Kartenhändler (Stripe-Nutzer/innen) in Japan müssen gemäß dem Gesetz über Ratenzahlungen ein bestimmtes Maß an Sicherheitsmaßnahmen ergreifen. Aufgrund von Vorfällen mit unbefugter Verwendung von Kartendaten hat der Ausschuss für Sicherheitsmaßnahmen bei Kreditkartentransaktionen, ein Branchenverband, eine „Sicherheitscheckliste“ veröffentlicht. Dort sind spezifische Maßnahmen aufgeführt, die japanische Händler, die Online-Kartentransaktionen verarbeiten, umsetzen müssen.

Stripe und andere Zahlungsdienstleister (Payment Service Providers, PSPs) sind nun verpflichtet, von neuen Kartenhändlern eine Erklärung über die Umsetzung der Sicherheitsmaßnahmen einzuholen. Den Nutzer/innen werden hierzu Fragen gestellt, bevor sie das Onboarding abschließen. Die Fragen geben einen Überblick über die erforderlichen Maßnahmen. Wird anhand der Fragen ermittelt, dass Nutzer/innen keine ausreichenden Sicherheitsmaßnahmen ergriffen haben, so dürfen sie keine Kartenzahlungen verarbeiten.

Weitere Informationen finden Sie in der „Sicherheitscheckliste – Grundlegende Sicherheitsmaßnahmen für Online-Händler“, die vom Ausschuss für Sicherheitsmaßnahmen bei Kreditkartentransaktionen veröffentlicht wurde (auf Japanisch verfügbar). Wir danken Ihnen für Ihr Verständnis bei der Umsetzung dieser Branchenanforderung zum Schutz von Kartentransaktionen in Japan.

FAQ

Was passiert, wenn ich die Sicherheitsmaßnahmen noch nicht eingeführt habe?

Sie können Fragen zu den Maßnahmen beantworten, die Sie zum Zeitpunkt des Beginns der Verarbeitung von Kartenzahlungen ergreifen möchten. Wenn Sie das Formular jedoch einreichen, bevor die Umsetzung der Maßnahmen abgeschlossen ist, dürfen Sie keine Kartentransaktionen akzeptieren, bis die Arbeiten abgeschlossen sind.

Müssen wir die Sicherheitsmaßnahmen nach dem Onboarding beibehalten?

Ja,Sie müssen die Maßnahmen, die Sie nach eigener Aussage ergriffen haben, beibehalten.

Muss ich diese Fragen beantworten, wenn ich Zahlungen über Zahlungslinks oder eine von Stripe gehostete Rechnung akzeptiere?

Wenn Sie Zahlungen nur über Zahlungslinks oder von Stripe gehostete Rechnungen akzeptieren und Ihre Waren und Dienstleistungen nicht über eine Online-Website verkaufen, müssen Sie nur bestimmte Fragen beantworten.

Wie setze ich die Sicherheitsmaßnahmen um?

Die Umsetzung hängt davon ab, wie Sie Zahlungen abwickeln und wie Sie Ihre Website gestalten. Wenn Sie Plugins verwenden oder Ihre Systemarchitektur an einen Drittanbieter auslagern, bitten Sie diesen um Unterstützung bei der Beantwortung der Fragen. Wenn Sie die Maßnahmen selbst durchführen möchten, finden Sie weitere Informationen in diesem Implementierungsleitfaden, der vom Ausschuss für Sicherheitsmaßnahmen bei Kreditkartentransaktionen herausgegeben wurde (auf Japanisch verfügbar).

Was passiert, wenn ich meine Sicherheitsmaßnahmen an einen Drittanbieter auslagere?

Wenn Sie planen, die Sicherheitsmaßnahmen mittels Outsourcing durchzuführen, antworten Sie bitte auf der Grundlage der Informationen, die Sie von Ihren Drittanbietern erhalten haben. Die Beantwortung der Fragen liegt weiterhin in Ihrer Verantwortung.

Geben Sie bitte unbedingt Informationen über den Outsourcing-Partner und/oder den von Ihnen verwendeten Application Source Provider an. Die Angabe von Informationen des Outsourcing-Partners ist notwendig, wenn ein Drittanbieter am Betrieb Ihrer Website beteiligt ist und/oder für die von Ihnen ergriffenen Sicherheitsmaßnahmen verantwortlich ist.

Darf ich die Fragen, die Sicherheitscheckliste und die dazugehörigen Materialien an meine Anbieter oder Systemprovider weitergeben?

Ja, Sie dürfen die Informationen an die entsprechenden Parteien weitergeben.

Ist es erforderlich, dass ich die Fragen beantworte?

Ja, die Beantwortung der Fragen ist erforderlich, um Online-Kreditkartenzahlungen verarbeiten zu können.

Kann Stripe diese Fragen nicht in meinem Namen beantworten?

Stripe und andere Zahlungsdienstleister sind verpflichtet, Antworten von jeder neuen Nutzerin und jedem neuen Nutzer einzuholen, die bzw. der Kartenzahlungen verarbeiten wird. Wir können die Fragen zwar nicht für Sie beantworten, aber wir haben einige Hinweise und Vorschläge für Situationen zusammengestellt, in denen unsere Produkte unserer Meinung nach für die Sicherheitsmaßnahmen verwendet werden können.

Erfüllen die Produkte von Stripe irgendeine der geforderten Maßnahmen?

Stripe wird anhand einer Reihe von Faktoren und Daten automatisch die Anzahl der Versuche begrenzen, die Gültigkeit einer Karte zu testen. Daher können Sie für die von Stripe verarbeiteten Zahlungen antworten, dass Sie mindestens eine der aufgeführten Sicherheitsmaßnahmen zur Bekämpfung betrügerischer Kartentests implementieren (5. Gegenmaßnahmen für Kartentests). Erfahren Sie hier mehr über zusätzliche Maßnahmen, die Sie zum Schutz vor Kartentests ergreifen können.

