Panduan Migrasi Pengguna Plugin

Berlaku kepada siapa ketentuan ini?

Ini berlaku untuk setiap merchant yang telah mengautentikasi dengan integrasi pihak ketiga menggunakan kunci API rahasia Stripe. Integrasi ini biasanya disebut plugin, tetapi juga dapat memiliki nama lain. Stripe mendefinisikan plugin sebagai setiap integrasi antara solusi pihak ketiga dan Stripe yang mewajibkan pengguna untuk mengautentikasi dengan kunci API rahasia. Plugin biasanya berinteraksi dengan API Stripe baik dengan membuat panggilan API atau bereaksi terhadap peristiwa API Stripe atas nama penggunanya. Seringkali, plugin menjalankan kode sehingga Stripe dapat berinteraksi dengan perangkat lunak lain (misalnya menerima pembayaran di Wordpress), tetapi plugin juga dapat berbentuk lain, seperti pustaka sumber terbuka.

Perubahan apa yang sedang terjadi dan mengapa?

Stripe sedang meningkatkan persyaratan keamanan kami untuk pengembang plugin dan para penggunanya. Kunci API rahasia dapat digunakan untuk permintaan API apa pun tanpa batasan, dan memberikan kepada pihak ketiga akses penuh ke akun Stripe pengguna. Kunci API merupakan kredensial akun, seperti nama pengguna dan kata sandi. Jika ada orang jahat mendapatkan kunci rahasia, mereka dapat menggunakannya untuk merugikan bisnis merchant dan pihak lain yang ada di ekosistem Stripe. Pengguna Stripe bertanggung jawab untuk menjaga keamanan kunci API rahasia. Di Stripe, kami melakukan banyak sekali tindakan pencegahan untuk memastikan kunci API rahasia terlindungi.

Sebagian besar plugin tidak memerlukan semua izin akses, tetapi hanya beberapa saja. Dalam dunia saat ini, ada risiko yang muncul ketika pengembang mengharuskan pengguna untuk menyalin kredensial akun secara manual ke platform pihak ketiga. Untuk mengurangi risiko penipuan yang dialami pengguna, pengembang, dan Stripe, kami mewajibkan pengembang untuk menggunakan kunci API terbatas atau OAuth untuk otentikasi plugin.

Pada 1 Januari 2024, Stripe menambahkan dukungan untuk autentikasi kunci API terbatas dan OAuth 2.0 ke Stripe Apps, yang memungkinkan plugin beroperasi lebih aman dalam ekosistem. Pembaruan keamanan ini tidak hanya membantu merchant mematuhi standar keamanan terbaru Stripe, tetapi juga memungkinkan mereka memiliki lebih banyak kendali atas bisnis dan data mereka pada integrasi pihak ketiga ini.

Kapan perubahan ini terjadi?

Pada 30 September 2024, Stripe mewajibkan semua pengembang plugin untuk mengadopsi metode autentikasi aman yang baru (Kunci API Terbatas, OAuth 2.0, atau Stripe Connect) untuk melindungi pengguna dari penipuan. Semua pengembang plugin, baik yang baru maupun yang sudah ada, harus menggunakan salah satu metode otorisasi aman ini. Bagi pengembang yang memilih untuk menggunakan kunci API terbatas atau OAuth 2.0 melalui aplikasi Stripe, aplikasi mereka harus ditinjau dan disetujui oleh Stripe sebelum diterbitkan di Stripe App Marketplace.

Pada 29 Oktober 2024, Stripe akan mulai mewajibkan semua merchant yang menggunakan plugin untuk meningkatkan keamanan koneksi mereka dengan melakukan autentikasi menggunakan kunci API terbatas atau OAuth 2.0. Ini adalah peningkatan yang direncanakan untuk meningkatkan keamanan keseluruhan integrasi pihak ketiga Stripe dan mematuhi standar terbaru Stripe. Stripe akan mengenakan biaya mulai Juni 2025 bagi bisnis yang tidak mematuhi persyaratan keamanan ini.

