Nu starten  Neem contact op 

Betalingen

Omzet

Geldbeheer

Platforms en marktplaatsen

Per fase
Per toepassing
Per branche
Documentatie
Whitepapers
Bronnen
Meer informatie
Support
Bedrijf
Nu starten  Neem contact op 

Wat is het niet bewaren van creditcardgegevens? Belang en maatregelen in Japan

Payments
Payments

Ontvang over de hele wereld online en fysieke betalingen met een betaaloplossing die past bij elke onderneming, van veelbelovende start-ups tot multinationals.

Meer informatie 
  1. Inleiding
  2. Wat is het niet bewaren van creditcardgegevens?
    1. Voorwaarden voor het bereiken van niet-opslag
  3. Het belang van het niet opslaan van creditcardgegevens
  4. Manieren om het niet bewaren van creditcardgegevens te ondersteunen
    1. Betalingen omleiden
    2. JavaScript-type
  5. Belangrijke punten bij het implementeren van het niet bewaren van creditcardgegevens
    1. PCI DSS-compliance is verplicht wanneer niet-opslag niet kan worden gerealiseerd
    2. Risico van onbedoelde doorvoer van kaartgegevens
    3. Het belang van maatregelen tegen manipulatie of misbruik van kwetsbaarheden
  6. Maatregelen tegen creditcardfraude die e-commercebedrijven moeten nemen
    1. Gebruik 3D Secure 2 om identiteitsverificatie te verbeteren
    2. Gebruik fraudedetectiediensten om risico’s te visualiseren
  7. Hoe Stripe Payments kan helpen
  8. Aan de slag met Stripe 

Als e-commercebedrijven creditcards gaan accepteren, is het veilig omgaan met de kaartgegevens van klanten een belangrijk punt. Naast het stimuleren van cashloos betalen, werkt de Japanse overheid aan het verbeteren van de betalingsveiligheid door richtlijnen te maken die verkopers helpen om kaarttransacties veilig te doen.

Tegen deze achtergrond voeren steeds meer bedrijven beleid en praktijken in om te voorkomen dat kaartgegevens worden bewaard door deze niet zelf te verwerken. Deze aanpak wordt algemeen erkend als een van de veiligheidsmaatregelen die digitale winkels moeten nemen.

Dit artikel legt op een duidelijke manier uit wat het betekent om creditcardgegevens niet op te slaan, waarom dit belangrijk is en welke stappen e-commercebedrijven moeten nemen om dit te doen.

Wat staat er in dit artikel?

  • Wat is het niet bewaren van creditcardgegevens?
  • Waarom is het belangrijk om geen creditcardgegevens te bewaren?
  • Manieren om het niet bewaren van creditcardgegevens te ondersteunen
  • Belangrijke punten bij het doorvoeren van het niet opslaan van creditcardgegevens
  • Maatregelen tegen creditcardfraude die e-commercebedrijven moeten nemen
  • Hoe Stripe Payments kan helpen

Wat is het niet bewaren van creditcardgegevens?

Nu cashloos afrekenen steeds populairder wordt in Japan, nemen ook de risico's van creditcardfraude en chargebacks toe.

Uit een onderzoek van de Japan Consumer Credit Association blijkt dat de verliezen door creditcardfraude in 2024 een recordhoogte van ongeveer 55,5 miljard yen hebben bereikt. Daardoor staan e-commercebedrijven steeds meer onder druk om elk jaar geavanceerdere beveiligingsmaatregelen te nemen.

Het Ministerie van Economie, Handel en Industrie (METI) heeft richtlijnen voor creditcardbeveiliging opgesteld die digitale verkopers verplichten om een van de volgende maatregelen te nemen om kaartgegevens te beschermen:

  • Naleving van de Payment Card Industry Data Security Standard (PCI DSS)
  • Niet-bewaring realiseren

Het belangrijkste punt hier is dat het voldoen aan PCI DSS een flinke belasting is voor systemen, de organisatie en het personeel.

PCI DSS is een strenge norm die bestaat uit 12 specificaties en honderden specifieke vereisten, zoals firewalls, logboekcontrole, encryptie en toegangscontrole. Het is zeer moeilijk om aan al deze vereisten te voldoen.

