Netzwerk-Tokenisierung in Indien

Die Reserve Bank of India (RBI) hat eine Anordnung an die ausstellenden Banken und Kartennetzwerke für die Nichtspeicherung von Kartenanmeldedaten durch Zahlungsaggregatoren, Zahlungs-Gateways und Händler im indischen Zahlungsökosystem veröffentlicht. Die RBI schreibt eine Card on File (CoF)-Tokenisierung durch die Kartennetzwerke vor. Das heißt:

• Um eine in Indien ausgestellte Kundenkarte für die zukünftige Verwendung für Inlandshändler/innen in Indien zu speichern, muss Stripe die Karte mit dem Kartennetzwerk (Visa/Mastercard) tokenisieren.
• Kund/innen müssen der Tokenisierung und Speicherung der Karte auf dem System von Stripe ausdrücklich zustimmen.
• Für Nutzer/innen, die keinen eignen, speziellen Bezahlvorgang zum Einholen der Kundeneinwilligung erstellen möchten, bietet Stripe standardmäßig einen von uns verwalteten Ablauf für die Kundeneinwilligung.

Händler, Payment Aggregators (PAs), Payment Gateways (PGs) und Acquiring-Banken können keine Kartendaten mehr speichern. Netzwerk-Tokenisierung und Aussteller-Tokenisierung sind der einzig geeignete Weg für die Branche und die RBI.

Aufsichtsrechtliche Bestimmungen

Folgende Anforderungen müssen beim Implementieren der Tokenisierung eingehalten werden.

• Ordnen Sie ein Token einem Händler, einer Kundenkarte und einem Token Requestor zu.
• Holen Sie die ausdrückliche Nutzereinwilligung und einen zusätzlichen Authentifizierungsfaktor ein, bevor Sie ein Token erstellen.
• Als Händler/in müssen Sie dem Kunden/der Kundin die Möglichkeit geben, seinen/ihren Token von der Händlerplattform abzumelden.
• Stellen Sie einem Händler/einer Händlerin bei Transaktionen nur die letzten 4 Ziffern der Kundenkarte, den Namen der Ausstellerbank und das Kartennetzwerk (im Stripe-Dashboard für Zahlungen sichtbar) zur Verfügung.

Kundenkarten tokenisieren

Die Tokenisierung hat nur minimale Auswirkungen auf den Endkunden/die Endkundin. Um seine/ihre Karten in einen Token umzuwandeln, muss ein/e Kund/in Ihnen während der Zahlung für eine Transaktion seine/ihre Zustimmung erteilen. Dies gilt für neue und gespeicherte Karteneinwilligungsvorgänge.

Mit Stripe Managed Customer Consent kann Stripe die Kundeneinwilligung in Ihrem Namen einholen. Stripe fordert den Kunden/die Kundin automatisch zur Zustimmung auf, bevor mit der 3D Secure-Authentifizierung fortgefahren wird.

Wenn Sie einen eigenen Einwilligungsvorgang erstellen möchten, können Sie sich von Stripe Managed Customer Consent abmelden. Navigieren Sie dazu im Dashboard unter „Konformität“ zu Einwilligung zum Speichern von Karten.

Wenn Sie sich abmelden, müssen Sie die Einwilligung des Kunden/der Kundin einholen und Kartendaten nur dann für die zukünftige Verwendung im Customer-Objekt speichern, wenn der/die Karteninhaber/in innerhalb Ihres Bezahlvorgangs zustimmt.

Von Stripe verwaltete Einholung der Kundeneinwilligung

Die von Stripe verwaltete Einholung der Kundeneinwilligung ablehnen

Kund/innen, die ihre Karten tokenisiert haben, sehen nur die letzten 4 Ziffern ihrer gespeicherten Karten.

Kartenangaben für Kundinnen und Kunden erfassen, die die Tokenisierung ablehnen

Kundinnen/Kunden, die sich gegen die Tokenisierung ihrer Karten entscheiden, müssen für alle Kartentransaktionen ihre 16-stellige Kartennummer, das Ablaufdatum und den Prüfziffer eingeben.

Wenn Sie über eine direkte API-Integration verfügen und derzeit keine Prüfziffer/CVC in Ihrem Bezahlvorgang erfassen, müssen Sie diese zu Ihrer Integration hinzufügen, um weiterhin Zahlungen annehmen zu können. Wenn Sie Details zur Zahlungsmethode erfassen, füllen Sie das CVC-Feld aus.

Weitere Informationen

Weitere Details zu den aktualisierten Anforderungen für eine konforme Integration mit Stripe finden Sie unter Speichern von Karten in Indien.

Kontaktieren Sie uns unter support.stripe.com, wenn Sie Fragen haben oder Unterstützung beim Einhalten der Vorgaben benötigen.