Nutzer/innen-Migrationsleitfaden für Plugins

Wen betrifft dies?

Dies gilt für alle Händler/innen, die sich bei einer Drittanbieter-Integration mit ihrem geheimen API-Schlüssel von Stripe authentifiziert haben. Diese Integrationen werden in der Regel als Plugins bezeichnet, können aber auch andere Namen haben. Stripe definiert ein Plugin als jede Integration zwischen einer Drittanbieterlösung und Stripe, bei der sich Nutzer/innen mit ihrem geheimen API-Schlüssel authentifizieren müssen. Ein Plugin interagiert in der Regel mit Stripe-APIs, entweder durch API-Aufrufe oder durch Reaktion auf Stripe-API-Ereignisse im Auftrag seiner Nutzer/innen. Häufig führen Plugins Code aus, damit Stripe mit anderer Software interagieren kann (z. B. Zahlungen auf Wordpress annehmen). Sie können aber auch andere Formen annehmen, wie beispielsweise Open-Source-Bibliotheken.

Welche Änderungen werden vorgenommen und warum?

Stripe verbessert seine Sicherheitsanforderungen für Plugin-Entwickler/innen und deren Nutzer/innen. Geheime API-Schlüssel können ohne Einschränkung für jede Art von API-Anfrage verwendet werden und ermöglichen Dritten den uneingeschränkten Zugriff auf das Stripe-Konto eines Nutzers/einer Nutzerin. Es handelt sich dabei um eine Art von Kontoanmeldedaten wie Nutzername und Passwort. Wenn Personen mit böswilligen Absichten Zugriff auf einen Geheimschlüssel erlangen, können Sie damit dem Unternehmen eines Händlers und anderen Parteien im Stripe-Ecosystem Schaden zufügen. Stripe-Nutzer/innen sind für die sichere Aufbewahrung der geheimen API-Schlüssel verantwortlich. Bei Stripe treffen wir viele Vorkehrungen, um sicherzustellen, dass geheime API-Schlüssel geschützt sind.

Die meisten Plugins benötigen nicht alle Zugriffsberechtigungen, sondern nur eine begrenzte Anzahl. Heutzutage stellt es ein Risiko dar, wenn Entwickler/innen von Nutzer/innen verlangen, dass sie ihre Kontoanmeldedaten manuell auf eine Drittanbieterplattform kopieren. Um das Betrugsrisiko für Nutzer/innen, Entwickler/innen und Stripe zu senken, verlangen wir von Entwickler/innen, dass sie eingeschränkte API-Schlüssel oder OAuth für die Plugin-Authentifizierung verwenden.

Am 1. Januar 2024 hat Stripe Unterstützung für eingeschränkte API-Schlüssel und die OAuth 2.0-Authentifizierung zu Stripe Apps hinzugefügt. So können Plugins sicherer im Eosystem ausgeführt werden. Dieses Sicherheits-Update trägt nicht nur dazu bei, die neuesten Sicherheitsstandards von Stripe zu erfüllen, sondern ermöglicht Händlerinnen und Händlern, die diese Drittanbieterintegrationen nutzen, mehr Kontrolle über ihre Geschäfte und ihre Daten.

Wann finden die Änderungen statt?

Am 30. September 2024 verlangt Stripe von allen Plugin-Entwickler/innen die Einführung neuer sicherer Authentifizierungsmethoden (eingeschränkte API-Schlüssel, OAuth 2.0 oder Stripe Connect), um Nutzer/innen vor Betrug zu schützen. Alle bestehenden und neuen Plugin-Entwickler/innen müssen eine dieser neuen sicheren Autorisierungsmethoden nutzen. Die Entwickler/innen, die eingeschränkte API-Schlüssel oder OAuth 2.0 über eine Stripe-App nutzen möchten, müssen ihre App von Stripe überprüfen und genehmigen lassen, bevor sie im Stripe App Marketplace veröffentlicht wird.

Ab dem 29. Oktober 2024 verlangt Stripe von allen Händlerinnen und Händlern, die Plugins verwenden, dass sie die Sicherheit ihrer Verbindungen verbessern, indem sie sich entweder mit eingeschränkten API-Schlüsseln oder über OAuth 2.0 authentifizieren. Es handelt sich um ein geplantes Upgrade, um die allgemeine Sicherheit der Stripe-Drittanbieterintegrationen zu erhöhen und den neuesten Standards von Stripe zu entsprechen. Stripe berechnet ab Juni 2025 eine Gebühr für Unternehmen, die diese Sicherheitsanforderung nicht erfüllen.

