Comece agora  Fale com a equipe de vendas 

Pagamentos

Receita​

Gerenciamento de dinheiro

Plataformas e marketplaces

Por estágio
Por caso de uso
Por setor
Documentação
Guias
Recursos
Aprenda
Suporte​
Empresa
Comece agora  Fale com a equipe 

O que é a não retenção de informações de cartão de crédito? Importância e medidas no Japão

Payments
Payments

Aceite pagamentos online, presenciais e de qualquer lugar do mundo com uma solução desenvolvida para todos os tipos de negócios, de startups em crescimento a grandes multinacionais.

Saiba mais 
  1. Introdução
  2. O que é a não retenção de informações de cartão de crédito?
    1. Condições para alcançar a não retenção
  3. A importância de não reter informações de cartão de crédito
  4. Métodos para apoiar a não retenção de informações de cartão de crédito
    1. Redirecionar pagamentos
    2. Tipo de JavaScript
  5. Pontos-chave na implementação da não retenção de informações de cartão de crédito
    1. A conformidade com PCI DSS é obrigatória quando a não retenção não pode ser alcançada
    2. Risco de passagem acidental de informações de cartão
    3. Importância das contramedidas contra adulterações ou explorações de vulnerabilidades
  6. Medidas de proteção contra fraudes de cartão de crédito que as empresas de e-commerce precisam tomar
    1. Use o 3D Secure 2 para melhorar a verificação de identidade
    2. Utilize serviços de detecção de fraude para visualizar riscos
  7. Como o Stripe Payments pode ajudar
  8. Comece já com a Stripe 

Quando as empresas de e-commerce começam a aceitar cartões de crédito, o gerenciamento seguro dos dados dos cartão dos cliente é uma questão fundamental. Além dos esforços para expandir a adoção cashless, o governo japonês está fortalecendo a segurança dos pagamento desenvolvendo uma série de diretrizes para ajudar os vendedores a aceitar transações com cartão em um ambiente seguro.

Nesse contexto, um número crescente de empresas está adotando políticas e práticas para evitar a retenção de dados do cartão ao não tratar esses dados sozinhas, uma abordagem que se tornou amplamente reconhecida como uma das salvaguardas que as lojas digitais precisam usar.

Neste artigo vamos explicar claramente os conceitos fundamentais da não retenção de dados de cartão de crédito, sua importância e as medidas que as empresas de e-commerce precisam tomar para aceitar essa prática.

O que vamos abordar neste artigo?

  • O que é a não retenção de informações de cartão de crédito?
  • A importância de não reter informações de cartão de crédito
  • Métodos para apoiar a não retenção de informações de cartão de crédito
  • Pontos-chave ao implementar a não retenção de informações de cartão de crédito
  • Medidas de proteção contra fraudes de cartão de crédito que as empresas de e-commerce precisam tomar
  • Como o Stripe Payments pode ajudar

O que é a não retenção de informações de cartão de crédito?

Com a expansão do checkout cashless no Japão, os riscos de fraudes e estornos de cartão de crédito também aumentam.

Uma pesquisa da Japan Consumer Credit Association mostra que as perdas por fraudes em cartões de crédito atingiram um recorde de aproximadamente ¥ 55,5 bilhões em 2024. Como resultado, as empresas de e-commerce enfrentam uma pressão crescente para adotar proteções cada vez mais sofisticadas ano após ano.

O Ministério da Economia, Comércio e Indústria (METI) estabeleceu as Diretrizes de Segurança de Cartão de Crédito que exigem que os vendedores digitais cumpram um dos seguintes requisitos como parte de suas medidas para proteger as informações de cartão:

  • Conformidade com o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS)
  • Obter a não retenção

O ponto central aqui é que a conformidade com o PCI DSS impõe um fardo significativo nos sistemas, estrutura organizacional e pessoal.

O PCI DSS é um padrão rigoroso que inclui 12 especificações e centenas de requisitos específicos, como firewalls, auditoria de logs, criptografia e controle de acesso.

