Weiter zum Inhalt
Konto erstellen
 oder
anmelden
Das Logo der Stripe-Dokumentation
/
Konto erstellen
Anmelden

Zugriff auf Verifizierungsergebnisse

Erfahren Sie, wie Sie auf sensible Verifizierungsergebnisse zugreifen können.

Seite kopieren

Sie haben Code erstellt, um ein Modal zur Erfassung von Identitätsdokumenten anzuzeigen und Verifizierungsergebnisse zu verarbeiten. Nun benötigen Sie möglicherweise Zugriff auf die sensiblen Verifizierungsergebnisse, wie beispielsweise das Geburtsdatum des Nutzers/der Nutzerin oder Bilder der erfassten Dokumente.

Ziehen Sie zunächst in Erwägung, das Identity-Dashboard für den Zugriff auf sensible Verifizierungsergebnisse zu verwenden. Falls erforderlich, geben Sie Teammitgliedern kontrollierten Zugriff auf Ihr Stripe-Konto. Dies spart Ihnen Entwicklungszeit und stellt sicher, dass die sensiblen Verifizierungsdaten sicher bei Stripe gespeichert werden.

Sie können programmgesteuert auf die meisten Verifizierungsdetails zugreifen, beispielsweise auf das Ergebnis einer Verifizierungsprüfung oder auf den Namen und die Adresse des Nutzers/der Nutzerin, der/die Ihren geheimen Schlüssel verwendet. Für den Zugriff auf weitere sensible Felder sind eingeschränkte API-Schlüssel erforderlich.

VerifizierungsergebnisVerfügbar im DashboardZugriff auf GeheimschlüsselZugriff auf eingeschränkten API-SchlüsselEmpfohlenes Feld „Verifizierungssitzung“Eigenschaft erweitern
Adresseverified_outputs.addressverified_outputs
Dokumenttyplast_verification_report.document.typelast_verification_report
Vor- und Nachnamenverified_outputs.first_name und verified_outputs.last_namelast_verification_report
Land der Ausstellung des Dokumentslast_verification_report.document.issuing_countrylast_verification_report
Ergebnis der VerifizierungsprüfungstatusErweiterung nicht erforderlich
Ausstellungsdatum des Dokumentslast_verification_report.document.issued_datelast_verification_report
Typ der ID-Nummerlast_verification_report.document.id_number.typelast_verification_report
E-Mail-Adresseverified_outputs.emailverified_outputs
Telefonnummerverified_outputs.phoneverified_outputs
Ablaufdatum des Dokumentslast_verification_report.document.expiration_datelast_verification_report.document.expiration_date
Geburtsdatumverified_outputs.dobverified_outputs.dob
ID-Nummer des Dokumentslast_verification_report.document.numberlast_verification_report.document.number
Dokumentbilderlast_verification_report.document.fileslast_verification_report
Gesichtsbilderlast_verification_report.selfie.selfielast_verification_report
Ausweisnummerverified_outputs.id_numberverified_outputs.id_number

Eingeschränkte API-Schlüssel erlauben den Zugriff auf der Grundlage der mit ihnen verbundenen Sicherheitsmaßnahmen:

  • Eingeschränkte Schlüssel: Erlauben den Zugriff auf sensible Verifizierungsergebnisse für Verifizierungen, die in den letzten 48 Stunden verarbeitet wurden.
  • Schlüssel mit IP-Einschränkung: Erlauben den Zugriff auf sensible Verifizierungsergebnisse für alle Verifizierungen.

In diesem Leitfaden lernen Sie Folgendes:

  1. Überlegen Sie genau, welche Anforderungen Sie an den Zugriff auf sensible Daten haben.
  2. Erstellen Sie eingeschränkte API-Schlüssel.
  3. Führen Sie API-Anfragen durch, um sensible Verifizierungsergebnisse zu erhalten.
  4. Widerrufen Sie Ihre Schlüssel, falls sie kompromittiert wurden.
  5. Informieren Sie Ihre Nutzer/innen über Ihre sensiblen Verifizierungsergebnisse und Ihre Sicherheitsmaßnahmen.
  6. Fügen Sie Ihrem Schlüssel IP-Einschränkungen hinzu, um den langfristigen Zugriff auf sensible Verifizierungsergebnisse zu gewährleisten.
  1. Überlegen Sie genau, welche Anforderungen Sie an den Zugriff auf sensible Daten haben.
  2. Erstellen Sie eingeschränkte API-Schlüssel.
  3. Führen Sie API-Anfragen durch, um sensible Verifizierungsergebnisse zu erhalten.
  4. Widerrufen Sie Ihre Schlüssel, falls sie kompromittiert wurden.
  5. Informieren Sie Ihre Nutzer/innen über Ihre sensiblen Verifizierungsergebnisse und Ihre Sicherheitsmaßnahmen.

