Détection avancée de la fraude

Stripe.js est la bibliothèque JavaScript de Stripe conçue pour permettre aux entreprises de collecter en toute sécurité des informations de paiement sensibles depuis le navigateur du client. Le SDK iOS et le SDK Android de Stripe sont les équivalents mobiles de Stripe.js.

Stripe.js et les SDK mobiles offrent une fonction avancée de détection des fraudes, qui en examinant des signaux relatifs aux caractéristiques des appareils et à l’activité des utilisateurs, permet de distinguer les transactions légitimes des transactions frauduleuses. Ces signaux alimentent les systèmes de prévention de la fraude de Stripe, tels que Radar. Ils sont transmis au back-end de Stripe par l’envoi régulier de requêtes au m.stripe.com.

Par ailleurs, le hCaptcha peut être chargé sur chaque page où vous chargez Stripe.js. Le hCaptcha est un type de CAPTCHA qui aide à lutter contre la fraude et fournit des signaux supplémentaires à Stripe tout en étant peu contraignant pour les clients légitimes. Pour ne plus utiliser l’intégration hCAPTCHA, contactez le service d’assistance Stripe.

Nous cherchons à la fois à privilégier les paiements provenant de clients légitimes et à limiter la fraude. La fraude représente l’un des aspects les plus délicats de la gestion d’une entreprise en ligne. Même les entreprises qui ne sont pas habituellement confrontées à des montants de fraude importants peuvent subir des attaques soudaines, inattendues et coûteuses. Chaque mois, Stripe empêche plus de 500 millions de dollars US de fraude sur les paiements pour les entreprises Stripe. Pour ce faire, nous collectons et analysons les informations qui nous aident à identifier les fraudeurs et les bots, y compris les données de transaction (telles que le montant, l’adresse de livraison du client, la date, etc.) et les indicateurs avancés de détection de la fraude (indicateurs d’appareil et d’activité).

La nature des données que nous recueillons et la façon dont nous les utilisons sont détaillées dans notre politique de confidentialité et notre politique sur l’utilisation des cookies.

Types d’indicateurs

Caractéristiques de l’appareil

Les indicateurs relatifs aux caractéristiques de l’appareil concernent le navigateur, l’écran ou l’appareil d’un client. Ces informations aident Stripe à identifier les configurations associées à un comportement de navigation inhabituel, ainsi qu’à comparer ce comportement à des modèles similaires observés dans d’autres entreprises du réseau de Stripe. Les combinaisons de ces paramètres qui sont rares ou peu susceptibles de refléter l’environnement informatique d’un utilisateur réel peuvent révéler des transactions frauduleuses.

Indicateurs d’activité

Les indicateurs avancés de détection de la fraude incluent également des indicateurs d’activité émis par des acheteurs réels, ce qui nous aide à distinguer les acheteurs légitimes des acheteurs frauduleux et des bots. Par exemple, les bots ont tendance à parcourir un site Web et un formulaire de paiement beaucoup plus rapidement qu’une personne réelle. Les numéros de carte sont également souvent copiés-collés plutôt que saisis manuellement. Ces indicateurs tiennent également compte de l’activité de la souris et du temps passé par l’acheteur sur les différentes pages. En effet, ces facteurs permettent de détecter les comportement typiques des bots lors d’une session.

Stripe collecte des données sur le contenu de la page uniquement si elles correspondent à des champs de saisie dans Stripe Elements. Par exemple, Stripe peut collecter une adresse e-mail pour pré-remplir l’inscription et la connexion Link. Si l’Element Stripe ne possède pas de champ d’e-mail, Stripe ne collectera pas cette information à partir du contenu de la page. Ces informations ne sont jamais enregistrées. Les indicateurs correspondant à l’activité de l’utilisateur sont limités à une seule session d’achat sur un même site ou application et ne sont pas liés entre différentes sessions d’achat, sites ou applications.

