A coleta de um documento de identificação ou o uso de dados biométricos de um cliente está sujeito a um escrutínio mais rígido sob diversas leis em vários países. O serviço de verificação de identidade da Stripe oferece uma contribuição ou ferramenta que pode ser usada como parte de um programa de conformidade. Procure aconselhamento independente jurídico ou de conformidade para determinar se o serviço de verificação de identidade da Stripe é adequado para uso como parte do seu programa de conformidade. A Stripe não oferece um método abrangente de conformidade com obrigações jurídicas regulatórias, como KYC (know your customer, conheça seu cliente), e não age como seu agente ao assumir esses requisitos em seu nome.
Leia nossas práticas recomendadas antes do lançamento para assegurar que está definindo as expectativas certas para os usuários e desenvolvendo uma integração segura. Também é possível usar este modelo de Perguntas frequentes para ajudar a explicar aos seus usuários como funciona a verificação de identidade usando o Stripe Identity.
O Stripe Identity pode ajudar você a cumprir alguns requisitos legais ao notificar os clientes de que os dados deles serão usados e compartilhados por você e a Stripe, segundo cada uma das nossas políticas de privacidade, e obtendo consentimento antes do uso desses dados biométricos para a verificação.
Embora a Stripe armazene uma cópia da imagem dos clientes e do documento de identificação para você no Stripe Dashboard, além de um registro do consentimento (quando aplicável), pode haver obrigações adicionais que se apliquem à retenção, ao uso e à exclusão desses dados.
Sempre discuta com sua consultoria jurídica para entender como você deve usar, reter e excluir esses dados pessoais sigilosos. Porém, você pode conferir a seguir alguns exemplos importantes de obrigações aplicáveis em algumas regiões que deve ter em mente:
Caso um cliente não consinta com o uso de dados biométricos, você pode fornecer um meio alternativo para acessar seu serviço que não precise da criação de um identificador biométrico. Converse com sua consultoria jurídica, mas saiba que uma forma alternativa pode exigir um fluxo manual de verificação.
Cada vez mais leis de privacidade proíbem que as empresas mantenham dados pessoais por mais tempo do que o necessário para a finalidade que foram obtidos ou após um indivíduo solicitar a exclusão. Por padrão, a Stripe equilibra suas necessidades empresariais com esses requisitos ao reter os dados no Stripe Dashboard por 3 anos, oferecendo a você a possibilidade de excluí-los antes caso solicitado pelo cliente ou se não tiver mais necessidade de usá-los. Saiba mais sobre a retenção de biometria realizada pela Stripe.
Alguns países, como Singapura e Alemanha, tratam documentos de identificação como dados especialmente sigilosos. Você só pode solicitar um documento de identificação de Singapura com uma justificativa plausível. Para reter uma cópia de um documento de identificação alemão após a realização da verificação inicial, você precisa de consentimento expresso para armazená-la. Consulte as legislações aplicáveis para confirmar se o seu caso de uso é válido e empregue o endpoint de supressão para excluir dados que você não tiver base legal para reter.
A Stripe não conhece suas obrigações legais e, quando atua como operadora de dados, não pode excluir dados em seu nome. Em vez disso, a Stripe solicitará que os clientes entrem em contato diretamente com você para solicitar a exclusão dos dados. Se um cliente pedir para você excluir os dados, suprima a VerificationSession para apagar os dados pessoais dessa VerificationSession. O processo pode demorar até 4 dias. Após a conclusão, a Stripe deixará de armazenar os dados pessoais dessa VerificationSession como seu provedor de serviços.
Recomendamos que você lembre seus clientes de que a Stripe também é controladora independente dos dados pessoais deles. Peça para enviarem um e-mail para privacy@stripe.com a fim de solicitar a exclusão dos dados armazenados pela Stripe.