Migreringsguide för användare av insticksprogram

Vem omfattas av detta?

Detta gäller för alla handlare som har autentiserat med en tredjepartsintegration med en hemlig Stripe API-nyckel. De här integrationerna kallas normalt insticksprogram, men kan också ha andra namn. Stripes definition av ett insticksprogram är alla integrationer mellan en tredjepartslösning och Stripe som kräver att en användare autentiserar med hemliga API-nycklar. Ett insticksprogram interagerar normalt med Stripe API:er genom att antingen göra API-anrop eller reagera på Stripe API-händelser för användarnas räkning. Ofta kör insticksprogram kod så att Stripe kan interagera med annan programvara (t.ex. för att ta emot betalningar på Wordpress), men de kan också ha andra former, som bibliotek för resurser med öppen källkod.

Vilka ändringar genomförs och varför?

Stripe förbättrar sina säkerhetskrav för utvecklare av insticksprogram och deras användare. Hemliga API-nycklar kan användas för alla typer av API-begäranden utan begränsningar och ger tredje part fullständig åtkomst till en användares Stripe-konto. De är en form av inloggningsuppgifter för ett konto, som ett användarnamn och lösenord. Om tvivelaktiga aktörer kommer över en hemlig nyckel kan de använda den för att skada en handlares verksamhet och andra parter i Stripes ekosystem. Stripe-användare är ansvariga för att se till att deras hemliga API-nycklar är skyddade. Hos Stripe vidtar vi flera försiktighetsåtgärder för att säkerställa att hemliga API-nycklar är skyddade.

De flesta insticksprogram behöver inte fullständig åtkomst, utan enbart begränsad åtkomst. Idag uppstår risker när utvecklare begär att användarna manuellt kopierar sina inloggningsuppgifter för ett konto till en tredjepartsplattform. För att minska bedrägeririsken för användare, utvecklare och för Stripe ställer vi krav på att utvecklare ska använda begränsade API-nycklar eller OAuth för autentisering av insticksprogram.

Den 1 januari 2024 implementerade Stripe stöd för begränsad API-nyckel- och OAuth 2.0-autentisering i Stripe Apps, vilket gör att insticksprogram kan fungera i en säkrare miljö i ekosystemet. Denna säkerhetsuppdatering gör det inte bara lättare att uppfylla kraven i Stripes senaste säkerhetsstandarder, utan gör det även möjligt för handlare hos dessa tredjepartsintegrationer att få mer kontroll över sin verksamhet och sina data.

När genomförs dessa ändringar?

Från den 30 september 2024 kräver Stripe att alla utvecklare av insticksprogram inför nya, säkra autentiseringsmetoder (begränsad API-nyckel, OAuth 2.0 eller Stripe Connect) för att skydda användare mot bedrägerier. Alla utvecklare av befintliga och nya insticksprogram måste använda någon av dessa nya säkra auktoriseringsmetoder. Utvecklare som väljer att använda en begränsad API-nyckel eller OAuth 2.0 via en Stripe App måste få sin app granskad och godkänd av Stripe innan den publiceras på Stripe App Marketplace.

Senast den 29 oktober 2024 kommer Stripe att börja kräva att alla handlare som använder insticksprogram uppgraderar säkerheten för sina anslutningar genom att autentisera med antingen begränsade API-nycklar eller OAuth 2.0. Detta är en planerad uppgradering för att förbättra den övergripande säkerheten för Stripes tredjepartsintegrationer och uppfylla kraven i Stripes senaste standarder. Stripe kommer att debitera en avgift från och med juni 2025 för företag som inte uppfyller de här säkerhetskraven.

Varför ska man använda begränsade API-nycklar eller OAuth?

För ökad säkerhet och kontroll är det viktigt att använda begränsade API-nycklar eller OAuth 2.0 i stället för hemliga nycklar vid autentisering med tredjepartstjänster. Med begränsade API-nycklar får företag bättre kontroll över vilka behörigheter de beviljar tredje part och möjlighet att säkerställa att tredjepartstjänster endast får tillgång till de data och åtgärder de behöver. OAuth 2.0 är en tokeniserad auktorisering som genomförs med ett klick som företag erbjuder tredje part vid integration. I likhet med begränsade API-nycklar erbjuder OAuth 2.0 dig mer kontroll och skydd över vilka behörigheter du beviljar tredje part. De här alternativen stärker inte bara skyddet mot obehörig åtkomst och bedrägerier, utan ger även smidigare hantering så att integrationerna blir effektivare och tillförlitligare att använda.

Stripe Apps och säker auktorisering

Den 1 januari 2024 introducerade Stripe ytterligare funktioner för Stripe Apps som gör auktorisering av insticksprogram enklare och säkrare. Stripe Apps synkroniserar smidigt data mellan olika system, förenklar autentiseringen och kan om så önskas visa det relevanta användargränssnittet i Stripe Dashboard. Alla utvecklare av nya och befintliga insticksprogram måste bygga OAuth 2.0-auktorisering eller auktorisering med en begränsad API-nyckel via en Stripe App. Alla appar i Stripe Apps behörighetskontrolleras innan de publiceras på Stripe App Marketplace. Genom att följa stegen och installera appen som skapats av tredje part ser du till att de endast får tillgång till de delar av dina Stripe-data de behöver.

