เมื่อใช้ 3D Secure 2 (3DS2) ในการตรวจสอบสิทธิ์การชำระเงินด้วยบัตร Stripe จะเก็บข้อมูลบางอย่างเกี่ยวกับอุปกรณ์ของลูกค้าผ่าน Stripe.js และ SDK ของ iOS และ Android บริษัทจะแชร์ข้อมูลเหล่านี้กับเครือข่ายบัตรและธนาคารที่ออกบัตร ตามที่โปรโตคอล 3DS2 กำหนดไว้ ทั้งนี้เพื่อช่วยพวกเขาในการตรวจหาการชำระเงินซ้ำจากอุปกรณ์เดียวกันและประเมินความเสี่ยงโดยรวมของธุรกรรม
แม้โปรโตคอล 3DS2 จะขอองค์ประกอบข้อมูลมากกว่า 150 รายการ แต่ Stripe เลือกที่จะปกป้องความเป็นส่วนตัวของผู้ใช้โดยการเก็บองค์ประกอบข้อมูลเพียงจำนวนหนึ่งเท่านั้น ซึ่งประกอบด้วยเอกสารประจำตัวหลักๆ และข้อมูลสภาพแวดล้อมที่เราเชื่อว่าเพียงพอสำหรับการวิเคราะห์ความเสี่ยงของธนาคารที่ออกบัตร
หากคุณใช้งานบนเว็บ Stripe.js จะเก็บข้อมูลต่อไปนี้จากเบราว์เซอร์
ที่อยู่ IP
ตัวแทนผู้ใช้
ภาษาของเบราว์เซอร์
เขตเวลาของระบบ
ขนาดของหน้าจอ และความลึกของสี
Stripe.js อาจเปิด iframe ที่ซ่อนอยู่ให้ธนาคารที่ออกบัตร ซึ่งจะทำให้ธนาคารใช้งานสคริปต์การตรวจสอบลายนิ้วมืออันเป็นกรรมสิทธิ์เฉพาะของตนได้ โดยการดำเนินการนี้เป็นส่วนหนึ่งของขั้นตอนการตรวจสอบลายนิ้วมือใน 3DS2 (เราตระหนักดีกว่าวิธีการตรวจสอบลายนิ้วมือนี้กำลังจะใช้การไม่ได้เนื่องจากเบราว์เซอร์ใช้การจัดเก็บข้อมูลแบบป้อนข้อมูลสองครั้ง เรากำลังร่วมมือกับ W3C และเครือข่ายบัตรต่างๆ เพื่อพัฒนาวิธีการอื่นในการรักษาความเป็นส่วนตัว)
หากคุณชำระเงินในแอป SDK ของ iOS และ Android จะเก็บข้อมูลต่อไปนี้
ID อุปกรณ์เฉพาะของแอป: identifierForVendor บน iOS และ ANDROID_ID บน Android (หมายเหตุ: แอปที่ติดตั้งก่อน Android 8.0 จะตรวจหา ANDROID_ID สากลแทนที่ค่าเฉพาะของแอป)
รุ่นของอุปกรณ์
เวอร์ชันของระบบปฏิบัติการ
ภาษา ประเทศ และเขตเวลาของระบบ
ขนาดของหน้าจอ
นอกจากนี้ ข้อมูลจำเพาะของ 3D Secure 2 ยังระบุถึงองค์ประกอบข้อมูลจำนวนหนึ่งที่ SDK ของ iOS และ Android จะไม่เก็บอีกด้วย
SDK ของ Android และ iOS จะไม่เก็บรหัสโฆษณาเพื่อให้แน่ใจว่าแอปของคุณเป็นไปตามนโยบายของ App Store และ Play Store
SDK ของ iOS และ Android จะไม่เก็บข้อมูลตำแหน่งที่ตั้ง
SDK ของ iOS และ Android จะไม่เก็บข้อมูลระบุฮาร์ดแวร์ (IMEI และที่อยู่ MAC) หรือการกำหนดค่าของผู้ใช้ (การตั้งค่าโหมดสั่นและรายการของแอปที่ติดตั้ง) เว้นแต่ว่าเป็นข้อมูลที่ระบุไว้ด้านบน ผู้ให้บริการแพลตฟอร์มกำลังทยอยเลิกให้สิทธิ์เข้าถึงข้อมูลในหมวดหมู่เหล่านี้ และเราไม่เชื่อว่าข้อมูลที่กล่าวไปจะช่วยเพิ่มประสิทธิภาพในการระบุความเสี่ยงมากนัก
SDK ของ iOS และ Android จะเข้ารหัสข้อมูลอุปกรณ์โดยใช้คีย์ที่เครือข่ายบัตรเป็นผู้ถืออยู่ เซิร์ฟเวอร์ของ Stripe จะไม่มีสิทธิ์เข้าถึงข้อมูลเหล่านี้
หมายเหตุ: SDK ของ iOS และ Android จะตรวจสอบขั้นพื้นฐานเพื่อตรวจจับอุปกรณ์ที่ผ่านการรูท ตามข้อกำหนดของ PCI 3DS โดยระบบจะส่งเฉพาะค่าบูลีนที่ระบุว่าการตรวจสอบสำเร็จหรือไม่สำเร็จไปยังเซิร์ฟเวอร์เท่านั้น นอกจากนี้ ตามข้อกำหนดของ PCI 3DS องค์ประกอบของ SDK ของ Android ที่เกี่ยวเนื่องกับ 3DS2 จะต้องถูกปกปิดไว้ด้วย ProGuard
ระบบจะเก็บข้อมูลอุปกรณ์จาก 3D Secure หลังมีการยืนยัน PaymentIntent หรือ SetupIntent (กล่าวคือ เมื่อคุณเรียกใช้ confirmCardPayment หรือ API อื่นๆ ที่เทียบเท่า) โดยปกติแล้ว เหตุการณ์นี้จะเกิดขึ้นครั้งเดียวเมื่อลูกค้าคลิกที่ปุ่ม "ชำระเงิน" ในหน้าการชำระเงิน
การเก็บข้อมูลอุปกรณ์ถือเป็นข้อกำหนดของโปรโตคอล 3D Secure 2 และการดำเนินการนี้จะทริกเกอร์ได้ในระหว่างขั้นตอนการชำระเงินเท่านั้น พารามิเตอร์ advancedFraudSignals จะไม่ส่งผลใดต่อกระบวนการนี้
หากคุณมีความเห็นเกี่ยวกับข้อมูลอุปกรณ์ที่ Stripe.js รวมถึง SDK สำหรับ iOS และ Android ดำเนินการเก็บรวบรวม โปรดติดต่อฝ่ายสนับสนุนของ Stripe
หากคุณกำลังหาข้อมูลเกี่ยวกับการจัดการ 3DS ด้วยการชำระเงินตามแบบแผนล่วงหน้า ให้ไปที่คู่มือ Stripe Billing ใน Stripe Docs
หากต้องการคำแนะนำในการจัดการ 3DS ด้วยการชำระเงินแบบครั้งเดียว ให้ไปที่คู่มือการตรวจสอบสิทธิ์บัตรและ 3D Secure