A chi si applica questa regola?

Si applica a qualsiasi esercente che abbia eseguito l'autenticazione in un'integrazione di terze parti utilizzando la propria chiave API privata Stripe. Queste integrazioni sono generalmente chiamate plug-in, ma possono avere anche altri nomi. Stripe definisce un plug-in come un'integrazione tra una soluzione di terze parti e Stripe che richiede all'utente di autenticarsi con le proprie chiavi API private. Un plug-in in genere interagisce con le API Stripe effettuando chiamate API o reagendo agli eventi API Stripe per conto dei propri utenti. Spesso i plug-in eseguono codice in modo che Stripe possa interagire con altro software (ad esempio accettare pagamenti su Wordpress), ma possono assumere anche altre forme, come le librerie open-source.

Quali modifiche verranno apportate e perché?

Stripe sta migliorando i requisiti di sicurezza per gli sviluppatori di plug-in e i loro utenti. Le chiavi API private possono essere utilizzate per qualsiasi tipo di richiesta API senza limitazioni e forniscono a terze parti l'accesso completo all'account Stripe di un utente. Sono una forma di credenziali dell'account, come il nome utente e la password. Eventuali utenti malintenzionati che entrano in possesso di una chiave privata possono utilizzarla per danneggiare l'attività di un esercente e altre parti dell'ecosistema Stripe. Gli utenti Stripe hanno la responsabilità di mantenere al sicuro le chiavi API private. In Stripe vengono adottate numerose precauzioni per garantire la protezione delle chiavi API private.

La maggior parte dei plug-in non necessita di tutte le autorizzazioni di accesso, ma solo di un numero limitato. Nel mondo odierno, il rischio viene introdotto quando gli sviluppatori richiedono agli utenti di copiare manualmente le credenziali del proprio account su una piattaforma di terze parti. Per ridurre il rischio di frode per utenti, sviluppatori e Stripe, chiediamo agli sviluppatori di utilizzare chiavi API con limitazioni o il protocollo OAuth per l'autenticazione dei plug-in.

Il 1° gennaio 2024 Stripe ha aggiunto alle Stripe Apps il supporto per l'autenticazione con chiavi API con limitazioni e il protocollo OAuth 2.0, consentendo un funzionamento più sicuro dei plug-in nell'ecosistema. Questo aggiornamento di sicurezza non solo aiuta a rispettare i più recenti standard di sicurezza di Stripe, ma consente anche agli esercenti che utilizzano queste integrazioni di terze parti di avere un maggiore controllo sulla propria attività e sui propri dati.

Quando avverranno i cambiamenti?

Il 30 settembre 2024 Stripe richiederà a tutti gli sviluppatori di plug-in di adottare nuovi metodi di autenticazione sicuri (chiave API con limitazioni, protocollo OAuth 2.0 o Stripe Connect) per proteggere gli utenti dalle frodi. Tutti gli sviluppatori di plug-in esistenti e nuovi devono utilizzare uno di questi nuovi metodi di autorizzazione sicuri. Le app degli sviluppatori che scelgono di utilizzare una chiave API con limitazioni o il protocollo OAuth 2.0 tramite un'app Stripe devono essere esaminate e approvate da Stripe prima di essere pubblicate nello Stripe App Marketplace.

Il 29 ottobre 2024 Stripe inizierà a richiedere a tutti gli esercenti che utilizzano plug-in di aumentare il livello di sicurezza delle proprie connessioni eseguendo l'autenticazione mediante chiavi API con limitazioni o il protocollo OAuth 2.0. Si tratta di un aggiornamento programmato per aumentare la sicurezza complessiva delle integrazioni di terze parti e per uniformarsi ai più recenti standard di Stripe. A partire da giugno 2025 Stripe addebiterà una penale alle attività che non rispettano questo requisito di sicurezza.

Perché utilizzare le chiavi API con limitazioni o il protocollo OAuth?

Per una maggiore sicurezza e un controllo più capillare, è essenziale utilizzare chiavi API con limitazioni o il protocollo OAuth 2.0 al posto di chiavi private durante l'autenticazione in servizi di terze parti. Le chiavi API con limitazioni aumentano la sicurezza offrendo alle attività un controllo preciso delle autorizzazioni che concedono a terze parti e garantendo così che i servizi di terze parti accedano solo ai dati e alle azioni necessari. OAuth 2.0 è un'autorizzazione tokenizzata con un clic che le attività forniscono a terze parti affinché venga integrata. Analogamente alle chiavi API con limitazioni, il protocollo OAuth 2.0 offre una maggiore protezione e un controllo più capillare sulle autorizzazioni concesse a terze parti. Queste opzioni non solo rafforzano il livello di protezione contro accessi non autorizzati e frodi, ma semplificano anche le operazioni rendendo le integrazioni più efficienti e affidabili.

Stripe Apps e autorizzazione sicura

Il 1° gennaio 2024 Stripe ha introdotto funzionalità aggiuntive per le Stripe Apps che hanno reso l'autorizzazione dei plug-in più semplice e sicura. Le Stripe Apps sincronizzano perfettamente i dati tra i sistemi, semplificano l'autenticazione e, se richiesto, mostrano l'interfaccia utente pertinente nella Dashboard Stripe. Tutti gli sviluppatori di plug-in nuovi ed esistenti devono creare un'autorizzazione con OAuth 2.0 o chiave API con limitazioni tramite un'app Stripe. Tutte le Stripe Apps vengono sottoposte a verifica accurata delle autorizzazioni prima di essere pubblicate nello Stripe App Marketplace. Seguendo i passaggi di installazione e installando l'app creata dalla terza parte si garantisce l'accesso solo alle parti necessarie dei dati Stripe.

