Stripe 的安全性
了解 Stripe 如何处理安全问题。
在敏感数据问题上,我们的用户信任 Stripe,并依赖我们充当其客户的良好数据保管人。作为一家支付基础设施公司,我们的安全状况持续满足全球金融行业的严苛标准。
标准与合规
Stripe 使用同类最佳的安全做法来保持高级别的安全性。
PCI 认证
Stripe 已经过具有 PCI 认证的审核员审核,获得支付卡行业 1 级服务提供商认证。这是支付行业中最严格的认证级别。此次审核包括 Stripe 的银行卡数据仓库 (Card Data Vault, CDV) 和我们集成代码的安全软件开发。
我们为用户提供一些用于自动化 PCI 合规性问题的功能。
- 我们会分析用户的集成方法,并动态通知他们使用哪种 PCI 验证表单。
- 如果用户集成了 Stripe Elements、Checkout、Terminal SDK 或我们的移动库,我们会在管理平台中协助其完成 PCI 验证表(即自我评估问卷)。
- 我们发布了一份 PCI 合规指南,以帮助我们的用户了解 PCI 合规性以及 Stripe 可以提供何种帮助。
系统和组织控制 (SOC) 报告
作为我们的 SOC 1 和 SOC 2 合规计划的一部分,Stripe 的系统、流程和控制定期接受审核。SOC 1 和 SOC 2 类型 II 报告每年编制一次,可根据要求提供。
系统和组织控制 (SOC 3) 报告是依据美国注册会计师协会 (AICPA) 审计准则委员会的信任服务标准 (TSC) 制定的。Stripe 的 SOC 3 是一份关于安全性、可用性和机密性内部控制的公开报告。查看我们最近的 SOC 3 报告。
银行卡终端的 EMVCo 标准
Stripe Terminal 已通过《EMV®规范》关于银行卡和终端安全性与互操作性的 EMVCo 1 级和 2 级标准认证。Terminal 亦通过 《PCI 支付应用数据安全标准》 (PA-DSS) 的认证,这是一项全球安全标准,旨在防止为第三方开发的支付应用程序存储被禁止的安全数据。
NIST 网络安全框架
Stripe 的信息安全政策套件及其总体设计符合 NIST 网络安全框架。我们的安全实践符合我们的企业客户的标准,这些客户必须提供安全的产品,如按需云计算和存储平台(例如,DigitalOcean 和 Slack)。
隐私和数据保护
Stripe 的隐私实践符合 CBPR 和 PRP 系统,这一点从 Stripe 获得的 CBPR 和 PRP 认证中可见一斑。查看我们 CBPR 和 PRP 认证的现状。Stripe 还遵守美国数据隐私框架 (“EU-US DPF”)、EU-US DPF 英国扩展程序以及美国商务部制定的瑞士-美国数据隐私框架。请参见我们的认证。
我们根据所有适用的隐私与数据保护规则,持续实施不断演进的隐私和数据保护流程、程序及最佳做法。欲了解更多信息,请参见以下 Stripe 资源:
Stripe 产品安全保障
安全性是 Stripe 所有的产品设计和基础设施决策的指导原则之一。我们提供一系列功能来帮助用户更好地保护他们的 Stripe 数据。
敏感动作验证
Stripe 管理平台支持多种形式的多重验证 (MFA),包括:短信、基于时间的一次性密码算法 (TOTP)、硬件安全密钥以及通行密钥。我们还支持通过安全断言标记语言 (SAML) 2.0 的单点登录,使您能够授权登录要求、配置访问控制,并通过即时 (JIT) 账户配置快速为团队成员开通账户。
在我们提供支持回复之前,您必须在登录后通过管理平台发送请求,或通过验证账户访问权限,对用户支持请求进行验证。通过要求身份验证,我们最大限度地降低向未授权人员提供任何信息的风险。
访问限制和审查
在管理平台,您可为员工分配不同的详细角色,以启用最低权限访问原则,并创建权限受限密钥,以降低因 API 密钥泄露引发的安全与可靠性风险。
您还可以在您的安全记录中查看重要账户变更和活动的审计日志。这些审计日志包含敏感账户活动的记录,如登录或更改银行账户信息。我们监控登录情况并注意:
- 如果其来自相同或常用的设备
- 如果其来自一致的 IP 地址
- 失败的尝试
您可以从日志中导出历史信息。对于时间敏感的活动,比如通过未知 IP 和设备进行的登录,我们会自动发送通知,这样您就不需要手动查看日志了。
HTTPS 和 HSTS 的安全连接
我们强制要求所有使用 TLS (SSL) 的服务使用 HTTPS,包括我们的公共网站和管理平台。我们定期审核实施的细节,包括我们提供的证书、我们使用的证书颁发机构以及我们支持的密码。我们使用 HSTS 来确保浏览器仅通过 HTTPS 与 Stripe 交互。Stripe 也被列入所有主流浏览器的 HSTS 预加载列表。
