Stripe Privacy Center

Last updated: September 2, 2022

Welcome to the Stripe Privacy Center

Stripe respects the privacy of everyone that engages with our platform, and we are committed to being transparent about our privacy processes and policies. We are a platform that enables millions of businesses, and in order to provide our services to our Business Users and End Users, we collect and process personal data.

The Stripe Privacy Center contains the answers to frequently asked questions about how we collect and use personal data, the rights that individuals have in relation to personal data held by Stripe, and how Stripe complies with international data protection laws.

All materials have been prepared for general information purposes only. The information presented is not legal advice, is not to be acted on as such, may not be current and is subject to change without notice.

We’ve updated our Privacy Policy as of February 3, 2022

We’ve updated our Privacy Policy because we’re constantly looking for ways to improve the Stripe experience and to ensure that our Policy clearly explains how we collect and use data. Here’s a summary of the key changes:

  • General updates for improved readability: we have made changes to the structure and layout of the Policy to make it easier to navigate, including to help you understand how it applies to you.
  • Additional information on products: we are sharing greater detail about how we use data to provide our product experiences and to improve the effectiveness of our services.

We encourage you to read our updated Privacy Policy here for more details.

Below is a list of terms that will help “you” navigate the Privacy Center:

“You” Meaning Stripe Examples
Business User Stripe provides services to entities (“Business Users”) who directly and indirectly provide us with “End Customer” Personal Data in connection with those Business Users’ own business and activities. Stripe user or merchant

Platform User

Connect Accounts
End Customer When you do business with, or otherwise transact with, a Business User (typically a merchant using Stripe Checkout, e.g. when you buy a pair of shoes from a merchant that uses Stripe for payment processing) but are not directly doing business with Stripe, we refer to you as an “End Customer.” Individual using Identity

Cardholder using Checkout
End User When you directly use an End User Service (such as when you sign up for Link, or make a payment to Stripe Climate in your personal capacity), for your personal use, we refer to you as an “End User.” User of Link

Personal contributor to Stripe Climate
Representative When you are acting on behalf of an existing or potential Business User (e.g. you are a founder of a company, or administering an account for a merchant who is a Business User), we refer to you as a “Representative.” Beneficial owner

Shareholder, officer, director

Account representative
Visitor When you visit a Site without being logged into a Stripe account or otherwise communicate with Stripe, we refer to you as a “Visitor.” (e.g. you send Stripe a message asking for more information because you are considering being a user of our products). Stripe Sessions attendee

Stripe Site visitor

Contents

How We Collect, Disclose, and Use Personal Data
Stripe Legal Bases Tables
Data Processing Agreement
Information about Stripe Products
Data Protection Officer
International Data Transfers
Your Rights and Choices
Cookies & Other Technology
Contact Us

How We Collect, Disclose, and Use Personal Data

Is Stripe acting as a data controller or a data processor?

The answer is both.

The “data controller” is the entity which determines the purposes and means of the data processing taking place. The “data processor” is an entity acting on behalf and under the instructions of a controller in processing personal data.

Stripe is a data controller when it determines the purposes and means of the processing taking place. These data processing activities include (1) providing the Stripe products and services, (2) monitoring, preventing and detecting fraudulent payment transactions and other fraudulent activity on the Stripe platform, (3) complying with legal or regulatory obligations applicable to the financial sector to which Stripe is subject, and (4) analyzing, developing and improving Stripe’s products and services. Please see this Privacy Center article for more information on Stripe’s controller activities.

Stripe is a data processor where it is facilitating payment transactions on behalf of and at the direction of a Business User. Our Business Users direct us to take payment from cardholders / End Customers.

Stripe is considered a processor when directed to process payments (i.e., Stripe receives instructions about whom to pay, how much to pay, when to pay).

As a platform provider, we need to ensure consistency across our platform, and that includes consistency with respect to the commitments that we give about how we operate our platform. We contract with all of our Business Users (including some of the world’s largest companies) on this basis.

Which Stripe entities are involved?

For most of our services, it is either Stripe, Inc., the US parent company operating under US law, or Stripe Payments Europe, Limited (“SPEL”), an Irish company operating under Irish law, the data controller responsible for Personal Data collected and processed in relation to Stripe Services.

The Stripe entity responsible for your data will depend on your location, the product or service you use with us and whether Stripe is acting as a controller and/or data processor.

If you are located outside of the Americas (e.g., European Economic Area (“EEA”), Switzerland or the United Kingdom, countries located in Asia Pacific (“APAC”)), SPEL is the primary entity responsible for the processing of your personal data. Some of the payment processing services offered by Stripe are services that may be only provided for by an authorised payment services provider or electronic money institution. In this case, SPEL and the Stripe local regulated entity (defined as those who are licensed, authorized or registered by a Local Regulatory Authority) will act as joint controllers of your Personal Data.

Please see our table below for more information on who is your controller in these jurisdictions:

Location of User Purpose of processing Name of Stripe entity Location of Stripe entity
EEA Provision of certain authorised payment services in the EEA and Switzerland
Stripe Technology Europe, Limited (the e-money licensed entity with the Central Bank of Ireland) Ireland
EEA All other activities. SPEL Ireland
United Kingdom & Switzerland Provision of authorised payment services in the UK.
Stripe Payments UK, Ltd. (the e-money licensed entity with the UK FCA) United Kingdom
United Kingdom & Switzerland All other activities. SPEL Ireland
United Kingdom Provision Stripe Capital product and related services to Stripe users in the UK. Stripe Capital Europe, Limited Ireland

Stripe affiliates also provide local support services in certain countries where Stripe operates. These entities act as data processors on behalf of Stripe, Inc. or SPEL, depending on the jurisdiction. You will find the most up-to-date list of the Stripe affiliates on this page.

For certain products, Stripe may act as an independent controller (e.g. Stripe Capital), a data processor or both (e.g. Stripe Identity). Please see the Privacy Center article for each specific product for more information.

What are your data controller activities?

  • Providing the Stripe products and services to Business Users and End Users, including determining the third parties (banks and payment method providers) to be utilized;
  • Monitoring, preventing and detecting fraudulent payment transactions and other fraudulent activity on the Stripe platform;
  • Complying with legal or regulatory obligations applicable to the financial sector to which Stripe is subject, including applicable anti-money laundering screening and compliance with know-your-customer obligations; and
  • Analyzing, developing and improving Stripe’s products and services.

As a Stripe User and as a data controller, what does GDPR mean for me?

As a data controller, Business Users are responsible for the relationship with the data subject (i.e., your End Customer). You may instruct a third party (like Stripe) to process the data, but it is your job to set the purpose (or objectives) and legal basis for the processing.

The GDPR requires data controllers to use third parties who agree to abide by certain contractual terms. To be sure of this, the data controller must have Data Processing Agreements (“DPAs”) with each third party. Our DPA has been designed to serve this purpose for you; it is strongly aligned with payment transactions, so it should establish that you are compliant with GDPR from a payments perspective.

Who are Stripe’s sub-processors and how are they vetted?

Please see our service providers page where we have a list of our most common sub-processors, service providers and affiliates. Stripe identifies, evaluates, and engages sub-processors through our vendor management program. We enter into a contract with each sub-processor prior to sharing data with the sub-processor, and each contract contains terms that provide for monitoring and audit. In addition, all potential vendors are vetted and approved through Stripe’s security review process before we begin using their services.

From where does Stripe collect information used for fraud prevention and security purposes?

To prevent fraud and strengthen our security, we may collect information from Business Users, End Customers, End Users, financial parties, and in some cases third parties. For example, we collect and analyze information that helps us identify bad actors and bots, including both transactional data (such as amount, customer shipping address, date, and so on) and advanced fraud detection signals (device and activity signals). Learn more.

Stripe also receives information from third parties to prevent and respond to security incidents, and for protecting against other fraudulent activity. For example, we may receive information from third parties about IP addresses that malicious actors have compromised.

I heard that Stripe is collecting additional information about my account from a third party and/or my other Stripe account. Why is Stripe collecting this information?

Stripe may collect additional information about your account to allow Stripe and its financial partners to detect fraud and/or fulfill financial compliance requirements. These requirements come from our financial partners or regulatory obligations and are intended to prevent abuse of the financial system. Examples of missing data fields include your address, phone number, social security number, date of birth, employer identification number, or website URL. Stripe may be able to fill in some of this information by leveraging data we have collected from one of your other Stripe accounts or by obtaining data from a third party. We will show Business Users the information that we are associating with their account on your dashboard, and Business Users may update or correct that information via your dashboard. Please see Stripe’s Privacy Policy for additional information.

Does Stripe sell my personal information under the CCPA?

Stripe does not sell personal information. As such, we do not have actual knowledge that we sell personal information of minors under 16 years of age. For California residents, the California Consumer Privacy Act (“CCPA”) defines “selling” personal information to include providing it to a third party in exchange for money or valuable consideration. See Cal. Civ. Code § 1798.140(t)(1).

For Shine the Light law (Cal. Civ Code § 1798.83) purposes, Stripe does not share personal data of California customers to third parties for their direct marketing purposes, as defined by this law.

The table below discloses the categories of personal information about California consumers that we collect and disclose for a business purpose.

Categories of Personal Information Collected Disclosed for a business purpose in the preceding 12 months To Whom the Data may be Disclosed
Identifiers (for example, a device identifier) Yes We may disclose the data, pursuant to applicable law, to: service enablers (like service providers and financial partners servicing the financial product), the merchant that you do business with (a.k.a. our business user), an entity engaged in a business transfer/merger, law enforcement, courts, governments and regulatory agencies.
Characteristics of protected classifications under California or federal law (for example, gender and age noted in ID documents that you submit so that Stripe can verify your identity on behalf of your merchant - a.k.a. our business user) Yes We may disclose the data, pursuant to applicable law, to: service enablers (like service providers and financial partners servicing the financial product), the merchant that you do business with (a.k.a. our business user), an entity engaged in a business transfer/merger, law enforcement, courts, governments and regulatory agencies.
Commercial information (for example, the merchant that you choose to do business with - a.k.a. our business user - may receive your transaction data) Yes We may disclose the data, pursuant to applicable law, to: service enablers (like service providers and financial partners servicing the financial product), the merchant that you do business with (a.k.a. our business user), an entity engaged in a business transfer/merger, law enforcement, courts, governments and regulatory agencies.
Biometric information (for example, biometric identifiers from photo IDs used to confirm your identity) Yes We may disclose the data, pursuant to applicable law, to: a service provider - i.e., Amazon Web Services ("AWS"), an entity engaged in a business transfer/merger, law enforcement, courts, governments and regulatory agencies.
Online activity information (for example, information about devices and browsers across certain business user sites that use Stripe and IP addresses associated with those devices and browsers, and usage data) Yes We may disclose the data, pursuant to applicable law, to: service enablers (like service providers and financial partners servicing the financial product), the merchant that you do business with (a.k.a. our business user), an entity engaged in a business transfer/merger, law enforcement, courts, governments and regulatory agencies.
Geolocation Data (for example, IP addresses) Yes We may disclose the data, pursuant to applicable law, to: service enablers (like service providers and financial partners servicing the financial product), the merchant that you do business with (a.k.a. our business user), an entity engaged in a business transfer/merger, law enforcement, courts, governments and regulatory agencies.
Audiovisual (for example, visual, audio, or similar information, like photos you submit so that Stripe can verify your identity on behalf of your merchant – a.k.a. our business user) Yes We may disclose the data, pursuant to applicable law, to: service providers, the merchant that you do business with (a.k.a. our business user), an entity engaged in a business transfer/merger, law enforcement, courts, governments and regulatory agencies.
Professional or Employment-Related Information Yes We may disclose the data, pursuant to applicable law, to: Service Providers, an entity engaged in a business transfer/merger, law enforcement, courts, governments and regulatory agencies.
Categories of personal information described in Cal. Civ. Code 1798.80(e) (such as name, address, telephone number, credit card or debit card number) Yes We may disclose the data, pursuant to applicable law, to: service enablers (like service providers and financial partners servicing the financial product), the merchant that you do business with (a.k.a. our business user), an entity engaged in a business transfer/merger, law enforcement, courts, governments and regulatory agencies.

In addition to its sub-processors, what other third parties does Stripe share information with?

When we work with service providers in our capacity as a data processor for our Business Users’ and End Users’ personal data, the GDPR calls these third-party service providers a sub-processor. Sub-processors are service providers who have or potentially will have access to or process personal data on behalf of Stripe. These third parties are disclosed on our Stripe Service Providers List.

In addition to Stripe’s sub-processors, we may also share Business Users’ onboarding data and payment instrument information with third party business partners when this is necessary to provide our services to our Business Users. We do so, for example, for the purposes of offering payment processing services to our Business Users or facilitating payment settlements.

Third parties to whom we may disclose personal data for this purpose are banks, payment method providers and payment processors, including, but not limited to, the following entities:

  • American Express Payment Services Limited and American Express Payments Europe S.L.
  • Banking Circle S.A.
  • Barclays Bank PLC
  • Credit Mutuel Arkea and Arkea Banking Services
  • Currence iDEAL B.V.
  • Klarna AB
  • Mastercard Europe S.A.
  • Polski Standard Płatności
  • PPRO Financial Ltd.
  • Swisscard AECS GmbH
  • Visa Europe Limited

The data shared with payment method providers will depend on the payment method(s) enabled on the Business User’s account.

In addition, Stripe shares personal data as we believe necessary to, among other things, protect Stripe’s services, rights, privacy, safety and property of Stripe, our users or others. For example, to protect our services, Stripe may receive or disclose information about IP addresses that malicious actors have compromised.

Transfer

Stripe will pass on personal data to affiliates and service providers or sub-processors, if deemed strictly necessary to carry out contractual obligations or for the data to be processed. Depending on the enabled payment method(s), data may be transferred to the jurisdiction(s) of the respective payment method(s). Before we engage any third party, we perform due diligence, including a vendor security assessment. All of our service providers are subject to contract terms designed to ensure that these service providers process personal data only for the purposes of providing services to Stripe and in accordance with our commitments to Users and applicable data protection laws. Moreover, Stripe maintains and enforces a security program that addresses the management of security and the security controls employed by Stripe, which includes third party risk management. In addition, Stripe employees, agents, and contractors acknowledge their data security and privacy responsibilities under Stripe’s policies.

What data about End-Customers and their transactions is used by Radar and what data does Stripe share with its Radar Business Users?

When processing payments, it’s valuable to Stripe, Business Users and End-Customers to enable legitimate transactions while also trying to prevent fraudulent transactions, making online purchases safer for everyone involved. Radar helps detect potentially fraudulent transactions for Stripe’s Business Users (i.e., merchants) through machine learning and other techniques. To do this, Radar leverages data collected across our Services.

Business Users can use Radar to leverage a transaction “score” or transaction “level” calculated by Stripe and implement rules determined by the Business User that will allow, block, or flag transactions for additional review based on an assessment of the likelihood that the transaction is legitimate. Business Users can use Radar as one of multiple inputs in making decisions with respect to the potential for fraud in a transaction.

Radar uses data collected about the End Customer from various sources, including payments transaction data, advanced fraud detection data, IP address and physical address information. Radar uses this data to establish the likelihood that the payment method offered by the End Customer for a transaction is truly authorized for that transaction.

Stripe may share with the Business User certain information relevant to fraud detection, including:

  • a transaction score or level that assesses the likelihood of the transaction becoming a fraudulent charge-back,
  • risk insights for that transaction,
  • related payments made by the End-Customer to the Business User,
  • other transaction data related to that End-Customer’s transaction with that Business User (e.g., cardholder name, card information, and the payment amount and date),
  • device and browser information for the device used to make the transaction with that Business User, and
  • aggregated benchmarks.

As noted in Stripe’s Privacy Policy, Stripe does not sell personal data.

As a Business User, what notice do I provide to my End Customers about Stripe?

Under the terms of our agreements, Business Users are required to provide all necessary notices and obtain all necessary rights and consents from their End Customers to enable Stripe to lawfully collect, use, retain and disclose the Personal Data as part of the Stripe Services. Business Users, as data controllers, are responsible for the contents of their privacy notice and cookie banner. As an example, here is a paragraph that you can consider adding to your privacy notice (if you don’t already have such a disclosure):

We use Stripe for payment, analytics, and other business services. Stripe collects and processes personal data, including identifying information about the devices that connect to its services. Stripe uses this information to operate and improve the services it provides to us, including for fraud detection and prevention. You can learn more about Stripe and its processing activities via privacy policy at https://stripe.com/privacy.

Please be aware that the disclosure above is for illustrative purposes only and is not legal advice. Please talk to your legal advisor to understand how to comply with your obligations under applicable law.

To comply with our transparency obligations, we explain how our cookies are used in our Cookie Policy and our Cookies Settings Dashboard sets out our list of cookies. We remind our Business Users to review the cookies placed on their website and to update their cookie banners accordingly.

We rely upon a number of legal grounds to enable our use of your Personal Data. In short, we use Personal Data to facilitate the business relationships we have with our Business Users and End Users, to comply with our financial regulatory and other legal obligations, and to pursue our legitimate business interests. We also use Personal Data to complete transactions and to provide payment-related services to our Business Users.

Our table below provides a detailed overview of why and how we use your Personal Data.

For the purposes of the General Data Protection Regulation, we rely upon a number of legal bases to enable our processing of your Personal Data.

End Users

When you directly use an End User Service (such as when you sign up for Link, or make a payment to Stripe Climate in your personal capacity), for your personal use, we refer to you as an “End User.”

Processing purpose Categories of Personal Data Legal bases
Provide our Services. To provide services to you, including delivery, support, personalization and messages related to the service. Your name, contact information, payment information including Bank Account Information and Bank Payments, and/or payment card number, CVC code and expiration date. Our contractual necessity to perform our contractual relationship with you, under applicable data protection laws.
For the provision of our services including Link, Atlas and Identity. When we process data based on your consent, you have the right to withdraw your consent at any time without affecting the lawfulness of processing based on such consent before the consent is withdrawn. If you choose to use Link you agree to let Stripe store your payment method and related information so that you can more readily make purchases with Business Users who use Stripe to provide payment processing services (e.g. Stripe Checkout). Based on consent in processing this personal information.
Card Products and Financial Products including Issuing and Treasury Direct Services. We use your Personal Data to offer you card products and financial products and services under the Stripe brand and/or under the brand of a Business User. Your name, email address, phone number, postal address, transaction information, password, PIN or similar credentials, card PANs, age, DOB, credit card number, drivers license number, tax ID, cookie data, tags and beacons, IP address. Our legitimate interests in promoting our products and in determining eligibility for and offer new Stripe products and services.
Offer our Services and Alert you of Changes to our Services. For example, through Stripe Capital we offer capital loans to certain users who can satisfy particular criteria and to help determine if you qualify for a loan or not. Such information will be processed prior to the offer of a loan in order to determine eligibility. The name of the representative of business, physical address of business, and the borrower's Stripe ID. The rest of the data processed concerns business information and not personal data. Our legitimate interests in promoting our products and in determining eligibility for and offer new Stripe products and services.
Fraud Detection Services. We use your Personal Data collected across our Services (e.g. Stripe Radar) to detect and prevent fraud against us, our Business Users and financial partners, including to detect unauthorized log-ins using your online activity. Transaction information. This includes: name, email address, billing and/or shipping address, payment method information (such as credit or debit card number, bank account information or payment card image), merchant and location, purchase amount, date of purchase, and in some cases, some information about what you have purchased, phone number and tax-related ID.
    Advanced Fraud Signals information collected via cookies. This includes web browsing information, usage data, referring URLs, location, cookies data, device data and identifiers.
    IP address and physical address.
Our legitimate interests in monitoring and detecting fraud to ensure we detect activity that can have a harmful effect on our End Users.
Marketing and Advertising. We may use your Personal Data to assess your eligibility for and offer you other Services. We use End User Personal Data for interest-based advertising and marketing purposes. We do not share End Customer Personal Data to third parties for their marketing purposes unless you give us or the third party permission to do so. Contact information including: name, email address, work phone number, and job title.
      Connection data such as IP address, and web behavior (page visited, length on page, etc.)
    Based on consent in processing this personal information.
      Our legitimate interest in undertaking marketing activities to offer you products or services that may be of interest to you.
    Compliance and Harm Prevention. We share Personal Data as we believe necessary: (i) to comply with applicable law, (ii) for compliance with rules imposed by payment method in connection with use of that payment method (e.g. network rules for Visa); (iii) to enforce our contractual rights; (iv) to secure or protect the Services, rights, privacy, safety and property of Stripe, you or others, including against other malicious or fraudulent activity and security incidents; and (v) to respond to valid legal process requests from courts, law enforcement agencies, regulatory agencies, and other public and government authorities, which may include authorities outside your country of residence. Any Personal Data we process. Our legal obligation where these disclosures are necessary to comply with our legal obligations, for the protection of a person's vital interests, for reasons of public interest, for reasons of substantial public interest, or for the purposes of Stripe’s or a third party’s legitimate interest in keeping Stripe secure, preventing a breach of the law, harm or crime, enforcing or defending legal rights, claims, or obligations, facilitating the collection of taxes and prevention of tax fraud or preventing loss or damage.

