只有发卡行和卡组织才能存储印度签发银行卡的银行卡数据,从而通过印度储备银行 (RBI) 许可的支付服务提供者处理交易。RBI 要求 Stripe India 等聚合支付服务供应商使用卡组织令牌处理支付,而不是使用实际的信用卡/借记卡号。
这些规定主要会影响位于印度的商家。为遵守这些要求,各卡组织推出了存档银行卡 (CoF) 令牌化服务,Stripe 也为客户打造了相应的解决方案。有关印度法规的更多信息,请参阅我们有关影响银行卡支付的印度政府法规背景的文章。
银行卡交易链中的任何实体都不得存储客户银行卡相关信息(发卡行和卡组织除外)——此限制同样适用于商家、支付聚合商 (PA)、支付网关 (PG) 和收单银行。此外,这些规定证实了卡组织令牌化和发卡行令牌化是该行业唯一合适的发展方向。
在实施令牌化方面,还需遵守附加要求:
每个令牌必须仅对应一个商家、一个客户银行卡和一个令牌请求者(例如,Stripe India)
在生成令牌之前,必须征得客户明确同意并进行额外验证
商家应该向客户提供从商家平台删除令牌化银行卡的选项
交易期间,商家仅可获取客户银行卡的最后 4 位数字以及发卡行名称和卡组织(即,在 Stripe 管理平台上的支付信息中只能看到这些内容)。
这仅适用于进行国内交易的印度境内商家。如果您是使用 Stripe 的国际商家,且未与 Stripe India 签订合同,则此法规不适用,并且银行卡也不会被令牌化。
不可以,与存档银行卡 (CoF) 存储一样,只有符合 PCI DSS 的商家才能自行存储令牌。对于目前使用第三方服务来存储银行卡的其余商家,他们也必须继续为其令牌执行相同的操作。
Stripe 是经认证的令牌请求者,不仅可以存储令牌并促进基于令牌的交易,还可以通过卡组织生成令牌。
您的 Stripe 集成不会发生任何变化。Stripe 将在后台代表您的客户无缝处理卡组织令牌获取和使用事务。您无需管理该流程。
每个令牌始终仅对应一个商家、一个客户 ID、一个令牌请求者和一个卡组织。在一个商家平台上生成的令牌无法在另一个商家平台上使用。
实际上,持卡人的一张银行卡将拥有多个令牌,具体取决于持卡人所拥有的 Merchant-CustomerID 组合数量。
此映射将由令牌请求者 (Stripe) 维护。但是,我们不能保证在卡组织注册的商家的商家 ID 与其他令牌请求者提供的相同(即可能存在重复)。因此,如果通过其他支付聚合商/支付网关使用 Stripe 所提供的令牌,我们不能保证此类令牌适用于相同的商家-客户组合。
对于终端客户,令牌化的影响将微乎其微。在客户为正在进行的交易付款之前,您必须获得客户的同意,以便将其银行卡转换为令牌。这同样适用于新的银行卡流程以及已保存的银行卡流程。
为了简化流程,Stripe 推出了一种截取表单视图——Stripe Managed Tokenization Consent (SMTC) 作为结账流程一部分,以代表您征得客户的同意,而无需构建任何新的 UX 流程或进行任何集成更改。
如果您想要构建或集成在结账体验中无缝使用的自定义许可流程,可以选择退出 Stripe Managed Tokenization Consent(请参阅下面的退出说明)。
对于已令牌化客户银行卡的用户,系统现在将进一步屏蔽他们已保存的银行卡,确保他们只能看到最后 4 位数字。
对于选择不对其银行卡进行令牌化的持卡人,在以后的所有银行卡交易中,他们必须输入 16 位卡号、有效期和 CVV。
如果您因为想要创建自己的自定义许可流程而希望退出 Stripe Managed Tokenization Consent,请导航至 Stripe 管理平台“设置”页面中的“合规”部分,找到“银行卡存储许可”。
在“银行卡存储许可”中,请切换至许可收集确认。
一旦您选择退出,您就有义务征得客户的同意,并且仅在持卡人在您的结账许可流程中给予许可的情况下,才将银行卡信息保存在 Stripe Customer 对象上以备将来使用。
对于不使用 Stripe Billing、Stripe Checkout 或 Stripe Elements 的用户,任何依赖客户卡号的流程都会受到影响。您必须通过管理平台途径选择退出,并征得您客户的同意,以允许我们将信息令牌化并存储在 Stripe 系统上。
请通过 support.stripe.com 安全地联系我们,我们的团队将竭诚为您解答任何疑问,并帮助您进一步了解如何遵守法规。