Какие платформы доступны для трехсторонних платежей в Индии: руководство по правилам индийского правительства по токенизации карточных организаций

В Индии только эмитентам карт и карточным сетям разрешено хранить данные карт, выпущенных в Индии, для облегчения транзакций через уполномоченных Резервным банком Индии (RBI) поставщиков платежных услуг. Центральный банк обязал платежные агрегаторы, такие как Stripe India, использовать токены карточных сетей вместо реальных номеров кредитных/дебетовых карт при обработке платежей.

Эти правила в первую очередь затрагивают предприятия в Индии. Card Networks запустила услугу токенизации Card on File (CoF), чтобы соответствовать этим требованиям, а Stripe разработала решение, которое могут использовать клиенты. Более подробную информацию об индийских правилах см. в нашей статье "Нормативная база по влиянию на платежи по кредитным картам со стороны индийского правительства".

Ни одна организация в цепочке карточных операций не имеет права хранить информацию о карте клиента, за исключением эмитентов и карточных сетей. Это ограничение распространяется на торговцев, платежные агрегаторы (PA), платежные шлюзы (PG) и эквайеров. Это еще раз подтверждает, что токенизация карточных сетей и токенизация эмитентов - единственные жизнеспособные направления развития отрасли.

Внедрение токенизации также регулируется другими нормативными актами:

- Область действия токена должна включать продавца, карту клиента и запросчика токена (например, Stripe India).

- Перед созданием токена необходимо получить явное согласие клиента и дополнительные факторы аутентификации

- Торговцы должны предоставить клиентам возможность удалить токенизированные карты со своих платформ

- Во время транзакции продавец может использовать только последние четыре цифры номера карты клиента, а также название эмитента карты и ее сети (как показано на странице "Платежи" на панели Stripe).

Эти правила применяются только к внутренним транзакциям для продавцов, расположенных в Индии. Если вы являетесь международным продавцом на Stripe и не имеете контракта со Stripe India, эти правила не применяются, и карта не будет токенизирована.

Как и в случае с Cards on File (CoF), только продавцы, соответствующие требованиям PCI DSS, могут хранить токены самостоятельно. Остальные продавцы, которые в настоящее время используют сторонние сервисы для хранения информации о картах, должны продолжать работать с токенами таким же образом.

Stripe - это аутентифицированный запросчик токенов, способный хранить токены и облегчать транзакции на основе токенов, а также генерировать токены через карточную сеть.

Ваша интеграция с Stripe не пострадает. Stripe будет беспрепятственно обрабатывать получение и использование токенов карточных сетей в фоновом режиме от имени ваших клиентов. Вам не нужно управлять этим процессом.

Токены уникальны для продавца, идентификатора клиента, запрашивающего токен, и карточной сети. Токен, сгенерированный на одной торговой платформе, не действителен на другой.

По сути, карта владельца будет иметь несколько токенов в зависимости от количества комбинаций идентификаторов продавца и клиента. Это сопоставление будет поддерживаться поставщиком токенов (Stripe). Однако нет никакой гарантии, что продавцы, присоединившиеся к карточной сети, получат те же самые идентификаторы продавцов, которые были предоставлены другими поставщиками токенов, что может привести к дублированию. Поэтому мы не можем гарантировать, что токены, предоставленные через Stripe, будут применяться к тем же комбинациям "продавец-клиент" при использовании через другие платежные агрегаторы/платежные шлюзы.

Влияние токенизации на конечного клиента минимально. Чтобы преобразовать карту в токен, клиент должен дать согласие на этот процесс, после чего можно будет осуществлять текущие транзакционные платежи. Это относится как к новым, так и к сохраненным картам.

Чтобы оптимизировать ваши бизнес-операции, Stripe представила управляемое токенизированное согласие (SMTC) (фрагмент представления формы, являющийся частью процесса оформления заказа) для сбора согласия клиентов от вашего имени без необходимости создавать новые UX-процессы или изменять интеграции.

Если вы хотите создать или интегрировать свой собственный процесс сбора согласия и хотите, чтобы он работал без сбоев в процессе оформления заказа, вы можете отказаться от используемого Stripe процесса сбора согласия с использованием токенов (см. раздел "Отказ от процесса" ниже).

Для пользователей, которые токенизировали свои банковские карты, теперь будут видны только последние четыре цифры сохраненной карты.

Владельцы карт, которые решили не токенизировать свои карты, должны вводить полный 16-значный номер карты, дату истечения срока действия и CVV для всех операций с картой.

Если вы хотите отказаться от использования управляемого процесса сбора согласий с использованием токенов Stripe и создать свой собственный процесс, перейдите в раздел "Соответствие требованиям" в Настройках панели управления Stripe и выберите "Карта Хранимые согласия".

В разделе "Согласие на хранение карты" переключитесь на "Согласие на подтверждение сбора".

Если вы откажетесь от этой услуги, вам придется самостоятельно собирать согласие клиентов, а данные карты будут сохраняться в объекте клиента Stripe для дальнейшего использования только в том случае, если владелец карты даст согласие в процессе оформления заказа.

Для пользователей, которые не используют Stripe Billing, Stripe Checkout или Stripe Elements, любой процесс, который зависит от номера карты клиента, будет затронут. Вы должны принять решение о прекращении использования механизмов платформы и получить согласие клиента, прежде чем мы сможем токенизировать и хранить информацию в системе Stripe.