Démarrer  Contacter notre équipe 

Paiements

Revenus

Gestion des fonds

Plateformes et marketplaces

Par type d'entreprise
Par cas d'usage
Par secteur
Documentation
Guides
Ressources
Formation
Service de support
Entreprise
Démarrer  Contacter notre équipe 

Qu’est-ce que la non-conservation des informations de carte bancaire ? Importance et mesures au Japon

Payments
Payments

Acceptez des paiements en ligne, en personne et dans le monde entier, grâce à une solution de paiement adaptée à toutes les entreprises, des start-up aux multinationales.

En savoir plus 
  1. Introduction
  2. Qu’est-ce que la non-conservation des informations de carte bancaire ?
    1. Conditions de non-conservation
  3. L’importance de ne pas conserver les informations de carte bancaire
  4. Méthodes de prise en charge de la non-conservation des informations de carte bancaire
    1. Redirection des paiements
    2. Type JavaScript
  5. Points clés lors de la mise en œuvre de la non-conservation des informations de carte bancaire
    1. Conformité PCI DSS obligatoire lorsque la non-conservation ne peut être atteinte
    2. Risque de transmission accidentelle des informations de carte bancaire
    3. Importance des contre-mesures contre la falsification ou les abus de vulnérabilité
  6. Les mesure de protection contre la fraude par carte bancaire que les entreprises en e-commerce doivent prendre
    1. Utiliser 3D Secure 2 pour améliorer la vérification d’identité
    2. Utiliser les services de détection de fraude pour visualiser les risques
  7. Comment Stripe Payments peut vous aider
  8. Passez à l’action avec Stripe 

Lorsque les entreprises en e-commerce commencent à accepter des cartes bancaires, le traitement sécurisé des informations de carte bancaire client devient un enjeu central. Parallèlement aux efforts visant à développer l'adoption des paiements dématérialisés, le gouvernement japonais renforce la sécurité des paiements en élaborant une série de directives pour aider les marchands à accepter les transactions par carte bancaire dans un environnement sécurisé.

Dans ce contexte, un nombre croissant d’entreprises adoptent des politiques et des pratiques pour éviter la conservation des informations de carte en ne les manipulant pas elles-mêmes. Cette approche est devenue largement reconnue comme l’une des mesures de protection que les vitrines numériques doivent utiliser.

Cet article explique clairement les concepts fondamentaux de la non-conservation des données des cartes bancaires, leur importance et les mesures que les entreprises en e-commerce doivent prendre pour prendre en charge cette non-conservation.

Contenu de cet article

  • Qu'est-ce que la non-conservation des informations de carte bancaire ?
  • L’importance de ne pas conserver les informations de carte bancaire
  • Méthodes de prise en charge de la non-conservation des informations de carte bancaire
  • Points clés lors de la mise en œuvre de la non-conservation des informations de carte bancaire
  • Les mesure de protection contre la fraude par carte bancaire que les entreprises en e-commerce doivent prendre
  • Comment Stripe Payments peut vous aider ?

Qu'est-ce que la non-conservation des informations de carte bancaire ?

À mesure que les paiements sans espèces se développent au Japon, les risques de fraude par carte bancaire et de contestations des paiements augmentent également.

Une enquête de l'Association japonaise du crédit à la consommation montre que les pertes dues à la fraude par carte bancaire atteignaient un niveau record d'environ 55,5 milliards de yens en 2024. Par conséquent, les entreprises en e-commerce sont désormais confrontées à des pressions croissantes pour adopter des protections de plus en plus sophistiquées année après année.

Le Ministère de l’économie, du commerce et de l’industrie (METI) a établi des directives relatives à la sécurité des cartes bancaires qui imposent aux marchands numériques de respecter l’une des mesures suivantes pour protéger les informations de carte bancaire :

  • Conformité à la norme Payment Card Industry Data Security Standard (PCI DSS)
  • Atteindre la non-conservation des données

Le point à retenir est que la conformité à la norme PCI DSS impose une lourde charge aux systèmes, à la structure organisationnelle et au personnel.

PCI DSS est une norme stricte comprenant 12 spécifications et des centaines d'exigences spécifiques, telles que des pare-feux, l’audit des logs, le chiffrement et le contrôle d'accès. Il est extrêmement difficile de répondre à toutes ces exigences.

