I venditori tramite carta (utenti Stripe) in Giappone devono adottare misure di sicurezza di un determinato livello secondo l'Installment Sales Act. A causa di incidenti dovuti all'uso non autorizzato dei dati della carta, il Credit Card Transactions Security Measures Council, un ente del settore, ha pubblicato un "Elenco di controllo di sicurezza" che illustra le misure specifiche che devono adottare i venditori in Giappone che elaborano transazioni con carte online.

Stripe e altri fornitori di servizi di pagamento (PSP) devono ora raccogliere una dichiarazione dai nuovi venditori con carta riguardo all'adozione delle misure di sicurezza. Agli utenti soggetti a tale disposizione verranno visualizzate alcune domande prima di completare l'attivazione. Le domande illustreranno le misure necessarie e, se dalle risposte si ritiene che gli utenti adottino misure di sicurezza insufficienti, gli stessi non potranno elaborare pagamenti con carta.

Per saperne di più, consulta "Elenco di controllo di sicurezza: misure di sicurezza di base per i venditori online" pubblicato dal Credit Card Transactions Security Measures Council (disponibile in lingua giapponese). Ti ringraziamo per la tua comprensione circa l'applicazione di questo requisito del settore per tutelare le transazioni con carta in Giappone.

DOMANDE FREQUENTI

Che cosa succede se non ho ancora sviluppato delle misure di sicurezza?

Puoi rispondere alle domande in base alle misure che intendi adottare al momento di iniziare a elaborare pagamenti con carta. Tuttavia, se invii il modulo prima di completare l'adozione di eventuali misure, non devi accettare transazioni con carta finché non avrai completato tale operazione.

Dobbiamo mantenere le misure di sicurezza dopo l'attivazione?

Sì, devi mantenere le misure che dichiari di aver adottato.

Devo rispondere alle domande se accetto pagamenti tramite Payment Links o una fattura in hosting su Stripe?

Se accetti solo pagamenti tramite Payment Links o Stripe Invoicing e non vendi prodotti e servizi online tramite un sito web, dovrai rispondere solo ad alcune delle domande.

Come faccio ad applicare le misure di sicurezza?

L'applicazione varia a seconda di come elabori i pagamenti e progetti il tuo sito web. Se usi plugin o affidi l'architettura di sistema a terze parti, dovrai chiedere alle stesse di aiutarti a rispondere alle domande. Se svilupperai autonomamente tali misure, puoi trovare ulteriori dettagli in questa Guida all'implementazione pubblicata dal Credit Card Transactions Security Measures Council (disponibile solo in lingua giapponese).

Che cosa succede se affido le mie misure di sicurezza a terze parti?

Se hai in programma di occuparti delle misure di sicurezza esternalizzandole, rispondi alle domande in base alle informazioni dei fornitori terzi. Sei comunque responsabile di rispondere alle domande.

Verifica di includere le informazioni riguardo alla terza parte esterna e/o al fornitore all'origine dell'applicazione che usi. Le informazioni sulla terza parte esterna sono necessarie se la terza parte è coinvolta nel funzionamento del tuo sito web e/o è responsabile delle misure di sicurezza che adotti.

Posso condividere le domande, l'elenco di controllo di sicurezza e i relativi materiali con le terze parti o i fornitori esterni che uso?

Sì, puoi condividere le informazioni con le parti pertinenti.

Devo rispondere alle domande?

Sì, è necessario rispondere per iniziare a elaborare pagamenti con carta di credito online.

Stripe non può rispondere alle domande per mio conto?

Stripe e gli altri fornitori di servizi di pagamento devono raccogliere le risposte da tutti i nuovi utenti che elaboreranno pagamenti con carta. Sebbene non possiamo rispondere alle domande per tuo conto, abbiamo fornito alcune linee guida e suggerimenti tenendo presente che i nostri prodotti possono essere usati per gestire le misure di sicurezza.

I prodotti di Stripe si occupano di alcune delle misure obbligatorie?

Stripe limiterà automaticamente il numero di tentativi per testare la validità di una carta, in base a una serie di fattori e di dati. Pertanto, per i pagamenti elaborati da Stripe, puoi rispondere che implementerai almeno una delle misure di sicurezza elencate per combattere il testing delle carte da parte di malintenzionati (5. Contromisure per il testing delle carte). Ulteriori informazioni sulle misure aggiuntive che puoi adottare per proteggerti dal testing delle carte sono disponibili qui.

