Börja nu  Kontakta säljteamet 

Betalningar

Intäkter

Penninghantering

Plattformar och marknadsplatser

Efter fas
Efter användningsfall
Efter bransch
Dokumentation
Guider
Resurser
Lär dig
Support
Företag
Börja nu  Kontakta säljteamet 

Vad är icke-registrering av kreditkortsinformation? Betydelse och åtgärder i Japan

Payments
Payments

Ta emot betalningar online, i fysisk miljö och globalt med en betalningslösning som är skapad för alla typer av företag – från växande startup-företag till globala storföretag.

Läs mer 
  1. Introduktion
  2. Vad är icke-registrering av kreditkortsinformation?
    1. Villkor för att uppnå icke-registrering
  3. Vikten av att inte spara kreditkortsinformation
  4. Metoder för att förhindra lagring av kreditkortsinformation
    1. Omdirigerade betalningar
    2. JavaScript-typ
  5. Viktiga punkter när kreditkortsinformation inte lagras
    1. PCI DSS-efterlevnad är obligatorisk när icke-registrering inte kan uppnås
    2. Risk för oavsiktlig genomströmning av kortuppgifter
    3. Betydelsen av motåtgärder mot manipulering eller utnyttjande av sårbarheter
  6. Åtgärder e-handelsföretag måste vidta för skydd mot kreditkortsbedrägeri
    1. Använd 3D Secure 2 för att förbättra identitetsverifieringen
    2. Använd tjänster för identifiering av bedrägerier för att visualisera risker
  7. Så kan Stripe Payments hjälpa till
  8. Kom igång med Stripe 

När e-handelsföretag börjar ta emot kreditkort är säker hantering av kundernas kortuppgifter en kärnfråga. Utöver arbetet med att utöka kontantfri användning stärker den japanska regeringen betalningssäkerheten genom att utveckla en rad riktlinjer för att hjälpa säljare att ta emot korttransaktioner i en säker miljö.

Mot denna bakgrund antar allt fler företag policyer och metoder för att undvika att kortinformation lagras genom att inte själva hantera dem. Detta tillvägagångssätt har blivit allmänt erkänt som ett av de skydd som digitala skyltfönster måste använda.

I den här artikeln förklaras tydligt de grundläggande begreppen för att icke-registrering av kreditkortsdata, dess betydelse och de åtgärder som e-handelsföretag måste vidta för att stötta det.

Vad innehåller den här artikeln?

  • Vad är icke-registrering av kreditkortsinformation?
  • Vikten av att inte lagra kreditkortsinformation
  • Metoder för att stötta icke-registrering av kreditkortsinformation
  • Viktiga punkter när man implementerar icke-registrering av kreditkortsinformation
  • Åtgärder e-handelsföretag måste vidta för skydd mot kreditkortsbedrägeri
  • Så kan Stripe Payments hjälpa till

Vad är icke-registrering av kreditkortsinformation?

I takt med att kontantfria kassor expanderar i Japan ökar också riskerna för bedrägerier med kreditkort och återkrediteringar.

En undersökning från Japans konsumentkreditsamfund visar att förlusterna på grund av bedrägerier med kreditkort uppgick till rekordhöga 55,5 miljarder JPY 2024. Till följd av detta ställs e-handelsföretag nu inför en växande press på att införa allt mer sofistikerade skydd år efter år.

Ministeriet för ekonomi, handel och industri (METI) har fastställt riktlinjer för kreditkortssäkerhet som kräver att digitala säljare följer något av följande som en del av sina åtgärder för att skydda kortinformation:

  • Överensstämmelse med Payment Card Industry Data Security Standard (PCI DSS)
  • Uppnå icke-registrering

Den centrala punkten här är att efterlevnad av PCI DSS innebär en betydande börda för system, organisationsstruktur och personal.

PCI DSS är en strikt standard som omfattar 12 specifikationer och hundratals specifika krav, till exempel brandväggar, loggranskning, kryptering och åtkomstkontroll. Det är extremt svårt att uppfylla dem alla.

