Stripe Privacy Center

Last updated: July 21, 2021

Welcome to the Stripe Privacy Center

Stripe respects the privacy of everyone that engages with our platform, and we are committed to being transparent about our privacy processes and policies. We are a platform that enables millions of businesses, and in order to provide our services to our users, we collect and process personal data.

The Stripe Privacy Center contains the answers to frequently asked questions about how we collect and use personal data, the rights that individuals have in relation to personal data held by Stripe, and how Stripe complies with international data protection laws.

All materials have been prepared for general information purposes only. The information presented is not legal advice, is not to be acted on as such, may not be current and is subject to change without notice.

We’ve updated our Privacy Policy as of April 28, 2021

We’ve updated our Privacy Policy because we strive to be clear about our use of Personal Data.

We made the following types of changes:

  • We included a new introduction that provides you more information about Stripe.
  • We updated the policy to remove services that we no longer offer (e.g. Stripe Shop), to remove references to product brands we no longer use (e.g. Remember Me is now Link with Stripe) and to add more clarity around the descriptions of our services.
  • We added more clarity throughout (and tried to curb the legalese) and added more references to our Privacy Center so you can access more information about our privacy practices. To improve clarity we are providing updated information about the Stripe entities that are responsible for Personal Data under the Privacy Policy.
  • We updated the language around the Privacy Shield for data transfers between EEA and the US and instead refer you to the Privacy Center to learn more about our cross border data transfers.
  • We provided more information about privacy rights that exist in some countries where Stripe offers Services.
  • We have moved the details for our contact information into the Privacy Center.

These are just a few highlights of the changes we made, so please review the updated Privacy Policy carefully. If you have questions, please check out the rest of our Privacy Center and/or contact us.

How We Collect, Disclose, and Use Personal Data
Data Processing Agreement
Information about Stripe Products
Data Protection Officer
International Data Transfers
Your Rights and Choices
Cookies & Other Technology
Contact Us

How We Collect, Disclose, and Use Personal Data

Is Stripe acting as a data controller or a data processor?

The answer is both.

The “data controller” is the entity which determines the purposes and means of the data processing taking place. The “data processor” is an entity acting on behalf and under the instructions of a controller in processing personal data.

Stripe is a data controller when it determines the purposes and means of the processing taking place. These data processing activities include (1) providing the Stripe products and services, (2) monitoring, preventing and detecting fraudulent payment transactions and other fraudulent activity on the Stripe platform, (3) complying with legal or regulatory obligations applicable to the financial sector to which Stripe is subject, and (4) analyzing, developing and improving Stripe’s products and services. Please see this Privacy Center article for more information on Stripe’s controller activities.

Stripe is a data processor where it is facilitating payment transactions on behalf of and at the direction of a Stripe User. Our Users direct us to take payment from cardholders - Stripe is considered a processor when directed to process payments, i.e., Stripe receives instructions about whom to pay, how much to pay, when to pay.

As a platform provider, we need to ensure consistency across our platform, and that includes consistency with respect to the commitments that we give about how we operate our platform. We contract with all of our Users (including some of the world’s largest companies) on this basis.

We rely upon a number of legal grounds to enable our use of your Personal Data. In short, we use Personal Data to facilitate the business relationships we have with our Users, to comply with our financial regulatory and other legal obligations, and to pursue our legitimate business interests. We also use Personal Data to complete transactions and to provide payment-related services to our Users.

Here’s a more detailed overview of why and how we use your Personal Data.

Contractual and pre-contractual business relationships

We use Personal Data for the purpose of entering into business relationships with prospective Stripe Users, and to perform the contractual obligations under the contracts that we have with Stripe Users. Activities include:

  • Creation and management of Stripe accounts and Stripe account credentials, including the evaluation of applications to commence or expand the use of our Services;
  • Creation and management of Stripe Checkout accounts;
  • Accounting, auditing, and billing activities; and
  • Processing of payments, including fraud detection and prevention, optimizing valid transactions, communications regarding such payments, and related customer service.

We use Personal Data to verify the identity of our Users in order to comply with fraud monitoring, prevention and detection obligations, laws associated with the identification and reporting of illegal and illicit activity, such as AML (Anti-Money Laundering) and KYC (Know-Your-Customer) obligations, and financial reporting obligations.

Legitimate business interests

Where allowed under applicable law, we rely on our legitimate business interests to process Personal Data about you. For example, we:

  • Detect, monitor and prevent fraud and unauthorized payment transactions;
  • Mitigate financial loss, claims, liabilities or other harm to Customers, Users and Stripe;
  • Determine eligibility for and offer new Stripe products and services;
  • Respond to inquiries, send Service notices and provide customer support;
  • Promote, analyze, modify and improve our Services, systems, and tools, and develop new products and services, including reliability of the Services;
  • Manage, operate and improve the performance of our Sites and Services by understanding their effectiveness and optimizing our digital assets;
  • Analyze and advertise our Services;
  • Conduct aggregate analysis and develop business intelligence that enable us to operate, protect, make informed decisions, and report on the performance of, our business;
  • Share Personal Data with third party service providers that provide services on our behalf and business partners which help us operate and improve our business;
  • Enable network and information security throughout Stripe and our Services; and
  • Share Personal Data among our affiliates for administrative purposes.

We use Personal Data of Customers to provide our Services to Users, including to process online payment transactions and authenticate Customers on behalf of our Users.

We may send you email marketing communications about Stripe products and services, invite you to participate in our events or surveys, or otherwise communicate with you for marketing purposes, provided that we do so in accordance with applicable law, including any consent requirements.

Advertising

When you visit our Sites, we (and our service providers) may use Personal Data collected from you and your device to target advertisements for Stripe Services to you on our Sites and other sites you visit (interest-based advertising), where allowed by applicable law, including any consent requirements. We do not use, share, rent or sell the Personal Data of our Users’ Customers for interest-based advertising. We do not sell or rent the Personal Data of our Users, their Customers or our Site Visitors.

What are your data controller activities?

  • Providing the Stripe products and services to Stripe users, including determining the third parties (banks and payment method providers) to be utilized;
  • Monitoring, preventing and detecting fraudulent payment transactions and other fraudulent activity on the Stripe platform;
  • Complying with legal or regulatory obligations applicable to the financial sector to which Stripe is subject, including applicable anti-money laundering screening and compliance with know-your-customer obligations; and
  • Analyzing, developing and improving Stripe’s products and services.

As a Stripe User and as a data controller, what does GDPR mean for me?

Take a look at our GDPR Guide.

In addition, as data controller, you are responsible for the relationship with the data subject (i.e., your end customer). You may instruct a third party (like Stripe) to process the data but it is your job to set the purpose (or objectives) and legal basis for the processing.

All third parties have to abide by the terms agreed by the data controller and the data subject. To be sure of this, the data controller must have Data Processing Agreements (i.e., DPAs) with each one. Our DPA has been designed to serve this purpose for you; it is strongly aligned with payment transactions, so it should establish that you are compliant with GDPR from a payments perspective.

Who are Stripe’s sub-processors and how are they vetted?

Please see our service providers page where we have a list of our most common sub-processors. Stripe identifies, evaluates, and engages sub-processors through our vendor management program. We enter into a contract with each sub-processor prior to sharing data with the sub-processor, and each contract contains terms that provide for monitoring and audit. In addition, all potential vendors are vetted and approved through Stripe’s security review process before we begin using their services.

I heard that Stripe is collecting additional information about my account from a third party and/or my other Stripe account. Why is Stripe collecting this information?

Stripe may collect additional information about your account to allow Stripe and its financial partners to detect fraud and/or fulfill financial compliance requirements. These requirements come from our financial partners or regulatory obligations and are intended to prevent abuse of the financial system. Examples of missing data fields include your address, phone number, social security number, date of birth, employer identification number, or website URL. Stripe may be able to fill in some of this information by leveraging data we have collected from one of your other Stripe accounts or by obtaining data from a third party. We will show you the information that we are associating with your account on your dashboard, and you may update or correct that information via your dashboard. Please see Stripe’s Privacy Policy for additional information.

In addition to its sub-processors, what other third parties does Stripe share information with?

When we work with service providers in our capacity as a data processor for our User’s personal data, the General Data Protection Regulation (GDPR) calls these third-party service providers a sub-processor. Sub-processors are service providers who have or potentially will have access to or process personal data on behalf of Stripe. These third parties are disclosed on our Stripe Service Providers List.

In addition to Stripe’s sub-processors, we may also share user onboarding data and payment instrument information with third party business partners when this is necessary to provide our services to our users. We do so, for example, for the purposes of offering payment processing services to our users or facilitating payment settlements.

Third parties to whom we may disclose personal data for this purpose are banks, payment method providers and payment processors, including the following entities:

  • American Express Payment Services Limited and American Express Payments Europe S.L.
  • Banking Circle S.A.
  • Barclays Bank PLC
  • Credit Mutuel Arkea and Arkea Banking Services
  • Currence iDEAL B.V.
  • Klarna AB
  • Mastercard Europe S.A.
  • Polski Standard Płatności
  • PPRO Financial Ltd.
  • Swisscard AECS GmbH
  • Visa Europe Limited

Data Processing Agreement

What is a Data Processing Agreement (DPA) and how can I get one with Stripe?

A Data Processing Agreement is a contract between a data controller and a data processor, which describes the roles and responsibilities of the parties when personal data is processed. Article 28 of the GDPR sets out a number of requirements that a Data Processing Agreement must satisfy in order to be compliant with European data privacy law. We have made a Data Processing Agreement available to Stripe Users. When you are logged in to your Stripe account you can review and accept the Stripe DPA.

Information about Stripe Products

How do you implement Privacy by Design at Stripe?

Privacy by design aims at building privacy and data protection up front, into the design specifications and architecture of information and communication systems and technologies, in order to facilitate compliance with privacy and data protection principles. We rely on our internal privacy team and a review process for any new product launch. We are dedicated at every level of product development to making privacy a key consideration – from engineering to product management. This helps ensure that people can trust the Stripe products that they enjoy every day.

Stripe Identity

Customers

If you have been asked to verify your identity or have verified your identity using Stripe Identity, please visit the support webpages here and here to learn more about our privacy practices for Stripe Identity. Or you can jump to the specific topics linked here:

Business That Requested Verification

If you are a business that is using or intends to use Stripe Identity, please visit the support webpage here for additional guidance on what you can tell your users and here for additional guidance on privacy considerations for your business.

Stripe Connect At a Glance

Description

Stripe Connect is a payment software your third party platform provider (Platform) may use to enable you to receive Stripe services (including payment processing) and/or receive payouts.

Data Controller/ Data Processor

Stripe acts as both a data controller and data processor for the Platform. The Stripe entity that acts as data controller/ data processor for data processed in Europe is Stripe Payments Europe Limited.

Personal Data

The personal data transmitted to Stripe usually involves first name, last name, address, identification number, e-mail address, IP address, telephone number, and other data necessary for payment processing.