É precisamente por isso que muitas empresas de e-commerce optam por terceirizar seu processamento de cartão para agentes de pagamento compatíveis com PCI DSS, em vez de tentar atender aos requisitos por conta própria. Isso porque, ao fazer isso, eles evitam o manuseio de informações de cartão de crédito para obter a não retenção.

Condições para alcançar a não retenção

A não retenção de dados de cartão de crédito refere-se a empresas de e-commerce que não armazenam informações de cartão de seus clientes em seus próprios servidores ou infraestrutura. No entanto, simplesmente evitar o armazenamento desses registros dentro de um site é insuficiente para se qualificar como uma abordagem sem armazenamento.

Mais especificamente, todas as três condições a seguir são necessárias:

  • Não guardar as informações do cartão
  • Não processar dados de cartão
  • Não processar informações de cartão através de seus próprios servidores

Em termos práticos, a configuração deve transmitir os dados do cartão inseridos pelo usuário diretamente para um processador de pagamentos compatível com PCI DSS, garantindo que os dados nunca passem pelo servidor do vendedor de e-commerce.

A importância de não reter informações de cartão de crédito

Pagamentos cashless tornaram-se bem aceitos no Japão para compras diárias e serviços estabelecidos na web, e a adoção continua ganhando impulso. Em resposta a essas mudanças no ambiente de checkout, a METI tinha o objetivo de dobrar a taxa de isenção de dinheiro para chegar a cerca de 40% até junho de 2025. Até 2024, a taxa de isenção de dinheiro tinha subido para 42,8% (141 trilhões de ienes), permitindo que o governo atinja sua meta antecipadamente.

Nesse contexto, os pagamentos cashless e as transações com cartão de crédito continuarão a se expandir e a necessidade de lidar com ameaças como vazamentos de dados, fraudes e estornos cresceu em conjunto com o aumento da adoção.

Enquanto os cartões de crédito permanecem fundamentais para os checkouts cashless, a proteção das informações dos clientes se torna uma preocupação mais notável para os vendedores digitais. Entre eles, a não retenção, que é a capacidade de operar sem reter ou lidar com dados do cartão de crédito dentro da sua organização, é uma abordagem prática que permite que as empresas continuem aceitando pagamentos online com confiança.

Métodos para apoiar a não retenção de informações de cartão de crédito

Ao implementar a não retenção de informações de cartão de crédito, é fundamental primeiro identificar corretamente se o fluxo de pagamento da sua empresa é "passável" ou "não-passável".

No modelo "passável", os números de cartão de crédito são direcionados através dos servidores ou redes da empresa, criando a possibilidade de rastreamentos de registros não intencionais em logs, backups, ferramentas de monitoramento e sistemas similares. Neste caso, a organização assume a posição de armazenar dados de cartão e, portanto, tem que atender ao PCI DSS.

Por outro lado, no modelo "não-passável", como a infraestrutura interna da empresa nunca toca as informações do cartão, eles conseguem alcançar o status de não retenção porque a empresa de e-commerce realmente não lidou ou manteve seus detalhes. Muitos vendedores digitais escolhem esse método "não-passável" para reduzir a carga de conformidade PCI DSS e, acima de tudo, alcançar um status de abordagem sem armazenamento.

Redirecionar pagamentos

Redirecionar pagamentos, ou vincular pagamentos, é um método que direciona os compradores para uma página externa para concluir o checkout. Ao confiar a própria tela do checkout ao processador de pagamentos, a empresa de e-commerce não precisa armazenar, processar ou transmitir informações de cartão.

Pagamentos por link, pagamentos enviados por e-mail ou redes sociais, são outro tipo de checkout que depende dessa abordagem. Ainda assim, ataques direcionados ao front-end, incluindo aqueles que reescrevem o URL de destino, foram relatados. Medidas básicas de segurança, como proteções de bloqueio de tela, também devem ser implementadas.

