インドで三者間決済が可能なプラットフォームとは:カード組織のトークン化に関するインド政府の規制ガイド

カード組織のトークン化に関するインド政府規制の手引き

インドでは、インド準備銀行(RBI)公認の決済サービス・プロバイダーを通じた取引を促進するために、カード発行会社とカードネットワークのみがインド発行カードのカードデータを保存することを許されている。中銀は、Stripe Indiaのような決済アグリゲーターは、決済処理時に実際のクレジット/デビットカード番号の代わりにカードネットワークトークンを使用するよう義務付けている。

これらの規制は、主にインドの企業に影響を与える。カードネットワークスは、これらの要件に準拠するため、カード・オン・ファイル(CoF)トークン化サービスを開始し、Stripeは顧客が使用できるソリューションを開発しました。インドの規制の詳細については、当社の記事「インド政府によるクレジットカード決済への影響に関する規制の背景」をご覧ください。

カード取引チェーンのいかなる事業体も、発行会社とカードネットワークを除いて、顧客のカード情報を保存することはできない。この制限は、加盟店、ペイメント・アグリゲータ(PA)、ペイメント・ゲートウェイ(PG)、アクワイアラーに適用されます。このことは、カードネットワーク・トークナイゼーションと発行者トー クナイゼーションが、業界にとって実行可能な唯一の方向性であることを裏付けるものです。

トークン化の実施には、他の規制も適用される:

- トークンのスコープには、加盟店、顧客カード、トークン要求者(Stripe Indiaなど)が含まれる必要があります。

- トークンを生成する前に、顧客の明示的な同意と追加の認証要素を取得する必要がある。

- 加盟店は、トークン化されたカードをプラットフォームから削除するオプションを顧客に提供すべきである。

- 取引中、加盟店は顧客のカード番号の下4桁とカード発行会社名、カードネットワーク名のみを使用できます(StripeダッシュボードのPaymentsページで確認できます)。

これらのルールは、インドを拠点とする加盟店の国内取引にのみ適用されます。Stripeの海外加盟店で、Stripe Indiaと契約していない場合、これらのルールは適用されず、カードはトークン化されません。

Cards on File(CoF)と同様に、PCI DSS 準拠の加盟店のみがトークンを独自に保管できます。現在サードパーティのサービスを使用してカード情報を保管しているその他の加盟店は、引き続き同じ方法でトークンを取り扱う必要があります。

Stripeは、トークンを保管し、トークン・ベースのトランザクションを促進するだけでなく、カード・ネットワークを通じてトークンを生成することができる認証トークン・リクエスターである。

Stripeは、お客様のクライアントに代わって、バックグラウンドでカードネットワークトークンの取得と使用をシームレスに処理します。このプロセスを管理する必要はありません。

トークンは、加盟店、顧客ID、トークン要求者、およびカードネットワークに固有のものです。あるマーチャントプラットフォームで生成されたトークンは、別のプラットフォームでは無効です。

基本的に、カード会員のカードは、加盟店と顧客IDの組み合わせ数に応じて複数のトークンを持つことになります。このマッピングは、トークンを要求する側(Stripe)が管理します。ただし、カードネットワークに参加する加盟店に、他のトークンリクエスターが提供する同じ加盟店IDが付与される保証はなく、重複が発生する可能性があります。したがって、Stripeを通じて提供されたトークンが、他のペイメントアグリゲータ/ペイメントゲートウェイを通じて使用される場合、同じ加盟店と顧客の組み合わせに適用されることを保証することはできません。

トークン化が最終顧客に与える影響は最小限である。カードをトークンに変換するには、顧客がそのプロセスに同意する必要がある。これは、新規カードと保存カードの両方に適用される。

お客様の業務を効率化するため、StripeはStripe Managed Tokenised Consent(SMTC)(チェックアウトプロセスの一部であるフォームビューのスニペット)を導入し、新たなUXプロセスを構築したり統合を変更したりすることなく、お客様の代わりに顧客の同意を収集します。

独自のカスタム同意収集プロセスを構築または統合し、チェックアウトエクスペリエンスでスムーズに実行したい場合は、Stripeがホストするトークン化同意収集プロセスからオプトアウトできます(下記の「プロセスからオプトアウトする」をご覧ください)。

顧客銀行カードをトークン化したユーザーは、保存されたカードの下4桁のみが見えるようになる。

カードをトークン化しないことを選択したカード会員は、すべてのカード取引で16桁のカード番号、有効期限、CVVを入力しなければならない。

StripeのManaged Tokenised Consent収集プロセスの使用を停止し、独自のカスタムプロセスを作成したい場合は、Stripeダッシュボード設定のコンプライアンスセクションに移動し、カードStored Consents "を選択します。

カード保管の同意」で「収集確認の同意」に切り替える。

オプトアウト後は、お客様ご自身でお客様の同意を収集する必要があります。カード情報は、チェックアウトプロセスでカード所有者が同意した場合にのみ、今後の使用のためにStripeのカスタマーオブジェクトに保存されます。

Stripe Billing、Stripe Checkout、またはStripe Elementsを使用していないユーザーについては、顧客のカード番号に依存するすべてのプロセスが影響を受けます。Stripeシステムに情報をトークン化して保存する前に、プラットフォームの仕組みの使用を停止し、顧客の同意を得ることを選択する必要があります。