Financial Connections: instruções para o comerciante

Por meio do Stripe Authentication (o "Serviço") da Stripe, é possível acessar os dados do cliente final para respaldar os produtos e serviços que você oferece aos clientes finais. O acesso aos dados dos clientes finais deve ser feito de forma consistente com a legislação válida, oferecendo ao usuário o controle e a transparência dos dados que estão sendo coletados, como são usados e como eles podem ser compartilhados. Consulte o departamento jurídico da sua empresa para entender suas obrigações em relação ao uso do serviço, mas aqui há alguns exemplos específicos de obrigações que podem se aplicar a algumas áreas.

Obter consentimento dos clientes finais

Obter um consentimento válido dos clientes finais para acessar e utilizar os dados deles é importante para o uso que você faz do serviço. Ao oferecer aos clientes finais a opção de vincular as contas financeiras externas pela Stripe, você deve:

(1) informar adequadamente a(s) finalidade(s) para a(s) qual(is) precisa obter os dados do cliente final; e

(2) divulgar de forma transparente como utilizará, armazenará e compartilhará os dados do cliente final.

A interface do usuário deve comunicar a finalidade da coleta e da utilização dos dados do cliente final e, concomitantemente, você deve limitar o uso dos dados do cliente final pela sua empresa a essa finalidade. Se você acessa informações e inicia débitos, é necessário obter autorizações separadas e distintas dos clientes finais para cada uma dessas atividades. Saiba mais sobre os pedidos de débito ACH aqui.

O painel de consentimento subsequente da Stripe capturará a aceitação do cliente final dos Termos de Serviço e da Política de Privacidade da Stripe e, por meio do nosso fluxo de consentimento, o cliente final poderá vincular as contas financeiras. Nem você nem outros comerciantes poderão modificar o painel de consentimento da Stripe.

Ao configurar sua plataforma, você solicitará determinadas categorias de dados dos clientes finais, e essas categorias de dados serão divulgadas aos clientes finais no fluxo de consentimento da Stripe. Se a sua empresa precisar acessar futuramente outros tipos de dados da conta do cliente final, ela precisará informar isso ao cliente final por meio de um fluxo de consentimento fornecido pela Stripe.

Manutenção de registros

É necessário manter os registros relacionados à sua conformidade com o contrato entre você e a Stripe, bem como com a legislação válida, incluindo:

Pode ser que a Stripe solicite cópias dos documentos relacionados a essas obrigações de manutenção de registros.

Retenção de dados. Um número crescente de leis de privacidade proíbe que as empresas mantenham dados pessoais por mais tempo do que o necessário para a finalidade que foram obtidos. É sua responsabilidade criar um procedimento de retenção interno de acordo com a legislação válida.

Obrigações do suporte ao cliente

Seu acesso e uso dos dados do cliente final estão sujeitos às leis e aos regulamentos válidos que exigem que você adote ações específicas caso receba as seguintes comunicações do cliente final.

  1. Solicitações do titular dos dados. Recomendamos que você se prepare internamente para receber solicitações dos clientes finais que desejam excluir os dados pessoais e/ou desconectar a conta financeira vinculada. Para as jurisdições que exigem conformidade com as solicitações de acesso aos dados, você também precisará lidar com essas solicitações de acordo com a legislação válida.

    1. Solicitações de desconexão:

      1. Interface do usuário: se você oferece aos clientes a opção de desconectar a conta, recomendamos especificar na sua interface que a desconexão interromperá o compartilhamento de novos dados da conta financeira, mas não excluirá os dados compartilhados anteriormente nem excluirá os dados da Stripe. Assim, os clientes finais poderão decidir se farão uma solicitação separada de exclusão de dados.

      2. Avise a Stripe: envie as solicitações de desconexão por meio 1) do formulário de desconexão da Stripe ou da 2) API Disconnections. Lembre-se de que a API Disconnections não exclui da Stripe os dados do usuário. Se o usuário solicitar a exclusão dos dados, utilize o formulário de desconexão.

    2. Solicitações de exclusão:

      1. Interface do usuário: recomendamos especificar em sua interface o que significa uma solicitação de “exclusão”, ou seja, se a solicitação de exclusão também incluirá uma desconexão da conta vinculada.

      2. Avise a Stripe: envie as solicitações de exclusão à Stripe pelo e-mail privacy@stripe.com com a linha de assunto “Financial Connections: Request for Account Deletion", ou peça que o cliente envie a solicitação diretamente à Stripe pelo nosso formulário de desconexão. Também exclua esses dados dos seus sistemas ou avise o cliente final sobre sua base jurídica para a retenção desses dados.

  2. Conexões não autorizadas. Se você ficar sabendo que o consentimento para compartilhar dados não foi autorizado por um dos clientes finais (p. ex., devido a roubo de identidade), envie uma solicitação de exclusão diretamente para a Stripe pelo e-mail privacy@stripe.com.

  3. Reclamações. Se você receber uma comunicação do usuário que atenda à definição de “reclamação” da Stripe, encaminhe-a oportunamente à Stripe entrando em contato com complaints@stripe.com ou utilizando nosso formulário de envio de reclamações e selecionado “Contas financeiras vinculadas” no menu suspenso.

    1. A Stripe define reclamações como “qualquer expressão de insatisfação com um produto, serviço, política ou funcionário relacionada aos serviços do Connections, exceto mensagens de funcionários da sua empresa”.

    2. Algumas reclamações podem ser consideradas “reclamações executivas” se incluírem ameaças de processos ou se forem enviadas por órgãos reguladores. Essas reclamações devem ser encaminhadas à Stripe em 1 dia após o recebimento.