Überlegen Sie genau, welche Anforderungen Sie an den Zugriff auf sensible Daten haben

Um eine Integration mit Stripe Identity zu erstellen, bei der die Privatsphäre Ihrer Nutzer/innen Vorrang hat, müssen Sie zunächst festlegen, auf welchen Umfang personenbezogener Daten Sie mindestens zugreifen müssen. Wenn Sie keinen Zugriff auf die sensibelsten Daten benötigen (für die eine Authentifizierung mit einem eingeschränkten API-Schlüssel erforderlich ist), kann Ihre Integration die Authentifizierung nur mit Ihrem Geheimschlüssel durchführen.

Um auf personenbezogene Daten zuzugreifen, die das Ergebnis einer Verifizierung sind, können Sie eine VerificationSession abrufen und entweder das Feld verified_outputs – oder wenn Sie detailliertere Angaben zum Verifizierungsergebnis benötigen – das Feld last_verification_report erweitern. Durch das Erweitern eines dieser Felder werden automatisch alle darin enthaltenen Felder für personenbezogene Daten eingeschlossen, die lediglich einen Geheimschlüssel benötigen.

Hier ist ein Beispiel dafür, wie Sie das Feld verified_outputs erweitern, um den Namen eines/einer Nutzers/in abzurufen, der/die von Stripe Identity verifiziert wurde.

server.js
// Set your secret key. Remember to switch to your live secret key in production.
// See your keys here: https://dashboard.stripe.com/apikeys
const stripe = require('stripe')(
'sk_test_BQokikJOvBiI2HlWgH4olfQ2'
);

const verificationSession = await stripe.identity.verificationSessions.retrieve(
  '{{SESSION_ID}}',
  {
    expand: [
      'verified_outputs',
    ],
  }
);

const firstName = verificationSession.verified_outputs.first_name;

Wenn Sie keinen Zugriff auf sensible personenbezogene Daten benötigen, für die ein eingeschränkter Schlüssel erforderlich ist, befolgen Sie die Schritte in diesem Leitfaden.

Einen eingeschränkten API-Schlüssel erstellen
Dashboard

Sie können die geheimen API-Schlüssel Ihres Kontos verwenden, um jede API-Anfrage ohne Einschränkung durchzuführen. Für den Zugriff auf sensible Verifizierungsergebnisse sind eingeschränkte Schlüssel erforderlich, die größere Sicherheit bieten.

So erstellen Sie einen neuen eingeschränkten Schlüssel

  1. Gehen Sie im Dashboard zur Seite API-Schlüssel und klicken Sie auf Eingeschränkten Schlüssel erstellen.
  2. Legen Sie einen Namen für Ihren Schlüssel fest.
  3. Vergewissern Sie sich, dass die Identity-Berechtigungen Verification Sessions and Reports (Verifizierungssitzungen und Berichte) und Access recent sensitive verification results (Zugriff auf aktuelle sensible Verifizierungsergebnisse) auf Lesen gesetzt sind.
  4. (Optional) Wenn Sie Zugriff auf erfasste Bilder benötigen, fügen Sie die Berechtigung Schreiben für Dateien hinzu.
  5. Klicken Sie auf Schlüssel erstellen.
  6. Bewahren Sie den Schlüssel sicher auf. Weitere Informationen zur sicheren Aufbewahrung Ihrer Schlüssel.

API-Anfragen durchführen, um sensible Verifizierungsergebnisse zu erhalten
Serverseitig

VerificationReports enthalten alle gesammelten Daten und Verifizierungsergebnisse aus einer eingereichten Sitzung. VerificationReports werden erstellt, wenn alle Verifizierungsprüfungen für eine Sitzung abgeschlossen wurden. Sie helfen Ihnen, zu verstehen, warum eine Verifizierungsprüfung fehlgeschlagen ist und welche Daten erfolgreich verifiziert wurden.

Sie können das Sitzungsfeld last_verification_report erweitern, um den zugehörigen VerificationReport abzurufen.

Standardmäßig enthalten VerificationReports keine sensiblen Verifizierungsergebnisse. Um auf diese zuzugreifen, müssen Sie wie folgt vorgehen:

  1. Authentifizieren Sie sich mit dem in Schritt 1 erstellten eingeschränkten API-Schlüssel.
  2. Erweitern Sie die Felder, auf die Sie zugreifen möchten.

Nachfolgend finden Sie ein Beispiel für den Zugriff auf das extrahierte Geburtsdatum, die ID-Nummer und die Dokumentnummer aus einer Dokumentprüfung:

server.js
// Set your restricted key. Remember to switch to a live restricted key in production.
// See your keys here: https://dashboard.stripe.com/apikeys
const stripe = require('stripe')('rk_test_...');

const verificationSession = await stripe.identity.verificationSessions.retrieve(
  '{{SESSION_ID}}',
  {
    expand: [
      'verified_outputs.dob',
      'verified_outputs.id_number',
      'last_verification_report.document.number',
      'last_verification_report.document.expiration_date',
    ],
  }
);

const dateOfBirth = verificationSession.verified_outputs.dob;
const idNumber = verificationSession.verified_outputs.id_number;
const documentNumber = verificationSession.last_verification_report.document.number;
const documentExpirationDate = verificationSession.last_verification_report.document.expiration_date;

Zugriff auf erfasste Bilder

Sie können Identitätsnachweise und Aufnahmen von Gesichtern, die im Rahmen einer Sitzung gesammelt werden, mit der File Upload API abrufen. In einem VerificationReport können die folgenden Felder einen Verweis auf eine File-Ressource in der Stripe-API enthalten.