C’est précisément la raison pour laquelle de nombreuses entreprises en e-commerce choisissent d’externaliser le traitement de leurs cartes bancaires à des agents de paiement conformes à la norme PCI DSS, plutôt que d’essayer de répondre elles-mêmes aux exigences. Cela leur permet d’éviter la manipulation des informations de carte bancaire afin d’atteindre la non-conservation.

Conditions de non-conservation

La non-conservation des données de carte bancaire désigne les entreprises en e-commerce ne stockant pas les informations de carte bancaire de leurs clients sur leurs propres serveurs ou infrastructures. Cependant, le simple fait d’éviter de stocker ces enregistrements au sein d’un site est insuffisant pour être qualifié de fonctionnement sans stockage de données.

Plus précisément, les trois conditions suivantes sont requises :

  • Ne pas conserver les informations de carte bancaire
  • Ne pas traiter les informations de carte bancaire
  • Ne pas transmettre les informations de carte bancaire via vos propres serveurs

Concrètement, le système doit transmettre les informations de carte saisies par l’utilisateur directement à un prestataire de services de paiement conforme à la norme PCI DSS, en veillant à ce que les données ne transitent jamais par le serveur du marchand d’e-commerce.

L’importance de ne pas conserver les informations de carte bancaire

Les paiements dématérialisés sont désormais bien acceptés au Japon pour les achats quotidiens et les services basés sur le Web, et l'adoption ne cesse de croître. Face à ces changements dans l'environnement de paiement, le METI avait pour objectif de doubler le ratio des paiements sans espèces pour atteindre environ 40 % d'ici juin 2025. En 2024, le ratio sans espèces avait atteint 42,8 % (141 000 milliards de yens), permettant au gouvernement d'atteindre son objectif plus tôt que prévu.

Dans ce contexte, les paiements dématérialisés et les transactions par carte bancaire continueront de se développer. Le besoin de répondre aux menaces telles que les fuites de données, la fraude et la rétrofacturation grandit en même temps que l’adoption de ces nouveaux moyens de paiement.

Tant que les cartes de crédit restent au cœur des paiements dématérialisés, la protection des informations des clients devient une préoccupation plus importante pour les marchands en ligne. Parmi ceux-ci, la non-conservation, qui est la capacité à fonctionner sans conserver ni manipuler les informations de carte bancaire au sein de votre organisation, est une approche pratique qui permet aux entreprises de continuer à accepter des paiements en ligne en toute confiance.

Méthodes de prise en charge de la non-conservation des informations de carte bancaire

Lors de la mise en œuvre de la non-conservation des informations de carte bancaire, il est essentiel d’identifier correctement si le tunnel de paiement de votre entreprise est « pass-through » ou « non-pass-through ».

Dans le modèle pass-through, les numéros de carte bancaire sont acheminés via les serveurs ou les réseaux de l’entreprise, créant ainsi la possibilité de traces d’enregistrement involontaires dans des logs, sauvegardes, outils de surveillance, ou autres systèmes similaires. Dans ce cas, l’organisation assume le fait de stocker des données de carte bancaire et doit donc se conformer à la norme PCI DSS.

D’autre part, dans le modèle non-pass-through, l’infrastructure interne de l’entreprise n’entrant jamais en contact avec les informations de carte bancaire, l’entreprise en e-commerce est en mesure d’atteindre l’état de non-conservation parce qu’elle n’a pas réellement géré ou conservé ces informations. De nombreux marchands numériques choisissent cette méthode non-pass-through pour à la fois réduire la charge pour atteindre la conformité PCI DSS, et surtout réaliser une approche sans stockage des données.

Redirection des paiements

La redirection des paiements, ou lien de paiement, est une méthode qui redirige les acheteurs vers une page externe pour finaliser le paiement. En confiant l'écran de paiement à un prestataire de services de paiement, l'entreprise en e-commerce n'a pas besoin de stocker, traiter, ou transmettre les informations de carte bancaire.

Le paiement via un lien envoyé par e-mail ou via les réseaux sociaux représente un autre type de paiement qui repose sur cette approche. Néanmoins, des attaques visant le front-end, y compris celles qui réécrivent l'URL de destination, ont été signalées. Des mesures de sécurité de base, telles que des défenses contre la falsification de l’écran, doivent alors également être mises en place.

