Inizia ora  Contattaci 
Inizia ora  Contattaci 

Come scegliere un fornitore di pagamenti conforme al CCPA

Payments
Payments

Accetta pagamenti online, di persona e in tutto il mondo con una soluzione di pagamento sviluppata per qualsiasi tipo di attività, dalle start-up in espansione alle società internazionali.

Ulteriori informazioni 
  1. Introduzione
  2. Perché il California Consumer Privacy Act è importante per i pagamenti
  3. Dati personali utilizzati da un elaboratore di pagamenti
  4. Come valutare la conformità di un fornitore al CCPA
  5. Segnali che indicano una gestione debole dei dati dei pagamenti
  6. In che modo i team degli acquisti possono strutturare una richiesta d’offerta per individuare immediatamente le lacune nella conformità al CCPA
  7. In che modo Stripe Payments può essere d’aiuto
  8. Inizia con Stripe 

Il California Consumer Privacy Act (CCPA) e la sua estensione, il California Privacy Rights Act (CPRA), stabiliscono gli standard in base ai quali i fornitori di servizi digitali devono raccogliere e condividere i dati dei clienti nel Golden State. Il rispetto del CCPA e del CPRA è particolarmente importante da considerare nella scelta di un fornitore di pagamenti, poiché la multa per ogni violazione può essere di quasi 8.000 dollari.

Di seguito spiegheremo come scegliere un fornitore di pagamenti conforme al CCPA, fra cui come valutare il rispetto della privacy da parte dei fornitori e come individuare le lacune nella conformità nelle prime fasi del processo di ingaggio.

Contenuto dell'articolo

  • Perché il California Consumer Privacy Act è importante per i pagamenti
  • Dati personali utilizzati da un elaboratore di pagamenti
  • Come valutare la conformità di un fornitore al CCPA
  • Segnali che indicano una gestione debole dei dati dei pagamenti
  • In che modo i team degli acquisti possono strutturare una richiesta d'offerta per individuare immediatamente le lacune nella conformità al CCPA
  • In che modo Stripe Payments può essere d'aiuto

Perché il California Consumer Privacy Act è importante per i pagamenti

Il CCPA concede ai californiani il diritto di sapere come vengono raccolte le loro informazioni personali, richiederne la cancellazione e impedirne la vendita. L'ambito di applicazione del CCPA include i fornitori di pagamenti, poiché gestiscono dati sensibili, inclusi nomi, email, indirizzi, numeri di carta e dettagli delle transazioni.

I fornitori di pagamenti sono spesso considerati "fornitori di servizi" secondo la legge. Le aziende possono condividere i dati dei clienti con i fornitori di pagamenti per motivi limitati e specifici, e i fornitori devono garantire lo stesso livello di salvaguardia della privacy. Se un processore di pagamenti riutilizza quei dati (ad esempio, analizzando la cronologia delle transazioni per costruire i propri prodotti di marketing), esce ai limiti di legge.

Ignorare il CCPA può comportare multe e danni alla reputazione, anche se l'attività ha sede al di fuori della California. Il CCPA si applica a tutti i residenti in California, indipendentemente dal luogo in cui si trova l'attività, in modo analogo al Regolamento generale sulla protezione dei dati (GDPR) europeo.

Dati personali utilizzati da un elaboratore di pagamenti

Ogni pagamento coinvolge svariate informazioni personali e sensibili.

Ecco cosa può includere:

  • Identificatori dei clienti: nomi, email, indirizzi postali e nomi di account. Anche gli indirizzi IP (Internet Protocol) raccolti durante il checkout sono considerati informazioni personali.

  • Dati finanziari: numeri di carte di credito e di debito, date di scadenza, codici di sicurezza e numeri di conto bancario e di instradamento. Il CCPA classifica queste informazioni come personali e sensibili, poiché sono direttamente legate all'identità finanziaria.

  • Dati delle transazioni: cronologia degli acquisti, valori degli ordini, marcatori temporali e dettagli aziendali. Questi dati rivelano modelli di spesa legati a individui specifici.

