Ao autenticar um pagamento com cartão usando o 3DS2 (3D Secure 2), a Stripe coleta dados específicos do dispositivo do cliente usando o Stripe.js e os SDKs para iOS e Android. Esses dados são compartilhados com a bandeira do cartão e o banco emissor (como exigido pelo protocolo 3DS2) para ajudá-los a reconhecer pagamentos repetidos do mesmo dispositivo e avaliar o risco geral da transação.
O protocolo 3DS2 solicita mais de 150 elementos de dados, mas a Stripe se preocupa com a privacidade dos clientes e coleta apenas alguns elementos, como dados essenciais de IDs e ambiente, que acreditamos ser suficientes para a análise de risco pelo banco emissor.
Na web, o Stripe.js coleta os seguintes dados do navegador:
Endereço IP
Agente de usuário
Idioma do navegador
Fuso horário do sistema
Dimensões e profundidade de cores da tela
Como parte da etapa de impressão digital introduzida pelo 3DS2, o Stripe.js pode abrir um iframe oculto para o banco emissor a fim de permitir que ele execute seus próprios scripts proprietários de impressão digital. Sabemos que essa abordagem de impressão digital deixará de funcionar com a implementação de armazenamento com duas chaves pelos navegadores. Estamos trabalhando com o W3C e as bandeiras de cartão para desenvolver uma alternativa que preserve a privacidade.
Para pagamentos no aplicativo, os SDKs para iOS e Android coletam os seguintes dados:
ID do dispositivo específico do aplicativo: identifierForVendor no iOS; ANDROID_ID no Android. Observação: aplicativos instalados antes do Android 8.0 identificam um ANDROID_ID global em vez de um valor específico do aplicativo.
Modelo do dispositivo
Versão do SO
Idioma, país e fuso horário do sistema
Dimensões da tela
Além disso, a especificação 3D Secure 2 faz referência a vários elementos de dados que não são coletados pelos SDKs para iOS e Android.
Para garantir a conformidade do seu aplicativo com as políticas da App Store e da Play Store, os SDKs para iOS e Android não coletam o ID de publicidade.
Os SDKs para iOS e Android não coletam dados de localização.
Os SDKs para iOS e Android não coletam identificadores de hardware (IMEI, endereço MAC) nem preferências do usuário (configuração do modo de vibração, lista de aplicativos instalados), exceto conforme descrito acima. O acesso a essas categorias de dados está em fase de descontinuação pelos provedores de plataformas, e acreditamos que esses dados não aprimoram a tomada de decisões sobre riscos de forma significativa.
Os SDKs para iOS e Android criptografam dados do dispositivo usando uma chave mantida pela bandeira do cartão. Os servidores da Stripe não têm acesso a esses dados.
Observação: os SDKs para iOS e Android executam verificações básicas para detectar dispositivos "rooteados", de acordo com os requisitos do PCI 3DS. O único dado transmitido para o servidor é um valor booleano que indica se a verificação foi bem-sucedida ou não. Também de acordo com os requisitos do PCI 3DS, os componentes do SDK para Android envolvidos no 3DS2 são ocultados com o ProGuard.
Os dados de 3D Secure do dispositivo são coletados após a confirmação do PaymentIntent ou SetupIntent (ou seja, quando você chama confirmCardPayment ou equivalente). Normalmente, isso ocorre quando o cliente clica no botão "Pagar" na página de pagamento.
A coleta de dados do dispositivo é exigida pelo protocolo 3D Secure 2 e só é acionada durante o processo de pagamento. Ela não é afetada pelo parâmetro advancedFraudSignals.
Se você quiser comentar sobre os dados de dispositivo coletados pelo Stripe.js e pelos SDKs para iOS e Android, fale com o Suporte da Stripe.
Se você procura informações sobre como gerenciar o 3DS com pagamentos recorrentes, consulte o guia do Stripe Billing em nossa documentação.
Para obter orientação sobre como gerenciar o 3DS com pagamentos avulsos, consulte nosso guia de autenticação de cartão e 3D Secure.