Det är just därför som många e-handelsföretag väljer att outsourca sin korthantering till PCI DSS-kompatibla betalningsombud, istället för att på egen hand försöka uppfylla kraven. På så sätt kan de undvika att hantera kortinformation för att slippa spara dem.

Villkor för att uppnå icke-registrering

Icke-registrering av kreditkortsuppgifter avser e-handelsföretag som inte lagrar sina kunders kortinformation på sina egna servrar eller infrastrukturer. Det räcker dock inte att bara undvika att lagra dessa uppgifter på en webbplats för att vara en icke-registrerande metod.

Mer specifikt krävs samtliga av följande villkor:

  • Spara inte kortinformation
  • Behandla inte kortinformation
  • Skicka inte kortinformation via dina egna servrar

Rent praktiskt måste konfigurationen överföra den kortinformation som användaren anger direkt till en PCI DSS-kompatibel betalleverantör, vilket säkerställer att data aldrig passerar genom e-handelssäljarens server.

Vikten av att inte spara kreditkortsinformation

Kontantfria betalningar har blivit väl accepterade i Japan för vardagsshopping och webbaserade tjänster, och implementeringen fortsätter att ta fart. Som svar på dessa förändringar i kassamiljön hade METI som mål att fördubbla den kontantfria kvoten till cirka 40 % i juni 2025. År 2024 hade den kontantfria kvoten stigit till 42,8 % (141 biljoner JPY), vilket gjorde att regeringen uppnådde sitt mål i förtid.

Mot denna bakgrund kommer kontantfria betalningar och transaktioner med kreditkort fortsätta att öka. Behovet av att hantera hot som dataläckor, bedrägerier och återkrediteringar ökar i takt med att användningen ökar.

Så länge kreditkort är centrala i kontantfria kassor blir skyddet av kundernas information ett allt större problem för digitala säljare. Bland dessa är icke-registrering, dvs. möjligheten att verka utan att behålla eller hantera kreditkortsinformation inom din organisation. Det är en praktisk metod som gör att företag kan fortsätta ta emot onlinebetalningar på ett säkert sätt.

Metoder för att förhindra lagring av kreditkortsinformation

När du implementerar icke-registrering av kreditkortsinformation är det viktigt att först korrekt identifiera om ditt företags betalningsflöde är ”genomströmmande” eller ”icke-genomströmmande”.

I genomströmningsmodellen dirigeras kreditkortens nummer via företagets servrar eller nätverk, vilket skapar en risk för oavsiktliga spårningsförsök i loggar, säkerhetskopior, övervakningsverktyg och liknande system. I det här fallet antar organisationen positionen där kortdata lagras och måste därför uppfylla PCI DSS.

Å andra sidan, i modellen med icke-genomströmning, eftersom företagets interna infrastruktur aldrig rör kortinformation, kan de uppnå statusen icke-registrerande eftersom e-handelsföretaget faktiskt inte har hanterat eller sparat några uppgifter. Många digitala säljare väljer metoden med icke-genomströmning för att både minska belastningen av PCI DSS-efterlevnad och, framför allt, få statusen som icke-registrerande.

Omdirigerade betalningar

Omdirigerade betalningar, eller länkbetalningar, är en metod som dirigerar köpare till en extern sida för att slutföra kassaprocessen. Genom att anförtro själva kassaskärmen till betalleverantören behöver e-handelsföretaget inte lagra, behandla eller överföra kortinformation.

Betalning via länk – betalningar som skickas via e-post eller sociala medier – är en annan kassatyp som använder denna metod. Trots detta har attacker som riktar sig mot frontend, inklusive de som skriver om destinationens URL, rapporterats. Grundläggande säkerhetsåtgärder, som skärmmanipulationsförsvar, måste också införas.

JavaScript-typ

I JavaScript-typen (tokensystem) omvandlar köparens webbläsare kortets siffror till en token, och säljaren får just denna token. De faktiska siffrorna skickas direkt till betalleverantören, så e-handelsföretaget hanterar aldrig informationen själv.

