Lors de l'authentification 3D Secure 2 (3DS2) d'un paiement par carte, Stripe collecte certaines informations concernant l'appareil du client via Stripe.js et les SDK pour iOS et Android. Comme l'impose le protocole 3DS2, ces informations sont partagées avec le réseau de cartes et la banque émettrice afin de leur permettre d'identifier les paiements récurrents provenant du même appareil et d'évaluer le risque global de la transaction.
Alors que le protocole 3DS2 exige plus de 150 éléments de données, Stripe protège la confidentialité des utilisateurs en ne collectant qu'un petit nombre d'éléments, à savoir les principaux identifiants et les informations sur l'environnement, qui sont suffisants pour permettre à la banque émettrice d'analyser le risque.
Sur le Web, Stripe.js collecte les informations suivantes depuis le navigateur :
adresse IP ;
agent utilisateur ;
langue du navigateur ;
fuseau horaire du système ;
dimensions et intensité des couleurs de l'écran.
Dans la mesure où le protocole 3DS2 prévoit une prise d'empreinte, Stripe.js peut ouvrir un iframe masqué à la banque émettrice afin de lui permettre d'exécuter ses propres scripts de prise d'empreinte. (Nous sommes conscients que cette méthode de prise d'empreinte deviendra inefficace dès que les navigateurs mettront en œuvre le stockage à double clé. C'est pourquoi nous collaborons avec le W3C et les réseaux de cartes pour développer une solution permettant de protéger la confidentialité des utilisateurs.)
Pour les paiements intégrés à l'application, les SDK iOS et Android collectent les informations suivantes :
identifiant de l'appareil spécifique de l'application : identifierForVendor sur iOS, ANDROID_ID sur Android. (remarque : les applications installées avant Android 8.0 utiliseront un identifiant ANDROID_ID global plutôt qu'une valeur spécifique de l'application) ;
modèle de l'appareil ;
version du SE ;
langue du système, pays et fuseau horaire ;
dimensions de l'écran.
Par ailleurs, la spécification 3D Secure 2 mentionne un certain nombre d'éléments de données que les SDK iOS et Android ne collectent pas.
Pour assurer la conformité de votre application aux politiques de l'App Store et du Play Store, les SDK iOS et Android ne collectent pas les identifiants de publicité.
Les SDK iOS et Android ne collectent pas de données d'emplacement.
Les SDK iOS et Android ne collectent pas les identifiants du matériel (IMEI, adresse MAC) ni les préférences utilisateur (réglage du mode vibreur, liste des applications installées) sauf dans les cas décrits ci-dessus. L'accès à ces informations est progressivement supprimé par les fournisseurs de plateformes, et nous ne pensons pas que ces données améliorent significativement la prise de décision en matière de risques.
Les SDK pour iOS et Android chiffrent les informations de l'appareil à l'aide d'une clé détenue par le réseau de cartes. Les serveurs de Stripe n'ont pas accès à ces données.
Remarque : les SDK pour iOS et Android effectuent des vérifications de base pour détecter les appareils débridés, conformément aux exigences de la norme de sécurité PCI 3DS. Seule une valeur booléenne indiquant l'échec ou la réussite de la vérification est transmise au serveur. Toujours pour des raisons de conformité à la norme PCI 3DS, les composants du SDK Android impliqués dans le protocole 3DS2 sont masqués avec ProGuard.
Ces informations sont collectées après confirmation du PaymentIntent ou du SetupIntent (autrement dit, lorsque vous appelez confirmCardPayment ou un paramètre équivalent). Cela se produit généralement quand le client clique sur le bouton Payer de la page de paiement.
La collecte des informations de l'appareil est une étape indispensable du protocole 3D Secure 2 et n'intervient qu'au moment du processus de paiement. Elle n'est pas affectée par le paramètre advancedFraudSignals.
Si vous avez des commentaires sur les informations collectées par Stripe.js et les SDK iOS et Android, contactez le service d'assistance Stripe.
Si vous souhaitez en savoir plus sur la gestion de 3DS avec les paiements récurrents, consultez le guide dédié à Stripe Billing dans notre documentation.
Pour obtenir des conseils sur la gestion de 3DS avec les paiements uniques, consultez notre guide sur l'authentification des cartes et 3D Secure.