Stripe Privacy Center

Last updated: August 2, 2022

Welcome to the Stripe Privacy Center

Stripe respects the privacy of everyone that engages with our platform, and we are committed to being transparent about our privacy processes and policies. We are a platform that enables millions of businesses, and in order to provide our services to our Business Users and End Users, we collect and process personal data.

The Stripe Privacy Center contains the answers to frequently asked questions about how we collect and use personal data, the rights that individuals have in relation to personal data held by Stripe, and how Stripe complies with international data protection laws.

All materials have been prepared for general information purposes only. The information presented is not legal advice, is not to be acted on as such, may not be current and is subject to change without notice.

We’ve updated our Privacy Policy as of February 3, 2022

We’ve updated our Privacy Policy because we’re constantly looking for ways to improve the Stripe experience and to ensure that our Policy clearly explains how we collect and use data. Here’s a summary of the key changes:

  • General updates for improved readability: we have made changes to the structure and layout of the Policy to make it easier to navigate, including to help you understand how it applies to you.
  • Additional information on products: we are sharing greater detail about how we use data to provide our product experiences and to improve the effectiveness of our services.

We encourage you to read our updated Privacy Policy here for more details.

Below is a list of terms that will help “you” navigate the Privacy Center:

“You” Meaning Stripe Examples
Business User Stripe provides services to entities (“Business Users”) who directly and indirectly provide us with “End Customer” Personal Data in connection with those Business Users’ own business and activities. Stripe user or merchant

Platform User

Connect Accounts
End Customer When you do business with, or otherwise transact with, a Business User (typically a merchant using Stripe Checkout, e.g. when you buy a pair of shoes from a merchant that uses Stripe for payment processing) but are not directly doing business with Stripe, we refer to you as an “End Customer.” Individual using Identity

Cardholder using Checkout
End User When you directly use an End User Service (such as when you sign up for Link, or make a payment to Stripe Climate in your personal capacity), for your personal use, we refer to you as an “End User.” User of Link

Personal contributor to Stripe Climate
Representative When you are acting on behalf of an existing or potential Business User (e.g. you are a founder of a company, or administering an account for a merchant who is a Business User), we refer to you as a “Representative.” Beneficial owner

Shareholder, officer, director

Account representative
Visitor When you visit a Site without being logged into a Stripe account or otherwise communicate with Stripe, we refer to you as a “Visitor.” (e.g. you send Stripe a message asking for more information because you are considering being a user of our products). Stripe Sessions attendee

Stripe Site visitor

Contents

How We Collect, Disclose, and Use Personal Data
Stripe Legal Bases Tables
Data Processing Agreement
Information about Stripe Products
Data Protection Officer
International Data Transfers
Your Rights and Choices
Cookies & Other Technology
Contact Us

How We Collect, Disclose, and Use Personal Data

Is Stripe acting as a data controller or a data processor?

The answer is both.

The “data controller” is the entity which determines the purposes and means of the data processing taking place. The “data processor” is an entity acting on behalf and under the instructions of a controller in processing personal data.

Stripe is a data controller when it determines the purposes and means of the processing taking place. These data processing activities include (1) providing the Stripe products and services, (2) monitoring, preventing and detecting fraudulent payment transactions and other fraudulent activity on the Stripe platform, (3) complying with legal or regulatory obligations applicable to the financial sector to which Stripe is subject, and (4) analyzing, developing and improving Stripe’s products and services. Please see this Privacy Center article for more information on Stripe’s controller activities.

Stripe is a data processor where it is facilitating payment transactions on behalf of and at the direction of a Business User. Our Business Users direct us to take payment from cardholders / End Customers.

Stripe is considered a processor when directed to process payments (i.e., Stripe receives instructions about whom to pay, how much to pay, when to pay).

As a platform provider, we need to ensure consistency across our platform, and that includes consistency with respect to the commitments that we give about how we operate our platform. We contract with all of our Business Users (including some of the world’s largest companies) on this basis.

Which Stripe entities are involved?

For most of our services, it is either Stripe, Inc., the US parent company operating under US law, or Stripe Payments Europe, Limited (“SPEL”), an Irish company operating under Irish law, the data controller responsible for Personal Data collected and processed in relation to Stripe Services.

The Stripe entity responsible for your data will depend on your location, the product or service you use with us and whether Stripe is acting as a controller and/or data processor.

If you are located outside of the Americas (e.g., European Economic Area (“EEA”), Switzerland or the United Kingdom, countries located in Asia Pacific (“APAC”)), SPEL is the primary entity responsible for the processing of your personal data. Some of the payment processing services offered by Stripe are services that may be only provided for by an authorised payment services provider or electronic money institution. In this case, SPEL and the Stripe local regulated entity (defined as those who are licensed, authorized or registered by a Local Regulatory Authority) will act as joint controllers of your Personal Data.