    End Customers

    When you do business with, or otherwise transact with, a Business User (typically a merchant using Stripe Checkout, e.g. when you buy a pair of shoes from a merchant that uses Stripe for payment processing) but are not directly doing business with Stripe, we refer to you as an “End Customer.”

    Processing purpose Categories of Personal Data Legal bases
    Provide our Services to Business Users, including to process online payment transactions or in-person checkout, to calculate applicable sales tax, to invoice and bill, and to calculate their revenue.
      If you are an End Customer, when you make payments to, send shopping cart reminders, get refunds from, begin a purchase or otherwise transact with a Business User through Stripe’s Services or a Stripe-provided device, Stripe will receive your transaction information. Depending on how the Business User has integrated our Business Services, we may receive this information directly from you, the Business User or another service provider to you or the Business User.
    Transaction Information (including from Checkout, Payment Processing and Treasury/Issuing Use). Your name, email, billing and/or shipping address, payment method information (such as credit or debit card number, bank account information or payment card image), merchant and location, purchase amount, date of purchase, and in some cases, some information about what you have purchased, phone number and tax-related ID. The payment method information that we collect will depend upon the payment method that you choose to use from the list of available payment methods offered by the Business User as part of the “checkout” process for your purchase. We may also receive your transaction history with the Business User.
      Transaction-Related Information / Purchase Interests. Information typed into a checkout field that is not ultimately submitted to the Business User.
    Our legitimate interests in providing the Stripe products and services. Stripe processes this personal data given its legitimate interest in improving the Services and where it is necessary for the adequate performance of the contract with the Business Users.
    Provide our Services to Business Users, to order payment methods on a per-customer basis on behalf of the Business User, to implement fraud thresholds chosen by the Business User, and to verify your payment method. Verification Information. Your age (when purchasing age restricted goods) or information about you being the person who is authorized to use a payment method.
      The information collected will be the information that you choose to share for these purposes, which may include your government ID, your photo, your live image, and Personal Data apparent from the physical payment method (e.g. credit card image).
    Our legal obligations in respect of our financial and regulatory obligations.
    Reduce fraud and enhance security. We will use Personal Data about your identity, including information that you provide, to perform verification Services for Stripe or for the Business Users that you are doing business with and to reduce fraud and enhance security. In some cases you may provide a “selfie” along with an image of your identity document, and we will use technology to compare and calculate whether they match and can be “verified.” We will use information from our service providers and our Services to help verify your identity and fraud prevention. Based on consent in processing this personal information.
      Our legitimate interests in detecting, monitoring and preventing fraud and unauthorized payment transactions.
    Radar and Card Verification Services. We use Personal Data of End Customers to detect and prevent fraud for Business Users, including to detect fraudulent payment cards using payment card images and unauthorized log-ins using online activity. In providing such services, we may provide Business Users that have requested such services with limited Personal Data about End Customers so that the Business Users can assess the fraud risk associated with an attempted transaction by its End Customer. We may also use payment card images to improve our Business Services. Transaction information. This includes: name, email address, billing and/or shipping address, payment method information (such as credit or debit card number, bank account information or payment card image), merchant and location, purchase amount, date of purchase, and in some cases, some information about what you have purchased, phone number and tax-related ID.
      Advanced Fraud Signals information collected via cookies. This includes web browsing information, usage data, referring URLs, location, cookies data, device data and identifiers.
      IP address and physical address.
    Our legitimate interests in detecting, monitoring and preventing fraud and unauthorized payment transactions.
    Compliance and Harm Prevention. We share Personal Data as we believe necessary: (i) to comply with applicable law, (ii) to comply with rules imposed by payment method in connection with use of that payment method; (iii) to enforce our contractual rights; (iv) to secure or protect the Services, rights, privacy, safety and property of Stripe, you or others, including against other malicious or fraudulent activity and security incidents; and (v) to respond to valid legal process requests from courts, law enforcement agencies, regulatory agencies, and other public and government authorities, which may include authorities outside your country of residence. Any Personal Data we process. Our legal obligations where disclosures are necessary to comply with our legal obligations.
      Our legitimate interest in keeping Stripe secure, preventing a breach of the law, harm or crime, enforcing or defending legal rights, claims, or obligations, facilitating the collection of taxes and prevention of fraud or preventing loss or damage.

    Representatives

    When you are acting on behalf of an existing or potential Business User (e.g. you are a founder of a company, or administering an account for a merchant who is a Business User), we refer to you as a “Representative.”

    Processing purpose Categories of Personal Data Legal bases
    Reduce fraud and enhance security. We will use Personal Data about your identity, including information that you provide, to perform verification Services for Stripe. Onboarding and verification information that you choose to share for these purposes, which may include your government ID, photo, live image, and Personal Data apparent from the physical payment method (e.g. credit card image). Our legal obligations in respect of our financial and regulatory obligations. We process Personal Data to verify the identity of the Representatives of our Business Users in order to comply with fraud monitoring, prevention and detection obligations, laws associated with the identification and reporting of illegal and illicit activity, such as AML (Anti-Money Laundering) and KYC (Know-Your-Customer) obligations, and financial reporting obligations.
    Advertising. We may use and share Representative Personal Data with others so that we may advertise and market our products and services to you, including through interest-based advertising subject to any consent requirements under applicable law. Contact information including: name, email address, work phone number, and job title.
      Connection data such as IP address, and web behavior (page visited, length on page, etc.)
    Based on consent in processing this personal information.
    Communications. We may send you email marketing communications about Stripe products and services, invite you to participate in our events or surveys, or otherwise communicate with you for marketing purposes, provided that we do so in accordance with applicable law, including any consent or opt-out requirements. Contact information such as your name, email address, phone number. Based on consent in processing this personal information.
      Our legitimate interests in responding to inquiries, sending Service notices, ensuring compliance with applicable laws, preventing fraud, improving our services and providing customer support.
    Tax and Atlas (Incorporation) Services. We may use your Personal Data to file taxes on behalf of your associated Business User. If your Business User uses Atlas, we may use your Personal Data to submit forms to the IRS on your behalf and to file documents with other governmental authorities. Your contact details, such as name, postal address, telephone number, and email address; and financial and personal information about you, such as your ownership interest in the Business User, your date of birth and government identifiers associated with you and your organization (such as your social security number, tax number, or Employer Identification Number). You may also choose to provide bank account information. Our compliance with legal obligations in respect of our financial and regulatory obligations. We process Personal Data to verify the identity of the Representatives of our Business Users in order to comply with fraud monitoring, prevention and detection obligations, laws associated with the identification and reporting of illegal and illicit activity, such as AML (Anti-Money Laundering) and KYC (Know-Your-Customer) obligations, and financial reporting obligations.
      Our contractual necessity to perform our contractual relationship with you, under applicable data protection laws.

    Visitors

    When you visit a Site without being logged into a Stripe account or otherwise communicate with Stripe, we refer to you as a “Visitor.” (e.g. you send Stripe a message asking for more information because you are considering being a user of our products).

    Processing purpose Categories of Personal Data Legal bases
    Communications. We use any contact information that you provide to us to respond to any inquiries or requests for information you made; and if you have asked about us or our Services, to send you marketing emails by either asking for your consent or providing you an opt out in any messages we send. Contact information such as your name, email address, phone number.
      Information you have provided to us, such as the products you are interested in.
    Based on consent in processing this personal information.
      Our legitimate interests in responding to inquiries, sending Service notices and providing customer support.
    Advertising. When you visit our Sites, we (and our service providers) may use Personal Data collected from you and your device to target advertisements for Stripe Services to you on our Sites and other sites you visit (“interest-based advertising”). Information collected from cookies such as your device, browser ID, and pages on our website which you have visited. Based on consent in processing this personal information.
      Our legitimate interest in undertaking marketing activities to offer you products or services that may be of interest to you.
    Fraud Detection. We use your Personal Data collected across our Services to detect and prevent fraud against Stripe, our Business Users and financial partners. Advanced Fraud Signals information collected via cookies. This includes web browsing information, usage data, referring URLs, location, cookies data, device data and identifiers. Our legitimate interests in detecting, monitoring and preventing fraud and unauthorized payment transactions.

    Data Processing Agreement

    What is a Data Processing Agreement (DPA) and how can I get one with Stripe?

    A Data Processing Agreement (“DPA”) is a contract between a data controller and a data processor that describes the roles and responsibilities of the parties when personal data is processed. If you are a Business User, please visit our FAQs page here to learn more about our DPA. Please contact us or your account manager if you have any questions.

    Information about Stripe Products

    How do you implement Privacy by Design at Stripe?

    Privacy by design aims at building privacy and data protection up front and into the design specifications and architecture of information and communication systems and technologies to facilitate compliance with privacy and data protection principles. We rely on our internal privacy team and a review process for any new product launch. We are dedicated at every level of product development —from engineering to product management—to making privacy a key consideration. This helps ensure that people can trust the Stripe products that they enjoy every day.

    Stripe Identity

    End Customers

    If you have been asked to verify your identity or have verified your identity using Stripe Identity, please visit the support web pages here and here to learn more about our privacy practices for Stripe Identity. Alternatively, you can jump to the specific topics linked here:

    Business User That Requested Verification

    If you are a Business User that is using or intends to use Stripe Identity, please visit the support web page here for additional guidance on what you can tell your users and here for additional guidance on privacy considerations for your business.

    Stripe’s Card Image Verification

    If you have been asked by your merchant (i.e., a Stripe Business User) to scan your credit card before completing your requested transaction, please visit the support webpage here to learn more about Stripe’s Card Image Verification.

    Stripe Connect At a Glance

    Description

    Stripe Connect is a payment software your third party platform provider (Platform) may use to enable you to receive Stripe services (including payment processing) and/or receive payouts.

    Data Controller/ Data Processor

    Stripe acts as both a data controller and data processor for the Platform. The Stripe entity that acts as data controller/ data processor for data processed in Europe is Stripe Payments Europe Limited (“SPEL”).

    Personal Data

    The personal data transmitted to Stripe usually involves first name, last name, address, identification number, e-mail address, IP address, telephone number, and other data necessary for payment processing.

    Purpose

    The transmission of the data is aimed at payment processing, ledger management, and fraud prevention. The Business User / Platform will transfer personal data to Stripe. The personal data exchanged between Stripe and the Business User / Platform may be transmitted to verification agencies, and Business User data may be shared with Platforms. This transmission is intended for the Platform to manage its ledger and for Stripe to conduct identity and risk checks.

    Transfer

    Stripe will pass on personal data to affiliates and service providers or sub-processors, if deemed necessary to carry out contractual obligations or for the data to be processed.

    Privacy Policy

    For full details please see the applicable Privacy Policy of Stripe.

    I am a user with a Custom connected account. Does Stripe also collect information about my Custom connected account from a third party?

    If you are a user with a Custom connected account, Stripe may collect additional information about your account to enable fraud detection and fulfill financial compliance requirements. These requirements for additional information come from our regulators or financial partners and are intended to prevent abuse of the financial system. Examples of missing data fields include your address, phone number, social security number, date of birth, employer identification number, or website URL. Stripe may leverage data we already have from one of your Stripe accounts or Stripe may fill in some of this information by receiving data from a third party. You may view the information that we are associating with your account and update or correct that information by contacting the platform or business that created your Stripe payment account. Please see Stripe’s Privacy Policy for additional information.

    What responsibilities do Connect platforms with custom accounts have to allow their users to update or correct information associated with their accounts?

    You, the Platform, are responsible for all interactions with your Custom accounts and for collecting all of the information needed to verify the Custom account-holders. Since Custom account holders cannot log into Stripe, it is up to you to build the user dashboard and communication channels. You are responsible for actioning any request by a user to update or correct their Stripe Custom account information.

    I am a user with a Custom connected account. Will data collected from a third party be visible to my customers?

    Card networks and issuers use statement descriptors to identify payments on a cardholder’s bank statement. Statement descriptors usually include information about the payment, such as the name and phone number of the seller. However, the exact information displayed is ultimately up to a cardholder’s bank. If Stripe updates your account’s business address, phone number, or email address, these fields may be displayed on the statement descriptor within the cardholder’s bank statement. However, the exact information displayed is ultimately up to the card network or the cardholder’s bank. If any information is incorrect, please reach out to the platform through which you receive charges to ensure you have provided them with the most accurate information about you and your business.

    What are Stripe ACS, Transaction Authentication, and Behavioral Biometrics?

    What is Stripe ACS?

    Stripe ACS is Stripe’s transaction authentication solution for card issuers (e.g., banks). Stripe ACS helps card issuers to authenticate transactions of cardholders when they are making payments online using their cards.

    What is behavioral biometrics?

    Behavioral biometrics is an innovative technology that can be used for the purpose of preventing fraud and identifying legitimate transactions. Behavioral biometrics leverages a combination of personal data and device characteristics to distinguish between legitimate customers and fraudsters or bots.

    How is behavioral biometrics data collected and used in Stripe ACS?

    This processing is designed to verify a cardholder’s identity based on their behavioral biometric data which is modeled based on data collected during each authentication attempt.

    This type of transaction authentication will typically observe interactions within a system or device to verify a cardholder’s identity for the purposes of authenticating online payments. The following elements may be processed during the authentication process:

    • Length of text field inputs
    • Location of mouse pointer
    • Modifier key details (e.g., CTRL, SHIFT)
    • Timing and location of mouse clicks
    • Timing and location of touch events
    • Timing between keystrokes
    • Window scroll position

    For the purpose of fraud risk mitigation, this processing involves use of a device identifier cookie (Ndcd, Device ID, DID) that aims to accurately analyze biometrics data observed on a specific device. This cookie facilitates device detection in order to enhance fraud detection and prevention as well as to identify suspicious devices or devices that are behaving abnormally. This is a first party, strictly necessary cookie that is active on the touch.tech and touchtechpayments.com domains, and has a duration of 12 months. For more information on how we use cookies, please see Stripe’s Cookie Policy.

    Purpose of processing and Stripe’s role

    Stripe may process biometric data relating to cardholders in order to assist card issuers to authenticate payment transactions. This is done as part of Stripe’s payment transaction authentication services provided to card issuers (including for the purposes of meeting Strong Customer Authentication requirements).

    In providing these services to card issuers, Stripe acts as a data controller in relation to cardholder data. Please see Stripe’s Privacy Policy to learn more about our use of personal data.

    As part of providing this authentication services to card issuers, Stripe engages with a third party provider, Mastercard, which also acts as a data controller. See Mastercard’s Privacy Notice for details on Mastercard’s processing activities in this context.

    Customers rights and choices

    Upon initiating a transaction, cardholders will have the option of providing their consent to processing their behavioral biometrics data as part of the transaction authentication flow. This will be presented to the cardholder during the checkout flow on the merchant’s website or app when authentication is requested from the card issuer. Cardholders will have the option to withdraw their consent during each subsequent transaction flow.

    To withdraw consent outside of a transaction flow, you can email privacy-acs@stripe.com with the subject matter line “Stripe ACS - withdraw consent”. In your email to withdraw consent, please provide: (a) the first 6 digits of your card number as this enables Stripe to identify your issuing bank (please do not provide any digits other than the first 6 digits); and (b) the phone number (including the country code) registered with your bank account that is used for one-time passcodes.

    We will action this withdrawal request as soon as possible after it is verified, but please note that this can take up to 10 working days as we may need to verify the request with your card issuer. You may also contact the card issuer in order for the issuer to implement this withdrawal of consent by engaging with Stripe.

    To submit a request to exercise any of the other rights described in our Privacy Policy, you may contact Stripe at privacy-acs@stripe.com.

    Promotional Emails Feature

    For End Customers and prospective End Customers of our Business Users

    What is the Promotional Emails feature?

    Promotional Emails is a feature that gives Business Users who use “Stripe Checkout” services a new tool to enable sending email promotional content to their customers and prospective customers. When you visit a Business User’s checkout page (that is powered by Stripe Checkout services), the Promotional Email feature will enable Stripe to collect information about your preferences to receive promotional emails from that merchant.

    Promotional email preferences are collected whether or not you complete the purchase or are just a prospective End Customer. “Prospective End Customer” means you visited a Business User’s site and expressed an intent to make a purchase by starting a purchase on the Business User’s checkout page, but did not complete that purchase during that session. To be a “prospective End Customer” for the promotional email feature, you also need to have started to input your contact information into the checkout form, and then not delete that information prior to the end of the session.

    If you, prospective End Customer, indicate permission to receive news and personalized offers by virtue of the opt-in/opt-out checkbox on your Business User’s checkout form, the following personal data is provided to your Business User so that your Business User can contact you to remind you of the items you left in the checkout or to provide you news and personalized offers:

    • Email (if provided by you).
    • Items in your cart with that merchant (if any).

    “Personalized offers” means promotional or marketing materials tailored to you, such as coupons or advertisements based on the items in your cart or (in some cases) your prior purchases from that Business User. Even if you opt-out of personalized offers by a Business User, if you do business with that Business User, they may still need to contact you in order to enable a purchase (e.g., for delivery or billing purposes) or in connection with customer support. Please see your Business User’s privacy policy for more information.

    What is Stripe’s role (Data Processor/Controller) in the processing of my Personal Data?

    For the Promotional Emails feature, Stripe acts as a data processor or service provider, meaning that Stripe is acting at the direction of the Business User that has implemented this Stripe provided feature. The Stripe entity that acts as a data processor for personal data is:

    • Stripe Inc. in the United States.
    • Stripe Payments Europe Limited outside of the United States, including Europe.

    What Personal Data Is Stripe Collecting?

    Stripe’s Privacy Policy describes in more detail the personal data that Stripe collects in connection with payment transactions.

    What Personal Data is Shared by Stripe with the Business Users I use?

    Whenever you complete a transaction on a Business User’s website that uses Stripe services, as a service provider to that Business User, Stripe will share your contact information with that Business User. Business Users use the information that Stripe provides in accordance with its own privacy policy, including in connection with your purchase.

    With the Promotional Emails feature:

    • If you complete a purchase with a Business User, in addition to the transaction-related information identified in our Privacy Policy (e.g., your contact and billing information and the details of your transaction), Stripe will also share with your Business User your personalized offers and news preferences as determined by the opt-in/opt-out checkbox from your checkout form.
    • If you are a prospective End Customer (you start a purchase with your Business User on their checkout form but do not complete that purchase), the personal data that we share with your Business User depends on the following:
      • If you have not inputted any personal data into your Business User’s checkout form, then we will not share any personal data with that Business User.
      • If you have inputted personal data into your Business User’s checkout form:
        • If the checkbox for receiving news and personalized offers is not enabled when you leave your Business User’s checkout session, we will not share any of that personal data.
        • If the checkbox for receiving news and personalized offers is enabled when you leave your Business User’s checkout session, we will share the following information with that Business User:
          • Email (if provided by you).
          • Items in your cart with that merchant (if any).

    End Customers and prospective End customers should always review the privacy policy or notice of the Business Users they visit and do business with for information about the Business User’s data collection practices and purposes outside of this Stripe feature.

    Does Stripe share my personal data with other Business Users?

    No. Stripe does not share personal data collected in connection with purchases (or attempted purchases) from one Business User’s checkout with another Business User. Please see our Privacy Policy to learn more about our practices.

    How do I stop promotional emails from a merchant?

