Handlare som tar betalt med kort (Stripe-användare) i Japan förväntas vidta säkerhetsåtgärder till en viss grad i enlighet med Japans lag om försäljning på avbetalning. På grund av ett antal incidenter som innefattade obehörig användning av kortuppgifter har rådet för säkerhetsåtgärder vid korttransaktioner, en branschorganisation, publicerat en säkerhetschecklista med specifika åtgärder som handlare i Japan som behandlar korttransaktioner online måste vidta.

Stripe och andra betaltjänstleverantörer måste nu be nya handlare som accepterar kortbetalningar om ett intyg som bekräftar att de vidtar säkerhetsåtgärderna i fråga. Berörda användare får denna begäran i form av ett antal frågor när de genomför sin onboarding. Frågorna specificerar de nödvändiga åtgärderna, och om det visar sig att användare inte vidtar alla de säkerhetsåtgärder som anges i frågorna kan de inte behandla kortbetalningar.

Mer information om detta finns i den säkerhetschecklista med grundläggande säkerhetsåtgärder för onlinehandlare som publiceras av rådet för säkerhetsåtgärder vid korttransaktioner (tillgänglig på japanska). Tack för din förståelse för vårt genomförande av detta branschkrav för att skydda korttransaktioner i Japan.

VANLIGA FRÅGOR

Vad händer om jag ännu inte har utarbetat några säkerhetsåtgärder?

Du kan besvara frågorna utifrån de åtgärder du avser ha vidtagit när du börjar behandla kortbetalningar. Om du skickar in formuläret innan du vidtar alla åtgärder förväntas du avstå från att ta emot kortbetalningar tills arbetet är utfört.

Måste vi bibehålla säkerhetsåtgärderna efter genomförd onboarding?

Ja, vi förväntar oss att ni bibehåller säkerhetsåtgärderna som du har sagt att ni har vidtagit.

Måste jag svara på de här frågorna om jag tar emot betalningar via Payment Links eller Stripe-baserade fakturor?

Om du bara tar emot betalningar genom Payment Links eller Stripe-baserade fakturor och inte säljer varor och tjänster online via en webbplats behöver du bara svara på några av frågorna.

Hur vidtar jag säkerhetsåtgärderna?

Hur åtgärderna vidtas beror på hur du behandlar betalningar och utformar din webbplats. Om du använder insticksprogram eller låter en tredje part ta hand om systemarkitekturen ska du be tredje parten hjälpa dig besvara frågorna. Om du har för avsikt att utveckla åtgärderna på egen hand kan du hitta ytterligare information i den här implementeringsguiden som publicerats av rådet för säkerhetsåtgärder vid korttransaktioner (tillgänglig på japanska).

Vad händer om jag låter en tredje part ta hand om mina säkerhetsåtgärder?

Om du har för avsikt att ta hjälp av en tredje part för att vidta säkerhetsåtgärder ska du besvara frågorna baserat på information från dina tredjepartsleverantörer. Det är fortfarande du som ansvarar för att frågorna besvaras.

Inkludera information om den tredje part och/eller den applikationsleverantör du använder. Information om tredje part krävs om en sådan är inblandad i driften av din webbplats och/eller ansvarar för de säkerhetsåtgärder du vidtar.

Får jag skicka frågorna, säkerhetschecklistan och relaterat material till de leverantörer av varor, tjänster och system som jag använder?

Ja, du får dela informationen med berörda parter.

Måste jag svara på frågorna?

Ja, svaren är obligatoriska för att du ska börja behandla kortbetalningar online.

Kan inte Stripe svara på frågorna för min räkning?

Stripe och andra betaltjänstleverantörer måste samla in svar från alla nya användare som har för avsikt att behandla kortbetalningar. Vi kan inte besvara frågorna åt dig, men vi kan erbjuda några riktlinjer och förslag när vi tror att våra produkter kan användas för att vidta säkerhetsåtgärder.

Har Stripe någon produkt som hjälper till att genomföra någon av de åtgärder som krävs?

Stripe kommer automatiskt att begränsa antalet gånger ett korts giltighetstid kan testas. Begränsningen baseras på en rad faktorer och uppgifter. För betalningar som behandlas av Stripe kan du därför svara att du vidtar minst en av säkerhetsåtgärderna i listan för att bekämpa carding (5. Åtgärder mot carding). Läs mer om ytterligare åtgärder du kan vidta för att skydda dig mot carding här.

