Cuando un pago con tarjeta se autentica mediante 3D Secure 2 (3DS2), Stripe recopila algunos datos sobre el dispositivo del cliente mediante Stripe.js y los SDK para iOS y Android. Esta información se comparte con la red de tarjetas y con el banco emisor (según lo exige el protocolo 3DS2) para ayudarles a reconocer pagos repetidos desde el mismo dispositivo y evaluar el riesgo general de la transacción.
Si bien el protocolo 3DS2 solicita más de 150 elementos, Stripe protege la privacidad del usuario al recopilar solo una serie de elementos: identificaciones principales e información del entorno que creemos que es suficiente para el análisis de riesgo del banco emisor.
En el sitio web, Stripe.js recopila la siguiente información del navegador:
dirección IP
agente de usuario
idioma del navegador
zona horaria del sistema
profundidad de color y dimensiones de la pantalla
Como parte del paso de la toma de huellas que se ha añadido en 3DS2, Stripe.js puede abrir un iframe oculto para el banco emisor, que permite al banco ejecutar su propia secuencia de comandos de huellas. (Somos conscientes de que este enfoque de la toma de huellas se volverá poco eficaz a medida que los navegadores implementen el almacenamiento de doble clave; estamos trabajando con W3C y las redes de tarjetas para desarrollar una alternativa que preserve la privacidad).
En el caso de los pagos en la aplicación, los SDK para iOS y Android recopilan la siguiente información:
Identificación del dispositivo específica para la aplicación: identifierForVendor en iOS y ANDROID_ID en Android. (Nota: Las aplicaciones instaladas antes de Android 8.0 tendrán un valor de ANDROID_ID global en lugar de un valor específico de la aplicación).
Modelo del dispositivo.
Versión del sistema operativo.
Idioma, país y zona horaria del sistema.
Dimensiones de la pantalla.
Además, la especificación de 3DS2 hace referencia a una cantidad de elementos que los SDK para iOS y Android no recopilan.
Para asegurarse de que tu aplicación cumple con las políticas del App Store y de Play Store, los SDK para iOS y Android no recopilan la identificación de publicidad.
Los SDK para iOS y Android no recopilan datos de ubicación.
Los SDK para iOS y Android no recopilan identificadores de hardware (como el IMEI o la dirección MAC) ni preferencias del usuario (como la configuración del modo vibración o la lista de aplicaciones instaladas), con excepción de lo que se describe más arriba. Los proveedores de plataformas están retirando paulatinamente el acceso a estas categorías de información, y no creemos que estos datos mejoren de forma significativa la toma de decisiones con respeto al riesgo.
Los SDK para iOS y Android cifran la información del dispositivo mediante una clave que tiene la red de tarjetas. Los servidores de Stripe no tienen acceso a estos datos.
Nota: Los SDK para iOS y Android hacen verificaciones básicas para detectar dispositivos en los que se ha accedido a la raíz, de conformidad con los requisitos PCI de 3DS. Solo se transmite al servidor un valor booleano que indica si la verificación se ha hecho correctamente o ha fallado. Además, de conformidad con los requisitos PCI de 3DS, los componentes del SDK para Android involucrados en 3DS2 se ofuscan con ProGuard.
La información del dispositivo de 3D Secure se recopila después de confirmar el PaymentIntent o el SetupIntent (es decir, cuando llamas a confirmCardPayment o su equivalente). En general, esto ocurre cuando el cliente hace clic en el botón «Pagar» en la página de pago.
La recopilación de información del dispositivo es obligatoria en el protocolo 3DS2 y solo se activa durante el proceso de pago. El parámetro advancedFraudSignals no le afecta.
Si tienes comentarios sobre la información del dispositivo que recopilan Stripe.js y los SDK para iOS y Android, contacta con el soporte de Stripe.
Si necesitas información sobre cómo gestionar 3DS con pagos recurrentes, consulta la guía de Stripe Billing de nuestra documentación.
Si buscas instrucciones para gestionar 3DS con pagos puntuales, consulta nuestra guía sobre la autenticación de tarjetas y 3D Secure.