Les marchands qui traitent des transactions par carte (utilisateurs de Stripe) au Japon sont tenus de mettre en œuvre un certain niveau de mesures de sécurité en vertu de la loi relative à la vente à tempérament. À la suite d'incidents impliquant l'utilisation non autorisée de données de cartes, le Conseil des mesures de sécurité des transactions par carte de crédit, un organisme du secteur, a publié une « liste de contrôle de sécurité » qui décrit les mesures particulières que les marchands japonais qui traitent des transactions par carte en ligne doivent mettre en œuvre.

Stripe et les autres prestataires de services de paiement (PSP) sont désormais tenus de recueillir une déclaration auprès des nouveaux marchands qui traitent des transactions par carte concernant l'adoption des mesures de sécurité. Les utilisateurs concernés verront cette déclaration apparaître sous forme de questions avant de terminer le processus d'inscription des utilisateurs. Les questions précisent les mesures requises et si les utilisateurs sont considérés comme n'ayant pas adopté des mesures de sécurité suffisantes au regard des questions, ils ne pourront pas traiter les paiements par carte.

Pour en savoir plus, veuillez consulter la « Liste de contrôle de sécurité – Mesures de sécurité de base pour les marchands en ligne » publiée par le Conseil des mesures de sécurité des transactions par carte de crédit (disponible en japonais). Nous vous remercions de votre compréhension quant à la mise en œuvre de cette exigence du secteur pour protéger les transactions par carte au Japon.

FAQ

Que se passe-t-il si je n'ai pas encore mis en œuvre les mesures de sécurité?

Vous pouvez répondre aux questions en fonction des mesures que vous envisagez de prendre au moment où vous commencerez à traiter les paiements par carte. Toutefois, si vous soumettez le formulaire avant d'avoir adopté les mesures nécessaires, vous devrez vous abstenir d'accepter des transactions par carte jusqu'à ce que ces mesures aient été mises en œuvre.

Faut-il maintenir les mesures de sécurité après l'inscription des utilisateurs?

Oui, vous devez maintenir les mesures que vous déclarez avoir adoptées.

Dois-je répondre à ces questions si j'accepte des paiements par le biais de Payment Links ou d'une facture hébergée par Stripe?

Si vous n'acceptez des paiements que par le biais de Payment Links ou de Stripe Invoicing et que vous ne vendez pas vos biens et services par le biais d'un site Web en ligne, vous devez seulement répondre à une partie des questions.

Comment mettre en œuvre les mesures de sécurité?

La mise en œuvre dépendra de la manière dont vous traitez les paiements et de la conception de votre site Web. Si vous utilisez des modules d'extension ou si vous confiez l'architecture de votre système à un tiers, demandez-lui de vous aider à répondre aux questions. Si vous souhaitez mettre en place les mesures vous-même, vous trouverez de plus amples informations dans le guide de mise en œuvre diffusé par le Conseil des mesures de sécurité des transactions par carte de crédit (disponible en japonais).

Que se passe-t-il si je confie mes mesures de sécurité à un tiers?

Si vous envisagez d'externaliser les mesures de sécurité, veuillez répondre sur la base des informations fournies par vos prestataires tiers. Il vous incombe toujours de répondre aux questions.

Veillez à inclure des informations concernant le sous-traitant et/ou le fournisseur de sources d'applications que vous utilisez. Ces informations sont nécessaires si un tiers est impliqué dans l'exploitation de votre site Web et/ou est responsable des mesures de sécurité que vous adoptez.

Puis-je partager les questions, la liste de contrôle de sécurité et les documents connexes avec les fournisseurs ou les fournisseurs de systèmes que j'utilise?

Oui, vous pouvez partager ces renseignements avec les parties concernées.

Dois-je répondre aux questions?

Oui, des réponses sont nécessaires pour commencer à traiter les paiements par carte de crédit en ligne.

Stripe ne peut-elle pas répondre à ces questions en mon nom?

Stripe et d'autres PSP sont tenus de recueillir les réponses de chaque nouvel utilisateur qui traitera des paiements par carte. Bien que nous ne puissions pas répondre à ces questions à votre place, nous avons fourni quelques conseils et suggestions lorsque nous pensons que nos produits peuvent être utilisés pour mettre en œuvre les mesures de sécurité.

Les produits de Stripe permettent-ils de mettre en œuvre l'une ou l'autre des mesures requises?

Stripe limitera automatiquement le nombre de fois où la validité d'une carte peut être testée, en fonction de divers facteurs et données. Par conséquent, pour les paiements traités par Stripe, vous pouvez répondre que vous mettez en œuvre au moins une des mesures de sécurité énumérées pour lutter contre les tests de cartes malveillants (5. Mesures contre les tests frauduleux de cartes). Pour en savoir plus sur les mesures supplémentaires que vous pouvez adopter pour vous protéger contre les tests frauduleux de cartes, cliquez ici.

