인도에서 3자 결제에 사용할 수 있는 플랫폼: 카드 기관의 토큰화에 대한 인도 정부 규정 가이드

인도에서는 카드 발급사와 카드 네트워크만이 인도 중앙은행(RBI)이 승인한 결제 서비스 제공업체를 통한 거래를 촉진하기 위해 인도에서 발급한 카드의 카드 데이터를 저장할 수 있습니다. 중앙은행은 Stripe India와 같은 결제 애그리게이터가 결제 처리 시 실제 신용/직불 카드 번호 대신 카드 네트워크 토큰을 사용하도록 의무화했습니다.

이러한 규정은 주로 인도 내 비즈니스에 영향을 미칩니다. 카드 네트워크는 이러한 요구 사항을 준수하기 위해 카드 온 파일(CoF) 토큰화 서비스를 출시했으며 Stripe는 고객이 사용할 수 있는 솔루션을 개발했습니다. 인도 규정에 대한 자세한 내용은 "인도 정부의 신용카드 결제 영향에 대한 규제 배경" 문서를 참조하세요.

카드 거래 체인에서 발급사와 카드 네트워크를 제외한 어떤 주체도 고객의 카드 정보를 저장할 수 없습니다. 이 제한은 판매자, PA(전자결제 대행업체), PG(전자결제 게이트웨이) 및 매입업체에 적용됩니다. 이는 카드 네트워크 토큰화와 발급자 토큰화가 업계에서 유일하게 실행 가능한 방향임을 다시 한 번 확인시켜 줍니다.

토큰화 구현은 다른 규정의 적용을 받기도 합니다:

- 토큰의 범위에는 판매자, 고객 카드 및 토큰 요청자(예: Stripe India)가 포함되어야 합니다.

- 토큰을 생성하기 전에 고객의 명시적 동의와 추가 인증 요소를 얻어야 합니다.

- 판매자는 고객에게 플랫폼에서 토큰화된 카드를 제거할 수 있는 옵션을 제공해야 합니다.

- 거래 중에 판매자는 고객 카드 번호의 마지막 네 자리와 카드 발급사 및 카드 네트워크 이름(Stripe 대시보드의 결제 페이지에 표시됨)만 사용할 수 있습니다.

이 규칙은 인도 소재 판매자의 국내 거래에만 적용됩니다. Stripe의 해외 판매자이고 Stripe India와 계약을 체결하지 않은 경우에는 이러한 규칙이 적용되지 않으며 카드가 토큰화되지 않습니다.

파일에 저장된 카드(CoF)와 마찬가지로 PCI DSS를 준수하는 판매자만 토큰을 직접 저장할 수 있습니다. 현재 타사 서비스를 사용하여 카드 정보를 저장하는 다른 판매자의 경우 동일한 방식으로 토큰을 계속 처리해야 합니다.

Stripe는 토큰을 저장하고 토큰 기반 거래를 촉진할 뿐만 아니라 카드 네트워크를 통해 토큰을 생성할 수 있는 인증된 토큰 요청자입니다.

Stripe 통합은 영향을 받지 않으며, Stripe는 고객을 대신하여 백그라운드에서 카드 네트워크 토큰의 획득 및 사용을 원활하게 처리합니다. 이 프로세스를 관리할 필요가 없습니다.

토큰은 판매자, 고객 ID, 토큰 요청자 및 카드 네트워크에 고유합니다. 한 판매자 플랫폼에서 생성된 토큰은 다른 플랫폼에서는 유효하지 않습니다.

기본적으로 카드 소유자의 카드에는 보유한 판매자-고객 ID 조합의 수에 따라 여러 개의 토큰이 있습니다. 이 매핑은 토큰 요청자(Stripe)가 유지 관리합니다. 그러나 카드 네트워크에 가입하는 판매자가 다른 토큰 요청자가 제공한 것과 동일한 판매자 ID를 제공받을 것이라는 보장은 없으므로 중복이 발생할 수 있습니다. 따라서 Stripe를 통해 제공된 토큰이 다른 결제 애그리게이터/결제 게이트웨이를 통해 사용될 때 동일한 판매자-고객 조합에 적용된다고 보장할 수 없습니다.

토큰화가 최종 고객에게 미치는 영향은 미미합니다. 카드를 토큰으로 전환하려면 고객이 프로세스에 동의해야 하며, 그 후에 지속적인 거래 결제가 이루어질 수 있습니다. 이는 신규 카드와 저장된 카드 모두에 적용됩니다.

비즈니스 운영을 간소화하기 위해 Stripe는 새로운 UX 프로세스를 구축하거나 통합을 수정하지 않고도 판매자를 대신하여 고객 동의를 수집할 수 있는 SMTC(Stripe Managed Tokenised Consent)(결제 프로세스의 일부인 양식 보기의 스니펫)를 도입했습니다.

자체 사용자 지정 동의 수집 프로세스를 구축하거나 통합하여 결제 환경에서 원활하게 실행하려는 경우 Stripe에서 호스팅하는 토큰화된 동의 수집 프로세스를 옵트아웃할 수 있습니다(아래 프로세스 옵트아웃하기 참조).

고객 은행 카드를 토큰화한 사용자의 경우, 이제 저장된 카드의 마지막 네 자리 숫자만 표시됩니다.

카드를 토큰화하지 않기로 선택한 카드 소지자의 경우 모든 카드 거래에 대해 16자리 카드 번호, 만료일 및 CVV 전체를 입력해야 합니다.

Stripe의 관리 토큰화된 동의 수집 프로세스 사용을 중지하고 사용자 지정 프로세스를 직접 생성하려면 Stripe 대시보드 설정의 규정 준수 섹션으로 이동하여 '카드 저장된 동의"를 선택합니다.

'카드 보관 동의'에서 '수집 확인 동의'로 전환합니다.

옵트아웃하면 고객 동의를 직접 수집해야 하며, 카드 소유자가 결제 과정에서 동의하는 경우에만 카드 세부 정보가 Stripe 고객 개체에 저장되어 나중에 사용할 수 있습니다.

Stripe 청구, Stripe 체크아웃 또는 Stripe 엘리먼트를 사용하지 않는 사용자의 경우 고객의 카드 번호에 의존하는 모든 프로세스가 영향을 받습니다. 플랫폼 메커니즘 사용을 중단하도록 선택하고 고객의 동의를 얻어야만 Stripe 시스템에서 정보를 토큰화하여 저장할 수 있습니다.