Guia de migração para usuários de plugin

A quem isso se aplica?

A qualquer comerciante que tenha feito autenticação com uma integração de terceiros usando a chave de API secreta da Stripe. Essas integrações costumam ser chamadas de plugins, mas podem ter outros nomes. A Stripe define um plugin como qualquer integração entre uma solução de terceiros e a Stripe que exija uma autenticação do usuário com chaves de API secretas. Normalmente, um plugin interage com as APIs da Stripe por meio de chamadas da API ou reações aos eventos da API da Stripe em nome de seus usuários. Muitas vezes, os plugins executam códigos para que a Stripe consiga interagir com outros softwares (ex.: aceitar pagamentos pelo WordPress), mas eles podem ter outros formatos, como bibliotecas de código aberto.

Que mudanças aconteceram e por quê?

A Stripe está melhorando os requisitos de segurança para desenvolvedores e usuários de plugins. As chaves de API secretas podem ser usadas para qualquer tipo de solicitação de API sem limitação e oferecem a terceiros acesso integral à conta Stripe de um usuário. Elas são uma forma de credencial de conta, como nome de usuário e senha. Se pessoas mal intencionadas obtiverem uma chave secreta, podem usá-la para prejudicar comerciantes e outras partes do ecossistema Stripe. Os usuários da Stripe são responsáveis por manter as chaves de API secretas em segurança. Na Stripe, tomamos muitas precauções para garantir que as chaves de API secretas fiquem protegidas.

A maioria dos plugins não precisa de permissões integrais, mas sim limitadas. No mundo de hoje, quando desenvolvedores exigem que os usuários copiem e colem manualmente as credenciais em uma plataforma de terceiros, isso acaba aumentando o risco. Para reduzir o risco de fraude aos usuários, os desenvolvedores e a Stripe, estamos exigindo que os desenvolvedores usem as chaves de API restritas ou OAuth para autenticação de plugin.

Em 1º de janeiro de 2024, a Stripe adicionou a opção de autenticação do Stripe Apps via chave de API restrita e OAuth 2.0, permitindo que os plugins trabalhassem de forma mais segura no ecossistema. Essa atualização de segurança não só contribuiu para a conformidade com os padrões de segurança mais recentes da Stripe, como também ajudou comerciantes nessas integrações com terceiros a ter mais controle sobre seus negócios e dados.

Quando as mudanças acontecerão?

A partir de 30 de setembro de 2024, a Stripe exigirá que todos os desenvolvedores de plugins adotem novos métodos de autenticação segura (chave de API restrita, OAuth 2.0, ou Stripe Connect) para fins de proteção contra fraudes. Todos os desenvolvedores de plugins novos e existentes precisam usar um desses métodos de autorização seguros. Para os desenvolvedores que optarem pela chave de API restrita ou OAuth 2.0 usando um aplicativo da Stripe, o aplicativo precisará ser analisado e aprovado pela Stripe antes de ser publicado no Stripe App Marketplace.

A partir de 29 de outubro de 2024, a Stripe começará a exigir de todos os comerciantes que usam plugins um upgrade das conexões por meio da autenticação via chaves de API restritas ou OAuth 2.0. Esse é um upgrade planejado para aumentar a segurança geral das integrações da Stripe com terceiros e cumprir os padrões mais recentes da empresa. A Stripe cobrará uma tarifa a partir de junho de 2025 de empresas que não cumprirem essa atualização de segurança.

Por que usar chaves de API restritas ou OAuth?

Para ter mais segurança e controle, é essencial usar chaves de API restritas ou OAuth 2.0 em vez de chaves secretas na hora de fazer a autenticação em serviços de terceiros. As chaves de API restritas aumentam a segurança porque oferecem mais controle sobre as permissões e garantem que os serviços de terceiros acessem somente os dados e ações necessárias. O OAuth 2.0 é uma autorização tokenizada em um clique que as empresas oferecem para integração com aplicativos de terceiros. Assim como as chaves de API restritas, o OAuth 2.0 oferece mais controle e proteção sobre as permissões que você concede a terceiros. Essas opções não só reforçam a proteção contra acessos não autorizados e fraudes, como também simplificam as operações, tornando as integrações mais eficientes e confiáveis.

Stripe Apps e autorização segura

Em 1º de janeiro de 2024, a Stripe introduziu mais recursos para os aplicativos da Stripe que tornaram a autorização de plugins mais fácil e segura. Os aplicativos da Stripe sincronizam dados entre sistemas de forma coesa, simplificam a autenticação e exibem IUs relevantes no Dashboard. Todos os desenvolvedores de plugins novos e existentes precisam fazer autorização via chave de API restrita ou OAuth 2.0 por meio de um aplicativo da Stripe. Todos os aplicativos da Stripe têm as permissões revisadas antes de ficarem ativos no Stripe App Marketplace. Ao seguir as orientações para instalar um aplicativo de terceiro, ele só terá acesso às partes necessárias dos seus dados da Stripe.