    Any offers or promotional emails that you receive as a result of a Business User’s use of the Promotional Emails feature are sent by Business Users (or others identified in the message), and not by Stripe. I If you do not find value in receiving these emails, please contact the Business User you are receiving the messages from. Stripe requires that Business Users that choose to implement the Promotional Email feature also provide the option to unsubscribe or opt-out of receiving further promotional messages. It would be a breach of Stripe’s terms of service for a Business User to not promptly comply with opt-out requests.

    How Does the Data Collection and Transfer Work?

    The Promotional Email feature does not use cookies or track you across Business Users. Information collected from the Business User’s checkout page is transferred only to the Business User via API calls or webhooks. Webhooks are a way for Stripe to send the information to the Business User automatically upon their request. Your information provided at checkout is encrypted in transit using HTTPS and TLS. See Security at Stripe for more information.

    How do I stop the sale of my personal data in connection with this feature?

    Stripe does not sell your personal data. See our Privacy Policy for more information. The Promotional Emails feature is not the sale of personal data. Rather, Stripe acts as a processor (or service provider) to Business Users for the Promotional Email feature. Please contact your Business User to learn about their personal data practices and how you can exercise rights to stop the sale or processing of personal data provided under applicable law and/or their privacy policy.

    Stripe requires that Business Users that choose to implement the Promotional Email feature also provide the option to unsubscribe or opt-out of receiving further promotional messages. It would be a breach of Stripe’s terms of service for a Business User to not promptly comply with opt-out requests.

    For Business Users

    How to Use this Service as a Business User

    If you are a business that is using or intends to use Stripe’s Promotional Emails feature, please visit the support webpage for tips and guidance on information to share with your End Customers and prospective End Customers regarding privacy considerations in connection with the Promotional Emails feature for your business.

    Stripe Delegated Authentication

    Cardholders

    You may be given the option to enable on-device biometric verification and provide your consent for Stripe to store your payment method details for future transactions that use the same card. Please visit our support site to learn more about our privacy practices for Stripe Delegated Authentication. Alternatively, you can jump to a specific topic here:

    We offer you the opportunity to store your payment methods with us so that you can conveniently use it across certain merchants who are our Business Users – we call this “Link” (formerly known as “Remember Me”). When you choose to use Link, you agree to let us store your payment method so that you can more readily make purchases through Link with Business Users of our payment processing Business Services (e.g., name, card number, cvc, and expiration date). We will also collect other Transaction Data, including billing address, shipping address, email and phone number. Your payment method data is secured using PCI-DSS standards.

    Should you not have used Link and receive an SMS in error due to an inaccurate number being inserted at the authentication flow stage you can opt out here and your personal data will be deleted.

    Stripe Capital

    Stripe Capital provides Business Users with fast, flexible financing so businesses can manage cash flows and invest in growth. Depending on your business’s corporate structure, eligible Business Users may apply for one of two Stripe Capital products: a loan or a merchant cash advance (“MCA”).

    What information does Stripe process for Stripe Capital?

    We use existing data linked to your Stripe Account to evaluate your business’s eligibility for Stripe Capital. The following information may be considered prior to the offer of a loan or a MCA in order to determine eligibility, including:

    • Payment processing volume
    • Payment processing growth
    • Chargeback rate
    • Customer base
    • Duration of relationship with Stripe

    Where Stripe is satisfied that a Business User meets particular criteria, we will send the Business User an email and dashboard notification notifying them of their business’s eligibility for potential financing and invite them to apply for a loan or a MCA.

    Once you have received a financing offer and submitted an application to receive your financing, we will use this above listed information to verify your business’s eligibility and where your application is approved, to disburse the loan or the MCA to you.

    We will use your data where its use is in accordance with our legitimate business interests. Automated analysis of our Business User’s information helps us to manage our business for our legitimate interests. It allows us to:

    • Verify the identity of our Business Users in order to comply with fraud monitoring, prevention and detection obligations, applicable laws associated with the identification and reporting of illegal and illicit activity, such as AML (Anti-Money Laundering) and KYC (Know-Your-Customer) obligations, and financial reporting obligations.
    • Assess the level of financial risk to us and to Business Users involved in offering Business Users a loan or MCA.
    • Enhance our learning models to allow us to better tailor our loans or MCAs to, and decrease the risk to, you and other Business Users.

    We will also process your data where it is necessary for a loan agreement that you have entered into or because you have submitted an application to receive funding so that you can enter into a loan agreement with us.

    We may send you email marketing communications about Stripe Capital offers, provided we do so in accordance with applicable law, including any consent requirements.

    Who does Stripe share information with?

    Stripe does not share any Personal Data collected for Stripe Capital related to Business Users in the UK. In the future, Stripe may share your loan agreement data with third parties who purchase the right to receive repayments on your loan or MCA.

    What is Stripe’s role?

    Stripe, Inc., or a wholly-owned subsidiary of Stripe, is the controller of your data.

    For Business Users located in the UK, the joint controllers of your data are Stripe Payments Europe, Limited. (“SPEL”) and Stripe Capital Europe Limited, Ltd. (“SCEL”). The loan or MCA provided under the loan agreement is solely provided by SCEL.

    How do I exercise my rights?

    Depending on your location and subject to applicable law, you may have the right to object to Stripe using automated decision making processing. If you wish to exercise any rights under applicable privacy laws for data related to Stripe Capital, please contact us.

    Linked Financial Accounts

    If you are an End Customer who has been asked to link your financial account using Stripe, please visit the support webpage here to learn more about our privacy practices. Or you can jump to the specific topics linked here:

    Are there instances when Stripe receives non-Stripe transaction history?

    Yes. For example, Stripe enables the Business User to import non-Stripe data through the Stripe Dashboard to consolidate their revenue data in one place. Learn more. Separately, Stripe may also obtain your account transactions from your financial account with your consent. Learn more.

    Refunds to End Customer Bank Account

    End Customers

    If you have been asked to provide your bank account and other information to process a refund on behalf of your merchant (i.e., our Business User), please visit the webpage here to learn more about our privacy practices for end customer bank account refunds.

    Business User that uses Stripe to Process Refunds

    If you are a Business User that is using or intends to use Stripe to process refunds, please visit the webpage here for additional guidance on privacy considerations for your business.

    Stripe Frontier

    What is Stripe Frontier?

    Frontier is an advance market commitment (AMC) that aims to accelerate the development of carbon removal technologies by guaranteeing future demand for them. It facilitates purchases from high-potential carbon removal companies on behalf of buyers. Learn more at https://frontierclimate.com/.

    What information does Stripe Frontier collect?

    We will collect any information you choose to provide to us, for example, through support tickets, emails or social media. When you respond to Stripe emails or surveys, we collect your email address, name and any other information you choose to include in the body of your email or responses. If you contact us by phone, we will collect the phone number you use to call Stripe, as well as other information you may provide during the call. We will also collect your engagement data such as your registration for, attendance of, or viewing of Stripe events and other interaction with Stripe personnel. See our privacy policy for more information.

    We rely on consent to process your data. Where you proactively reach out to Stripe and provide your data, Stripe will process your data based on Stripe’s legitimate business interests (e.g. help answer your queries, and provide customer support). With your permission or where allowed by law, we use your personal data to market our services to you, invite you to participate in our events or surveys, or otherwise communicate with you for our marketing purposes, provided that we do so in accordance with applicable law, including any consent or opt-out requirements.

    Is my data relating to Stripe Frontier transferred?

    We are a global business. Personal Data may be stored and processed in any country where we do business. We may transfer your Personal Data to countries other than your own country, including to the United States. These countries may have data protection rules that are different from your country. When transferring data across borders, we take measures to comply with applicable data protection laws related to such transfer. In certain situations, we may be required to disclose Personal Data in response to lawful requests from Officials (such as law enforcement or security authorities). See our privacy policy for more information.

    What are my rights and choices with respect to the information collected for Stripe Frontier?

    You may have choices regarding our collection, use and disclosure of your Personal Data. If you no longer want to receive marketing-related emails from us, you may opt-out via the unsubscribe link included in such emails or as described here. We will try to comply with your request(s) as soon as reasonably practicable. Depending on your location and subject to applicable law, you may have the following rights described here with regard to the Personal Data we control about you.

    How do I exercise my rights as to Stripe Frontier?

    EEA and UK . To exercise your rights, you may contact our DPO. If you are a resident of the EEA or we have identified Stripe Payments Europe Limited as your data controller, and believe we process your information within the scope of the General Data Protection Regulation (GDPR), you may direct your questions or complaints to the Irish Data Protection Commission. If you are a resident of the UK, you may direct your questions or concerns to the UK Information Commissioner’s Office.

    California . If you are a consumer located in California, please review the California Consumer Privacy Act (“CCPA”) section of our Privacy Policy.

    See our privacy policy for additional jurisdiction-specific provisions.

    Any questions about Stripe Frontier and the processing of your data?

    If you have any questions or complaints, please contact us.

    Data Protection Officer

    Does Stripe have a Data Protection Officer (DPO)?

    Yes, Stripe has appointed a Data Protection Officer (“DPO”), who can and they can be reached via email.

    International Data Transfers

    The detail below is provided for informational purposes. It is not intended to provide legal advice. Stripe urges Business Users to consult with counsel to familiarize themselves with the requirements that govern their specific situations.

    How is Stripe dealing with international data transfers?

    On 4 June 2021, the European Commission adopted a new set of Standard Contractual Clauses (“SCCs”) for cross-border data transfers. SCCs are a transfer mechanism (in the form of a legal contract) used by Stripe to provide a legal mechanism to transfer EU personal data outside of the EEA/UK. These are required under EU data protection law (known as the GDPR) and are incorporated into our agreements.

    These modernised SCCs cover data transfers from controllers or processors in the EU/EEA (or otherwise subject to the GDPR) to controllers or processors established outside the EU/EEA (and not subject to the GDPR) and replace the three sets of SCCs that were adopted under the previous Data Protection Directive 95/46.

    Stripe continues to have appropriate safeguards and compliance measures to ensure an adequate level of protection of personal data transferred outside the UK, EEA and Switzerland. Stripe’s measures include the updated EU Commission’s SCCs to accommodate international data transfers.

    Stripe respects the privacy of everyone that engages with our products and services, and we are committed to being transparent about our privacy processes and policies.

    To learn more about our commitment to privacy and data security, please see our Privacy Policy, the Stripe Privacy Center, and the Stripe Security Center.

    We also want to highlight some of our supplementary measures to protect our Business Users’ data from unauthorized access.

    Stripe employs security controls and maintains and enforces a security program that addresses the management of security. We also perform risk assessments and implement and maintain controls for risk identification, analysis, monitoring, reporting, and corrective action. Stripe maintains and enforces an asset management program that appropriately classifies and controls hardware and software assets throughout their life cycle. In addition, Stripe employees, agents, and contractors acknowledge their data security and privacy responsibilities under Stripe’s policies.

    Stripe applies technical and organizational measures that include the following:

    • Physical access control to prevent unauthorized persons from gaining access to the data processing systems available at premises and facilities (including databases, application servers, and related hardware), where Personal Data are processed.
    • Virtual access control to prevent data processing systems from being used by unauthorized persons.
    • Data access control to ensure that persons entitled to use a data processing system gain access only to such Personal Data in accordance with their access rights, and that Personal Data cannot be read, copied, modified or deleted without authorization.
    • Disclosure control to ensure that Personal Data cannot be read, copied, modified or deleted without authorization during electronic transmission, transport or storage on storage media (manual or electronic), and that it can be verified to which companies or other legal entities Personal Data are disclosed.
    • Entry control to audit whether data have been entered, changed or removed (deleted), and by whom, from data processing systems.
    • Availability control to ensure that Personal Data are protected against accidental destruction or loss (physical/logical).
    • Separation control to ensure that Personal Data collected for different purposes can be processed separately.

    By default, Stripe encrypts data at rest and data in transit. We further protect your data with tools like audit logs, access management policies and certifications as described on our Payments page in the section “Security and compliance at the core”. Security controls implemented at Stripe include TLS 1.2 configuration of endpoints for data in transit, TLS and/or SSL encryption for HTTPS and regular testing of infrastructure components. Two-step authentication is available for an extra layer of security at Dashboard login.

    We no longer rely on the Privacy Shield as a transfer mechanism for data transfers given EU-U.S. Privacy Shield and Swiss-U.S. Privacy Shield are no longer valid as a result of the Schrems II decision issued by the European Court of Justice on July 16, 2020. We do continue to commit to the principles of the Privacy Shield Framework as it can still provide privacy protections to Business Users.

    We get requests for access to data from law enforcement, and we review each request with the goal of responding with the minimum amount of required information in response to legitimate, legally mandated requests. We are committed to ensuring that our Business Users’ data can continue to flow freely between the EU and the U.S., and we will continue to partner with regulators, industry groups and similarly situated companies to make sure our Business Users’ needs are met.

    If you have any questions, please contact us.

    How do the European Commission’s new Standard Contractual Clauses impact my organization?

    Standard Contractual Clauses (“SCCs”) are legal contracts entered into between parties that are transferring EEA personal data outside of the EEA. At present Stripe relies on the existing SCCs for transfers of EEA data in our services. We have updated our agreements to implement the modernised SCCs (where applicable).

    How to get a copy of the SCCs?

    We can provide more information about the appropriate or suitable safeguards that we have in place, such as a copy of the SCCs on request.

    If you are a Business User, we offer the modernised SCCs published in 2021 (“2021 SCCs”) for cross-border transfers outside of the EEA and Switzerland. The older versions of the SCCs will continue to apply to transfers of personal data from the UK. We will continue to monitor regulatory requirements and guidance from the UK Information Commissioner’s Office. If you have signed an older version of the SCCs, these will remain valid until 27 December, 2022. If you would like to sign the 2021 SCCs, you can reach out to us at any time.

    Please contact us or your account manager for more information.

    Your Rights and Choices

    How do I exercise my data protection rights?

    Depending on your location and subject to applicable law, you may have the followings rights:

    • Right to access
    • Right of rectification
    • Right to data portability
    • Right to restrict processing
    • Right to object to processing
    • Right to withdraw consent (where it is relied upon)
    • Right to erasure/deletion
    • Right to opt-out of receiving electronic communications from us
    • Right to non-discrimination for exercising your CCPA rights
    • Right to opt-out from a sale (as defined by the CCPA)

    Please read this section to find out more about specific rights. To submit a request to exercise any of the rights described above, please reach out to us by email, or via our form or by physical addresses listed in Contact Us.

    You have the right to complain to your local data protection authority if you are unhappy with our privacy practices.

    How do I access my data?

    If you are a Business User or Representative, you may login in to the Stripe Dashboard to view personal information shared with Stripe.

    If you are the End Customer of a Business User that uses Stripe services, the Business User would be the correct party to respond to a data subject access request related to your transactional information.

    Depending on your location and subject to applicable law, you may have the right to request confirmation of whether Stripe processes Personal Data relating to you, and if so, to request a copy of that Personal Data. If you are an End User or otherwise have a direct relationship with us, you may submit your access request by email, or through our form. Please note that we may need to verify your identity and your relationship with us before we can proceed with your request.

    How do I unsubscribe from marketing emails?

    If you are a Business User or Visitor, you may unsubscribe from Stripe marketing emails here. If you have any questions about how to opt-out of Stripe marketing communications, please contact us here.

    If you are a Link user, you may opt-out from marketing-related emails by using the unsubscribe link in any marketing email you receive, or by managing your subscription preferences in the Link website. To manage your preferences log into your Link account, then navigate to your account settings. Turn “Marketing emails - Receive updates and deals from Link and its partners” on or off. Your email address will be opted out of email marketing communications as soon as possible.

    Can I turn off tracking and advanced fraud signals?

    Your web browser may allow you to manage your cookie preferences, including deleting or disabling Stripe cookies. If you choose to disable cookies, keep in mind that some features of our Site or Services may not operate as intended. Disabling cookies will not disable the collection of advanced fraud signals, which we use to prevent fraud on Stripe. The collection of this data is controlled by the Business User that integrated with Stripe. If a Business User seeks to disable this data collection, they can find instructions to do so through Stripe’s documentation. You can take a look at the help section of your web browser or follow the links below to understand your options for disabling cookies.

    You can learn more about how businesses can disable collection of advanced fraud signals in our documentation for disabling advanced fraud detection.

    How do I delete my account?

    You can close your Stripe account from the Settings page on the Dashboard. You can read more about that on our support page: Close a Stripe account.

    Please be aware that we will delete some, but not all, of the information that we hold, for the reasons explained below.

    As a provider of payment services, Stripe is required to comply with many regulations, including anti-terrorism and anti-money laundering laws. These regulations and laws may require Stripe to retain transactional records associated with Business Users for a prescribed period of time after the close of the business relationship. You can read more about our underwriting obligations in our Privacy Policy.

    How do I delete my Custom Connect account?

    If you have a Custom Connect account, your account is managed by a Platform / Business User. They are the party responsible for managing payments for you and responding to your query; therefore we recommend reaching out to them for assistance.

    How do I delete my Express Connect account?

    If you have an Express Connect account, your account is managed by a Platform / Business User. They are the party responsible for managing payments for you and responding to your query; therefore we recommend reaching out to them for assistance.

    How long will Stripe keep my data for?

    Stripe keeps Personal Data for as long as Stripe reasonably needs to for the purposes listed here.

    When determining the relevant retention periods, we will consider various criteria such as your location, the nature of our relationship with you, the types of products or services being offered or provided to you, the nature and sensitivity of your Personal Data, the mandatory retention periods provided by law or statute of limitations and any overriding legitimate grounds for continuing to retain the Personal Data (such as defending our rights in court, enforcing our agreements, detecting fraud or complying with valid legal process requests from courts or competent authorities).

    For most jurisdictions, Stripe will generally keep Personal Data related to Business Users for a period of five or more years from the end of the business relationship with you, or the date of the last transaction, whichever is later.

    California Privacy Rights Metrics

    The following includes aggregate metrics of data subject rights requests received between January 1, 2021 and December 31, 2021. This data reflects requests received from individuals in California and may also include requests from individuals who do not reside in California.

    • Number of “request to know” received, complied with in whole or in part, or denied: 14
    • Number of “requests to delete” received, complied with in whole or in part, or * denied: 13,612
    • Average number of days taken to respond to a request to know or delete: 1 day

    There are instances where Stripe may deny a “request to know,” such as when the data subject fails to reply with information that would allow Stripe to accurately authenticate their identity to locate their data.

    Even if we receive a “request to delete,” Stripe may nonetheless retain personal data where permitted by law, including to comply with our legal obligations. For example, as a provider of payment services, Stripe is required to comply with many regulations, including anti-terrorism and anti-money laundering laws. These laws require Stripe to retain certain information associated with Stripe users for a prescribed period of time after account closure. Learn more about our retention obligations in our Privacy Policy.

    Due to the nature of Stripe’s products and services, when we receive a “request to delete,” our process is to direct the requestor to a page to action their request depending upon the relationship they have with Stripe. We also offer data subjects the opportunity to contact us, should they have any questions or concerns.

    Request to Opt Out of Sale

    Stripe does not “sell” personal information as defined by the California Consumer Privacy Act (CCPA). Learn more.

    What is the Privacy Policy for Stripe Media Services?

    The Privacy Policy for Stripe Media Services (Media Privacy Policy) describes how Stripe collects and processes personal data in order to provide the Stripe Media Services, including Stripe Press, Increment, Indie Hackers and Works in Progress. We encourage you to read our Media Privacy Policy to learn more.

    Cookies & Other Technology

    How does Stripe use cookies?

    We use cookies to (1) ensure that our services function properly, (2) prevent and detect fraud and violations of our terms of service, (3) understand how visitors use and engage with our website and (4) analyze and improve our services. Depending on your relationship with Stripe and the domain you are visiting, different cookies apply. For instance some cookies are set on a public Stripe or Link domain, some on the Stripe Dashboard or a Link settings page, and some on the payment page available to end users who make payments using Stripe services, including Link.

    Cookies play an important role in helping Stripe provide personal, effective and safe services. Please be mindful that we change the cookies periodically as we improve or add to our services. For more information, please see our Cookie Policy.

    What is Stripe.js?

    Stripe.js (and its iOS and Android SDK counterparts) is a JavaScript library that businesses use to integrate Stripe and accept online payments. Once Stripe.js is added to a site or mobile app, fraud signals are used to differentiate legitimate behavior from fraudulent behavior.