Se ho più account Stripe, devo rispondere alle domande per ciascun account?

Sì, è necessario rispondere da ciascun account per il quale vengono visualizzate le domande.

Tutto ciò incide sugli account Stripe esistenti?

Per il momento non raccoglieremo risposte dagli account Stripe esistenti. Tuttavia, è stato annunciato che le domande relative alle misure di sicurezza dovranno essere poste a tutti i venditori, compresi quelli già attivati, a partire da aprile 2025. Stiamo monitorando gli sviluppi e forniremo aggiornamenti se e quando le risposte diventeranno obbligatorie per gli account esistenti.

Credevo che i pagamenti Stripe fossero sicuri. Perché devo presentare una dichiarazione?

Stripe e gli altri fornitori di servizi di pagamento devono raccogliere le risposte da tutti i nuovi utenti che elaboreranno pagamenti con carta. L'Elenco di controllo di sicurezza e le relative domande hanno lo scopo di garantire che le transazioni con carta online siano mantenute sicure e protette. Si tratta di un requisito che interessa l'intero settore e non di un'iniziativa specifica di Stripe.

Che cosa succede se non rispondo alle domande?

Se non rispondi alle domande, non potrai procedere all'accettazione dei pagamenti online.

Posso apportare modifiche alle mie domande dopo averle inviate?

Generalmente non accettiamo modifiche per le domande già inviate. Se hai bisogno di tempo per decidere quali misure adottare, attendi fino a quando non avrai tutte le informazioni necessarie prima di inviare le risposte. Se invii le risposte in base alle misure che intendi adottare successivamente, non dovrai accettare pagamenti con carta online finché non avrai completato l'adozione di tali misure.

Che cosa succede una volta inviate le risposte?

Potrai procedere all'accettazione delle transazioni con carta online.

Che cosa succede se non adotto le misure elencate, ma posso garantire lo stesso livello di sicurezza attraverso misure alternative?

In generale, ci aspettiamo che gli utenti rispettino i requisiti dell'Elenco di controllo di sicurezza adottando le misure elencate. Tuttavia, potremmo riconoscere determinate misure alternative se hanno almeno lo stesso grado di efficacia. Se ti affidi a una misura di sicurezza alternativa che non è elencata nelle opzioni di risposta e/o nell'Elenco di controllo di sicurezza, contatta l'assistenza spiegando quali misure hai adottato, perché ritieni che costituiscano un'alternativa valida e quali requisiti credi che possano gestire.

Glossario

Per ulteriori informazioni, puoi consultare anche "Elenco di controllo di sicurezza: misure di sicurezza di base per i venditori online".

• Autenticazione di base: Un metodo di autenticazione semplice nel protocollo HTTP che limita l'accesso a un sito web. Quando introduci l'autenticazione di base, utilizza anche HTTPS (TLS o SSL), un meccanismo di crittografia dei dati, per la protezione della password.
• Vulnerabilità: si riferisce ai difetti di sicurezza causati da errori di programmazione o di progettazione.
• Diagnosi di vulnerabilità: l'azione di valutazione del sistema per individuare potenziali rischi e vulnerabilità.
• Test di penetrazione: una procedura che comprende la simulazione di attacchi specifici che potrebbero essere usati da hacker malintenzionati per verificare se questi possano andare a buon fine o meno.
• Iniezione SQL: una modalità di attacco che comprende il trasferimento di una stringa contenente comandi malintenzionati a un database per estrarre i dati salvati nel database o scrivere dati non autorizzati.
• Script fra più siti: una modalità di attacco che integra script malintenzionati (programmi semplici) nelle applicazioni web ed esegue tali script quando gli utenti compiono azioni nel browser.
• Malware: si riferisce ai software malintenzionati sviluppati con l'intento di danneggiare computer e utenti. I virus sono un tipo di malware.
• Testing delle carte: una modalità di attacco che genera in modo illegittimo una gran quantità di numeri di carta, sfruttando regole di assegnazione dei numeri delle carte o che verifica la validità dei numeri delle carte ottenuti tramite phishing o perdite di dati da siti online, ottenendo così illegittimamente numeri di carte validi.
• Limitazione delle richieste: una procedura che limita il numero di richieste che possono essere inviate per un'operazione specifica entro un determinato intervallo di tempo.