Tipo de JavaScript

No tipo de JavaScript (sistema de token), o navegador do comprador converte os dígitos do cartão em um token, e o vendedor recebe apenas esse token. Os dígitos reais são enviados diretamente ao processador de pagamentos, de modo que a empresa de e-commerce nunca lida com a informação em si.

A principal vantagem é a facilidade de configuração, preservando o design atual do site. No entanto, o risco de vazamentos permanece porque os arquivos JavaScript podem ser adulterados, tornando o gerenciamento robusto de arquivos e as contramedidas de vulnerabilidade indispensáveis.

Pontos-chave na implementação da não retenção de informações de cartão de crédito

Ao implementar a não retenção de dados de cartões, as lojas digitais podem fornecer processamento de pagamentos sem lidar com os detalhes dos cartões. Ainda assim, dependendo da configuração e das condições operacionais, pode não ser possível adotar uma abordagem sem armazenamento. A seguir, vamos revisar os pontos-chave para uma implementação adequada da não retenção.

A conformidade com PCI DSS é obrigatória quando a não retenção não pode ser alcançada

Muitas vezes, as empresas consideram erroneamente a não retenção e a conformidade com o PCI DSS como escolhas mutuamente exclusivas. Para maior clareza, elas podem ser organizadas conforme mostrado abaixo:

As informações do cartão de crédito são retidas?

Requisitos de conformidade com PCI DSS

Não reter

Não é necessário se as informações não forem retidas

Deve ser retida

Obrigatório

Em outras palavras, se a sua empresa não conseguir obter a não retenção, você precisa estar ciente de que arcará com todos os requisitos do PCI DSS. Por exemplo, se um número de cartão passar pelos servidores ou rede da sua empresa uma única vez, a empresa de e-commerce é considerada como retentora das informações de cartão. Ela deve atender ao PCI DSS, o padrão global de marcas de cartão internacionais.

Como mencionado anteriormente, o PCI DSS exige a adesão a inúmeros padrões que abrangem aspectos técnicos e operacionais, bem como a supervisão contínua, criando uma pressão significativa para organizações. Por esta razão, muitos vendedores digitais estão adotando opções de não-passáveis e migrando para uma abordagem sem armazenamento, evitando o tratamento interno de dados de cartão.

Risco de passagem acidental de informações de cartão

Ao adotar uma abordagem não-passável, os números de cartão podem permanecer em logs, backups, ambientes de teste, ferramentas de monitoramento e sistemas similares, dependendo de como as equipes o configuram. Esses registros temporários podem levar a uma determinação de que os dados do cartão foram transmitidos, apesar da empresa acreditar que deixou de armazenar suas informações.

Como as verificações de funções durante os testes e as configurações de depuração às vezes podem ser transferidas como estão para o ambiente de produção, é necessário projetar a infraestrutura para que os dados do cartão nunca sejam adquiridos pelo aplicativo, desde o desenvolvimento até as operações diárias.

Importância das contramedidas contra adulterações ou explorações de vulnerabilidades

Quando sistemas de não-passáveis são empregados, há casos confirmados de registros de cartão que foram obtidos ilicitamente por meio de adulteração no próprio site de e-commerce. O JavaScript malicioso incorporado pode ocorrer independentemente da estrutura do site e pode surgir por qualquer método, por isso é necessário ter cuidado.

Como contramedida, é importante implementar continuamente protocolos de segurança fundamentais, incluindo detecção de adulteração de arquivos, gerenciamento de vulnerabilidades, remoção de permissões desnecessárias e atualizações oportunas para CMS e plugins.

Medidas de proteção contra fraudes de cartão de crédito que as empresas de e-commerce precisam tomar

Se você implementar um sistema que elimine o tratamento de informações de cartão dentro da sua própria empresa por meio da não retenção, a chance de fraude não desaparece. As cobranças online são suscetíveis a várias formas de uso indevido, incluindo roubo não autorizado de dados de cartão, acesso de alto risco do exterior, ataques de crédito mestre e roubo de identidade.

