Exemptions de mandat 3DS au Japon

Utiliser les exemptions pour réduire la complexité des paiements admissibles pour les titulaires de cartes.

Les directives du secteur au Japon exigent que les entreprises en ligne utilisent 3D Secure (3DS) d’ici la fin du mois de mars 2025. Pour plus d’informations sur ces directives, consultez l’article du service Support de Stripe.

Conformité

Pour être conformes aux Directives relatives à la sécurité des cartes bancaires, vos transactions doivent répondre aux critères d’exemption applicables et vous devez suivre toutes les étapes opérationnelles pertinentes avant d’activer les exemptions.

Dans les cas où les directives autorisent des exemptions, Stripe n’impose pas 3DS sur vos paiements.

En général, Stripe tente de traiter une authentification 3DS sur toutes les cartes au moins une fois, soit lors de l’enregistrement de la carte, soit lors de sa première utilisation. Stripe ne demande pas d’authentification 3DS sur les paiements effectués avec des cartes déjà authentifiées par 3DS.

Remarque

Lorsque les paiements sont effectués sans 3DS en utilisant une exemption, le transfert de responsabilité pour les paiements frauduleux ne s’applique pas. Si vous souhaitez appliquer le transfert de responsabilité 3DS aux paiements exemptés, vous devez demander 3DS en définissant la valeur any sur request_three_d_secure dans votre PaymentIntent ou SetupIntent.

Catégorie	Description
Cartes bancaires existantes	Les cartes bancaires saisies avant le 1er avril 2025, ou qui ont été migrées vers Stripe à partir d’autres prestataires de services de paiement, sont traitées comme si elles avaient été préalablement authentifiées avec 3DS.
Situations où l’utilisation de 3DS n’est pas possible	Stripe n’utilise pas automatiquement 3DS pour les catégories suivantes : Cartes de débit et cartes prépayées Apple Pay et Google Pay Paiements MOTO Si l’un des cas suivants s’applique à votre intégration, vous devez demander l’activation en contactant le service Support de Stripe. Vous n’utilisez pas les objets Customer de Stripe. Par exemple, vous créez des paiements avec des numéros de carte bancaire bruts. Vous stockez et authentifiez les cartes en dehors de Stripe. Vous traitez des paiements provenant d’appareils qui ne prennent pas en charge 3DS, comme les consoles de jeu ou les enceintes intelligentes.
Transactions initiées par le client (CIT) (Par exemple, enregistrer une carte bancaire sur un site de commerce électronique pour des achats ultérieurs)	L’enregistrement d’une carte bancaire par la création d’un SetupIntent avec `usage=on_session` n’utilise pas 3DS à moins que vous en fassiez la demande. Si vous n’authentifiez pas une carte bancaire avec 3DS lorsque vous l’enregistrez, le premier paiement avec cette carte nécessite 3DS. Une fois qu’une carte enregistrée est authentifiée avec 3DS, Stripe la considère comme exemptée et n’impose pas 3DS sur les futurs paiements avec cette carte. Cependant, votre intégration doit effectuer une analyse de risque au moment de chaque paiement ultérieur et demander 3DS si l’analyse détermine que son utilisation est appropriée. Vous pouvez utiliser Stripe Radar pour effectuer l’analyse de risque. Concevez votre processus d’ouverture de session client de manière à ce qu’il réponde à au moins deux des cinq exigences suivantes de la liste de contrôle de sécurité du Conseil des mesures de sécurité pour les transactions par carte bancaire. Si ce n’est pas le cas, vous devez demander 3DS manuellement pour chaque paiement en attribuant la valeur `any` à request_three_d_secure. Limitez l’accès par des adresses IP suspectes, afin de contrer les attaques provenant de l’étranger. Limitez les tentatives de connexion afin d’empêcher le piratage du mot de passe du compte. Authentifiez les utilisateurs grâce à l’authentification à deux facteurs ou une mesure similaire, afin de notifier aux utilisateurs les tentatives de connexion frauduleuses. Envoyez des notifications par e-mail ou SMS, limitez les tentatives ou prenez d’autres mesures similaires au moment où votre client se connecte. Utilisez la “prise d’empreinte d’appareil” ou des mesures similaires.
Transactions initiées par le marchand (MIT), y compris Stripe Billing	Si vous enregistrez une carte, vous devez créer un SetupIntent avec `usage=off_session`, ce qui nécessite 3DS. Si vous authentifiez une carte bancaire avec 3DS lors de son enregistrement, les futurs paiements par transaction initiée par le marchand (MIT) à l’aide de cette carte ne nécessitent pas 3DS. Si la modification d’un contrat, d’un service ou d’un produit nécessite l’approbation du client, le paiement associé doit être effectué à l’initiative du client (CIT) et doit demander explicitement 3DS.
Paiements Link	Les paiements avec Link sont exemptés si la carte a déjà été authentifiée avec 3DS. Cette exemption est possible parce que le processus de connexion de Link met en œuvre les mesures suivantes : Limite les tentatives de connexion pour empêcher le piratage des mots de passe des comptes. Envoyez des notifications par e-mail ou SMS, limitez les tentatives ou prenez d’autres mesures similaires au moment où votre client se connecte.