インド準備銀行 (RBI) によって認可された決済サービスプロバイダーを通じて処理される取引で、インドで発行されたカードのデータを保存できるのはカード発行会社とカードネットワークのみに制限されます。Stripe などの決済アグリゲーターが行う決済処理では、実際のクレジットカード / デビットカード番号の代わりにネットワークトークンを使用する必要があります。
これらの規制は主にインドに所在するビジネスに影響します。カードネットワークは、これらの要件に準拠するために、Card on File (CoF) トークン化サービスを開始しました。
ネットワークトークンとは、Visa や Mastercard のようなカードネットワークによって提供され、オンライン決済で実際のクレジットカード / デビットカードの番号の代わりに使用されるものです。これにより、機密情報であるカードデータをカードネットワークのみが保持することになるため、カードデータが漏れるリスクが減ります。
インドを拠点とし、国内発行のカードを使用する顧客が多いビジネスは影響を受ける可能性が高くなります。
トークン化の要件は、インドでライセンスを受けたサービスプロバイダーによって処理される取引でインド発行のカードによる支払いを受ける場合に適用されます。お客様 (インド国外のプラットフォームの場合は、お客様の連結アカウント) がインドで登録されておらず、Stripe India のサポート対象ではない場合、カード情報のトークン化は要求されません。
規制の影響を受ける場合は、以下のようにしてください。
インドで発行されたクレジットカードとデビットカードの両方のデータについて、自社サーバーでの保存を停止してください。
インドで発行されたカードに対するトークンの保存と使用について、顧客から同意を得てください。この同意を得るために、顧客向けの利用規約の更新が必要になる場合があります。
顧客から同意を得るために独自の同意フローを構築することを希望しない場合は、Stripe が提供を始めた Stripe Managed Tokenization Consent を利用して、自動的に顧客の同意を収集できます。詳細については、ネットワークのトークン化に関するインド政府の規制ガイドをご覧ください。
さらに、このガイドで説明されている手順に従って、既存の Stripe 組み込みのアップグレードが必要になる場合もあります。
これらの変更が完了すると、Stripe でお客様の代わりにカードをトークン化できるようになります。Stripe では現在、ユーザーの皆様に、トークン化ソリューションをベータ版で提供しています。ご利用の Stripe アカウントに提供する準備が整い次第、ご連絡を差し上げます。
インドで発行されたカードによる取引に関する返金は、取引後 90 日の期間内にのみ開始できます。この期間の後、その支払いは返金不可になります。
現時点ではサービスとしてのトークン化には対応していません。
これはカードネットワークが指定する設定次第となりますが、設定については現在協議中です。最新のガイダンスについては、引き続きよくあるご質問をご覧ください。
Stripe Checkout、Setup Intents、Payment Intents、その他の API を使用して将来の支払いに備えてカード詳細を保存できます。これらは、カード保有者に 3DS 認証の実行を促します。Stripe は、3DS オーソリが成功した場合にのみカードをトークン化します。
3DS を有効化するために Stripe 組み込みをアップグレードする必要があるかどうかを判断するには、このガイドをご覧ください。