Pertimbangan hukum untuk menangani data verifikasi ID untuk bisnis Anda

Pengumpulan ID atau penggunaan informasi biometrik konsumen tunduk pada pengawasan ketat di bawah beragam undang-undang di banyak negara. Layanan verifikasi identitas Stripe menawarkan satu input atau alat yang dapat digunakan sebagai bagian dari program kepatuhan. Anda harus mencari saran legal atau kepatuhan swasta untuk menentukan apakah layanan verifikasi identitas Stripe sesuai untuk digunakan sebagai bagian dari program kepatuhan Anda. Harap ingat bahwa Stripe tidak menawarkan metode yang komprehensif pada kepatuhan dengan tanggung jawab legal peraturan seperti Kenali-Pelanggan-Anda (KYC), dan Stripe tidak bertindak sebagai agen Anda yang melaksanakan persyaratan ini atas nama Anda.

Harap tinjau praktik terbaik kami sebelum ditayangkan untuk memastikan bahwa Anda menetapkan harapan yang tepat dengan pengguna dan membangun integrasi yang aman. Anda juga dapat menggunakan templat Pertanyaan Umum ini untuk membantu menjelaskan cara kerja verifikasi ID melalui Stripe Identity kepada pengguna.

Stripe Identity dapat membantu Anda memenuhi beberapa persyaratan legal dengan memberi tahu pelanggan Anda bahwa informasi mereka akan digunakan dan dibagikan oleh Anda dan Stripe, sesuai dengan kebijakan privasi kami masing-masing, dan mendapatkan persetujuan sebelum penggunaan informasi biometrik mereka untuk verifikasi.

Meskipun Stripe akan menyimpan salinan foto dan ID pelanggan untuk Anda di Dashboard Stripe, serta catatan persetujuan (jika berlaku), mungkin ada kewajiban tambahan yang berlaku untuk penyimpanan, penggunaan, dan penghapusan data ini.


Anda harus selalu berkonsultasi dengan penasihat hukum untuk memahami cara menggunakan, menyimpan, dan menghapus data pribadi yang sensitif ini, tetapi berikut adalah beberapa contoh spesifik kewajiban yang berlaku di beberapa area dan yang harus Anda ingat:

Cara verifikasi alternatif

Jika pelanggan tidak menyetujui penggunaan informasi biometrik mereka, Anda mungkin perlu memberi mereka cara alternatif untuk mengakses layanan yang tidak memerlukan pembuatan pengenal biometrik. Konsultasikan dengan penasihat hukum Anda, tetapi satu cara alternatif mungkin dengan memiliki alur tinjauan manual untuk verifikasi.

Minimalisasi atau penghapusan data

Semakin banyak undang-undang privasi melarang perusahaan menyimpan data pribadi lebih lama dari yang diperlukan untuk tujuan yang dimaksud atau setelah seseorang meminta penghapusan.  Secara default, Stripe menyeimbangkan kebutuhan bisnis Anda dengan persyaratan ini dengan menyimpan data di Dashboard Stripe selama 3 tahun dan memberi Anda kemampuan untuk menghapusnya lebih cepat jika diminta oleh pengguna akhir atau jika tidak lagi membutuhkannya.  Untuk biometrik, pelajari selengkapnya tentang retensi biometrik Stripe.

Pembenaran untuk meminta atau menyimpan kartu ID sensitif

Beberapa negara, seperti Singapura dan Jerman, memperlakukan kartu identitas sebagai informasi yang sangat sensitif. Anda mungkin tidak dapat meminta Kartu ID Singapura tanpa alasan yang memadai atau menyimpan salinan Kartu ID Jerman setelah verifikasi awal dilakukan tanpa persetujuan tertulis untuk menyimpannya. Periksa undang-undang yang berlaku untuk memastikan bahwa kasus penggunaan Anda dapat diterima dan gunakan endpoint pengeditan untuk menghapus data yang tidak memiliki dasar hukum untuk disimpan. 

Menghormati permintaan penghapusan

Stripe tidak mengetahui kewajiban hukum Anda dan ketika bertindak sebagai pemroses data, tidak dapat menghapus data atas nama Anda. Sebagai gantinya, Stripe akan meminta pelanggan menghubungi Anda secara langsung untuk meminta penghapusan informasi mereka. Jika pelanggan meminta Anda untuk menghapus data mereka, Anda dapat mengedit VerificationSession yang akan menghapus data pribadi dari VerificationSession tersebut. Prosesnya bisa berlangsung hingga 4 hari. Setelah selesai, Stripe tidak akan lagi menyimpan data pribadi dari VerificationSession tersebut sebagai penyedia layanan Anda.

Kami menyarankan agar Anda mengingatkan pelanggan bahwa Stripe juga merupakan pengontrol independen dari data pribadi mereka dan mengarahkan mereka ke Stripe di privacy@stripe.com untuk meminta penghapusan data mereka oleh Stripe.