Dat is precies waarom veel e-commercebedrijven ervoor kiezen om hun kaartverwerking uit te besteden aan PCI DSS-conforme betalingsagenten, in plaats van zelf te proberen aan de vereisten te voldoen. Op die manier hoeven ze namelijk geen kaartgegevens te verwerken om te voldoen aan de vereisten inzake niet-opslag.

Voorwaarden voor het bereiken van niet-opslag

Het niet opslaan van creditcardgegevens betekent dat e-commercebedrijven de kaartgegevens van hun klanten niet op hun eigen servers of infrastructuur opslaan. Maar alleen het vermijden van het opslaan van deze gegevens op een site is niet genoeg om te zeggen dat er geen opslag plaatsvindt.

Meer specifiek moeten alle drie de volgende voorwaarden worden vervuld:

  • Bewaar geen kaartgegevens
  • Verwerk geen kaartgegevens
  • Stuur geen kaartgegevens via je eigen servers

In de praktijk moet de setup de door de gebruiker ingevoerde kaartgegevens rechtstreeks naar een PCI DSS-conforme betalingsverwerker sturen, zodat de gegevens nooit via de server van de e-commerceverkoper gaan.

Het belang van het niet opslaan van creditcardgegevens

Cashloze betalingen zijn in Japan helemaal normaal geworden voor dagelijkse boodschappen en online diensten, en het wordt steeds populairder. Als reactie op deze veranderingen in de betaalomgeving had het METI zich ten doel gesteld om het aandeel cashloze betalingen te verdubbelen tot ongeveer 40% in juni 2025. In 2024 was het aandeel cashloze betalingen gestegen tot 42,8% (141 biljoen yen), waardoor de regering haar doelstelling eerder dan gepland kon halen.

Tegen deze achtergrond zullen cashloze betalingen en creditcardtransacties blijven toenemen. Naarmate het gebruik toeneemt, groeit ook de noodzaak om bedreigingen zoals datalekken, fraude en chargebacks aan te pakken.

Zolang creditcards een centrale rol blijven spelen bij cashloze afrekenprocessen, wordt de bescherming van klantgegevens een steeds belangrijker aandachtspunt voor digitale verkopers. Een praktische aanpak hierbij is non-retention, oftewel het vermogen om te werken zonder creditcardgegevens binnen je organisatie op te slaan of te verwerken. Hierdoor kunnen bedrijven met een gerust hart online betalingen blijven accepteren.

Manieren om het niet bewaren van creditcardgegevens te ondersteunen

Als je wilt voorkomen dat creditcardgegevens worden opgeslagen, is het belangrijk om eerst goed te kijken of het betaalproces van je bedrijf 'pass-through' of 'non-pass-through' is.

In het pass-through-model worden creditcardnummers via de servers of netwerken van de onderneming doorgestuurd, waardoor de kans bestaat dat er onbedoelde sporen achterblijven in logbestanden, back-ups, monitoringtools en soortgelijke systemen. In dit geval neemt de organisatie de verantwoordelijkheid op zich voor het opslaan van kaartgegevens en moet zij daarom voldoen aan PCI DSS.

Aan de andere kant, in het non-pass-through-model, omdat de interne infrastructuur van het bedrijf nooit in aanraking komt met de kaartgegevens, kunnen ze de status van niet-opslag bereiken omdat het e-commercebedrijf de gegevens niet daadwerkelijk heeft verwerkt of bewaard. Veel digitale verkopers kiezen voor deze non-pass-through-methode om zowel de last van PCI DSS-compliance te verminderen als, bovenal, een status van geen opslag te bereiken.

Betalingen omleiden

Betalingen omleiden, of link-betalingen, is een manier om kopers naar een andere pagina te sturen om hun bestelling af te ronden. Door het afrekenproces aan de betalingsverwerker over te laten, hoeft de e-commerceonderneming geen kaartgegevens op te slaan, te verwerken of door te geven.

Betalen via link—betalingen die via e-mail of sociale media worden verstuurd—is een ander type afrekenen dat op deze aanpak is gebaseerd. Toch zijn er aanvallen gemeld die gericht zijn op de front-end, waaronder aanvallen waarbij de bestemmings-URL wordt herschreven. Daarom moeten ook basisbeveiligingsmaatregelen, zoals beveiliging tegen schermmanipulatie, worden getroffen.