Mengapa menggunakan kunci API terbatas atau OAuth?

Untuk keamanan dan kontrol yang lebih baik, Anda harus menggunakan kunci API yang dibatasi atau OAuth 2.0 alih-alih kunci rahasia saat melakukan autentikasi dengan layanan pihak ketiga. Kunci API yang dibatasi meningkatkan keamanan dengan memberikan kepada bisnis kontrol yang tepat atas izin yang mereka berikan kepada pihak ketiga, memastikan layanan pihak ketiga hanya mengakses data dan tindakan yang diperlukan saja. OAuth 2.0 adalah otorisasi token sekali klik yang bisnis berikan kepada pihak ketiga untuk melakukan integrasi. Serupa dengan kunci API terbatas, OAuth 2.0 menawarkan lebih banyak kontrol dan perlindungan atas izin yang Anda berikan kepada pihak ketiga. Opsi-opsi ini tidak hanya akan memperkuat perlindungan terhadap akses tidak sah dan penipuan, tetapi juga dapat menyederhanakan operasi, membuat integrasi menjadi lebih efisien dan andal untuk digunakan.

Stripe Apps dan otorisasi aman

Pada 1 Januari 2024, Stripe memperkenalkan kemampuan tambahan untuk Stripe Apps yang membuat otorisasi plugin menjadi lebih mudah dan aman. Stripe Apps menyinkronkan data tanpa gangguan antara sistem, menyederhanakan autentikasi, dan secara opsional menampilkan UI pengguna yang relevan di dashboard Stripe. Semua pengembang plugin, baik yang baru maupun yang sudah ada, harus membangun otorisasi OAuth 2.0 atau kunci API yang dibatasi melalui Stripe App. Semua Aplikasi Stripe ditinjau keakuratan izinnya sebelum diterbitkan di Stripe App Marketplace. Mengikuti langkah-langkah instalasi dan menginstal aplikasi yang dibuat oleh pihak ketiga memastikan akses hanya ke bagian data Stripe Anda yang diperlukan.

Autentikasi dengan OAuth

Autentikasi dengan OAuth

Autentikasi dengan RAK

Autentikasi dengan RAK

Bagaimana merchant dapat memperbarui keamanan mereka secara mandiri

Jika pengembang plugin Anda belum memperbarui ke Stripe App, Anda dapat membuat kunci API terbatas untuk integrasi Anda sendiri. Ikuti langkah-langkah di bawah ini untuk menyiapkan dan mengintegrasikan kunci API baru:

  1. Buka bagian kunci API di Dashboard Stripe.
  2. Buat kunci yang dibatasi baru atau gandakan yang sudah ada.
    1. Klik "Buat kunci yang dibatasi" untuk memulai dari awal. Secara default, semua izin diatur ke "Tidak ada".
    2. Pilih opsi "Gandakan kunci" dari opsi-opsi yang tersedia untuk kunci yang ingin Anda gandakan. Izin yang dimiliki oleh kunci yang digandakan akan diatur sebagai default untuk kunci baru.
  3. Beri nama kunci Anda dengan jelas sesuai dengan plugin yang Anda gunakan. Misalnya, jika Anda berada di rocketrides.com, Anda harus memberi nama kunci Anda "RocketRides Restricted Key."
  4. Sesuaikan izin untuk setiap sumber daya, pilih "Tidak ada," "Baca," atau "Tulis." Tentukan izin untuk akun terhubung jika Anda menggunakan Stripe Connect.
  5. Klik "Buat kunci" untuk membuat kunci API yang dibatasi baru Anda.
  6. Verifikasikan tindakan Anda melalui email atau SMS, lalu masukkan kode untuk menyelesaikan proses ini.
  7. Salin nilai kunci yang baru saja ditampilkan—ingat, ini adalah satu-satunya kesempatan Anda untuk menyalinnya.
  8. Catat di mana Anda menyimpan kunci ini dan klik "Selesai."

