Inizia ora  Contattaci 

Pagamenti

Ricavi

Gestione del denaro

Per piattaforme e marketplace

Per fase
Per casistica
Per settore
Documentazione
Guide
Risorse
Fonti di apprendimento
Assistenza
Azienda
Inizia ora  Contattaci 

Cos'è la mancata conservazione dei dati delle carte di credito. Importanza e misure in Giappone

Payments
Payments

Accetta pagamenti online, di persona e in tutto il mondo con una soluzione di pagamento sviluppata per qualsiasi tipo di attività, dalle start-up in espansione alle società internazionali.

Ulteriori informazioni 
  1. Introduzione
  2. Cos’è la mancata conservazione dei dati delle carte di credito
    1. Condizioni per ottenere la mancata conservazione
  3. Importanza della mancata conservazione dei dati delle carte di credito
  4. Metodi per supportare la mancata conservazione dei dati delle carte di credito
    1. Reindirizzamento dei pagamenti
    2. Tipo JavaScript
  5. Punti chiave per implementare la mancata conservazione dei dati delle carte di credito
    1. La conformità a PCI DSS è obbligatoria quando non è possibile ottenere la mancata conservazione
    2. Rischio di trasferimento accidentale dei dati delle carte
    3. Importanza delle misure contro la manomissione o lo sfruttamento delle vulnerabilità
  6. Misure di protezione adottate dalle aziende di e-commerce contro le frodi con carta di credito
    1. Usare 3D Secure 2 per migliorare la verifica dell’identità
    2. Utilizzare servizi di rilevamento delle frodi per visualizzare i rischi
  7. In che modo Stripe Payments può essere d’aiuto
  8. Inizia a utilizzare Stripe 

Quando le attività di e-commerce iniziano ad accettare le carte di credito, la gestione sicura dei dati delle carte dei clienti rappresenta un problema centrale. Insieme agli sforzi per espandere l'adozione dei pagamenti senza contanti, il governo giapponese sta rafforzando la sicurezza dei pagamenti con lo sviluppo di una serie di linee guida che aiutano i venditori ad accettare le transazioni con carta in un ambiente sicuro.

In questo contesto, un numero crescente di attività sta adottando politiche e prassi per evitare la conservazione dei dati delle carte, evitando la gestione in prima persona. Questo approccio è diventato ampiamente riconosciuto come una delle salvaguardie che le vetrine digitali devono utilizzare.

Questo articolo spiega chiaramente i concetti fondamentali della mancata conservazione dei dati delle carte di credito, la sua importanza e le misure che le attività di e-commerce devono adottare per supportarla.

Contenuto dell'articolo

  • Cos'è la mancata conservazione dei dati delle carte di credito
  • Importanza della mancata conservazione dei dati delle carte di credito
  • Metodi per supportare la mancata conservazione dei dati delle carte di credito
  • Punti chiave per l'implementazione della mancata conservazione dei dati delle carte di credito
  • Misure di protezione adottate dalle aziende di e-commerce contro le frodi con carta di credito
  • In che modo Stripe Payments può essere d'aiuto

Cos'è la mancata conservazione dei dati delle carte di credito

Con l'espansione dei checkout senza contanti in Giappone, aumentano anche i rischi delle frodi con carta di credito e degli storni.

Un sondaggio della Japan Consumer Credit Association mostra che le perdite causate dalle frodi con carta di credito hanno raggiunto un livello record di circa 55,5 miliardi di yen nel 2024. Di conseguenza, attualmente le attività di e-commerce devono affrontare pressioni crescenti per adottare, anno dopo anno, protezioni sempre più sofisticate.

Il Ministero dell'Economia, del Commercio e dell'Industria (METI) ha stabilito alcune linee guida sulla sicurezza delle carte che impongono ai venditori digitali di aderire a una delle seguenti misure per proteggere i dati delle carte:

  • Conformità con le norme PCI DSS (Payment Card Industry Data Security Standard) per il settore delle carte di pagamento
  • Raggiungere la mancata conservazione

Il punto centrale è che la conformità alle norme PCI DSS grava significativamente sui sistemi, sulla struttura organizzativa e sul personale.

PCI DSS è uno standard rigoroso che comprende 12 specifiche e centinaia di requisiti specifici, come firewall, controllo dei log, crittografia e controllo degli accessi. Soddisfare tutti questi requisiti è estremamente difficile.

