Saat mengautentikasi pembayaran kartu dengan 3D Secure 2 (3DS2), Stripe mengumpullkan informasi tertentu terkait perangkat pelanggan melalui Stripe.js dan SDK iOS dan Android. Informasi dibagikan kepada jaringan kartu dan bank penerbit, sesuai dengan protokol 3DS2, untuk membantu mengenali pembayaran berulang dari perangkat yang sama dan menilai risiko keseluruhan transaksi.
Meskipun protokol 3DS2 meminta lebih dari 150 elemen data, Stripe melindungi privasi pengguna dengan hanya mengumpulkan beberapa elemen: ID inti dan informasi lingkungan yang kami yakini sudah cukup untuk analisis risiko bank penerbit.
Di web, Stripe mengumpulkan informasi berikut dari browser:
Alamat IP
Agen pengguna
Bahasa browser
Zona waktu sistem
Dimensi layar dan kedalaman warna
Sebagai bagian dari langkah sidik jari yang diperkenalkan di 3DS2, Stripe.js dapat membuka iframe tersembunyi ke bank penerbit, memungkinkan bank untuk menjalankan skrip sidik jari miliknya sendiri. (Kami menyadari bahwa pendekatan sidik jari ini akan menjadi tidak efektif karena browser menerapkan penyimpanan kunci ganda; kami bekerja dengan W3C dan jaringan kartu untuk mengembangkan alternatif yang menjaga privasi.)
Untuk pembayaran dalam aplikasi, SDK iOS dan Android mengumpulkan informasi berikut:
ID perangkat khusus aplikasi: identifierForVendor di iOS, ANDROID_ID di Android. (Catatan: aplikasi yang diinstal sebelum Android 8.0 akan mengamati ANDROID_ID global, bukan nilai khusus aplikasi.)
Model perangkat
Versi OS
Bahasa sistem, negara, dan zona waktu
Dimensi layar
Selain itu, spesifikasi 3D Secure 2 mereferensikan sejumlah elemen data yang tidak dikumpulkan oleh SDK iOS dan Android.
SDK iOS dan Android tidak mengumpulkan ID Iklan untuk memastikan aplikasi Anda mematuhi kebijakan App Store dan Play Store.
SDK iOS dan Android tidak mengumpulkan data lokasi.
SDK iOS dan Android tidak mengumpulkan pengenal perangkat keras (IMEI, alamat MAC) atau preferensi pengguna (pengaturan mode getar, daftar aplikasi yang diinstal) kecuali seperti yang dijelaskan di atas. Akses ke kategori informasi ini sedang dihapus oleh penyedia platform, dan kami tidak yakin data tersebut secara signifikan meningkatkan pengambilan keputusan risiko.
SDK iOS dan Android mengenkripsi informasi perangkat menggunakan kunci yang dipegang oleh jaringan kartu. Server Stripe tidak memiliki akses ke data tersebut.
Catatan: SDK iOS dan Android melakukan pemeriksaan dasar untuk mendeteksi perangkat yang di-root, sesuai persyaratan PCI 3DS. Hanya nilai boolean yang menunjukkan apakah pemeriksaan berhasil atau gagal, yang dikirim ke server. Selain itu, sesuai persyaratan PCI 3DS, komponen SDK Android yang terlibat dalam 3DS2 dikaburkan dengan ProGuard.
Informasi perangkat 3D Secure dikumpulkan setelah mengonfirmasi PaymentIntent atau SetupIntent (yaitu saat Anda memanggil confirmCardPayment atau yang setara). Ini biasanya terjadi setelah pelanggan mengeklik tombol "Bayar" di halaman pembayaran.
Mengumpulkan informasi perangkat adalah bagian wajib dari protokol 3D Secure 2 dan hanya dipicu selama proses pembayaran. Tindakan ini tidak dipengaruhi parameter advancedFraudSignals.
Jika Anda memiliki masukan tentang informasi perangkat yang dikumpulkan oleh Stripe.js dan SDK iOS serta Android, harap hubungi Dukungan Stripe.
Jika Anda mencari informasi tentang menangani 3DS dengan pembayaran rutin, ikuti panduan Stripe Billing dalam dokumentasi kami.
Untuk panduan tentang menangani 3DS dengan pembayaran satu kali, buka panduan autentikasi kartu dan 3D Secure kami.