    For example, fraudsters and bots are less likely to spend time on different pages, which we’re able to detect and use as a signal in stopping fraud.

    When you visit a site that uses Stripe, this fraud prevention could appear in a privacy report or tracker list in your web browser.

    While you might see Stripe in a tracker list, we’re not building an individual tracking profile on you. Stripe doesn’t—and won’t—share or sell this data to advertisers.This data is securely exchanged between the following Stripe-controlled hosts:

    • js.stripe.com
    • m.stripe.network
    • m.stripe.com
    • q.stripe.com

    The data collected by these endpoints is designed to be secure and to not leave Stripe infrastructure. Access to this data is tightly controlled, and restricted to a small number of Stripe employees working on fraud prevention and security (and permissions are regularly reviewed). You can read more about this in our Privacy Policy.

    The information within the Stripe.js library may also use cookies and similar technology to enable Link to remember Link users’ information for faster purchases across Stripe merchant sites.

    What are advanced fraud signals?

    Stripe’s advanced fraud detection looks at signals about device characteristics and user activity indicators that help distinguish between legitimate and fraudulent transactions. These signals are highly indicative of fraud and power Stripe’s fraud prevention systems, such as Radar. The signals are securely transmitted to Stripe’s backend by periodically making requests to the m.stripe.com endpoint.

    You can learn more in our documentation for advanced fraud detection.

    Why are advanced fraud signals not ad tracking?

    Stripe only uses these advanced fraud detection signals to enable secure payments and prevent fraud. We don’t use this data to build individual profiles or share or sell it to third-party advertisers.

    You can read more about how we use this data in our Privacy Policy.

    How does Stripe remember payment method details for Link?

    Link (formerly known as “Remember Me”) lets end users save and reuse their payment information for faster checkout at thousands of online businesses that use Stripe. When an end user makes a purchase via a Business User (i.e., merchant) that enables Link, the end user can ask Stripe to remember their payment method details, such as credit and debit card details. If an individual chooses to be remembered, Stripe will remember the end user’s email address, phone number, shipping address, and payment method details for future Link transactions.

    The payment method details for future transactions may be remembered across multiple Stripe Business Users. Generally, once the cookie is set, the end user may make “1-click” purchases using Link when you check out, which means that Stripe will automatically populate the end user’s saved information into their checkout on their behalf, and use the information to complete the transaction faster.

    If the end user enters their phone number or email address during a future Link transaction, Stripe will authenticate the end user by sending the end user a One Time Passcode (OTP), e.g. via an SMS message or email. If the end user correctly enters the OTP, Stripe or the Business User will set a cookie in the end user’s browser, indicating that the end user has been authenticated. If the end user does not enter the OTP, or elects to “log out” of their Link session then the cookie won’t remember the end user.

    A cookie is only stored in a specific browser on a specific device. If an end user wishes to make 1-click purchases in a different browser or on a different device, they must go through the OTP authentication process for the new browser or device combination.

    After 90 days, it will be necessary for the end user to re-complete the OTP process. The end user may also proactively remove the cookie by clearing cookies in their browser or by selecting the “log out” option when this option is presented in checkout.

    If an end user no longer wishes for Stripe to remember their payment method details when they check out in the future, the end user may use the self-service deletion tool. Alternatively, the end user may also contact Stripe support to make this request.

    The description above describes how an end user may control how their information is stored and used to check out. However, this does not affect the other contexts in which Stripe may store and use end user information. In particular, Stripe may store and use such information as described elsewhere on this Privacy Center - including for purposes such as for advanced fraud detection.

    Based on your integration choice (e.g., for Link in Elements), you may have legal responsibilities associated with cookies and similar technology that Stripe uses for fraud detection and/or authentication purposes.

    You should always check with your legal counsel to understand how you should comply with applicable legal obligations with setting cookies and similar technology. This section has information to keep in mind.

    Stripe cookies or similar technology are set on your domain (e.g. on your checkout flow) or via browser storage from the Stripe.js library. The current Stripe cookies from the Stripe.js library include fraud prevention cookies like __stripe_mid, __stripe_sid, and m, and also end-user authentication cookies like pay_sid and link.auth_session_client_secret.

    You should regularly review the Stripe cookies that are placed on your website to ensure that your own privacy disclosures tell your end users about this type of data collection, and also update your cookie banner accordingly after reviewing the cookies placed on your website. Here is a paragraph you could add to your privacy disclosures if it does not already include such a disclosure:

    We use Stripe for payment, analytics, and other business services. Stripe collects identifying information about the devices that connect to its services, including via cookies. Stripe uses this information to operate and improve the services it provides to us, including for fraud detection and authentication. You can learn more about Stripe and read its privacy policy at https://stripe.com/privacy.

    Does Stripe use reCAPTCHA to protect its website from fraud and abuse?

    Yes, some of the Stripe sites may implement Google reCAPTCHA Enterprise to help prevent fraud and abuse. Information collected by Google is used to provide and improve reCAPTCHA Enterprise and for general security purposes. Use of reCAPTCHA Enterprise is subject to Google’s Privacy Policy and Terms of Use.

    Contact Us

    Contact our Privacy team

    If you have any outstanding privacy questions after reviewing the privacy policy, please don’t hesitate to reach out to us by email, or through our form.

    If you’d like to send us physical mail, please send to:

    Stripe, Inc.
    354 Oyster Point Boulevard
    South San Francisco, California, 94080, USA
    Attention: Stripe Legal

    Stripe Payments Europe Limited
    1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Ireland
    Attention: Stripe Legal

    Where can I learn more about Stripe’s security practices?

    Visit our security page to learn more about Stripe’s security practices. You should contact us by email immediately if you become aware of any unauthorized use or any other breach of security regarding the Stripe services.



    Centro de Privacidade Stripe

    Última atualização: 22 de agosto de 2022

    Para a sua comodidade, oferecemos uma tradução desta página. A tradução é apenas para fins informativos, de modo que a versão em inglês desta página é a versão definitiva.

    Bem-vindo ao Centro de Privacidade Stripe

    A Stripe respeita a privacidade de todos que acessam nossa plataforma e tem o compromisso de manter a transparência em nossos processos e políticas de privacidade. Nossa plataforma apoia milhões de empresas e, para oferecer nossos serviços aos usuários, coletamos e tratamos dados pessoais.

    O Centro de Privacidade Stripe traz respostas para as perguntas mais frequentes sobre como coletamos e usamos dados pessoais, os direitos de pessoas físicas em relação a seus dados pessoais coletados pela Stripe e como a Stripe cumpre a legislação internacional de proteção de dados.

    Todos os materiais foram feitos somente para fins informativos. As informações apresentadas não configuram aconselhamento jurídico nem devem ser consideradas como tal, e podem estar desatualizadas ou serem alteradas sem prévio aviso.

    Atualizamos nossa Política de privacidade em 3 de fevereiro de 2022

    Atualizamos nossa Política de privacidade porque estamos constantemente buscando maneiras de melhorar a experiência com a Stripe e assegurar que nossa Política explique claramente como coletamos e usamos dados.

    Este é um resumo das principais alterações:

    • Atualizações gerais para melhor legibilidade: fizemos alterações na estrutura e no layout da Política para facilitar a navegação, inclusive para ajudar você a entender como a Política se aplica a você.
    • Informações adicionais sobre produtos: estamos compartilhando mais detalhes sobre como usamos os dados para proporcionar nossas experiências de produtos e melhorar a eficácia dos nossos serviços.

    Recomendamos que você leia nossa Política de privacidade atualizada aqui para obter mais detalhes.

    Abaixo, apresentamos uma lista dos termos que ajudarão “você” a navegar pelo Centro de Privacidade:

    “Você” Definição na Política de privacidade Exemplos da Stripe
    Usuário de negócios A Stripe presta serviços a entidades (“Usuários de negócios”) que, direta e indiretamente, nos fornecem os “Clientes finais”. Usuário ou comerciante da Stripe

    Usuário da plataforma

    Conectar contas
    Cliente final Quando você faz negócios ou, de outra forma, operações com o Usuário de negócios (normalmente um comerciante usando o Stripe Checkout, p. ex., quando você compra um par de sapatos de um comerciante que usa a Stripe para processamento de pagamentos), mas não está fazendo negócios diretamente com a Stripe, nos referimos a você como “Cliente final”. Indivíduo utilizando o Identity

    Titular do cartão utilizando o Checkout
    Usuário final Quando você usa diretamente um Serviço de Usuário final (como quando você se inscreve no Link ou faz um pagamento para o Stripe Climate em sua capacidade pessoal) para seu uso pessoal, nos referimos a você como “Usuário final”. Usuário do Link

    Transação do Stripe Climate
    Representante Quando você age em nome de um Usuário de negócios existente ou potencial (p. ex., você é o fundador de uma empresa ou administra a conta para um comerciante que é Usuário de negócios), nos referimos a você como “Representante”. Proprietário beneficiário

    Acionista, executivo, diretor

    Representante de conta
    Visitante Quando você visita um Site sem estar conectado a uma conta Stripe ou, de outra forma, se comunica com a Stripe, nos referimos a você como “Visitante” (p. ex., você envia uma mensagem à Stripe solicitando mais informações porque está considerando ser um usuário dos nossos produtos). Participante de sessões da Stripe

    Visitante do site da Stripe

    Contente

    Como coletamos, divulgamos e usamos Dados Pessoais
    Tabela de fundamentações jurídicas da Stripe
    Termos de Tratamento de dados
    Informações sobre produtos da Stripe
    Encarregado de Proteção de Dados
    Transferências internacionais de dados
    Seus direitos e opções
    Cookies e outras tecnologias
    Fale conosco

    Como coletamos, divulgamos e usamos Dados Pessoais

    A Stripe atua como controladora ou operadora de dados?

    A resposta é: as duas coisas.

    O “controlador de dados” é a entidade que define os propósitos e meios para que o tratamento dos dados aconteça. O “operador de dados” é a entidade que age em nome do controlador e seguindo suas instruções, para tratar os dados pessoais.

    A Stripe é controladora de dados quando define os propósitos e meios para que o tratamento aconteça. Atividades da Stripe como processadora de dados: (1) fornecimento dos produtos e serviços da Stripe, (2) monitoramento, prevenção e detecção de transações de pagamento fraudulentas e outros tipos de fraude na plataforma da Stripe, (3) cumprimento de obrigações legais ou regulatórias do setor financeiro às quais a Stripe está sujeita e (4) análise, desenvolvimento e melhoria dos produtos e serviços da Stripe. Leia este artigo do Centro de Privacidade para obter mais informações sobre as atividades da Stripe como controladora de dados.

    A Stripe é operadora quando possibilita transações de pagamento em nome do usuário de negócios da Stripe e segundo suas instruções. Nossos usuários de negócios instruem-nos a receber pagamentos de titulares de cartões/clientes finais.

    A Stripe é considerada operadora quando instruída a processar pagamentos (ou seja, a Stripe recebe instruções sobre quem pagar, quanto pagar, quando pagar).

    Como provedora de plataforma, precisamos garantir a coerência dos procedimentos em toda a plataforma, inclusive em termos de como nos comprometemos a operar nossa plataforma. Nosso contrato com todos os nossos usuários de negócios (inclusive algumas das maiores empresas do mundo) baseia-se nessas premissas.

    Quais entidades da Stripe estão envolvidas?

    Para a maioria dos nossos serviços, a controladora de dados responsável pelos dados pessoais coletados e processados em relação aos serviços da Stripe é a Stripe, Inc., empresa matriz dos EUA que opera nos termos da legislação dos EUA, ou a Stripe Payments Europe, Limited (“SPEL”), empresa irlandesa que opera nos termos da legislação irlandesa.

    A entidade da Stripe responsável pelos seus dados dependerá da sua localização, do produto ou serviço que você usa conosco e se a Stripe está atuando como controladora e/ou processadora de dados.

    Se você está localizado fora das Américas (por exemplo, Espaço Econômico Europeu (“EEE”), Suíça ou Reino Unido, ou países da região Ásia-Pacífico (“APAC”)), a SPEL é a principal entidade responsável pelo processamento de seus dados pessoais. Alguns dos serviços de processamento de pagamentos oferecidos pela Stripe poderão ser serviços que somente um provedor de serviços de pagamento autorizado ou instituição de moeda eletrônica pode fornecer. Nesse caso, a SPEL e a entidade regulamentada local da Stripe (definida como a entidade licenciada, autorizada ou registrada por uma autoridade reguladora local) atuarão como controladores conjuntos dos seus dados pessoais.

    Consulte nossa tabela abaixo para obter mais informações sobre quem é seu controlador nestas jurisdições:

    Localização do usuário Finalidade do processamento Nome da entidade Stripe Localização da entidade Stripe
    EEE Fornecimento de determinados serviços de pagamento autorizados no EEE e na Suíça.
    Stripe Technology Europe, Limited (a entidade licenciada para moeda eletrônica junto ao Banco Central da Irlanda) Irlanda
    EEE Todas as outras atividades. SPEL Irlanda
    Reino Unido e Suíça Fornecimento de serviços de pagamento autorizados no Reino Unido.
    Stripe Payments UK, Ltd. (a entidade licenciada para moeda eletrônica com a Autoridade de Conduta Financeira do Reino Unido) Reino Unido
    Reino Unido e Suíça Todas as outras atividades. SPEL Irlanda
    Reino Unido Fornecimento dos produtos Stripe Capital e serviços relacionados para usuários da Stripe no Reino Unido. Stripe Capital Europe, Limited Irlanda

    As afiliadas da Stripe também fornecem serviços de suporte local em determinados países nos quais a Stripe opera. Essas entidades atuam como processadoras de dados em nome da Stripe, Inc. ou da SPEL, dependendo da jurisdição. Você encontrará a lista mais atualizada das afiliadas da Stripe nesta página.

    Para determinados produtos, a Stripe poderá atuar como controladora independente (p. ex., Stripe Capital), processadora de dados ou ambos (p. ex., Stripe Identity). Consulte o artigo do Centro de Privacidade para cada produto específico para obter mais informações.

    Quais são as atividades da Stripe como controladora de dados?

    • Fornecer os produtos e serviços da Stripe aos usuários de negócios e usuários finais da Stripe, inclusive determinar os terceiros (bancos e provedores de formas de pagamentos) que serão utilizados;
    • Monitorar, prevenir e detectar fraudes e transações de pagamento fraudulentas e outras atividades fraudulentas na plataforma da Stripe;
    • Cumprir obrigações legais ou regulatórias aplicáveis ao setor financeiro no qual a Stripe se enquadra, inclusive rastreamento de lavagem de dinheiro e cumprimento da regulamentação KYC (conheça seu cliente); e
    • Analisar, desenvolver e melhorar os produtos e serviços da Stripe.

    Como um Usuário da Stripe e controlador de dados, o que o GDPR significa para mim?

    Como controlador dos dados, os usuários de negócios são responsáveis pelo relacionamento com o titular dos dados (ou seja, seu cliente final). Você pode instruir um terceiro (como a Stripe) a tratar os dados, mas é sua responsabilidade definir o propósito (ou os objetivos) e a base legal para o tratamento.

    O GDPR exige que os controladores de dados usem terceiros que concordem em cumprir certos termos contratuais. Para garantir isso, o controlador de dados deve celebrar Termos de Tratamento de Dados (conhecidos como “Data Processing Agreements”, ou “DPAs”) com cada terceiro. Nosso DPA foi elaborado para cumprir esse propósito para você. Ele está rigidamente alinhado com as transações de pagamentos, e portanto deve estabelecer que você está em conformidade com a GDPR no que se refere aos pagamentos.

    Quais são os suboperadores da Stripe, e como eles são aprovados?

    Veja a lista de nossos suboperadores, prestadores de serviços e afiliadas mais comuns em nossa página de prestadores de serviços. A Stripe identifica, avalia e contrata suboperadores com base em nosso programa de gestão de prestadores de serviços. Celebramos um contrato com cada suboperador antes do compartilhamento de dados, e todo contrato contém termos que preveem monitoramento e auditoria. Além disso, todos os possíveis prestadores de serviços são avaliados e aprovados pelo processo de análise de segurança da Stripe antes de começarmos a usar seus serviços.

    De onde a Stripe coleta as informações usadas para fins de segurança e prevenção de fraudes?

    Para evitar fraudes e fortalecer nossa segurança, poderemos coletar informações de usuários de negócios, clientes finais, usuários finais, partes financeiras e, em alguns casos, terceiros. Por exemplo, coletamos e analisamos informações que nos ajudam a identificar agentes e bots maliciosos, inclusive dados operacionais (como valor, endereço de envio do cliente, data e assim por diante) e sinais avançados de detecção de fraude (sinais de dispositivo e atividade). Saiba mais.

    A Stripe também recebe informações de terceiros para prevenir e responder a incidentes de segurança e proteger contra outras atividades fraudulentas. Por exemplo, poderemos receber informações de terceiros sobre endereços IP que agentes mal-intencionados violaram.

    Ouvi dizer que a Stripe está coletando mais dados sobre minha conta a partir de um terceiro e/ou a partir de minhas outras contas na Stripe. Por que a Stripe está coletando esses dados?

    A Stripe pode coletar mais dados sobre sua conta para que a Stripe e seus parceiros financeiros possam detectar fraudes e/ou cumprir requisitos de conformidade financeira. Esses requisitos são especificados por nossos parceiros financeiros ou reguladores e têm o objetivo de evitar abusos do sistema financeiro. Exemplos de campos de dados em branco podem ser seu endereço, telefone, número de identificação fiscal, data de nascimento, número de identificação de empregador ou URL do seu site. A Stripe pode preencher parte dessas informações com dados coletados de uma de suas outras contas na Stripe, ou com dados obtidos a partir de um terceiro. Mostraremos aos usuários de negócios as informações que associamos às contas deles no Dashboard, e os usuários de negócios podem atualizar ou corrigir essas informações também pelo Dashboard. Consulte a Política de Privacidade da Stripe para saber mais.

    A Stripe vende minhas informações pessoais nos termos da CCPA?

    A Stripe não vende informações pessoais. Dessa forma, não temos conhecimento real de que vendemos informações pessoais de menores de 16 anos de idade. Para residentes da Califórnia, EUA, a Lei de Privacidade do Consumidor da Califórnia (California Consumer Privacy Act, CCPA) define “venda” de informações pessoais, inclusive, ao fornecê-las a terceiros em troca de dinheiro ou contraprestação valiosa. Consulte Cód. Civil da Califórnia, EUA, § 1798.140(t)(1).

    Para os fins da lei Shine the Light (Cód. Civil da Califórnia, EUA, § 1798.83), a Stripe não compartilha dados pessoais de clientes da Califórnia, EUA, com terceiros para fins de marketing direto, conforme definido por esta lei.

    A tabela abaixo divulga as categorias de informações pessoais sobre consumidores da Califórnia, EUA, que coletamos e divulgamos para fins comerciais.