Dengan mengikuti langkah-langkah ini, Anda memastikan integrasi yang aman dengan layanan pihak ketiga, memanfaatkan kemampuan Stripe sepenuhnya.

Perjalanan Pembuatan Kunci API Baru

Beberapa pengguna mungkin mengalami proses pembuatan kunci API yang berbeda. Ikuti langkah-langkah ini jika berlaku:

  1. Buka bagian kunci API di Dashboard Anda.
  2. Klik "Buat kunci yang dibatasi."
  3. Pilih "Memberikan kunci ini ke situs web lain" dan klik "lanjutkan."
  4. Masukkan nama dan URL aplikasi atau plugin pihak ketiga.
  5. Biarkan "Sesuaikan izin untuk kunci ini" tidak dicentang kecuali Anda diminta sebaliknya.
  6. Klik "Buat kunci yang dibatasi."
  7. Verifikasikan tindakan Anda melalui email atau SMS, lalu masukkan kode untuk menyelesaikan proses ini.
  8. Salin nilai kunci yang baru saja ditampilkan.
  9. Integrasikan kunci dengan menempatkannya di kolom yang sesuai di pengaturan pihak ketiga Anda.

Autentikasi ulang menggunakan Stripe Connect Onboarding

Jika tidak, plugin Anda mungkin akan mengizinkan Anda untuk menghubungkan akun Stripe Anda menggunakan Stripe Connect onboarding. Berikut cara melakukannya, jika tersedia:

  1. Buka situs web atau dashboard plugin yang ingin Anda hubungkan dengan akun Stripe Anda.
  2. Cari bagian pembayaran atau integrasi. Anda perlu mencari opsi yang bertuliskan "Hubungkan dengan Stripe".
  3. Klik tombol "Hubungkan dengan Stripe". Anda akan diarahkan ke halaman masuk Stripe yang aman.
  4. Masuk ke akun Stripe Anda dengan kredensial Anda.
  5. Jika tersedia, tinjau izin yang akan Anda berikan untuk plugin. Ini akan menentukan apa yang dapat dilakukan plugin tersebut dengan akun Stripe Anda.
  6. Untuk memberikan akses kepada plugin, klik "Otorisasi akses".
  7. Setelah memberikan otorisasi, Stripe akan mengonfirmasi bahwa plugin sekarang terhubung ke akun Anda.
  8. Terakhir, Anda akan diarahkan kembali ke situs atau dashboard plugin.

Memperbarui plugin WooCommerce Stripe Anda

Stripe dan WooCommerce bekerja sama untuk memastikan bahwa pelanggan bersama kami menggunakan langkah-langkah keamanan yang telah ditingkatkan dan memiliki akses ke fitur terbaru dari plugin WooCommerce Stripe, seperti fitur beli sekarang bayar nanti.

Semua merchant yang menggunakan plugin WooCommerce Stripe diharuskan untuk menyelesaikan hal-hal berikut sebelum 29 Oktober 2024:

  1. Memperbarui plugin WooCommerce Stripe dengan versi terbaru 8.6.1
  2. Melakukan autentikasi ulang terhadap koneksi situs Anda ke platform Stripe.
  3. Mengaktifkan pengalaman checkout baru.

Beberapa pelanggan plugin WooCommerce Stripe menggunakan Sources API untuk menerima metode pembayaran, yang merupakan integrasi lama yang tidak akan digunakan lagi. Agar Anda tetap dapat menerima pembayaran dengan aman dan menghindari kerusakan yang berdampak pada pelanggan, para pelanggan ini harus menyelesaikan langkah-langkah di atas sebelum 29 Oktober 2024.

Silakan lihat dokumentasi WooCommerce untuk mengikuti langkah-langkah tersebut. WooCommerce juga telah menyediakan jawaban atas banyak pertanyaan umum di postingan yang disematkan di forum dukungan publik untuk plugin WooCommerce Stripe.