Warum sollten eingeschränkte API-Schlüssel oder OAuth verwendet werden?

Für mehr Sicherheit und Kontrolle ist bei der Authentifizierung von Drittanbieterdiensten die Verwendung von eingeschränkten API-Schlüsseln oder OAuth 2.0 anstelle von Geheimschlüsseln unerlässlich. Eingeschränkte API-Schlüssel erhöhen die Sicherheit, indem sie Unternehmen präzise Kontrolle über die Berechtigungen bieten, die sie Dritten erteilen, und sicherstellen, dass Drittanbieterdienste nur auf die erforderlichen Daten und Aktionen zugreifen können. OAuth 2.0 ist eine tokenisierte Ein-Klick-Autorisierung, die Unternehmen Dritten für die Integration zur Verfügung stellen. Ähnlich wie eingeschränkte API-Schlüssel bietet OAuth 2.0 Ihnen mehr Kontrolle über und Schutz der Berechtigungen, die Sie Dritten gewähren. Diese Optionen erhöhen nicht nur den Schutz vor unbefugtem Zugriff und Betrug, sondern optimieren auch die Abläufe, so dass Sie die Integrationen effizienter und zuverlässiger nutzen können.

Stripe Apps und sichere Autorisierung

Am 1. Januar 2024 hat Stripe zusätzliche Funktionen für Stripe Apps eingeführt, die die Plugin-Autorisierung einfacher und sicherer machen. Stripe Apps synchronisiert Daten nahtlos zwischen Systemen, vereinfacht die Authentifizierung und zeigt optional relevante Nutzeroberflächen im Stripe-Dashboard an. Alle neuen und bestehenden Plugin-Entwickler/innen müssen eine OAuth 2.0- oder eingeschränkte API-Schlüssel-Autorisierung über eine Stripe-App erstellen. Alle Stripe-Apps werden vor der Veröffentlichung im Stripe App Marketplace auf korrekte Berechtigungen überprüft. Wenn Sie die Installationsschritte ausführen und die von dem Drittanbieter erstellte App installieren, wird sichergestellt, dass der Zugriff ausschließlich auf erforderliche Teile Ihrer Stripe-Daten beschränkt ist.

Authentifizierung mit OAuth

Authentifizierung mit OAuth

Authentifizierung mit RAK

Authentifizierung mit RAK

So können Händler/innen ihre Sicherheitseinstellungen per Self-Service aktualisieren

Wenn Ihr/e Plugin-Entwickler/in nicht auf eine Stripe-App aktualisiert hat, können Sie selbst einen eingeschränkten API-Schlüssel für Ihre Integration generieren. Befolgen Sie die nachstehenden Schritte, um den neuen Schlüssel einzurichten und zu integrieren:

  1. Navigieren Sie zum Abschnitt API-Schlüssel im Stripe-Dashboard.
  2. Initiieren Sie einen neuen eingeschränkten Schlüssel oder duplizieren Sie einen vorhandenen.
    1. Klicken Sie auf „Eingeschränkten Schlüssel erstellen“, um neu zu starten. Standardmäßig sind alle Berechtigungen auf „Keine“ festgelegt.
    2. Wählen Sie in den Optionen des zu duplizierenden Schlüssels „Schlüssel duplizieren“ aus. Die Berechtigungen des duplizierten Schlüssels werden für den neuen Schlüssel vorab auf die Standardeinstellungen festgelegt.
  3. Benennen Sie Ihren Schlüssel eindeutig gemäß dem von Ihnen verwendeten Plugin. Wenn Sie sich auf rocketrides.com befinden, könnten Sie für Ihren Schlüssel beispielsweise die Bezeichnung „Eingeschränkter RocketRides-Schlüssel“ wählen.
  4. Passen Sie die Berechtigungen für jede Ressource an, wählen Sie dabei zwischen „Keine“, „Lesen“ und „Schreiben“ aus. Geben Sie bei Verwendung von Stripe Connect die Berechtigungen für verbundene Konten an.
  5. Klicken Sie auf „Schlüssel erstellen“, um Ihren neuen eingeschränkten API-Schlüssel zu generieren.
  6. Verifizieren Sie Ihre Aktion über E-Mail oder SMS und geben Sie dann Ihren Code ein, um den Vorgang abzuschließen.
  7. Kopieren Sie den neu angezeigten Schlüsselwert. Beachten Sie, dass dies Ihre einzige Gelegenheit ist, ihn zu kopieren.
  8. Merken Sie sich, wo Sie den Schlüssel gespeichert haben, und klicken Sie auf „Fertig“.

