阅我们的文章《印度政府影响信用卡支付的法规背景》。
常见问题
印度储备银行的指导方针在银行卡证书存储方面到底说了些什么?
银行卡交易链中的任何实体都不能存储客户的银行卡相关信息(发卡行和卡组织除外)——这一限制延伸到了商家、聚合支付服务商 (PA)、支付网关 (PG) 和收单行。这也证实了卡组织令牌化和发卡行令牌化是行业唯一可行的发展方向。
围绕令牌化的实施,还需要遵守其他要求:
- 令牌的范围必须是商家、客户卡和令牌请求者(如 Stripe 印度)
- 在生成令牌之前,必须获得明确的客户同意和其他验证因素的验证
- 商家应该让客户选择从商家平台删除令牌化的卡
- 在交易过程中,商家只能使用客户银行卡的后 4 位数字以及发卡行名称和卡组织 (即在 Stripe 管理平台的付款页面可看到的信息)。
这仅适用于印度国内商家的国内交易。如果您是 Stripe 上的国际商家,您没有与 Stripe 印度签订合同,那么该规定不适用,银行卡也不会被令牌化。
我现在可以存储令牌而非银行卡吗?
不行,与存档卡片 (CoF) 的存储一样,只有符合 PCI DSS 的商家可以自己存储令牌。对于目前使用第三方服务来存储银行卡的其他商家,他们必须继续对他们的令牌做同样的处理。
Stripe 是经认证的令牌请求者,不仅可以存储令牌和促进基于令牌的交易,还可以通过卡组织生成令牌。
您的 Stripe 集成不受任何影响。Stripe 将在幕后代您的客户无缝处理卡组织令牌的获取和使用。您不必管理这个过程。
为客户卡创建的令牌对我的客户和其他商家来说是一样的吗?
对于商家、客户 ID、令牌请求者和卡组织来说,令牌都是唯一的。在一个商家的平台上生成的令牌在另一个商家的平台上是无效的。
本质上,一个持卡人的卡会根据他们拥有的商家-客户 ID 组合的数量拥有多个令牌。
该映射将由令牌请求者 (Stripe) 维护。但是,我们不能保证加入卡组织的商家可以拥有其他令牌请求者提供的相同商家 ID(即可能出现重复)。因此,我们不能保证 Stripe 提供的令牌在通过其他聚合支付服务商/支付网关使用时适用于相同的商家-客户组合。
我的客户结账体验会受到什么影响?
对于最终客户来说,令牌化的影响微乎其微。要将他们的卡转换为令牌,客户必须同意您这样做之后,才能为进行中的交易付款。新卡的流程和已保存卡的流程都是这样的。
为简化您的操作,Stripe 推出了 Stripe 管理的令牌化同意书 (SMTC)(此处为截取的表单视图,它是结账流程的一部分),以代您收集客户同意书,您不需要构建任何新的用户体验流程或对集成进行任何修改。
如果您希望构建或集成您自己的自定义同意书收集流程,并希望在您的结账体验中能够顺畅使用,可以选择不使用 Stripe 管理的令牌化同意书收集流程(请参见下面的退选流程)。
对于已经对其客户的银行卡进行了令牌化的用户,现在会进一步屏蔽他们保存的银行卡,以便他们只能看到最后 4 位数字。
对于选择不对其银行卡进行令牌化的持卡人,他们必须输入 16 位卡号、有效期和 CVV 之后才能进行所有银行卡交易。
我如何选择不使用 Stripe 管理的令牌化同意书?
如果您因为要创建自己的自定义流程而想停止使用 Stripe 管理的令牌化同意书收集流程,请导航至“Stripe 管理平台设置”页面中的“合规”部分,然后选择“银行卡存储同意书”。
在“银行卡存储同意书”中,请切换到“同意书收集确认”。
一旦您选择退出,您就需要自行收集客户同意书,并且只有当持卡人在您的结账流程中点击同意的情况下,才会在 Stripe Customer 对象上保存银行卡详情以备将来使用。
对我来说,会中断哪些流程?
对于不使用 Stripe Billing、Stripe Checkout 或 Stripe Element 的用户,任何依赖于客户卡号的流程都会受到影响。您必须选择停止使用管理平台机制,并征得客户的同意后,我们才能在 Stripe 系统上令牌化和存储信息。