Autenticação com OAuth

Autenticação com OAuth

Autenticação com RAK

Autenticação com RAK

Como os comerciantes podem fazer os upgrades de segurança por conta própria

Se o desenvolvedor do seu plugin não tiver feito a atualização para um aplicativo da Stripe, você pode gerar uma chave de API restrita para a sua integração. Siga as orientações abaixo para configurar e integrar sua nova chave:

  1. Acesse a seção Chaves de API no Stripe Dashboard.
  2. Inicie uma nova chave restrita ou clone uma existente.
    1. Clique em "Criar chave restrita" para começar do zero. Por padrão, todas as permissões são definidas como "Nenhuma".
    2. Selecione "Duplicar chave" nas opções da chave que deseja clonar. As permissões da chave clonada são predefinidas como as opções padrão da nova chave.
  3. Dê um nome que remeta ao plugin que você está usando. Por exemplo, se você estiver em rocketrides.com, sua chave seria "Chave restrita RocketRides".
  4. Escolha entre "Nenhuma", "Leitura" e "Edição" para ajustar as permissões para cada recurso. Especifique as permissões para contas conectadas se estiver usando o Stripe Connect.
  5. Clique em "Criar chave" para gerar sua nova chave de API restrita.
  6. Verifique sua ação via e-mail ou SMS e insira o código recebido para finalizar o processo.
  7. Copie o valor da nova chave (lembre-se que essa é a sua única chance de copiá-la).
  8. Memorize onde você salvou a chave e clique em "Concluir".

Ao seguir essas orientações, você garante uma integração segura com serviços de terceiros para aproveitar ao máximo as funcionalidades da Stripe.

Nova jornada da chave de API

Alguns usuários podem ter uma jornada diferente para a criação da chave de API. Siga estas instruções se necessário:

  1. Acesse a seção Chaves de API do seu Dashboard.
  2. Clique em "Criar chave restrita".
  3. Selecione "Fornecer esta chave para outro site" e clique em "Continuar".
  4. Insira o nome e o URL do aplicativo ou plugin de terceiro.
  5. Deixe a opção "Personalize as permissões desta chave" desmarcada a menos que receba outras instruções.
  6. Clique em "Criar chave restrita".
  7. Verifique sua ação via e-mail ou SMS e insira o código recebido para finalizar o processo.
  8. Copie o valor da nova chave.
  9. Cole a chave nos campos apropriados das configurações do seu plugin para integrá-la.

Reautentique usando o Stripe Connect Onboarding

Como alternativa, seu plugin pode permitir que você se conecte com a conta Stripe pelo onboarding do Stripe Connect. Veja como fazer isso, se essa opção estiver disponível:

  1. Acesse o site ou painel do plugin que você deseja vincular à conta Stripe.
  2. Procure a seção de pagamentos ou integrações. O objetivo é encontrar uma opção que diga "Conectar com a Stripe" ou algo similar.
  3. Clique no botão "Conectar com a Stripe". Você acessará uma página segura de login da Stripe.
  4. Entre na conta Stripe com suas credenciais.
  5. Se for possível, confira as permissões que você está concedendo ao plugin. Elas especificam o que o plugin pode fazer com a sua conta Stripe.
  6. Para oferecer acesso ao plugin, clique em "Autorizar acesso".
  7. Depois que você concede a autorização, a Stripe confirma que o plugin agora está conectado à sua conta.
  8. Por fim, você voltará ao site do plugin ou ao Dashboard.

Atualização do plugin da Stripe para WooCommerce

A Stripe e o WooCommerce estão trabalhando juntos para garantir que os clientes das duas empresas implementem medidas de segurança aprimoradas e tenham acesso aos recursos mais recentes do plugin WooCommerce Stripe, como o "compre agora e pague depois".

Todos os comerciantes que usam o plugin WooCommerce Stripe precisam concluir as medidas abaixo até 29 de outubro de 2024:

  1. Atualize o plugin WooCommerce Stripe para a versão mais recente 8.6.1
  2. Reautentique a conexão do seu site para a plataforma da Stripe
  3. Ative a nova experiência de checkout.

Alguns clientes do plugin WooCommerce Stripe usam a API Sources para aceitar formas de pagamento, mas essa é uma integração antiga que será encerrada. Para continuar aceitando pagamentos de forma segura e evitar problemas para os usuários-finais, é necessário concluir as etapas acima até 29 de outubro de 2024.

Confira a documentação do WooCommerce e siga as instruções. O WooCommerce também ofereceu respostas para as perguntas mais comuns nas postagens fixadas no fórum de suporte público para o plugin WooCommerce Stripe.