Démarrer  Nous contacter 

Paiements

Revenus

Gestion des fonds

Plateformes et places de marché

Par étape
Par cas d'usage
Par secteur d'activité
Documentation
Guides
Ressources
En savoir plus
Assistance
Entreprise
Démarrer  Nous contacter 

Qu’est-ce que la non-conservation des informations de carte de crédit? Importance et mesures au Japon

Payments
Payments

Acceptez des paiements en ligne, en personne et dans le monde entier, grâce à une solution de paiement adaptée à toutes les entreprises, des jeunes pousses aux multinationales.

En savoir plus 
  1. Introduction
  2. Qu’est-ce que la non-conservation des informations de carte de crédit?
    1. Conditions pour parvenir à la non-rétention
  3. L’importance de ne pas conserver les informations de carte de crédit
  4. Méthodes de prise en charge de la non-conservation des informations de carte de crédit
    1. Paiements redirigés
    2. Type JavaScript
  5. Points clés à prendre en compte lors de la mise en œuvre de la non-conservation des informations de carte de crédit
    1. La conformité à la norme PCI DSS est obligatoire lorsque la non-conservation ne peut être garantie
    2. Risque de transmission accidentelle des informations de carte
    3. Importance des contre-mesures contre la falsification ou l’exploitation des vulnérabilités
  6. Mesures de protection contre la fraude à la carte de crédit que les entreprises de commerce en ligne doivent prendre
    1. Utiliser 3D Secure 2 pour améliorer la vérification d’identité
    2. Utiliser les services de détection de fraude pour visualiser les risques
  7. Comment Stripe Payments peut vous aider
  8. Premiers pas avec Stripe 

Lorsque les entreprises de commerce en ligne commencent à accepter les cartes de crédit, la sécurité du traitement des informations de carte des clients devient une question centrale. Parallèlement aux efforts visant à développer l’adoption des paiements dématérialisés, le gouvernement japonais renforce la sécurité des paiements en élaborant une série de lignes directrices destinées à aider les marchands à accepter les transactions par carte dans un environnement sécurisé.

Dans ce contexte, un nombre croissant d’entreprises adoptent des politiques et des pratiques visant à éviter la conservation des informations de carte en ne les traitant pas elles-mêmes. Cette approche est désormais largement reconnue comme l’une des mesures de sécurité que les boutiques en ligne doivent mettre en œuvre.

Cet article explique clairement les concepts fondamentaux de la non-conservation des données de cartes de crédit, son importance et les mesures que les entreprises de commerce en ligne doivent prendre pour la mettre en œuvre.

Contenu de cet article

  • Qu’est-ce que la non-conservation des informations de carte de crédit?
  • L’importance de ne pas conserver les informations de carte de crédit
  • Méthodes de prise en charge de la non-conservation des informations de carte de crédit
  • Points clés à prendre en compte lors de la mise en œuvre de la non-conservation des informations de carte de crédit
  • Mesures de protection contre la fraude à la carte de crédit que les entreprises de commerce en ligne doivent prendre
  • Comment Stripe Payments peut vous aider

Qu’est-ce que la non-conservation des informations de carte de crédit?

Avec l’expansion des paiements dématérialisés au Japon, les risques de fraude à la carte de crédit et de contestation de paiement augmentent également.

Une enquête menée par la Japan Consumer Credit Association montre que les pertes liées à la fraude à la carte de crédit ont atteint un niveau record d’environ 55,5 milliards de yens en 2024. En conséquence, les entreprises de commerce en ligne sont désormais confrontées à une pression croissante pour adopter des mesures de protection de plus en plus sophistiquées d’année en année.

Le ministère de l’Économie, du Commerce et de l’Industrie (METI) a établi des directives relatives à la sécurité des cartes de crédit qui exigent des marchands en ligne qu’ils respectent l’une des mesures suivantes dans le cadre de leurs efforts pour protéger les informations de carte :

  • Conformité aux normes en matière de sécurité des données de l’industrie des cartes de paiement (PCI DSS)
  • Parvenir à la non-rétention

Le point central ici est que la conformité à la norme PCI DSS impose une charge importante aux systèmes, à la structure organisationnelle et au personnel.

La norme PCI DSS est une norme stricte comprenant 12 spécifications et des centaines d’exigences précises, telles que les pare-feu, l’audit des journaux, le chiffrement et le contrôle d’accès. Il est extrêmement difficile de toutes les respecter.