    Categorias de informações pessoais Coletadas Divulgadas para fins comerciais nos últimos 12 meses Para quem os dados podem ser divulgados
    Identificadores (por exemplo, identificadores de dispositivo) Sim Poderemos divulgar os dados, de acordo com a legislação aplicável, para: facilitadores de serviços (como prestadores de serviços e parceiros financeiros que atendem o produto financeiro), o comerciante com o qual você faz negócios (também conhecido como nosso usuário de negócios), uma entidade envolvida na transferência/fusão de negócios, aplicação da lei, tribunais, governos e agências reguladoras.
    Características das classificações protegidas nos termos da lei federal dos EUA ou da Califórnia, EUA (por exemplo, sexo e idade anotados nos documentos de identificação que você enviar para que a Stripe possa verificar sua identidade em nome do seu comerciante, também conhecido como nosso usuário de negócios) Sim Poderemos divulgar os dados, de acordo com a legislação aplicável, para: facilitadores de serviços (como prestadores de serviços e parceiros financeiros que atendem o produto financeiro), o comerciante com o qual você faz negócios (também conhecido como nosso usuário de negócios), uma entidade envolvida na transferência/fusão de negócios, aplicação da lei, tribunais, governos e agências reguladoras.
    Informações comerciais (por exemplo, o comerciante com quem você opta por fazer negócios, também conhecido como nosso usuário de negócios, poderá receber seus dados de operação) Sim Poderemos divulgar os dados, de acordo com a legislação aplicável, para: facilitadores de serviços (como prestadores de serviços e parceiros financeiros que atendem o produto financeiro), o comerciante com o qual você faz negócios (também conhecido como nosso usuário de negócios), uma entidade envolvida na transferência/fusão de negócios, aplicação da lei, tribunais, governos e agências reguladoras.
    Informações biométricas (por exemplo, identificadores biométricos de documentos de identificação com foto utilizados para confirmar a sua identidade) Sim Poderemos divulgar os dados, de acordo com a legislação aplicável, para: prestadores de serviços, ou seja, a Amazon Web Services ("AWS"), uma entidade envolvida na transferência/fusão de negócios, aplicação da lei, tribunais, governos e agências regulatórias.
    Informações de atividades on-line (por exemplo, informações sobre dispositivos e navegadores em determinados sites de usuários de negócios que utilizam a Stripe e endereços IP associados a esses dispositivos e navegadores e dados de uso) Sim Poderemos divulgar os dados, de acordo com a legislação aplicável, para: facilitadores de serviços (como prestadores de serviços e parceiros financeiros que atendem o produto financeiro), o comerciante com o qual você faz negócios (também conhecido como nosso usuário de negócios), uma entidade envolvida na transferência/fusão de negócios, aplicação da lei, tribunais, governos e agências reguladoras.
    Dados de localização geográfica (por exemplo, endereços IP) Sim Poderemos divulgar os dados, de acordo com a legislação aplicável, para: facilitadores de serviços (como prestadores de serviços e parceiros financeiros que atendem o produto financeiro), o comerciante com o qual você faz negócios (também conhecido como nosso usuário de negócios), uma entidade envolvida na transferência/fusão de negócios, aplicação da lei, tribunais, governos e agências reguladoras.
    Informações audiovisuais (por exemplo, informações visuais, de áudio ou semelhantes, como fotos que você envia para que a Stripe possa verificar sua identidade em nome do seu comerciante, também conhecido como nosso usuário de negócios) Sim Poderemos divulgar os dados, de acordo com a legislação aplicável, para: prestadores de serviços, o comerciante com o qual você faz negócios (também conhecido como nosso usuário de negócios), uma entidade envolvida na transferência/fusão de negócios, aplicação da lei, tribunais, governos e agências reguladoras.
    Informações profissionais ou relacionadas ao emprego Sim Poderemos divulgar os dados, de acordo com a legislação aplicável, para: prestadores de serviços, uma entidade envolvida na transferência/fusão de negócios, aplicação da lei, tribunais, governos e agências regulatórias.
    Categorias de informações pessoais descritas no Cód. Civil da Califórnia, EUA, 1798.80(e) (como nome, endereço, número de telefone, número do cartão de crédito ou cartão de débito) Sim Poderemos divulgar os dados, de acordo com a legislação aplicável, para: facilitadores de serviços (como prestadores de serviços e parceiros financeiros que atendem o produto financeiro), o comerciante com o qual você faz negócios (também conhecido como nosso usuário de negócios), uma entidade envolvida na transferência/fusão de negócios, aplicação da lei, tribunais, governos e agências reguladoras.

    Além dos suboperadores, com quais outros terceiros a Stripe compartilha dados?

    Quando trabalhamos com provedores de serviços em nossa capacidade como processador de dados para os dados pessoais de nossos Usuários Comerciais e Usuários Finais, o GDPR chama esses provedores de serviços terceirizados de subprocessador. Suboperadores são prestadores de serviços que têm ou poderão ter acesso aos dados ou tratá-los em nome da Stripe. Esses terceiros são divulgados em nossa Lista de Prestadores de Serviços da Stripe.

    Além dos suboperadores da Stripe, podemos compartilhar dados pessoais do onboarding e informações sobre formas de pagamento dos usuários de negócios com parceiros comerciais externos quando for necessário para prestarmos os serviços aos nossos usuários de negócios. Fazemos isso, por exemplo, para oferecer serviços de processamento de pagamentos para nossos usuários de negócios ou para facilitar a liquidação de pagamentos.

    Terceiros para os quais podemos divulgar dados pessoais para esses fins são bancos, provedores de formas de pagamento e processadores de pagamentos, incluindo, sem limitação:

    • American Express Payment Services Limited e American Express Payments Europe S.L.
    • Banking Circle S.A.
    • Barclays Bank PLC
    • Credit Mutuel Arkea e Arkea Banking Services
    • Currence iDEAL B.V.
    • Klarna AB
    • Mastercard Europe S.A.
    • Polski Standard Płatności
    • PPRO Financial Ltd.
    • Swisscard AECS GmbH
    • Visa Europe Limited

    Os dados compartilhados com fornecedores de formas de pagamento dependem das formas de pagamento habilitadas na conta do usuário de negócios.

    Além disso, compartilhamos dados pessoais que julgamos ser necessários para, entre outras coisas, proteger os serviços e direitos, bem como a segurança e a propriedade da Stripe, de nossos usuários ou de outros. Por exemplo, para proteger nossos serviços, a Stripe pode receber ou divulgar informações sobre endereços IP que pessoas mal-intencionadas tenham comprometido.

    Transferência

    A Stripe transmite dados pessoais a afiliadas e prestadores de serviços ou suboperadores, se isso for necessário para o cumprimento de obrigações contratuais ou para que os dados sejam processados. Dependendo das formas de pagamento habilitadas, podem ser transferidos dados para as jurisdições das formas de pagamento em questão. Antes de contratarmos qualquer terceiro, realizamos uma prévia diligência, inclusive uma avaliação de segurança do fornecedor. Todos os nossos prestadores de serviços estão sujeitos a termos contratuais elaborados para assegurar que esses prestadores de serviços processem dados pessoais somente para fins de prestação de serviços à Stripe e de acordo com nossos compromissos com os usuários e as leis de proteção de dados aplicáveis. Além disso, a Stripe mantém e aplica um programa de segurança que aborda a gestão de segurança e os controles de segurança empregados pela Stripe, que inclui a gestão de risco de terceiros. Além disso, os funcionários, agentes e contratados da Stripe têm ciência das suas respectivas responsabilidades de segurança e privacidade de dados de acordo com as políticas da Stripe.

    Quais dados sobre clientes finais e suas transações são usados pelo Radar e quais dados a Stripe compartilha com seus usuários empresariais do Radar?

    Ao processar pagamentos, é importante para a Stripe, os usuários empresariais e clientes finais viabilizar transações legítimas e tentar evitar transações fraudulentas, tornando as compras online mais seguras para todos os envolvidos. O Radar ajuda a detectar transações possivelmente fraudulentas para usuários empresariais da Stripe (isto é, comerciantes) por meio de machine learning e outras técnicas. Para fazer isso, o Radar usa os dados coletados nos nossos serviços.

    Os usuários empresariais podem usar o Radar para alavancar a “pontuação” ou o “nível” de uma transação calculados pela Stripe e implementar regras determinadas pelo usuário empresarial que permitirão, bloquearão ou sinalizarão transações para revisão adicional com base em uma avaliação da probabilidade de que a transação seja legítima. Os usuários empresariais podem usar o Radar como uma de vários fatores na tomada de decisões com relação ao potencial de fraude em uma transação.

    O Radar usa dados coletados sobre o cliente final de várias fontes, incluindo dados de transações de pagamentos, dados de detecção avançada de fraude, dados de endereço IP e endereço físico. O Radar usa esses dados para estabelecer a probabilidade de que a forma de pagamento oferecida pelo cliente final para uma transação seja realmente autorizada para ela.

    A Stripe poderá compartilhar com o usuário empresarial determinadas informações relevantes para detecção de fraude, incluindo:

    • uma pontuação ou nível de transação que avalia a probabilidade de a transação se tornar um estorno fraudulento,
    • insights de risco sobre essa transação,
    • pagamentos relacionados feitos pelo cliente final para o usuário comercial,
    • outros dados relacionados à transação desse cliente final com esse usuário empresarial (ex.: nome do titular do cartão, dados do cartão e o valor e a data do pagamento), dados do dispositivo e navegador do dispositivo usado para fazer a transação com esse usuário empresarial e
    • referências agregadas.

    Como observado na Política de privacidade da Stripe, a Stripe não vende dados pessoais.

    Como usuário empresarial, que aviso devo fornecer aos meus clientes finais sobre a Stripe?

    Nos termos dos nossos contratos, os usuários empresariais precisam fornecer todos os avisos necessários e obter todos os direitos e consentimentos necessários de seus clientes finais para habilitar a Stripe a coletar, usar, reter e divulgar legalmente os dados pessoais como parte dos serviços da Stripe. Usuários empresariais, como controladores de dados, são responsáveis pelos conteúdos de seus avisos de privacidade e banners de cookies. Como exemplo, aqui está um parágrafo que você pode considerar adicionar ao seu aviso de privacidade (se já não tiver uma divulgação como essa):

    Nós usamos a Stripe para pagamentos, análises e outros serviços comerciais. A Stripe coleta e processa dados, incluindo dados de identificação sobre os dispositivos que se conectam a seus serviços. A Stripe usa essas informações para operar e melhorar os serviços que nos fornece, incluindo para detecção e prevenção de fraudes. Saiba mais sobre a Stripe e suas atividades de processamento pela política de privacidade em https://stripe.com/privacy.

    Informamos que o aviso acima é destinado apenas a fins ilustrativos e não se trata de um aconselhamento jurídico. Fale com seu assessor jurídico para entender como cumprir suas obrigações de acordo com a legislação aplicável.

    Para cumprir nossas obrigações de transparência, explicamos como nossos cookies são usados em nossa Cookie Policy, e o nosso Dashboard de configurações de cookies estipula nossa lista de cookies. Solicitamos aos nossos usuários empresariais que revisem os cookies inseridos nos sites deles e atualizem os banners de cookies do mesmo modo.

    Tabela de fundamentações jurídicas da Stripe

    Sob qual fundamentação jurídica a Stripe processa dados pessoais como controladora de dados?

    Contamos com uma série de fundamentações jurídicas para permitir o uso dos seus dados pessoais. Em suma, usamos dados pessoais para facilitar as relações comerciais que temos com nossos usuários de negócios e usuários finais, cumprir nossas obrigações regulatórias financeiras e outras obrigações legais e para buscar nossos interesses comerciais legítimos. Também usamos dados pessoais para concluir operações e fornecer serviços relacionados a pagamentos aos nossos usuários de negócios.

    Nossa tabela abaixo proporciona uma visão geral detalhada de como e por que usamos seus dados pessoais.

    Para fins do Regulamento Geral sobre a Proteção de Dados, contamos com uma série de fundamentações jurídicas para permitir o processamento dos seus Dados pessoais.

    Usuários finais

    Quando você usa diretamente um Serviço de Usuário final (como quando você se inscreve no Link ou faz um pagamento para o Stripe Climate em sua capacidade pessoal) para seu uso pessoal, nos referimos a você como “Usuário final”.

    Finalidade do processamento Categorias de dados pessoais Fundamentações jurídicas
    Prestar nossos serviços. Fornecer serviços a você, inclusive entrega, suporte, personalização e mensagens relacionadas ao serviço. Seu nome, informações de contato, informações de pagamento, inclusive informações de conta e pagamentos bancários e/ou número do cartão de pagamento, código CVC e data de validade. Nossa necessidade contratual de cumprir nossa relação contratual com você, nos termos das leis de proteção de dados aplicáveis.
    Para a prestação dos nossos serviços, inclusive o Link, Atlas e Identity. Quando processamos dados com base em seu consentimento, você tem o direito de retirar seu consentimento a qualquer momento sem afetar a legalidade do processamento, com base neste consentimento, antes que o consentimento seja retirado. Se optar por usar o Link, você concorda em permitir que a Stripe armazene seu método de pagamento e informações relacionadas para que você possa fazer compras mais prontamente com os Usuários de negócios que usam a Stripe para fornecer serviços de processamento de pagamentos (p. ex., o Stripe Checkout). Com base no consentimento para o processamento dessas informações pessoais.
    Produtos de cartão e produtos financeiros, inclusive Emissão e Serviços diretos do Tesouro. Utilizamos seus Dados pessoais para oferecer a você produtos de cartão e produtos e serviços financeiros sob a marca Stripe e/ou sob a marca do Usuário de negócios. Seu nome, e-mail, número de telefone, endereço postal, informações de operação, senha, PIN ou credenciais semelhantes, número do cartão de pagamento, idade, data de nascimento, número do cartão de crédito, número da carteira de habilitação, identificação fiscal, dados de cookies, tags e beacons, endereço IP. Nossos interesses legítimos em promover nossos produtos e definir a elegibilidade para oferta dos novos produtos e serviços da Stripe.
    Oferecer nossos serviços e alertar você sobre alterações neles. Por exemplo, por meio do Stripe Capital, oferecemos empréstimos de capital a determinados usuários que satisfaçam critérios específicos e para ajudar a determinar se você se qualifica para um empréstimo ou não. Essas informações serão processadas antes da oferta de empréstimo para determinar a elegibilidade. O nome do representante da empresa, o endereço físico da empresa e a ID da Stripe do mutuário. O restante dos dados processados diz respeito a informações comerciais e não a dados pessoais. Nossos interesses legítimos em promover nossos produtos e definir a elegibilidade para oferta dos novos produtos e serviços da Stripe.
    Serviços de detecção de fraudes. Usamos seus Dados pessoais coletados em nossos Serviços (p. ex., Stripe Radar) para detectar e prevenir fraudes contra nós, nossos Usuários de negócios e parceiros financeiros, inclusive para detectar logins não autorizados usando sua atividade on-line. Informações de transação. Incluem: seu nome, e-mail, endereço de cobrança e/ou de entrega, informações do método de pagamento (como número de cartão de crédito ou de débito, informações da conta bancária ou imagem do cartão de pagamento), comerciante e local, valor da compra, data da compra e, em alguns casos, algumas informações sobre o que você comprou, seu número de telefone e identificação fiscal.
      Informações de sinais avançados de fraude coletadas por meio de cookies. Inclui informações de navegação na internet, dados de uso, URLs de referência, localização, dados de cookies, dados do dispositivo e identificadores.
      Endereço IP e endereço físico.
    Nossos interesses legítimos de monitorar e detectar fraudes, a fim de assegurar que detectemos atividades potencialmente prejudiciais aos nossos Usuários finais.
    Marketing e publicidade. Poderemos usar seus Dados pessoais para avaliar sua qualificação e oferecer outros Serviços a você. Usamos os Dados pessoais do Usuário final para fins de publicidade e marketing baseados em interesses. Não compartilhamos os Dados pessoais do Usuário final com terceiros para fins de marketing desses, salvo se você nos fornecer autorização ou autorizar o terceiro a fazê-lo. Informações de contato, inclusive: nome, e-mail, número de telefone comercial e cargo.
        Dados de conexão, como endereço IP e comportamento na internet (página visitada, tempo de permanência página, etc.)
      Com base no consentimento para o processamento dessas informações pessoais.
        Nosso interesse legítimo em realizar atividades de marketing para oferecer a você produtos ou serviços que possam ser de seu interesse.
      Conformidade e prevenção de danos. Compartilhamos Dados pessoais conforme julgamos ser necessário para: (i) cumprir a legislação aplicável; (ii) cumprir as regras impostas pelo método de pagamento em conexão com o uso desse método de pagamento (p. ex., regras de rede para Visa); (iii) invocar os nossos direitos contratuais; (iv) proteger os Serviços, direitos, privacidade, segurança e propriedade da Stripe, sua ou de outras pessoas, inclusive contra outras atividades maliciosas ou fraudulentas e incidentes de segurança; e (v) responder a solicitações legais válidas de processos judiciais, autoridades de aplicação da lei, agências reguladoras e outras autoridades públicas e governamentais, que podem incluir autoridades fora do seu país de residência. Qualquer dado pessoal que processamos Nossa obrigação legal quando essas divulgações são necessárias para cumprir nossas obrigações legais, para a proteção dos interesses vitais de uma pessoa, por motivos de interesse público, por razões de interesse público substancial ou para fins de interesse legítimo da Stripe ou de terceiros em manter a Stripe segura, evitar uma violação da lei, danos ou crimes, invocar ou defender direitos legais, reivindicações ou obrigações, facilitar a cobrança de impostos e a prevenção de fraude fiscal ou prevenir perdas ou danos.

      Clientes finais

      Quando você faz negócios ou, de outra forma, operações com o Usuário de negócios (normalmente um comerciante usando o Stripe Checkout, p. ex., quando você compra um par de sapatos de um comerciante que usa a Stripe para processamento de pagamentos), mas não está fazendo negócios diretamente com a Stripe, nos referimos a você como “Cliente final”.

      Finalidade do processamento Categorias de Dados pessoais Fundamentações jurídicas
      Fornecer nossos Serviços para Usuários de negócios, inclusive para processar operações de pagamento on-line, calcular o imposto sobre vendas aplicável, faturar e cobrar, e calcular a receita.
        Se você for Cliente final, quando fizer pagamentos, enviar lembretes de carrinho de compras, receber reembolsos, iniciar uma compra ou, de outra forma, realizar operações com um Usuário de negócios por meio dos Serviços da Stripe ou de um dispositivo fornecido pela Stripe, a Stripe receberá suas informações de operação. Dependendo de como o Usuário de negócios integrou nossos Serviços comerciais, poderemos receber essas informações diretamente de você, do Usuário de negócios ou de outro prestador de serviços para você ou para o Usuário de negócios.
      Informações de operação (inclusive check-out, processamento de pagamentos e uso do Tesouro/Emissão). Seu nome, e-mail, endereço de cobrança e/ou de entrega, informações do método de pagamento (como número do cartão de crédito ou de débito, informações da conta bancária ou imagem do cartão de pagamento), comerciante e local, valor da compra, data da compra e, em alguns casos, algumas informações sobre o que você comprou, seu número de telefone e identificação fiscal. As informações sobre o método de pagamento que coletamos dependerão da escolha na lista de métodos de pagamento disponíveis oferecidos pelo Usuário de negócios como parte do processo de “checkout” para sua compra. Também poderemos receber seu histórico de operações com o Usuário de negócios.
          Informações relacionadas à operação/interesses de compra. Informações digitadas em um campo de checkout que não é finalizado e enviado ao Usuário de negócios.
        Nossos interesses legítimos de fornecer os produtos e serviços da Stripe. A Stripe processa esses dados pessoais considerando o interesse legítimo de melhorar os Serviços e quando for necessário para a execução adequada do contrato com os Usuários de negócios.
        Fornecer nossos Serviços para Usuários de negócios, solicitar métodos de pagamento por cliente em nome do Usuário de negócios, implementar limites de fraude escolhidos pelo Usuário de negócios e verificar seu método de pagamento. Informações de verificação. Sua idade (ao comprar bens com restrição de idade) ou informações sobre você ser a pessoa autorizada a usar o método de pagamento.
          As informações coletadas serão as que você optar por compartilhar para esses fins, que podem incluir sua identificação emitida pelo governo, foto, imagem ao vivo e dados pessoais aparentes do método de pagamento físico (p. ex., imagem do cartão de crédito).
        Nossas obrigações legais relacionadas às nossas obrigações financeiras e regulatórias.
        Reduzir fraudes e aumentar a segurança. Usamos Dados pessoais sobre sua identidade, inclusive informações fornecidas por você, para executar serviços de verificação para a Stripe ou para os Usuários de negócios com os quais você faz negócios, bem como para reduzir fraudes e aumentar a segurança. Em alguns casos, se você fornecer uma “selfie” junto com uma imagem do seu documento de identidade, usaremos a tecnologia para comparar e calcular se as imagens correspondem e para que você possa ser “verificado”. Usaremos as informações dos nossos Serviços e prestadores de serviços para ajudar a verificar sua identidade e prevenção de fraudes. Com base no consentimento para o processamento dessas informações pessoais.
          Nossos interesses legítimos em detectar, monitorar e prevenir fraudes e operações de pagamento não autorizadas.
        Serviços de verificação de radar e cartão. Usamos Dados pessoais de Clientes finais com o intuito de detectar e prevenir fraudes para Usuários de negócios, inclusive detectar cartões de pagamento fraudulentos, utilizando imagens de cartão de pagamento e logins não autorizados usando atividade on-line. Ao fornecer estes serviços, poderemos fornecer Dados pessoais limitados sobre os Clientes finais aos Usuários de negócios que solicitaram estes serviços, de modo que os Usuários de negócios possam avaliar o risco de fraude associado à tentativa de operação pelo Cliente final. Também poderemos utilizar imagens de cartões de pagamento para melhorar nossos Serviços comerciais. Informações de transação. Incluem: seu nome, e-mail, endereço de cobrança e/ou de entrega, informações do método de pagamento (como número de cartão de crédito ou de débito, informações da conta bancária ou imagem do cartão de pagamento), comerciante e local, valor da compra, data da compra e, em alguns casos, algumas informações sobre o que você comprou, seu número de telefone e identificação fiscal.
          Informações de sinais avançados de fraude coletadas por meio de cookies. Inclui informações de navegação na internet, dados de uso, URLs de referência, localização, dados de cookies, dados do dispositivo e identificadores.
          Endereço IP e endereço físico
        Nossos interesses legítimos em detectar, monitorar e prevenir fraudes e operações de pagamento não autorizadas.
        Conformidade e prevenção de danos. Compartilhamos Dados pessoais conforme julgamos ser necessário para: (i) cumprir a legislação aplicável; (ii) cumprir as regras impostas pelo método de pagamento em conexão com o uso desse método de pagamento; (iii) invocar os nossos direitos contratuais; (iv) proteger os Serviços, direitos, privacidade, segurança e propriedade da Stripe, sua ou de outras pessoas, inclusive contra outras atividades maliciosas ou fraudulentas e incidentes de segurança; e (v) responder a solicitações legais válidas de processos judiciais, autoridades de aplicação da lei, agências reguladoras e outras autoridades públicas e governamentais, que podem incluir autoridades fora do seu país de residência. Qualquer dado pessoal que processamos Nossas obrigações legais quando divulgações forem necessárias para cumprir nossas obrigações legais.
            Nosso interesse legítimo em manter a Stripe segura, impedir uma violação da lei, dano ou crime, invocar ou defender direitos legais, reivindicações ou obrigações, facilitar a coleta de impostos e a prevenção de fraudes ou prevenir perdas ou danos.