JavaScript-type

Bij het JavaScript-type (tokensysteem) zet de browser van de koper de cijfers van de kaart om in een token, en de verkoper krijgt alleen dat token. De echte cijfers worden rechtstreeks naar de betalingsverwerker gestuurd, dus het e-commercebedrijf heeft nooit zelf die info in handen.

Het belangrijkste voordeel is dat het makkelijk te installeren is en dat het bestaande ontwerp van de site behouden blijft. Maar het risico op lekken blijft bestaan omdat JavaScript-bestanden kunnen worden gemanipuleerd, waardoor goed bestandsbeheer en maatregelen tegen kwetsbaarheden echt belangrijk zijn.

Belangrijke punten bij het implementeren van het niet bewaren van creditcardgegevens

Door het niet opslaan van kaartgegevens kunnen digitale winkels betalingen verwerken zonder zelf kaartgegevens te verwerken. Toch is het, afhankelijk van de instellingen en operationele omstandigheden, misschien niet mogelijk om een aanpak zonder opslag te realiseren. Laten we vervolgens de belangrijkste punten voor een goede implementatie van het niet opslaan bekijken.

PCI DSS-compliance is verplicht wanneer niet-opslag niet kan worden gerealiseerd

Bedrijven denken vaak ten onrechte dat niet-bewaring en PCI DSS-compliance elkaar uitsluiten, alsof het een 'of/of'-keuze is. Voor de duidelijkheid kunnen ze als volgt worden georganiseerd:

Wordt creditcardinformatie bewaard?

PCI DSS-compliancevereiste

Niet bewaren

Niet nodig als de info niet wordt bewaard

Moet worden bewaard

Vereist

Met andere woorden, als je bedrijf niet kan voorkomen dat gegevens worden opgeslagen, moet je er rekening mee houden dat je volledig verantwoordelijk bent voor het voldoen aan de PCI DSS-vereisten. Als een kaartnummer bijvoorbeeld één keer via de servers of het netwerk van je bedrijf loopt, wordt het e-commercebedrijf geacht kaartgegevens op te slaan. Het moet voldoen aan PCI DSS, de wereldwijde standaard van internationale kaartmerken.

Zoals eerder vermeld, vereist PCI DSS naleving van talrijke normen op zowel technisch als operationeel gebied, evenals voortdurend toezicht, wat een aanzienlijke belasting voor organisaties met zich meebrengt. Om deze reden kiezen veel digitale verkopers voor non-pass-through-opties en gaan ze over op een no-storage-aanpak door interne verwerking van kaartgegevens volledig te vermijden.

Risico van onbedoelde doorvoer van kaartgegevens

Bij een niet-doorstroombenadering kunnen kaartnummers in logboeken, back-ups, testomgevingen, monitoringtools en soortgelijke systemen achterblijven, afhankelijk van hoe teams dit instellen. Zulke tijdelijke records kunnen ertoe leiden dat wordt vastgesteld dat kaartgegevens zijn verzonden, ook al denkt het bedrijf dat het niet meer zijn informatie opslaat.

Omdat functionaliteitscontroles tijdens het testen en debuggen soms zonder aanpassingen naar de live productieomgeving worden overgezet, is het belangrijk om de infrastructuur zo te ontwerpen dat kaartgegevens nooit door de app worden verzameld, van ontwikkeling tot dagelijkse activiteiten.

Het belang van maatregelen tegen manipulatie of misbruik van kwetsbaarheden

Bij systemen die niet doorlaten, zijn er gevallen bekend waarin kaartgegevens illegaal zijn verkregen door manipulatie op de e-commercewebsite zelf. Ingebouwde kwaadaardige JavaScript kan ongeacht de structuur van de website voorkomen en op verschillende manieren ontstaan, dus voorzichtigheid is geboden.

Als tegenmaatregelen is het belangrijk om continu fundamentele beveiligingsprotocollen te implementeren, waaronder detectie van bestandsmanipulatie, kwetsbaarheidsbeheer, verwijdering van onnodige machtigingen en tijdige updates voor CMS en plug-ins.

Maatregelen tegen creditcardfraude die e-commercebedrijven moeten nemen

Zelfs als je een systeem hebt dat ervoor zorgt dat je binnen je eigen bedrijf geen kaartgegevens hoeft te bewaren, is de kans op fraude nog steeds aanwezig. Online betalingen kunnen op allerlei manieren misbruikt worden, zoals het stelen van kaartgegevens, risicovolle toegang vanuit het buitenland, credit master-aanvallen en identiteitsdiefstal.