Purpose

The transmission of the data is aimed at payment processing, ledger management, and fraud prevention. The Stripe User or Platform will transfer personal data to Stripe. The personal data exchanged between Stripe and the User/Platform may be transmitted to verification agencies and User data may be shared with Platforms. This transmission is intended for the Platform to manage its ledger and for Stripe to conduct identity and credit checks.

Transfer

Stripe will pass on personal data to affiliates and service providers or sub-processors, if deemed necessary to carry out contractual obligations or for the data to be processed.

Privacy Policy

For full details please see the applicable Privacy Policy of Stripe.

I am a U.S. user with a Custom connected account. Does Stripe also collect information about my Custom connected account from a third party?

If you are a U.S. user with a Custom connected account, Stripe may collect additional information about your account to enable fraud detection and fulfill financial compliance requirements. These requirements for additional information come from our regulators or financial partners and are intended to prevent abuse of the financial system. Examples of missing data fields include your address, phone number, social security number, date of birth, employer identification number, or website URL. Stripe may leverage data we already have from one of your Stripe accounts or Stripe may fill in some of this information by receiving data from a third party. You may view the information that we are associating with your account and update or correct that information by contacting the platform or business that created your Stripe payment account. Please see Stripe’s Privacy Policy for additional information.

What responsibilities do Connect platforms with custom accounts have to allow their users to update or correct information associated with their accounts?

You, the platform, are responsible for all interactions with your Custom accounts and for collecting all of the information needed to verify the Custom account-holders. Since Custom account holders cannot log into Stripe, it is up to you to build the user dashboard and communication channels. You are responsible for actioning any request by a user to update or correct their Stripe Custom account information.

I am a U.S. user with a Custom connected account. Will data collected from a third party be visible to my customers?

Card networks and issuers use statement descriptors to identify payments on a cardholder’s bank statement. Statement descriptors usually include information about the payment, such as the name and phone number of the seller. However, the exact information displayed is ultimately up to a cardholder’s bank. If Stripe updates your account’s business address, phone number, or email address, these fields may be displayed on the statement descriptor within the cardholder’s bank statement. However, the exact information displayed is ultimately up to the card network or the cardholder’s bank. If any information is incorrect, please reach out to the platform through which you receive charges to ensure you have provided them with the most accurate information about you and your business.

What are Stripe ACS, Transaction Authentication, and Behavioral Biometrics?

What is Stripe ACS?

Stripe ACS is Stripe’s transaction authentication solution for card issuers (e.g. banks). Stripe ACS helps card issuers to authenticate transactions of cardholders when they are making payments online using their cards.

What is behavioral biometrics?

Behavioral biometrics is an innovative technology that can be used for the purpose of preventing fraud and identifying legitimate transactions. Behavioral biometrics leverages a combination of personal data and device characteristics to distinguish between legitimate customers and fraudsters or bots.

How is behavioral biometrics data collected and used in Stripe ACS?

This processing is designed to verify a cardholder’s identity based on their behavioral biometric data which is modeled based on data collected during each authentication attempt.

This type of transaction authentication will typically observe interactions within a system or device to verify a cardholder’s identity for the purposes of authenticating online payments. The following elements may be processed during the authentication process:

  • Length of text field inputs
  • Location of mouse pointer
  • Modifier key details (e.g. CTRL, SHIFT)
  • Timing and location of mouse clicks
  • Timing and location of touch events
  • Timing between keystrokes
  • Window scroll position

For the purpose of fraud risk mitigation, this processing involves use of a device identifier cookie (Ndcd, Device ID, DID) that aims to accurately analyze biometrics data observed on a specific device. This cookie facilitates device detection in order to enhance fraud detection and prevention as well as to identify suspicious devices or devices that are behaving abnormally. This is a first party, strictly necessary cookie that is active on the touch.tech and touchtechpayments.com domains, and has a duration of 12 months. For more information on how we use cookies, please see Stripe’s Cookie Policy.

Purpose of processing and Stripe’s role

Stripe may process biometric data relating to cardholders in order to assist card issuers to authenticate payment transactions. This is done as part of Stripe’s payment transaction authentication services provided to card issuers (including for the purposes of meeting Strong Customer Authentication requirements).

In providing these services to card issuers, Stripe acts as a data controller in relation to cardholder data. Please see Stripe’s Privacy Policy to learn more about our use of personal data.

As part of providing this authentication services to card issuers, Stripe engages with a third party provider, Mastercard, which also acts as a data controller. See Mastercard’s Privacy Notice for details on Mastercard’s processing activities in this context.

Customers rights and choices

Upon initiating a transaction, cardholders will have the option of providing their consent to processing their behavioral biometrics data as part of the transaction authentication flow. This will be presented to the cardholder during the checkout flow on the merchant’s website or app when authentication is requested from the card issuer. Cardholders will have the option to withdraw their consent during each subsequent transaction flow.

To withdraw consent outside of a transaction flow, you can email privacy-acs@stripe.com with the subject matter line “Stripe ACS - withdraw consent”. In your email to withdraw consent, please provide: (a) the first 6 digits of your card number as this enables Stripe to identify your issuing bank (please do not provide any digits other than the first 6 digits); and (b) the phone number (including the country code) registered with your bank account that is used for one-time passcodes.

We will action this withdrawal request as soon as possible after it is verified, but please note that this can take up to 10 working days as we may need to verify the request with your card issuer. You may also contact the card issuer in order for the issuer to implement this withdrawal of consent by engaging with Stripe.

To submit a request to exercise any of the other rights described in our Privacy Policy, you may contact Stripe at privacy-acs@stripe.com.

Promotional Emails Feature

For customers and prospective customers of our Merchant Users

What is the Promotional Emails feature?

Promotional Emails is a feature that gives merchants (Stripe Users) who use “Stripe Checkout” services a new tool to enable sending email promotional content to their customers and prospective customers. When you visit a merchant’s checkout page (that is powered by Stripe Checkout services), the Promotional Email feature will enable Stripe to collect information about your preferences to receive promotional emails from that merchant.

Promotional email preferences are collected whether or not you complete the purchase or are just a prospective customer. “Prospective customer” means you visited a merchant site and expressed an intent to make a purchase by starting a purchase on the merchant’s checkout page, but did not complete that purchase during that session. To be a “prospective customer” for the promotional email feature, you also need to have started to input your contact information into the checkout form, and then not delete that information prior to the end of the session.

If you, prospective customer, indicate permission to receive news and personalized offers by virtue of the opt-in/opt-out checkbox on your merchant’s checkout form, the following personal data is provided to your merchant so that your merchant can contact you to remind you of the items you left in the checkout or to provide you news and personalized offers:

  • Email (if provided by you).
  • Items in your cart with that merchant (if any).

“Personalized offers” means promotional or marketing materials tailored to you, such as coupons or advertisements based on the items in your cart or (in some cases) your prior purchases from that merchant. Even if you opt-out of personalized offers by a merchant, if you do business with that merchant, they may still need to contact you in order to enable a purchase (e.g., for delivery or billing purposes) or in connection with customer support. Please see your merchant’s privacy policy for more information.

What is Stripe’s role (Data Processor/Controller) in the processing of my Personal Data?

For the Promotional Emails feature, Stripe acts as a data processor or service provider, meaning that Stripe is acting at the direction of the merchant that has implemented this Stripe provided feature. The Stripe entity that acts as a data processor for personal data is:

  • Stripe Inc. in the United States.
  • Stripe Payments Europe Limited outside of the United States, including Europe.

What Personal Data Is Stripe Collecting?

Stripe’s Privacy Policy describes in more detail the personal data that Stripe collects in connection with payment transactions.

What Personal Data is Shared by Stripe with the Merchants I use?

Whenever you complete a transaction on a merchant’s website that uses Stripe services, as a service provider to that merchant, Stripe will share your contact information with that merchant. Merchants use the information that Stripe provides in accordance with its own privacy policy, including in connection with your purchase.

With the Promotional Emails feature:

  • If you complete a purchase with a merchant, in addition to the transaction-related information identified in our Privacy Policy (e.g., your contact and billing information and the details of your transaction), Stripe will also share with your merchant your personalized offers and news preferences as determined by the opt-in/opt-out checkbox from your checkout form.
  • If you are a prospective customer (you start a purchase with your merchant on their checkout form but do not complete that purchase), the personal data that we share with your merchant depends on the following:
    • If you have not inputted any personal data into your merchant’s checkout form, then we will not share any personal data with that merchant.
    • If you have inputted personal data into your merchant’s checkout form:
      • If the checkbox for receiving news and personalized offers is not enabled when you leave your merchant’s checkout session, we will not share any of that personal data.
      • If the checkbox for receiving news and personalized offers is enabled when you leave your merchant’s checkout session, we will share the following information with that merchant:
        • Email (if provided by you).
        • Items in your cart with that merchant (if any).

Customers and prospective customers should always review the privacy policy or notice of the merchants they visit and do business with for information about the merchant’s data collection practices and purposes outside of this Stripe feature.

Does Stripe share my personal data with other Merchants?

No. Stripe does not share personal data collected in connection with purchases (or attempted purchases) from one merchant’s checkout with another merchant. Please see our Privacy Policy to learn more about our practices.

How do I stop promotional emails from a merchant?

Any offers or promotional emails that you receive as a result of a merchant’s use of the Promotional Emails feature are sent by merchants (or others identified in the message), and not by Stripe. We think that you may find value in receiving these emails, but if you do not, please contact the merchant you are receiving the messages from. Stripe requires that merchants that choose to implement the Promotional Email feature also provide the option to unsubscribe or opt-out of receiving further promotional messages. It would be a breach of Stripe’s terms of service for a merchant to not promptly comply with opt-out requests.

How Does the Data Collection and Transfer Work?

The Promotional Email feature does not use cookies or track you across merchants. Information collected from the merchant’s checkout page is transferred only to the merchant via API calls or webhooks. Webhooks are a way for Stripe to send the information to the merchant automatically upon their request. Your information provided at checkout is encrypted in transit using HTTPS and TLS. See Security at Stripe for more information.

How do I stop the sale of my personal data in connection with this feature?

Stripe does not sell your personal data. See our Privacy Policy for more information. The Promotional Emails feature is not the sale of personal data. Rather, Stripe acts as a processor (or service provider) to merchants for the Promotional Email feature. Please contact your merchants to learn about their personal data practices and how you can exercise rights to stop the sale or processing of personal data provided under applicable law and/or their privacy policy.

Stripe requires that merchants that choose to implement the Promotional Email feature also provide the option to unsubscribe or opt-out of receiving further promotional messages. It would be a breach of Stripe’s terms of service for a merchant to not promptly comply with opt-out requests.

For Merchants

How to Use this Service as a Merchant

If you are a business that is using or intends to use Stripe’s Promotional Emails feature, please visit the support webpage for tips and guidance on information to share with your customers and prospective customers regarding privacy considerations in connection with the Promotional Emails feature for your business.