Use o 3D Secure 2 para melhorar a verificação de identidade

O 3D Secure 2 é considerado uma forma eficaz de reforçar a verificação de identidade para pagamentos online, permitindo uma avaliação de risco estabelecida nas informações do dispositivo, sinais comportamentais e detalhes da transação, e exigirá autenticação adicional exclusivamente para casos de alta ameaça.

Isso apoia uma abordagem equilibrada que mantém a conveniência para usuários legítimos e, ao mesmo tempo, combate os fraudadores, exigindo autenticação adicional.

Utilize serviços de detecção de fraude para visualizar riscos

Você pode combinar serviços de detecção de fraude como o Stripe Radar com o 3D Secure. As ferramentas de triagem fornecidas pelos processadores de pagamento analisam detalhadamente fatores como endereços IP, detalhes do dispositivo, histórico de pedidos e comportamento de compra para atribuir uma pontuação de risco a cada transação.

Usando esses tipos de ferramentas, você pode identificar automaticamente os seguintes padrões de transação:

  • Ataques de força bruta de crédito mestre
  • Acesso de alto risco de endereços IP no exterior ou por VPN
  • Mudanças repentinas de valor, frequência ou comportamento
  • Tendências de fraude por país ou região

À medida que o uso de cartões emitidos no exterior aumenta no e-commerce internacional, a adoção e o uso do 3D Secure 2 e de outros serviços de detecção de fraudes podem ajudar a reduzir a probabilidade de atividades não autorizadas.

Como o Stripe Payments pode ajudar

O Stripe Payments oferece uma solução global e unificada de pagamentos que ajuda qualquer empresa, desde startups em crescimento até grandes corporações, a aceitar pagamentos online, presencialmente e em qualquer lugar do mundo.

O Stripe Payments pode ajudar você a:

  • Otimizar a experiência de checkout: crie uma experiência de pagamento fluida para o cliente, economizando milhares de horas de desenvolvimento com interfaces de pagamento prontas, acesso a mais de 125 formas de pagamento e o Link, uma carteira digital criada pela Stripe.
  • Expandir para novos mercados com mais rapidez: alcance clientes em todo o mundo e reduza a complexidade e o custo da gestão de múltiplas moedas com opções de pagamento internacionais, disponíveis em 195 países e mais de 135 moedas.
  • Unificar pagamentos presenciais e online: crie uma experiência de comércio unificada em canais online e presenciais para personalizar interações, recompensar a fidelidade e aumentar a receita
  • Melhorar o desempenho dos pagamentos: aumente a receita com ferramentas configuráveis, proteção contra fraudes no-code e recursos avançados que elevam as taxas de autorização.
  • Crescer com uma plataforma flexível e confiável: opere sobre uma infraestrutura projetada para escalar, com 99,999% de disponibilidade histórica e alta confiabilidade.

Saiba mais sobre como o Stripe Payments pode potencializar seus pagamentos online e presenciais ou comece já.

O conteúdo deste artigo é apenas para fins gerais de informação e educação e não deve ser interpretado como aconselhamento jurídico ou tributário. A Stripe não garante a exatidão, integridade, adequação ou atualidade das informações contidas no artigo. Você deve procurar a ajuda de um advogado competente ou contador licenciado para atuar em sua jurisdição para aconselhamento sobre sua situação particular.

Mais artigos

  • Algo deu errado. Tente novamente ou entre em contato com o suporte.

Vamos começar?

Crie uma conta e comece a aceitar pagamentos sem precisar de contratos nem dados bancários, ou fale conosco para criar um pacote personalizado para sua empresa.
Payments

Payments

Aceite pagamentos online, presenciais e em todo o mundo com uma solução desenvolvida para todos os tipos de empresas.

Documentação do Payments

Encontre guias sobre como integrar as APIs de pagamento da Stripe.
Proxying: stripe.com/pt-pt/resources/more/nonretention-credit-card-information-japan