Accéder directement au contenu
Créez un compte ou connecter-vous
Logo de la documentation Stripe
/
Créez un compteConnectez-vous
AperçuMettre votre intégration à niveau
Paiements en ligne
PrésentationTrouver votre cas d'usageUtiliser Managed Payments
Paiements par TPE
Moyens de paiement
Scénarios de paiement
Au-delà des paiements

Accéder aux résultats de vérification

Comment accéder aux résultats de vérification sensibles.

Vous pouvez écrire du code pour afficher une fenêtre modale pour collecter des documents d’identité et traiter les résultats de la vérification. Vous pourriez avoir besoin d’accéder ultérieurement aux résultats sensibles de la vérification, comme la date de naissance de votre utilisateur ou les photos du document collecté. Pour ce faire, plusieurs options s’offrent à vous.

Tout d’abord, nous vous suggérons d’utiliser le Dashboard Identity pour accéder aux résultats de vérification sensibles. Si nécessaire, accordez aux membres de votre équipe un accès limité à votre compte Stripe. Ainsi, vous accélérez le développement et les données de vérification sensibles sont conservées en toute sécurité sur Stripe.

Vous pouvez accéder à la plupart des informations de vérification de manière programmatique, par exemple au résultat d’un contrôle de vérification ou au nom et à l’adresse de l’utilisateur grâce à votre clé secrète. Pour accéder à des champs plus sensibles, utilisez des clés API limitées.

Résultat de la vérificationDisponible dans le DashboardAccès avec une clé secrèteAccès avec une clé API limitéeChamp Session de vérification recommandéeAgrandir la propriété
Adresseverified_outputs.addressverified_outputs
Type de documentlast_verification_report.document.typelast_verification_report
Nom et prénom'verified_outputs.first_name et verified_outputs.last_name`last_verification_report
Pays d’émission du documentlast_verification_report.document.issuing_countrylast_verification_report
Résultat du contrôle de vérificationstatusDéveloppement facultatif
Date d’émission du documentlast_verification_report.document.issued_datelast_verification_report
Type de numéro d’identificationlast_verification_report.document.id_number.typelast_verification_report
Adresse e-mailverified_outputs.emailverified_outputs
Numéro de téléphoneverified_outputs.phoneverified_outputs
Date d’expiration du documentlast_verification_report.document.expiration_datelast_verification_report.document.expiration_date
Date de naissanceverified_outputs.dobverified_outputs.dob
Numéro d’identification du documentlast_verification_report.document.numberlast_verification_report.document.number
Images du documentlast_verification_report.document.fileslast_verification_report
Photos d’identitélast_verification_report.selfie.selfielast_verification_report
Numéro d’identificationverified_outputs.id_numberverified_outputs.id_number

Les clés API limitées accordent un accès déterminé par les mesures de sécurité qui leur sont associées :

  • Clés limitées : permettent l’accès aux résultats de vérification sensibles des vérifications traitées au cours des dernières 48 heures.
  • Clés limitées IP : permettent l’accès aux résultats de vérification sensibles de toutes les vérifications.

Dans ce guide, vous apprendrez à :

  1. Réfléchir soigneusement à vos exigences en matière d’accès aux données sensibles.
  2. Créer des clés API limitées.
  3. Effectuer des requêtes d’API pour obtenir des résultats de vérification sensibles.
  4. Révoquer vos clés en cas de compromission.
  5. Transmettre vos résultats de vérification sensibles et vos mesures de sécurité à vos utilisateurs.
  6. Ajoutez des restrictions d’adresses IP à votre clé pour garantir un accès à long terme aux résultats de vérification sensibles.
  1. Réfléchir soigneusement à vos exigences en matière d’accès aux données sensibles.
  2. Créer des clés API limitées.
  3. Effectuer des requêtes d’API pour obtenir des résultats de vérification sensibles.
  4. Révoquer vos clés en cas de compromission.
  5. Transmettre vos résultats de vérification sensibles et vos mesures de sécurité à vos utilisateurs.

Réfléchir soigneusement à vos exigences en matière d'accès aux données sensibles

Pour construire une intégration Stripe Identity qui donne la priorité à la confidentialité de votre utilisateur, vous devez d’abord décider du nombre minimum de données personnelles dont vous avez besoin. Si vous n’avez pas besoin d’accéder aux données les plus sensibles (qui nécessitent une authentification avec une clé API limitée), votre intégration peut s’authentifier en utilisant uniquement votre clé secrète.

