Migratiegids voor gebruikers van plug-ins

Op wie is dit van toepassing?

Dit is van toepassing op alle verkopers die bij een integratie van derden hebben geauthenticeerd met hun geheime API-sleutel van Stripe. Deze integraties worden meestal plug-ins genoemd, maar kunnen ook andere namen hebben. Stripe definieert een plug-in als een integratie tussen een oplossing van derden en Stripe waarvoor gebruikers moeten authenticeren met hun geheime API-sleutels. Een plug-in heeft meestal interactie met de Stripe-API door namens zijn gebruikers API-aanroepen te doen of te reageren op gebeurtenissen van de Stripe-API. Plug-ins voeren vaak code uit zodat Stripe interactie kan hebben met andere software (bijv. om betalingen te ontvangen op Wordpress), maar kunnen ook andere vormen aannemen, bijvoorbeeld de vorm van een opensource-bibliotheek.

Wat gaat er veranderen en waarom?

Stripe scherpt zijn beveiligingseisen voor developers en gebruikers van plug-ins aan. Geheime API-sleutels kunnen onbeperkt worden gebruikt voor alle soorten API-verzoeken en geven derden volledige toegang tot het Stripe-account van een gebruiker. Het zijn een soort inloggegevens voor accounts, vergelijkbaar met een gebruikersnaam en wachtwoord. Als kwaadwillende gebruikers toegang krijgen tot een geheime sleutel, kunnen ze die gebruiken om een verkoper en andere partijen in het ecosysteem van Stripe te schaden. Stripe-gebruikers moeten hun geheime API-sleutels dan ook geheim houden. Bij Stripe nemen we allerlei voorzorgsmaatregelen om te garanderen dat geheime API-sleutels goed beschermd zijn.

De meeste plug-ins hebben niet alle machtigingen, maar slechts een beperkte set nodig. In de wereld van vandaag is het erg risicovol dat developers van gebruikers vragen dat zij de inloggegevens voor hun account handmatig kopiëren naar een platform van derden. Om de kans te verkleinen dat gebruikers, developers en Stripe het slachtoffer worden van fraude, eisen we van developers dat zij beperkte API-sleutels of OAuth gebruiken voor plug-in-authenticatie.

Op 1 januari 2024 heeft Stripe ondersteuning voor authenticatie met beperkte API-sleutels en OAuth 2.0 toegevoegd aan Stripe Apps, zodat plug-ins veiliger kunnen werken in het ecosysteem. Dankzij deze beveiligingsupdate voldoet Stripe niet alleen aan de laatste beveiligingsnormen, maar hebben verkopers die deze integraties van derden gebruiken ook meer controle over hun zakelijke processen en gegevens.

Wanneer vinden deze veranderingen plaats?

Vanaf 30 september 2024 eist Stripe van alle developers van plug-ins dat zij nieuwe, veilige authenticatiemethoden (beperkte API-sleutels, OAuth 2.0 of Stripe Connect) gebruiken om gebruikers tegen fraude te beschermen. Alle developers van bestaande en nieuwe plug-ins moeten een van deze nieuwe veilige autorisatiemethoden gebruiken. Als developers ervoor kiezen gebruik te maken van beperkte API-sleutels of OAuth 2.0 via een Stripe App, moeten hun apps worden gecontroleerd en goedgekeurd door Stripe voordat ze gepubliceerd mogen worden op de Stripe App Marketplace.

Vanaf 29 oktober 2024 eist Stripe dat alle verkopers die plug-ins gebruiken, de beveiliging van hun verbindingen aanscherpen door te authenticeren met beperkte API-sleutels of OAuth 2.0. Dit is een geplande upgrade om de algemene beveiliging van Stripe-integraties van derden te verbeteren en te voldoen aan de nieuwste normen van Stripe. Stripe kan in 2025 kosten in rekening brengen als ondernemingen niet aan deze beveiligingseis voldoen.

Waarom is het belangrijk om beperkte API-sleutels of OAuth te gebruiken?

Voor een betere beveiliging en meer controle is het essentieel om bij authenticatie bij diensten van derden beperkte API-sleutels of OAuth 2.0 te gebruiken in plaats van geheime sleutels. Beperkte API-sleutels zorgen voor een hoger niveau van beveiliging door ondernemingen in staat te stellen machtigingen exacter te beheersen, zodat diensten van derden alleen toegang krijgen tot de noodzakelijke gegevens en acties. OAuth 2.0 is een getokeniseerde autorisatie in één klik die ondernemingen aan derden kunnen aanbieden voor integraties. OAuth 2.0 biedt net als beperkte API-sleutels meer controle over de machtigingen die je toekent aan derden en een hoger beschermingsniveau. Deze opties zorgen niet alleen voor een betere bescherming tegen onbevoegde toegang en fraude, maar stroomlijnen ook de processen, waardoor integraties efficiënter en betrouwbaarder worden.

Stripe Apps en beveiligde autorisatie

Op 1 januari 2024 heeft Stripe aanvullende opties voor Stripe Apps gelanceerd die plug-in-autorisatie eenvoudiger en veiliger maken. Stripe Apps synchroniseren gegevens naadloos tussen systemen, vereenvoudigen authenticatie en geven optioneel relevante gebruikersinterface-elementen weer op het Stripe-dashboard. Alle developers van nieuwe en bestaande plug-ins moeten autorisatie met OAuth 2.0 of beperkte API-sleutels aanbieden via een Stripe App. Alle Stripe Apps worden gecontroleerd om te zien of de machtigingen kloppen voordat ze worden gepubliceerd op de Stripe App Marketplace. Door deze stappen te volgen wanneer je een app van derden installeert, zorg je ervoor dat deze derden alleen toegang hebben tot de noodzakelijke gedeelten van je Stripe-gegevens.