Autentisering med OAuth

Autentisering med OAuth

Autentisering med RAK

Autentisering med RAK

Så kan handlare uppdatera sin säkerhet genom självbetjäningsfunktioner

Om utvecklaren av insticksprogrammet inte har uppdaterat till en Stripe App kan du själv generera en begränsad API-nyckel för din integration. Följ stegen nedan för att skapa och integrera den nya nyckeln:

  1. Gå till avsnittet API-nycklar i Stripe Dashboard.
  2. Initiera en ny begränsad nyckel eller klona en befintlig.
    1. Klicka på Skapa begränsad nyckel för att börja från början. Inga behörigheter är aktiverade som standard.
    2. Välj Duplicera nyckel i alternativen för den nyckel du vill klona. Den klonade nyckelns behörigheter anges som standard även för den nya nyckeln.
  3. Ge nyckeln ett namn som tydligt återspeglar det insticksprogram du använder. Om du exempelvis är på rocketrides.com ger du din nyckel namnet ”RocketRides Restricted Key”.
  4. Ändra behörigheter för varje resurs – du kan välja mellan Ingen, Läsbehörighet eller Skrivbehörighet. Ange behörigheter för anslutna konton om du använder Stripe Connect.
  5. Klicka på Skapa nyckel för att generera din nya begränsade API-nyckel.
  6. Bekräfta åtgärden via e-post eller sms och ange sedan din kod för att slutföra processen.
  7. Kopiera det nya nyckelvärde som visas – tänk på att det här är enda chansen du får att kopiera det.
  8. Kom ihåg var du har sparat nyckeln och klicka på Klart.

Genom att följa dessa steg kan du säkerställa en säker integration med tredjepartstjänster och dra maximal nytta av Stripes funktioner.

Ny process för att skapa API-nyckel

För vissa användare kan processen för att skapa en API-nyckel se annorlunda ut. Följ dessa steg i tillämpliga fall:

  1. Gå till avsnittet API-nycklar i din Dashboard.
  2. Klicka på Skapa begränsad nyckel.
  3. Välj Ge den här nyckeln till en annan webbplats och klicka på Fortsätt.
  4. Ange tredjepartsappens eller insticksprogrammets namn och URL.
  5. Se till att Anpassa behörigheter för den här nyckeln inte är markerat, såvida inte annat har angetts.
  6. Klicka på Skapa begränsad nyckel.
  7. Bekräfta åtgärden via e-post eller sms och ange sedan din kod för att slutföra processen.
  8. Kopiera det nya nyckelvärde som visas.
  9. Integrera nyckeln genom att placera den i lämpligt fält i dina tredjepartsinställningar.

Återautentisera med Stripe Connect Onboarding

Med ditt insticksprogram kan du även ansluta till ditt Stripe-konto med Stripe Connect Onboarding. Så här gör du det, om tillämpligt:

  1. Gå till insticksprogrammets webbplats eller dashboard som du vill länka till ditt Stripe-konto.
  2. Leta efter ett avsnitt för betalningar eller integrationer. Målet är att hitta ett alternativ som säger Connect with Stripe (Anslut till Stripe).
  3. Klicka på knappen Connect with Stripe (Anslut till Stripe). Du kommer att omdirigeras till en säker Stripe-inloggningssida.
  4. Logga in på ditt Stripe-konto med dina inloggningsuppgifter.
  5. Om tillgängligt kan du ta en titt på de behörigheter som du kommer att ge insticksprogrammet. Där beskrivs vad insticksprogrammet kan göra med ditt Stripe-konto.
  6. För att ge insticksprogrammet åtkomst klickar du på Authorize access (Auktorisera åtkomst).
  7. När du har beviljat auktorisering bekräftar Stripe att insticksprogrammet nu är anslutet till ditt konto.
  8. Slutligen skickas du tillbaka till insticksprogrammets webbplats eller dashboard.

Uppdatera Stripes insticksprogram för WooCommerce

Stripe och WooCommerce samarbetar för att säkerställa att våra gemensamma kunder använder åtgärder för förstärkt säkerhet och har tillgång till de senaste funktionerna i Stripes insticksprogram för WooCommerce, som köp nu, betala senare.

Alla handlare som använder Stripes insticksprogram för WooCommerce måste vidta följande åtgärder senast den 29 oktober 2024:

  1. Uppdatera Stripes insticksprogram för WooCommerce till den senaste versionen 8.6.1.
  2. Återautentisera din webbplats anslutning till Stripe-plattformen.
  3. Aktivera den nya kassaupplevelsen.

Vissa kunder använder Stripes insticksprogram för WooCommerce med Sources API för att ta emot olika betalningsmetoder. Det är en gammal integration som kommer att stängas ned. För att kunna fortsätta ta emot säkra betalningar och undvika problem på användarsidan måste de här kunderna genomföra stegen ovan senast den 29 oktober 2024.

Se WooCommerces dokumentation och följ stegen där. WooCommerce har också besvarat de vanligaste frågorna i de fastnålade inläggen på det öppna supportforumet för WooCommerces insticksprogram för Stripe.