  • Dati per la prevenzione delle frodi: le impronte digitali nei dispositivi, la geolocalizzazione e gli indicatori comportamentali utilizzati per rilevare le frodi sono tutti considerati dati personali secondo la legge.

  • Dati di autenticazione: le credenziali di accesso criptate, i token dell'account e, talvolta, gli identificatori biometrici come la verifica del volto o delle impronte digitali sono considerati dati sensibili.

  • Comunicazioni con i clienti: le email di assistenza, i log delle conversazioni e le registrazioni delle chiamate contengono spesso dati personali legati a conti o transazioni.

Come valutare la conformità di un fornitore al CCPA

I fornitori di pagamenti elaborano i dati per tuo conto, ma devi assicurarti che possano supportare le richieste che i tuoi clienti possono fare legalmente.

Dovresti considerare quanto segue:

  • Gestione di consenso e cancellazione: secondo il CCPA, molti fornitori di pagamenti non hanno bisogno del consenso volontario per raccogliere i dati, ma devono rispettare le preferenze "Non vendere né condividere". Se si affidano a cookie o a strumenti di tracciamento per il rilevamento delle frodi o per l'analisi, devi verificare che questi non siano in conflitto con i diritti di cancellazione.

  • Accesso e portabilità: I clienti hanno il diritto di sapere quali dati personali detiene un'azienda. Questo significa che il tuo fornitore deve poterli recuperare su richiesta. Chiedi come individua e compila i singoli documenti (via email, token della carta o ID della transazione) e come verifica l'identità prima di rilasciare i dati. I fornitori maturi possono produrre queste informazioni tramite un'interfaccia di programmazione applicazione (API) o un flusso di lavoro definito.

  • Controlli di cancellazione e conservazione: I fornitori di servizi sono generalmente tenuti a cancellare le informazioni dei clienti, qualora venga richiesto. Eliminare i dati dei pagamenti non è sempre semplice. I fornitori devono poter rimuovere i dati personali quando lo richiedi, mantenendo comunque quelli legalmente necessari per la conformità.

Segnali che indicano una gestione debole dei dati dei pagamenti

Individuare i segnali che avvertono della debolezza nella gestione dei dati può salvarti da rischi per la conformità e dai futuri danni per la reputazione.

Osserva quanto segue:

  • Nessuna prova di conformità: un fornitore maturo può dimostrare una gestione attenta dei dati. Rapporti del Payment Card Industry Data Security Standard (PCI DSS), procedure documentate del CCPA, 2 report System and Organization Controls (SOC) o le certificazioni della International Organization for Standardization (ISO) possono fornire il contesto.

  • Prassi di sicurezza indefinite: crittografia, controlli di accesso e i test delle vulnerabilità dovrebbero essere standard. Se un fornitore memorizza i dati delle carte non crittografati, manca di autenticazione multifattoriale o non riesce a descrivere il suo piano di risposta alle violazioni, questo rappresenta un ostacolo insormontabile.

  • Uso poco chiaro dei dati: alcuni fornitori di pagamenti utilizzano i dati delle transazioni per analisi, pubblicità o modelli di machine learning non correlati alla tua azienda. Devono dare ai clienti la possibilità di rifiutare la pubblicità mirata.

  • Resistenza alla trasparenza: risposte evasive durante la due diligence (ad esempio, evitando le risposte dirette su flussi di dati, conservazione o processori secondari) è un evidente segnale d'allarme. Altri segnali preoccupanti includono il rifiuto di compilare i questionari sulla sicurezza o consentire solo verifiche limitate.

  • Nessuna leadership sulla privacy: se il fornitore non ha un responsabile della privacy o un team addetto alla conformità, o nessuna formazione interna per il personale che gestisce i dati dei clienti, la gestione del rischio potrebbe al massimo essere reattiva.

In che modo i team degli acquisti possono strutturare una richiesta d'offerta per individuare immediatamente le lacune nella conformità al CCPA

Un richiesta di offerta (RFP) per un fornitore di pagamenti può aiutarti a confrontare la maturità della gestione dei dati dei fornitori.