C’est précisément pour cette raison que de nombreuses entreprises de commerce en ligne choisissent d’externaliser le traitement de leurs cartes à des agents de paiement conformes à la norme PCI DSS, plutôt que d’essayer de répondre elles-mêmes à ces exigences. Cela leur permet en effet d’éviter de traiter les informations relatives aux cartes dans le cadre de la mise en œuvre de la non-conservation.

Conditions pour parvenir à la non-rétention

La non-conservation des données de carte de crédit signifie que les entreprises de commerce en ligne ne stockent pas les informations de carte de leurs clients sur leurs propres serveurs ou infrastructures. Cependant, le simple fait d’éviter de stocker ces données sur un site ne suffit pas pour que l’on puisse parler d’une approche sans stockage.

Plus précisément, les trois conditions suivantes doivent être remplies :

  • Ne pas conserver les informations de carte
  • Ne pas traiter les informations de carte
  • Ne pas transmettre les informations de carte par vos propres serveurs

Concrètement, le système doit transmettre les informations de carte saisies par l’utilisateur directement à un prestataire de services de paiement conforme à la norme PCI DSS, afin que les données ne transitent jamais par le serveur du marchand en ligne.

L’importance de ne pas conserver les informations de carte de crédit

Les paiements dématérialisés sont désormais largement acceptés au Japon pour les achats quotidiens et les services en ligne, et leur adoption ne cesse de gagner du terrain. En réponse à ces changements dans l’environnement des paiements, le METI s’était fixé pour objectif de doubler le taux de paiements sans espèces pour atteindre environ 40 % d’ici juin 2025. En 2024, le taux de paiements sans espèces avait grimpé à 42,8 % (141 000 milliards de yens), permettant au gouvernement d’atteindre son objectif avant la date prévue.

Dans ce contexte, les paiements dématérialisés et les transactions par carte de crédit continueront à se développer. La nécessité de lutter contre les menaces telles que les fuites de données, la fraude et les contestations de paiement s’accroît parallèlement à l’adoption croissante de ces modes de paiement.

Tant que les cartes de crédit resteront essentielles aux paiements dématérialisés, la protection des informations des clients deviendra une préoccupation majeure pour les marchands en ligne. Parmi les solutions possibles, la non-conservation, qui consiste à fonctionner sans conserver ni traiter les informations de carte de crédit au sein de votre organisation, est une approche pratique qui permet aux entreprises de continuer à accepter les paiements en ligne en toute confiance.

Méthodes de prise en charge de la non-conservation des informations de carte de crédit

Lors de la mise en œuvre de la non-conservation des informations de carte de crédit, il est essentiel de déterminer correctement si le flux de paiement de votre entreprise est de type « entité intermédiaire » ou « entité non intermédiaire ».

Dans le modèle de transfert, les numéros de carte de crédit transitent par les serveurs ou les réseaux de l’entreprise, ce qui peut entraîner la création involontaire de traces dans les journaux, les sauvegardes, les outils de surveillance et autres systèmes similaires. Dans ce cas, l’organisation assume la responsabilité du stockage des données de carte et doit donc se conformer à la norme PCI DSS.

En revanche, dans le modèle sans transfert, comme l’infrastructure interne de l’entreprise n’a jamais accès aux informations de carte, celle-ci peut obtenir le statut « sans conservation », car l’entreprise de commerce en ligne n’a en réalité ni traité ni conservé ces informations. De nombreux marchands en ligne choisissent cette méthode sans transfert pour réduire la charge liée à la conformité PCI DSS et, surtout, d’obtenir le statut « sans stockage ».

Paiements redirigés

Le paiement redirigé, ou paiements associé, est une méthode qui redirige les acheteurs vers une page externe pour finaliser leur commande. En confiant l’écran de paiement au prestataire de services de paiement, l’entreprise de commerce en ligne n’a pas besoin de stocker, traiter ou transmettre les informations de carte.

Le paiement par lien (paiements envoyés par courriel ou par les médias sociaux) représente un autre type de paiement qui repose sur cette approche. Cependant, des attaques visant l’interface utilisateur, notamment celles qui réécrivent l’URL de destination, ont été signalées. Des mesures de sécurité de base, telles que des défenses contre la falsification d’écran, doivent donc également être mises en place.