Gebruik 3D Secure 2 om identiteitsverificatie te verbeteren

3D Secure 2 wordt gezien als een goede manier om identiteitsverificatie bij online betalingen te verbeteren. Het maakt risicobeoordeling mogelijk op basis van apparaatinformatie, gedragssignalen en transactiegegevens, en vraagt alleen om extra authenticatie bij gevallen met een hoog risico.

Dit zorgt voor een evenwichtige aanpak die het gemak voor legitieme gebruikers behoudt en tegelijkertijd fraudeurs aanpakt door extra authenticatie te eisen.

Gebruik fraudedetectiediensten om risico's te visualiseren

Je kunt fraudedetectiediensten zoals Stripe Radar gebruiken samen met 3D Secure. De screeningtools van betalingsverwerkers kijken naar dingen als IP-adressen, apparaatgegevens, bestelgeschiedenis en koopgedrag om een risicoscore te geven aan elke transactie.

Door dit soort tools te gebruiken, kun je automatisch de volgende transactiepatronen herkennen:

  • Brute-force-aanvallen op kredietgegevens
  • Risicovolle toegang vanaf buitenlandse IP-adressen of via VPN's
  • Plotselinge veranderingen in bedrag, frequentie of gedrag
  • Fraudetrends per land of regio

Nu het gebruik van in het buitenland uitgegeven kaarten toeneemt in grensoverschrijdende e-commerce, kan het gebruik van 3D Secure 2 en andere fraudedetectiediensten helpen om de kans op ongeoorloofde activiteiten te verminderen.

Hoe Stripe Payments kan helpen

Stripe Payments biedt een uniforme, wereldwijde betaaloplossing waarmee elke onderneming, van groeiende start-ups tot internationale ondernemingen, online, fysieke en overal ter wereld betalingen kan ontvangen.

Stripe Payments kan je helpen met:

  • Je afrekenervaring te optimaliseren: creëer een probleemloze klantervaring en bespaar duizenden technische uren met vooraf gebouwde betaalinterfaces, toegang tot 125+ betaalmethoden en Link, een wallet gebouwd door Stripe.
  • Sneller uit te breiden naar nieuwe markten: bereik klanten over de hele wereld en verminder de complexiteit en kosten van multivalutabeheer met grensoverschrijdende betaalopties, beschikbaar in 195 landen in 135+ valuta's.
  • Fysieke en online betalingen samen te voegen: bouw een unified commerce-ervaring op via online en fysieke kanalen om interacties te personaliseren, loyaliteit te belonen en inkomsten te laten groeien.
  • Het verbeteren van de betaalprestaties: verhoog inkomsten met een reeks aanpasbare, eenvoudig te configureren betaaltools, waaronder no code-fraudebescherming en geavanceerde mogelijkheden om autorisatiepercentages te verbeteren.
  • Sneller te werken met een flexibel, betrouwbaar platform voor groei: bouw voort op een platform dat is ontworpen om met jou mee te groeien, met een historische uptime van 99,999% en toonaangevende betrouwbaarheid.

Lees meer over hoe Stripe Payments je online en fysieke betalingen kan stimuleren, of ga er vandaag nog mee aan de slag.

De inhoud van dit artikel is uitsluitend bedoeld voor algemene informatieve en educatieve doeleinden en mag niet worden opgevat als juridisch of fiscaal advies. Stripe verklaart of garandeert niet dat de informatie in dit artikel nauwkeurig, volledig, adequaat of actueel is. Voor aanbevelingen voor jouw specifieke situatie moet je het advies inwinnen van een bekwame, in je rechtsgebied bevoegde advocaat of accountant.

Meer artikelen

  • Er is iets misgegaan. Probeer het opnieuw of neem contact op met support.

Klaar om aan de slag te gaan?

Maak een account en begin direct met het ontvangen van betalingen. Contracten of bankgegevens zijn niet vereist. Je kunt ook contact met ons opnemen om een pakket op maat voor je onderneming samen te stellen.
Payments

Payments

Ontvang over de hele wereld online en fysieke betalingen met een betaaloplossing die past bij elke onderneming.

Documentatie voor Payments

Vind een whitepaper over de integratie van de betaal-API's van Stripe.
Proxying: stripe.com/nl/resources/more/nonretention-credit-card-information-japan