Proprio per questo motivo molte attività di e-commerce scelgono di esternalizzare l'elaborazione delle carte ad agenti di pagamento conformi alle norme PCI DSS, anziché cercare di soddisfare autonomamente i requisiti. Questo perché in tal modo evitano di gestire i dati delle carte per ottenere la mancata conservazione.

Condizioni per ottenere la mancata conservazione

La mancata conservazione dei dati delle carte di credito si riferisce al fatto che le attività di e-commerce non memorizzano i dati delle carte dei clienti nei propri server o nella propria infrastruttura. Tuttavia, il semplice fatto di evitare la conservazione di quei dati in un sito non è sufficiente per qualificare l'approccio come "senza conservazione".

Nello specifico, sono richieste tutte e tre le seguenti condizioni:

  • I dati delle carte non sono conservati
  • I dati delle carte non sono elaborati
  • I dati delle carte non sono trasmessi attraverso i server

In termini pratici, la configurazione deve trasmettere direttamente i dati della carta inseriti dall'utente a un elaboratore di pagamenti conforme alle norme PCI DSS, garantendo che i dati non passino mai attraverso i server del venditore di e-commerce.

Importanza della mancata conservazione dei dati delle carte di credito

I pagamenti senza contanti sono ora ampiamente accettati in Giappone per gli acquisti quotidiani e i servizi basati sul web, e la loro adozione è sempre più accelerata. In risposta a questi cambiamenti nell'ambiente di checkout, il METI ha mirato a raddoppiare la percentuale di pagamenti senza contanti per raggiungere il 40% circa entro giugno 2025. Nel 2024, la percentuale di pagamenti senza contanti è arrivata al 42,8% (141 mila miliardi di yen), consentendo al governo di raggiungere l'obiettivo prima del previsto.

In questo contesto, i pagamenti senza contanti e transazioni con carta di credito continueranno a espandersi. Tuttavia, la necessità di affrontare minacce come fughe di dati, frodi e storni cresce di pari passo con l'aumento dell'adozione.

Finché le carte di credito rimangono fondamentali per i pagamenti senza contanti, la protezione delle informazioni dei clienti diventa una preoccupazione più importante per i venditori digitali. Tra queste, la mancata conservazione, ovvero la possibilità di operare senza conservare o gestire i dati delle carte di credito nella propria organizzazione, rappresenta un approccio pratico che consente alle attività di continuare ad accettare con fiducia i pagamenti online.

Metodi per supportare la mancata conservazione dei dati delle carte di credito

Nell'implementare la mancata conservazione dei dati delle carta di credito, è fondamentale innanzitutto identificare correttamente se il flusso di pagamento della tua azienda è "passante" o "non passante".

Nel modello passante, i numeri delle carte di credito vengono instradati attraverso i server o le reti dell'azienda, con la possibilità di lasciare tracce di registrazione indesiderate in log, backup, strumenti di monitoraggio e sistemi simili. In questo caso, l'organizzazione si assume l'onere di memorizzare i dati delle carte e deve quindi rispettare lo standard PCI DSS.

Nel modello non passante, invece, poiché l'infrastruttura interna dell'azienda non tocca mai i dati delle carte, è possibile raggiungere lo stato di mancata conservazione perché l'attività di e-commerce in effetti non gestisce né conserva i dati. Molti venditori digitali scelgono il metodo non passante sia per ridurre l'onere della conformità PCI DSS sia, soprattutto, per ottenere un approccio senza conservazione.

Reindirizzamento dei pagamenti

Il rendirizzamento dei pagamenti, o pagamenti con link, è un metodo che indirizza gli acquirenti a una pagina esterna per completare il checkout. Affidando la stessa schermata di checkout all'elaboratore del pagamento, l'attività di e-commerce non deve memorizzare, elaborare o trasmettere i dati delle carte.

I pagamenti con link, cioè i pagamenti inviati tramite email o social media, rappresentano un altro tipo di checkout che basato su questo approccio. Tuttavia, sono stati segnalati attacchi che prendono di mira il front-end, compresi quelli che sovrascrivono l'URL di destinazione. Devono quindi essere implementate anche le misure di sicurezza di base, ad esempio la difesa antimanomissione dello schermo.

