# Zugriff auf Verifizierungsergebnisse Erfahren Sie, wie Sie auf sensible Verifizierungsergebnisse zugreifen können. Sie können Code schreiben, um [ein Modal zur Erfassung von Ausweisdokumenten anzuzeigen](https://docs.stripe.com/identity/verify-identity-documents.md) und [Verifizierungsergebnisse zu verarbeiten](https://docs.stripe.com/identity/handle-verification-outcomes.md). Möglicherweise müssen Sie zu einem späteren Zeitpunkt auf die vertraulichen Verifizierungsergebnisse zugreifen, z. B. das Geburtsdatum Ihrer Nutzerin/Ihres Nutzers oder Bilder des erfassten Dokuments. Dazu haben Sie mehrere Möglichkeiten. Ziehen Sie zunächst in Erwägung, das [Identity-Dashboard](https://dashboard.stripe.com/identity) für den Zugriff auf sensible Verifizierungsergebnisse zu verwenden. Falls erforderlich, [geben Sie Teammitgliedern kontrollierten Zugriff](https://docs.stripe.com/get-started/account/teams.md) auf Ihr Stripe-Konto. Dies spart Ihnen Entwicklungszeit und stellt sicher, dass die sensiblen Verifizierungsdaten [sicher](https://support.stripe.com/questions/managing-your-id-verification-information) bei Stripe gespeichert werden. Sie können [programmgesteuert auf die meisten Verifizierungsdetails zugreifen](https://docs.stripe.com/identity/verification-sessions.md#results), beispielsweise auf das Ergebnis einer Verifizierungsprüfung oder auf den Namen und die Adresse des Nutzers/der Nutzerin, der/die Ihren [geheimen Schlüssel](https://docs.stripe.com/keys.md) verwendet. Für den Zugriff auf weitere sensible Felder sind [eingeschränkte API-Schlüssel](https://docs.stripe.com/keys-best-practices.md#limit-access) erforderlich. | Verifizierungsergebnis | Verfügbar im Dashboard | Zugriff auf Geheimschlüssel | Zugriff auf eingeschränkten API-Schlüssel | Empfohlenes Feld „Verifizierungssitzung“ | Eigenschaft erweitern | | ---------------------------------- | ---------------------- | --------------------------- | ----------------------------------------- | ------------------------------------------------------------ | --------------------------------------------------- | | Adresse | ✓ Ja | ✓ Ja | ✓ Ja | `verified_outputs.address` | `verified_outputs` | | Dokumenttyp | ✓ Ja | ✓ Ja | ✓ Ja | `last_verification_report.document.type` | `last_verification_report` | | Vor- und Nachnamen | ✓ Ja | ✓ Ja | ✓ Ja | `verified_outputs.first_name und verified_outputs.last_name` | `last_verification_report` | | Land der Ausstellung des Dokuments | ✓ Ja | ✓ Ja | ✓ Ja | `last_verification_report.document.issuing_country` | `last_verification_report` | | Ergebnis der Verifizierungsprüfung | ✓ Ja | ✓ Ja | ✓ Ja | `status` | Erweiterung nicht erforderlich | | Ausstellungsdatum des Dokuments | ✓ Ja | ✓ Ja | ✓ Ja | `last_verification_report.document.issued_date` | `last_verification_report` | | Typ der ID-Nummer | ✓ Ja | ✓ Ja | ✓ Ja | `last_verification_report.document.id_number.type` | `last_verification_report` | | E-Mail-Adresse | ✓ Ja | ✓ Ja | ✓ Ja | `verified_outputs.email` | `verified_outputs` | | Telefonnummer | ✓ Ja | ✓ Ja | ✓ Ja | `verified_outputs.phone` | `verified_outputs` | | Ablaufdatum des Dokuments | ✓ Ja | ✗ Nein | ✓ Ja | `last_verification_report.document.expiration_date` | `last_verification_report.document.expiration_date` | | Geburtsdatum | ✓ Ja | ✗ Nein | ✓ Ja | `verified_outputs.dob` | `verified_outputs.dob` | | ID-Nummer des Dokuments | ✓ Ja | ✗ Nein | ✓ Ja | `last_verification_report.document.number` | `last_verification_report.document.number` | | Dokumentbilder | ✓ Ja | ✗ Nein | ✓ Ja | `last_verification_report.document.files` | `last_verification_report` | | Gesichtsbilder | ✓ Ja | ✗ Nein | ✓ Ja | `last_verification_report.selfie.selfie` | `last_verification_report` | | Ausweisnummer | ✓ Ja | ✗ Nein | ✓ Ja | `verified_outputs.id_number` | `verified_outputs.id_number` | Eingeschränkte API-Schlüssel erlauben den Zugriff auf der Grundlage der mit ihnen verbundenen Sicherheitsmaßnahmen: - **Eingeschränkte Schlüssel**: Erlauben den Zugriff auf sensible Verifizierungsergebnisse für Verifizierungen, die in den letzten 48 Stunden verarbeitet wurden. - **Schlüssel mit IP-Einschränkung**: Erlauben den Zugriff auf sensible Verifizierungsergebnisse für alle Verifizierungen. In diesem Leitfaden lernen Sie Folgendes: 1. Überlegen Sie genau, welche Anforderungen Sie an den Zugriff auf sensible Daten haben. 1. Erstellen Sie eingeschränkte API-Schlüssel. 1. Führen Sie API-Anfragen durch, um sensible Verifizierungsergebnisse zu erhalten. 1. Widerrufen Sie Ihre Schlüssel, falls sie kompromittiert wurden. 1. Informieren Sie Ihre Nutzer/innen über Ihre sensiblen Verifizierungsergebnisse und Ihre Sicherheitsmaßnahmen. 1. Fügen Sie Ihrem Schlüssel IP-Einschränkungen hinzu, um den langfristigen Zugriff auf sensible Verifizierungsergebnisse zu gewährleisten. 1. Überlegen Sie genau, welche Anforderungen Sie an den Zugriff auf sensible Daten haben. 1. Erstellen Sie eingeschränkte API-Schlüssel. 1. Führen Sie API-Anfragen durch, um sensible Verifizierungsergebnisse zu erhalten. 1. Widerrufen Sie Ihre Schlüssel, falls sie kompromittiert wurden. 1. Informieren Sie Ihre Nutzer/innen über Ihre sensiblen Verifizierungsergebnisse und Ihre Sicherheitsmaßnahmen. ## Überlegen Sie genau, welche Anforderungen Sie an den Zugriff auf sensible Daten haben Um eine Integration mit Stripe Identity zu erstellen, bei der die Privatsphäre Ihrer Nutzer/innen Vorrang hat, müssen Sie zunächst festlegen, auf welchen Umfang personenbezogener Daten Sie mindestens zugreifen müssen. Wenn Sie keinen Zugriff auf die sensibelsten Daten benötigen (für die eine Authentifizierung mit einem eingeschränkten API-Schlüssel erforderlich ist), kann Ihre Integration die Authentifizierung mit Ihrem Geheimschlüssel allein durchführen. Um auf die aus einer Verifizierung resultierenden personenbezogener, identifizierende Daten (PII) zuzugreifen, können Sie eine VerificationSession abrufen und entweder das Feld [verified_outputs](https://docs.stripe.com/api/identity/verification_sessions/object.md#identity_verification_session_object-verified_outputs) oder – wenn Sie detailliertere Details zum Verifizierungsergebnis benötigen – den [last_verification_report](https://docs.stripe.com/api/identity/verification_sessions/object.md#identity_verification_session_object-last_verification_report) [erweitern](https://docs.stripe.com/api/expanding_objects.md). Durch das Erweitern eines dieser Felder werden automatisch alle enthaltenen PII-Felder einbezogen, die nur einen Geheimschlüssel erfordern. Hier ist ein Beispiel dafür, wie Sie das Feld `verified_outputs` erweitern, um den Namen eines/einer Nutzers/in abzurufen, der/die von Stripe Identity verifiziert wurde. #### Node.js ```javascript // Don't put any keys in code. See https://docs.stripe.com/keys-best-practices. // Find your keys at https://dashboard.stripe.com/apikeys. const stripe = require('stripe')('<>'); const verificationSession = await stripe.identity.verificationSessions.retrieve( '{{SESSION_ID}}', { expand: [ 'verified_outputs', ], } ); const firstName = verificationSession.verified_outputs.first_name; ``` Wenn Sie keinen Zugriff auf sensible personenbezogene Daten benötigen, für die ein eingeschränkter Schlüssel erforderlich ist, befolgen