Wenn ich mehrere Stripe-Konten habe, muss ich dann für jedes Konto antworten?

Ja, Sie müssen die Fragen für jedes Konto beantworten, für das sie gestellt werden.

Hat dies Auswirkungen auf bestehende Stripe-Konten?

Wir erfassen derzeit keine Antworten von bestehenden Stripe-Konten. Es wurde jedoch angekündigt, dass die Fragen zu den Sicherheitsmaßnahmen ab April 2025 bei allen Händlern gestellt werden müssen, auch bei Händlern, die bereits im System sind. Wir beobachten die Entwicklung und werden Sie auf dem Laufenden halten, falls und sobald Antworten von bestehenden Konten erforderlich werden.

Ich hatte angenommen, dass Stripe-Zahlungen sicher sind. Warum muss ich eine Erklärung abgeben?

Stripe und andere Zahlungsdienstleister sind verpflichtet, Antworten von jeder neuen Nutzerin und jedem neuen Nutzer einzuholen, die bzw. der Kartenzahlungen verarbeiten wird. Mit der Sicherheitscheckliste und den dazugehörigen Fragen soll sichergestellt werden, dass Online-Kartentransaktionen sicher und geschützt sind. Es handelt sich hierbei um eine branchenweite Anforderung und nicht um eine speziell auf Stripe zugeschnittene Initiative.

Was passiert, wenn ich die Fragen nicht beantworte?

Wenn Sie die Fragen nicht beantworten, können Sie keine Online-Zahlungen mehr annehmen.

Kann ich meine Antworten ändern, nachdem ich sie abgeschickt habe?

In der Regel lassen wir keine Änderungen mehr zu, sobald die Antworten übermittelt wurden. Wenn Sie Zeit benötigen, um festzustellen, welche Maßnahmen Sie ergreifen werden, schicken Sie uns Ihre Antworten erst, wenn Sie die notwendigen Informationen haben. Wenn Sie Antworten übermitteln, die auf den beabsichtigten Maßnahmen beruhen, nehmen Sie bitte keine Online-Kartenzahlungen an, bis Sie die Umsetzung dieser Maßnahmen abgeschlossen haben.

Was passiert, nachdem ich meine Antworten übermittelt habe?

Sie dürfen dann mit der Annahme von Online-Kartentransaktionen fortfahren.

Was passiert, wenn ich die angegebenen Maßnahmen nicht ergreife, aber das gleiche Maß an Sicherheit durch alternative Maßnahmen gewährleisten kann?

Im Allgemeinen sollten die Nutzer/innen die Anforderungen der Sicherheitscheckliste erfüllen, indem sie die angegebenen Maßnahmen ergreifen. Allerdings können wir u. U. bestimmte alternative Maßnahmen anerkennen, wenn sie mindestens den gleichen Grad an Wirksamkeit aufweisen. Wenn Sie sich auf eine alternative Sicherheitsmaßnahme verlassen, die nicht in den Antwortoptionen und/oder der Sicherheitscheckliste angegeben ist, wenden Sie sich an den Support und erläutern Sie, welche Maßnahme Sie ergriffen haben, warum Sie sie für eine angemessene Alternative halten und welche Anforderung sie Ihrer Meinung nach erfüllt.

Glossar

Weitere Informationen finden Sie auch in der „Sicherheitscheckliste – Grundlegende Sicherheitsmaßnahmen für Online-Händler“.

• Basisauthentifizierung: Einfache Authentifizierungsmethode im HTTP-Protokoll, die den Zugriff auf eine Website einschränkt. Wenn Sie die Basisauthentifizierung einführen, verwenden Sie zum Schutz Ihres Passworts bitte auch HTTPS (TLS oder SSL), einen Mechanismus zur Verschlüsselung von Daten.
• Sicherheitslücke: Der Begriff bezeichnet Sicherheitsmängel, die durch Programm- oder Designfehler verursacht werden.
• Diagnose von Sicherheitslücken: Die Prüfung des Systems auf potenzielle Risiken und Sicherheitslücken.
• Penetrationstests: Verfahren, bei dem spezifische Angriffe simuliert werden, mit denen böswillige Hacker/innen den möglichen Erfolg eines Angriffs überprüfen können.
• SQL-Injection: Angriffsmethode, bei der eine Zeichenkette mit bösartigen Befehlen an eine Datenbank übermittelt wird, um in der Datenbank gespeicherte Daten zu extrahieren oder nicht autorisierte Daten zu schreiben.
• Cross-Site Scripting: Angriffsmethode, bei der bösartige Skripte (einfache Programme) in Webanwendungen eingebettet und ausgeführt werden, wenn Nutzer/innen im Browser Aktionen ausführen.
• Malware: Der Begriff bezeichnet bösartige Software, die mit der Absicht entwickelt wird, Computern und deren Nutzer/innen zu schaden. Viren sind eine Art von Malware.
• Kartentests: Angriffsmethode, bei der unrechtmäßig eine große Anzahl von Kartennummern generiert wird. Zu diesem Zweck werden Regeln bei der Zuweisung von Kartennummern ausgenutzt. Diese Angriffsmethode wird auch verwendet, um die Gültigkeit von Kartennummern zu überprüfen, die durch Phishing oder Leaks über Online-Websites erlangt wurden. Auf diese Weise werden unrechtmäßig gültige Kartennummern erlangt.
• Throttling: Verfahren, bei dem die Anzahl der Anfragen begrenzt wird, die für einen bestimmten Vorgang innerhalb eines bestimmten Zeitraums gesendet werden können.