Indem Sie diese Schritte befolgen, sorgen Sie für eine sichere Integration mit Dienstleistungen von Drittanbietern und können die Funktionen von Stripe voll ausschöpfen.

Neues Verfahren für API-Schlüssel

Für manche Nutzer/innen kann die Erstellung eines API-Schlüssels vom dargestellten Verfahren abweichen. Befolgen Sie in diesem Fall die folgenden Schritte:

  1. Navigieren Sie zum Abschnitt API-Schlüssel in Ihrem Dashboard.
  2. Klicken Sie auf „Eingeschränkten Schlüssel erstellen“.
  3. Wählen Sie „Diesen Schlüssel an eine andere Website übergeben“ aus und klicken Sie auf „Weiter“.
  4. Geben Sie den Namen und die URL der Anwendungen oder Plugins von Drittanbietern ein.
  5. Die Option „Berechtigungen für diesen Schlüssel anpassen“ sollte nicht ausgewählt sein, sofern keine andere Anweisung erteilt wurde.
  6. Klicken Sie auf „Eingeschränkten Schlüssel erstellen“.
  7. Verifizieren Sie Ihre Aktion über E-Mail oder SMS und geben Sie dann Ihren Code ein, um den Vorgang abzuschließen.
  8. Kopieren Sie den neu angezeigten Schlüsselwert.
  9. Integrieren Sie den Schlüssel, indem Sie ihn auf den entsprechenden Feldern Ihrer Einstellungen für Drittanbieter platzieren.

Authentifizieren Sie sich erneut mit Stripe Connect Onboarding

Alternativ können Sie mit Ihrem Plugin auch eine Verbindung zu Ihrem Stripe-Konto herstellen, indem Sie Stripe Connect Onboarding verwenden. Im Folgenden erfahren Sie, wie Sie dabei vorgehen, falls verfügbar:

  1. Rufen Sie die Website oder das Dashboard des Plugins auf, das Sie mit Ihrem Stripe-Konto verknüpfen möchten.
  2. Suchen Sie nach einem Abschnitt für Zahlungen oder Integrationen. Suchen Sie nach einer Option, auf der „Mit Stripe verbinden“ steht.
  3. Klicken Sie auf die Schaltfläche „Mit Stripe verbinden“. Sie werden an eine sichere Stripe-Anmeldeseite weitergeleitet.
  4. Melden Sie sich mit Ihren Anmeldedaten bei Ihrem Stripe-Konto an.
  5. Falls vorhanden, überprüfen Sie die Berechtigungen, die Sie dem Plugin erteilen möchten. Darin erfahren Sie, welche Möglichkeiten das Plugin für Ihr Stripe-Konto bietet.
  6. Um dem Plugin Zugriff zu gewähren, klicken Sie auf „Zugriff autorisieren“.
  7. Nachdem Sie die Genehmigung erteilt haben, bestätigt Stripe, dass das Plugin nun mit Ihrem Konto verbunden ist.
  8. Abschließend werden Sie auf die Website oder zum Dashboard des Plugins weitergeleitet.

Aktualisieren Ihres WooCommerce-Stripe-Plugins

Durch ihre Zusammenarbeit können Stripe und WooCommerce sicherstellen, dass unseren gemeinsamen Kundinnen und Kunden verbesserte Sicherheitsmaßnahmen nutzen und Zugang zu den neuesten Funktionen des WooCommerce-Stripe-Plugins, wie „Jetzt kaufen, später bezahlen“, haben.

Alle Händler/innen, die das WooCommerce-Stripe-Plugin verwenden, müssen bis zum 29. Oktober 2024 die folgenden Schritte durchführen:

  1. Aktualisieren des WooCommerce-Stripe-Plugins auf die neueste Version 8.6.1
  2. Erneutes Authentifizieren der Verbindung Ihrer Website mit der Stripe-Plattform.
  3. Aktivieren des neuen Bezahlvorgangs.

Einige WooCommerce-Stripe-Plugin-Kundinnen/Kunden verwenden Sie Sources API, um Zahlungsmethoden zu akzeptieren. Dabei handelt es sich um eine alte Integration, die eingestellt wird. Um weiterhin Zahlungen sicher annehmen zu können und kundenseitige Unterbrechungen zu vermeiden, müssen diese Kundinnen/Kunden die obigen Schritte bis zum 29. Oktober 2024 durchführen.

Informationen zur Durchführen dieser Schritte finden Sie in der Dokumentation von WooCommerce. WooCommerce hat auch Antworten auf die häufigsten Fragen in den Beiträgen im öffentlichen Support-Forum für das Stripe-Plugin von WooCommerce bereitgestellt.