Accéder directement au contenu
Créez un compte
 ou
connecter-vous
Logo de la documentation Stripe
/
Créez un compte
Connectez-vous
AperçuDécouvrir tous les produits
Set up Stripe
Dashboard Stripe
Dashboard WebDashboard mobile
For developers
Migrer vers Stripe
Migrer les données clientMigrer des abonnements
Manage fraud risk

Accéder aux résultats de vérification

Comment accéder aux résultats de vérification sensibles.

Vous avez écrit du code pour afficher une fenêtre modale permettant de collecter les pièces d’identité des utilisateurs et de gérer les résultats de la vérification. Maintenant, vous avez peut-être besoin d’accéder aux résultats de vérification sensibles, comme la date de naissance de votre utilisateur ou les photos du document collecté.

Tout d’abord, nous vous suggérons d’utiliser le Dashboard Identity pour accéder aux résultats de vérification sensibles. Si nécessaire, accordez aux membres de votre équipe un accès limité à votre compte Stripe. Ainsi, vous accélérez le développement et les données de vérification sensibles sont conservées en toute sécurité sur Stripe.

Vous pouvez accéder à la plupart des informations de vérification de manière programmatique, par exemple au résultat d’un contrôle de vérification ou le nom et l’adresse de l’utilisateur grâce à votre clé secrète. Pour accéder à des champs plus sensibles, utilisez des clés API limitées.

Résultat de la vérificationDisponible dans le DashboardAccès avec une clé secrèteAccès avec une clé API limitée
Adresse
Type de document
Nom et prénom
Pays d’émission du document
Résultat du contrôle de vérification
Date d’émission du document
Type de numéro d’identification
Adresse e-mail
Numéro de téléphone
Date d’expiration du document
Date de naissance
Numéro d’identification du document
Images du document
Photos d’identité
Numéro d’identification

Les clés API limitées accordent un accès déterminé par les mesures de sécurité qui leur sont associées :

  • Clés limitées : permettent l’accès aux résultats de vérification sensibles des vérifications traitées au cours des dernières 48 heures.
  • Clés limitées IP : permettent l’accès aux résultats de vérification sensibles de toutes les vérifications.

Dans ce guide, vous apprendrez à :

  1. Réfléchir soigneusement à vos exigences en matière d’accès aux données sensibles.
  2. Créer des clés API limitées.
  3. Effectuer des requêtes d’API pour obtenir des résultats de vérification sensibles.
  4. Révoquer vos clés en cas de compromission.
  5. Transmettre vos résultats de vérification sensibles et vos mesures de sécurité à vos utilisateurs.
  6. Ajoutez des restrictions d’adresses IP à votre clé pour garantir un accès à long terme aux résultats de vérification sensibles.
  1. Réfléchir soigneusement à vos exigences en matière d’accès aux données sensibles.
  2. Créer des clés API limitées.
  3. Effectuer des requêtes d’API pour obtenir des résultats de vérification sensibles.
  4. Révoquer vos clés en cas de compromission.
  5. Transmettre vos résultats de vérification sensibles et vos mesures de sécurité à vos utilisateurs.

Réfléchir soigneusement à vos exigences en matière d'accès aux données sensibles

Pour construire une intégration Stripe Identity qui donne la priorité à la confidentialité de votre utilisateur, vous devez d’abord décider du nombre minimum de données personnelles dont vous avez besoin. Si vous n’avez pas besoin d’accéder aux données les plus sensibles (qui nécessitent une authentification avec une clé API limitée), votre intégration peut s’authentifier en utilisant uniquement votre clé secrète.

Pour accéder aux données personnelles résultant de la vérification, vous pouvez récupérer une VerificationSession et développer, au choix : le champ verified_outputs ou le champ last_verification_report si vous souhaitez obtenir plus d’informations sur le résultat de la vérification. Lorsque vous développez l’un de ces champs, tous les champs PII qu’il contient et qui ne nécessitent qu’une clé secrète sont automatiquement inclus.

Voici un exemple montrant comment développer le champ verified_outputs pour récupérer le nom d’un utilisateur vérifié par Stripe Identity.

server.js
// Set your secret key. Remember to switch to your live secret key in production.
// See your keys here: https://dashboard.stripe.com/apikeys
const stripe = require('stripe')(
'sk_test_4eC39HqLyjWDarjtT1zdp7dc'
);

const verificationSession = await stripe.identity.verificationSessions.retrieve(
  '{{SESSION_ID}}',
  {
    expand: [
      'verified_outputs',
    ],
  }
);

const firstName = verificationSession.verified_outputs.first_name;

Si vous devez vraiment accéder aux informations personnelles sensibles qui nécessitent une clé limitée, suivez les étapes expliquées dans ce guide.

Créer une clé API limitée
Dashboard

Vous pouvez utiliser les clés API secrètes de votre compte pour effectuer toutes les requêtes API sans restriction. L’accès aux résultats de vérification sensibles nécessite des clés limitées, lesquelles sont plus sécurisées.

Pour créer une nouvelle clé limitée :

  1. Accédez à la page des clés API dans le Dashboard et cliquez sur Créer une clé limitée.
  2. Donnez un nom à votre clé.
  3. Vérifiez que les autorisations d’Identity Sessions et rapports de vérification et Accéder aux résultats de vérification sensibles récents sont définies sur Lecture.
  4. (facultatif) Si vous devez accéder aux images collectées, ajoutez l’autorisation Écriture des fichiers.
  5. Cliquez sur Créer une clé.
  6. Stockez la clé en toute sécurité. En savoir plus sur la protection de vos clés.