Type JavaScript

Dans le type JavaScript (système de jetons), le navigateur du client convertit les chiffres de la carte en un jeton, et le marchand reçoit uniquement ce jeton. Les chiffres réels sont envoyés directement au prestataire de services de paiement, de sorte que l’entreprise de commerce en ligne ne traite jamais les informations elles-mêmes.

Le principal avantage réside dans sa facilité d’installation tout en préservant la conception existante du site. Cela dit, le risque de fuites demeure, car les fichiers JavaScript peuvent être altérés, ce qui rend indispensables une gestion rigoureuse des fichiers et des mesures de protection contre les vulnérabilités.

Points clés à prendre en compte lors de la mise en œuvre de la non-conservation des informations de carte de crédit

En mettant en œuvre la non-conservation des données de carte, les boutiques en ligne peuvent assurer le traitement des paiements sans avoir à traiter elles-mêmes les informations de carte. Cependant, selon la configuration et les conditions opérationnelles, il peut s’avérer impossible d’adopter une approche sans stockage. Passons maintenant en revue les points clés pour une mise en œuvre correcte de la non-conservation.

La conformité à la norme PCI DSS est obligatoire lorsque la non-conservation ne peut être garantie

Les entreprises considèrent souvent à tort que la non-conservation et la conformité à la norme PCI DSS sont incompatibles, comme s’il s’agissait d’un choix « soit l’un, soit l’autre ». Pour plus de clarté, elles peuvent être organisées comme indiqué ci-dessous :

Les informations relatives aux cartes de crédit sont-elles conservées?

Exigence de conformité à la norme PCI DSS

Ne pas retenir

Non requis si les informations ne sont pas conservées

Doit être conservé

Obligatoire

En d’autres termes, si votre entreprise ne peut pas garantir la non-conservation des données, vous devez savoir que vous devrez assumer l’intégralité des exigences PCI DSS. Par exemple, si un numéro de carte passe une seule fois par les serveurs ou le réseau de votre entreprise, l’activité de commerce en ligne est considérée comme conservant les informations de la carte. Elle doit donc se conformer à la norme PCI DSS, la norme mondiale des marques de cartes internationales.

Comme mentionné précédemment, la norme PCI DSS exige le respect de nombreuses normes couvrant à la fois les aspects techniques et opérationnels, ainsi qu’une surveillance continue, ce qui représente une charge importante pour les organisations. C’est pourquoi de nombreux marchands en ligne adoptent des options sans transfert et s’orientent vers une approche sans stockage en évitant complètement le traitement interne des données de carte.

Risque de transmission accidentelle des informations de carte

Lorsqu’une approche sans transfert est adoptée, les numéros de carte peuvent rester dans les journaux, les sauvegardes, les environnements de test, les outils de surveillance et autres systèmes similaires, selon la configuration choisie par les équipes. Ces enregistrements temporaires peuvent conduire à conclure que les données de carte ont été transmises, même si l’entreprise estime avoir cessé de stocker ces informations.

Étant donné que les vérifications de fonctionnalité effectuées pendant les tests et les paramètres de débogage peuvent parfois être transférés tels quels dans l’environnement de production en direct, il est nécessaire de concevoir l’infrastructure de manière à ce que les informations de carte ne soient jamais acquis par l’application, du développement aux opérations quotidiennes.

Importance des contre-mesures contre la falsification ou l’exploitation des vulnérabilités

Lorsque des systèmes d’entité intermédiaire sont utilisés, des cas confirmés d’obtention illicite d’enregistrements de cartes par falsification sur le site de commerce en ligne lui-même ont été signalés. Des scripts JavaScript malveillants intégrés peuvent apparaître indépendamment de la structure du site et peuvent survenir par n’importe quelle méthode, il convient donc d’être vigilant.

Comme contre-mesures, il est important de mettre en œuvre en permanence des protocoles de sécurité fondamentaux, notamment la détection des altérations de fichiers, la gestion des vulnérabilités, la suppression des autorisations inutiles et les mises à jour régulières du CMS et des modules d’extension.

Mesures de protection contre la fraude à la carte de crédit que les entreprises de commerce en ligne doivent prendre

Si vous mettez en place un système qui élimine le traitement des informations relatives aux cartes au sein de votre propre entreprise grâce à la non-conservation, le risque de fraude ne disparaît pas pour autant. Les paiements en ligne sont exposés à diverses formes d’abus, notamment le vol non autorisé de données de cartes, les accès à haut risque depuis l’étranger, les attaques de type « maître de crédit » et l’usurpation d’identité.

