Durante l'autenticazione di un pagamento con carta tramite 3D Secure 2 (3DS2), Stripe riceve alcune informazioni sul dispositivo del cliente tramite Stripe.js e gli SDK iOS e Android. Tali informazioni vengono condivise con il circuito della carta e la banca emittente, secondo quanto richiesto dal protocollo 3DS2, per consentire il riconoscimento dei pagamenti ripetuti dallo stesso dispositivo e valutare il rischio globale della transazione.
Il protocollo 3DS2 richiede oltre 150 elementi dati, mentre Stripe protegge la privacy degli utenti raccogliendo solo alcuni elementi: gli ID di base e le informazioni sull'ambiente che riteniamo sufficienti per l'analisi dei rischi della banca emittente.
Sul web, Stripe.js acquisisce le seguenti informazioni dal browser:
Indirizzo IP
Agente utente
Lingua del browser
Fuso orario del sistema
Dimensioni dello schermo e risoluzione colore
Durante la fase delle impronte digitali introdotta dal 3DS2, Stripe.js potrebbe aprire un iframe nascosto per la banca emittente, consentendo a quest'ultima di eseguire i suoi script proprietari per le impronte digitali. Siamo consapevoli che questo approccio alle impronte digitali diverrà inefficace quando i browser implementeranno la memorizzazione con due chiavi; stiamo collaborando con il W3C e i circuiti delle carte di credito per sviluppare un'alternativa che preservi la privacy.
Per i pagamenti interni all'app, gli SDK per iOS e Android raccolgono le seguenti informazioni:
ID dispositivo specifico per l'app: identifierForVendor su iOS, ANDROID_ID su Android. Le app installate prima di Android 8.0 osserveranno un valore ANDROID_ID globale anziché un valore specifico per l'app.
Modello dispositivo
Versione SO
Lingua del sistema, paese e fuso orario
Dimensioni dello schermo
Inoltre, la specifica 3D Secure 2 fa riferimento a una serie di elementi dati che gli SDK per iOS e Android non acquisiscono.
Per assicurarti che la tua app sia conforme alle politiche di App Store e Play Store, gli SDK per iOS e Android non raccolgono l'ID pubblicitario.
Gli SDK per iOS e Android non raccolgono dati sulla località.
Gli SDK per iOS e Android non raccolgono gli identificatori hardware (IMEI, indirizzo MAC) né le preferenze utente (impostazione per la modalità vibrazione, elenco delle app installate), ad eccezione dei casi descritti in precedenza. L'accesso a queste categorie di informazioni non è più supportato dai fornitori di piattaforme e non riteniamo che i dati migliorino il processo decisionale in modo significativo.
Gli SDK per iOS e Android sottopongono a crittografia le informazioni sul dispositivo utilizzando una chiave in possesso del circuito della carta. I server di Stripe non hanno accesso a questi dati.
Nota: gli SDK per iOS e Android eseguono controlli di base per rilevare i dispositivi con accesso root, in base ai requisiti 3DS PCI. Al server viene trasmesso solo un valore booleano che indica se il controllo è andato o meno a buon fine. Inoltre, in base ai requisiti PCI del 3DS, i componenti dell'SDK Android coinvolti nel 3DS2 sono offuscati tramite ProGuard.
Le informazioni sui dispositivi 3D Secure vengono raccolte dopo la conferma del PaymentIntent o del SetupIntent (ad esempio quando si esegue la chiamata confirmCardPayment o equivalente). Questo generalmente si verifica quando il cliente fa clic sul pulsante di pagamento sulla relativa pagina.
La raccolta delle informazioni sui dispositivi è un passaggio obbligato del protocollo 3D Secure 2 e viene attivata solo durante la procedura di pagamento. Non è interessata dal parametro advancedFraudSignals.
Se hai feedback sulle informazioni sui dispositivi acquisite da Stripe.js e dagli SDK per iOS e Android, contatta l'assistenza Stripe.
Se stai cercando informazioni su come gestire 3DS con i pagamenti ricorrenti, consulta la guida di Stripe Billing nella nostra documentazione.
Per ricevere indicazioni su come gestire 3DS con i pagamenti una tantum, consulta la guida sull'autenticazione delle carte e su 3D Secure.