Stripe è stato verificato da un revisore certificato PCI e ha ottenuto la certificazione come fornitore di servizi PCI di livello 1. Si tratta del livello di certificazione più rigoroso disponibile nel settore dei pagamenti. Per ottenerlo, usiamo i migliori strumenti e le migliori pratiche di sicurezza, che consentono di mantenere un livello di sicurezza elevato in Stripe.

HTTPS e HSTS per connessioni sicure

Stripe forza l’uso del protocollo HTTPS per tutti i servizi che usano TLS (SSL), inclusi il nostro sito web pubblico e la Dashboard.

• Stripe.js è disponibile solo su TLS
• Le librerie ufficiali di Stripe si connettono ai server Stripe su TLS e verificano i certificati TLS su ciascuna connessione

Verifichiamo regolarmente i dettagli della nostra implementazione, inclusi i certificati gestiti, le autorità di certificazione usate e i cifrari supportati. Usiamo HSTS per assicurare che i browser interagiscano con Stripe solo su HTTPS. Stripe è presente anche nelle liste precaricate HSTS sia per Google Chrome che per Mozilla Firefox.

Crittografia di dati e comunicazioni sensibili

Tutti i numeri di carta vengono crittografati quando inattivi con algoritmo di cifratura AES-256. Le chiavi di decrittografia sono memorizzate su macchine separate. I server e i daemon interni di Stripe non possono ottenere numeri di carta non crittografati, ma possono richiedere l’invio di carte a un fornitore di servizi in un elenco statico di carte consentite. L’infrastruttura di Stripe dedicata alla memorizzazione, decodifica e trasmissione dei numeri di carta viene eseguita in un ambiente di hosting separato e non condivide le credenziali con nessuno dei principali servizi di Stripe (API, sito web e così via).