Pour accéder aux données personnelles résultant de la vérification, vous pouvez récupérer une VerificationSession et développer, au choix : le champ verified_outputs ou le champ last_verification_report si vous souhaitez obtenir plus d’informations sur le résultat de la vérification. Lorsque vous développez l’un de ces champs, tous les champs PII qu’il contient et qui ne nécessitent qu’une clé secrète sont automatiquement inclus.

Voici un exemple montrant comment développer le champ verified_outputs pour récupérer le nom d’un utilisateur vérifié par Stripe Identity.

server.js
Node.js
Ruby
Python
PHP
Java
Go
.NET
No results
// Set your secret key. Remember to switch to your live secret key in production.
// See your keys here: https://dashboard.stripe.com/apikeys
const stripe = require('stripe')(
'sk_test_BQokikJOvBiI2HlWgH4olfQ2'
);

const verificationSession = await stripe.identity.verificationSessions.retrieve(
  '{{SESSION_ID}}',
  {
    expand: [
      'verified_outputs',
    ],
  }
);

const firstName = verificationSession.verified_outputs.first_name;

Si vous devez vraiment accéder aux informations personnelles sensibles qui nécessitent une clé limitée, suivez les étapes expliquées dans ce guide.

Créer une clé API limitée
Dashboard

Vous pouvez utiliser les clés API secrètes de votre compte pour effectuer toutes les requêtes API sans restriction. L’accès aux résultats de vérification sensibles nécessite des clés limitées, lesquelles sont plus sécurisées.

Pour créer une nouvelle clé limitée :

  1. Accédez à la page des clés API dans le Dashboard et cliquez sur Créer une clé limitée.
  2. Donnez un nom à votre clé.
  3. Vérifiez que les autorisations d’Identity Sessions et rapports de vérification et Accéder aux résultats de vérification sensibles récents sont définies sur Lecture.
  4. (facultatif) Si vous devez accéder aux images collectées, ajoutez l’autorisation Écriture des fichiers.
  5. Cliquez sur Créer une clé.
  6. Conservez la clé en toute sécurité. En savoir plus sur la protection de vos clés.

Effectuer des requêtes d'API pour obtenir des résultats de vérification sensibles
Côté serveur

Les VerificationReports contiennent toutes les données collectées et les résultats de vérification d’une session soumise. Les VerificationReports sont créés lorsque tous les contrôles de vérification d’une session ont été traités. Ils vous permettent de comprendre les raisons de l’échec d’un contrôle de vérification et vous indiquent les données qui ont pu être vérifiées avec succès.

Vous pouvez développer le champ last_verification_report de la session pour récupérer le VerificationReport associé.

Par défaut, les VerificationReports n’incluent pas les résultats de vérification sensibles. Pour y accéder, vous devrez :

  1. Vous authentifier à l’aide de la clé API limitée créée à l’étape 1.
  2. Développer les champs auxquels vous souhaitez accéder.

Voici un exemple d’accès à la date de naissance, au numéro d’identification et au numéro de document extraits d’une vérification de document :

server.js
Node.js
Ruby
Python
PHP
Java
Go
.NET
No results
// Set your restricted key. Remember to switch to a live restricted key in production.
// See your keys here: https://dashboard.stripe.com/apikeys
const stripe = require('stripe')('rk_test_...');

const verificationSession = await stripe.identity.verificationSessions.retrieve(
  '{{SESSION_ID}}',
  {
    expand: [
      'verified_outputs.dob',
      'verified_outputs.id_number',
      'last_verification_report.document.number',
      'last_verification_report.document.expiration_date',
    ],
  }
);

const dateOfBirth = verificationSession.verified_outputs.dob;
const idNumber = verificationSession.verified_outputs.id_number;
const documentNumber = verificationSession.last_verification_report.document.number;
const documentExpirationDate = verificationSession.last_verification_report.document.expiration_date;

Accès aux images collectées

Vous pouvez récupérer les images des pièces d’identité et des visages qui sont collectées dans une session à l’aide de l’API File Upload. Les champs suivants, dans un VerificationReport, peuvent contenir une référence à une ressource File dans l’API Stripe :

Remarque

Les images de documents et de visages sont très sensibles et certains pays, comme l’Allemagne, ont adopté des lois interdisant le partage ou la conservation au-delà du strict nécessaire des images de pièces d’identité. Tâchez autant que possible d’accéder aux contenus images avec des FileLinks éphémères, de ne pas faire de copies du contenu des fichiers, et d’expurger les sessions et les images collectées lorsque vous avez fini de les utiliser aux fins prévues.

