Avant de passer en mode production
Bonnes pratiques pour créer une intégration Stripe Identity prête pour la production.
Consultez les cas d’usage pris en charge et les conditions d’utilisation du service pour vérifier si votre entreprise peut utiliser Stripe Identity.
L’expérience de vérification montre le nom, le logo et la couleur de votre entreprise. Veillez à configurer les paramètres d’adaptation à votre marque sur votre compte avant de passer en mode production.
Pour empêcher les fraudeurs de se servir de votre flux de vérification de manière abusive et d’engager des paiements sur votre compte, nous vous recommandons de limiter le nombre de tentatives de vérification pour chaque utilisateur.
Dans la mesure du possible, ne stockez que les références à la vérification et utilisez l’API pour récupérer la VerificationSession lorsque vous devez accéder à des informations à caractère sensible. Cette démarche simplifie votre intégration et limite les risques du point de vue de la sécurité. Elle vous aide également à vous conformer aux lois sur la protection de la vie privée (comme le RGPD) qui vous imposent des restrictions quant à la conservation des données.
Nous vous recommandons d’authentifier votre utilisateur avant de le présenter ou de le transférer à Stripe Identity. Ceci vous permet de conserver des références internes pertinentes et ajoute une couche de sécurité afin d’empêcher les fraudeurs de faire un usage abusif de votre flux de vérification.
Stripe Identity peut ne pas être en mesure de vérifier tous vos utilisateurs. Par exemple, il se peut qu’un utilisateur refuse d’être vérifié à l’aide de la technologie biométrique, qu’il tente de soumettre à la vérification un type de document non pris en charge ou qu’il ne soit pas couvert par les contrôles de vérification de Identity. Nous vous recommandons de proposer d’autres moyens de vérifier l’utilisateur, par exemple en sollicitant l’aide de votre équipe d’assistance. Dans certaines juridictions, les lois sur la protection de la vie privée (comme le RGPD) peuvent vous obliger à proposer une option de vérification non biométrique pour les utilisateurs qui ne souhaitent pas que leurs données biométriques soient utilisées.
Si votre intégration dépend de webhooks, n’oubliez pas de vérifier qu’elle prend correctement en charge les événements Identity et que vous respectez les bonnes pratiques pour l’utilisation des webhooks.
Suivez la liste de contrôle pour les développeurs afin que la mise en service de votre intégration se passe au mieux.
Stripe Identity collecte des informations sensibles, notamment des photos de visage et de pièce d’identité. Vérifiez que votre propre politique de confidentialité précise à vos clients toutes les modalités d’utilisation ou de réutilisation des données d’identité collectées. Assurez-vous, par ailleurs, qu’elle mentionne que ces données sont partagées avec Stripe. Vous pouvez ajouter le paragraphe suivant à votre politique si elle ne contient pas déjà des informations sur la manière dont les données des clients sont communiquées à Stripe :
Stripe permet de vérifier les documents d’identité. La plateforme collecte les images des pièces d’identité, les images faciales, les numéros d’identification et les adresses, les signaux de fraude avancés et les informations relatives aux appareils qui se connectent à ses services. Stripe nous communique ces renseignements et utilise également ces données pour gérer et améliorer les services fournis, notamment en matière de détection des fraudes. Vous pouvez également choisir d’autoriser Stripe à faire usage de vos données pour améliorer sa technologie de vérification biométrique. Pour en savoir plus sur Stripe et lire sa politique de confidentialité, rendez-vous sur https://stripe.com/privacy.
Vérifiez que les paramètres de votre compte contiennent un lien vers votre politique de confidentialité. Cette URL sera liée à partir de Stripe Identity.
Ajoutez des informations sur votre site pour répondre aux questions les plus courantes concernant la vérification d’identité et l’utilisation de Stripe Identity. Consultez le modèle de FAQ.
Lorsque les utilisateurs demandent que leurs données soient supprimées, expurgez la VerificationSession et informez-les qu’ils doivent contacter le service d’assistance de Stripe pour que leurs données soient supprimées des serveurs Stripe. Vous pouvez ajouter le paragraphe suivant à votre application :
Stripe permet de vérifier les pièces d’identité. La plateforme conserve une copie de toutes les données fournies dans le cadre d’une vérification. Vous avez peut-être également consenti à ce que Stripe exploite vos données pour améliorer sa technologie. Vous pouvez supprimer vos informations des serveurs de Stripe ou révoquer votre consentement en vous rendant sur https://support.stripe.com.
