Os comerciantes que usam cartão (usuários da Stripe) no Japão precisam implementar determinado nível de medidas de segurança de acordo com a Lei de Vendas Parceladas. Devido a incidentes com o uso não autorizado de dados do cartão, o Conselho de Medidas de Segurança de Transações com Cartão de Crédito, um órgão do setor, publicou uma "Lista de verificação de segurança" que define as medidas específicas que os comerciantes do Japão que processam transações online com cartão precisam implementar.

A Stripe e outros PSPs (Payment Service Providers, provedores de serviços de pagamento) precisam ter uma declaração de novos comerciantes que aceitam cartão em relação à adoção das medidas de segurança. Os usuários poderão consultar as perguntas relacionadas a isso antes de concluir o onboarding. As perguntas definirão as medidas exigidas. Se for considerado que os usuários não têm medidas de segurança suficientes de acordo com as perguntas, eles não poderão processar pagamentos com cartão.

Para saber mais, consulte a "Lista de verificação de segurança: medidas básicas de segurança para comerciantes online" publicada pelo Conselho de Medidas de Segurança de Transações com Cartão de Crédito (disponível em japonês). Ainda estamos no processo de implementar esse requisito do setor para proteger transações com cartão no Japão. Por isso, agradecemos a compreensão.

PERGUNTAS FREQUENTES

E se eu ainda não tiver definido as medidas de segurança?

Você pode responder às perguntas sobre as medidas que pretende implementar quando começar a processar pagamentos com cartão. Porém, se você enviar o formulário antes de concluir a adoção das medidas, não poderá aceitar transações com cartão enquanto o processo não for realizado.

É necessário manter as medidas de segurança após o onboarding?

Sim, esperamos que você mantenha as medidas adotadas.

É necessário responder a essas perguntas se eu aceitar pagamentos pelo Payment Links ou fatura hospedada pela Stripe?

Se você só aceitar pagamentos pelo Payment Links ou Stripe Invoicing e não vender produtos nem serviços por um site, só precisará responder a algumas perguntas.

Como faço para implementar as medidas de segurança?

A implementação dependerá da forma como você processar pagamentos e projetar seu site. Se você usar plugins ou terceirizar a arquitetura do sistema, peça ajuda para responder às perguntas. Se você desenvolver as medidas por sua conta, consulte mais informações neste Guia de implementação enviado pelo Conselho de Medidas de Segurança de Transações com Cartão de Crédito (disponível em japonês).

E se eu terceirizar as medidas de segurança?

Se você planeja terceirizar as medidas de segurança, responda às perguntas de acordo com as informações enviadas pelos provedores. Você ainda será responsável por responder às perguntas.

Inclua informações sobre a empresa terceirizada e/ou o provedor da origem do aplicativo que você usa. As informações da parte terceirizada serão necessárias se outra empresa estiver envolvida na operação do site e/ou se for responsável pelas medidas de segurança que você adotar.

Posso compartilhar as perguntas, a lista de verificação de segurança e os materiais relacionados com os fornecedores ou provedores de sistema?

Sim, você pode compartilhar as informações com as partes relevantes.

Preciso responder às perguntas?

Sim, as respostas são obrigatórias para começar a processar pagamentos online com cartão de crédito.

A Stripe pode responder às perguntas em meu nome?

A Stripe e outros PSPs precisam reunir as respostas de todos os novos usuários que processarão pagamentos com cartão. Embora não possamos responder as perguntas em seu nome, fornecemos orientação e sugestões quando achamos que nossos produtos podem ser usados para abordar as medidas de segurança.

Os produtos da Stripe abordam algumas das medidas obrigatórias?

A Stripe limitará automaticamente o número de vezes que a validade de um cartão pode ser testada de acordo com diversos fatores e dados. Portanto, em relação a pagamentos processados pela Stripe, você pode responder que implementa pelo menos uma das medidas de segurança mencionadas para evitar teste de cartões maliciosos (5. Contramedidas de teste de cartões). Clique aqui para consultar outras medidas que você pode adotar para se proteger do teste de cartões.