          Representantes

          Quando você age em nome de um Usuário de negócios existente ou potencial (p. ex., você é o fundador de uma empresa ou administra a conta para um comerciante que é Usuário de negócios), nos referimos a você como “Representante”.

          Finalidade do processamento Categorias de Dados pessoais Fundamentações jurídicas
          Reduzir fraudes e aumentar a segurança. Usaremos Dados pessoais sobre sua identidade, inclusive informações fornecidas por você, para executar serviços de verificação para a Stripe. As informações de integração e verificação que você opta por compartilhar para esses fins, que podem incluir sua identificação emitida pelo governo, foto, imagem ao vivo e Dados pessoais aparentes do método de pagamento físico (p. ex., imagem do cartão de crédito). Nossas obrigações legais relacionadas às nossas obrigações financeiras e regulatórias. Processamos Dados pessoais para verificar a identidade dos Representantes dos nossos Usuários de negócios, a fim de cumprir as obrigações de monitoramento, prevenção e detecção de fraudes, leis associadas à identificação e comunicação de atividades ilegais e ilícitas, como obrigações de AML [Anti-Money Laundering (antilavagem de dinheiro), KYC [Know-Your-Customer (Conheça seu cliente) e obrigações de relatórios financeiros
          Publicidade. Poderemos usar e compartilhar os Dados pessoais do Representante com outras pessoas para que possamos anunciar e comercializar nossos produtos e serviços para você, inclusive por meio de publicidade baseada em interesses, sujeito às exigências de consentimento de acordo com a legislação aplicável. Informações de contato, inclusive: nome, e-mail, número de telefone comercial e cargo.
            Dados de conexão, como endereço IP e comportamento na internet (página visitada, tempo de permanência na página, etc.)
          Com base no consentimento para o processamento dessas informações pessoais.
          Comunicações. Podemos enviar comunicações de marketing por e-mail sobre produtos e serviços da Stripe, convidá-lo para participar dos nossos eventos ou pesquisas ou, de outra forma, comunicarmo-nos com você para fins de marketing, contanto que o façamos de acordo com a legislação aplicável, inclusive qualquer exigência de consentimento ou cancelamento. Informações de contato, como seu nome, e-mail e número de telefone. Com base no consentimento para o processamento dessas informações pessoais.
            Nossos interesses legítimos em responder a consultas, enviar avisos de Serviço, assegurar a conformidade com a legislação aplicável, prevenir fraudes, melhorar nossos serviços e prestar suporte ao cliente.
          Serviços tributários e Atlas (Incorporação). Poderemos usar seus Dados pessoais para declarar impostos em nome do seu Usuário de negócios associado. Se o seu Usuário de negócios usar o Atlas, poderemos utilizar seus Dados pessoais para enviar formulários à Receita Federal em seu nome e protocolar documentos com outras autoridades governamentais. Seus dados de contato, como nome, endereço postal, número de telefone e e-mail; e informações financeiras e pessoais sobre você, como sua participação acionária no Usuário de negócios, data de nascimento e identificadores governamentais associados a você e à sua organização (como seu número de previdência social, número de identificação fiscal ou número de identificação de empregador); você também poderá optar por fornecer informações de conta bancária. Nossa conformidade com obrigações legais relacionadas às nossas obrigações financeiras e regulatórias. Processamos Dados pessoais para verificar a identidade dos Representantes dos nossos Usuários de negócios, a fim de cumprir as obrigações de monitoramento, prevenção e detecção de fraudes, leis associadas à identificação e comunicação de atividades ilegais e ilícitas, como obrigações de AML [Anti-Money Laundering (antilavagem de dinheiro), KYC [Know-Your-Customer (Conheça seu cliente) e obrigações de relatórios financeiros.
            Nossa necessidade contratual de cumprir nossa relação contratual com você, nos termos das leis de proteção de dados aplicáveis.

          Visitantes

          Quando você visita um Site sem estar conectado a uma conta Stripe ou, de outra forma, se comunica com a Stripe, nos referimos a você como “Visitante” (p. ex., você envia uma mensagem à Stripe solicitando mais informações porque está considerando ser um usuário dos nossos produtos).

          Finalidade do processamento Categorias de Dados pessoais Fundamentações jurídicas
          Comunicações. Usamos todas as informações de contato fornecidas para responder a consultas ou solicitações de informações que você tenha feito; e se você tiver procurado saber sobre nós ou nossos Serviços, para enviar e-mails de marketing solicitando seu consentimento ou fornecendo a você uma opção de exclusão em qualquer mensagem que enviarmos. Informações de contato, como seu nome, e-mail e número de telefone.
            Informações que você nos forneceu, como os produtos nos quais você está interessado.
          Com base no consentimento para o processamento dessas informações pessoais.
            Nossos interesses legítimos em responder a consultas, enviar avisos de Serviço e prestar suporte ao cliente.
          Publicidade. Quando você visita nossos Sites, nós (e nossos prestadores de serviços) poderemos usar os Dados pessoais coletados de você e seu dispositivo para direcionar anúncios de Serviços da Stripe para você em nossos Sites e outros sites que você visita (“publicidade baseada em interesses”). Informações coletadas de cookies, como seu dispositivo, ID do navegador e páginas que você acessou em nosso site. Com base no consentimento para o processamento dessas informações pessoais.
            Nosso interesse legítimo em realizar atividades de marketing para oferecer a você produtos ou serviços que possam ser de seu interesse.
          Detecção de fraudes. Usamos seus Dados pessoais coletados em todos os nossos Serviços para detectar e prevenir fraudes contra a Stripe, nossos Usuários de negócios e parceiros financeiros. Informações de sinais avançados de fraude coletadas por meio de cookies. Inclui informações de navegação na internet, dados de uso, URLs de referência, localização, dados de cookies, dados do dispositivo e identificadores. Nossos interesses legítimos em detectar, monitorar e prevenir fraudes e operações de pagamento não autorizadas.

          Termos de Tratamento de dados (DPAs)

          O que é um DPA (Termo de Tratamento de Dados) e como posso fazer um desses com a Stripe?

          Um Termo de Tratamento de Dados (“DPA”) é um contrato entre dois agentes de tratamento de dados que descreve as funções e responsabilidades das partes durante o tratamento de dados pessoais. O Artigo 28 do GDPR define diversos requisitos que um DPA deve cumprir para estar em conformidade com a lei de privacidade de dados europeia. Disponibilizamos um DPA aos usuários de negócios da Stripe. Entre em contato conosco ou com seu gerente de conta para mais detalhes.

          Informações sobre produtos da Stripe

          Como a Stripe implementa o conceito Privacy by Design (privacidade desde a concepção)?

          O objetivo do conceito Privacy by Design é inserir privacidade e proteção de dados desde o começo, nas especificações de projeto e arquitetura de sistemas e tecnologias de informação e comunicação, facilitando a conformidade com princípios de privacidade e proteção de dados. Temos uma equipe interna e um processo de análise de privacidade para todos os lançamentos de novos produtos. Dedicamo-nos, em todos os níveis do desenvolvimento de produtos, a considerar a privacidade como um fundamento, da engenharia à gestão de produtos. Isso ajuda a garantir que os produtos da Stripe que as pessoas usam diariamente sejam confiáveis.

          Stripe Identity

          Clientes

          Se você recebeu uma solicitação para verificar sua identidade ou ter sua identidade verificada pelo Stripe Identity, acesse as páginas de suporte aqui e aqui para saber mais sobre nossas práticas de privacidade do Stripe Identity. Ou acesse diretamente os tópicos específicos pelos links abaixo:

          Empresa que solicitou a verificação

          Se você representa um usuário de negócios que usa ou pretende usar o Stripe Identity, acesse a página de suporte aqui para obter orientações sobre o que falar a seus usuários e aqui para consultar orientações relativas à privacidade aplicáveis a sua empresa.

          Verificação de imagem do cartão da Stripe

          Se um comerciante (por exemplo, um usuário empresarial da Stripe) pediu uma cópia escaneada do seu cartão de crédito antes de concluir a transação solicitada, visite a página de suporte aqui para saber mais sobre a verificação de imagem do cartão da Stripe.

          Um panorama da Stripe Connect

          Descrição

          O Stripe Connect é um software de pagamentos que seu provedor de plataforma terceirizado (Plataforma) pode usar para permitir que você receba serviços da Stripe (inclusive processamento de pagamentos) e/ou receba repasses.

          Controlador de dados / Operador de dados

          A Stripe age como controladora e também operadora de dados para a Plataforma. A pessoa jurídica da Stripe que age como controladora/operadora dos dados tratados na Europa é a Stripe Payments Europe Limited (“SPEL”).

          Dados Pessoais

          Os dados pessoais transmitidos para a Stripe costumam incluir: nome, sobrenome, endereço, documento de identidade, endereço de e-mail, endereço IP, telefone e outros dados necessários para o processamento dos pagamentos.

          Finalidade

          A finalidade da transmissão dos dados é o processamento de pagamentos, gestão de livro-razão e prevenção de fraudes. O usuário de negócios ou Plataforma transfere dados pessoais para a Stripe. Os dados pessoais transferidos entre a Stripe e o usuário de negócios ou Plataforma podem ser transmitidos para agências de verificação e os dados do usuário de negócios podem ser compartilhados com Plataformas. O objetivo dessa transmissão é permitir que a Plataforma administre seu livro-razão e que a Stripe faça verificações de identidade e análises de crédito.

          Transferência

          A Stripe transmite dados pessoais a afiliados e prestadores de serviços ou suboperadores, se isso for necessário para o cumprimento de obrigações contratuais ou para que os dados sejam tratados.

          Política de Privacidade

          Veja todos os detalhes na Política de Privacidade aplicável da Stripe.

          Sou usuário nos EUA com uma conta conectada Custom. A Stripe também coleta dados sobre minha conta conectada Custom de algum terceiro?

          Se você for usuário nos EUA com uma conta conectada Custom, a Stripe pode coletar mais dados sobre sua conta para fins de detecção de fraudes e cumprimento de requisitos de conformidade financeira. Esses pedidos de dados adicionais são especificados por nossos reguladores ou parceiros financeiros e têm o objetivo de evitar abusos do sistema financeiro. Exemplos de campos de dados em branco podem ser seu endereço, telefone, número de identificação fiscal, data de nascimento, número de identificação de empregador ou URL do seu site. A Stripe pode aproveitar dados que já temos de uma de suas contas na Stripe, ou preencher alguns desses dados com informações fornecidas por terceiros. Você pode conferir quais dados estamos associando à sua conta e atualizá-los ou corrigi-los, entrando em contato com a plataforma ou empresa que criou sua conta para pagamentos na Stripe. Consulte a Política de Privacidade da Stripe para saber mais.

          Qual responsabilidade as plataformas do Connect com contas Custom têm de permitir que seus usuários atualizem ou corrijam dados associados às suas contas?

          Você, a Plataforma, é responsável por todas as interações com suas contas Custom e por coletar todos os dados necessários para que os titulares das contas Custom sejam verificados. Como os titulares de contas Custom não podem acessar a Stripe, é sua responsabilidade montar o Dashboard e os canais de comunicação com o usuário. Você é responsável por responder a todas as solicitações de usuários que peçam para atualizar ou corrigir os dados em suas contas Stripe Custom.

          Sou usuário nos EUA com uma conta conectada Custom. Os dados coletados a partir de um terceiro ficarão disponíveis para meus clientes?

          As bandeiras e emissoras de cartões usam descrições no extrato para identificar pagamentos no extrato bancário do titular do cartão. Essas descrições costumam conter informações sobre o pagamento, como o nome e telefone do vendedor. Mas os dados exatos que são mostrados competem, em última instância, ao banco do titular do cartão. Se a Stripe atualizar o endereço comercial, telefone ou e-mail de sua conta, esses campos podem aparecer na descrição no extrato bancário do titular do cartão. Mas os dados exatos que são mostrados competem, em última instância, à bandeira do cartão ou ao banco do titular do cartão. Se algum dado estiver incorreto, entre em contato com a plataforma através da qual você recebe as cobranças, para verificar se os dados sobre você e sua empresa que você enviou para a plataforma estão corretos.

          Stripe ACS, autenticação de transações e biometria comportamental: o que são?

          O que é o Stripe ACS?

          O Stripe ACS é a solução de autenticação de transações da Stripe para emissores de cartão (por exemplo, bancos). O Stripe ACS ajuda os emissores de cartão a autenticar transações de titulares de cartão realizando compras online com pagamento por cartão.

          O que é a biometria comportamental?

          A biometria comportamental é uma tecnologia inovadora que pode ser usada para evitar fraudes e identificar transações legítimas. Ela usa uma combinação de dados pessoais e características do dispositivo para distinguir clientes legítimos de fraudadores ou robôs.

          Como os dados de biometria comportamental são coletados e usados no Stripe ACS?

          Esse processamento foi criado para verificar a identidade do titular do cartão com base em seus dados de biometria comportamental, modelados de acordo com os dados coletados em cada tentativa de autenticação.

          Esse tipo de autenticação de transações normalmente observará as interações em um sistema ou dispositivo para verificar a identidade do titular do cartão, com o propósito de autenticar pagamentos online. Os seguintes elementos podem ser processados durante o processo de autenticação:

          • Comprimento das entradas em campos de texto
          • Localização do ponteiro do mouse
          • Detalhes de teclas modificadoras (por exemplo, CTRL, SHIFT)
          • Momento e localização dos cliques do mouse
          • Momento e localização dos eventos de toque
          • Tempo entre o acionamento das teclas
          • Posição de rolagem da janela

          Para minimizar as ocorrências de fraude, esse processamento envolve o uso de um cookie de identificação de dispositivo (Ndcd, ID de dispositivo, DID) que busca analisar com precisão os dados de biometria observados em um dispositivo específico. Esse cookie viabiliza a detecção de dispositivos para aprimorar a detecção e prevenção de fraudes e identificar dispositivos suspeitos ou que apresentam comportamento anormal. Esse é um cookie próprio, estritamente necessário, e está ativo nos domínios touch.tech e touchtechpayments.com, tendo duração de 12 meses. Para obter mais informações sobre como usamos cookies, consulte a Política de Cookies da Stripe.

          Objetivo do processamento e o papel da Stripe

          A Stripe pode processar dados biométricos dos titulares de cartão para ajudar os emissores de cartão a autenticar transações de pagamento. Esse processamento faz parte dos serviços de autenticação de transações de pagamento da Stripe oferecidos aos emissores de cartão (inclusive para cumprir os requisitos da Autenticação forte de cliente.

          Ao prestar esses serviços aos emissores de cartão, a Stripe atua como um controlador de dados em relação aos dados dos titulares de cartão. Consulte a Política de Privacidade da Stripe para saber mais sobre como usamos dados pessoais.

          Como parte da prestação desses serviços de autenticação aos emissores de cartão, a Stripe trabalha com um prestador de serviços externo, a Mastercard, que também atua como controlador de dados. Veja o Aviso de Privacidade da Mastercard para obter detalhes sobre as atividades de processamento pela Mastercard nesse contexto.

          Direitos e opções dos clientes

          Ao iniciar uma transação, os titulares de cartão podem optar por consentir com o processamento de seus dados de biometria comportamental pelo fluxo de autenticação de transações. Essa opção é apresentada ao titular do cartão durante o fluxo de checkout no site ou aplicativo do vendedor quando a autenticação é solicitada pelo emissor do cartão. Os titulares de cartão podem revogar seu consentimento durante os fluxos de transação subsequentes.

          Para revogar o consentimento fora do fluxo de uma transação, envie um e-mail para privacy-acs@stripe.com com o assunto “Stripe ACS - withdraw consent”. Nesse e-mail de revogação de consentimento, informe: (a) os primeiros 6 dígitos do número do cartão para que a Stripe possa identificar o banco emissor (não informe nenhum outro dígito além dos 6 primeiros) e (b) o número de telefone (incluindo o código do país) registrado na conta bancária usada para códigos de uso único.

          Agiremos no processo de revogação o mais cedo possível após a verificação. Isso pode demorar até 10 dias úteis, pois precisamos verificar a solicitação com o emissor do cartão. Você também pode entrar em contato com o emissor do cartão para que ele implemente essa revogação de consentimento em conjunto com a Stripe.

          Para enviar uma solicitação a fim de exercer qualquer outro direito descrito em nossa Política de Privacidade, entre em contato com a Stripe em privacy-acs@stripe.com.

          E-mails Promocionais

          Para clientes finais e clientes finais potenciais dos nossos usuários de negócios

          O que é o recurso E-mails Promocionais?

          Os E-mails Promocionais estão disponíveis para os usuários de negócios (usuários da Stripe) com acesso ao Stripe Checkout. Trata-se de uma ferramenta que permite o envio de conteúdo promocional por e-mail a clientes e clientes potenciais. Nas páginas de checkout de usuários de negócios hospedadas pelo Stripe Checkout, o recurso E-mail Promocional permite que a Stripe colete informações sobre suas preferências em relação ao recebimento de e-mails promocionais do comerciante em questão.

          As preferências de e-mails promocionais são coletadas independentemente de você concluir ou não a compra, ou de ser apenas um cliente final potencial. “Cliente final potencial” significa que você visitou o site de um usuário de negócios e manifestou uma intenção de fazer uma transação ao iniciar uma compra na página de checkout do usuário de negócios, mas não a concluiu durante a sessão. Para ser um “cliente final potencial” no âmbito do recurso de e-mail promocional, também é preciso ter começado a inserir seus dados de contato no formulário de checkout, sem excluí-los antes do encerramento da sessão.

          Se você, como cliente final potencial, indicar permissão para receber novidades e ofertas personalizadas na caixa de seleção do formulário de checkout do usuário de negócios, os seguintes dados pessoais serão disponibilizados ao usuário de negócios, para que ele possa entrar em contato com você para lembrar sobre os itens que você deixou no checkout ou divulgar novidades e ofertas personalizadas:

          • E-mail (caso tenha sido informado por você).
          • IItens no carrinho desse comerciante (se houver).