Type JavaScript

Dans le type JavaScript (système de token), le navigateur du client convertit les chiffres de la carte bancaire en token, et le marchand reçoit juste ce token. Les chiffres réels sont envoyés directement au prestataire de services de paiement, de sorte que l’entreprise en e-commerce ne gère jamais elle-même les informations.

Son principal avantage réside dans sa facilité de mise en place tout en préservant le design existant du site. Cela dit, le risque de fuites demeure car les fichiers JavaScript peuvent être trafiqués, ce qui rend indispensable une gestion stricte des fichiers et des contre-mesures de vulnérabilité.

Points clés lors de la mise en œuvre de la non-conservation des informations de carte bancaire

En mettant en œuvre la non-conservation des données de carte bancaire, les vitrines numériques peuvent traiter les paiements sans manipuler elles-mêmes les informations de carte. Néanmoins, en fonction de la configuration et des conditions opérationnelles, il n’est peut-être pas possible d’atteindre une non-conservation totale. Vérifions maintenant les points clés pour un déploiement réussi de la non-conservation.

Conformité PCI DSS obligatoire lorsque la non-conservation ne peut être atteinte

Les entreprises traitent souvent à tort la non-conservation et la conformité PCI DSS comme des solutions qui s’excluent mutuellement. Pour plus de clarté, ces solutions peuvent être organisées comme indiqué ci-dessous :

Les informations de carte bancaire sont-elles conservées ?

Prérequis pour la conformité PCI DSS

Ne pas conserver

Non obligatoire si les informations ne sont pas conservées

Doit être conservé

Obligatoire

En d’autres termes, si votre entreprise ne peut pas atteindre la non-conservation, vous devez être conscient que vous porterez l’entière charge des exigences PCI DSS. Par exemple, si un numéro de carte bancaire transite par les serveurs ou le réseau de votre entreprise une seule fois, l’entreprise en e-commerce est réputée conserver les informations de carte bancaire. Elle doit respecter la norme PCI DSS, la norme mondiale des marques internationales de cartes bancaires.

Comme mentionné précédemment, PCI DSS exige le respect de nombreuses normes couvrant à la fois les aspects techniques et opérationnels, ainsi qu'une surveillance continue, créant une pression importante pour les organisations. Pour cette raison, de nombreux marchands numériques adoptent des options non-pass-through et se dirigent vers une approche de non-stockage en évitant complètement le traitement interne des données de carte bancaire.

Risque de transmission accidentelle des informations de carte bancaire

Lorsque vous adoptez une approche non pass-through, les numéros de carte bancaire peuvent rester dans les logs, les sauvegardes, les environnements de test, les outils de surveillance et autres systèmes similaires, selon la configuration par vos équipes. De tels enregistrements temporaires peuvent conduire à déterminer que les données de carte bancaire ont été transmises, bien que l'entreprise estime avoir cessé de stocker ces informations.

Les vérifications de fonctionnalités des paramètres de test et de débogage pouvant parfois être transférées telles quelles dans l'environnement de production en mode production, il est nécessaire de concevoir l'infrastructure de sorte que les informations de carte ne soient jamais acquises par l’application, du développement aux opérations quotidiennes.

Importance des contre-mesures contre la falsification ou les abus de vulnérabilité

Lorsque des systèmes non-pass-through sont utilisés, des cas confirmés d'enregistrements de cartes bancaires obtenus illicitement par falsification du site d’e-commerce lui-même ont été relevés. Un code JavaScript malveillant intégré est un risque peu importe la structure du site, et pourrait survenir via n'importe quelle méthode. La prudence est donc de mise.

À titre de contre-mesures, il est important de mettre en œuvre en permanence des protocoles de sécurité fondamentaux, notamment la détection de l’altération des fichiers, la gestion des vulnérabilités, la suppression des autorisations inutiles et les mises à jour rapides pour les CMS et les plugins.

Les mesure de protection contre la fraude par carte bancaire que les entreprises en e-commerce doivent prendre

Si vous mettez en œuvre un système qui élimine le traitement des informations de carte bancaire dans votre propre entreprise par la non-conservation, le risque de fraude ne disparaît pas pour autant. Les paiements en ligne risquent diverses formes d’abus, y compris le vol non autorisé des données de carte bancaire, l’accès à haut risque à partir de l’étranger, les attaques de « credit masters », et l’usurpation d’identité.