Caso eu tenha várias contas Stripe, preciso responder em nome de cada uma?

Sim, é preciso responder em nome de cada conta onde as perguntas forem feitas.

Isso afeta as contas Stripe existentes?

No momento, não obtemos respostas de contas Stripe existentes. No entanto, comunicamos que todos os comerciantes, incluindo os que já tiverem feito onboarding, devem responder as perguntas sobre as medidas de segurança a partir de abril de 2025. Estamos monitorando os acontecimentos e forneceremos atualizações se e quando as contas existentes precisarem dar respostas.

Pensei que os pagamentos feitos pela Stripe eram seguros. Por que preciso enviar uma declaração?

A Stripe e outros PSPs precisam reunir as respostas de todos os novos usuários que processarão pagamentos com cartão. A lista de verificação de segurança e as perguntas relacionadas garantem que as transações online com cartão sejam seguras e protegidas. Esse é um requisito de todo o setor e não é uma iniciativa específica da Stripe.

O que acontecerá se eu não responder às perguntas?

Se não responder às perguntas, você não poderá aceitar pagamentos online.

Posso mudar as respostas depois de enviá-las?

Não costumamos aceitar alterações após o envio das respostas. Se você precisar de tempo para determinar quais medidas adotará, aguarde até ter as informações necessárias antes de enviar as respostas. Se você enviar as respostas com base nas medidas que pretende adotar posteriormente, não aceite pagamentos online com cartão antes de concluir a adoção dessas medidas.

O que acontecerá depois que eu enviar as respostas?

Você poderá começar a aceitar transações online com cartão.

E se eu não adotar as medidas mencionadas, mas conseguir garantir o mesmo nível de segurança com outras medidas?

Em geral, esperamos que os usuários cumpram os requisitos da lista de verificação de segurança adotando as medidas mencionadas. No entanto, será possível reconhecer determinadas medidas alternativas se elas tiverem pelo menos o mesmo grau de eficácia. Se você usar alguma medida de segurança alternativa que não está incluída nas opções de resposta e/ou na lista de verificação de segurança, fale com o suporte explicando qual medida adotou, por que acredita que é uma alternativa adequada e qual requisito acha que ela aborda.

Glossário

Para saber mais, consulte a "Lista de verificação de segurança: medidas básicas de segurança para comerciantes online".

• Autenticação básica: forma de autenticação simples no protocolo HTTP que restringe o acesso a um site. Ao implantar a autenticação básica, use também HTTPS (TLS ou SSL), um mecanismo de criptografia de dados para proteção de senhas.
• Vulnerabilidade: refere-se a problemas de segurança causados por erros do programa ou do projeto.
• Diagnóstico de vulnerabilidades: avaliação do sistema em busca de possíveis riscos e vulnerabilidades.
• Teste de penetração: processo que envolve a simulação de ataques específicos usados por hackers para verificar se teriam sucesso ou não.
• Injeção de SQL: forma de ataque que envolve transmitir uma string com comandos maliciosos para um banco de dados a fim de extrair os dados armazenados ou gravar dados não autorizados.
• Cross-site scripting: forma de ataque que integra scripts maliciosos (programas simples) em aplicativos da web e executa scripts maliciosos quando os usuários realizam ações no navegador.
• Malware: refere-se a softwares maliciosos desenvolvidos com a intenção de prejudicar computadores e usuários. Vírus são um tipo de malware.
• Teste de cartões: forma de ataque que gera, de forma ilegítima, muitos números de cartão usando as regras nas atribuições do número de cartão ou verifica a validade dos números de cartão por meio de phishing ou vazamentos em sites, acessando números de cartão válidos de forma ilegítima.
• Throttling: processo que limita o número de solicitações que podem ser enviadas para uma operação específica em determinado período.