          O termo “ofertas personalizadas” se refere a materiais promocionais ou de marketing criados sob medida para você, como cupons ou anúncios baseados nos itens do seu carrinho ou, em alguns casos, nas suas compras anteriores com o usuário de negócios. Mesmo que você opte por não receber ofertas personalizadas de um usuário de negócios, se fizer negócios com ele, você poderá receber contatos para viabilizar a compra (por exemplo, para fins de entrega ou faturamento) ou em conexão com o atendimento ao cliente. Consulte a política de privacidade do usuário de negócios para obter mais informações.

          Qual é o papel da Stripe (operador/controlador de dados) no processamento dos meus dados pessoais?

          Em relação ao recurso E-mails Promocionais, a Stripe age como operador de dados ou prestadora de serviços; ou seja, a Stripe atua sob instrução do usuário de negócios que implementou esse recurso disponibilizado pela Stripe. As pessoas jurídicas da Stripe que atuam como operadores de dados para dados pessoais são:

          • Stripe Inc. nos Estados Unidos.
          • Stripe Payments Europe Limited fora dos Estados Unidos, incluindo a Europa.

          Quais dados pessoais a Stripe coleta?

          A Política de Privacidade da Stripe descreve de forma mais detalhada os dados pessoais coletados pela Stripe em conexão com as transações de pagamento.

          Quais dados pessoais são compartilhados pela Stripe com os usuários de negócios que utilizo?

          Sempre que você concluir uma transação no site de um usuário de negócios que usa serviços da Stripe, como provedora de serviços para esse usuário de negócios, a Stripe compartilhará seus dados de contato com ele. Os usuários de negócios usam as informações fornecidas pela Stripe conforme sua própria política de privacidade, inclusive no que diz respeito a sua compra.

          Com o recurso E-mails Promocionais:

          • Se você concluir uma compra com um usuário de negócios, além das informações relacionadas a transações identificadas na nossa Política de Privacidade (como seus dados de contato e faturamento, bem como os detalhes da transação), a Stripe também compartilhará com o usuário de negócios suas preferências de ofertas personalizadas e novidades conforme determinado pela indicação da caixa de seleção do seu formulário de checkout.
          • Se você for um cliente final potencial (você iniciou uma compra com o usuário de negócios no formulário de checkout, mas não a conclui), os dados pessoais que compartilharemos com o usuário de negócios dependem do seguinte:
            • Se você não tiver inserido nenhum dado pessoal no formulário de checkout do usuário de negócios, não compartilharemos nenhum dado pessoal com esse usuário de negócios.
            • Caso tenha inserido dados pessoais no formulário de checkout do seu usuário de negócios:
              • Caso a caixa de seleção para receber novidades e ofertas personalizadas não esteja marcada quando você sair da sessão de checkout do usuário de negócios, não compartilharemos nenhum desses dados pessoais.
              • Caso a caixa de seleção para receber notícias e ofertas personalizadas esteja marcada quando você sair da sessão de checkout do usuário de negócios, compartilharemos as seguintes informações com o usuário de negócios:
                • E-mail (caso tenha sido informado por você).
                • Itens no carrinho desse comerciante (se houver).

          Clientes finais e clientes finais potenciais sempre devem analisar a política ou o aviso de privacidade dos usuários de negócios que visitam e com os quais fazem negócios para obter informações sobre as práticas de coleta de dados do usuário de negócios e as finalidades desse recurso da Stripe.

          A Stripe compartilha meus dados pessoais com outros usuários de negócios?

          Não. A Stripe não compartilha com outros usuários de negócios os dados pessoais coletados relacionados a compras (ou tentativas de compras) no checkout de um usuário de negócios. Consulte nossa Política de Privacidade para saber mais sobre as nossas práticas.

          Como faço para parar de receber e-mails promocionais de um comerciante?

          Todo e-mail promocional ou com ofertas que você vier a receber em decorrência do uso do recurso E-mails Promocionais por um usuário de negócios terá sido enviado pelo próprio usuário de negócios (ou outra parte identificada na mensagem), e não pela Stripe. Acreditamos que você poderá ver valor no recebimento desses e-mails, mas fique à vontade para entrar em contato com o usuário de negócios se discordar. A Stripe exige que os usuários de negócios que optarem por implementar o recurso E-mails Promocionais também disponibilizem a opção de cancelar a assinatura ou de deixar de receber mensagens promocionais. O não cumprimento imediato das solicitações de não recebimento de mensagens promocionais por um usuário de negócios representa uma violação dos termos de serviço da Stripe.

          Como funciona a coleta de dados e a transferência?

          O recurso E-mail Promocional não usa cookies nem rastreia suas atividades em usuários de negócios diferentes. Dados coletados da página de checkout do usuário de negócios são transferidos somente para o usuário de negócios por meio de chamadas de API ou webhooks. Os webhooks são uma forma de a Stripe enviar dados ao usuário de negócios automaticamente mediante solicitação. Seus dados fornecidos no checkout são criptografados em trânsito usando HTTPS e TLS. Consulte Segurança na Stripe para obter mais informações.

          Como faço para interromper a venda dos meus dados pessoais em conexão com esse recurso?

          A Stripe não vende seus dados pessoais. Consulte nossa Política de Privacidade para obter mais informações. O recurso E-mails Promocionais não é destinado à venda de dados pessoais. Pelo contrário, a Stripe atua como operador (ou provedor de serviços) para os usuários de negócios que utilizam o recurso E-mails Promocionais. Entre em contato com os usuários de negócios para saber sobre suas práticas de dados pessoais e como exercer direitos de interromper a venda ou o processamento de dados pessoais sob a legislação aplicável e/ou sua política de privacidade.

          A Stripe exige que os usuários de negócios que optarem por implementar o recurso E-mails Promocionais também disponibilizem a opção de cancelar a assinatura ou deixar de receber mensagens promocionais. O não cumprimento imediato das solicitações de não recebimento de mensagens promocionais por um usuário de negócios representa uma violação dos termos de serviço da Stripe.

          Para usuários de negócios

          Como usar este serviço como usuário de negócios

          Se você for uma empresa que usa ou pretende usar o recurso E-mails Promocionais da Stripe, acesse a página de suporte para obter dicas e orientações para obter dicas e orientações sobre informações para compartilhar com seus clientes e clientes potenciais relativas a considerações de privacidade pertinentes ao recurso de E-mails Promocionais para o seu negócio.

          Autenticação delegada da Stripe

          Titulares do cartão

          Você poderá ter a opção de habilitar a verificação biométrica no dispositivo e fornecer seu consentimento para a Stripe armazenar seus detalhes de método de pagamento para operações futuras que usam o mesmo cartão. Visite nosso site de suporte para saber mais sobre nossas práticas de privacidade para Autenticação delegada da Stripe. Como alternativa, você pode pular para um tópico específico aqui:

          A Stripe oferece a oportunidade de armazenar seus métodos de pagamento com a Stripe para que você possa usá-los de maneira conveniente entre os comerciantes que sejam nossos usuários de negócios. Chamamos isso de “Link”, anteriormente conhecido como “Remember Me” (“Lembre-se de mim”). Quando você opta por usar o Link, você concorda em permitir que armazenemos seu método de pagamento para que você possa fazer compras mais prontamente por meio do Link com usuários de negócios dos nossos serviços comerciais de processamento de pagamentos (p. ex., nome, número do cartão, código de verificação [CVV] e data de vencimento). Também coletaremos outros dados de operação, inclusive endereço de cobrança, endereço de envio, e-mail e número de telefone. Seus dados de método de pagamento são protegidos usando o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (Payment Card Industry - Data Security Standard, PCI-DSS).

          Caso não tenha usado o Link e recebido um SMS por engano devido a um número impreciso inserido no estágio de fluxo de autenticação, você pode optar por sair aqui e seus dados pessoais serão excluídos.

          Stripe Capital

          O que é o Stripe Capital?

          O Stripe Capital oferece aos usuários de negócios financiamento rápido e flexível para que as empresas possam gerenciar fluxos de caixa e investir em crescimento. Dependendo da estrutura corporativa da sua empresa, os usuários de negócios elegíveis podem solicitar um dos dois produtos Stripe Capital: empréstimo ou adiantamento em dinheiro do comerciante (Merchant Cash Advance, “MCA”).

          Quais informações a Stripe processa para o Stripe Capital?

          Usamos os dados existentes vinculados à sua Conta Stripe para avaliar se a sua empresa se qualifica para o Stripe Capital. As seguintes informações poderão ser consideradas antes da oferta de um empréstimo ou MCA para determinar a qualificação, inclusive:

          • Volume de processamento de pagamentos
          • Crescimento do processamento de pagamentos
          • Taxa de estorno
          • Base de clientes
          • Duração da relação com a Stripe

          Quando a Stripe considerar que o usuário empresarial atende certos critérios, ele receberá um e-mail e uma notificação no Dashboard avisando que a empresa está qualificada para um financiamento.

          Depois de receber a oferta de financiamento e fazer o pedido, usaremos as informações acima para verificar a qualificação da empresa com base em processamento automático e, após a aprovação do pedido, para fazer o desembolso do empréstimo ou MCA para você.

          Fundamentação jurídica para o uso das suas informações

          Usaremos seus dados quando esse uso estiver de acordo com nossos interesses comerciais legítimos. A análise automatizada das informações dos nossos usuários de negócios nos ajuda a gerenciar nossos negócios para nossos interesses legítimos. Isso nos permite:

          • Verificar a identidade dos nossos usuários de negócios para cumprir as obrigações de monitoramento, prevenção e detecção de fraudes, leis aplicáveis associadas à identificação e comunicação de atividades ilegais e ilícitas, como obrigações antilavagem de dinheiro (Anti-Money Laundering, AML) e conheça seu cliente (Know Your Customer, KYC), e obrigações de relatórios financeiros.
          • Avaliar o nível de risco financeiro para nós e para os usuários de negócios envolvidos na oferta aos usuários de negócios de um empréstimo ou MCA.
          • Aprimorar nossos modelos de aprendizagem para nos permitir personalizar melhor nossos empréstimos ou MCAs para reduzir o risco para você e outros usuários de negócios.

          Também processaremos seus dados quando for necessário para um contrato de empréstimo que você tenha celebrado ou porque você enviou uma solicitação para receber financiamento e, portanto, celebrar um contrato de empréstimo conosco.

          Poderemos lhe enviar comunicações de marketing por e-mail sobre ofertas do Stripe Capital, desde que o façamos de acordo com a legislação aplicável, inclusive qualquer exigência de consentimento.

          Com quem a Stripe compartilha as informações?

          A Stripe não compartilha nenhum dado pessoal coletado para o Stripe Capital relacionado a usuários de negócios no Reino Unido. No futuro, a Stripe poderá compartilhar os dados do seu contrato de empréstimo com terceiros que comprarem o direito de receber reembolsos do seu empréstimo ou MCA.

          Qual é a função da Stripe?

          A Stripe, Inc., ou qualquer subsidiária integral da Stripe, é a controladora dos seus dados.

          As controladoras conjuntas dos dados de usuários empresariais do Reino Unido são a Stripe Payments Europe, Limited. (“SPEL”) e a Stripe Capital Europe Limited, Ltd. (“SCEL”). O empréstimo ou MCA fornecido nos termos do contrato de empréstimo vem da SCEL.

          Como faço para exercer meus direitos?

          Dependendo da sua localização e sujeito à legislação aplicável, você pode ter o direito de se opor ao uso, pela Stripe, de processamento automatizado de decisões. Se você deseja exercer qualquer direito nos termos das leis de privacidade aplicáveis para dados relacionados ao Stripe Capital, entre em contate-nos.

          Contas Financeiras Vinculadas

          Se você for um cliente que recebeu uma solicitação para vincular sua conta financeira usando a Stripe, acesse a página de suporte aqui para saber mais sobre nossas práticas de privacidade. Você também pode consultar assuntos específicos usando os links abaixo:

          Há casos em que a Stripe recebe o histórico de operações que não sejam da Stripe?

          Sim. Por exemplo, a Stripe permite que o usuário de negócios importe dados que não sejam da Stripe por meio do painel da Stripe para consolidar seus respectivos dados de receita em um único local. Saiba mais. Separadamente, a Stripe também poderá obter as operações de conta da sua conta financeira, com o seu consentimento. Saiba mais.

          Reembolsos para a conta bancária do cliente fina

          Clientes finais

          Se você recebeu uma solicitação para informar sua conta bancária e outros dados para processar um reembolso em nome do seu comerciante (ou seja, o nosso usuário empresarial), acesse esta página para saber mais sobre as nossas práticas de privacidade para reembolsos em contas bancárias de clientes finais.

          Usuário empresarial que usa a Stripe para processar reembolsos

          Se você é um usuário empresarial que usa ou pretende usar a Stripe para processar reembolsos, acesse esta página para obter orientações sobre as considerações que sua empresa deve ter sobre privacidade.

          Stripe Frontier

          O que é Stripe Frontier?

          Frontier é um compromisso antecipado de mercado (AMC, na sigla em inglês) cujo objetivo é acelerar o desenvolvimento de tecnologias de remoção de carbono com a garantia de demanda futura. Essa abordagem facilita a aquisição de cotas de remoção de carbono junto a empresas de alto potencial em nome dos compradores. Saiba mais em https://frontierclimate.com/.

          Quais informações o Stripe Frontier coleta?

          Coletaremos todas as informações que você optar nos informar por meio de tickets de suporte, e-mails ou mídias sociais. Quando você responde a e-mails ou pesquisas da Stripe, coletamos seu endereço de e-mail, nome e qualquer outra informação que você optar por incluir no texto do seu e-mail ou nas suas respostas. Caso entre em contato conosco por telefone, coletaremos o número do telefone usado para fazer a ligação, bem como outras informações que possam ser fornecidas durante a chamada. Também coletaremos seus dados de engajamento, como cadastro, participação ou visualização de eventos da Stripe e outras interações com nossos funcionários. Consulte a política de privacidade para obter mais informações.

          Contamos com o consentimento para processar seus dados. Quando você entra em contato com a Stripe e fornece seus dados espontaneamente, eles são processados com base nos interesses comerciais legítimos da Stripe (por exemplo, ajudar a responder a perguntas e fornecer atendimento ao cliente). Com sua permissão ou quando permitido por lei, usamos seus dados pessoais para comercializar nossos serviços, enviar convites para nossos eventos e pesquisas ou outras comunicações de marketing, sempre dentro dos termos da lei vigente, incluindo os consentimentos e recusas obrigatórios.

          Os dados relativos ao Stripe Frontier são transferidos?

          Somos uma empresa global. Dados Pessoais podem ser armazenados e processados em qualquer país onde conduzimos negócios. Podemos transferir seus Dados Pessoais para outros países além do seu próprio, inclusive para os Estados Unidos. Esses países podem ter normas de proteção de dados diferentes das que vigoram no seu país. Ao transferir dados entre fronteiras, tomamos medidas para cumprir as leis de proteção de dados aplicáveis relacionadas a essa transferência. Em determinadas situações, podemos ser obrigados a divulgar Dados Pessoais em resposta a solicitações legais de Autoridades (como autoridades policiais ou de segurança). Consulte a política de privacidade para obter mais informações.

          Quais são meus direitos e escolhas em relação às informações coletadas pelo Stripe Frontier?

          Você pode ter opções sobre a coleta, o uso e a divulgação que fazemos em relação aos seus Dados Pessoais. Caso não queira mais receber nossos e-mails de marketing, cancele a assinatura pelo link pertinente incluso em cada um desses e-mails, ou conforme descrito aqui. Tentaremos cumprir suas solicitações assim que possível. Dependendo da sua localização e das leis vigentes, você pode ter os seguintes direitos, descritos aqui, em relação aos Dados Pessoais que controlamos sobre você.

          Como posso exercer meus direitos quanto ao Stripe Frontier?

          EEE e Reino Unido . Para exercer seus direitos, você pode entrar em contato com nosso Encarregado de Proteção de Dados (DPO). Os residentes no EEE ou aqueles para os quais a Stripe Payments Europe Limited for identificada como controlador de dados, e cujas informações sejam tratadas sob o Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês), podem encaminhar dúvidas ou reclamações à Irish Data Protection Commission. Os residentes no Reino Unido podem encaminhar dúvidas ou reclamações ao Information Commissioner’s Office.

          Califórnia . Os residentes da Califórnia devem consultar a seção da Lei de Privacidade de Consumidores da Califórnia (“CCPA”) da nossa Política de Privacidade.

          Consulte a política de privacidade para ver outras disposições para jurisdições específicas.

          Dúvidas sobre o Stripe Frontier e o processamento de dados? Se tiver dúvidas ou reclamações, fale conosco.

          Encarregado de Proteção de Dados (DPO)

          A Stripe tem um Encarregado de Proteção de Dados (DPO)?

          Sim, a Stripe tem um DPO disponível, que pode ser contatado pelo e-mail.

          Transferências internacionais de dados

          Os detalhes abaixo são fornecidos para fins informativos. Não se destina a fornecer aconselhamento jurídico. O Stripe recomenda aos usuários de negócios que consultem um advogado para se familiarizarem com os requisitos que regem suas situações específicas.

          Como a Stripe está tratando as transferências internacionais de dados?

          Em 4 de junho de 2021, a Comissão Europeia adotou um novo conjunto de Cláusulas Contratuais Padrão (“SCCs”) para transferências internacionais de dados. As SCCs são um mecanismo de transferência (na forma de um contrato jurídico) usado pela Stripe para oferecer um método legal de transferência de dados pessoais da UE para fora do EEE/Reino Unido. Elas são obrigatórias nos termos da lei de proteção de dados da UE (conhecida como GDPR) e incorporadas aos nossos contratos.

          Essas SCCs modernizadas abrangem transferências de dados entre controladores ou processadores na UE/EEE (ou sujeitos à GDPR de outra forma) e controladores ou processadores estabelecidos fora dessa área (e não sujeitos à GDPR). Elas substituem os três conjuntos de SCCs adotados previamente nos termos da Diretiva de Proteção de Dados 95/46.

          A Stripe continua aplicando salvaguardas e medidas de conformidade adequadas para garantir o nível de proteção adequado para dados pessoais transferidos para fora do Reino Unido, EEE e Suíça. As providências da Stripe incluem as SCCs Padrão atualizadas do Comitê da UE para a administração de transferências internacionais de dados.

          A Stripe respeita a privacidade de todos os que acessam nossos produtos e serviços e tem o compromisso de manter a transparência em nossos processos e políticas de privacidade.

          Para saber mais sobre nosso compromisso com privacidade e segurança de dados, consulte nossa Política de Privacidade, o Centro de Privacidade Stripe e o Centro de Segurança da Stripe.

          Também queremos destacar algumas medidas suplementares que tomamos para proteger os dados de nossos usuários de negócios contra acessos não autorizados.

          A Stripe usa controles de segurança e mantém e aplica um programa de segurança que aborda a gestão de segurança. Também fazemos análises de risco e implementamos e mantemos controles para identificação, análise, monitoramento, geração de relatórios e ações corretivas contra riscos. A Stripe mantém e aplica um programa de gestão de ativos com classificação e controle adequados para todo o ciclo de vida de ativos de hardware e software. Além disso, os funcionários, agentes e prestadores de serviços da Stripe reconhecem suas responsabilidades pela segurança de dados e privacidade nos termos das políticas da Stripe.

          A Stripe aplica medidas técnicas e organizacionais, dentre as quais estão:

          • Controle físico de acesso para evitar que pessoas não autorizadas acessem os sistemas de tratamento de dados nas instalações (inclusive bancos de dados, servidores de aplicativos e hardwares afins) onde os Dados Pessoais são tratados.
          • Controle virtual de acesso para evitar que os sistemas de tratamento de dados sejam usados por pessoas não autorizadas.
          • Controle de acesso aos dados para garantir que as pessoas com direito de usar um sistema de tratamento de dados tenham acesso somente aos Dados Pessoais indicados pelos seus direitos de acesso, e que os Dados Pessoais não possam ser lidos, copiados, modificados ou excluídos sem a devida autorização.
          • Controle de divulgação para garantir que Dados Pessoais não possam ser lidos, copiados, modificados nem excluídos sem autorização durante a transmissão eletrônica, transporte ou armazenamento em mídias de armazenamento (manuais ou eletrônicas), e que seja possível verificar quais empresas ou pessoas jurídicas têm acesso aos Dados Pessoais.
          • Controle de entrada para auditar se algum dado foi inserido, alterado ou removido (excluído) e por quem, nos sistemas de tratamento de dados.
          • Controle de disponibilidade para garantir que os Dados Pessoais estejam protegidos contra destruição ou perda acidental (física ou lógica).
          • Controle de separação para garantir que os Dados Pessoais coletados para fins distintos sejam tratados separadamente.