Utiliser 3D Secure 2 pour améliorer la vérification d’identité

3D Secure 2 est considéré comme un moyen efficace de renforcer la vérification d’identité pour les paiements en ligne. Il permet une évaluation des risques fondée sur les informations relatives à l’appareil, les signaux comportementaux et les détails de la transaction, et exigera une authentification supplémentaire exclusivement pour les cas à haut risque.

Cela favorise une approche équilibrée qui préserve la commodité pour les utilisateurs légitimes tout en luttant contre les fraudeurs en exigeant une authentification supplémentaire.

Utiliser les services de détection de fraude pour visualiser les risques

Vous pouvez associer des services de détection des fraudes tels que Stripe Radar à la technologie 3D Secure. Les outils de contrôle fournis par les prestataires de services de paiement analysent de manière exhaustive divers facteurs, notamment les adresses IP, les détails des appareils, l’historique des commandes et le comportement d’achat, pour attribuer un indice de risque à chaque transaction.

En utilisant ce type d’outils, vous pouvez déterminer automatiquement les modèles de transaction suivants :

  • Attaques par force brute sur les fichiers maîtres de crédit
  • Accès à haut risque depuis des adresses IP étrangères ou par des VPN
  • Changements soudains dans la quantité, la fréquence ou le comportement
  • Tendances en matière de fraude par pays ou région

Alors que l’utilisation des cartes émises à l’étranger augmente dans le commerce transfrontalier en ligne, l’adoption et l’utilisation de 3D Secure 2 et d’autres services de détection des fraudes peuvent contribuer à réduire le risque d’activités non autorisées.

Comment Stripe Payments peut vous aider

Stripe Payments propose une solution de paiement unifiée et mondiale adaptée à toutes les entreprises, des jeunes pousses aux grands groupes. Elle permet d’accepter des paiements en ligne et en personne, partout dans le monde.

Stripe Payments peut vous aider à :

  • Optimiser votre expérience de paiement : créez une expérience client sans friction et économisez des milliers d’heures d’ingénierie grâce à des interfaces utilisateurs de paiement prédéfinies, à l’accès à plus de 125 modes de paiement et à Link, un portefeuille numérique conçu par Stripe.
  • Pénétrer plus rapidement de nouveaux marchés : touchez des clients dans le monde entier grâce aux options de paiement transfrontalier. Réduisez la complexité et le coût de la gestion multidevises dans 195 pays et plus de 135 devises.
  • Unifier les paiements en personne et en ligne : créez une expérience de commerce unifiée sur les canaux en ligne et en personne pour personnaliser les interactions, récompenser la fidélité et augmenter les revenus.
  • Améliorer le rendement des paiements : augmentez vos revenus grâce à une gamme d’outils de paiement personnalisables et faciles à configurer, y compris une protection contre la fraude sans codage et des capacités avancées pour améliorer les taux d’autorisation.
  • Avancer plus rapidement grâce à une plateforme flexible et fiable pour soutenir votre croissance : appuyez-vous sur une plateforme conçue pour se développer avec vous, offrant un taux de disponibilité historique de 99,999 % et une fiabilité à la pointe du secteur.

Découvrez comment Stripe Payments peut faciliter vos paiements en ligne et en personne, ou faites vos premiers pas dès aujourd’hui.

Le contenu de cet article est fourni uniquement à des fins informatives et pédagogiques. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de consulter un avocat compétent ou un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation particulière.

Plus d'articles

  • Un problème est survenu. Veuillez réessayer ou contacter le service d’assistance.

Envie de vous lancer ?

Créez un compte et commencez à accepter des paiements rapidement, sans avoir à signer de contrat ni à fournir vos coordonnées bancaires. N'hésitez pas à nous contacter pour discuter de solutions personnalisées pour votre entreprise.
Payments

Payments

Acceptez des paiements en ligne, en personne et dans le monde entier, grâce à une solution de paiement adaptée à toutes les entreprises.

Documentation Payments

Trouvez un guide qui vous aidera à intégrer les API de paiement de Stripe.
Proxying: stripe.com/fr-ca/resources/more/nonretention-credit-card-information-japan