Notiz

Aufnahmen von Gesichtern und Dokumenten sind äußerst sensibel und in einigen Ländern, u. a. Deutschland, ist es gesetzlich verboten, Aufnahmen von Identitätsnachweisen zu teilen oder länger als notwendig aufzubewahren. Greifen Sie auf Bildinhalte möglichst mit kurzlebigen FileLinks zu, fertigen Sie keine Kopien der Dateiinhalte an und schwärzen Sie Sitzungen und erfasste Bilder, wenn Sie sie nicht mehr für den Zweck verwenden, für den Sie sie erfasst haben.

Um auf den Inhalt der Datei zuzugreifen, müssen Sie sich mit dem zuvor erstellten Schlüssel authentifizieren und einen FileLink erstellen, der eine kurze Gültigkeitsdauer hat, und die URL an den Client senden:

server.js
// Set your restricted key. Remember to switch to a live restricted key in production.
// See your keys here: https://dashboard.stripe.com/apikeys
const stripe = require('stripe')('rk_test_...');

// Get the VerificationReport
const session = await stripe.identity.verificationSessions.retrieve(
  '{{SESSION_ID}}',
  {
    expand: ['last_verification_report'],
  }
);

// Retrieve the File id
const report = session.last_verification_report;
const documentFrontFile = report.document.files[0];

// Create a short-lived FileLink
const fileLink = await stripe.fileLinks.create({
  file: documentFrontFile,
  expires_at: Math.floor(Date.now() / 1000) + 30,  // link expires in 30 seconds
});

// Access the FileLink URL to download file contents
const fileUrl = fileLink.url;

Notiz

FileLinks für Dokumente und Selfie-Dateien müssen innerhalb von 30 Sekunden ablaufen. Wir empfehlen Ihnen, die Dateiinhalte nicht auf Ihren Server herunterzuladen, sondern stattdessen die FileLink-URL an den Client zu senden, um das Bild anzuzeigen.

Wenn Sie annehmen, dass ein Angreifer auf die von Identity erfassten sensiblen Daten zugegriffen hat, kontaktieren Sie bitte den Support.

Ihre Schlüssel widerrufen, wenn sie kompromittiert wurden
Dashboard

Bei Verwendung eingeschränkter API-Schlüssel, für die nur Identity-Berechtigungen vorhanden sind, können Sie die Schlüssel im Notfall widerrufen, ohne dass andere Stripe-Produktintegrationen hiervon beeinträchtigt werden.

Wir empfehlen Ihnen, die Nutzung Ihrer eingeschränkten Schlüssel regelmäßig zu überwachen, um sicherzustellen, dass niemand Zugang zu ihnen erhalten hat. Im Dashboard können Sie das Überlaufmenü () verwenden, um Anforderungsprotokolle für einen bestimmten API-Schlüssel anzuzeigen und alle von diesem Schlüssel ausgehenden Anforderungen einzusehen.

Wenn ein API-Schlüssel kompromittiert wird, widerrufen Sie den Schlüssel im Dashboard, um ihn zu sperren, und generieren Sie einen neuen Schlüssel. Stellen Sie sicher, dass er sofort abläuft, um zu verhindern, dass mögliche Betrüger sensible Informationen abrufen können.

Achtung

Durch den Widerruf wird der API-Schlüssel gesperrt und ein neuer Schlüssel generiert. Wir empfehlen Ihnen, Ihre Sicherheitshistorie auf Ereignisse im Zusammenhang mit diesem Schlüssel zu überprüfen. Alle mit diesem Schlüssel erstellten Webhook-Endpoints bleiben aktiv, auch nachdem der Schlüssel widerrufen wurde.

Wenn Sie annehmen, dass ein Angreifer auf die von Identity erfassten sensiblen Daten zugegriffen hat, kontaktieren Sie bitte den Support.

Informieren Sie über die Verwendung sensibler Daten und Ihre Sicherheitsmaßnahmen

Vergewissern Sie sich, dass Ihre Datenschutzerklärung Informationen über die Verwendung sensibler Verifizierungsergebnisse enthält. Es kann auch hilfreich sein, wenn Sie Informationen über Ihre Sicherheitsmaßnahmen bereitstellen.

Siehe auch

Siehe auch

War diese Seite hilfreich?
JaNein
Benötigen Sie Hilfe? Kontaktieren Sie den Kundensupport.
Nehmen Sie an unserem Programm für frühzeitigen Zugriff teil.
Schauen Sie sich unser Änderungsprotokoll an.
Fragen? Sales-Team kontaktieren.
LLM? Lesen Sie llms.txt.
Unterstützt von Markdoc