Sie die Schritte in diesem Leitfaden. ## Einen eingeschränkten API-Schlüssel erstellen [Dashboard] Sie können die geheimen API-Schlüssel Ihres Kontos verwenden, um jede API-Anfrage ohne Einschränkung durchzuführen. Für den Zugriff auf sensible Verifizierungsergebnisse sind [eingeschränkte Schlüssel](https://docs.stripe.com/keys-best-practices.md#limit-access) erforderlich, die größere Sicherheit bieten. So erstellen Sie einen neuen eingeschränkten Schlüssel 1. Gehen Sie im Dashboard zur Seite [API-Schlüssel](https://dashboard.stripe.com/apikeys) und klicken Sie auf [**Eingeschränkten Schlüssel erstellen**](https://dashboard.stripe.com/apikeys/create). 1. Legen Sie einen Namen für Ihren Schlüssel fest. 1. Vergewissern Sie sich, dass die Identity-Berechtigungen **Verification Sessions and Reports** (Verifizierungssitzungen und Berichte) und **Access recent sensitive verification results** (Zugriff auf aktuelle sensible Verifizierungsergebnisse) auf **Lesen** gesetzt sind. 1. (Optional) Wenn Sie Zugriff auf erfasste Bilder benötigen, fügen Sie die Berechtigung **Schreiben** für Dateien hinzu. 1. Klicken Sie auf **Schlüssel erstellen**. 1. Bewahren Sie den Schlüssel sicher auf. [Weitere Informationen zur sicheren Aufbewahrung Ihrer Schlüssel](https://docs.stripe.com/keys-best-practices.md). ![](https://b.stripecdn.com/docs-statics-srv/assets/rak_identity_permissions.51347778adedec20ad9aaec2cb5a5bb9.png) ## API-Anfragen durchführen, um sensible Verifizierungsergebnisse zu erhalten [Serverseitig] [VerificationReports](https://docs.stripe.com/api/identity/verification_reports.md) enthalten alle gesammelten Daten und Verifizierungsergebnisse aus einer eingereichten Sitzung. VerificationReports werden erstellt, wenn alle Verifizierungsprüfungen für eine Sitzung abgeschlossen wurden. Sie helfen Ihnen, zu verstehen, warum eine Verifizierungsprüfung fehlgeschlagen ist und welche Daten erfolgreich verifiziert wurden. Sie können das Sitzungsfeld [last_verification_report](https://docs.stripe.com/api/identity/verification_sessions/object.md#identity_verification_session_object-last_verification_report) [erweitern](https://docs.stripe.com/expand.md), um den zugehörigen VerificationReport abzurufen. Standardmäßig enthalten VerificationReports keine sensiblen Verifizierungsergebnisse. Um auf diese zuzugreifen, müssen Sie wie folgt vorgehen: 1. Authentifizieren Sie sich mit dem in Schritt 1 erstellten eingeschränkten API-Schlüssel. 1. [Erweitern](https://docs.stripe.com/api/expanding_objects.md) Sie die Felder, auf die Sie zugreifen möchten. Nachfolgend finden Sie ein Beispiel für den Zugriff auf das extrahierte Geburtsdatum, die ID-Nummer und die Dokumentnummer aus einer [Dokumentprüfung](https://docs.stripe.com/identity/verification-checks.md?type=document): #### Node.js ```javascript // Set your restricted key. Remember to switch to a live restricted key in production. // See your keys here: https://dashboard.stripe.com/apikeys const stripe = require('stripe')('rk_test_...'); const verificationSession = await stripe.identity.verificationSessions.retrieve( '{{SESSION_ID}}', { expand: [ 'verified_outputs.dob', 'verified_outputs.id_number', 'last_verification_report.document.number', 'last_verification_report.document.expiration_date', ], } ); const dateOfBirth = verificationSession.verified_outputs.dob; const idNumber = verificationSession.verified_outputs.id_number; const documentNumber = verificationSession.last_verification_report.document.number; const documentExpirationDate = verificationSession.last_verification_report.document.expiration_date; ``` ## Zugriff