Tipo JavaScript

Nel tipo JavaScript (sistema token), il browser dell'acquirente converte le cifre della carta in un token e il venditore riceve solo quel token. Le cifre effettive vengono inviate direttamente all'elaboratore del pagamento, quindi l'attività di e-commerce non gestisce mai le informazioni stesse.

Il vantaggio principale risiede nella facilità di configurazione, che preserva il design esistente del sito. Detto questo, il rischio di perdite rimane in quanto i file JavaScript possono essere manomessi, rendendo indispensabile una solida gestione dei file, insieme a contromisure per la vulnerabilità.

Punti chiave per implementare la mancata conservazione dei dati delle carte di credito

Se implementano la mancata conservazione dei dati delle carte, le vetrine digitali possono garantire l'elaborazione dei pagamenti senza gestire i dati delle carte. Tuttavia, a seconda della configurazione e delle condizioni operative, potrebbe non essere possibile adottare un approccio senza conservazione. Esaminiamo quindi i punti chiave di una corretta implementazione della mancata conservazione.

La conformità a PCI DSS è obbligatoria quando non è possibile ottenere la mancata conservazione

Le attività spesso trattano erroneamente la mancata conservazione e la conformità a PCI DSS come scelte alternative che si escludono a vicenda. Per chiarezza, queste possono essere organizzate come mostriamo di seguito:

I dati delle carte di credito vengono conservati?

Requisito di conformità PCI DSS

Da non conservare

Non obbligatorio se le informazioni non vengono conservate

Da conservare

Obbligatorio

In altre parole, se la tua azienda non può ottenere la mancata conservazione, devi essere consapevole che ti dovrai sobbarcare l'intero onere dei requisiti PCI DSS. Ad esempio, se un numero di carta passa una sola volta attraverso i server o il circuito della tua azienda, si deduce che l'attività di e-commerce conserva i dati della carta. Deve quindi essere conforme a PCI DSS, lo standard globale dei marchi di carte di pagamento internazionali.

Come accennato in precedenza, lo standard PCI DSS richiede il rispetto di numerosi standard che coprono sia gli aspetti tecnici, sia quelli operativi, oltre alla supervisione continua, e crea uno stress significativo per le organizzazioni. Per questo motivo, molti venditori digitali stanno adottando opzioni non passanti e si stanno orientando verso un approccio senza conservazione, evitando del tutto la gestione interna dei dati delle carte.

Rischio di trasferimento accidentale dei dati delle carte

Quando si adotta un approccio non passante, i numeri delle carte possono rimanere nei log, nei backup, negli ambienti di test, negli strumenti di monitoraggio e in sistemi simili, a seconda del modo in cui li configurano i team. Quelle registrazioni temporanee potrebbero far ritenere che i dati delle carte siano stati trasmessi, nonostante l'attività ritenga di avere interrotto la conservazione delle informazioni.

Poiché talvolta avviene che, durante le impostazioni di test e debug, i controlli di funzionalità possano essere trasferiti così come sono nell'ambiente di produzione live, è necessario progettare l'infrastruttura in modo che i dati delle carte non vengano mai acquisiti dall'applicazione, dallo sviluppo alle operazioni quotidiane.

Importanza delle misure contro la manomissione o lo sfruttamento delle vulnerabilità

Quando si utilizzano sistemi non passanti, sono stati confermati casi di acquisizione illecita dei record delle carte violando lo stesso sito di e-commerce. Un JavaScript dannoso incorporato può essere attivato indipendentemente dalla struttura del sito e potrebbe derivare da qualsiasi metodo, quindi è necessaria la massima cautela.

Come contromisure, è importante implementare continuamente i protocolli di sicurezza fondamentali, tra cui il rilevamento della manomissione dei file, la gestione delle vulnerabilità, la rimozione delle autorizzazioni non necessarie, oltre ad aggiornamenti tempestivi di CMS e plugin.

Misure di protezione adottate dalle aziende di e-commerce contro le frodi con carta di credito

Anche se implementi un sistema che elimina la gestione dei dati delle carte all'interno della tua azienda evitandone l'archiviazione, la possibilità di frodi non scompare. Gli addebiti online sono soggetti a varie forme di uso improprio, tra cui l'appropriazione indebita dei dati delle carte, l'accesso ad alto rischio dall'estero, gli attacchi dei credit master e il furto di identità.