Please see our table below for more information on who is your controller in these jurisdictions:

Location of User Purpose of processing Name of Stripe entity Location of Stripe entity
EEA & Switzerland Provision of certain authorised payment services in the EEA and Switzerland
Stripe Technology Europe, Limited (the e-money licensed entity with the Central Bank of Ireland) Ireland
EEA All other activities. SPEL Ireland
United Kingdom & Switzerland Provision of authorised payment services in the UK.
Stripe Payments UK, Ltd. (the e-money licensed entity with the UK FCA) United Kingdom
United Kingdom All other activities. SPEL Ireland
United Kingdom Provision Stripe Capital product and related services to Stripe users in the UK. Stripe Capital Europe, Limited Ireland

Stripe affiliates also provide local support services in certain countries where Stripe operates. These entities act as data processors on behalf of Stripe, Inc. or SPEL, depending on the jurisdiction. You will find the most up-to-date list of the Stripe affiliates on this page.

For certain products, Stripe may act as an independent controller (e.g. Stripe Capital), a data processor or both (e.g. Stripe Identity). Please see the Privacy Center article for each specific product for more information.

What are your data controller activities?

  • Providing the Stripe products and services to Business Users and End Users, including determining the third parties (banks and payment method providers) to be utilized;
  • Monitoring, preventing and detecting fraudulent payment transactions and other fraudulent activity on the Stripe platform;
  • Complying with legal or regulatory obligations applicable to the financial sector to which Stripe is subject, including applicable anti-money laundering screening and compliance with know-your-customer obligations; and
  • Analyzing, developing and improving Stripe’s products and services.

As a Stripe User and as a data controller, what does GDPR mean for me?

As a data controller, Business Users are responsible for the relationship with the data subject (i.e., your End Customer). You may instruct a third party (like Stripe) to process the data, but it is your job to set the purpose (or objectives) and legal basis for the processing.

The GDPR requires data controllers to use third parties who agree to abide by certain contractual terms. To be sure of this, the data controller must have Data Processing Agreements (“DPAs”) with each third party. Our DPA has been designed to serve this purpose for you; it is strongly aligned with payment transactions, so it should establish that you are compliant with GDPR from a payments perspective.

Who are Stripe’s sub-processors and how are they vetted?

Please see our service providers page where we have a list of our most common sub-processors, service providers and affiliates. Stripe identifies, evaluates, and engages sub-processors through our vendor management program. We enter into a contract with each sub-processor prior to sharing data with the sub-processor, and each contract contains terms that provide for monitoring and audit. In addition, all potential vendors are vetted and approved through Stripe’s security review process before we begin using their services.

From where does Stripe collect information used for fraud prevention and security purposes?

To prevent fraud and strengthen our security, we may collect information from Business Users, End Customers, End Users, financial parties, and in some cases third parties. For example, we collect and analyze information that helps us identify bad actors and bots, including both transactional data (such as amount, customer shipping address, date, and so on) and advanced fraud detection signals (device and activity signals). Learn more.

Stripe also receives information from third parties to prevent and respond to security incidents, and for protecting against other fraudulent activity. For example, we may receive information from third parties about IP addresses that malicious actors have compromised.

I heard that Stripe is collecting additional information about my account from a third party and/or my other Stripe account. Why is Stripe collecting this information?

Stripe may collect additional information about your account to allow Stripe and its financial partners to detect fraud and/or fulfill financial compliance requirements. These requirements come from our financial partners or regulatory obligations and are intended to prevent abuse of the financial system. Examples of missing data fields include your address, phone number, social security number, date of birth, employer identification number, or website URL. Stripe may be able to fill in some of this information by leveraging data we have collected from one of your other Stripe accounts or by obtaining data from a third party. We will show Business Users the information that we are associating with their account on your dashboard, and Business Users may update or correct that information via your dashboard. Please see Stripe’s Privacy Policy for additional information.

Does Stripe sell my personal information under the CCPA?

Stripe does not sell personal information. As such, we do not have actual knowledge that we sell personal information of minors under 16 years of age. For California residents, the California Consumer Privacy Act (“CCPA”) defines “selling” personal information to include providing it to a third party in exchange for money or valuable consideration. See Cal. Civ. Code § 1798.140(t)(1).

For Shine the Light law (Cal. Civ Code § 1798.83) purposes, Stripe does not share personal data of California customers to third parties for their direct marketing purposes, as defined by this law.

The table below discloses the categories of personal information about California consumers that we collect and disclose for a business purpose.