Linked Financial Accounts

If you are a customer who has been asked to link your financial account using Stripe, please visit the support webpage here to learn more about our privacy practices. Or you can jump to the specific topics linked here:

Data Protection Officer

Does Stripe have a Data Protection Officer (DPO)?

Yes, Stripe has appointed a DPO and they can be reached via dpo@stripe.com.

International Data Transfers

How is Stripe dealing with international data transfers?

The Court of Justice of the European Union issued a ruling in Data Protection Commissioner v Facebook Ireland Ltd and Maximilian Schrems (Schrems II), examining transfers of data from the European Economic Area (EEA). Here’s some additional information on Stripe’s approach to this judgment.

Stripe continues to have appropriate safeguards and compliance measures to ensure an adequate level of protection of personal data transferred outside the EEA and Switzerland. Stripe’s existing measures include the EU Commission’s approved Standard Contractual Clauses (SCCs) to accommodate international data transfers.

Stripe respects the privacy of everyone that engages with our products and services, and we are committed to being transparent about our privacy processes and policies. We enable millions of businesses, and in order to provide our services to our users, we collect and process personal data.

To learn more about our commitment to privacy and data security, please see our Privacy Policy, the Stripe Privacy Center, and the Stripe Security Center.

We also want to highlight some of our supplementary measures to protect our users’ data from unauthorized access.

Stripe maintains and enforces a security program that addresses the management of security and the security controls employed by Stripe. We also perform risk assessments and implement and maintain controls for risk identification, analysis, monitoring, reporting, and corrective action. Stripe maintains and enforces an asset management program that appropriately classifies and controls hardware and software assets throughout their life cycle. In addition, Stripe employees, agents, and contractors acknowledge their data security and privacy responsibilities under Stripe’s policies.

Stripe applies technical and organizational measures that include the following:

  • Physical access control to prevent unauthorized persons from gaining access to the data processing systems available at premises and facilities (including databases, application servers, and related hardware), where Personal Data are processed.
  • Virtual access control to prevent data processing systems from being used by unauthorized persons.
  • Data access control to ensure that persons entitled to use a data processing system gain access only to such Personal Data in accordance with their access rights, and that Personal Data cannot be read, copied, modified or deleted without authorization.
  • Disclosure control to ensure that Personal Data cannot be read, copied, modified or deleted without authorization during electronic transmission, transport or storage on storage media (manual or electronic), and that it can be verified to which companies or other legal entities Personal Data are disclosed.
  • Entry control to audit whether data have been entered, changed or removed (deleted), and by whom, from data processing systems.
  • Availability control to ensure that Personal Data are protected against accidental destruction or loss (physical/logical).
  • Separation control to ensure that Personal Data collected for different purposes can be processed separately.

By default, Stripe encrypts data at rest and data in transit. We further protect your data with tools like audit logs, access management policies and certifications as described on our Payments page in the section “Security and compliance at the core”. Security controls implemented at Stripe include TLS 1.2 configuration of endpoints for data in transit, TLS and/or SSL encryption for HTTPS and regular testing of infrastructure components. Two-step authentication is available for an extra layer of security at Dashboard login.

We no longer rely on the Privacy Shield as a transfer mechanism for data transfers given EU-U.S. Privacy Shield and Swiss-U.S. Privacy Shield are no longer valid as a result of the Schrems II decision issued by the European Court of Justice on July 16, 2020. We do continue to commit to the principles of the Privacy Shield Framework as it can still provide privacy protections to users.

We get requests for access to data from law enforcement, and we review each request with the goal of responding with the minimum amount of required information in response to legitimate, legally mandated requests. We are committed to ensuring that our users’ data can continue to flow freely between the EU and the U.S., and we will continue to partner with regulators, industry groups and similarly situated companies to make sure our users’ needs are met.

If you have any questions, please reach out to privacy@stripe.com.

What does the Schrems II decision mean?

The Court of Justice of the European Union issued a ruling in a case C-311/18 Data Protection Commissioner v Facebook Ireland Ltd and Maximilian Schrems (Schrems II) examining transfers of data from the European Economic Area (EEA) and Switzerland. Here’s some additional information on our approach.

Stripe continues to have appropriate safeguards and compliance measures to ensure an adequate level of protection of personal data transferred outside the EEA and Switzerland. Stripe’s existing measures include the EU Commission’s approved Standard Contractual Clauses (SCCs) to accommodate international data transfers.

We no longer rely on the Privacy Shield as a transfer mechanism for the EU as a result of the Schrems II decision, but continue to take part in the program with respect to our certification with the U.S. Department of Commerce and for the Swiss-U.S. Privacy Shield. For this reason, we continue to make a reference to the Privacy Shield in some of our policies.

Our users can be assured that we are committed to compliant personal data flows through our services and that we’ll continue our work to provide adequate protections based on the issues raised in the Schrems II ruling. We will continue to evaluate the decision and anticipate regulatory guidance to be forthcoming shortly.

If you have additional questions, reach out to our Privacy team at privacy@stripe.com.

Your Rights and Choices

Can I turn off tracking and advanced fraud signals?

Your web browser may allow you to manage your cookie preferences, including deleting or disabling Stripe cookies. If you choose to disable cookies, keep in mind that some features of our Site or Services may not operate as intended. Disabling cookies will not disable the collection of advanced fraud signals, which we use to prevent fraud on Stripe. The collection of this data is controlled by the business that integrated with Stripe. If a business seeks to disable this data collection there are instructions to do so through Stripe’s docs. You can take a look at the help section of your web browser or follow the links below to understand your options for disabling cookies.

You can learn more about how businesses can disable collection of advanced fraud signals in our documentation for disabling advanced fraud detection.

How do I delete my account?

You can close your Stripe account from the Settings page on the Dashboard. You can read more about that on our support page: Close a Stripe account.

Please be aware that we will delete some, but not all, of the information that we hold, for the reasons explained below.

As a provider of payment services, Stripe is required to comply with many regulations, including anti-terrorism and anti-money laundering laws. These regulations and laws may require Stripe to retain transactional records associated with Stripe Users for a prescribed period of time after the close of the customer relationship. You can read more about our underwriting obligations in our Privacy Policy.

How do I delete my Custom Connect account?

If you are a Custom Connect account User, your account is managed by a Platform User of Stripe. They are the party responsible for managing payments for you and responding to your query, therefore we recommend reaching out to them for assistance.

How do I delete my Express Connect account?

If you are an Express Connect account User, your account is managed by a Platform User of Stripe. They are the party responsible for managing payments for you and responding to your query, therefore we recommend reaching out to them for assistance.

Cookies & Other Technology

How does Stripe use cookies?

We use cookies to (1) ensure that our services function properly, (2) prevent and detect fraud and violations of our terms of service, (3) understand how visitors use and engage with our website and (4) analyze and improve our services. Depending on your relationship with Stripe and the domain you are visiting, different cookies apply: for instance some cookies are set on the public Stripe domain, some on the Stripe Dashboard when you are logged in as a Stripe user, and some on the payment page available to customers who make payments and use the services Stripe provides.

Cookies play an important role in helping Stripe provide personal, effective and safe services. Please be mindful that we change the cookies periodically as we improve or add to our services. For more information, please see our Cookie Policy.

We want to provide you with some facts about our cookies—like a nutrition label. The cookies listed give an indication only of the cookies that apply in each scenario—for a more detailed list please see our Cookie Policy.

Stripe Cookie Facts: Stripe.js.com
This cookie is set for fraud prevention purposes. Fraud detection uses technology that helps us assess the risk associated with an attempted transaction that is enabled on the Stripe User’s website or the application that collects information.
Total Number of Cookies 3
Cookie Category Details Expiration
Necessary _stripe_mid
_stripe_sid
m.stripe.com (called _guid/ m cookie)
1 year
30 mins
2 years
Analytics - -
Preference - -
Advertising Not used for advertising purposes or sold to third parties -
Stripe Cookie Facts: Atlas
These cookies allow Stripe to better track various activities when using Atlas (e.g. marketing campaigns or community forum logins).
Total Number of Cookies 5
Cookie Category Details Expiration
Necessary atlas_invite
_t
_forum_session
Session
2 months
Session
Analytics atlas_ref 1 day
Preference - -
Advertising Not used for advertising purposes or sold to third parties -
Stripe Cookie Facts: Connect Accounts
The lsession cookie allows Stripe Connect customers to onboard to an Express account and to visit the Express dashboard.

The connect_locale cookie remembers the language chosen by a user during their session.
Total Number of Cookies 2
Cookie Category Details Expiration
Necessary lsession 28 days or up to 1 year on mobile
Analytics - -
Preference connect_locale session
Advertising Not used for advertising purposes or sold to third parties -
Stripe Cookie Facts: Stripe Checkout Accounts
This cookie is set for customers that choose to have Stripe remember their payment method details. A customer visiting Stripe Checkout (checkout.stripe.com) may select a checkbox to save their payment information for future Stripe Checkout transactions. A cookie is set only after the customer passes an authentication step during the subsequent Stripe Checkout transaction. This cookie is necessary to enable the Stripe Checkout functionality if the customer has selected to be remembered. See below for additional detail.

The cookie’s only purpose is to indicate that the customer has been authenticated for a specific browser and device combination. The cookie payload is a randomly-generated string.
Total Number of Cookies 1
Cookie Category Details Expiration
Necessary pay_sid 90 days
Analytics - -
Preference
Advertising Not used for advertising purposes or sold to third parties -

What is Stripe.js?

Stripe.js (and its iOS and Android SDK counterparts) is a JavaScript library that businesses use to integrate Stripe and accept online payments. Once Stripe.js is added to a site or mobile app, fraud signals are used to differentiate legitimate behavior from fraudulent behavior.

For example, fraudsters and bots are less likely to spend time on different pages, which we’re able to detect and use as a signal in stopping fraud.

When you visit a site that uses Stripe, this fraud prevention could appear in a privacy report or tracker list in your web browser.

While you might see Stripe in a tracker list, we’re not building an individual tracking profile on you. Stripe doesn’t—and won’t—share or sell this data to advertisers.This data is securely exchanged between the following Stripe-controlled hosts:

  • js.stripe.com
  • m.stripe.network
  • m.stripe.com
  • q.stripe.com

The data collected by these endpoints is designed to be secure and to not leave Stripe infrastructure. Access to this data is tightly controlled, and restricted to a small number of Stripe employees working on fraud prevention and security (and permissions are regularly reviewed). You can read more about this in our Privacy Policy.

What are advanced fraud signals?

Stripe’s advanced fraud detection looks at signals from a customer’s device characteristics and user activity indicators, such as quickly copy and pasting—things that bots or fraudsters would do, not legitimate customers. These signals are highly indicative of fraud and power Stripe’s fraud prevention systems, such as Radar. The signals are securely transmitted to Stripe’s backend by periodically making requests to the m.stripe.com endpoint.

You can learn more in our documentation for advanced fraud detection.

Why are advanced fraud signals not ad tracking?

Stripe only uses these advanced fraud detection signals to enable secure payments and prevent fraud. We don’t use this data to build individual profiles or share or sell it to third-party advertisers.

