Les marchands de cartes (notamment ceux qui utilisent Stripe) au Japon sont tenus de mettre en œuvre certaines mesures de sécurité en vertu de la Loi relative à la vente à tempérament. Suite à des incidents impliquant l'utilisation non autorisée de données, le Conseil de sécurité en matière de transactions par carte de crédit, un organisme du secteur, a récemment publié une « checklist de sécurité » qui prévoit différentes mesures devant être adoptées par les marchands japonais qui traitent des transactions par carte en ligne.

Stripe et les autres fournisseurs de services de paiement doivent désormais vérifier que les marchands qui souhaitent commencer à accepter des paiements par carte ont adopté ces mesures de sécurité. Pour le confirmer, des questions seront posées aux utilisateurs concernés lors de leur inscription. Sur la base de leurs réponses, le niveau de sécurité de leurs procédures sera évalué, et ils ne pourront pas accepter de paiement par carte bancaire s'il est jugé insuffisant.

Pour en savoir plus, consultez la Checklist de sécurité : mesures de sécurité fondamentales pour les marchands en ligne publiée par le Conseil de sécurité en matière de transactions par carte de crédit (disponible en japonais). Merci de votre compréhension.

FAQ

Que faire si je n'ai pas encore mis en œuvre ces mesures de sécurité ?

Vous pouvez répondre aux questions en vous basant sur les mesures que vous prévoyez d'adopter. Cependant, si vous soumettez le formulaire avant leur mise en œuvre, vous devrez attendre leur adoption complète avant d'accepter des transactions par carte bancaire.

Est-il nécessaire de maintenir ces mesures de sécurité une fois inscrit ?

Oui, nous attendons des marchands qu'ils conservent les mesures qu'ils se sont engagés à adopter.

Dois-je répondre à ces questions si j'accepte des paiements via Payment Links ou une facture hébergée par Stripe ?

Si vous acceptez des paiements exclusivement via Payment Links ou Stripe Invoicing, et ne vendez pas de biens ni de services par l'intermédiaire d'un site Web, vous ne devrez répondre qu'à certaines questions.

Comment mettre en œuvre ces mesures de sécurité ?

Votre mise en œuvre des mesures dépendra de la façon dont vous traitez les paiements et avez conçu votre site Web. Si vous utilisez des plugins ou avez confié la gestion de votre architecture système à une tierce partie, veuillez solliciter son aide pour répondre aux questions. Si vous déployez des mesures par vous-même, vous trouverez de plus amples informations dans ce Guide d'implémentation publié par le Conseil de sécurité en matière de transactions par carte de crédit (disponible en japonais).

Comment confier la gestion de ces mesures de sécurité à une tierce partie ?

Même si vous externalisez la gestion de ces mesures de sécurité, vous devez répondre vous-même aux questions. Utilisez pour cela les informations fournies par votre prestataire.

Assurez-vous également de mentionner vos prestataire et/ou fournisseur de source d'application dans vos réponses. Il est obligatoire de fournir des informations relatives à toutes les tierces parties impliquées dans la gestion de votre site Web et/ou responsables de vos procédures de sécurité.

Puis-je partager les questions, la checklist de sécurité et la documentation associée avec mes fournisseurs ou prestataires ?

Oui, vous pouvez partager ces informations avec toutes les parties concernées.

Suis-je tenu de répondre aux questions ?

Oui, vos réponses sont requises si vous souhaitez accepter des paiements par carte bancaire en ligne.

Stripe ne peut-elle pas répondre à ces questions en mon nom ?

Stripe et les autres fournisseurs de services de paiement doivent collecter ces réponses auprès de tous leurs nouveaux utilisateurs qui souhaitent traiter des transactions par carte bancaire. Nous ne pouvons pas y répondre pour vous. Cependant, nous avons inclus quelques conseils et suggestions quant à la façon dont nos produits peuvent être utilisés pour satisfaire les différentes exigences de sécurité.

Les produits Stripe permettent-ils de respecter certaines des mesures obligatoires ?

Stripe limitera automatiquement le nombre de fois où la validité d'une carte bancaire peut être testée, en fonction de divers facteurs et données. Par conséquent, pour les paiements que vous traitez par notre intermédiaire, vous pouvez répondre que vous avez adopté au moins l'une des mesures de sécurité référencées pour déjouer les tests de cartes bancaires (5. Mesures contre les tests de cartes bancaires). En savoir plus sur les mesures complémentaires que vous pouvez adopter pour vous protéger des tests de cartes bancaires.