Autenticazione con OAuth

Autenticazione con RAK

In che modo gli esercenti possono aggiornare autonomamente la propria sicurezza

Se lo sviluppatore del plug-in non ha eseguito l'aggiornamento a un'app Stripe, puoi generare autonomamente una chiave API con limitazioni per la tua integrazione. Segui i passaggi riportati sotto per configurare e integrare la nuova chiave:

1. Accedi alla sezione Chiavi API della Dashboard Stripe.
2. Crea una nuova chiave con limitazioni o clonane una già esistente.
   1. Fai clic su "Crea chiave con limitazioni" per iniziare da zero. Per impostazione predefinita, tutte le autorizzazioni sono impostate su "Nessuna".
   2. Dalle opzioni corrispondenti alla chiave da clonare, seleziona "Duplica chiave". Le autorizzazioni della chiave clonata sono impostate come predefinite per la nuova chiave.
3. Assegna alla chiave un nome facilmente associabile al plug-in che stai utilizzando. Ad esempio, se sei sul sito rocketrides.com, potresti assegnare alla chiave il nome "Chiave con limitazioni RocketRides".
4. Configura le autorizzazioni per ciascuna risorsa, scegliendo tra "Nessuna", "Lettura" o "Scrittura". Specifica le autorizzazioni per gli account connessi, se usi Stripe Connect.
5. Fai clic su "Crea chiave" per generare la nuova chiave API con limitazioni.
6. Verifica l'azione tramite email o SMS, quindi inserisci il codice per completare la procedura.
7. Copia il valore della chiave appena visualizzato. Hai una solo possibilità per copiarlo.
8. Annota la posizione in cui hai salvato la chiave e fai clic su "Fine".

Seguendo questi passaggi, rendi più sicura l'integrazione con i servizi di terze parti sfruttando appieno le funzionalità di Stripe.

Procedura per la nuova chiave API

Alcuni utenti potrebbero visualizzare una procedura diversa per la creazione della chiave API. Segui questi passaggi, se applicabili:

1. Accedi alla sezione Chiavi API della tua Dashboard.
2. Fai clic su "Crea chiave con limitazioni".
3. Seleziona "Fornire questa chiave a un altro sito web" e fai clic su "Continua".
4. Inserisci il nome e l'URL dell'applicazione o plug-in di terze parti.
5. Salvo istruzioni diverse, lascia la casella "Personalizza le autorizzazioni per questa chiave" non selezionata.
6. Fai clic su "Crea chiave con limitazioni".
7. Verifica l'azione tramite email o SMS, quindi inserisci il codice per completare la procedura.
8. Copia il valore della chiave appena visualizzato.
9. Integra la chiave posizionandola nei campi appropriati nelle impostazioni della terza parte.

Eseguire nuovamente l'autenticazione utilizzando l'attivazione Stripe Connect

In alternativa, il plug-in può consentire la connessione all'account Stripe utilizzando l'attivazione Stripe Connect. Se questa opzione è disponibile, ecco come procedere:

1. Vai sul sito web o sulla dashboard del plug-in che desideri collegare al tuo account Stripe.
2. Cerca la sezione dei pagamenti o delle integrazioni. Individua l'opzione "Connettiti con Stripe".
3. Fai clic sul pulsante "Connettiti con Stripe". Si aprirà una pagina di accesso sicuro Stripe.
4. Accedi al tuo account Stripe con le tue credenziali.
5. Se disponibili, esamina le autorizzazioni che stai per concedere al plug-in. Queste indicano le azioni che il plug-in può eseguire con il tuo account Stripe.
6. Per concedere l'accesso al plug-in, fai clic su "Autorizza l'accesso".
7. Dopo aver concesso l'autorizzazione, Stripe verifica che il plug-in sia collegato al tuo account.
8. Infine, tornerai al sito o alla dashboard del plug-in.

Aggiornare il plug-in di Stripe per WooCommerce

Stripe e WooCommerce collaborano per garantire che i clienti comuni utilizzino misure di sicurezza avanzate e abbiano accesso alle ultime funzionalità del plug-in di Stripe per WooCommerce, come il pagamento a rate.

Tutti gli esercenti che utilizzano il plug-in di Stripe per WooCommerce sono tenuti a completare le seguenti operazioni entro il 29 ottobre 2024:

1. Aggiornare il plug-in di Stripe per WooCommerce all'ultima versione (8.6.1)
2. Riautenticare la connessione del sito alla piattaforma Stripe
3. Attivare la nuova esperienza di pagamento

Alcuni clienti del plug-in di Stripe per WooCommerce utilizzano l'API Sources per accettare le modalità di pagamento (si tratta di un'integrazione obsoleta che verrà disattivata). Per continuare ad accettare pagamenti in modo sicuro ed evitare interruzioni a carico dei clienti, questi clienti devono completare i passaggi riportati sopra entro il 29 ottobre 2024.

Per seguire la procedura, consulta la documentazione di WooCommerce. WooCommerce ha inoltre fornito risposte alle domande più comuni nei post fissati sul forum di supporto pubblico per il plug-in di Stripe per WooCommerce.