Seguridad en Stripe
Un auditor certificado por PCI ha auditado a Stripe. Somos un proveedor de servicios de PCI de nivel 1 certificado. Este es el nivel de certificación más estricto que existe en el sector de los pagos. Para lograrlo, utilizamos las mejores herramientas y prácticas de seguridad con el fin de mantener un alto nivel de seguridad en Stripe.
HTTPS y HSTS para unas conexiones seguras
Stripe fuerza el uso de HTTPS para todos los servicios que utilizan TLS (SSL), incluidos nuestro sitio web público y el Dashboard para garantizar conexiones seguras:
- Stripe.js solo se ofrece a través de TLS.
- Las bibliotecas oficiales de Stripe conectan con los servidores de Stripe a través de TLS y verifican los certificados TLS de cada conexión.
Auditamos periódicamente los datos de nuestra implementación, incluidos los certificados que ofrecemos, las autoridades de certificación que utilizamos y los cifrados que admitimos. Utilizamos HSTS para garantizar que los navegadores solo interactúen con Stripe a través de HTTPS. Stripe también está en las listas de HSTS precargadas tanto para Google Chrome como para Mozilla Firefox.
Cifrado de datos confidenciales y comunicación
Todos los números de tarjeta están cifrados en reposo con AES-256. Las claves de descifrado se almacenan en máquinas separadas. Ninguno de los servidores y daemons internos de Stripe puede obtener los números de tarjeta de texto sin formato, pero pueden solicitar que las tarjetas se envíen a un proveedor de servicios en una lista de permisos estática. La infraestructura de Stripe para almacenar, descifrar y transmitir los números de tarjeta se ejecuta en un entorno de alojamiento independiente y no comparte ninguna credencial con los servicios principales de Stripe, incluidos nuestra API y nuestro sitio web.
Programa de comunicación de vulnerabilidades y recompensas
Al enviar un error de seguridad o una vulnerabilidad a Stripe a través de HackerOne, reconoces haber leído y aceptado los términos y condiciones del programa. Consulta nuestra política sobre HackerOne para obtener más información acerca de cómo participar en nuestro programa de recompensas por errores.