Lors de l'authentification 3D Secure 2 (3DS2) d'un paiement par carte, Stripe recueille certaines informations concernant l'appareil du client par le biais de Stripe.js et des SDK pour iOS et Android. Comme l'impose le protocole 3DS2, ces informations sont partagées avec le réseau de cartes et l'institution financière émettrice afin de leur permettre d'identifier les paiements récurrents provenant du même appareil et d'évaluer le risque global de la transaction.
Alors que le protocole 3DS2 exige plus de 150 éléments de données, Stripe protège la confidentialité des utilisateurs en ne recueillant qu'un petit nombre d'éléments, à savoir les principaux identifiants et les informations sur l'environnement, qui sont suffisants pour permettre à l'institution financière émettrice d'analyser le risque.
Sur le Web, Stripe.js recueille les informations suivantes depuis le navigateur :
Adresse IP
Agent utilisateur
Langue du navigateur
Fuseau horaire du système
Dimensions et intensité des couleurs de l'écran
Dans la mesure où le protocole 3DS2 prévoit une prise d'empreinte, Stripe.js peut ouvrir un iframe masqué à l'institution financière émettrice afin de lui permettre d'exécuter ses propres scripts de prise d'empreinte. Nous sommes conscients que cette méthode de prise d'empreinte deviendra inefficace dès que les navigateurs mettront en œuvre le stockage à double clé. C'est pourquoi nous collaborons avec le W3C et les réseaux de cartes pour développer une solution permettant de protéger la confidentialité des utilisateurs.
Pour les paiements intégrés à l'application, les SDK iOS et Android recueillent les informations suivantes:
Identifiant de l'appareil spécifique à l'application : identifierForVendor sur iOS, ANDROID_ID sur Android. Remarque : les applications installées avant Android 8.0 utiliseront un identifiant ANDROID_ID global plutôt qu'une valeur spécifique à l'application.
Modèle de l'appareil
Version du SE
Langue du système, pays et fuseau horaire
Dimensions de l'écran
Par ailleurs, la spécification 3D Secure 2 mentionne un certain nombre de données que les SDK iOS et Android ne recueillent pas.
Pour assurer la conformité de votre application aux politiques de l'App Store et du Play Store, les SDK iOS et Android ne recueillent pas les identifiants de publicité.
Les SDK iOS et Android ne recueillent pas de données d'emplacement.
Les SDK iOS et Android ne recueillent pas les identifiants du matériel (IMEI, adresse MAC) ou les préférences utilisateur (réglage du mode vibreur, liste des applications installées) sauf dans les cas décrits ci-dessus. L'accès à ces informations est progressivement supprimé par les fournisseurs de plateformes, et nous ne pensons pas que ces données améliorent significativement la prise de décision en matière de risques.
Les SDK pour iOS et Android chiffrent les informations de l'appareil à l'aide d'une clé détenue par le réseau de cartes. Les serveurs de Stripe n'ont pas accès à ces données.
Remarque : les SDK pour iOS et Android effectuent des vérifications de base pour détecter les appareils débridés, conformément aux exigences de la norme de sécurité PCI 3DS. Seule une valeur booléenne indiquant l'échec ou la réussite de la vérification est transmise au serveur. Toujours pour des raisons de conformité à la norme PCI 3DS, les composants du SDK Android impliqués dans le protocole 3DS2 sont masqués avec ProGuard.
Ces informations sont recueillies après confirmation du PaymentIntent ou du SetupIntent (autrement dit, lorsque vous appelez confirmCardPayment ou un paramètre équivalent). Cela se produit généralement quand le client clique sur le bouton Payer de la page de paiement.
La collecte des informations de l'appareil est une étape indispensable du protocole 3D Secure 2 et n'intervient qu'au moment du processus de paiement. Elle n'est pas affectée par le paramètre advancedFraudSignals.
Si vous souhaitez nous faire part de vos commentaires sur les informations recueillies par Stripe.js et les SDK iOS et Android, veuillez contacter le service d'assistance Stripe.
Si vous cherchez des informations sur la gestion de 3DS avec des paiements récurrents, suivez le guide Stripe Billing dans notre documentation.
Pour obtenir des conseils sur la gestion de 3DS avec des paiements ponctuels, consultez notre guide sur l'authentification des cartes et 3D Secure.