Insamling av ett ID eller användning av en konsuments biometriska information leder till ökad granskning enligt flera lagar i många länder. Stripes identitetsverifieringstjänst verifierar med en inmatning eller ett verktyg kan användas som en del av ett efterlevnadsprogram. Du bör söka oberoende juridisk rådgivning för att fastställa huruvida Stripes identitetsverifieringstjänst är lämplig som en del av ditt efterlevnadsprogram. Observera att Stripe inte erbjuder en heltäckande metod för efterlevnad av rättsliga krav som kundkännedom (KYC) och att Stripe inte agerar som en agent som utför dessa skyldigheter för din räkning.
Läs vår bästa praxis innan du lanserar för att säkerställa att du ger användarna rätt förväntningar och bygger en säker integration. Du kan också använda denna vanliga frågor-mall för att få hjälp att förklara för dina användare hur ID-verifiering fungerar i Stripe Identity.
Stripe Identity kan hjälpa dig att uppfylla vissa av dessa rättsliga krav genom att meddela alla dina kunder att deras information kommer att användas och delas av både dig och Stripe i enlighet med våra motsvarande integritetspolicyer, och genom att erhålla samtycke på förhand till användningen av deras biometriska information för verifieringsändamål.
Även om Stripe kommer att lagra en kopia av kundens bild och ID åt dig i Stripe Dashboard, såväl som en registrering av samtycket (där det behövs), kan det finnas ytterligare skyldigheter som gäller för din lagring, användning och radering av dessa personuppgifter.
Du bör alltid kontrollera med juridisk expertis för att förstå hur du bör använda, behålla och radera dessa känsliga personuppgifter, men här är några specifika exempel på skyldigheter som gäller inom vissa områden och som du bör tänka på:
Om en kund inte samtycker till användning av biometrisk information kan du behöva tillhandahålla ett alternativt sätt att komma åt din tjänst som inte kräver att en biometrisk identifierare skapas. Kontrollera med juridisk expertis, men ett alternativ kan vara att ha ett manuellt, mänskligt granskningsflöde för verifieringen.
Ett växande antal integritetslagar förbjuder företag att behålla personuppgifter längre än vad som är nödvändigt för det syfte de erhölls eller efter att en enskild person har begärt radering. Som standard balanserar Stripe dina affärsbehov med dessa krav genom att behålla personuppgifter i din Stripe Dashboard i 3 år och ge dig möjligheten att radera dem tidigare om kunden begär det eller om du inte längre har behov av dem. När det gäller biometri, läs mer om Stripes lagring av biometriska data.
Vissa länder, som Singapore och Tyskland, betraktar ID-kort som särskilt känslig information. Du kanske inte kan begära ett singaporianskt ID-kort utan tillräcklig motivering eller behålla en kopia av ett tyskt ID-kort efter att den första verifieringen genomförts utan uttryckligt medgivande att lagra det. Kontrollera tillämpliga lagar för att se till att ditt användningsfall är acceptabelt och använd redigeringsslutpunkt för att ta bort data som du inte har någon laglig grund att behålla.
Stripe känner inte till dina juridiska skyldigheter och kan inte ta bort personuppgifter för din räkning när Stripe agerar som ditt personuppgiftsbiträde. Istället kommer Stripe att begära att kunder kontaktar dig direkt för att begära borttagning av personuppgifter. Om en kund ber dig att ta bort personuppgifter kan du redigera VerificationSession vilket tar bort personuppgifterna från den VerificationSession
. Denna process kan ta upp till 4 dagar. När det är klart kommer Stripe inte längre att lagra personuppgifterna från den VerificationSession
som din tjänsteleverantör.
Vi rekommenderar att du påminner dina kunder om att Stripe också är en oberoende personuppgiftsansvarig för deras personuppgifter och hänvisar dem till Stripe på privacy@stripe.com för att begära att Stripe ska ta bort deras personuppgifter.