Considera di intraprendere le seguenti azioni:

  • Includi una sezione dedicata alla privacy: non nascondere la protezione dei dati nell'appendice. Rendi la conformità al CCPA una categoria a sé stante, segnalando che la privacy fa parte delle politiche aziendali e non è una questione secondaria.

  • Chiedi dati specifici: richiedi un elenco chiaro delle informazioni personali che il fornitore raccoglie, elabora e conserva, come nomi, email, dati delle carte e ID dei dispositivi, e perché. Confronta le risposte dei fornitori, con la consapevolezza che la raccolta di dati aggiuntivi o non necessari rappresenta un segnale d'allarme.

  • Indaga sulla gestione dei diritti dei clienti: chiedi come gestisce le richieste di accesso e cancellazione, inclusi i tempi di verifica e di consegna. I fornitori competenti possono spiegarlo in modo dettagliato o fornire esempi del flusso di lavoro.

  • Verifica le procedure di conservazione e uscita dei dati: richiedi ai fornitori di dichiarare per quanto tempo conservano i dati personali, cosa ne provoca la cancellazione e come gestiscono i dati alla fine del contratto. Vuoi che gli impegni eliminino o restituiscano i dati secondo le istruzioni.

  • Valuta sicurezza e trasparenza: chiedi i rapporti di verifica (ad esempio, SOC 2, PCI DSS, ISO/IEC 27001) e le procedure di notifica scritta delle violazioni. I fornitori che non possono fornirli non sono pronti per la conformità aziendale.

In che modo Stripe Payments può essere d'aiuto

Stripe Payments offre una soluzione di pagamento unificata e globale che aiuta ogni attività, dalle start-up in fase di espansione alle multinazionali, ad accettare pagamenti online, di persona e in tutto il mondo.

Con Stripe Payments puoi:

  • Ottimizzare l'esperienza della procedura di pagamento: crea un'esperienza senza problemi per il cliente e risparmia migliaia di ore di progettazione con le interfacce utente predefinite, per accedere a oltre 125 metodi di pagamento e a Link, il wallet di Stripe.

  • Espanderti più rapidamente in nuovi mercati: raggiungi i clienti di tutto il mondo e riduci le complessità e i costi della gestione multivaluta con opzioni di pagamento transfrontaliere, disponibili in 195 Paesi e in più di 135 valute.

  • Unificare i pagamenti di persona e online: crea un'esperienza di commercio unificato su canali online e di persona per personalizzare le interazioni, premiare la fedeltà e aumentare i ricavi.

  • Migliorare le prestazioni dei pagamenti: aumenta i ricavi con una gamma di strumenti di pagamento personalizzabili e facili da configurare, tra cui la protezione contro le frodi no-code e funzionalità avanzate per migliorare i tassi di autorizzazione.

  • Muoverti più velocemente con una piattaforma flessibile e affidabile per la crescita: consolidati con una piattaforma progettata per crescere con te, con un'operatività storica del 99,999% e un'affidabilità leader nel settore.

Scopri di più come Stripe Payments può supportare i tuoi pagamenti online e di persona oppure inizia oggi stesso.

I contenuti di questo articolo hanno uno scopo puramente informativo e formativo e non devono essere intesi come consulenza legale o fiscale. Stripe non garantisce l'accuratezza, la completezza, l'adeguatezza o l'attualità delle informazioni contenute nell'articolo. Per assistenza sulla tua situazione specifica, rivolgiti a un avvocato o a un commercialista competente e abilitato all'esercizio della professione nella tua giurisdizione.

Altri articoli

  • Sì è verificato un problema. Riprova o contatta l'assistenza di Stripe.

Tutto pronto per iniziare?

Crea un account e inizia ad accettare pagamenti senza la necessità di stipulare contratti o di comunicare le tue coordinate bancarie. In alternativa, contattaci per progettare un pacchetto personalizzato per la tua attività.
Payments

Payments

Accetta pagamenti online e di persona in tutto il mondo con una soluzione di pagamento sviluppata per qualsiasi tipo di attività.

Documentazione di Payments

Trova una guida per integrare le API per i pagamenti di Stripe.