auf erfasste Bilder Sie können Identitätsnachweise und Aufnahmen von Gesichtern, die im Rahmen einer Sitzung gesammelt werden, mit der [File Upload API](https://docs.stripe.com/file-upload.md) abrufen. In einem VerificationReport können die folgenden Felder einen Verweis auf eine [File](https://docs.stripe.com/api/files.md)-Ressource in der Stripe-API enthalten. - [document.files](https://docs.stripe.com/api/identity/verification_reports/object.md#identity_verification_report_object-document-files) - Bilder des Ausweisdokuments - [selfie.document](https://docs.stripe.com/api/identity/verification_reports/object.md#identity_verification_report_object-selfie-document) – Aufnahme der Vorderseite des Lichtbildausweises - [selfie.selfie](https://docs.stripe.com/api/identity/verification_reports/object.md#identity_verification_report_object-selfie-selfie) – Aufnahme des Gesichts der Nutzerin/des Nutzers > Aufnahmen von Gesichtern und Dokumenten sind äußerst sensibel und in einigen Ländern, u. a. Deutschland, ist es gesetzlich verboten, Aufnahmen von Identitätsnachweisen zu teilen oder länger als notwendig aufzubewahren. Greifen Sie auf Bildinhalte möglichst mit kurzlebigen FileLinks zu, fertigen Sie keine Kopien der Dateiinhalte an und [schwärzen Sie Sitzungen](https://docs.stripe.com/identity/verification-sessions.md#redact) und erfasste Bilder, wenn Sie sie nicht mehr für den Zweck verwenden, für den Sie sie erfasst haben. Um auf den Inhalt der Datei zuzugreifen, müssen Sie sich mit dem zuvor erstellten Schlüssel authentifizieren und einen [FileLink erstellen](https://docs.stripe.com/api/file_links/create.md), der eine kurze Gültigkeitsdauer hat, und die [URL](https://docs.stripe.com/api/file_links/object.md#file_link_object-url) an den Client senden: #### Node.js ```javascript // Set your restricted key. Remember to switch to a live restricted key in production. // See your keys here: https://dashboard.stripe.com/apikeys const stripe = require('stripe')('rk_test_...'); // Get the VerificationReport const session = await stripe.identity.verificationSessions.retrieve( '{{SESSION_ID}}', { expand: ['last_verification_report'], } ); // Retrieve the File id const report = session.last_verification_report; const documentFrontFile = report.document.files[0]; // Create a short-lived FileLink const fileLink = await stripe.fileLinks.create({ file: documentFrontFile, expires_at: Math.floor(Date.now() / 1000) + 30, // link expires in 30 seconds }); // Access the FileLink URL to download file contents const fileUrl = fileLink.url; ``` > FileLinks für Dokumente und Selfie-Dateien müssen innerhalb von 30 Sekunden ablaufen. Wir empfehlen Ihnen, die Dateiinhalte nicht auf Ihren Server herunterzuladen, sondern stattdessen die FileLink-URL an den Client zu senden, um das Bild anzuzeigen. Wenn Sie annehmen, dass ein Angreifer auf die von Identity erfassten sensiblen Daten zugegriffen hat, [kontaktieren Sie bitte den Support](https://support.stripe.com/contact). ## Ihre Schlüssel widerrufen, wenn sie kompromittiert wurden [Dashboard] Bei Verwendung eingeschränkter API-Schlüssel, für die nur Identity-Berechtigungen vorhanden sind, können Sie die Schlüssel im Notfall widerrufen, ohne dass andere Stripe-Produktintegrationen hiervon beeinträchtigt werden. Wir empfehlen Ihnen, die Nutzung Ihrer eingeschränkten Schlüssel regelmäßig zu überwachen, um sicherzustellen, dass niemand Zugang zu ihnen erhalten hat. Im [Dashboard](https://dashboard.stripe.com/apikeys) können Sie das Überlaufmenü (**…**) verwenden, um Anforderungsprotokolle für einen bestimmten API-Schlüssel anzuzeigen und alle