Vid autentisering av en kortbetalning med 3D Secure 2 (3DS2), samlar Stripe in vissa uppgifter om kundens enhet via Stripe.js SDK:erna för iOS och Android. Dessa uppgifter delas med kortbetalningsnätverket och den utfärdande banken – enligt kraven i 3DS2-protokollet – för att hjälpa dem att identifiera upprepade betalningar från samma enhet och bedöma transaktionens allmänna risk.
Medan 3DS2-protokollet begär över 150 dataelement, skyddar Stripe användarsekretessen genom att bara samla in ett fåtal element: huvud-id:n och omgivningsinformation som vi anser är tillräckliga för en riskanalys hos den utfärdande banken.
På internet samlar Stripe.js in följande information från webbläsaren:
Ip-adress
Användarombud
Webbläsarspråk
Systemstidszon
Skärmmått och färgdjup
Som en del av fingeravtryckssteget som introducerades i 3DS2 kan Stripe.js öppna en dold iframe till den utfärdande banken, vilket tillåter att banken kör sina egna fingeravtrycksskript. (Vi är medvetna om att detta tillvägagångssätt för fingeravtryck kommer att bli ineffektivt i takt med att webbläsare implementerar förvaring med dubbla nycklar; vi arbetar med W3C och kortbetalningsnätverken för att utveckla ett sekretesskyddande alternativ.)
För betalningar i appen samlar SDK:er för iOS och Android in följande information:
Appspecifikt enhets-id: identifierForVendor på iOS, ANDROID_ID på Android. (Obs: appar som installerades före Android 8.0 har ett globalt ANDROID_ID i stället för ett appspecifikt värde.)
Enhetsmodell
OS-version
Systemspråk, land och tidszon
Skärmmått
Dessutom hänvisar 3D Secure 2-specifikationen till ett antal dataelement som SDK:er för iOS och Android inte samlar in.
För att vara säker på att din app uppfyller App Store- och Play Store-policyerna, samlar SDK:er för iOS och Android inte in Advertising ID.
SDK:er för iOS och Android samlar inte in platsdata.
iOS och Android-SDK:erna samlar inte in hårdvaruidentifierare (IMEI-, MAC-adress) eller användarpreferenser (vibrationsläge, lista över installerade appar) undantaget det som beskrivs ovan. Åtkomst till dessa informationskategorier håller på att fasas ut av plattformsleverantörer, och vi tror inte att sådana data förbättrar beslutsfattandet särskilt mycket.
SDK:er för iOS och Android krypterar enhetsinformation med en nyckel i kortbetalningsnätverket. Stripes servrar har inte tillgång till de uppgifterna.
Obs: SDK:er för iOS och Android utför grundläggande kontroller för att identifiera rotade enheter enligt PCI 3DS-kraven. Till servern överförs bara ett booleskt värde som representerar om kontrollen lyckades eller inte. Enligt kraven för PCI 3DS behöver även komponenterna av Android SDK:n som är relevanta för 3DS2 att mörkas med ProGuard.
3D Secure-enhetsinformation samlas in efter att PaymentIntent eller SetupIntent har bekräftats (dvs. när du anropar confirmCardPayment eller liknande). Det händer oftast så snart som kunden klickar på "Köp"-knappen på betalningssidan.
Insamling av enhetsinformation är ett krav enligt 3D Secure 2-protokollet och triggas bara under betalningsproceduren. Det påverkas inte av advancedFraudSignals-parametern.
Om du har synpunkter på enhetsinformationen som samlas in av Stripe.js och SDK:erna för iOS och Android, kontakta Stripe Support.
Om du letar efter information om hantering av 3DS med återkommande betalningar, följ Stripe Billing-guiden i vår dokumentation.
För vägledning om hantering av 3DS med engångsbetalningar, gå till vår guide för kortautentisering och 3D Secure.