Categories of Personal Information Collected Disclosed for a business purpose in the preceding 12 months To Whom the Data may be Disclosed
Identifiers (for example, a device identifier) Yes We may disclose the data, pursuant to applicable law, to: service enablers (like service providers and financial partners servicing the financial product), the merchant that you do business with (a.k.a. our business user), an entity engaged in a business transfer/merger, law enforcement, courts, governments and regulatory agencies.
Characteristics of protected classifications under California or federal law (for example, gender and age noted in ID documents that you submit so that Stripe can verify your identity on behalf of your merchant - a.k.a. our business user) Yes We may disclose the data, pursuant to applicable law, to: service enablers (like service providers and financial partners servicing the financial product), the merchant that you do business with (a.k.a. our business user), an entity engaged in a business transfer/merger, law enforcement, courts, governments and regulatory agencies.
Commercial information (for example, the merchant that you choose to do business with - a.k.a. our business user - may receive your transaction data) Yes We may disclose the data, pursuant to applicable law, to: service enablers (like service providers and financial partners servicing the financial product), the merchant that you do business with (a.k.a. our business user), an entity engaged in a business transfer/merger, law enforcement, courts, governments and regulatory agencies.
Biometric information (for example, biometric identifiers from photo IDs used to confirm your identity) Yes We may disclose the data, pursuant to applicable law, to: a service provider - i.e., Amazon Web Services ("AWS"), an entity engaged in a business transfer/merger, law enforcement, courts, governments and regulatory agencies.
Online activity information (for example, information about devices and browsers across certain business user sites that use Stripe and IP addresses associated with those devices and browsers, and usage data) Yes We may disclose the data, pursuant to applicable law, to: service enablers (like service providers and financial partners servicing the financial product), the merchant that you do business with (a.k.a. our business user), an entity engaged in a business transfer/merger, law enforcement, courts, governments and regulatory agencies.
Geolocation Data (for example, IP addresses) Yes We may disclose the data, pursuant to applicable law, to: service enablers (like service providers and financial partners servicing the financial product), the merchant that you do business with (a.k.a. our business user), an entity engaged in a business transfer/merger, law enforcement, courts, governments and regulatory agencies.
Audiovisual (for example, visual, audio, or similar information, like photos you submit so that Stripe can verify your identity on behalf of your merchant – a.k.a. our business user) Yes We may disclose the data, pursuant to applicable law, to: service providers, the merchant that you do business with (a.k.a. our business user), an entity engaged in a business transfer/merger, law enforcement, courts, governments and regulatory agencies.
Professional or Employment-Related Information Yes We may disclose the data, pursuant to applicable law, to: Service Providers, an entity engaged in a business transfer/merger, law enforcement, courts, governments and regulatory agencies.
Categories of personal information described in Cal. Civ. Code 1798.80(e) (such as name, address, telephone number, credit card or debit card number) Yes We may disclose the data, pursuant to applicable law, to: service enablers (like service providers and financial partners servicing the financial product), the merchant that you do business with (a.k.a. our business user), an entity engaged in a business transfer/merger, law enforcement, courts, governments and regulatory agencies.

In addition to its sub-processors, what other third parties does Stripe share information with?

When we work with service providers in our capacity as a data processor for our Business Users’ and End Users’ personal data, the GDPR calls these third-party service providers a sub-processor. Sub-processors are service providers who have or potentially will have access to or process personal data on behalf of Stripe. These third parties are disclosed on our Stripe Service Providers List.

In addition to Stripe’s sub-processors, we may also share Business Users’ onboarding data and payment instrument information with third party business partners when this is necessary to provide our services to our Business Users. We do so, for example, for the purposes of offering payment processing services to our Business Users or facilitating payment settlements.

Third parties to whom we may disclose personal data for this purpose are banks, payment method providers and payment processors, including, but not limited to, the following entities:

  • American Express Payment Services Limited and American Express Payments Europe S.L.
  • Banking Circle S.A.
  • Barclays Bank PLC
  • Credit Mutuel Arkea and Arkea Banking Services
  • Currence iDEAL B.V.
  • Klarna AB
  • Mastercard Europe S.A.
  • Polski Standard Płatności
  • PPRO Financial Ltd.
  • Swisscard AECS GmbH
  • Visa Europe Limited

The data shared with payment method providers will depend on the payment method(s) enabled on the Business User’s account.

In addition, Stripe shares personal data as we believe necessary to, among other things, protect Stripe’s services, rights, privacy, safety and property of Stripe, our users or others. For example, to protect our services, Stripe may receive or disclose information about IP addresses that malicious actors have compromised.

Transfer

Stripe will pass on personal data to affiliates and service providers or sub-processors, if deemed strictly necessary to carry out contractual obligations or for the data to be processed. Depending on the enabled payment method(s), data may be transferred to the jurisdiction(s) of the respective payment method(s). Before we engage any third party, we perform due diligence, including a vendor security assessment. All of our service providers are subject to contract terms designed to ensure that these service providers process personal data only for the purposes of providing services to Stripe and in accordance with our commitments to Users and applicable data protection laws. Moreover, Stripe maintains and enforces a security program that addresses the management of security and the security controls employed by Stripe, which includes third party risk management. In addition, Stripe employees, agents, and contractors acknowledge their data security and privacy responsibilities under Stripe’s policies.

