Exemptions de mandat 3DS au Japon
Utiliser les exemptions pour réduire la complexité des paiements admissibles pour les titulaires de cartes.
Les directives du secteur au Japon exigent que les entreprises en ligne utilisent 3D Secure (3DS) d’ici la fin du mois de mars 2025. Pour plus d’informations sur ces directives, consultez l’article du service d’assistance Stripe.
Dans les cas où les directives autorisent des exemptions, Stripe n’impose pas 3DS sur vos paiements.
En général, Stripe tente de traiter une authentification 3DS sur toutes les cartes au moins une fois, soit lors de l’enregistrement de la carte, soit lors de sa première utilisation. Stripe ne demande pas d’authentification 3DS sur les paiements effectués avec des cartes déjà authentifiées par 3DS.
Note
Lorsque les paiements sont effectués sans 3DS en utilisant une exemption, le transfert de responsabilité pour les paiements frauduleux ne s’applique pas. Si vous souhaitez appliquer le transfert de responsabilité 3DS aux paiements exemptés, vous devez demander 3DS en définissant la valeur any
sur request_three_d_secure
dans votre PaymentIntent ou SetupIntent.
Catégorie | Description |
---|
Cartes bancaires existantes | Les cartes bancaires saisies avant le 1er avril 2025, ou qui ont été migrées vers Stripe à partir d’autres prestataires de services de paiement, sont traitées comme si elles avaient été préalablement authentifiées avec 3DS. |
Situations où l’utilisation de 3DS n’est pas possible | Stripe n’utilise pas automatiquement 3DS pour les catégories suivantes : - Cartes de débit et cartes prépayées
- Apple Pay et Google Pay
Si l’un des cas suivants s’applique à votre intégration, vous devez demander l’activation en contactant le service d’assistance Stripe. - Vous n’utilisez pas les objets Customer de Stripe. Par exemple, vous créez des paiements avec des numéros de carte bancaire bruts.
- Vous stockez et authentifiez les cartes en dehors de Stripe.
- Vous traitez des paiements MOTO.
- Vous traitez des paiements provenant d’appareils qui ne prennent pas en charge 3DS, comme les consoles de jeu ou les enceintes intelligentes.
|
Transactions initiées par le client (CIT) (Par exemple, enregistrer une carte bancaire sur un site de commerce électronique pour des achats ultérieurs) | - L’enregistrement d’une carte bancaire par la création d’un SetupIntent avec
usage=on_session n’utilise pas 3DS à moins que vous en fassiez la demande. - Si vous n’authentifiez pas une carte bancaire avec 3DS lorsque vous l’enregistrez, le premier paiement avec cette carte nécessite 3DS.
- Une fois qu’une carte enregistrée est authentifiée avec 3DS, Stripe la considère comme exemptée et n’impose pas 3DS sur les futurs paiements avec cette carte. Cependant, votre intégration doit effectuer une analyse de risque au moment de chaque paiement ultérieur et demander 3DS si l’analyse détermine que son utilisation est appropriée. Vous pouvez utiliser Stripe Radar pour effectuer l’analyse de risque.
- Concevez votre processus d’ouverture de session client de manière à ce qu’il réponde à au moins deux des cinq exigences suivantes de la liste de contrôle de sécurité du Conseil des mesures de sécurité pour les transactions par carte bancaire. Si ce n’est pas le cas, vous devez demander 3DS manuellement pour chaque paiement en attribuant la valeur
any à request_three_d_secure.- Limitez l’accès par des adresses IP suspectes, afin de contrer les attaques provenant de l’étranger.
- Limitez les tentatives de connexion, afin de lutter contre le piratage des mots de passe des comptes.
- Authentifiez les utilisateurs grâce à l’authentification à deux facteurs ou une mesure similaire, afin de notifier aux utilisateurs les tentatives de connexion frauduleuses.
- Au moment de la connexion, envoyez des notifications par e-mail ou SMS, limitez les tentatives ou prenez d’autres mesures similaires.
- Utilisez la “prise d’empreinte d’appareil” ou des mesures similaires.
|
Transactions initiées par le marchand (MIT), y compris Stripe Billing | - L’enregistrement d’une carte bancaire par la création d’ un SetupIntent avec
usage=off_session nécessite 3DS. - Si une carte bancaire est authentifiée avec 3DS à son enregistrement, les paiements effectués à l’aide de cette carte ne nécessitent pas 3DS.
- Si la modification d’un contrat, d’un service ou d’un produit nécessite l’approbation du client, le paiement associé doit être effectué à l’initiative du client (CIT) et doit demander explicitement 3DS.
|