You can read more about how we use this data in our Privacy Policy.

How does Stripe remember payment method details for Stripe Checkout?

When a customer makes a purchase via a merchant that enables Stripe Checkout (checkout.stripe.com), the customer can ask Stripe to remember their payment method details, such as credit and debit card details. A customer makes this choice by selecting a checkbox that is displayed in the Stripe Checkout user interface, and then entering a phone number when prompted. If an individual chooses to be remembered, Stripe will remember the customer’s email address, phone number and payment method details for future Stripe Checkout transactions.

If the customer enters their email address during a future Stripe Checkout transaction, Stripe will authenticate the customer by sending the customer a One Time Passcode (OTP) via an SMS message. If the customer correctly enters the OTP, Stripe will set a cookie in the customer’s browser, indicating that the customer has been authenticated. If the customer does not enter the OTP, or elects the “log out” option in the window that requests the OTP, then no cookie is set.

Once the cookie is set, the customer may make “1-click” purchases in Stripe Checkout, which means that Stripe will automatically populate the customer’s saved information into Stripe Checkout on their behalf, and use the information to complete the transaction.

A cookie is only stored in a specific browser on a specific device. If a customer wishes to make 1-click purchases in a different browser or on a different device, they must go through the OTP authentication process for the new browser/device combination.

The cookie expires after 90 days, at which point in time it will be necessary for the customer to re-complete the OTP process. The customer may also proactively remove the cookie by clearing cookies in their browser or by selecting the “log out” option when this option is presented in Stripe Checkout.

If a customer no longer wishes for Stripe to remember their payment method details for future Stripe Checkout transactions, the customer may use the self-service deletion tool. Alternatively, the customer may also contact Stripe support to make this request.

The description above describes how a customer may control how their information is stored and used for Stripe Checkout transactions. However, this does not affect the other contexts in which Stripe may store and use customer information. In particular, Stripe may store and use such information as described elsewhere on this page - including for purposes such as for advanced fraud detection.

Contact Us

If you have any outstanding privacy questions after reviewing the privacy policy, please don’t hesitate to reach out to us at privacy@stripe.com.

If you’d like to send us physical mail, please send to:

Stripe, Inc.
510 Townsend Street
San Francisco, CA 94103, USA
Attention: Stripe Legal

Stripe Payments Europe Limited
1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Ireland
Attention: Stripe Legal



Centro de privacidad de Stripe

Última actualización: 21 de julio del 2021

Para su comodidad, hemos preparado una traducción de esta página. Esta traducción tiene fines informativos solamente y la versión final de la página está en inglés.

Bienvenido al Centro de privacidad de Stripe

Stripe respeta la privacidad de todas las personas que acceden a nuestra plataforma y se compromete a ser transparente sobre nuestros procesos y políticas de privacidad. Somos una plataforma que posibilita millones de negocios, y con el fin de proporcionar nuestros servicios a nuestros usuarios, recopilamos y procesamos datos personales.

El Centro de privacidad de Stripe contiene las respuestas a las preguntas más frecuentes sobre la forma en que recopilamos y utilizamos los datos personales, los derechos que tienen las personas en relación con los datos personales que posee Stripe y la manera en que Stripe cumple con las leyes internacionales de protección de datos.

Todo el contenido se ha elaborado solamente con fines informativos. La información presentada no constituye un asesoramiento legal, por lo que no debe ser considerada como tal, puede no estar actualizada y está sujeta a cambios sin aviso previo.

Actualizamos nuestra Política de privacidad a partir del 28 de abril del 2021

Actualizamos nuestra Política de privacidad porque nos esforzamos en proporcionar claridad sobre nuestro uso de datos personales.

Efectuamos los siguientes tipos de cambios:

  • Incluimos un nuevo preámbulo que proporciona más información sobre Stripe.
  • Actualizamos la política para eliminar referencias los servicios que ya no ofrecemos (por ejemplo, Stripe Shop), para eliminar referencias a marcas de productos que ya no utilizamos (por ejemplo, Remember Me ahora es Link with Stripe) y para que las descripciones de nuestros servicios sean más claras.
  • Priorizamos la claridad en todo el contenido (limitando la jerga legal) y agregamos más referencias a nuestro Centro de privacidad para que pueda acceder a más información sobre nuestras prácticas de privacidad. Para brindar mayor claridad, proporcionamos información actualizada sobre las entidades de Stripe que son responsables de los datos personales según la Política de privacidad.
  • Actualizamos el lenguaje sobre el Escudo de protección de la privacidad para las transferencias de datos entre el EEE y los EE. UU. y en su lugar le remitimos al Centro de privacidad para obtener más información sobre nuestras transferencias de datos transfronterizas.
  • Proporcionamos mayor información sobre los derechos de privacidad que existen en algunos países donde Stripe ofrece servicios.
  • Trasladamos los detalles de nuestra información de contacto al Centro de privacidad.

Estos son solo algunos de los cambios que efectuamos, por lo que recomendamos que revise en detalle la Política de privacidad actualizada. Si tiene preguntas, consulte nuestro Centro de privacidad o póngase en contacto con nosotros.

Cómo recopilamos, divulgamos y usamos los datos personales
Acuerdo sobre procesamiento de datos
Información acerca de los productos de Stripe
Director de protección de datos
Transferencia internacional de datos
Sus derechos y elecciones
Cookies y otra tecnología
Contáctenos

Cómo recopilamos, divulgamos y usamos los datos personales

¿Stripe actúa como controlador de los datos o como encargado de tratamiento de datos?

La respuesta es ambos.

El “controlador de los datos” es la entidad que determina los fines y los medios del procesamiento de datos que se llevan a cabo. El “encargado de tratamiento de datos” es una entidad que actúa en nombre y bajo instrucciones de un controlador de datos.

Stripe actúa como controlador de los datos cuando determina los fines y los medios del procesamiento que se llevan a cabo. Estas actividades de procesamiento de datos incluyen: (1) proporcionar los productos y servicios de Stripe; (2) supervisar, prevenir y detectar transacciones de pago fraudulentas y otras actividades fraudulentas en la plataforma de Stripe; (3) cumplir con las obligaciones en materia legal o reglamentaria aplicables al sector financiero al que Stripe está sujeto; y (4) analizar, desarrollar y mejorar los productos y servicios de Stripe. Consulte este artículo del Centro de privacidad para obtener más información sobre las actividades de Stripe como controlador.

Stripe actúa como encargado de tratamiento de datos cuando facilita las transacciones de pago en nombre y bajo la instrucción de un usuario de Stripe y bajo su dirección. Nuestros usuarios nos exigen que aceptemos el pago de los titulares de las tarjetas: Stripe se considera un encargado de tratamiento cuando se le indica que procese los pagos, es decir, Stripe recibe instrucciones sobre a quién pagar, cuánto pagar y cuándo hacerlo.

Como proveedor de plataformas, debemos garantizar la consistencia en toda nuestra plataforma, y eso incluye la coherencia respecto a los compromisos que asumimos sobre su funcionamiento. Todos nuestros acuerdos con nuestros usuarios (incluidas algunas de las mayores empresas del mundo) se realizan sobre esta base.

¿En qué fundamentos legales se ampara Stripe para procesar los datos personales como controlador de los datos

Nos amparamos en una serie de fundamentos jurídicos para permitir el uso de sus datos personales. En resumen, utilizamos los datos personales para facilitar las relaciones comerciales que mantenemos con nuestros usuarios, para cumplir con nuestras obligaciones financieras regulatorias, entre otras obligaciones legales, y para perseguir nuestros intereses comerciales legítimos. También empleamos los datos personales para completar las transacciones y proporcionar servicios relacionados con el pago a nuestros usuarios.

A continuación, le ofrecemos un resumen más detallado del por qué y cómo utilizamos sus datos personales.

Relaciones comerciales contractuales y precontractuales

Empleamos los datos personales con el fin de entablar relaciones comerciales con usuarios potenciales de Stripe y para cumplir con las obligaciones contractuales en virtud de los acuerdos que tenemos con los usuarios de Stripe. Entre dichas actividades se incluyen las siguientes:

  • La creación y gestión de cuentas de Stripe y credenciales de cuentas de Stripe, lo que incluye la evaluación de solicitudes para iniciar o ampliar el uso de nuestros servicios;
  • La creación y gestión de cuentas de Stripe Checkout;
  • Actividades de contabilidad, auditoría y facturación; y
  • El procesamiento de pagos, lo que incluye la detección y prevención del fraude, la optimización de transacciones válidas, las comunicaciones sobre dichos pagos y el servicio de atención al cliente relacionado.

Cumplimiento de la legislación

Manejamos los datos personales para verificar la identidad de nuestros usuarios con el fin de cumplir con las obligaciones de control, prevención y detección del fraude, la legislación asociada a la identificación y denuncia de actividades ilegales e ilícitas, como las obligaciones AML (prevención de lavado de dinero) y KYC (conozca su cliente), así como las obligaciones en cuanto a los informes financieros.

Intereses comerciales legítimos

De acuerdo con lo que la legislación aplicable nos permite, nos basamos en nuestros intereses comerciales legítimos para procesar sus datos personales. Por ejemplo, Stripe lleva a cabo las siguientes acciones:

  • Detecta, controla y previene el fraude y las operaciones de pago no autorizadas.
  • Mitiga las pérdidas financieras, las reclamaciones, las responsabilidades u otros perjuicios para los clientes, los usuarios y Stripe.
  • Determina la elegibilidad y ofrece nuevos productos y servicios de Stripe.
  • Responde a las consultas, envía notificaciones de servicio y proporciona soporte al cliente.
  • Promueve, analiza, modifica y mejora sus servicios, sistemas y herramientas, y desarrolla nuevos productos y servicios, así como también la confianza en ellos.
  • Gestiona, opera y mejora el rendimiento de sus sitios y servicios al comprender su eficacia y optimizar sus activos digitales.
  • Analiza y publicita sus servicios.
  • Lleva a cabo análisis agregados y desarrolla inteligencia empresarial que le permite operar, proteger, tomar decisiones informadas y notificar sobre el rendimiento de la empresa.
  • Comparte datos personales con terceros proveedores de servicios que prestan servicios en nombre de Stripe y con socios comerciales que le ayudan a operar y a mejorar sus operaciones.
  • Garantiza la seguridad de la red y de la información en Stripe y en sus servicios.
  • Comparte datos personales entre sus filiales con fines administrativos.

Transacciones de pago y servicios relacionados (Stripe como encargado de tratamiento de datos)

Empleamos los datos personales de los clientes para proporcionar nuestros servicios a los usuarios, incluso para procesar las transacciones de pago en línea y autenticar a los clientes en nombre de nuestros usuarios.

Comunicaciones relacionadas con marketing y eventos

Enviamos comunicaciones de marketing por correo electrónico sobre los productos y servicios de Stripe, lo invitamos a participar en nuestros eventos o encuestas, o en su caso, nos podemos comunicar con usted de otro modo con fines únicamente de marketing, siempre de conformidad con la legislación aplicable, incluyendo sin limitar los requisitos de consentimiento.