Usare 3D Secure 2 per migliorare la verifica dell'identità

3D Secure 2 è considerato un metodo efficace per rafforzare la verifica dell'identità nei pagamenti online. Consente la valutazione del rischio basata su informazioni relative al dispositivo, segnali comportamentali e dettagli delle transazioni, e richiede un'autenticazione aggiuntiva, ma solo per i casi ad alto rischio.

Questo supporta un approccio equilibrato che conserva la comodità per gli utenti legittimi ma affronta contemporaneamente i truffatori richiedendo un'autenticazione aggiuntiva.

Utilizzare servizi di rilevamento delle frodi per visualizzare i rischi

In combinazione con 3D Secure, puoi associare i servizi di rilevamento delle frodi come Stripe Radar. Gli strumenti di screening forniti dagli elaboratori di pagamento analizzano completamente altri fattori come indirizzi IP, dettagli del dispositivo, cronologia degli ordini e comportamento di acquisto, per assegnare un punteggio di rischio a ogni transazione.

Utilizzando questo tipo di strumenti, puoi identificare automaticamente i seguenti schemi di transazioni:

  • Attacchi di brute force da parte di credit master
  • Accesso ad alto rischio da indirizzi IP esteri o tramite VPN
  • Cambiamenti improvvisi degli importi, della frequenza o del comportamento
  • Tendenze delle frodi per Paese o area geografica

Con l'aumento dell'uso di carte emesse all'estero nell'e-commerce transfrontaliero, l'adozione e l'utilizzo di 3D Secure 2 e di altri servizi di rilevamento delle frodi possono contribuire a ridurre la possibilità di attività non autorizzate.

In che modo Stripe Payments può essere d'aiuto

Stripe Payments offre una soluzione di pagamento unificata e globale che aiuta qualsiasi attività, dalle start-up in fase di espansione alle multinazionali, ad accettare pagamenti online, di persona e in tutto il mondo.

Con Stripe Payments puoi:

  • Ottimizzare l'esperienza della procedura di pagamento: crea un'esperienza senza problemi per il cliente e risparmia migliaia di ore di progettazione con le interfacce utente predefinite, per accedere a oltre 125 metodi di pagamento e a Link, il wallet di Stripe.
  • Espanderti più rapidamente in nuovi mercati: raggiungi i clienti di tutto il mondo e riduci le complessità e i costi della gestione multivaluta con opzioni di pagamento transfrontaliere, disponibili in 195 Paesi e in più di 135 valute.
  • Unificare i pagamenti di persona e online: crea un'esperienza di commercio unificato su canali online e di persona per personalizzare le interazioni, premiare la fedeltà e aumentare i ricavi.
  • Migliorare le prestazioni dei pagamenti: aumenta i ricavi con una gamma di strumenti di pagamento personalizzabili e facili da configurare, tra cui protezione contro le frodi no-code e funzionalità avanzate per migliorare i tassi di autorizzazione.
  • Stare al passo con la rapidità operativa grazie a una piattaforma flessibile e affidabile per la crescita: sfrutta una piattaforma progettata per crescere insieme a te, con uno storico di operatività del 99,999% e un'affidabilità leader nel settore.

Scopri di più come Stripe Payments può supportare i tuoi pagamenti online e di persona oppure inizia oggi stesso.

I contenuti di questo articolo hanno uno scopo puramente informativo e formativo e non devono essere intesi come consulenza legale o fiscale. Stripe non garantisce l'accuratezza, la completezza, l'adeguatezza o l'attualità delle informazioni contenute nell'articolo. Per assistenza sulla tua situazione specifica, rivolgiti a un avvocato o a un commercialista competente e abilitato all'esercizio della professione nella tua giurisdizione.

Altri articoli

  • Sì è verificato un problema. Riprova o contatta l'assistenza di Stripe.

Tutto pronto per iniziare?

Crea un account e inizia ad accettare pagamenti senza la necessità di stipulare contratti o di comunicare le tue coordinate bancarie. In alternativa, contattaci per progettare un pacchetto personalizzato per la tua attività.
Payments

Payments

Accetta pagamenti online e di persona in tutto il mondo con una soluzione di pagamento sviluppata per qualsiasi tipo di attività.

Documentazione di Payments

Trova una guida per integrare le API per i pagamenti di Stripe.
Proxying: stripe.com/it-ch/resources/more/nonretention-credit-card-information-japan