Esto se aplica a cualquier comerciante que se haya autenticado con una integración de terceros por medio de su clave de API secreta de Stripe. Por lo general, estas integraciones se llaman plugins, pero también pueden tener otros nombres. Stripe define al plugin como cualquier integración entre una solución de terceros y Stripe que requiera que un usuario se autentique con sus claves de API secretas. Un plugin normalmente interactúa con las API de Stripe realizando llamadas API o reaccionando a los eventos de la API de Stripe en nombre de los usuarios. A menudo, los plugins ejecutan código para que Stripe pueda interactuar con otro software (por ejemplo, aceptar pagos en Wordpress), pero también pueden adoptar otras formas, como bibliotecas de código abierto.
Stripe está mejorando los requisitos de seguridad para los desarrolladores de plugins y los usuarios. Las claves de API secretas se pueden usar para cualquier tipo de solicitud API sin limitación, y les dan acceso total a terceros a la cuenta de Stripe de un usuario. Son una forma de credenciales de cuenta, como un nombre de usuario y una contraseña. Si los estafadores obtienen una clave secreta, pueden utilizarla para perjudicar al negocio de un comerciante y a otras partes del ecosistema de Stripe. Los usuarios de Stripe tienen la responsabilidad de mantener la seguridad de las claves de API secretas. En Stripe, tomamos muchas precauciones para garantizar la protección de las claves de API secretas.
La mayoría de los plugins no necesitan todos los permisos de acceso, sino un conjunto limitado. En el mundo actual, el riesgo se introduce cuando los desarrolladores les exigen a los usuarios que copien manualmente las credenciales de sus cuentas en una plataforma de terceros. Con el fin de reducir el riesgo de fraude para los usuarios, los desarrolladores y Stripe, les estamos exigiendo a los desarrolladores que utilicen claves de API restringidas u OAuth para la autenticación de plugins.
El 1 de enero de 2024, Stripe comenzó a aceptar la autenticación con una clave de API restringida y OAuth 2.0 en Stripe Apps, lo que permite que los plugins operen de forma más segura en el ecosistema. Esta actualización de seguridad no solo ayuda a cumplir con los últimos estándares de seguridad de Stripe, sino que también les permite a los comerciantes de estas integraciones de terceros tener más control sobre su negocio y sus datos.
El 30 de septiembre de 2024, Stripe les exigirá a todos los desarrolladores de plugins que adopten nuevos métodos de autenticación segura (clave de API restringida, OAuth 2.0 o Stripe Connect) para proteger a los usuarios contra el fraude. Todos los desarrolladores de plugins existentes y nuevos deben utilizar uno de estos métodos nuevos de autorización segura. Para aquellos desarrolladores que opten por utilizar una clave de API restringida u OAuth 2.0 a través de una aplicación de Stripe, Stripe debe revisar y aprobar su aplicación antes de que se publique en Stripe App Marketplace.
El 29 de octubre de 2024, Stripe comenzará a exigir que todos los comerciantes que utilicen plugins actualicen la seguridad de sus conexiones autenticándose con claves de API restringidas o con OAuth 2.0. Esta es una actualización planificada para mejorar la seguridad integral de las integraciones de terceros con Stripe y cumplir con los estándares más recientes de Stripe Stripe impondrá el pago de una comisión a partir de junio de 2025 a las empresas que no cumplan este requisito de seguridad.
Para tener mayor seguridad y control, es fundamental usar las claves de API restringidas u OAuth 2.0 en lugar de claves secretas al autenticarse con servicios de terceros. Las claves de API restringidas mejoran la seguridad, ya que les ofrecen a las empresas un control preciso sobre los permisos que conceden a terceros, lo que garantiza que los servicios de terceros solo accedan a datos y acciones necesarios. OAuth 2.0 es una autorización tokenizada con un solo clic que las empresas les proporcionan a terceros para integrarse. Al igual que las claves de API restringidas, OAuth 2.0 ofrece más control y protección sobre los permisos que se conceden a terceros. Estas opciones no solo respaldan la protección contra accesos no autorizados y el fraude, sino que también optimizan las operaciones, ya que hacen que las interacciones sean más eficientes y confiables para su uso.
El 1 de enero de 2024, Stripe introdujo funcionalidades adicionales para Stripe Apps que hicieron que la autorización de plugins fuera más fácil y segura. Stripe Apps sincroniza los datos a la perfección entre sistemas, simplifica la autenticación y, de manera opcional, muestra la interfaz de usuario (IU) pertinente en el Dashboard de Stripe. Todos los desarrolladores de plugins nuevos y existentes deben conseguir una autorización mediante OAuth 2.0 o una clave de API restringida a través de una aplicación de Stripe. Todas las aplicaciones de Stripe Apps se revisan para verificar que los permisos sean apropiados antes de publicarse en Stripe App Marketplace. Al seguir los pasos e instalar la aplicación creada por el tercero, se garantiza que este solo pueda acceder a las partes necesarias de tus datos de Stripe.
Autenticación con OAuth
Autenticación con RAK
Si el desarrollador de tu plugin no ha actualizado a una Stripe App, puedes generar una clave de API restringida para completar la integración por tu cuenta. Sigue los pasos que aparecen a continuación para configurar e integrar la nueva clave:
Si sigues estos pasos, garantizas una integración segura con los servicios de terceros y aprovechas al máximo las posibilidades que Stripe ofrece.
Es posible que algunos usuarios estén observando un recorrido diferente de creación de las claves de API. Si es tu caso, sigue estos pasos:
De modo alternativo, es posible que tu plugin permita que te conectes a tu cuenta de Stripe con el onboarding de Stripe Connect. Veamos cómo puedes hacerlo, en caso de ser posible:
Stripe y WooCommerce están colaborando para garantizar que nuestros clientes en común utilicen medidas de seguridad mejoradas y tengan acceso a las últimas funciones del plugin de Stripe para WooCommerce, como Compra ahora, paga después.
Todos los comerciantes que utilicen el plugin de Stripe para WooCommerce deberán hacer lo siguiente antes del 29 de octubre de 2024:
Algunos clientes del plugin de Stripe para WooCommerce están utilizando la API Sources para aceptar métodos de pago, que es una integración antigua que dejará de funcionar. Para seguir aceptando pagos de forma segura y evitar interrupciones para los clientes, estos clientes deben completar los pasos anteriores antes del 29 de octubre de 2024.
Consulta la documentación de WooCommerce para seguir estos pasos. WooCommerce también respondió las preguntas más frecuentes de los mensajes fijados que aparecen en el foro de ayuda al público sobre el plugin de Stripe para WooCommerce.