Publicidad

Cuando visite nuestros sitios, nosotros (y nuestros proveedores de servicios) podemos utilizar los datos personales recopilados de usted y de su dispositivo para mostrarle anuncios de los servicios de Stripe en nuestros sitios y en otros sitios que usted visite (publicidad basada en intereses), siempre que lo permita la legislación aplicable, incluyendo sin limitar requisito de consentimiento. De igual modo, no utilizamos, compartimos, arrendamos ni vendemos los datos personales de los clientes de nuestros usuarios para la publicidad basada en intereses. No vendemos ni alquilamos los datos personales de nuestros usuarios, sus clientes o los visitantes de nuestro sitio.

¿Cuáles son sus actividades como controlador de los datos?

  • Proporcionar productos y servicios de Stripe a los usuarios de Stripe, incluyendo la decisión de qué terceros (bancos y proveedores de métodos de pago) se utilizarán.
  • Controlar, prevenir y detectar operaciones de pago fraudulentas y otras actividades fraudulentas en la plataforma de Stripe.
  • Cumplir con las obligaciones legales de conformidad con la regulación aplicable al sector financiero al que Stripe está sujeto, incluidas aquellas obligaciones aplicables en materia de prevención de lavado de dinero y en cumplimiento de las obligaciones de conocimiento del cliente.
  • Analizar, desarrollar y mejorar los productos y servicios de Stripe.

Como usuario de Stripe y como controlador de los datos, ¿qué implica el RGPD para mí?

Consulte nuestra Guía de RGPD.

Además, como controlador de los datos, usted es responsable de la relación con el sujeto de los datos (es decir, su cliente final). Puede delegar en un tercero (como Stripe) el procesamiento de los datos, pero es su trabajo definir el propósito (u objetivos) y el fundamento legal aplicable al procesamiento de datos.

Todos los terceros tienen que respetar las condiciones acordadas por el controlador de los datos y el sujeto de los datos. Para estar seguro de ello, el controlador de los datos debe tener Acuerdos sobre el procesamiento de datos (es decir, DPA) con cada uno de ellos. Nuestro DPA fue diseñado para cumplir con este propósito para usted; se alinea en gran medida con las transacciones de pago, por lo que debería determinar que usted cumple con el RGPD desde una perspectiva de pagos.

¿Quiénes son los subencargados de tratamiento de Stripe y cómo son examinados?

Consulte nuestra página de proveedores de servicios, donde encontrará una lista de nuestros subencargados de tratamiento más frecuentes. Stripe identifica, evalúa e involucra a subencargados de tratamiento a través del programa de gestión de proveedores. Celebramos contratos con cada subencargado de tratamiento con anterioridad a compartir los datos con él, y cada contrato contiene condiciones que contemplan la supervisión y las auditorías. Además, se examina y aprueba a todos los potenciales proveedores a través del proceso de revisión de seguridad de Stripe antes de comenzar a usar sus servicios.

Supe que Stripe está recopilando información adicional sobre mi cuenta desde un tercero o de mi otra cuenta de Stripe. ¿Por qué recopila Stripe esta información?

Stripe puede recopilar información adicional respecto de su cuenta para poder, junto con sus socios financieros, detectar el fraude o cumplir con las obligaciones regulatorias financieras. Estos requisitos provienen de nuestros socios financieros o de las obligaciones regulatorias y tienen por objeto evitar el abuso del sistema financiero. Algunos ejemplos de campos de datos faltantes incluyen su dirección, número de teléfono, número de seguridad social, fecha de nacimiento, número de identificación de empleador o URL del sitio web. Stripe puede completar parte de esta información mediante los datos que haya recopilado de alguna de sus otras cuentas de Stripe o mediante datos de un tercero. Le mostraremos la información asociada a su cuenta en su Dashboard, desde donde usted podrá actualizar o corregir esa información. Para obtener más información, consulte la Política de privacidad de Stripe.

Además de sus subencargados de tratamiento, ¿con qué otros terceros comparte Stripe la información?

Cuando trabajamos con proveedores de servicios en calidad de encargados del tratamiento de los datos personales de nuestros usuarios, el Reglamento General de Protección de Datos (RGPD) denomina a estos terceros proveedores de servicios subencargados del tratamiento. Los subencargados del tratamiento son proveedores de servicios que tienen, o podrán tener, acceso a datos personales o que los procesan en nombre de Stripe. Estos terceros se dan a conocer en nuestra lista de proveedores de servicios de Stripe.

Además de los subencargados del tratamiento de Stripe, también podemos compartir los datos de onboarding de los usuarios y la información de los instrumentos de pago con terceros que son socios comerciales cuando sea necesario para prestar nuestros servicios a los usuarios. Lo hacemos, por ejemplo, para ofrecer servicios de procesamiento de pagos a nuestros usuarios o para facilitar la liquidación de pagos.

Los terceros a los que podemos revelar datos personales con este fin son bancos, proveedores de métodos de pago y procesadores de pagos, entre los que se incluyen las siguientes entidades:

  • American Express Payment Services Limited y American Express Payments Europe S.L.
  • Banking Circle S.A.
  • Barclays Banco PLC
  • Credit Mutuel Arkea y Arkea Banking Services
  • Currence iDEAL B.V.
  • Klarna AB
  • Mastercard Europe S.A.
  • Polski Standard Płatności
  • PPRO Financial Ltd.
  • Swisscard AECS GmbH
  • Visa Europe Limited

Acuerdo sobre procesamiento de datos

¿Qué es un Acuerdo sobre procesamiento de datos (DPA) y cómo puedo obtener uno con Stripe?

El Acuerdo sobre procesamiento de datos es un contrato entre un controlador de datos y un encargado de tratamiento de datos, en el que se describen las funciones y responsabilidades de ambas partes cuando se procesan datos personales. El artículo 28 del RGPD establece una serie de requisitos que un Acuerdo sobre procesamiento de datos debe contemplar para cumplir con la ley europea de privacidad de datos. Pusimos a disposición de los usuarios de Stripe un Acuerdo sobre procesamiento de datos. Cuando inicie sesión en su cuenta de Stripe, podrá revisar y aceptar el DPA de Stripe.

Información acerca de los productos de Stripe

¿Cómo se implementa la privacidad por diseño en Stripe?

El objetivo de la privacidad por diseño es incorporar la privacidad y la protección de datos desde un comienzo, en las especificaciones de diseño y la arquitectura de los sistemas y tecnologías de la información y la comunicación, para facilitar el cumplimiento de los principios de privacidad y protección de datos. Nos apoyamos en nuestro equipo interno de privacidad y en un proceso de revisión para el lanzamiento de cualquier producto nuevo. Nos preocupamos de que en todos los niveles del desarrollo de productos la privacidad sea una consideración fundamental, desde la ingeniería hasta la gestión de productos. Esto ayuda a garantizar que las personas puedan confiar en los productos de Stripe de los que disfrutan cada día.

Stripe Identity

Clientes

Para obtener más información sobre nuestras prácticas de privacidad para Stripe Identity si se le solicitó que verifique su identidad o si lo hizo con Stripe Identity, visite las páginas web de soporte aquí y aquí. También puede consultar los temas específicos desde los siguientes enlaces:

Empresas que solicitan la verificación

Si usted es una empresa que usa o desea hacer uso de Stripe Identity, visite la página web de soporte aquí para obtener orientación adicional sobre lo que puede informar a sus usuarios, y aquí para obtener orientación adicional sobre las consideraciones de privacidad para su empresa.

Un vistazo a Stripe Connect

Descripción

Stripe Connect es un software de pago que su proveedor de plataforma de terceros (Plataforma) puede utilizar para permitirle recibir servicios de Stripe (incluido el procesamiento de pagos) o recibir transferencias.

Controlador de datos / Encargado de tratamiento de datos

Stripe actúa como controlador y encargado de tratamiento de datos para la Plataforma. Stripe Payments Europe Limited es la entidad de Stripe encargada de esos roles para los datos procesados en Europa.

Datos personales

Los datos personales proporcionados a Stripe suelen ser el nombre, los apellidos, la dirección, el número de identificación, la dirección de correo electrónico, la dirección de IP, el número de teléfono, entre otros datos necesarios para el procesamiento de pagos.

Propósito

La transmisión de los datos tiene como finalidad el procesamiento de pagos, la gestión del libro de contabilidad y la prevención del fraude. El usuario o la plataforma de Stripe proporcionarán los datos personales a Stripe. Los datos personales intercambiados entre Stripe y el usuario o la plataforma pueden transmitirse a agencias de verificación y los datos del usuario pueden compartirse con otras plataformas. Esta transmisión tiene por objeto que la plataforma gestione su libro de contabilidad y que Stripe realice comprobaciones de identidad y crédito.

Transferencias

Stripe transmitirá los datos personales a afiliados y proveedores de servicios o subencargados del tratamiento, en caso de que se considere necesario para cumplir con las obligaciones contractuales o para que los datos sean procesados.

Política de privacidad

Para ver todos los detalles, consulte la Política de privacidad aplicable de Stripe.

Soy usuario estadounidense con una cuenta conectada Custom. ¿Stripe también recopila información acerca de mi cuenta conectada Custom a través un tercero?

Si usted es un usuario estadounidense con una cuenta conectada Custom, Stripe puede recopilar información adicional sobre su cuenta para permitir la detección del fraude y cumplir con sus obligaciones regulatorias financieras. Estos requisitos de información adicional fueron estipulados por nuestros reguladores o socios financieros, los cuales pretenden evitar que se abuse del sistema financiero. Algunos ejemplos de campos de datos faltantes incluyen su dirección, número de teléfono, número de seguridad social, fecha de nacimiento, número de identificación del empleador o URL del sitio web. Stripe puede aprovechar los datos ya recopilados de una de sus cuentas de Stripe o bien puede completar parte de esta información mediante datos de un tercero. Usted puede ver la información asociada a su cuenta y actualizar o corregir dicha información al ponerse en contacto con la plataforma o empresa que creó su cuenta de pago de Stripe. Para obtener información adicional, consulte la Política de privacidad de Stripe.

¿Cuáles son las responsabilidades de las plataformas Connect respecto a las cuentas Custom para permitirles a los usuarios actualizar o corregir la información asociada a sus cuentas?

Usted, la plataforma, es responsable de todas las interacciones con sus cuentas Custom y de recopilar toda la información necesaria para verificar a los titulares de dichas cuentas. Dado que los titulares de cuentas Custom no pueden iniciar sesión en Stripe, le corresponde a usted crear el Dashboard del usuario y los canales de comunicación. Usted es responsable de actuar ante cualquier solicitud de un usuario para actualizar o corregir la información de su cuenta Custom de Stripe.

Soy usuario estadounidense con una cuenta conectada Custom. ¿La información recopilada por terceros será visible para mis clientes?