What data about End-Customers and their transactions is used by Radar and what data does Stripe share with its Radar Business Users?

When processing payments, it’s valuable to Stripe, Business Users and End-Customers to enable legitimate transactions while also trying to prevent fraudulent transactions, making online purchases safer for everyone involved. Radar helps detect potentially fraudulent transactions for Stripe’s Business Users (i.e., merchants) through machine learning and other techniques. To do this, Radar leverages data collected across our Services.

Business Users can use Radar to leverage a transaction “score” or transaction “level” calculated by Stripe and implement rules determined by the Business User that will allow, block, or flag transactions for additional review based on an assessment of the likelihood that the transaction is legitimate. Business Users can use Radar as one of multiple inputs in making decisions with respect to the potential for fraud in a transaction.

Radar uses data collected about the End Customer from various sources, including payments transaction data, advanced fraud detection data, IP address and physical address information. Radar uses this data to establish the likelihood that the payment method offered by the End Customer for a transaction is truly authorized for that transaction.

Stripe may share with the Business User certain information relevant to fraud detection, including:

  • a transaction score or level that assesses the likelihood of the transaction becoming a fraudulent charge-back,
  • risk insights for that transaction,
  • related payments made by the End-Customer to the Business User,
  • other transaction data related to that End-Customer’s transaction with that Business User (e.g., cardholder name, card information, and the payment amount and date),
  • device and browser information for the device used to make the transaction with that Business User, and
  • aggregated benchmarks.

As noted in Stripe’s Privacy Policy, Stripe does not sell personal data.

As a Business User, what notice do I provide to my End Customers about Stripe?

Under the terms of our agreements, Business Users are required to provide all necessary notices and obtain all necessary rights and consents from their End Customers to enable Stripe to lawfully collect, use, retain and disclose the Personal Data as part of the Stripe Services. Business Users, as data controllers, are responsible for the contents of their privacy notice and cookie banner. As an example, here is a paragraph that you can consider adding to your privacy notice (if you don’t already have such a disclosure):

We use Stripe for payment, analytics, and other business services. Stripe collects and processes personal data, including identifying information about the devices that connect to its services. Stripe uses this information to operate and improve the services it provides to us, including for fraud detection and prevention. You can learn more about Stripe and its processing activities via privacy policy at https://stripe.com/privacy.

Please be aware that the disclosure above is for illustrative purposes only and is not legal advice. Please talk to your legal advisor to understand how to comply with your obligations under applicable law.

To comply with our transparency obligations, we explain how our cookies are used in our Cookie Policy and our Cookies Settings Dashboard sets out our list of cookies. We remind our Business Users to review the cookies placed on their website and to update their cookie banners accordingly.

We rely upon a number of legal grounds to enable our use of your Personal Data. In short, we use Personal Data to facilitate the business relationships we have with our Business Users and End Users, to comply with our financial regulatory and other legal obligations, and to pursue our legitimate business interests. We also use Personal Data to complete transactions and to provide payment-related services to our Business Users.

Our table below provides a detailed overview of why and how we use your Personal Data.

For the purposes of the General Data Protection Regulation, we rely upon a number of legal bases to enable our processing of your Personal Data.

End Users

When you directly use an End User Service (such as when you sign up for Link, or make a payment to Stripe Climate in your personal capacity), for your personal use, we refer to you as an “End User.”

