Sicherheit bei Stripe
Stripe wurde von einem PCI-zertifizierten Auditor geprüft und ist als PCI Service Provider Level 1 zertifiziert. Hierbei handelt es sich um die strengste Zertifizierungsebene, die im Online-Zahlungsverkehr möglich ist. Wir nutzen dafür erstklassige Sicherheitstools und -verfahren, um ein hohes Maß an Sicherheit bei Stripe zu gewährleisten.
HTTPS und HSTS für sichere Verbindungen
Stripe erzwingt HTTPS für alle Dienste, die TLS (SSL) verwenden, darunter auch unsere öffentlich zugängliche Website und unser Dashboard, um sichere Verbindungen zu gewährleisten:
- Stripe.js wird nur über TLS bereitgestellt.
- Die offiziellen Bibliotheken von Stripe verbinden sich über TLS mit den Stripe-Servern und verifizieren bei jeder Verbindung die TLS-Zertifikate.
Wir überprüfen regelmäßig die Details unserer Implementierung, darunter auch unsere Zertifikate, Zertifizierungsstellen und Ciphers. Wir verwenden HSTS, um sicherzustellen, dass Browser nur über HTTPS mit Stripe interagieren. Stripe ist zudem Teil der HSTS-Preloading-Listen für Google Chrome und Mozilla Firefox.
Verschlüsselung von sensiblen Daten und Kommunikation
Alle Kartennummern werden im Speicherzustand mit AES-256 verschlüsselt. Entschlüsselungsschlüssel werden in separaten Systemen gespeichert. Die internen Server und Daemons von Stripe haben keinen Zugriff auf Kreditkartennummern in Klartext, können aber die Übermittlung von Karten an einen Dienstleister auf einer statischen Zulassungsliste anfordern. Die Infrastruktur von Stripe für das Speichern, Entschlüsseln und Übertragen von Kartennummern wird in einer separaten Hosting-Umgebung ausgeführt und gibt keine Anmeldedaten an die primären Dienste von Stripe, einschließlich unserer API und Website weiter.
Aufdeckung von Sicherheitslücken und Prämienprogramm
Indem Sie Stripe über HackerOne einen Sicherheitsfehler oder eine Sicherheitslücke melden, bestätigen Sie, dass Sie die Nutzungsbedingungen des Programms gelesen und akzeptiert haben. Weitere Informationen zur Teilnahme an unserem Bug-Bounty-Programm finden Sie in unserer Richtlinie zu HackerOne.