Bij het authenticeren van een kaartbetaling met 3D Secure 2 (3DS2), verzamelt Stripe bepaalde informatie over het apparaat van de klant via Stripe.js en de SDK's voor iOS en Android. Deze informatie wordt gedeeld met het kaartnetwerk en de uitgevende bank (zoals vereist door het 3DS2-protocol), om hen te helpen terugkerende betalingen vanaf hetzelfde apparaat te herkennen en het risico van de transactie te beoordelen.
Hoewel het 3DS2-protocol meer dan 150 gegevenselementen aanvraagt, beschermt Stripe de privacy van gebruikers door slechts een handvol elementen te verzamelen: basisidentificatiemiddelen en omgevingsinformatie waarvan we denken dat het voldoende is voor een risicoanalyse door de uitgevende bank.
Op het web verzamelt Stripe.js de volgende informatie vanuit de browser:
IP-adres
Gebruikersagent
Browsertaal
Tijdzone van het systeem
Schermafmetingen en kleurdiepte
Als onderdeel van een stap in de identificatie van apparaten aan de hand van hun kenmerken die is ingevoerd in 3DS2, kan Stripe.js een verborgen iframe openen voor de uitgevende bank, waardoor de bank zijn eigen scripts voor identificatie van apparaten aan de hand van hun kenmerken kan uitvoeren. (We zijn ons ervan bewust dat deze benadering van de identificatie van apparaten aan de hand van hun kenmerken ineffectief wordt naarmate browsers double-keyed storage invoeren. We werken samen met de W3C en de kaartnetwerken om een alternatief te ontwikkelen waarbij de privacy behouden blijft.)
Voor in-app betalingen verzamelen de SDK's voor iOS en Android de volgende informatie:
App-specifieke apparaat-ID: identifierForVendor op iOS, ANDROID_ID op Android. (opmerking: apps die geïnstalleerd zijn vóór de invoering van Android 8.0 zullen een globale ANDROID_ID zien in plaats van een app-specifieke waarde.)
Model apparaat
OS-versie
Systeemtaal, land en tijdzone
Schermafmetingen
Daarnaast verwijst de 3D Secure 2-specificatie naar een aantal gegevenselementen die de SDK's voor iOS en Android niet verzamelen.
Om te zorgen dat je app voldoet aan het beleid van App Store en Play Store, verzamelen de SDK's voor iOS en Android niet de reclame-ID.
De SDK's voor iOS en Android verzamelen geen locatiegegevens.
De SDK's voor iOS en Android verzamelen geen hardware-identificatoren (IMEI-, MAC-adres) of gebruikersvoorkeuren (trilmodusinstelling, lijst met geïnstalleerde apps) behalve wat hierboven is beschreven. Toegang tot deze categorieën wordt uitgefaseerd door platformleveranciers en we geloven niet dat de gegevens leiden tot een aanzienlijke verbetering van risico-inschatting.
De SDK's voor iOS en Android versleutelen apparaatgegevens door middel van een sleutel die het kaartnetwerk bezit. De servers van Stripe hebben geen toegang tot deze gegevens.
Opmerking: de SDK's voor iOS en Android voeren basiscontroles uit om rooted apparaten te detecteren, volgens de PCI 3DS-vereisten. Er wordt alleen een boolean waarde die toont of de controle is geslaagd of mislukt naar de server verzonden. Ook worden conform de PCI 3DS-vereisten de onderdelen van de SDK voor Android die betrokken zijn bij 3DS2 verhuld met ProGuard.
3D Secure apparaatgegevens worden verzameld nadat de PaymentIntent of SetupIntent is bevestigd (d.w.z. wanneer je confirmCardPayment of een equivalent aanroept). Dit vindt doorgaans plaats zodra de klant klikt op de "Betalen"-knop op de betaalpagina.
Apparaatgegevens verzamelen is een verplicht onderdeel van het 3D Secure 2-protocol en wordt alleen getriggerd tijdens het betaalproces. Het wordt niet beïnvloed door de parameter advancedFraudSignals.
Als je nog feedback hebt over de apparaatgegevens die worden verzameld door Stripe.js en de SDK's voor iOS en Android, neem dan contact op met Stripe Support.
Als je op zoek bent naar informatie over het omgaan met 3DS met terugkerende betalingen, volg dan de Stripe Billing-gids in onze documentatie.
Ga voor advies over het omgaan met 3DS bij eenmalige betalingen naar onze gids over kaartauthenticatie en 3D Secure.