Pour accéder au contenu du fichier, vous devez vous identifier à l’aide de la clé limitée créée précédemment, créer un FileLink avec une courte période d’expiration et envoyer le paramètre url au client :

server.js
Node.js
Ruby
Python
PHP
Java
Go
.NET
No results
// Set your restricted key. Remember to switch to a live restricted key in production.
// See your keys here: https://dashboard.stripe.com/apikeys
const stripe = require('stripe')('rk_test_...');

// Get the VerificationReport
const session = await stripe.identity.verificationSessions.retrieve(
  '{{SESSION_ID}}',
  {
    expand: ['last_verification_report'],
  }
);

// Retrieve the File id
const report = session.last_verification_report;
const documentFrontFile = report.document.files[0];

// Create a short-lived FileLink
const fileLink = await stripe.fileLinks.create({
  file: documentFrontFile,
  expires_at: Math.floor(Date.now() / 1000) + 30,  // link expires in 30 seconds
});

// Access the FileLink URL to download file contents
const fileUrl = fileLink.url;

Remarque

Les FileLinks pour les fichiers des pièces d’identité et des selfies doivent expirer sous 30 secondes. Nous vous recommandons de ne pas télécharger le contenu des fichiers sur votre serveur, mais d’envoyer l’URL du FileLink au client pour lui permettre d’afficher l’image.

Si vous pensez qu’une personne malveillante a accédé à des données sensibles collectées par Identity, contactez le service Support.

Révoquer vos clés en cas de compromission
Dashboard

En utilisant des clés API limitées qui ne disposent que d’autorisations Identity, vous pourrez révoquer les clés en cas d’urgence sans que cela n’ait d’incidence sur les autres intégrations de produits Stripe.

Nous vous recommandons de contrôler régulièrement l’utilisation de vos clés limitées pour vérifier que personne n’y a eu accès. Dans le Dashboard, vous pouvez utiliser le menu de débordement () pour afficher les logs des requêtes d’une clé API donnée afin de visualiser toutes les requêtes effectuées à partir de cette clé.

Si une clé API est compromise, vous pouvez la bloquer et en générer une nouvelle dans le Dashboard. Veillez à la faire expirer immédiatement pour éviter que des personnes malveillantes ne récupèrent des informations sensibles.

Avertissement

La révocation de la clé API a pour effet de la bloquer et d’en générer une nouvelle. Nous vous recommandons de consulter votre historique de sécurité pour consulter les événements associés à cette clé. Les endpoints de webhook créés avec cette clé resteront actifs, même après sa révocation.

Si vous pensez qu’une personne malveillante a accédé à des données sensibles collectées par Identity, contactez le service Support.

Transmettre les informations relatives à votre utilisation des données sensibles et vos mesures de sécurité

Assurez-vous que votre politique de confidentialité comprend des informations sur votre utilisation des résultats de vérification sensibles. Il peut également être utile de fournir des informations sur vos pratiques en matière de sécurité.

Voir également

FacultatifAjouter des restrictions d'adresses IP pour un accès à long terme aux résultats
Dashboard

Les clés API limitées dotées des autorisations Accéder aux résultats de vérification sensibles récents permettent l’accès programmatique aux vérifications soumises au cours des dernières 48 heures.

Si vous avez besoin d’un accès programmatique aux vérifications au-delà de 48 heures, vous devrez renforcer la sécurité de votre clé limitée en ajoutant des restrictions d’adresses IP.

  1. Accédez à la page des clés API dans le Dashboard.
  2. Dans le menu de débordement (), cliquez sur Gérer les restrictions des adresses IP pour la clé limitée que vous avez créée à l’étape 1.
  3. Spécifiez les adresses IP de vos serveurs de production. Les origines peuvent être exprimées sous la forme d’une adresse IP v4 unique ou en utilisant le système d’adressage CIDR (Classless Inter-Domain Routing) pour renseigner une plage d’adresses IP. En savoir plus sur l’ajout de restrictions d’adresse IP aux clés.
  4. Enregistrer la clé
  5. Modifiez la clé et ajoutez l’autorisation Accéder à tous les résultats de vérification sensibles.

Vous pouvez désormais accéder aux résultats de vérification sensibles des vérifications soumises après le délai de 48 heures.

Voir aussi

Cette page vous a-t-elle été utile ?
OuiNon