Si j'ai plusieurs comptes Stripe, dois-je répondre pour chaque compte?

Oui, des réponses sont nécessaires pour chaque compte où les questions sont soulevées.

Cela a-t-il une incidence sur les comptes Stripe existants?

Nous ne collectons pas les réponses des comptes Stripe existants pour l'instant. Toutefois, il a été annoncé que les questions relatives aux mesures de sécurité devront être posées à tous les marchands, y compris les marchands déjà inscrits, à compter d'avril 2025. Nous suivons l'évolution de la situation et fournirons des mises à jour si et quand des réponses s'avèrent nécessaires pour les comptes existants.

Je pensais que les paiements effectués avec Stripe étaient sécurisés. Pourquoi dois-je soumettre une déclaration?

Stripe et d'autres PSP sont tenus de recueillir les réponses de chaque nouvel utilisateur qui traitera des paiements par carte. La liste de contrôle de sécurité et les questions qui s'y rapportent visent à garantir la sécurité des transactions par carte en ligne. Il s'agit d'une exigence qui s'applique à l'ensemble du secteur et non d'une initiative propre à Stripe.

Que se passe-t-il si je ne réponds pas aux questions?

Si vous ne répondez pas aux questions, vous ne pourrez pas accepter les paiements en ligne.

Puis-je modifier mes réponses après les avoir soumises?

En règle générale, nous n'acceptons pas de modifications une fois que les réponses ont été soumises. Si vous avez besoin de temps pour déterminer les mesures que vous adopterez, veuillez attendre de disposer des informations nécessaires pour soumettre vos réponses. Si vous soumettez des réponses sur la base des mesures que vous avez l'intention d'adopter ultérieurement, veuillez ne pas accepter de paiements par carte en ligne tant que vous n'avez pas terminé d'adopter ces mesures.

Que se passe-t-il une fois que j'ai soumis mes réponses?

Vous pourrez commencer à accepter les transactions par carte en ligne.

Que se passe-t-il si je n'adopte pas les mesures énumérées, mais que je peux assurer le même niveau de sécurité avec d'autres mesures?

En règle générale, nous attendons des utilisateurs qu'ils se conforment aux exigences de la liste de contrôle de sécurité en adoptant les mesures énumérées. Toutefois, nous pouvons être en mesure de reconnaître certaines mesures alternatives si elles ont au moins le même degré d'efficacité. Si vous avez recours à une mesure de sécurité alternative qui ne figure pas dans les options de réponse et/ou la liste de contrôle de sécurité, veuillez contacter le service d'assistance en expliquant quelle mesure vous avez adoptée, pourquoi vous estimez qu'il s'agit d'une alternative adéquate et à quelle exigence vous pensez qu'elle répond.

Glossaire

Pour plus d'informations, vous pouvez également vous référer à la « Liste de contrôle de sécurité – Mesures de sécurité de base pour les marchands en ligne ».

• Authentification de base : Méthode d'authentification simple du protocole HTTP qui restreint l'accès à un site Web. Lors de l'introduction de l'authentification de base, veuillez également utiliser HTTPS (TLS ou SSL), un mécanisme de chiffrage des données, pour la protection du mot de passe.
• Vulnérabilité : Cette notion fait référence aux défauts de sécurité causés par des erreurs de programme ou de conception.
• Diagnostic de vulnérabilité : L'action d'évaluer le système pour détecter les risques et les vulnérabilités potentiels.
• Tests du taux de pénétration : Processus qui consiste à simuler des attaques données que des pirates informatiques pourraient utiliser pour vérifier si elles aboutissent ou non.
• Injection SQL : Méthode d'attaque qui consiste à transmettre une chaîne de caractères contenant des commandes malveillantes à une base de données afin d'extraire des données stockées dans la base de données ou d'écrire des données non autorisées.
• Attaque XSS : Méthode d'attaque qui intègre des scripts malveillants (programmes simples) dans des applications Web et les exécute lorsque les utilisateurs effectuent des actions dans le navigateur.
• Logiciel malveillant : Il s'agit d'un logiciel développé dans le but de nuire aux ordinateurs et à leurs utilisateurs. Les virus constituent un type de logiciel malveillant.
• Test de cartes : Méthode d'attaque qui génère illégitimement un grand nombre de numéros de cartes en exploitant les règles d'attribution des numéros de cartes, ou qui vérifie la validité des numéros de cartes obtenus par hameçonnage ou par des fuites sur des sites en ligne, ce qui permet d'obtenir illégitimement des numéros de cartes valides.
• Limitation de la bande passante : Processus permettant de limiter le nombre de demandes pouvant être envoyées pour une opération donnée dans un délai déterminé.