Om jag har flera Stripe-konton, måste jag då svara från vart och ett av kontona?

Ja, vi behöver svar från varje tillfrågat konto.

Påverkar det här befintliga Stripe-konton?

Vi begär i nuläget inte svar från befintliga Stripe-konton. Vi har dock blivit informerade om att frågorna om säkerhetsåtgärder måste ställas till alla handlare, även dem som redan har genomfört onboarding, senast i april 2025. Vi håller koll på utvecklingen och kommer att ge uppdateringar om och i så fall när vi behöver få svar från befintliga konton.

Jag trodde att Stripe-betalningar var säkra. Varför måste jag skicka ett intyg?

Stripe och andra betaltjänstleverantörer måste samla in svar från alla nya användare som har för avsikt att behandla kortbetalningar. Säkerhetschecklistan och de relaterade frågorna ska se till att korttransaktioner online hålls säkra. Det här är ett branschomfattande krav – det är inte ett initiativ som bara gäller Stripe.

Vad händer om jag inte svarar på frågorna?

Om du inte svarar på frågorna kommer du inte att kunna ta emot onlinebetalningar.

Kan jag ändra mina svar när jag har skickat in dem?

I allmänhet accepterar vi inte ändringar i inskickade svar. Om du behöver tid för att avgöra vilka åtgärder som kommer att vidtas bör du vänta med att skicka in dina svar tills du har den information som krävs. Om du skickar in svar baserade på åtgärder du har för avsikt att vidta vid ett senare tillfälle får du inte ta emot kortbetalningar online förrän åtgärderna har vidtagits.

Vad händer när jag har skickat in mina svar?

Då kan du börja ta emot kortbetalningar online.

Vad händer om jag inte vidtar de åtgärder som anges men kan garantera samma säkerhetsnivå med andra alternativ?

I allmänhet förväntar vi oss att våra användare uppfyller kraven i säkerhetschecklistan genom att vidta angivna åtgärder. Vi kan dock eventuellt acceptera vissa alternativa åtgärder om de är minst lika effektiva. Om du använder en alternativ säkerhetsåtgärd som inte finns med bland svarsalternativen och/eller i säkerhetschecklistan ska du kontakta supporten och förklara vilken åtgärd du har vidtagit, varför du anser att det är ett lämpligt alternativ och vilka krav du tror att åtgärden uppfyller.

Ordlista

Mer information finns också i säkerhetschecklistan med grundläggande säkerhetsåtgärder för onlinehandlare.

• Grundläggande autentisering: En enkel autentiseringsmetod i HTTP-protokollet som begränsar åtkomsten till en webbplats. Vid införandet av grundläggande autentisering ska du även använda HTTPS (TLS eller SSL), en mekanism för att kryptera data, för att skydda lösenord.
• Sårbarhet: Säkerhetsproblem som orsakats av programfel eller misstag i utformningen.
• Sårbarhetsdiagnos: Sökandet efter potentiella risker och sårbarheter i ett system.
• Penetrationstestning: En process som simulerar specifika attacker som illasinnade hackare kan använda för att bekräfta om de skulle lyckas eller inte.
• SQL-injektion: En angreppsmetod genom vilken en sträng som innehåller skadliga kommandon skickas till en databas för att extrahera data som lagrats i databasen eller för att skriva data utan behörighet.
• Cross-site scripting: En angreppsmetod som bäddar in skadliga skript (enkla program) i webbapplikationer och exekverar de skadliga skripten när användaren utför åtgärder i webbläsaren.
• Sabotageprogram: Syftar på skadlig programvara som har utvecklats med avsikten att skada datorer och deras användare. Virus är en typ av sabotageprogram.
• Carding: En angreppsmetod som utan behörighet genererar ett stort antal kortnummer genom att utnyttja regler i kortnummertilldelningen, eller som verifierar giltigheten för kortnummer som anskaffats genom nätfiske eller läckage på webbsidor som gett obehörig tillgång till giltiga kortnummer.
• Throttling: En process som begränsar antalet förfrågningar som kan skickas för en viss åtgärd inom en viss tidsperiod.