Den största fördelen ligger i att den är enkel att konfigurera samtidigt som webbplatsens befintliga design bibehålls. Risken för läckor kvarstår dock eftersom JavaScript-filer kan manipuleras, vilket gör robust filhantering och sårbarhetsåtgärder oumbärliga.

Viktiga punkter när kreditkortsinformation inte lagras

Genom att implementera icke-registrering av kortuppgifter kan digitala skyltfönster behandla betalningar utan att själva hantera kortinformation. Beroende på konfiguration och operativa förhållanden kanske det ändå inte går att uppnå en metod utan lagring av kortuppgifter. Låt oss nu granska de viktigaste punkterna för en korrekt implementering av icke-registrering.

PCI DSS-efterlevnad är obligatorisk när icke-registrering inte kan uppnås

Företag misstar ofta icke-registrering och efterlevnad av PCI DSS som ”antingen/eller”. För tydlighetens skull kan de organiseras på följande sätt:

Sparas kort- och kreditkortsuppgifter?

Krav på PCI DSS-efterlevnad

Registrera inte

Krävs inte om informationen inte sparas

Måste registreras

Obligatoriskt

Med andra ord, om ditt företag inte kan uppnå icke-registrering måste du vara medveten om att du kommer att bära hela bördan av PCI DSS-kraven. Om ett kortnummer till exempel passerar genom ditt företags servrar eller nätverk vid ett enda tillfälle, anses e-handelsföretaget spara kortinformation. Det måste uppfylla PCI DSS, den globala standarden för internationella kortmärken.

Som tidigare nämnts kräver PCI DSS efterlevnad av många standarder som täcker både tekniska och operativa aspekter, samt löpande tillsyn, vilket skapar en betydande belastning för organisationer. Av denna anledning använder många digitala säljare alternativet med icke-genomströmning och går mot en lagringsfri strategi genom att undvika intern hantering av kort helt och hållet.

Risk för oavsiktlig genomströmning av kortuppgifter

När man använder en metod med icke-genomströmning kan kort finnas kvar i loggar, säkerhetskopior, testmiljöer, övervakningsverktyg och liknande system, beroende på hur teamen konfigurerar dem. Sådana tillfälliga registreringar kan leda till att man fastställer att kortuppgifter har överförts, trots att företaget tror att det har upphört att lagra informationen.

Eftersom funktionalitetskontroller under testning och felsökningsinställningar ibland kan överföras i befintligt skick till live-produktionsmiljön är det nödvändigt att utforma infrastrukturen så att kortinformation aldrig erhålls av appen, från utvecklingsstadiet till daglig drift.

Betydelsen av motåtgärder mot manipulering eller utnyttjande av sårbarheter

När system för icke-genomströmning används har det bekräftats att kort registrerats olagligt genom manipulering på själva e-handelswebbplatsen. Inbäddade skadliga JavaScript kan uppstå oavsett webbplatsstruktur och kan uppstå via alla metoder, så försiktighet är nödvändig.

Som motåtgärder är det viktigt att kontinuerligt implementera grundläggande säkerhetsprotokoll, inklusive identifiering av filmanipulering, sårbarhetshantering, borttagning av onödiga behörigheter och punktliga uppdateringar för CMS och insticksprogram.

Åtgärder e-handelsföretag måste vidta för skydd mot kreditkortsbedrägeri

Om du implementerar ett system som eliminerar hanteringen av kortuppgifter inom ditt eget företag genom att inte spara dem försvinner inte risken för bedrägerier. Onlinedebiteringar är mottagliga för olika former av missbruk, inklusive obehörig stöld av kortdata, högriskåtkomst från utlandet, kreditmästarattacker och identitetsstöld.