J'ai plusieurs comptes Stripe, dois-je répondre à ces questions pour chacun de ces comptes ?

Oui, vous devrez répondre à ces questions pour tous les comptes sur lesquels elles vous seront posées.

Les comptes Stripe préexistants sont-ils concernés ?

Pour le moment, nous ne collectons pas de réponse pour les comptes Stripe préexistants. Cependant, il a été annoncé qu'à partir d'avril 2025, nous serons tenus d'interroger l'ensemble des marchands sur leurs mesures de sécurité, y compris les marchands déjà inscrits. Nous suivons de près la situation et nous vous informerons de toute éventuelle évolution.

Je pensais que les paiements Stripe étaient sécurisés. Pourquoi dois-je soumettre une déclaration ?

Stripe et les autres fournisseurs de services de paiement doivent collecter ces réponses auprès de tous leurs nouveaux utilisateurs qui souhaitent traiter des transactions par carte bancaire. La checklist de sécurité et les questions associées visent à assurer la sécurité des paiements par carte en ligne. Il ne s'agit pas d'une initiative de Stripe, mais d'une exigence applicable à l'ensemble du secteur.

Qu'adviendra-t-il si je ne réponds pas aux questions ?

Si vous ne répondez pas aux questions, vous ne serez pas en mesure d'accepter de paiement en ligne.

Pourrais-je modifier mes réponses après leur soumission ?

Nous n'acceptons généralement pas les modifications une fois les réponses collectées. Si vous avez besoin de temps pour réfléchir aux mesures que vous allez adopter, veuillez attendre d'en savoir plus avant d'envoyer vos réponses. Si vous basez votre déclaration sur les mesures que vous comptez mettre en œuvre, n'acceptez pas de paiement par carte tant que vous ne les avez pas adoptées.

Que se passera-t-il une fois que j'aurai envoyé mes réponses ?

Vous pourrez commencer à accepter des transactions par carte bancaire en ligne.

Que faire si je ne compte pas adopter les mesures listées, mais que je peux assurer le même niveau de sécurité grâce à d'autres mesures ?

En règle générale, nous attendons de nos utilisateurs qu'ils se conforment à la checklist de sécurité en adoptant les mesures qui y sont listées. Cependant, nous sommes susceptibles d'accepter d'autres mesures si elles présentent au moins le même degré d'efficacité. Si vous vous appuyez sur des procédures qui ne sont pas référencées dans les options de réponses ni dans la checklist de sécurité, veuillez contacter le service d'assistance en décrivant les mesures que vous avez adoptées, les exigences qu'elles vous permettent de satisfaire et les raisons pour lesquelles vous les jugez tout aussi efficaces.

Glossaire

Pour plus d'informations, vous pouvez également consulter le document Checklist de sécurité : mesures de sécurité fondamentales pour les marchands en ligne.

• Authentification de base : méthode d'authentification simple du protocole HTTP qui limite l'accès à un site Web. Si vous utilisez une authentification simple, veuillez également utiliser HTTPS (TLS ou SSL), un mécanisme de chiffrement des données, à des fins de protection des mots de passe.
• Vulnerabilité : défaut de sécurité causé par des erreurs de programme ou de conception.
• Diagnostic de vulnérabilité : évaluation d'un système à la recherche d'éventuels risques et vulnérabilités.
• Test d'intrusion : procédure qui implique la simulation d'attaques que des hackers sont susceptibles de perpétrer afin de vérifier leurs chances d'aboutir.
• Injection SQL : type d'attaque qui consiste à transmettre une chaîne contenant des commandes malveillantes à une base de données afin d'en extraire des données ou d'y écrire des données non autorisées.
• Script intersite : type d'attaque qui consiste à intégrer des scripts malveillants (des programmes simples) dans des applications Web. Ces scripts sont ensuite exécutés lorsque les utilisateurs effectuent certaines actions dans leur navigateur.
• Malware : logiciel malveillant développé avec l'intention de nuire aux utilisateurs en endommageant leur matériel. Les virus sont un type de malware.
• Tests de cartes bancaires : type d'attaque qui consiste à générer un grand nombre de numéros de carte bancaire de façon illicite en exploitant les règles d'affectation des numéros, ou à vérifier la validité de numéros de carte obtenus illégalement par hameçonnage ou suite à une fuite de données sur un site Web.
• Limitation : procédure qui limite le nombre de requêtes pouvant être envoyées pour une opération spécifique sur une période définie.