Al autenticar un pago de tarjeta efectuado con 3D Secure 2 (3DS2), Stripe recopila algunos datos sobre el dispositivo del cliente mediante Stripe.js y los SDK para iOS y Android. Esta información se comparte con la red de tarjeta y con el banco emisor, como lo exige el protocolo 3DS2, para ayudarlos a reconocer los pagos repetidos desde el mismo dispositivo y evaluar el riesgo general de la transacción.
Si bien el protocolo 3DS2 requiere más de 150 elementos, Stripe protege la privacidad del usuario al recopilar una serie de elementos: identificadores principales e información del entorno que consideramos suficientes para el análisis de riesgos del banco emisor.
En el sitio web, Stripe.js recopila la siguiente información del navegador:
Dirección IP
Agente de usuario
Idioma del navegador
Zona horaria del sistema
Dimensiones de la pantalla y profundidad de color
Como parte del paso de la toma de huellas digitales que se agregó a 3DS2, Stripe.js puede abrir un iframe oculto para el banco emisor, lo que permite que el banco ejecute su propia secuencia de comandos de huellas digitales. (Sabemos que este enfoque de la toma de huellas digitales se volverá poco eficaz a medida que los navegadores implementen el almacenamiento de doble clave. Trabajamos con W3C y las redes de tarjeta en el desarrollo de una alternativa que preserve la privacidad).
En el caso de los pagos en la aplicación, los SDK para iOS y Android recopilan la siguiente información:
Identificación del dispositivo específico para la aplicación: identifierForVendor en iOS y ANDROID_ID en Android. (Nota: Las aplicaciones instaladas con anterioridad a Android 8.0 observarán una ANDROID_ID global en lugar de un valor específico para la aplicación).
Modelo del dispositivo
Versión del sistema operativo
Idioma del sistema, país y zona horaria
Dimensiones de la pantalla
Además, la especificación de 3D Secure 2 hace referencia a una cantidad de elementos que los SDK para iOS y Android no recopilan.
Para asegurarte de que tu aplicación cumple con las políticas de App Store y Play Store, los SDK para iOS y Android no recopilan la identificación de publicidad.
Los SDK para iOS y Android no recopilan información sobre la ubicación.
Los SDK para iOS y Android no recopilan identificadores de hardware (IMEI, dirección MAC) ni preferencias de usuario (configuración de modo de vibración, lista de aplicaciones instaladas), excepto en los casos descritos anteriormente. Los proveedores de plataformas están retirando paulatinamente el acceso a estas categorías de información, y no creemos que esta información mejore significativamente la toma de decisiones sobre riesgos.
Los SDK para iOS y Android cifran la información del dispositivo mediante una clave que posee la red de tarjeta. Los servidores de Stripe no tienen acceso a esta información.
Nota: Los SDK para iOS y Android realizan verificaciones básicas para detectar dispositivos con derechos de administrador, de conformidad con la normativa PCI de 3DS. Solamente se transmite al servidor un valor booleano que indica si la verificación se realizó correctamente o no. Además, de conformidad con la normativa PCI de 3DS, los componentes del SDK para Android involucrados en 3DS2 se encubren con ProGuard.
La información del dispositivo 3D Secure se recopila luego de confirmar el PaymentIntent o el SetupIntent (es decir, cuando llamas a confirmCardPayment o su equivalente). Esto suele ocurrir cuando el cliente hace clic en el botón «Pagar» en la página de pago.
La recopilación de información sobre el dispositivo es una parte obligatoria del protocolo 3D Secure 2 y solo se activa durante el proceso de pago. No se ve afectada por el parámetro advancedFraudSignals.
Si tienes comentarios sobre la información del dispositivo que recopilaron Stripe.js y los SDK de iOS y Android, ponte en contacto con el equipo de soporte de Stripe.
Si buscas información sobre cómo usar 3D Secure con pagos recurrentes, consulta la guía de Stripe Billing en nuestra documentación.
Si necesitas orientación sobre el uso de 3D Secure con pagos puntuales, consulta nuestra guía sobre autenticación de tarjetas y 3D Secure.