¿A quiénes se aplica esto?

Esto se aplica a cualquier comerciante que se haya autenticado con una integración de terceros por medio de su clave de API secreta de Stripe. Por lo general, estas integraciones se llaman plugins, pero también pueden tener otros nombres. Stripe define al plugin como cualquier integración entre una solución de terceros y Stripe que requiera que un usuario se autentique con sus claves de API secretas. Un plugin normalmente interactúa con las API de Stripe realizando llamadas API o reaccionando a los eventos de la API de Stripe en nombre de los usuarios. A menudo, los plugins ejecutan código para que Stripe pueda interactuar con otro software (por ejemplo, aceptar pagos en Wordpress), pero también pueden adoptar otras formas, como bibliotecas de código abierto.

¿Cuáles son los cambios y por qué se hacen?

Stripe está mejorando los requisitos de seguridad para los desarrolladores de plugins y los usuarios. Las claves de API secretas se pueden usar para cualquier tipo de solicitud API sin limitación, y les dan acceso total a terceros a la cuenta de Stripe de un usuario. Son una forma de credenciales de cuenta, como un nombre de usuario y una contraseña. Si los estafadores obtienen una clave secreta, pueden utilizarla para perjudicar al negocio de un comerciante y a otras partes del ecosistema de Stripe. Los usuarios de Stripe tienen la responsabilidad de mantener la seguridad de las claves de API secretas. En Stripe, tomamos muchas precauciones para garantizar la protección de las claves de API secretas.

La mayoría de los plugins no necesitan todos los permisos de acceso, sino un conjunto limitado. En el mundo actual, el riesgo se introduce cuando los desarrolladores les exigen a los usuarios que copien manualmente las credenciales de sus cuentas en una plataforma de terceros. Con el fin de reducir el riesgo de fraude para los usuarios, los desarrolladores y Stripe, les estamos exigiendo a los desarrolladores que utilicen claves de API restringidas u OAuth para la autenticación de plugins.

El 1 de enero de 2024, Stripe comenzó a aceptar la autenticación con una clave de API restringida y OAuth 2.0 en Stripe Apps, lo que permite que los plugins operen de forma más segura en el ecosistema. Esta actualización de seguridad no solo ayuda a cumplir con los últimos estándares de seguridad de Stripe, sino que también les permite a los comerciantes de estas integraciones de terceros tener más control sobre su negocio y sus datos.

¿Cuándo se producirán los cambios?

El 30 de septiembre de 2024, Stripe les exigirá a todos los desarrolladores de plugins que adopten nuevos métodos de autenticación segura (clave de API restringida, OAuth 2.0 o Stripe Connect) para proteger a los usuarios contra el fraude. Todos los desarrolladores de plugins existentes y nuevos deben utilizar uno de estos métodos nuevos de autorización segura. Para aquellos desarrolladores que opten por utilizar una clave de API restringida u OAuth 2.0 a través de una aplicación de Stripe, Stripe debe revisar y aprobar su aplicación antes de que se publique en Stripe App Marketplace.

El 29 de octubre de 2024, Stripe comenzará a exigir que todos los comerciantes que utilicen plugins actualicen la seguridad de sus conexiones autenticándose con claves de API restringidas o con OAuth 2.0. Esta es una actualización planificada para mejorar la seguridad integral de las integraciones de terceros con Stripe y cumplir con los estándares más recientes de Stripe Stripe impondrá el pago de una comisión a partir de junio de 2025 a las empresas que no cumplan este requisito de seguridad.

¿Por qué usar claves de API restringidas u OAuth?

Para tener mayor seguridad y control, es fundamental usar las claves de API restringidas u OAuth 2.0 en lugar de claves secretas al autenticarse con servicios de terceros. Las claves de API restringidas mejoran la seguridad, ya que les ofrecen a las empresas un control preciso sobre los permisos que conceden a terceros, lo que garantiza que los servicios de terceros solo accedan a datos y acciones necesarios. OAuth 2.0 es una autorización tokenizada con un solo clic que las empresas les proporcionan a terceros para integrarse. Al igual que las claves de API restringidas, OAuth 2.0 ofrece más control y protección sobre los permisos que se conceden a terceros. Estas opciones no solo respaldan la protección contra accesos no autorizados y el fraude, sino que también optimizan las operaciones, ya que hacen que las interacciones sean más eficientes y confiables para su uso.

Stripe Apps y autorización segura

El 1 de enero de 2024, Stripe introdujo funcionalidades adicionales para Stripe Apps que hicieron que la autorización de plugins fuera más fácil y segura. Stripe Apps sincroniza los datos a la perfección entre sistemas, simplifica la autenticación y, de manera opcional, muestra la interfaz de usuario (IU) pertinente en el Dashboard de Stripe. Todos los desarrolladores de plugins nuevos y existentes deben conseguir una autorización mediante OAuth 2.0 o una clave de API restringida a través de una aplicación de Stripe. Todas las aplicaciones de Stripe Apps se revisan para verificar que los permisos sean apropiados antes de publicarse en Stripe App Marketplace. Al seguir los pasos e instalar la aplicación creada por el tercero, se garantiza que este solo pueda acceder a las partes necesarias de tus datos de Stripe.