          Por padrão, a Stripe criptografa dados em repouso e dados em trânsito. Também protegemos nossos dados com ferramentas como logs de auditoria, políticas de gestão de acesso e certificações, conforme os termos de nossa página Pagamentos, na seção “Segurança e conformidade no centro”. Alguns dos controles de segurança implementados na Stripe: configuração de terminais TLS 1.2 para dados em trânsito, criptografia TLS e/ou SSL para HTTPS e testes periódicos de infraestrutura e componentes. A autenticação em duas etapas está disponível, dando mais um nível de segurança para o login no Dashboard.

          Não aplicamos mais o Privacy Shield como mecanismo para as transferências de dados, já que o Privacy Shield UE-EUA e o Privacy Shield Suíça-EUA não são mais válidos após a decisão Schrems II do Tribunal de Justiça da UE de 16 de julho de 2020. Continuamos, contudo, comprometidos com os princípios do Privacy Shield Framework, porque ele ainda pode oferecer proteção à privacidade dos usuários de negócios.

          Recebemos solicitações de acesso a dados para fins de aplicação da lei e analisamos cuidadosamente cada solicitação para fornecer o mínimo de informações necessárias para cumprir solicitações jurídicas legítimas. Comprometemo-nos a garantir que os dados de nossos usuários de negócios possam continuar sendo transferidos livremente entre a UE e os EUA, e continuamos criando parcerias com reguladores, grupos setoriais e empresas do mesmo ramo a fim de garantir que as necessidades de nossos usuários de negócios sejam atendidas.

          Se tiver dúvidas, fale conosco.

          Como as novas Cláusulas Contratuais Padrão da Comissão Europeia afetam minha organização?

          As Cláusulas Contratuais Padrão são contratos firmados pelas partes que transferem dados pessoais do Espaço Econômico Europeu (EEE) para fora dele. No momento, a Stripe recorre às Cláusulas Contratuais Padrão existentes para transferências de dados do EEE em seus serviços. Atualizamos nossos contratos para implementar as novas Cláusulas Contratuais Padrão. Os usuários podem acordar as novas Cláusulas Contratuais Padrão com a Stripe, se assim desejarem. Entre em contato conosco ou com o gerente de sua conta para saber mais.

          Como obter uma cópia das SCCs?

          Podemos fornecer mais informações sobre as proteções apropriadas ou adequadas que temos em vigor, como uma cópia das SCCs, mediante solicitação.

          Se você for usuário de negócios, oferecemos as SCCs modernizadas publicadas em 2021 (“SCCs de 2021”) para transferências internacionais para fora do EEE e da Suíça. As versões mais antigas das SCCs continuarão a se aplicar às transferências de dados pessoais do Reino Unido. Continuaremos a monitorar as exigências regulatórias e a orientação do Escritório do Comissário de Informação do Reino Unido. Se você assinou uma versão mais antiga das SCCs, essa versão permanecerá válida até 27 de dezembro de 2022. Caso queira assinar as SCCs de 2021, entre em contato conosco a qualquer momento.

          Fale conosco ou com seu gerente de conta para obter mais informações.

          Seus direitos e opções

          Como faço para exercer meus direitos de proteção de dados?

          Dependendo da sua localização e sujeito à legislação aplicável, você poderá ter os seguintes direitos:

          • Direito de acesso
          • Direito de retificação
          • Direito à portabilidade de dados
          • Direito de restringir o processamento
          • Direito de se opor ao processamento
          • Direito de retirar o consentimento (quando for a fundamentação para o uso)
          • Direito de apagar/excluir
          • Direito de recusar nossas comunicações eletrônicas
          • Direito à não discriminação por exercer seus direitos previstos na CCPA
          • Direito de se opor à venda (conforme definido pela CCPA)

          Leia esta seção para saber mais sobre direitos específicos. Para enviar uma solicitação para exercer qualquer um dos direitos descritos acima, entre em contato conosco por e-mail, por meio de um formulário da web ou pelos endereços físicos listados em Fale conosco.

          Você tem o direito de reclamar com sua autoridade local de proteção de dados se não estiver satisfeito com nossas práticas de privacidade.

          Como acesso meus dados?

          Se você for usuário de negócios ou representante, poderá fazer login no painel da Stripe para visualizar informações pessoais compartilhadas com a Stripe.

          Se você for o cliente final de um usuário de negócios que usa os serviços da Stripe, o usuário de negócios seria a parte correta para responder a uma solicitação de acesso do titular dos dados relacionada às suas informações operacionais.

          Dependendo da sua localização e sujeito à legislação aplicável, você poderá ter o direito de solicitar a confirmação de que a Stripe processa dados pessoais relacionados a você e, em caso afirmativo, solicitar uma cópia desses dados pessoais. Se você for usuário final ou tiver uma relação direta conosco, poderá enviar sua solicitação de acesso por e-mail ou por meio do nosso formulário. Lembre-se de que talvez seja necessário verificar sua identidade e sua relação conosco antes de prosseguirmos com sua solicitação.

          Como cancelo o recebimento de e-mails de marketing?

          Se você for usuário de negócios ou visitante, poderá cancelar a assinatura dos e-mails de marketing da Stripe aqui. Caso tenha alguma dúvida sobre como optar por não receber as comunicações de marketing da Stripe, entre em contato conosco aqui.

          Posso desativar o rastreamento e os sinais avançados de fraude?

          Seu navegador da internet poderá permitir que você gerencie suas preferências de cookies, inclusive excluir ou desabilitar os cookies da Stripe. Caso opte por desativar os cookies, lembre-se de que alguns recursos do nosso site ou serviços podem não funcionar conforme pretendido. A desativação de cookies não desativará a coleta de sinais avançados de fraude, que usamos para evitar fraudes na Stripe. A coleta desses dados é controlada pelo usuário de negócios integrado à Stripe. Se o usuário de negócios quiser desativar esta coleta de dados, pode encontrar instruções para fazê-lo por meio da documentação da Stripe. Consulte a seção de ajuda do seu navegador da internet ou siga os links abaixo para entender suas opções para desabilitar cookies.

          Saiba mais sobre como uma empresa pode desativar a coleta de sinais avançados de fraude em nossa documentação sobre desabilitar a detecção avançada de fraudes.

          Como faço para excluir minha conta?

          Você pode encerrar sua conta da Stripe na página de Configurações do Dashboard. Leia mais sobre isso em nossa página de suporte: Fechar uma conta Stripe.

          Observe que excluiremos alguns, mas não todos os dados que controlamos, pelos motivos abaixo.

          Como fornecedora de serviços de pagamentos, a Stripe precisa cumprir diversos regulamentos, incluindo leis antiterrorismo e de prevenção à lavagem de dinheiro. Esses regulamentos e leis exigem que a Stripe retenha registros de transações associados a usuários de negócios da Stripe por um período determinado após a finalização do relacionamento com o cliente. Saiba mais sobre essas obrigações na nossa Política de Privacidade.

          Como faço para excluir minha conta Connect Custom?

          Se você for Usuário com conta Connect Custom, sua conta é administrada por um Usuário de Plataforma/usuário de negócios da Stripe. Esse é o responsável por gerenciar pagamentos e responder à sua consulta, de forma que recomendamos entrar em contato com a Plataforma para pedir ajuda.

          Como faço para excluir minha conta Connect Express?

          Se você tiver uma conta Connect Express, sua conta é administrada por um Usuário de Plataforma/usuário de negócios da Stripe. Esse é o responsável por gerenciar pagamentos e responder à sua consulta, de forma que recomendamos entrar em contato com a Plataforma para pedir ajuda.

          Por quanto tempo a Stripe manterá meus dados?

          A Stripe mantém os dados pessoais pelo tempo que for justificadamente necessário para a Stripe, para os fins listados aqui.

          Ao determinar os períodos de preservação relevantes, consideraremos vários critérios, como sua localização, a natureza da nossa relação com você, os tipos de produtos ou serviços oferecidos ou fornecidos a você, a natureza e a confidencialidade dos seus dados pessoais, os períodos de preservação obrigatórios previstos por lei ou prescrição e qualquer motivo legítimo para continuar a preservar os dados pessoais (como defender nossos direitos em tribunal, cumprir nossos contratos, detecção de fraude ou cumprimento de solicitações de processo judicial válidas de tribunais ou autoridades competentes).

          Para a maioria das jurisdições, a Stripe, de modo geral, manterá dados pessoais relacionados a usuários de negócios pelo período de cinco anos, ou período superior, a partir do final da relação comercial com você ou da data da última operação, o que ocorrer por último.

          Métricas de direitos de privacidade da Califórnia

          O disposto a seguir inclui métricas agregadas de solicitações de direitos de titulares de dados recebidas entre 1º de janeiro e 31 dezembro de 2021. Esses dados refletem solicitações recebidas de indivíduos na Califórnia e também podem incluir solicitações de indivíduos que não residem na Califórnia.

          • Número de “solicitações de conhecimento” recebidas, cumpridas no todo ou em parte, ou recusadas: 14
          • Número de “solicitações de exclusão” recebidas, cumpridas no todo ou em parte, ou recusadas: 13.612
          • Número médio de dias para responder a uma solicitação de conhecimento ou exclusão: 1 dia

          Há situações nas quais a Stripe pode recusar uma “solicitação de conhecimento”, como quando o titular dos dados não responde com as informações que permitiriam à Stripe autenticar corretamente sua identidade e localizar os dados.

          Mesmo se recebermos uma “solicitação de exclusão”, a Stripe poderá reter dados pessoais quando for permitido por lei, inclusive para cumprir nossas obrigações legais. Por exemplo, como prestadora de serviços de pagamentos, a Stripe precisa cumprir diversas legislações, como leis antiterrorismo e antilavagem de dinheiro. Essas leis exigem que a Stripe retenha algumas informações de usuários da Stripe por um certo período após o encerramento da conta. Saiba mais sobre nossas obrigações de retenção na Política de Privacidade.

          Devido à natureza dos produtos e serviços da Stripe, quando recebemos uma “solicitação para excluir”, o nosso processo é direcionar o solicitante para uma página para realizar ações pertinentes à solicitação, dependendo do relacionamento que ele tiver com a Stripe. Também oferecemos aos titulares dos dados a oportunidade de entrar em contato conosco, caso tenham alguma dúvida ou preocupação.

          Solicitação para ser retirado de vendas

          A Stripe não “vende” dados pessoais, conforme estabelecido pela Lei de Privacidade do Consumidor da Califórnia (CCPA). Saiba mais.

          Qual é a Política de Privacidade dos Stripe Media Services?

          A Política de Privacidade dos Stripe Media Services (Política de Privacidade de Mídia) descreve como a Stripe coleta e processa dados pessoais para fornecer os Stripe Media Services, incluindo Stripe Press, Increment, Indie Hackers e Works in Progress. Recomendamos que você leia a nossa Política de Privacidade de Mídia para saber mais.

          Cookies e outras tecnologias

          Como a Stripe usa cookies?

          Usamos cookies para (1) garantir o funcionamento correto de nossos serviços, (2) prevenir e detectar fraudes e violações de nossos termos de serviço, (3) compreender como os visitantes usam e interagem com nosso site e (4) analisar e melhorar nossos serviços. Dependendo do seu relacionamento com a Stripe e o domínio que você está visitando, diferentes cookies são aplicáveis. Por exemplo, alguns cookies são definidos em um domínio público da Stripe ou do Link, alguns no Stripe Dashboard ou em uma página de configurações do Link, e outros na página de pagamentos disponível para os clientes finais que fazem pagamentos usando os serviços da Stripe, incluindo o Link.

          Os cookies desempenham um papel importante na prestação de Serviços eficazes e seguros. Observe que alteramos periodicamente nossos cookies, conforme melhoramos nossos serviços ou criamos serviços novos. Para saber mais, consulte nossa Política de Cookies.

          O que é Stripe.js?

          O Stripe.js (e seus SDKs equivalentes para iOS e Android) é uma biblioteca JavaScript usada pelas empresas para integrar a Stripe e aceitar pagamentos online. Depois de adicionar Stripe.js a um site ou aplicativo para celular, os sinais de fraude são usados para distinguir comportamentos legítimos de fraudes.

          Por exemplo, fraudadores e robôs geralmente não passam muito tempo em páginas diferentes. Podemos detectar esse comportamento para sinalizar possíveis fraudes.

          Quando você acessa um site que usa a Stripe, essa prevenção pode aparecer em um relatório de privacidade ou lista de rastreamento do seu navegador.

          Você pode ver a Stripe em uma lista de rastreamento, mas não criamos um perfil de rastreamento individual para você. A Stripe não compartilha nem vende esses dados para anunciantes e não o fará no futuro. Os dados são compartilhados de maneira segura entre os seguintes hosts controlados pela Stripe:

          • js.stripe.com
          • m.stripe.network
          • m.stripe.com
          • q.stripe.com

          Os dados coletados por esses endpoints são protegidos e não saem da infraestrutura da Stripe. O acesso a esses dados é estritamente controlado e restrito a alguns poucos funcionários da Stripe que trabalham com prevenção de fraudes e segurança (com permissões revisadas regularmente). Leia mais sobre isso na Política de Privacidade.

          As informações dentro da biblioteca Stripe.js também podem usar cookies e tecnologia similar para que o Link se lembre de dados dos usuários do Link para fazer compras mais rapidamente nos sites de comerciantes da Stripe.

          O que são sinais avançados de fraude?

          A detecção avançada de fraudes da Stripe analisa sinais do dispositivo e indicadores das atividades do usuário que ajudam a diferenciar transações legítimas de fraudulentas. Esses sinais são indicações de fraude e regem os sistemas de prevenção de fraudes da Stripe, como o Radar. Os sinais são transmitidos em segurança para o sistema de back-end da Stripe através de solicitações periódicas ao endpoint m.stripe.com.

          Saiba mais em nossa documentação sobre detecção avançada de fraudes.

          Por que os sinais avançados de fraude não são rastreamento de anúncios?

          A Stripe só usa esses sinais avançados para detecção de fraudes para garantir a segurança dos pagamentos e evitar fraudes. Não usamos esses dados para criar perfis individuais nem compartilhamos ou vendemos esses dados para anunciantes externos.

          Saiba mais sobre como usamos esses dados na Política de Privacidade.

          Como a Stripe registra os dados de forma de pagamento para o Link?

          O Link (que antes se chamava “Remember Me”) permite que os usuários finais salvem e reutilizem os dados de pagamento para fazer checkout mais rápido em milhares de empresas online que usam a Stripe. Ao fazer uma compra em um usuário empresarial (ex., comerciante) com o Link habilitado, o cliente final pode pedir para a Stripe lembrar os dados da forma de pagamento, como informações de cartão de crédito e débito. Se alguém pedir para ser lembrado, a Stripe lembrará o endereço de e-mail do cliente final, o número de telefone, o endereço de entrega e os dados da forma de pagamento para futuras transações no Link.

          Os detalhes da forma de pagamento para transações futuras podem ser lembrados entre vários usuários do Stripe Business. Normalmente, assim que o cookie estiver definido, o cliente final poderá fazer compras com “1 clique” usando o Link no checkout, o que significa que a Stripe preencherá automaticamente os dados salvos do cliente final no checkout em seu nome e usará os dados para concluir a transação com mais rapidez.

          Se o cliente final inserir o número de telefone ou o endereço de e-mail durante uma transação futura do Link, a Stripe autenticará o cliente final enviando a ele um código de uso único (OTP), por mensagem de SMS ou e-mail, por exemplo. Se o cliente final inserir corretamente o OTP, a Stripe ou o usuário empresarial definirão um cookie no navegador do cliente final, indicando que o cliente final foi autenticado. Se o cliente final não inserir o OTP ou optar por “fazer logout” da sessão do Link, então o cookie não se lembrará do cliente final.

          Um cookie só é armazenado em um navegador específico em um dispositivo específico. Se um cliente final desejar fazer compras com 1 clique em outro navegador ou dispositivo, será preciso repetir o processo de autenticação com OTP para a nova combinação de navegador e dispositivo.

          Após 90 dias, será necessário para o cliente final realizar novamente o processo com OTP. O cliente final também poderá remover o cookie ao limpar os cookies no navegador ou selecionar “sair” (log out) quando esta opção estiver visível no checkout.

          Quando não desejar mais que a Stripe se lembre dos detalhes da forma de pagamento ao fazer checkout no futuro, o cliente final poderá usar a ferramenta de exclusão. Alternativamente, o cliente final também poderá entrar em contato com o suporte da Stripe para fazer essa solicitação.

          A descrição acima mostra como um cliente final pode controlar a forma como seus dados são armazenados e usados para fazer checkout. No entanto, isso não afeta os demais contextos nos quais a Stripe pode armazenar e usar os dados dos clientes finais. Especificamente, a Stripe pode armazenar e usar esses dados conforme descrito em outras partes desta Central de Privacidade, incluindo para fins como detecção avançada de fraudes.

          Com base na sua escolha de integração (p. ex., para o Link em Elements), você pode ter responsabilidades jurídicas associadas a cookies e tecnologia similar que a Stripe usa para lembrar os dados de usuários finais com o consentimento deles e/ou para fins de detecção de fraude e/ou autenticação.

          Consulte sempre seu assessor jurídico para entender como você deve cumprir as obrigações legais aplicáveis em relação à configuração de cookies e tecnologia similar. Esta seção tem alguns lembretes.

          Os cookies ou tecnologia similar da Stripe são definidos no seu domínio (p. ex., no seu fluxo de checkout) ou por armazenamento em navegador da biblioteca Stripe.js. Os cookies atuais da Stripe da biblioteca Stripe.js incluem cookies de prevenção contra fraude como __stripe_mid, __stripe_sid e m, além de cookies de autenticação como pay_sid e link.auth_session_client_secret.

          Verifique regularmente se os cookies da Stripe estão presentes no seu site para assegurar que seus avisos de privacidade informem os usuários finais sobre esse tipo de coleta de dados e também atualize seu banner de cookies após verificar os cookies presentes no seu site. Aqui está um parágrafo que você pode adicionar aos seus avisos de privacidade se eles já não incluírem o aviso:

          Nós usamos a Stripe para pagamentos, análises e outros serviços comerciais. A Stripe coleta dados de identificação sobre os dispositivos que se conectam a seus serviços, incluindo o uso de cookies. A Stripe usa essas informações para operar e melhorar os serviços que nos fornece, incluindo para detecção de fraudes e autenticação. Saiba mais sobre a Stripe e leia a política de privacidade em https://stripe.com/privacy.

          A Stripe usa reCAPTCHA para proteger seu site contra fraudes e abuso?

          Sim, alguns sites da Stripe podem implementar o Google reCAPTCHA Enterprise para ajudar a evitar fraude e abuso. Os dados coletados pelo Google são usados para fornecer e melhorar o reCAPTCHA Enterprise e para fins de segurança gerais. O uso do reCAPTCHA Enterprise está sujeito à Política de Privacidade e aos Termos de Uso do Google.

          Fale conosco

          Entre em contato com nossa equipe de privacidade

          Se tiver alguma dúvida pendente sobre privacidade após analisar a política de privacidade, não hesite em entrar em contato conosco por e-mail ou através do nosso formulário.

          Correspondências físicas devem ser enviadas para:

          Stripe, Inc.
          354 Oyster Point Boulevard
          South San Francisco, California, 94080, EUA
          Attention: Stripe Legal

          Stripe Payments Europe Limited
          1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Ireland
          Attention: Stripe Legal

          Como posso saber mais sobre as práticas de segurança da Stripe?

          Visite nossa página de segurança para saber mais sobre as práticas de segurança do Stripe. Você deve entrar em contato conosco por e-mail imediatamente se tomar conhecimento de qualquer uso não autorizado ou qualquer outra violação de segurança em relação aos serviços da Stripe.

          On this page