高级欺诈检测

Stripe.js 是 Stripe 的 JavaScript 库，旨在助力企业安全地从客户浏览器中收集敏感支付信息。而 Stripe In-App Payments 则为 Stripe.js 提供了原生的 iOS 和 Android 对应版本。

Stripe.js 和移动 SDK 通过查看设备特征和用户活动的信号来帮助区分合法交易和欺诈交易，从而提供高级欺诈检测功能。这些信号为 Stripe 的欺诈预防系统提供助力，例如 Radar。通过定期向 m.stripe.com 端点发出请求，信号会被传输到 Stripe 的后端。

另外，在加载 Stripe.js 的每个页面上，它可能会加载 hCaptcha。hCaptcha 是一种验证码 (CAPTCHA)，有助于防止欺诈，并为 Stripe 提供额外的信号，同时降低合法客户的支付阻力。要选择不使用 hCAPTCHA 集成，请联系 Stripe 支持。

我们的目标是最大程度提高合法客户的付款，同时最大限度减少欺诈。欺诈可能是经营在线业务时最具挑战的一个方面。即使有些公司平时看不到大量的欺诈，但也可能会受到突然的、意想不到的、代价高昂的攻击。Stripe 每月为 Stripe 上的公司拦截超过 5 亿美元的付款欺诈。为做到这一点，我们会收集并分析那些能帮助我们识别不法分子和机器人的信息，包括交易数据（如金额、客户收货地址、日期等）和高级欺诈检测信号（设备和活动信号）。

我们收集的内容及具体使用方式隐私政策和 Cookie 政策均有说明。

信号类型

设备特征

设备特征是关于客户浏览器、屏幕或设备的信号。它们有助于 Stripe 识别与异常浏览行为相符的配置，并将这种行为与 Stripe 组织上的其他公司观察到的类似模式进行比较。这些参数很少或不可能反映真实用户的计算机环境，但组合起来就有可能暴露出欺诈性交易。

活动指示器

高级欺诈检测信号还包括实际购物者的活动指标，这些活动指标可帮助我们区分合法的购物者与欺诈性买家和机器人程序。例如，机器人在网站和结账表单之间的移动速度比真人快得多；卡号也经常被复制粘贴，而非输入。这些信号包括鼠标活动指标以及用户在购物时在不同页面上停留的时长，这些都可以预测会话过程中的类机器人行为。

仅当页面内容与 Stripe Element 中的输入字段对应时，Stripe 才会收集有关页面内容的数据。例如，Stripe 可能会收集邮件地址来预先填充 Link 的注册和登录页面。如果 Stripe Element 没有邮件地址字段，则 Stripe 不会从页面内容中收集该信息。系统永远不会保存此信息。与用户活动对应的信号会被局限在单个网站或应用中的单个购物会话内，不同的购物会话、网站或应用之间并无关联。

何时收集信号

Stripe 的欺诈引擎能观测到的活动越多，Stripe 的欺诈预防效果就越好。因此，Stripe 鼓励在购物体验的每个页面都包含 Stripe.js，而不仅仅是结账页面。通过 Stripe.js 的这种覆盖范围，能够为 Stripe 提供最丰富的信号集来区分欺诈性购物者和真实客户。

如果根本不使用 Stripe.js，则商家必须承担 PCI 合规的全部责任，并承担额外的欺诈风险。

当 SDK 对象被实例化时，iOS 和 Android SDK 便为应用程序收集高级欺诈检测信号。数据仅在请求令牌化期间向 Stripe 传输。

数据隐私

如我们的隐私政策所述，这些高级欺诈检测信号数据绝不会用于广告用途，也不会租售、出售或提供给广告商。Stripe 仅将这些数据用于欺诈检测和安全目的，只要对此有用，就会一直保留。

在内部，这些数据会受 Stripe 严格的访问控制策略约束，并且仅限于从事欺诈预防和安全工作的少数 Stripe 员工。

禁用高级欺诈检测

Stripe 用户可以选择不在自己的网站和应用上收集高级欺诈检测信号。这样做就增大了他们的欺诈风险，尤其是银行卡测试。Stripe 将继续在 Stripe 域名上收集欺诈检测信号，如 Stripe Checkout 支付页面。

此外，禁用高级欺诈检测并不影响收集客户在您的结账页面与 Stripe 管理的字段交互时所记录的事件（我们用这些事件来防止欺诈并确保 Stripe Elements 正常工作），也不影响在 3DS 2.0 验证过程中收集的基本设备信息（我们需要将这些信息发送给发卡行进行风险分析）。

Stripe.js

要用 Stripe.js 禁用高级欺诈检测信号，将 advancedFraudSignals 设置为 Stripe.js 脚本标签中的一个查询参数，或更新到最新版的 Stripe.js 模块，使用 pure 导出，并调用 setLoadParameters：

<script src="https://js.stripe.com/clover/stripe.js?advancedFraudSignals=false"></script>

iOS SDK

要用 Stripe iOS SDK 禁用高级欺诈检测信号，请更新到 iOS SDK v19.1.1 或以上版本。配置 Stripe SDK 时，设置 advancedFraudSignalsEnabled 属性：

StripeAPI.defaultPublishableKey = 
"pk_test_TYooMQauvdEDq54NiTphI7jx"
StripeAPI.setAdvancedFraudSignalsEnabled(false)

Android SDK

要用 Android SDK 禁用高级欺诈检测信号，请升级到 Android SDK v14.4.0 或以上版本。配置 Stripe SDK 时，设置 advancedFraudSignalsEnabled 属性，然后再实例化或访问任何 Stripe SDK 对象：

class MyApp : Application() {
    override fun onCreate() {
        super.onCreate()

        Stripe.advancedFraudSignalsEnabled = false

        PaymentConfiguration.init(
            applicationContext,
            
"pk_test_TYooMQauvdEDq54NiTphI7jx"
        )
    }
}