所有服务器间通信均采用互传输层安全 (mTLS) 加密,Stripe 拥有专用 PGP 密钥,用于加密与 Stripe 的通信,或验证我们发来的签名信息。我们的系统会自动阻止使用较旧且安全性较低的 TLS 版本发出的请求,至少需要使用 TLS 1.2。
stripe.com 域名,包括管理平台和 API 子域都位于 Chrome 的顶级域名列表中,为防范“同形字攻击 (homoglyph attack)”提供了额外的保护。这样,就更难在 Chrome 中创建看起来像 stripe.com 的虚假页面(例如,strípe.com),其呈现为微代码形式 (xn–strpe-1sa.com),从而使 Stripe 证书更难被钓鱼攻击。
主动网络监控
我们会主动在互联网上扫描商家的 API 密钥。一旦发现有泄露的密钥,我们会采取适当的措施,建议用户滚动其 API 密钥。当用户的 API 密钥在 GitHub 上泄露时,我们使用 GitHub Token Scanner 来提醒我们。一旦我们发现外部钓鱼页面可能会捕获我们的用户,我们会主动与供应商合作,将这些页面删除并报告给 Google Safe Browsing 团队。
基础设施保障
我们的安全团队通过扫描漏洞、进行渗透测试及“红队演习”来定期测试我们的基础设施。我们聘请行业领先的安全公司对我们的系统进行第三方扫描,一旦发现缺陷,会立即处理。我们的服务器会经常自动更换,以保持其健康度,并丢弃陈旧的连接或资源。服务器操作系统在其安全寿命终止 (EOL) 日期之前就已升级。
专用银行卡技术
Stripe 对传输中和静态的敏感数据进行加密。Stripe 用于存储、解密和传输主账号 (PAN)(如信用卡号)的基础设施在单独的托管基础设施中运行,不与其他服务共享任何凭证。我们有一个专门的团队在一个独立的 Amazon Web Services (AWS) 环境中管理我们的 CDV,该环境与 Stripe 的其余基础设施彼此分离。只有少数经过专门培训的工程师才能访问这一独立环境,并且每季度对访问进行一次审核。
所有银行卡号静态时均采用 AES-256 加密。解密密钥存储在不同的机器上。我们内部对 PAN 进行令牌化处理,将原始数字与其他基础设施隔离开来。Stripe 内部服务器和守护进程无法获得明文银行卡号,但可以请求将银行卡发送给静态允许列表中的服务提供者。Stripe 用于存储、解密和传输银行卡号的基础设施在独立的托管环境中运行,且不与主要 Stripe 服务(包括我们的API和网站)共享任何凭证。我们对其他敏感数据(如银行账户信息)的处理方式类似于对 PAN 的令牌化方式。
企业技术
Stripe 对员工访问管理采取零信任原则。员工通过 SSO、使用基于硬件令牌的双重验证 (2FA) 以及在 Stripe 签发机器上通过加密证书进行 mTLS 认证来进行身份验证。连接网络后,敏感的内部系统以及员工标准工作范围之外的系统需要额外的访问权限。
我们监控审计日志以检测异常,并关注入侵和可疑活动,同时监控代码库中敏感文件的变更。Stripe 的所有代码都经过多方审核和自动化测试。代码变更会被记录在不可变、防篡改的日志中。
我们不断收集关于 Stripe 配发笔记本电脑的信息,以监控恶意进程、与欺诈域名的连接以及入侵活动。我们有全面的流程,将员工笔记本电脑上允许的软件列入许可名单,防止安装未经批准的应用程序。
安全态势维护
我们的开发人员在项目生命周期的早期与安全专家合作。作为我们安全审查流程的一部分,安全专家会开发出威胁模型和信任边界,以帮助指导项目的实施。开发人员利用相同的流程对敏感的代码片段进行修改。
专属专家随时待命
我们有许多专门的安全团队,他们专注于不同的安全领域,包括基础设施、运营、隐私、用户和应用程序。安全专家 24/7 全天候待命。我们专注于不断提高最佳实践的标准,以最大限度地降低网络安全风险。
保障安全,是每名 Stripe 员工的责任
我们要求每位 Stripe 员工每年完成安全培训,并为 Stripe 工程师提供安全软件开发培训。我们内部开展钓鱼活动,测试 Stripe 所有员工识别钓鱼尝试并及时报告给相关安全团队的能力。
管理访问控制
我们有正式的系统和信息访问权限授予流程,并定期审核和自动移除非活跃访问权限。基础设施中最敏感区域的操作需要人工审核。为了实现访问控制的最佳实践,我们的安全专家构建了原语,以协助 Stripe 团队实施最小权限原则。为了最大限度地减少暴露,我们制定了数据留存政策,在遵守监管和业务要求的同时减少数据留存。
漏洞披露和奖励计划
我们有一个漏洞披露和奖励计划(“漏洞赏金”),以此对帮助我们保护用户安全的独立安全研究人员进行补偿。通过 HackerOne 向 Stripe 提交安全漏洞或缺陷,即表示您确认已阅读并同意计划条款和条件。请参考我们关于 HackerOne 上的政策,了解如何参与我们的“漏洞赏金”计划的更多信息。