Las redes de tarjeta y los emisores usan descripciones de los cargos en el extracto bancario del titular de la tarjeta para identificar los pagos. Las descripciones de los cargos en el estado de cuenta bancario suelen incluir información sobre el pago, tal como el nombre y el número de teléfono del vendedor. Sin embargo, la información exacta que se muestra depende en última instancia del banco del titular de la tarjeta. Si Stripe actualiza la dirección de la empresa, el número de teléfono o la dirección de correo electrónico de su cuenta, estos campos pueden aparecer en la descripción del cargo en el extracto bancario del titular de la tarjeta. Sin embargo, la información exacta que se muestra depende en última instancia de la red de tarjetas o del banco del titular de la tarjeta. Si algún dato es incorrecto, póngase en contacto con la plataforma a través de la cual recibe los cargos para asegurarse de que proporcionó la información correcta sobre usted y su empresa.

¿Qué son Stripe ACS, la autenticación de transacciones y la biometría del comportamiento?

¿Qué es Stripe ACS?

Stripe ACS es la solución de autenticación de transacciones de Stripe para los emisores de tarjetas (por ejemplo, los bancos). Stripe ACS apoya a los emisores de tarjetas a autenticar las transacciones de los titulares cuando realizan pagos en línea con sus tarjetas.

¿Qué es la biometría del comportamiento?

La biometría del comportamiento es una tecnología innovadora que puede emplearse para prevenir el fraude e identificar las transacciones legítimas. La biometría del comportamiento aprovecha una combinación de datos personales y características del dispositivo para distinguir entre clientes legítimos y estafadores o bots.

¿Cómo se recopilan y emplean los datos de biometría del comportamiento en Stripe ACS?

Este procesamiento está diseñado para verificar la identidad del titular de la tarjeta en función de sus datos biométricos del comportamiento, que se modelan a partir de los datos recopilados durante cada intento de autenticación.

Este tipo de autenticación de transacciones suele observar las interacciones dentro de un sistema o dispositivo para verificar la identidad del titular de la tarjeta con el propósito de autenticar los pagos electrónicos. Los siguientes elementos pueden ser procesados durante el proceso de autenticación:

  • Longitud de las entradas de los campos de texto
  • Ubicación del cursor del mouse
  • Detalles de las teclas modificadoras (por ejemplo, CTRL, SHIFT)
  • Momento y ubicación de los clicks del ratón
  • Momento y ubicación de los eventos táctiles
  • Tiempo entre las pulsaciones de las teclas
  • Posición de desplazamiento de la ventana

Para mitigar el riesgo de fraude, este procesamiento implica el uso de una cookie de identificación del dispositivo (Ndcd, Device ID, DID) o que tiene como objetivo analizar con precisión los datos biométricos observados en un dispositivo específico. Esta cookie facilita la detección de dispositivos para mejorar la detección y prevención del fraude, así como para identificar dispositivos sospechosos o que se comportan de forma irregular. Esta es una cookie propia, estrictamente necesaria, que está activa en los dominios touch.tech y touchtechpayments.com, y tiene una vigencia de 12 meses. Para más información sobre cómo utilizamos las cookies, consulte la Política de utilización de cookies de Stripe.

Propósito del procesamiento y el rol de Stripe

Stripe puede procesar datos biométricos relativos a los titulares de las tarjetas para ayudar a los emisores de tarjetas a autenticar las transacciones de pago. Esto se lleva a cabo como parte de los servicios de autenticación de transacciones de pago que Stripe proporciona a los emisores de tarjetas (incluso con el fin de cumplir con los requisitos de autenticación reforzada de clientes).

Al proporcionar estos servicios a los emisores de tarjetas, Stripe actúa como controlador de los datos en relación con los datos del titular de la tarjeta. Para obtener más información sobre el uso que le damos a los datos personales, consulte la Política de privacidad de Stripe.

Como parte de la prestación de estos servicios de autenticación a los emisores de tarjetas, Stripe colabora con Mastercard, un proveedor externo que también actúa como controlador de los datos. Consulte el Aviso de privacidad de Mastercard para obtener detalles sobre las actividades de procesamiento de Mastercard en este contexto.

Derechos y opciones de los clientes

Al iniciar una transacción, los titulares de las tarjetas tendrán la opción de dar su consentimiento para el tratamiento de sus datos biométricos de comportamiento como parte del flujo de autenticación de la transacción. Esto se presentará al titular de la tarjeta durante el flujo de pago en el sitio web o la solicitud del comerciante cuando se solicite la autenticación al emisor de la tarjeta. Los titulares de las tarjetas tendrán la opción de revocar su consentimiento durante cada flujo de transacción posterior.

Para revocar el consentimiento fuera de un flujo de transacciones, puede escribir a privacy-acs@stripe.com con el asunto “Stripe ACS - revocar consentimiento”. En ese correo electrónico, proporcione los siguientes datos: (a) los primeros 6 dígitos de su número de tarjeta, ya que esto le permite a Stripe identificar a su banco emisor (favor de no proporcionar ningún otro dígito que no sean los primeros 6 dígitos); y (b) el número de teléfono (con el código de país) registrado con su cuenta bancaria que se utiliza para los códigos de acceso de un solo paso.

Procederemos a tramitar esta solicitud de revocación lo antes posible una vez que sea verificada, pero tenga en cuenta que esto puede tardar hasta 10 días hábiles, ya que es posible que tengamos que verificar la solicitud con el emisor de su tarjeta. También puede ponerse en contacto con el emisor de la tarjeta para que este pueda revocar el consentimiento colaborando con Stripe.

Para presentar una solicitud con el fin de ejercer cualquier otro derecho que se describe en nuestra Política de privacidad, puede ponerse en contacto con Stripe en la dirección privacy-acs@stripe.com.

Funcionalidad de correos electrónicos promocionales

Para clientes actuales y potenciales de nuestros usuarios comerciantes

¿Cuál es la funcionalidad de correos electrónicos promocionales?

Los correos electrónicos promocionales son una funcionalidad que les otorga a los comerciantes (usuarios de Stripe) que usan los servicios de “Stripe Checkout” una nueva herramienta para permitir enviar correos electrónicos con contenido promocional a sus clientes actuales y potenciales. Cuando usted visita la página de finalización de compra de un comerciante (que cuenta con los servicios de Stripe Checkout), la función de correo electrónico promocional le permitirá a Stripe recopilar información sobre sus preferencias para recibir correos electrónicos promocionales de ese comerciante.

Las preferencias de correo electrónico promocional se recopilan tanto si completa la compra como si solo es un cliente potencial. Por “cliente potencial” se entiende a alguien que visitó el sitio de un comerciante y expresó su intención de realizar una compra al llegar a la página de finalización de compra del comerciante, pero no completó esa compra durante esa sesión. Para ser un “cliente potencial” para la función de correo electrónico promocional, también tiene que haber empezado a introducir su información de contacto en el formulario en la página de finalización de compra y no haber eliminado esa información antes de finalizar la sesión.

Si usted, como cliente potencial, confirma su permiso para recibir noticias y ofertas personalizadas mediante la casilla de suscripción en el formulario de finalización de compra de su comerciante, se proporcionarán los siguientes datos personales a su comerciante para que este pueda ponerse en contacto con usted para recordarle los elementos que dejó en la compra o para proporcionarle noticias y ofertas personalizadas:

  • Correo electrónico (si lo proporcionó usted).
  • Elementos en su carrito con ese comerciante (si es que los hay).

Por “ofertas personalizadas” se entienden los materiales promocionales o de marketing adaptados a sus preferencias, como cupones o anuncios basados en los elementos de su carrito o (en algunos casos) en sus compras anteriores en ese comercio. Incluso si usted elige no recibir ofertas personalizadas por parte de un comerciante, si lleva a cabo operaciones con ese comerciante, es posible que este tenga que ponerse en contacto con usted para efectuar una compra (por ejemplo, para la entrega o facturación) o conectarlo con el soporte al cliente. Para obtener más información, consulte la política de privacidad de su comerciante.

¿Cuál es el rol de Stripe (controlador/encargado de tratamiento de los datos) en el procesamiento de mis datos personales?

Para la función de correos electrónicos promocionales, Stripe actúa como encargado de tratamiento de los datos o proveedor de servicios, lo que significa que Stripe actúa bajo la dirección del comerciante que implementó esta función proporcionada por Stripe. La entidad de Stripe que actúa como encargado de tratamiento de los datos personales es:

  • Stripe Inc. en Estados Unidos.
  • Stripe Payments Europe Limited fuera de Estados Unidos, incluyendo Europa.

¿Qué datos personales recopila Stripe?

La Política de privacidad de Stripe describe con mayor detalle los datos personales que Stripe recopila en relación con las transacciones de pago.

¿Qué datos personales comparte Stripe con los comerciantes que utilizo?

Siempre que usted complete una transacción en el sitio web de un comerciante que usa los servicios de Stripe, como proveedor de servicios de ese comerciante, Stripe compartirá su información de contacto con ese comerciante. Los comerciantes utilizan la información que Stripe les proporciona de acuerdo con su propia política de privacidad; esto incluye su compra.

Con la función de correos electrónicos promocionales:

  • Si usted completa una compra con un comerciante, además de la información relacionada con la transacción identificada en nuestra Política de privacidad (por ejemplo, su información de contacto y de facturación y los detalles de su transacción), Stripe también compartirá con su comerciante sus ofertas personalizadas y sus preferencias de noticias según lo determinado por la casilla de suscripción en el formulario de finalización de compra.
  • Si usted es un cliente potencial (inicia una compra con su comerciante en su formulario de finalización de compra, pero no la completa), los datos personales que compartimos con su comerciante dependen de lo siguiente:
    • Si no proporcionó datos personales en el formulario de finalización de compra de su comerciante, no compartiremos ningún dato personal con este.
    • Si introdujo datos personales en el formulario de finalización de compra del comerciante:
      • Si la casilla para recibir noticias y ofertas personalizadas no está seleccionada cuando abandone la sesión de finalización de compra del comerciante, no compartiremos ningún dato personal.
      • Si la casilla para recibir noticias y ofertas personalizadas está seleccionada cuando abandone la sesión de finalización de compra del comerciante, compartiremos la siguiente información con el comerciante:
        • Correo electrónico (si lo proporcionó usted).
        • Elementos en su carrito con ese comerciante (si es que los hay).

Los clientes actuales y potenciales siempre deberán revisar las notificaciones o políticas de privacidad de los comerciantes que visitan y con los que realizan operaciones en busca de información sobre las prácticas de recopilación de datos de ese comerciante y sus propósitos, según sean ajenos a esta funcionalidad de Stripe.

¿Stripe comparte mis datos personales con otros comerciantes?

No. Stripe no comparte los datos personales recogidos en relación con las compras (o los intentos de compra) desde la página de finalización de compra de un comerciante con otro. Para obtener más información sobre nuestras prácticas, consulte nuestra Política de privacidad.

¿Cómo puedo detener los correos electrónicos promocionales de un comerciante?

