3D Secure 2-Gerätedaten

Wenn Sie eine Kartenzahlung mit 3D Secure 2 (3DS2) authentifizieren, erhebt Stripe über Stripe.js und die SDKs für iOS und Android bestimmte Informationen über das Gerät des/der Kunden/Kundin. Diese Informationen werden – wie im 3DS2-Protokoll vorgeschrieben – an das Kartennetzwerk und die ausstellende Bank weitergegeben, damit diese wiederholte Zahlungen von demselben Gerät erkennen und das Gesamtrisiko der Transaktion einschätzen können.

Während das 3DS2-Protokoll über 150 Datenelemente abfragt, schützt Stripe die Privatsphäre der Nutzer/innen, indem es nur eine Handvoll Elemente erhebt: Kern-IDs und Umgebungsinformationen, die unserer Meinung nach für die Risikoanalyse der ausstellenden Bank ausreichend sind.

Welche Informationen werden erhoben?

Im Internet erhebt Stripe.js die folgenden Informationen vom Browser:

Im Rahmen des durch 3DS2 eingeführten Fingerprinting-Schritts öffnet Stripe.js unter Umständen ein verborgenes iFrame für die ausstellende Bank, damit diese ihre eigenen proprietären Fingerprinting-Skripte ausführen kann. (Uns ist bewusst, dass dieser Ansatz des Fingerprinting mit der Umsetzung der doppelt verschlüsselten Speicherung in Browsern unwirksam werden wird. Wir werden gemeinsam mit der W3C und den Kartennetzwerken eine Alternative zu entwickeln, die den Datenschutz gewährleistet.)

Für In-App-Zahlungen erfassen die SDKs für iOS und Android die folgenden Informationen:

Darüber hinaus verweist die 3D Secure 2-Spezifikation auf eine Reihe von Datenelementen, die von den SDKs für iOS und Android nicht erfasst werden.

Die SDKs für iOS und Android verschlüsseln die Geräteinformationen mit einem Schlüssel, den das Kartennetzwerk bereithält. Die Server von Stripe haben keinen Zugriff auf diese Daten.

Hinweis: Die SDKs für iOS und Android führen grundlegende Prüfungen durch, um gerootete Geräte gemäß den PCI 3DS-Anforderungen zu erkennen. An den Server wird nur ein boolescher Wert übermittelt, der anzeigt, ob die Prüfung erfolgreich war oder nicht. Gemäß den PCI 3DS-Anforderungen werden die Komponenten des Android SDK, die von 3DS2 betroffen sind, mit ProGuard unkenntlich gemacht.

Wann werden 3D Secure-Geräteinformationen erhoben?

3D-Secure-Geräteinformationen werden nach der Prüfung des PaymentIntent oder SetupIntent erhoben (d. h. wenn Sie confirmCardPayment oder ein entsprechendes Verfahren aufrufen). Dies geschieht in der Regel, wenn der/die Kunde/Kundin auf der Zahlungsseite auf die Schaltfläche „Bezahlen“ klickt.

Die Erhebung von Geräteinformationen ist ein erforderlicher Bestandteil des 3DSecure 2-Protokolls und wird nur während des Zahlungsvorgangs ausgelöst. Sie wird durch den Parameter advancedFraudSignals nicht beeinflusst.

Bei Feedback zu den von Stripe.js und von den SDKs für iOS und Android iOS erhobenen Geräteinformationen wenden Sie sich bitte an den Stripe-Support.


Weitere Informationen

Wenn Sie nach Informationen zum Umgang mit 3DS mit wiederkehrenden Zahlungen suchen, folgen Sie dem Stripe Billing-Leitfaden in unseren Dokumenten.

Eine Anleitung zum Umgang mit 3DS bei einmaligen Zahlungen finden Sie in unserem Leitfaden zu Kartenauthentifizierung und 3D Secure.