Processing purpose Categories of Personal Data Legal bases
Provide our Services. To provide services to you, including delivery, support, personalization and messages related to the service. Your name, contact information, payment information including Bank Account Information and Bank Payments, and/or payment card number, CVC code and expiration date. Our contractual necessity to perform our contractual relationship with you, under applicable data protection laws.
For the provision of our services including Link, Atlas and Identity. When we process data based on your consent, you have the right to withdraw your consent at any time without affecting the lawfulness of processing based on such consent before the consent is withdrawn. If you choose to use Link you agree to let Stripe store your payment method and related information so that you can more readily make purchases with Business Users who use Stripe to provide payment processing services (e.g. Stripe Checkout). Based on consent in processing this personal information.
Card Products and Financial Products including Issuing and Treasury Direct Services. We use your Personal Data to offer you card products and financial products and services under the Stripe brand and/or under the brand of a Business User. Your name, email address, phone number, postal address, transaction information, password, PIN or similar credentials, card PANs, age, DOB, credit card number, drivers license number, tax ID, cookie data, tags and beacons, IP address. Our legitimate interests in promoting our products and in determining eligibility for and offer new Stripe products and services.
Offer our Services and Alert you of Changes to our Services. For example, through Stripe Capital we offer capital loans to certain users who can satisfy particular criteria and to help determine if you qualify for a loan or not. Such information will be processed prior to the offer of a loan in order to determine eligibility. The name of the representative of business, physical address of business, and the borrower's Stripe ID. The rest of the data processed concerns business information and not personal data. Our legitimate interests in promoting our products and in determining eligibility for and offer new Stripe products and services.
Fraud Detection Services. We use your Personal Data collected across our Services (e.g. Stripe Radar) to detect and prevent fraud against us, our Business Users and financial partners, including to detect unauthorized log-ins using your online activity. Transaction information. This includes: name, email address, billing and/or shipping address, payment method information (such as credit or debit card number, bank account information or payment card image), merchant and location, purchase amount, date of purchase, and in some cases, some information about what you have purchased, phone number and tax-related ID.
    Advanced Fraud Signals information collected via cookies. This includes web browsing information, usage data, referring URLs, location, cookies data, device data and identifiers.
    IP address and physical address.
Our legitimate interests in monitoring and detecting fraud to ensure we detect activity that can have a harmful effect on our End Users.
Marketing and Advertising. We may use your Personal Data to assess your eligibility for and offer you other Services. We use End User Personal Data for interest-based advertising and marketing purposes. We do not share End Customer Personal Data to third parties for their marketing purposes unless you give us or the third party permission to do so. Contact information including: name, email address, work phone number, and job title.
      Connection data such as IP address, and web behavior (page visited, length on page, etc.)
    Based on consent in processing this personal information.
      Our legitimate interest in undertaking marketing activities to offer you products or services that may be of interest to you.
    Compliance and Harm Prevention. We share Personal Data as we believe necessary: (i) to comply with applicable law, (ii) for compliance with rules imposed by payment method in connection with use of that payment method (e.g. network rules for Visa); (iii) to enforce our contractual rights; (iv) to secure or protect the Services, rights, privacy, safety and property of Stripe, you or others, including against other malicious or fraudulent activity and security incidents; and (v) to respond to valid legal process requests from courts, law enforcement agencies, regulatory agencies, and other public and government authorities, which may include authorities outside your country of residence. Any Personal Data we process. Our legal obligation where these disclosures are necessary to comply with our legal obligations, for the protection of a person's vital interests, for reasons of public interest, for reasons of substantial public interest, or for the purposes of Stripe’s or a third party’s legitimate interest in keeping Stripe secure, preventing a breach of the law, harm or crime, enforcing or defending legal rights, claims, or obligations, facilitating the collection of taxes and prevention of tax fraud or preventing loss or damage.

    End Customers

    When you do business with, or otherwise transact with, a Business User (typically a merchant using Stripe Checkout, e.g. when you buy a pair of shoes from a merchant that uses Stripe for payment processing) but are not directly doing business with Stripe, we refer to you as an “End Customer.”