Todas las ofertas o correos electrónicos promocionales que reciba como consecuencia del uso de esta funcionalidad por parte de un comerciante son enviados por este (u otros identificados en el mensaje), y no por Stripe. Creemos que dichos correos electrónicos pueden serle de utilidad, pero de no ser no así, póngase en contacto con el comerciante del que recibe los mensajes. Stripe exige que los comerciantes que decidan implementar la función de correo electrónico promocional también ofrezcan la opción de cancelar la suscripción o de no recibir más mensajes promocionales. Sería un incumplimiento de las condiciones de servicio de Stripe que un comerciante no cumpliera lo antes posible con las solicitudes de cancelación.

¿Cómo funciona la recopilación y la transferencia de datos?

La funcionalidad de correo electrónico promocional no utiliza cookies ni realiza un seguimiento de los comerciantes. La información recopilada en la página de finalización de compra del vendedor se transfiere únicamente al comerciante a través de llamadas a la API o webhooks. Los webhooks son una forma por la que Stripe envía la información al comerciante de manera automática cuando este lo solicite. La información proporcionada en momento de la compra se encripta en tránsito utilizando HTTPS y TLS. Para obtener más información, consulte la seguridad de Stripe.

¿Cómo puedo impedir la venta de mis datos personales conectados con esta funcionalidad?

Stripe no vende sus datos personales. Para obtener mayor información, consulte nuestra política de privacidad. La función de correos electrónicos promocionales no supone la venta de datos personales. Por el contrario, Stripe actúa como encargado de tratamiento de datos (o proveedor de servicios) de los comerciantes para la funcionalidad de correo electrónico promocional. Póngase en contacto con los comerciantes para conocer sus prácticas en materia de datos personales y la manera en que puede ejercer sus derechos para detener la venta o el procesamiento de datos personales previstos en la legislación aplicable o en su política de privacidad.

Stripe exige que los comerciantes que decidan implementar la función de correo electrónico promocional también ofrezcan la opción de cancelar la suscripción o de no recibir más mensajes promocionales. Sería un incumplimiento de las condiciones de servicio de Stripe que un comerciante no cumpliera lo antes posible con las solicitudes de cancelación.

Para comerciantes

Cómo usar este servicio como comerciante

Si usted es una empresa que usa o desea hacer uso de la funcionalidad de correos electrónicos promocionales de Stripe, visite la página web de soporte para obtener consejos y orientación sobre la información que puede compartir con sus clientes actuales y potenciales, tomando en cuenta las consideraciones de privacidad conectadas con la funcionalidad de correos electrónicos promocionales para su empresa.

Cuentas Financieras Vinculadas

Si usted es un cliente al que se le solicitó que vincule su cuenta financiera usando Stripe, visite la página web de soporte aquí para saber más acerca de nuestras prácticas de privacidad. También puede consultar los temas específicos desde los siguientes enlaces:

Director de protección de datos

¿Stripe cuenta con un director de protección de datos (DPO)?

Sí, Stripe designó un DPO y puede contactarlo en la dirección de correo dpo@stripe.com.

Transferencia internacional de datos

¿Cómo maneja Stripe la transferencia internacional de datos?

El Tribunal de Justicia de la Unión Europea emitió una sentencia en el caso Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems (también conocido como Schrems II), en la que se examinaron las transferencias de datos desde el Espacio Económico Europeo (EEE). A continuación se ofrece información adicional sobre el enfoque de Stripe respecto de esta sentencia.

Stripe sigue contando con medidas de protección y cumplimiento apropiadas para garantizar un nivel adecuado de protección de los datos personales transferidos fuera del EEE y Suiza. Las medidas existentes de Stripe incluyen las cláusulas contractuales estándar (SCC) aprobadas por la Comisión de la UE para permitir las transferencias internacionales de datos.

Stripe respeta la privacidad de todos los que acceden a nuestros servicios y productos, y se compromete a ser transparente sobre los procesos y políticas de privacidad. Facilitamos millones de negocios, y con el fin de proporcionar nuestros servicios a nuestros usuarios, recopilamos y procesamos datos personales.

Para saber más acerca de nuestro compromiso en cuanto a la privacidad y la seguridad de datos, consulte nuestra Política de privacidad, el Centro de privacidad de Stripe, y el Centro de seguridad de Stripe.

Adicionalmente, queremos destacar algunas de nuestras medidas complementarias para proteger los datos de nuestros usuarios ante el acceso no autorizado.

Stripe mantiene y aplica un programa de seguridad que aborda la gestión de la seguridad y los controles de seguridad empleados por Stripe. También llevamos a cabo evaluaciones de riesgos e implementamos y mantenemos controles para la identificación, el análisis, la supervisión, la presentación de informes y las medidas correctivas de riesgos. Stripe mantiene y hace cumplir un programa de gestión de recursos que clasifica y controla adecuadamente los recursos de hardware y software a lo largo de su vida útil. Además, los empleados, agentes y contratistas de Stripe reconocen sus responsabilidades en materia de seguridad y privacidad de los datos en virtud de las políticas de Stripe.

Stripe aplica medidas técnicas y organizativas que incluyen las siguientes:

  • Control de acceso físico para evitar que personas no autorizadas accedan a los sistemas de procesamiento de datos disponibles en los edificios e instalaciones (entre las que se incluyen las bases de datos, los servidores de aplicaciones y el hardware relacionado), donde se procesan los datos personales.
  • Control de acceso virtual para evitar que los sistemas de procesamiento de datos sean usados por personas sin autorización.
  • Control de acceso a los datos para garantizar que las personas autorizadas a usar un sistema de procesamiento de datos solo tengan acceso a dichos datos personales de acuerdo con sus derechos de acceso, y que los datos personales no puedan leerse, copiarse, modificarse ni eliminarse sin autorización.
  • Control de divulgación para garantizar que los datos personales no puedan leerse, copiarse, modificarse ni eliminarse sin autorización durante la transmisión electrónica, el transporte o el almacenamiento en medios de soporte (manuales o electrónicos), y que pueda verificarse a qué empresas u otras entidades jurídicas se divulgan los datos personales.
  • Control de entrada para auditar si los datos fueron introducidos, modificados o eliminados (borrados) de los sistemas de procesamiento de datos y por quién fueron realizadas dichas acciones.
  • Control de disponibilidad para garantizar que los datos personales están protegidos contra la destrucción o pérdida accidental (física o lógica).
  • Control de separación con el fin de garantizar que los datos personales recopilados para diferentes propósitos puedan procesarse por separado.

Por defecto, Stripe encripta los datos en reposo y en tránsito. Además, protegemos sus datos con herramientas como los registros de auditoría, las políticas de gestión de acceso y las certificaciones, tal y como se describe en nuestra página de Pagos en la sección “Seguridad y cumplimiento en el núcleo”. Los controles de seguridad implementados en Stripe incluyen la configuración TLS 1.2 de los puntos de conexión para los datos en tránsito, el cifrado TLS o SSL para HTTPS y las pruebas periódicas de los componentes de la infraestructura. La autenticación en dos pasos está disponible para una etapa adicional de seguridad en el inicio de sesión del Dashboard.

Ya no nos basamos en el Escudo de protección de la privacidad como mecanismo de transferencia de datos, dado que el Escudo de protección de la privacidad UE-EE. UU. y el Escudo de protección de la privacidad Suiza-EE. UU. ya no son válidos como consecuencia de la sentencia Schrems II dictaminada por el Tribunal de Justicia Europeo el 16 de julio de 2020. Sin embargo, seguimos comprometiéndonos con los principios del marco del Escudo de protección de la privacidad, ya que aún puede proteger la privacidad a los usuarios.

Recibimos solicitudes de acceso a los datos por parte de las autoridades de seguridad correspondientes, por ello revisamos cada solicitud con el objetivo de responder con la mínima cantidad de información requerida en respuesta a dichas solicitudes legítimas y legalmente obligatorias. Nos comprometemos a garantizar que los datos de nuestros usuarios puedan seguir circulando con libertad entre la UE y EE. UU., y seguiremos colaborando con las autoridades regulatorias, los grupos del sector y las empresas que se encuentren en una situación similar para asegurarnos de que se satisfagan las necesidades de nuestros usuarios.

Si tiene alguna pregunta, póngase en contacto con privacy@stripe.com.

¿A qué se refiere la sentencia Schrems II?

El Tribunal de Justicia de la Unión Europea dictó sentencia en el caso C-311/18 Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems (también conocido como Schrems II), en el que se examinaron las transferencias de datos desde el Espacio Económico Europeo (EEE) y Suiza. A continuación se ofrece información adicional respeto de nuestro enfoque.

Stripe sigue contando con medidas de protección y cumplimiento apropiadas para garantizar un nivel adecuado de protección de los datos personales transferidos fuera del EEE y Suiza. Las medidas existentes de Stripe incluyen las cláusulas contractuales estándar (SCC) aprobadas por la Comisión de la UE para permitir las transferencias internacionales de datos.

Ya no nos basamos en el Escudo de protección de la privacidad como mecanismo de transferencia para la UE como consecuencia de la sentencia Schrems II, pero seguimos siendo parte del programa en virtud de nuestra certificación con el Departamento de Comercio de EE. UU. y el Escudo de protección de la privacidad Suiza-EE. UU. Por esta razón, seguimos aludiendo al Escudo de protección de la privacidad en algunas de nuestras políticas.

Nuestros usuarios pueden estar seguros de que estamos comprometidos con el cumplimiento de los flujos de datos personales a través de nuestros servicios y de que seguiremos trabajando para ofrecer una protección adecuada en función de las cuestiones planteadas en la sentencia Schrems II. Seguiremos evaluando la decisión y prevemos que en breve se publicarán las regulaciones correspondientes.

Si tiene más preguntas, póngase en contacto con nuestro equipo de privacidad a la dirección privacy@stripe.com.

Sus derechos y elecciones

¿Puedo desactivar el seguimiento y las señales de fraude avanzadas?

Su navegador puede permitirle gestionar sus preferencias de cookies; esto incluye la posibilidad de eliminar y desactivar las cookies de Stripe. Si decide desactivar las cookies, tenga en cuenta que algunas características de nuestro sitio o servicios pueden no funcionar como se espera. Al deshabilitar las cookies no se desactivará la recopilación de señales de fraude avanzadas, las cuales empleamos para prevenir el fraude en Stripe. La recopilación de estos datos es controlada por la empresa que se integró con Stripe. Si una empresa desea desactivar esta recopilación de datos, hay instrucciones para hacerlo con la documentación de Stripe. Puede echar un vistazo a la sección de ayuda de su navegador o seguir los enlaces que aparecen a continuación para entender sus opciones para deshabilitar las cookies.

Puede obtener mayor información sobre cómo las empresas pueden desactivar la recopilación de señales de fraude avanzadas en nuestra documentación para desactivar la detección de fraude avanzada.

¿Cómo puedo eliminar mi cuenta?