Använd 3D Secure 2 för att förbättra identitetsverifieringen

3D Secure 2 anses vara ett effektivt sätt att stärka identitetsverifieringen för onlinebetalningar. Det möjliggör riskbedömning baserad på enhetsinformation, beteendesignaler och transaktionsinformation, och kommer att kräva ytterligare autentisering enbart för högriskfall.

Detta stöder ett balanserat tillvägagångssätt som upprätthåller bekvämligheten för legitima användare samtidigt som bedrägliga aktörer hanteras genom att kräva ytterligare autentisering.

Använd tjänster för identifiering av bedrägerier för att visualisera risker

Du kan kombinera tjänster för identifiering av bedrägerier som Stripe Radar i kombination med 3D Secure. Betalningsleverantörernas screeningverktyg analyserar mängder av faktorer som IP-adresser, enhetsuppgifter, beställningshistorik och köpbeteende för att tilldela en riskpoäng till varje transaktion.

Genom att använda den här typen av verktyg kan du automatiskt identifiera följande transaktionsmönster:

  • Brute force-attacker med kreditmästare
  • Högriskåtkomst från utländska IP-adresser eller via VPN
  • Plötsliga förändringar i belopp, frekvens eller beteende
  • Trender för bedrägerier efter land eller region

I takt med att användningen av kort utfärdade utomlands ökar inom gränsöverskridande e-handel kan användning av 3D Secure 2 och andra tjänster för att upptäcka bedrägerier bidra till att minska risken för obehörig aktivitet.

Så kan Stripe Payments hjälpa till

Stripe Payments erbjuder en enhetlig, global betalningslösning som hjälper alla företag – från växande startupföretag till globala företag – att ta emot betalningar online, fysiskt och runt om i världen.

Det här kan Stripe Payments hjälpa till med:

  • Optimera kassaupplevelsen: Skapa en friktionsfri kundupplevelse och spara tusentals arbetstimmar med färdiga betalningsgränssnitt, tillgång till över 125 betalningsmetoder och Link, en plånbok skapad av Stripe.
  • Expandera till nya marknader snabbare: Nå kunder över hela världen och minska komplexiteten och kostnaderna för hantering av flera valutor med gränsöverskridande betalningsalternativ, tillgängliga i 195 länder och för över 135 valutor.
  • Göra betalningar både fysiskt och online till en enhetlig upplevelse: Bygg en enhetlig köpupplevelse i digitala och fysiska kanaler för att personanpassa interaktioner, belöna lojalitet och öka intäkterna.
  • Förbättrad betalningsprestanda: Öka intäkterna med en rad anpassningsbara, lättkonfigurerade betalningsverktyg, inklusive kodfritt skydd mot bedrägeri och avancerade funktioner som förbättrar auktoriseringstiderna.
  • Snabbare utveckling med en flexibel och pålitlig plattform för tillväxt: Bygg vidare på en plattform som är utformad för att skala upp med dig, med historisk upptid på 99,999 % och branschledande tillförlitlighet.

Läs mer om hur Stripe Payments kan underlätta dina betalningar online och i fysisk miljö, eller börja idag.

Innehållet i den här artikeln är endast avsett för allmän information och utbildningsändamål och ska inte tolkas som juridisk eller skatterelaterad rådgivning. Stripe garanterar inte att informationen i artikeln är korrekt, fullständig, adekvat eller aktuell. Du bör söka råd från en kompetent advokat eller revisor som är licensierad att praktisera i din jurisdiktion för råd om din specifika situation.

Fler artiklar

  • Ett fel har inträffat. Försök igen eller kontakta supporten.

Är du redo att sätta i gång?

Skapa ett konto och börja ta emot betalningar – inga avtal eller bankuppgifter behövs – eller kontakta oss för att ta fram ett specialanpassat paket för ditt företag.
Payments

Payments

Ta emot betalningar online, i fysisk miljö och globalt med en betalningslösning som är skapad för alla typer av företag.

Dokumentation om Payments

Hitta en guide för hur du integrerar Stripes betalnings-API:er.
Proxying: stripe.com/se/resources/more/nonretention-credit-card-information-japan