    Processing purpose Categories of Personal Data Legal bases
    Provide our Services to Business Users, including to process online payment transactions or in-person checkout, to calculate applicable sales tax, to invoice and bill, and to calculate their revenue.
      If you are an End Customer, when you make payments to, send shopping cart reminders, get refunds from, begin a purchase or otherwise transact with a Business User through Stripe’s Services or a Stripe-provided device, Stripe will receive your transaction information. Depending on how the Business User has integrated our Business Services, we may receive this information directly from you, the Business User or another service provider to you or the Business User.
    Transaction Information (including from Checkout, Payment Processing and Treasury/Issuing Use). Your name, email, billing and/or shipping address, payment method information (such as credit or debit card number, bank account information or payment card image), merchant and location, purchase amount, date of purchase, and in some cases, some information about what you have purchased, phone number and tax-related ID. The payment method information that we collect will depend upon the payment method that you choose to use from the list of available payment methods offered by the Business User as part of the “checkout” process for your purchase. We may also receive your transaction history with the Business User.
      Transaction-Related Information / Purchase Interests. Information typed into a checkout field that is not ultimately submitted to the Business User.
    Our legitimate interests in providing the Stripe products and services. Stripe processes this personal data given its legitimate interest in improving the Services and where it is necessary for the adequate performance of the contract with the Business Users.
    Provide our Services to Business Users, to order payment methods on a per-customer basis on behalf of the Business User, to implement fraud thresholds chosen by the Business User, and to verify your payment method. Verification Information. Your age (when purchasing age restricted goods) or information about you being the person who is authorized to use a payment method.
      The information collected will be the information that you choose to share for these purposes, which may include your government ID, your photo, your live image, and Personal Data apparent from the physical payment method (e.g. credit card image).
    Our legal obligations in respect of our financial and regulatory obligations.
    Reduce fraud and enhance security. We will use Personal Data about your identity, including information that you provide, to perform verification Services for Stripe or for the Business Users that you are doing business with and to reduce fraud and enhance security. In some cases you may provide a “selfie” along with an image of your identity document, and we will use technology to compare and calculate whether they match and can be “verified.” We will use information from our service providers and our Services to help verify your identity and fraud prevention. Based on consent in processing this personal information.
      Our legitimate interests in detecting, monitoring and preventing fraud and unauthorized payment transactions.
    Radar and Card Verification Services. We use Personal Data of End Customers to detect and prevent fraud for Business Users, including to detect fraudulent payment cards using payment card images and unauthorized log-ins using online activity. In providing such services, we may provide Business Users that have requested such services with limited Personal Data about End Customers so that the Business Users can assess the fraud risk associated with an attempted transaction by its End Customer. We may also use payment card images to improve our Business Services. Transaction information. This includes: name, email address, billing and/or shipping address, payment method information (such as credit or debit card number, bank account information or payment card image), merchant and location, purchase amount, date of purchase, and in some cases, some information about what you have purchased, phone number and tax-related ID.
      Advanced Fraud Signals information collected via cookies. This includes web browsing information, usage data, referring URLs, location, cookies data, device data and identifiers.
      IP address and physical address.
    Our legitimate interests in detecting, monitoring and preventing fraud and unauthorized payment transactions.
    Compliance and Harm Prevention. We share Personal Data as we believe necessary: (i) to comply with applicable law, (ii) to comply with rules imposed by payment method in connection with use of that payment method; (iii) to enforce our contractual rights; (iv) to secure or protect the Services, rights, privacy, safety and property of Stripe, you or others, including against other malicious or fraudulent activity and security incidents; and (v) to respond to valid legal process requests from courts, law enforcement agencies, regulatory agencies, and other public and government authorities, which may include authorities outside your country of residence. Any Personal Data we process. Our legal obligations where disclosures are necessary to comply with our legal obligations.
      Our legitimate interest in keeping Stripe secure, preventing a breach of the law, harm or crime, enforcing or defending legal rights, claims, or obligations, facilitating the collection of taxes and prevention of fraud or preventing loss or damage.

    Representatives

    When you are acting on behalf of an existing or potential Business User (e.g. you are a founder of a company, or administering an account for a merchant who is a Business User), we refer to you as a “Representative.”

    Processing purpose Categories of Personal Data Legal bases
    Reduce fraud and enhance security. We will use Personal Data about your identity, including information that you provide, to perform verification Services for Stripe. Onboarding and verification information that you choose to share for these purposes, which may include your government ID, photo, live image, and Personal Data apparent from the physical payment method (e.g. credit card image). Our legal obligations in respect of our financial and regulatory obligations. We process Personal Data to verify the identity of the Representatives of our Business Users in order to comply with fraud monitoring, prevention and detection obligations, laws associated with the identification and reporting of illegal and illicit activity, such as AML (Anti-Money Laundering) and KYC (Know-Your-Customer) obligations, and financial reporting obligations.
    Advertising. We may use and share Representative Personal Data with others so that we may advertise and market our products and services to you, including through interest-based advertising subject to any consent requirements under applicable law. Contact information including: name, email address, work phone number, and job title.
      Connection data such as IP address, and web behavior (page visited, length on page, etc.)
    Based on consent in processing this personal information.
    Communications. We may send you email marketing communications about Stripe products and services, invite you to participate in our events or surveys, or otherwise communicate with you for marketing purposes, provided that we do so in accordance with applicable law, including any consent or opt-out requirements. Contact information such as your name, email address, phone number. Based on consent in processing this personal information.
      Our legitimate interests in responding to inquiries, sending Service notices, ensuring compliance with applicable laws, preventing fraud, improving our services and providing customer support.
    Tax and Atlas (Incorporation) Services. We may use your Personal Data to file taxes on behalf of your associated Business User. If your Business User uses Atlas, we may use your Personal Data to submit forms to the IRS on your behalf and to file documents with other governmental authorities. Your contact details, such as name, postal address, telephone number, and email address; and financial and personal information about you, such as your ownership interest in the Business User, your date of birth and government identifiers associated with you and your organization (such as your social security number, tax number, or Employer Identification Number). You may also choose to provide bank account information. Our compliance with legal obligations in respect of our financial and regulatory obligations. We process Personal Data to verify the identity of the Representatives of our Business Users in order to comply with fraud monitoring, prevention and detection obligations, laws associated with the identification and reporting of illegal and illicit activity, such as AML (Anti-Money Laundering) and KYC (Know-Your-Customer) obligations, and financial reporting obligations.
      Our contractual necessity to perform our contractual relationship with you, under applicable data protection laws.