Authenticatie met OAuth

Authenticatie met OAuth

Authenticatie met beperkte API-sleutel (RAK)

Authenticatie met beperkte API-sleutel (RAK)

Hoe verkopers hun beveiliging zelf kunnen bijwerken

Als de developer van je plug-in nog geen update naar een Stripe App heeft uitgevoerd, kan je zelf een beperkte API-sleutel genereren voor je integratie. Volg de onderstaande stappen om de nieuwe sleutel in te stellen en te integreren:

  1. Ga naar het onderdeel API-sleutels op je Stripe-dashboard.
  2. Genereer een nieuwe beperkte sleutel of kloon een bestaande.
    1. Klik op 'Beperkte sleutel maken' om een nieuwe sleutel te maken. Standaard zijn alle rechten ingesteld op 'Geen'.
    2. Selecteer 'Sleutel dupliceren' in de opties voor de sleutel die je wilt klonen. Standaard worden de machtigingen van de gekloonde sleutel toegepast op de nieuwe sleutel.
  3. Vernoem de sleutel duidelijk naar de plug-in die je gebruikt. Als je bijvoorbeeld op rocketrides.com zit, kun je de sleutel 'Beperkte sleutel RocketRides' noemen.
  4. Pas de machtigingen voor elke resource aan door te kiezen uit 'Geen', 'Lezen' of 'Schrijven'. Geef machtigingen op voor gekoppelde accounts als je Stripe Connect gebruikt.
  5. Klik op 'Sleutel maken' om de nieuwe beperkte API-sleutel te genereren.
  6. Verifieer de actie via e-mail of sms en voer de ontvangen code in om het proces af te ronden.
  7. Kopieer de nieuwe sleutelwaarde die wordt weergegeven. Dit is de enige gelegenheid die je krijgt om dat te doen.
  8. Noteer waar je de sleutel hebt opgeslagen en klik op 'Gereed'.

Door deze stappen te volgen, zorg je voor een veilige integratie met diensten van derden en maak je optimaal gebruik van de mogelijkheden van Stripe.

Nieuw traject voor API-sleutels

Voor sommige gebruikers ziet het traject om API-sleutels te genereren er anders uit. Volg in die gevallen deze stappen:

  1. Ga naar het onderdeel met API-sleutels op je dashboard.
  2. Klik op 'Beperkte sleutel maken'.
  3. Selecteer 'Deze sleutel verstrekken aan een andere website' en klik op 'Doorgaan'.
  4. Voer de naam en de URL van de app of plug-in van derden in.
  5. Vink 'Machtigingen voor deze sleutel aanpassen' alleen aan als je hiervoor instructies hebt gekregen.
  6. Klik op 'Beperkte sleutel maken'.
  7. Verifieer de actie via e-mail of sms en voer de ontvangen code in om het proces af te ronden.
  8. Kopieer de nieuw sleutelwaarde die wordt weergegeven.
  9. Integreer de sleutel door deze in de juiste velden in de instellingen van de derde partij in te vullen.

Opnieuw authenticeren met Stripe Connect Onboarding

Mogelijk kun je je plug-in ook koppelen aan je Stripe-account via Stripe Connect Onboarding. Als dit mogelijk is, ga je als volgt te werk:

  1. Ga naar de website of het dashboard van de plug-in die je wilt koppelen aan je Stripe-account.
  2. Zoek naar een gedeelte voor betalingen of integraties. Zoek hier naar een optie met de tekst 'Connect with Stripe' (Koppelen aan Stripe).
  3. Klik op de knop 'Connect with Stripe' (Koppelen aan Stripe). Je wordt dan op een beveiligde aanmeldingspagina van Stripe geleid.
  4. Meld je aan bij je Stripe-account met je aanmeldgegevens.
  5. Controleer de machtigingen die je gaat toekennen aan de plug-in als deze worden weergegeven. Deze machtigingen bepalen wat de plug-in mag doen met je Stripe-account.
  6. Om de plug-in toegang te geven, klik je op 'Toegang autoriseren'.
  7. Nadat autorisatie is verleend, bevestigt Stripe dat de plug-in nu is gekoppeld aan je account.
  8. Ga vervolgens weer naar de website of het dashboard van de plug-in.

Je WooCommerce Stripe-plug-in bijwerken

Stripe and WooCommerce werken samen om te garanderen dat hun gedeelde klanten gebruikmaken van aangescherpte beveiligingsmaatregelen en toegang hebben tot de nieuwste functies van de WooCommerce Stripe-plug-in, zoals Koop nu, betaal later.

Alle verkopers die de WooCommerce Stripe-plug-in gebruiken, moeten uiterlijk 29 oktober 2024 het volgende doen:

  1. de WooCommerce Stripe-plug-in updaten naar de laatste versie (8.6.1)
  2. de koppelingen tussen hun website en het Stripe-platform opnieuw authenticeren
  3. het nieuwe afrekenproces inschakelen

Sommige gebruikers van de WooCommerce Stripe-plug-in gebruiken de Sources-API om betaalmethoden te accepteren. Dit is een oude integratie die wordt afgeschaft. Om veilig betalingen te kunnen blijven ontvangen en te voorkomen dat hun klanten foutmeldingen te zien krijgen, moeten deze gebruikers de bovenstaande stappen uiterlijk op 29 oktober 2024 voltooien.

Raadpleeg de documentatie van WooCommerce en volg de stappen. WooCommerce heeft ook antwoorden op veelgestelde vragen opgenomen in de vastgepinde berichten op het openbare ondersteuningsforum voor de WooCommerce Stripe-plug-in.