von diesem Schlüssel ausgehenden Anforderungen einzusehen. Wenn ein API-Schlüssel kompromittiert wird, widerrufen Sie den Schlüssel im [Dashboard](https://dashboard.stripe.com/apikeys), um ihn zu sperren, und generieren Sie einen neuen Schlüssel. Stellen Sie sicher, dass er sofort abläuft, um zu verhindern, dass mögliche Betrüger sensible Informationen abrufen können. > Durch den Widerruf wird der API-Schlüssel gesperrt und ein neuer Schlüssel generiert. Wir empfehlen Ihnen, Ihre [Sicherheitshistorie](https://dashboard.stripe.com/security_history) auf Ereignisse im Zusammenhang mit diesem Schlüssel zu überprüfen. Alle mit diesem Schlüssel erstellten Webhook-Endpoints bleiben aktiv, auch nachdem der Schlüssel widerrufen wurde. Wenn Sie annehmen, dass ein Angreifer auf die von Identity erfassten sensiblen Daten zugegriffen hat, [kontaktieren Sie bitte den Support](https://support.stripe.com/contact). ## Informieren Sie über die Verwendung sensibler Daten und Ihre Sicherheitsmaßnahmen Vergewissern Sie sich, dass Ihre Datenschutzerklärung Informationen über die Verwendung sensibler Verifizierungsergebnisse enthält. Es kann auch hilfreich sein, wenn Sie Informationen über Ihre Sicherheitsmaßnahmen bereitstellen. **Siehe auch** - [Überlegungen zum Datenschutz beim Umgang mit Identitätsverifizierungsdaten als Unternehmen](https://support.stripe.com/questions/privacy-considerations-for-handling-id-verification-data-as-a-business) - [FAQs für Ihre Nutzer/innen](https://docs.stripe.com/identity/explaining-identity.md) ## Optional: IP-Einschränkungen für langfristigen Zugriff auf Ergebnisse hinzufügen [Dashboard] Ein langfristiger programmgesteuerter Zugriff auf sensible Verifizierungsergebnisse erhöht die Auswirkungen, die ein gestohlener API-Schlüssel nach sich zieht. Überlegen Sie, ob dies in Ihrem Anwendungsszenario wirklich erforderlich ist. [Kontaktieren Sie den Support](https://support.stripe.com/contact), wenn Sie Hilfe benötigen. Eingeschränkte API-Schlüssel mit den Berechtigungen **Access recent sensitive verification results** (Zugriff auf aktuelle sensible Verifizierungsergebnisse) ermöglichen den programmgesteuerten Zugriff für Verifizierungen, die in den letzten 48 Stunden übermittelt wurden. Wenn Sie über 48 Stunden hinausgehenden programmgesteuerten Zugriff auf Überprüfungen benötigen, müssen Sie Ihren eingeschränkten Schlüssel durch IP-Einschränkungen zusätzlich absichern. 1. Gehen Sie im Dashboard zur Seite [API-Schlüssel](https://dashboard.stripe.com/apikeys). 1. Klicken Sie im Überlaufmenü (**…**) für den eingeschränkten Schlüssel, den Sie in Schritt 1 erstellt haben, auf **IP-Einschränkungen verwalten**. 1. Geben Sie die IP-Adressen Ihrer Produktionsserver an. Sie können diese Ursprünge als einfache IP-v4-Adresse oder in CIDR-Notation ([Classless Inter-Domain Routing](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing)) für einen ganzen Bereich von IP-Adressen ausdrücken. Erfahren Sie mehr über das Hinzufügen von [Einschränkungen für IP-Schlüssel](https://docs.stripe.com/keys-best-practices.md#ip-allowlist). 1. Schlüssel **speichern** 1. Bearbeiten Sie den Schlüssel und fügen Sie die Berechtigung **Access all sensitive verification results** (Zugriff auf alle sensiblen Verifizierungsergebnisse) hinzu. Sie können jetzt auf die sensiblen Verifizierungsergebnisse für Verifizierungen zugreifen, die nach der 48-Stunden-Marke übermittelt wurden. ## See also - [Erweiterung der Antworten](https://docs.stripe.com/api/expanding_objects.md) - [API-Schlüssel](https://docs.stripe.com/keys.md) - [Sicherheit bei Stripe](https://docs.stripe.com/security.md)