Wenn Sie eine Kartenzahlung mit 3D Secure 2 (3DS2) authentifizieren, erhebt Stripe über Stripe.js und die SDKs für iOS und Android bestimmte Informationen über das Gerät des/der Kunden/Kundin. Diese Informationen werden – wie im 3DS2-Protokoll vorgeschrieben – an das Kartennetzwerk und die ausstellende Bank weitergegeben, damit diese wiederholte Zahlungen von demselben Gerät erkennen und das Gesamtrisiko der Transaktion einschätzen können.
Während das 3DS2-Protokoll über 150 Datenelemente abfragt, schützt Stripe die Privatsphäre der Nutzer/innen, indem es nur eine Handvoll Elemente erhebt: Kern-IDs und Umgebungsinformationen, die unserer Meinung nach für die Risikoanalyse der ausstellenden Bank ausreichend sind.
Im Internet erhebt Stripe.js die folgenden Informationen vom Browser:
IP-Adresse
Nutzer-Agent
Browser-Sprache
System-Zeitzone
Bildschirmmaße und Farbtiefe
Im Rahmen des durch 3DS2 eingeführten Fingerprinting-Schritts öffnet Stripe.js unter Umständen ein verborgenes iFrame für die ausstellende Bank, damit diese ihre eigenen proprietären Fingerprinting-Skripte ausführen kann. (Uns ist bewusst, dass dieser Ansatz des Fingerprinting mit der Umsetzung der doppelt verschlüsselten Speicherung in Browsern unwirksam werden wird. Wir werden gemeinsam mit der W3C und den Kartennetzwerken eine Alternative zu entwickeln, die den Datenschutz gewährleistet.)
Für In-App-Zahlungen erfassen die SDKs für iOS und Android die folgenden Informationen:
App-spezifische Geräte-ID: identifierForVendor bei iOS, ANDROID_ID bei Android. (Hinweis: Bei Apps, die vor Android 8.0 installiert wurden, wird eine globale ANDROID_ID anstelle eines App-spezifischen Werts verwendet.)
Gerätemodell
Betriebssystemversion
Systemsprache, Land und Zeitzone
Bildschirmmaße
Darüber hinaus verweist die 3D Secure 2-Spezifikation auf eine Reihe von Datenelementen, die von den SDKs für iOS und Android nicht erfasst werden.
Um sicherzustellen, dass Ihre App den Richtlinien des App Stores und des Play Stores entspricht, erfassen die SDKs für iOS und Android die Werbe-ID nicht.
Die SDKs für iOS und Android erfassen keine Standortdaten.
Die SDKs für iOS und Android erfassen keine Hardwarekennungen (IMEI, MAC-Adresse) oder Nutzereinstellungen (Einstellung des Vibrationsmodus, Liste der installierten Apps), außer jene oben beschriebenen. Der Zugang zu diesen Informationskategorien wird von den Plattformanbietern nach und nach eingestellt. Wir glauben auch nicht, dass diese Daten die Risikoentscheidung wesentlich verbessern.
Die SDKs für iOS und Android verschlüsseln die Geräteinformationen mit einem Schlüssel, den das Kartennetzwerk bereithält. Die Server von Stripe haben keinen Zugriff auf diese Daten.
Hinweis: Die SDKs für iOS und Android führen grundlegende Prüfungen durch, um gerootete Geräte gemäß den PCI 3DS-Anforderungen zu erkennen. An den Server wird nur ein boolescher Wert übermittelt, der anzeigt, ob die Prüfung erfolgreich war oder nicht. Gemäß den PCI 3DS-Anforderungen werden die Komponenten des Android SDK, die von 3DS2 betroffen sind, mit ProGuard unkenntlich gemacht.
3D-Secure-Geräteinformationen werden nach der Prüfung des PaymentIntent oder SetupIntent erhoben (d. h. wenn Sie confirmCardPayment oder ein entsprechendes Verfahren aufrufen). Dies geschieht in der Regel, wenn der/die Kunde/Kundin auf der Zahlungsseite auf die Schaltfläche „Bezahlen“ klickt.
Die Erhebung von Geräteinformationen ist ein erforderlicher Bestandteil des 3DSecure 2-Protokolls und wird nur während des Zahlungsvorgangs ausgelöst. Sie wird durch den Parameter advancedFraudSignals nicht beeinflusst.
Bei Feedback zu den von Stripe.js und von den SDKs für iOS und Android iOS erhobenen Geräteinformationen wenden Sie sich bitte an den Stripe-Support.
Wenn Sie nach Informationen zum Umgang mit 3DS mit wiederkehrenden Zahlungen suchen, folgen Sie dem Stripe Billing-Leitfaden in unseren Dokumenten.
Eine Anleitung zum Umgang mit 3DS bei einmaligen Zahlungen finden Sie in unserem Leitfaden zu Kartenauthentifizierung und 3D Secure.