Effectuer des requêtes d'API pour obtenir des résultats de vérification sensibles
Côté serveur

Les VerificationReports contiennent toutes les données collectées et les résultats de vérification d’une session soumise. Les VerificationReports sont créés lorsque tous les contrôles de vérification d’une session ont été traités. Ils vous permettent de comprendre les raisons de l’échec d’un contrôle de vérification et vous indiquent les données qui ont pu être vérifiées avec succès.

Vous pouvez développer le champ last_verification_report de la session pour récupérer le VerificationReport associé.

Par défaut, les VerificationReports n’incluent pas les résultats de vérification sensibles. Pour y accéder, vous devrez :

  1. Vous authentifier à l’aide de la clé API limitée créée à l’étape 1.
  2. Développer les champs auxquels vous souhaitez accéder.

Voici un exemple d’accès à la date de naissance, au numéro d’identification et au numéro de document extraits d’une vérification de document :

server.js
// Set your restricted key. Remember to switch to a live restricted key in production.
// See your keys here: https://dashboard.stripe.com/apikeys
const stripe = require('stripe')('rk_test_...');

const verificationSession = await stripe.identity.verificationSessions.retrieve(
  '{{SESSION_ID}}',
  {
    expand: [
      'verified_outputs.dob',
      'verified_outputs.id_number',
      'last_verification_report.document.number',
    ],
  }
);

const dateOfBirth = verificationSession.verified_outputs.dob;
const idNumber = verificationSession.verified_outputs.id_number;
const documentNumber = verificationSession.last_verification_report.document.number;

Accès aux images collectées

Vous pouvez récupérer les images des pièces d’identité et des visages qui sont collectées dans une session à l’aide de l’API File Upload. Les champs suivants, dans un VerificationReport, peuvent contenir une référence à une ressource File dans l’API Stripe :

Note

Les images de documents et de visages sont très sensibles et certains pays, comme l’Allemagne, ont adopté des lois interdisant le partage ou la conservation au-delà du strict nécessaire des images de pièces d’identité. Tâchez autant que possible d’accéder aux contenus images avec des FileLinks éphémères, de ne pas faire de copies du contenu des fichiers, et d’expurger les sessions et les images collectées lorsque vous avez fini de les utiliser aux fins prévues.

Pour accéder au contenu du fichier, vous devez vous identifier à l’aide de la clé limitée créée précédemment, créer un FileLink avec une courte période d’expiration et envoyer le paramètre url au client :

server.js
// Set your restricted key. Remember to switch to a live restricted key in production.
// See your keys here: https://dashboard.stripe.com/apikeys
const stripe = require('stripe')('rk_test_...');

// Get the VerificationReport
const session = await stripe.identity.verificationSessions.retrieve(
  '{{SESSION_ID}}',
  {
    expand: ['last_verification_report'],
  }
);

// Retrieve the File id
const report = session.last_verification_report;
const documentFrontFile = report.document.files[0];

// Create a short-lived FileLink
const fileLink = await stripe.fileLinks.create({
  file: documentFrontFile,
  expires_at: Math.floor(Date.now() / 1000) + 30,  // link expires in 30 seconds
});

// Access the FileLink URL to download file contents
const fileUrl = fileLink.url;

Note

Les FileLinks pour les fichiers des pièces d’identité et des selfies doivent expirer sous 30 secondes. Nous vous recommandons de ne pas télécharger le contenu des fichiers sur votre serveur, mais d’envoyer l’URL du FileLink au client pour lui permettre d’afficher l’image.

Si vous pensez qu’une personne malveillante a accédé à des données sensibles collectées par Identity, contactez le service d’assistance.

Révoquer vos clés en cas de compromission
Dashboard

En utilisant des clés API limitées qui ne disposent que d’autorisations Identity, vous pourrez révoquer les clés en cas d’urgence sans que cela n’ait d’incidence sur les autres intégrations de produits Stripe.

Nous vous recommandons de contrôler régulièrement l’utilisation de vos clés limitées pour vérifier que personne n’y a eu accès. Dans le Dashboard, vous pouvez utiliser le menu de débordement () pour afficher les logs des requêtes d’une clé API donnée afin de visualiser toutes les requêtes effectuées à partir de cette clé.

Si une clé API est compromise, vous pouvez la bloquer et en générer une nouvelle dans le Dashboard. Veillez à la faire expirer immédiatement pour éviter que des personnes malveillantes ne récupèrent des informations sensibles.

Avertissement

La révocation de la clé API a pour effet de la bloquer et d’en générer une nouvelle. Nous vous recommandons de consulter votre historique de sécurité pour consulter les événements associés à cette clé. Les endpoints de webhook créés avec cette clé resteront actifs, même après sa révocation.

Si vous pensez qu’une personne malveillante a accédé à des données sensibles collectées par Identity, contactez le service d’assistance.

Transmettre les informations relatives à votre utilisation des données sensibles et vos mesures de sécurité

Assurez-vous que votre politique de confidentialité comprend des informations sur votre utilisation des résultats de vérification sensibles. Il peut également être utile de fournir des informations sur vos pratiques en matière de sécurité.

Voir également

Voir aussi

Cette page vous a-t-elle été utile ?
OuiNon
Besoin d'aide ? Contactez le service d'assistance.
Rejoignez notre programme d'accès anticipé.
Consultez notre journal des modifications des produits.
Des questions ? Contactez l'équipe commerciale.
Propulsé par Markdoc
Sur cette page
Réfléchir soigneusement à vos exigences en matière d'accès aux données sensibles
Créer une clé API limitée
Effectuer des requêtes d'API pour obtenir des résultats de vérification sensibles
Accès aux images collectées
Révoquer vos clés en cas de compromission
Transmettre les informations relatives à votre utilisation des données sensibles et vos mesures de sécurité
Voir aussi
Produits utilisés
Identity