Ini berlaku untuk setiap merchant yang telah mengautentikasi dengan integrasi pihak ketiga menggunakan kunci API rahasia Stripe. Integrasi ini biasanya disebut plugin, tetapi juga dapat memiliki nama lain. Stripe mendefinisikan plugin sebagai setiap integrasi antara solusi pihak ketiga dan Stripe yang mewajibkan pengguna untuk mengautentikasi dengan kunci API rahasia. Plugin biasanya berinteraksi dengan API Stripe baik dengan membuat panggilan API atau bereaksi terhadap peristiwa API Stripe atas nama penggunanya. Seringkali, plugin menjalankan kode sehingga Stripe dapat berinteraksi dengan perangkat lunak lain (misalnya menerima pembayaran di Wordpress), tetapi plugin juga dapat berbentuk lain, seperti pustaka sumber terbuka.
Stripe sedang meningkatkan persyaratan keamanan kami untuk pengembang plugin dan para penggunanya. Kunci API rahasia dapat digunakan untuk permintaan API apa pun tanpa batasan, dan memberikan kepada pihak ketiga akses penuh ke akun Stripe pengguna. Kunci API merupakan kredensial akun, seperti nama pengguna dan kata sandi. Jika ada orang jahat mendapatkan kunci rahasia, mereka dapat menggunakannya untuk merugikan bisnis merchant dan pihak lain yang ada di ekosistem Stripe. Pengguna Stripe bertanggung jawab untuk menjaga keamanan kunci API rahasia. Di Stripe, kami melakukan banyak sekali tindakan pencegahan untuk memastikan kunci API rahasia terlindungi.
Sebagian besar plugin tidak memerlukan semua izin akses, tetapi hanya beberapa saja. Dalam dunia saat ini, ada risiko yang muncul ketika pengembang mengharuskan pengguna untuk menyalin kredensial akun secara manual ke platform pihak ketiga. Untuk mengurangi risiko penipuan yang dialami pengguna, pengembang, dan Stripe, kami mewajibkan pengembang untuk menggunakan kunci API terbatas atau OAuth untuk otentikasi plugin.
Pada 1 Januari 2024, Stripe menambahkan dukungan untuk autentikasi kunci API terbatas dan OAuth 2.0 ke Stripe Apps, yang memungkinkan plugin beroperasi lebih aman dalam ekosistem. Pembaruan keamanan ini tidak hanya membantu merchant mematuhi standar keamanan terbaru Stripe, tetapi juga memungkinkan mereka memiliki lebih banyak kendali atas bisnis dan data mereka pada integrasi pihak ketiga ini.
Pada 30 September 2024, Stripe mewajibkan semua pengembang plugin untuk mengadopsi metode autentikasi aman yang baru (Kunci API Terbatas, OAuth 2.0, atau Stripe Connect) untuk melindungi pengguna dari penipuan. Semua pengembang plugin, baik yang baru maupun yang sudah ada, harus menggunakan salah satu metode otorisasi aman ini. Bagi pengembang yang memilih untuk menggunakan kunci API terbatas atau OAuth 2.0 melalui aplikasi Stripe, aplikasi mereka harus ditinjau dan disetujui oleh Stripe sebelum diterbitkan di Stripe App Marketplace.
Pada 29 Oktober 2024, Stripe akan mulai mewajibkan semua merchant yang menggunakan plugin untuk meningkatkan keamanan koneksi mereka dengan melakukan autentikasi menggunakan kunci API terbatas atau OAuth 2.0. Ini adalah peningkatan yang direncanakan untuk meningkatkan keamanan keseluruhan integrasi pihak ketiga Stripe dan mematuhi standar terbaru Stripe. Stripe akan mengenakan biaya mulai Juni 2025 bagi bisnis yang tidak mematuhi persyaratan keamanan ini.
Untuk keamanan dan kontrol yang lebih baik, Anda harus menggunakan kunci API yang dibatasi atau OAuth 2.0 alih-alih kunci rahasia saat melakukan autentikasi dengan layanan pihak ketiga. Kunci API yang dibatasi meningkatkan keamanan dengan memberikan kepada bisnis kontrol yang tepat atas izin yang mereka berikan kepada pihak ketiga, memastikan layanan pihak ketiga hanya mengakses data dan tindakan yang diperlukan saja. OAuth 2.0 adalah otorisasi token sekali klik yang bisnis berikan kepada pihak ketiga untuk melakukan integrasi. Serupa dengan kunci API terbatas, OAuth 2.0 menawarkan lebih banyak kontrol dan perlindungan atas izin yang Anda berikan kepada pihak ketiga. Opsi-opsi ini tidak hanya akan memperkuat perlindungan terhadap akses tidak sah dan penipuan, tetapi juga dapat menyederhanakan operasi, membuat integrasi menjadi lebih efisien dan andal untuk digunakan.
Pada 1 Januari 2024, Stripe memperkenalkan kemampuan tambahan untuk Stripe Apps yang membuat otorisasi plugin menjadi lebih mudah dan aman. Stripe Apps menyinkronkan data tanpa gangguan antara sistem, menyederhanakan autentikasi, dan secara opsional menampilkan UI pengguna yang relevan di dashboard Stripe. Semua pengembang plugin, baik yang baru maupun yang sudah ada, harus membangun otorisasi OAuth 2.0 atau kunci API yang dibatasi melalui Stripe App. Semua Aplikasi Stripe ditinjau keakuratan izinnya sebelum diterbitkan di Stripe App Marketplace. Mengikuti langkah-langkah instalasi dan menginstal aplikasi yang dibuat oleh pihak ketiga memastikan akses hanya ke bagian data Stripe Anda yang diperlukan.
Autentikasi dengan OAuth
Autentikasi dengan RAK
Jika pengembang plugin Anda belum memperbarui ke Stripe App, Anda dapat membuat kunci API terbatas untuk integrasi Anda sendiri. Ikuti langkah-langkah di bawah ini untuk menyiapkan dan mengintegrasikan kunci API baru:
Dengan mengikuti langkah-langkah ini, Anda memastikan integrasi yang aman dengan layanan pihak ketiga, memanfaatkan kemampuan Stripe sepenuhnya.
Beberapa pengguna mungkin mengalami proses pembuatan kunci API yang berbeda. Ikuti langkah-langkah ini jika berlaku:
Jika tidak, plugin Anda mungkin akan mengizinkan Anda untuk menghubungkan akun Stripe Anda menggunakan Stripe Connect onboarding. Berikut cara melakukannya, jika tersedia:
Stripe dan WooCommerce bekerja sama untuk memastikan bahwa pelanggan bersama kami menggunakan langkah-langkah keamanan yang telah ditingkatkan dan memiliki akses ke fitur terbaru dari plugin WooCommerce Stripe, seperti fitur beli sekarang bayar nanti.
Semua merchant yang menggunakan plugin WooCommerce Stripe diharuskan untuk menyelesaikan hal-hal berikut sebelum 29 Oktober 2024:
Beberapa pelanggan plugin WooCommerce Stripe menggunakan Sources API untuk menerima metode pembayaran, yang merupakan integrasi lama yang tidak akan digunakan lagi. Agar Anda tetap dapat menerima pembayaran dengan aman dan menghindari kerusakan yang berdampak pada pelanggan, para pelanggan ini harus menyelesaikan langkah-langkah di atas sebelum 29 Oktober 2024.
Silakan lihat dokumentasi WooCommerce untuk mengikuti langkah-langkah tersebut. WooCommerce juga telah menyediakan jawaban atas banyak pertanyaan umum di postingan yang disematkan di forum dukungan publik untuk plugin WooCommerce Stripe.