Puede eliminar su cuenta de Stripe desde la página Configuración del Dashboard. Puede leer más sobre esto en nuestra página de soporte: Cerrar una cuenta de Stripe.

Tenga en cuenta que eliminaremos parte de la información que tenemos, pero no toda, por las razones que se explican a continuación.

Como proveedor de servicios de pago, Stripe debe cumplir con varias regulaciones y disposiciones, incluidas entre ellas, las leyes antiterrorismo y contra el lavado de dinero. Estas disposiciones legales pueden requerir que Stripe mantenga registros de transacciones asociados con usuarios de Stripe por cierto período de tiempo luego de la finalización de la relación con el cliente. Puede leer más acerca de nuestras obligaciones de evaluación de riesgos en nuestra Política de privacidad.

¿Cómo puedo eliminar mi cuenta Connect Custom?

Si usted es usuario de una cuenta Connect Custom, su cuenta es gestionada por un usuario de la plataforma de Stripe. Ellos son los responsables de gestionar los pagos por usted y de responder a su consulta, por lo que le recomendamos que se ponga en contacto con ellos para obtener ayuda.

¿Cómo puedo eliminar mi cuenta Connect Express?

Si usted es usuario de una cuenta Connect Express, su cuenta es gestionada por un usuario de la plataforma de Stripe. Ellos son los responsables de gestionar los pagos por usted y de responder a su consulta, por lo que le recomendamos que se ponga en contacto con ellos para obtener ayuda.

Cookies y otra tecnología

¿Cómo emplea las cookies Stripe?

Utilizamos las cookies para: (1) garantizar que nuestros servicios funcionen correctamente; (2) prevenir y detectar el fraude y violaciones de nuestras condiciones de servicio; (3) comprender la forma en que los visitantes usan y se comprometen con nuestro sitio web; y (4) analizar y mejorar nuestros servicios. Dependiendo de su relación con Stripe y el dominio que esté visitando, se aplican diferentes cookies: por ejemplo, algunas se establecen en el dominio público de Stripe, otras en el Dashboard de Stripe cuando se inicia la sesión como usuario, y otras en la página de pago disponible para los clientes que realizan pagos y utilizan los servicios que Stripe proporciona.

Las cookies desempeñan un papel importante para ayudar a Stripe a proporcionar servicios personales, eficientes y seguros. Tenga en cuenta que cambiamos las cookies de forma periódica a medida que mejoramos o ampliamos nuestros servicios. Para más información, consulte nuestra Política de utilización de cookies.

Etiquetas de las cookies de Stripe

Queremos proporcionarle algunos datos sobre nuestras cookies, como una etiqueta nutricional. Las cookies enlistadas son una descripción únicamente de las cookies que se aplican en cada escenario; para una lista más detallada, consulte nuestra Política de utilización de cookies.

Información sobre la cookie de Stripe: Stripe.js.com
Esta cookie se establece con fines de prevención del fraude. La detección del fraude utiliza tecnología que nos ayuda a evaluar el riesgo asociado a un intento de transacción que se habilita en el sitio web del usuario de Stripe o en la aplicación que recopila la información.
Cantidad total de cookies 3
Tipo de cookie Detalles Vencimiento
Necesarias _stripe_mid
_stripe_sid
m.stripe.com (denominada _guid/ m cookie)
1 año
30 min.
2 años
Analíticas - -
De preferencias - -
Publicitarias No se emplea para fines publicitarios ni se vende a terceros -
Información sobre la cookie de Stripe: Atlas
Estas cookies le permiten a Stripe realizar un mejor seguimiento de diversas actividades cuando se emplea Atlas (por ejemplo, campañas de marketing o inicios de sesión en foros de la comunidad).
Cantidad total de cookies 5
Tipo de cookie Detalles Vencimiento
Necesarias atlas_invite
_t
_forum_session
La sesión
2 meses
La sesión
Analíticas atlas_ref 1 día
De preferencias - -
Publicitarias No se emplea para fines publicitarios ni se vende a terceros -
Información sobre la cookie de Stripe: Cuentas Connect
La cookie lsession les permite a los clientes de Stripe Connect incorporarse a una cuenta Express y visitar el Dashboard de Express.

La cookie connect_locale recuerda la preferencia del idioma del usuario durante la sesión.
Cantidad total de cookies 2
Tipo de cookie Detalles Vencimiento
Necesarias lsession 28 días o hasta 1 año en dispositivo móvil
Analíticas - -
De preferencias connect_locale la sesión
Publicitarias No se emplea para fines publicitarios ni se vende a terceros -
Información sobre la cookie de Stripe: Cuentas Stripe Checkout
Esta cookie se establece para los clientes que eligen que Stripe recuerde los detalles de su método de pago. Un cliente que visita Stripe Checkout (checkout.stripe.com) puede seleccionar una casilla para guardar su información de pago para futuras transacciones de Stripe Checkout. Solo se establece una cookie después de que el cliente supere un paso de autenticación durante la siguiente transacción con Stripe Checkout. Esta cookie es necesaria para habilitar la funcionalidad de Stripe Checkout si el cliente seleccionó que se recuerde su información. Consulte a continuación para obtener más detalles.

El único propósito de la cookie es indicar que el cliente fue autenticado para una combinación específica de navegador y dispositivo. La carga útil de la cookie es una cadena generada de manera aleatoria.
Cantidad total de cookies 1
Tipo de cookie Detalles Vencimiento
Necesarias pay_sid 90 días
Analíticas - -
De preferencias
Publicitarias No se emplea para fines publicitarios ni se vende a terceros -

¿Qué es Stripe.js?

Stripe.js (y sus contrapartes de SDK para iOS y Android) es una librería JavaScript que usan las empresas para integrar Stripe y aceptar pagos electrónicos. Una vez que se incorpora Stripe.js a un sitio o aplicación móvil, se utilizan señales de fraude para diferenciar el comportamiento legítimo del fraudulento.

Por ejemplo, es menos probable que los estafadores y los bots pasen tiempo en diferentes páginas, lo que podemos detectar y utilizar como señal para detener el fraude.

Cuando usted visita un sitio que emplea Stripe, esta prevención de fraude podría aparecer en un informe de privacidad o en una lista de rastreadores en su navegador web.

Aunque pueda ver a Stripe en una lista de rastreadores, no estamos creando un perfil de rastreo personal para usted. Stripe no comparte ni vende estos datos a anunciantes, y nunca lo hará. Estos datos se intercambian de forma segura entre los siguientes servidores controlados por Stripe:

  • js.stripe.com
  • m.stripe.network
  • m.stripe.com
  • q.stripe.com

Los datos recopilados por estos puntos de conexión están diseñados para ser seguros y no salir de la infraestructura de Stripe. El acceso a esta información está sujeto a controles estrictos y está restringido a un pequeño número de empleados de Stripe que trabajan en seguridad y prevención de fraude (y los permisos se revisan regularmente). Puede leer más sobre esto en nuestra Política de privacidad.

¿Qué son las señales de fraude avanzadas?

La detección avanzada de fraude de Stripe examina las señales de las características del dispositivo de un cliente y los indicadores de actividad del usuario, como copiar y pegar con rapidez, cosas que harían los bots o los estafadores, no los clientes legítimos. Estas señales son un indicador significativo de fraude y alimentan los sistemas de prevención de fraude de Stripe, como Radar. Las señales se transmiten de forma segura al back-end de Stripe mediante solicitudes periódicas al punto de conexión m.stripe.com.

Puede obtener más información en nuestra documentación para desactivar la detección de fraude avanzada.

¿Por qué las señales de fraude avanzadas no se usan para el seguimiento de anuncios?

Stripe solo hace uso de estas señales avanzadas de detección del fraude para permitir pagos seguros y prevenir el fraude. No utilizamos estos datos para crear perfiles individuales ni tampoco los compartimos o vendemos a terceros con fines publicitarios.

Puede leer más sobre nuestra forma de emplear estos datos en nuestra Política de privacidad.

¿De qué manera Stripe recuerda los detalles del método de pago para Stripe Checkout?

Cuando un cliente realiza una compra con un comerciante que permite el uso de Stripe Checkout (checkout.stripe.com), el cliente puede pedirle a Stripe que le proporcione los detalles de su método de pago, como los datos de la tarjeta de crédito y débito. El cliente realiza esta acción al seleccionar una casilla que se muestra en la interfaz de usuario de Stripe Checkout y, a continuación, al introducir un número de teléfono cuando se le solicita. Si un individuo elige que su información se almacene, Stripe conservará la dirección de correo electrónico, el número de teléfono y los detalles del método de pago del cliente para las próximas transacciones de Stripe Checkout.

Si el cliente ingresa su dirección de correo electrónico durante una futura transacción de Stripe Checkout, Stripe autenticará al cliente cuando le proporcione una contraseña de un solo paso (OTP) mediante un mensaje SMS. Si el cliente ingresa correctamente la OTP, Stripe establecerá una cookie en su navegador, lo que indica que el cliente fue autenticado. Si el cliente no ingresa la OTP, o elige la opción “cerrar sesión” en la ventana que solicita la OTP, no se establecerá ninguna cookie.

Una vez establecida la cookie, el cliente puede realizar compras “con un solo click” en Stripe Checkout, lo que significa que Stripe completará de manera automática la información almacenada del cliente en Stripe Checkout en su nombre y usará la información para completar la transacción.

Una cookie solo se almacena en un navegador específico y en un dispositivo en particular. Si un cliente desea realizar compras con un solo click en un navegador diferente o en un dispositivo diferente, debe pasar por el proceso de autenticación OTP para la nueva combinación de navegador/dispositivo.

La cookie vence a los 90 días, momento en el que será necesario que el cliente vuelva a completar el proceso de OTP. El cliente también puede eliminar proactivamente la cookie al borrar las cookies en su navegador o al seleccionar la opción “cerrar sesión” cuando se presente esta opción en Stripe Checkout.

Si un cliente ya no desea que Stripe recuerde los detalles de su método de pago para las próximas transacciones de Stripe Checkout, el cliente puede utilizar la herramienta de eliminación de autoservicio. Como alternativa, puede ponerse en contacto con el servicio de soporte de Stripe para realizar esta solicitud.

La descripción anterior describe la forma en que un cliente puede controlar cómo se almacena y emplea su información para las transacciones de Stripe Checkout. Sin embargo, esto no influye en los demás contextos en los que Stripe puede almacenar y utilizar la información del cliente. En particular, Stripe puede almacenar y emplear dicha información tal y como se describe en otras secciones de esta página, incluso para fines tales como la detección avanzada de fraudes.

Contáctenos

Si tiene alguna consulta adicional sobre privacidad de datos después de haber revisado nuestra política de privacidad, no dude en ponerse en contacto con nosotros a través de la siguiente dirección privacy@stripe.com.

Si desea enviar un correo postal, hágalo a la siguiente dirección:

Stripe, Inc.
510 Townsend Street
San Francisco, CA 94103, USA
Asunto: Stripe Legal

Stripe Payments Europe Limited
1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irlanda
Asunto: Stripe Legal

On this page