    Visitors

    When you visit a Site without being logged into a Stripe account or otherwise communicate with Stripe, we refer to you as a “Visitor.” (e.g. you send Stripe a message asking for more information because you are considering being a user of our products).

    Processing purpose Categories of Personal Data Legal bases
    Communications. We use any contact information that you provide to us to respond to any inquiries or requests for information you made; and if you have asked about us or our Services, to send you marketing emails by either asking for your consent or providing you an opt out in any messages we send. Contact information such as your name, email address, phone number.
      Information you have provided to us, such as the products you are interested in.
    Based on consent in processing this personal information.
      Our legitimate interests in responding to inquiries, sending Service notices and providing customer support.
    Advertising. When you visit our Sites, we (and our service providers) may use Personal Data collected from you and your device to target advertisements for Stripe Services to you on our Sites and other sites you visit (“interest-based advertising”). Information collected from cookies such as your device, browser ID, and pages on our website which you have visited. Based on consent in processing this personal information.
      Our legitimate interest in undertaking marketing activities to offer you products or services that may be of interest to you.
    Fraud Detection. We use your Personal Data collected across our Services to detect and prevent fraud against Stripe, our Business Users and financial partners. Advanced Fraud Signals information collected via cookies. This includes web browsing information, usage data, referring URLs, location, cookies data, device data and identifiers. Our legitimate interests in detecting, monitoring and preventing fraud and unauthorized payment transactions.

    Data Processing Agreement

    What is a Data Processing Agreement (DPA) and how can I get one with Stripe?

    A Data Processing Agreement (“DPA”) is a contract between a data controller and a data processor that describes the roles and responsibilities of the parties when personal data is processed. Article 28 of the GDPR sets out a number of requirements that a DPA must satisfy in order to be compliant with European data privacy law. We have made a DPA available to Business Users. Please contact us or your account manager for more detail.

    Information about Stripe Products

    How do you implement Privacy by Design at Stripe?

    Privacy by design aims at building privacy and data protection up front and into the design specifications and architecture of information and communication systems and technologies to facilitate compliance with privacy and data protection principles. We rely on our internal privacy team and a review process for any new product launch. We are dedicated at every level of product development —from engineering to product management—to making privacy a key consideration. This helps ensure that people can trust the Stripe products that they enjoy every day.

    Stripe Identity

    End Customers

    If you have been asked to verify your identity or have verified your identity using Stripe Identity, please visit the support web pages here and here to learn more about our privacy practices for Stripe Identity. Alternatively, you can jump to the specific topics linked here:

    Business User That Requested Verification

    If you are a Business User that is using or intends to use Stripe Identity, please visit the support web page here for additional guidance on what you can tell your users and here for additional guidance on privacy considerations for your business.

    Stripe’s Card Image Verification

    If you have been asked by your merchant (i.e., a Stripe Business User) to scan your credit card before completing your requested transaction, please visit the support webpage here to learn more about Stripe’s Card Image Verification.

    Stripe Connect At a Glance

    Description

    Stripe Connect is a payment software your third party platform provider (Platform) may use to enable you to receive Stripe services (including payment processing) and/or receive payouts.

    Data Controller/ Data Processor

    Stripe acts as both a data controller and data processor for the Platform. The Stripe entity that acts as data controller/ data processor for data processed in Europe is Stripe Payments Europe Limited (“SPEL”).

    Personal Data

    The personal data transmitted to Stripe usually involves first name, last name, address, identification number, e-mail address, IP address, telephone number, and other data necessary for payment processing.

    Purpose

    The transmission of the data is aimed at payment processing, ledger management, and fraud prevention. The Business User / Platform will transfer personal data to Stripe. The personal data exchanged between Stripe and the Business User / Platform may be transmitted to verification agencies, and Business User data may be shared with Platforms. This transmission is intended for the Platform to manage its ledger and for Stripe to conduct identity and risk checks.

    Transfer

    Stripe will pass on personal data to affiliates and service providers or sub-processors, if deemed necessary to carry out contractual obligations or for the data to be processed.

    Privacy Policy

    For full details please see the applicable Privacy Policy of Stripe.

    I am a user with a Custom connected account. Does Stripe also collect information about my Custom connected account from a third party?

    If you are a user with a Custom connected account, Stripe may collect additional information about your account to enable fraud detection and fulfill financial compliance requirements. These requirements for additional information come from our regulators or financial partners and are intended to prevent abuse of the financial system. Examples of missing data fields include your address, phone number, social security number, date of birth, employer identification number, or website URL. Stripe may leverage data we already have from one of your Stripe accounts or Stripe may fill in some of this information by receiving data from a third party. You may view the information that we are associating with your account and update or correct that information by contacting the platform or business that created your Stripe payment account. Please see Stripe’s Privacy Policy for additional information.

    What responsibilities do Connect platforms with custom accounts have to allow their users to update or correct information associated with their accounts?

