Stripe のセキュリティ
PCI 認定を受けた監査人が Stripe を監査しています。Stripe は PCI サービスプロバイダレベル 1 の認定を受けています。これは、決済業界で最も厳しい認定レベルです。これを実現するために、 Stripe はクラス最高のセキュリティツールと業務慣行を用いて、高レベルのセキュリティを維持しています。
安全な接続のための HTTPS および HSTS
Stripe は、安全な接続を確保するため、TLS (SSL) を使用してすべてのサービスに HTTPS を適用します。Stripe の公式な Web サイトとダッシュボードもその対象です。
We regularly audit the details of our implementation, including the certificates we serve, the certificate authorities we use, and the ciphers we support. We use HSTS to ensure that browsers interact with Stripe only over HTTPS. Stripe is also on the HSTS preloaded lists for both Google Chrome and Mozilla Firefox.
機密データと通信の暗号化
すべてのカード番号は AES-256 で保存時に暗号化されます。復号化キーは別のマシンに保存されます。Stripe の内部サーバーとデーモンはプレーンテキストのカード番号を取得できませんが、静的な許可リストにあるサービスプロバイダにカードを送信するようにリクエストできます。カード番号を保存、復号、送信するための Stripe のインフラストラクチャは、独立したホスティング環境で実行され、API や Web サイトを含む Stripe の主要サービスと認証情報を共有しません。
脆弱性の開示と報酬プログラム
HackerOne を通じて Stripe にセキュリティバグまたは脆弱性を提出することによって、プログラム利用規約を読み、同意したものとみなされます。バグ報奨金プログラムに参加する方法の詳細については、HackerOne に関するポリシーをご確認ください。