Utiliser 3D Secure 2 pour améliorer la vérification d’identité

3D Secure 2 est considéré comme un moyen efficace de renforcer la vérification de l'identité pour les paiements en ligne. Il permet une évaluation des risques basée sur les informations de l'appareil, des signaux comportementaux et des détails de transaction, et exigera une authentification supplémentaire exclusivement pour les cas à haut risque.

Cela favorise une approche équilibrée qui maintient la commodité pour les utilisateurs légitimes tout en s'attaquant aux fraudeurs en exigeant une authentification supplémentaire.

Utiliser les services de détection de fraude pour visualiser les risques

Vous pouvez associer des services de détection de la fraude tels que Stripe Radar avec 3D Secure. Les outils de contrôle fournis par les prestataires de services de paiement analysent de manière exhaustive des facteurs tels que les adresses IP, les informations de l'appareil, l'historique des commandes et le comportement d'achat afin d'attribuer un score de risque à chaque transaction.

En utilisant ce type d'outils, vous pouvez identifier automatiquement les modèles de transactions suivants :

  • Attaques brut-force de credit masters
  • Accès à haut risque depuis des adresses IP étrangères ou via des VPN
  • Changements soudains de montant, de fréquence ou de comportement
  • Tendances en matière de fraude par pays ou région

À mesure que l’utilisation de cartes émises à l’étranger se développe dans l’e-commerce international, l’adoption et l’utilisation de 3D Secure 2 et d’autres services de détection de la fraude peuvent contribuer à réduire le risque d’activités non autorisées.

Comment Stripe Payments peut vous aider

Stripe Payments propose une solution de paiement unifiée et mondiale qui permet à toutes les entreprises, des startup en phase de croissance aux grandes entreprises internationales, d’accepter des paiements en ligne, en personne et partout dans le monde.

Stripe Payments vous aide comme suit :

  • Optimiser votre expérience de paiement : créez un parcours client fluide et économisez des milliers d’heures d’ingénierie grâce à des interfaces de paiement prêtes à l’emploi, à l’accès à plus de 125 moyens de paiement et à Link, un wallet conçu par Stripe.
  • Accéder plus rapidement à de nouveaux marchés : touchez des clients dans le monde entier et réduisez la complexité ainsi que les coûts liés à la gestion multidevise grâce aux options de paiement transfrontalières, disponibles dans 195 pays et plus de 135 devises.
  • Unifier les paiements en ligne et en personne : créez une expérience commerciale unifiée sur l’ensemble des canaux, en ligne comme en point de vente, pour personnaliser les interactions, renforcer la fidélité et stimuler la croissance des revenus.
  • Améliorer les performances de paiement : augmentez vos revenus grâce à des outils de paiement personnalisables et simples à configurer, incluant une protection contre la fraude no-code et des fonctionnalités avancées pour optimiser les taux d’autorisation.
  • Accélérer votre croissance avec une plateforme flexible et fiable : appuyez-vous sur une plateforme conçue pour évoluer avec votre activité, offrant un taux de disponibilité historique de 99,999 % et une fiabilité de premier plan.

Découvrez comment Stripe Payments peut soutenir vos paiements en ligne et vos paiements en personne, ou démarrez dès aujourd’hui.

Le contenu de cet article est fourni à des fins informatives et pédagogiques uniquement. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de solliciter l'avis d'un avocat compétent ou d'un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation.

Plus d'articles

  • Un problème est survenu. Veuillez réessayer ou contacter le service de support.

Envie de vous lancer ?

Créez un compte et commencez à accepter des paiements rapidement, sans avoir à signer de contrat ni à fournir vos coordonnées bancaires. N'hésitez pas à nous contacter pour discuter de solutions personnalisées pour votre entreprise.
Payments

Payments

Acceptez des paiements en ligne, en personne et dans le monde entier, grâce à une solution de paiement adaptée à toutes les entreprises.

Documentation Payments

Trouvez un guide qui vous aidera à intégrer les API de paiement Stripe.
Proxying: stripe.com/fr/resources/more/nonretention-credit-card-information-japan