Collecte des indicateurs

L’efficacité de la prévention de la fraude de Stripe dépend de l’activité observée par les moteurs de fraude. Stripe encourage donc l’intégration de Stripe.js sur chaque page du parcours d’achat, et pas seulement sur la page de paiement. Le niveau de couverture garanti par Stripe.js offre à Stripe l’ensemble le plus complet possible d’indicateurs permettant de distinguer les acheteurs frauduleux des clients légitimes.

Si l’entreprise choisit de ne pas utiliser Stripe.js, celle-ci doit assumer l’entière responsabilité du respect de la conformité PCI et du risque de fraude supplémentaire.

Les SDK iOS et Android collectent des indicateurs avancés de détection de la fraude pour une application lorsque l’objet SDK est instancié. Les données ne sont transmises à Stripe que lors d’une demande de tokenisation.

Confidentialité des données

Les données relatives aux indicateurs de détection avancée de la fraude ne sont jamais utilisées à des fins publicitaires et ne sont en aucun cas louées, vendues ou communiquées à des annonceurs, conformément à notre politique de confidentialité. Stripe n’utilise ces données qu’à des fins de détection de la fraude et de sécurité, et les conserve aussi longtemps qu’elles sont utiles à ces fins.

En interne, ces données sont soumises à des politiques de contrôle d’accès strictes appliquées par Stripe, et limitées à un petit nombre d’employés de Stripe travaillant sur la prévention de la fraude et la sécurité.

Désactiver la détection avancée de la fraude

Les utilisateurs de Stripe peuvent décider de désactiver la collecte d’indicateurs de détection avancée de la fraude sur leurs sites web et applications. Ce faisant, ils augmentent leur risque de fraude, notamment les tests des cartes bancaires. Stripe continuera à collecter les indicateurs de détection de la fraude sur les domaines Stripe, comme sur les pages de paiement de Stripe Checkout.

En outre, la désactivation de la détection avancée de la fraude n’affecte pas la collecte des événements enregistrés lorsqu’un client interagit avec les champs gérés par Stripe sur votre page de paiement (nous utilisons ces événements pour prévenir la fraude et nous assurer du bon fonctionnement de Stripe Elements), ni les informations de base sur les appareils recueillies lors de l’authentification 3D Secure 2 (nous sommes tenus d’envoyer ces informations à la banque émettrice pour l’analyse des risques).

Stripe.js

Pour désactiver les indicateurs de détection avancée de la fraude avec Stripe.js, définissez advancedFraudSignals comme paramètre de requête dans la balise de script Stripe.js. Vous pouvez aussi mettre à jour le module Stripe.js vers la dernière version, utiliser l’export pure et appeler la fonction setLoadParameters :

<script src="https://js.stripe.com/v3/?advancedFraudSignals=false"></script>

SDK iOS

Pour désactiver les indicateurs de détection avancée de la fraude avec le SDK iOS de Stripe, mettez à jour votre SDK iOS vers la version 19.1.1 (ou une version ultérieure). Lors de la configuration du SDK Stripe, définissez la propriété advancedFraudSignalsEnabled :

StripeAPI.defaultPublishableKey = 
"pk_test_TYooMQauvdEDq54NiTphI7jx"
StripeAPI.setAdvancedFraudSignalsEnabled(false)

SDK Android

Pour désactiver les indicateurs de détection avancée de la fraude avec le SDK Android, mettez à jour votre SDK Android vers la version 14.4.0 (ou une version ultérieure). Lors de la configuration du SDK Stripe, définissez la propriété advancedFraudSignalsEnabled avant d’instancier ou d’accéder à tout objet du SDK Stripe :

class MyApp : Application() {
    override fun onCreate() {
        super.onCreate()

        Stripe.advancedFraudSignalsEnabled = false

        PaymentConfiguration.init(
            applicationContext,
            
"pk_test_TYooMQauvdEDq54NiTphI7jx"
        )
    }
}