Autenticación con OAuth

Autenticación con RAK

Cómo pueden los comerciantes actualizar su seguridad por sí mismos

Si el desarrollador de tu plugin no ha actualizado a una Stripe App, puedes generar una clave de API restringida para completar la integración por tu cuenta. Sigue los pasos que aparecen a continuación para configurar e integrar la nueva clave:

1. Dirígete a la sección de claves de API en el Dashboard de Stripe.
2. Inicia una clave restringida nueva o clona una existente.
   1. Haz clic en «Crear clave restringida» para empezar de cero. De forma predeterminada, todos los permisos se configuran con el parámetro «Ninguno».
   2. Selecciona «Duplicar clave» entre las opciones de la clave que quieres clonar. Los permisos de claves clonadas se preconfiguran como el valor predeterminado para la clave nueva.
3. Establece un nombre claro para tu clave que coincida con el plugin que estás usando. Por ejemplo, si estás en rocketrides.com, llamarías a tu clave «Clave restringida de RocketRides».
4. Ajusta los permisos para cada recurso. Para ello, elige «Ninguno», «Lectura» o «Escritura». Si usas Stripe Connect, especifica los permisos para las cuentas conectadas.
5. Haz clic en «Crear clave» para generar tu nueva clave de API restringida.
6. Verifica tu acción por correo electrónico o SMS y, luego, introduce el código para finalizar el proceso.
7. Copia el último valor de la clave que se haya mostrado (recuerda que esta es tu única posibilidad para copiarlo).
8. Indica dónde guardaste esta clave y haz clic en «Listo».

Si sigues estos pasos, garantizas una integración segura con los servicios de terceros y aprovechas al máximo las posibilidades que Stripe ofrece.

Nuevo recorrido para las claves de API

Es posible que algunos usuarios estén observando un recorrido diferente de creación de las claves de API. Si es tu caso, sigue estos pasos:

1. Dirígete a la sección de claves de API en el Dashboard.
2. Haz clic en «Crear clave restringida».
3. Selecciona «Asignar esta clave a otro sitio web» y haz clic en «Continuar».
4. Introduce el nombre y la URL de la aplicación o el plugin del tercero.
5. Deja la opción «Personalizar permisos para esta clave» sin marcar, salvo que se te indique lo contrario.
6. Haz clic en «Crear clave restringida».
7. Verifica tu acción por correo electrónico o SMS y, luego, introduce el código para finalizar el proceso.
8. Copia el último valor de la clave que se haya mostrado.
9. Introduce la clave en los campos correspondientes de los ajustes de terceros para integrarla.

Realiza una nueva autenticación usando el onboarding de Stripe Connect

De modo alternativo, es posible que tu plugin permita que te conectes a tu cuenta de Stripe con el onboarding de Stripe Connect. Veamos cómo puedes hacerlo, en caso de ser posible:

1. Dirígete al sitio web del plugin o al Dashboard que quieres vincular a tu cuenta de Stripe.
2. Busca una sección de pagos o integraciones. Tu objetivo es encontrar una opción que diga «Conectarse con Stripe».
3. Haz clic en el botón «Conectarse con Stripe». Se te redirigirá a una página de inicio de sesión seguro de Stripe.
4. Inicia sesión en la cuenta de Stripe con tus credenciales.
5. De ser posible, revisa los permisos que estás a punto de otorgarle al plugin. Describirán en términos generales lo que puede hacer el plugin con tu cuenta de Stripe.
6. Para darle acceso al plugin, haz clic en «Autorizar acceso».
7. Después de otorgar la autorización, Stripe confirmará que el plugin ya está conectado a tu cuenta.
8. En última instancia, se te redirigirá al Dashboard o al sitio del plugin.

Actualiza el plugin de Stripe para WooCommerce

Stripe y WooCommerce están colaborando para garantizar que nuestros clientes en común utilicen medidas de seguridad mejoradas y tengan acceso a las últimas funciones del plugin de Stripe para WooCommerce, como Compra ahora, paga después.

Todos los comerciantes que utilicen el plugin de Stripe para WooCommerce deberán hacer lo siguiente antes del 29 de octubre de 2024:

1. Actualizar el plugin de Stripe para WooCommerce a la última versión 8.6.1
2. Reautenticar la conexión de su sitio a la plataforma de Stripe.
3. Activar la nueva experiencia de proceso de compra.

Algunos clientes del plugin de Stripe para WooCommerce están utilizando la API Sources para aceptar métodos de pago, que es una integración antigua que dejará de funcionar. Para seguir aceptando pagos de forma segura y evitar interrupciones para los clientes, estos clientes deben completar los pasos anteriores antes del 29 de octubre de 2024.

Consulta la documentación de WooCommerce para seguir estos pasos. WooCommerce también respondió las preguntas más frecuentes de los mensajes fijados que aparecen en el foro de ayuda al público sobre el plugin de Stripe para WooCommerce.