    You, the Platform, are responsible for all interactions with your Custom accounts and for collecting all of the information needed to verify the Custom account-holders. Since Custom account holders cannot log into Stripe, it is up to you to build the user dashboard and communication channels. You are responsible for actioning any request by a user to update or correct their Stripe Custom account information.

    I am a user with a Custom connected account. Will data collected from a third party be visible to my customers?

    Card networks and issuers use statement descriptors to identify payments on a cardholder’s bank statement. Statement descriptors usually include information about the payment, such as the name and phone number of the seller. However, the exact information displayed is ultimately up to a cardholder’s bank. If Stripe updates your account’s business address, phone number, or email address, these fields may be displayed on the statement descriptor within the cardholder’s bank statement. However, the exact information displayed is ultimately up to the card network or the cardholder’s bank. If any information is incorrect, please reach out to the platform through which you receive charges to ensure you have provided them with the most accurate information about you and your business.

    What are Stripe ACS, Transaction Authentication, and Behavioral Biometrics?

    What is Stripe ACS?

    Stripe ACS is Stripe’s transaction authentication solution for card issuers (e.g., banks). Stripe ACS helps card issuers to authenticate transactions of cardholders when they are making payments online using their cards.

    What is behavioral biometrics?

    Behavioral biometrics is an innovative technology that can be used for the purpose of preventing fraud and identifying legitimate transactions. Behavioral biometrics leverages a combination of personal data and device characteristics to distinguish between legitimate customers and fraudsters or bots.

    How is behavioral biometrics data collected and used in Stripe ACS?

    This processing is designed to verify a cardholder’s identity based on their behavioral biometric data which is modeled based on data collected during each authentication attempt.

    This type of transaction authentication will typically observe interactions within a system or device to verify a cardholder’s identity for the purposes of authenticating online payments. The following elements may be processed during the authentication process:

    • Length of text field inputs
    • Location of mouse pointer
    • Modifier key details (e.g., CTRL, SHIFT)
    • Timing and location of mouse clicks
    • Timing and location of touch events
    • Timing between keystrokes
    • Window scroll position

    For the purpose of fraud risk mitigation, this processing involves use of a device identifier cookie (Ndcd, Device ID, DID) that aims to accurately analyze biometrics data observed on a specific device. This cookie facilitates device detection in order to enhance fraud detection and prevention as well as to identify suspicious devices or devices that are behaving abnormally. This is a first party, strictly necessary cookie that is active on the touch.tech and touchtechpayments.com domains, and has a duration of 12 months. For more information on how we use cookies, please see Stripe’s Cookie Policy.

    Purpose of processing and Stripe’s role

    Stripe may process biometric data relating to cardholders in order to assist card issuers to authenticate payment transactions. This is done as part of Stripe’s payment transaction authentication services provided to card issuers (including for the purposes of meeting Strong Customer Authentication requirements).

    In providing these services to card issuers, Stripe acts as a data controller in relation to cardholder data. Please see Stripe’s Privacy Policy to learn more about our use of personal data.

    As part of providing this authentication services to card issuers, Stripe engages with a third party provider, Mastercard, which also acts as a data controller. See Mastercard’s Privacy Notice for details on Mastercard’s processing activities in this context.

    Customers rights and choices

    Upon initiating a transaction, cardholders will have the option of providing their consent to processing their behavioral biometrics data as part of the transaction authentication flow. This will be presented to the cardholder during the checkout flow on the merchant’s website or app when authentication is requested from the card issuer. Cardholders will have the option to withdraw their consent during each subsequent transaction flow.

    To withdraw consent outside of a transaction flow, you can email privacy-acs@stripe.com with the subject matter line “Stripe ACS - withdraw consent”. In your email to withdraw consent, please provide: (a) the first 6 digits of your card number as this enables Stripe to identify your issuing bank (please do not provide any digits other than the first 6 digits); and (b) the phone number (including the country code) registered with your bank account that is used for one-time passcodes.

    We will action this withdrawal request as soon as possible after it is verified, but please note that this can take up to 10 working days as we may need to verify the request with your card issuer. You may also contact the card issuer in order for the issuer to implement this withdrawal of consent by engaging with Stripe.

    To submit a request to exercise any of the other rights described in our Privacy Policy, you may contact Stripe at privacy-acs@stripe.com.

    Promotional Emails Feature

    For End Customers and prospective End Customers of our Business Users

    What is the Promotional Emails feature?

    Promotional Emails is a feature that gives Business Users who use “Stripe Checkout” services a new tool to enable sending email promotional content to their customers and prospective customers. When you visit a Business User’s checkout page (that is powered by Stripe Checkout services), the Promotional Email feature will enable Stripe to collect information about your preferences to receive promotional emails from that merchant.

    Promotional email preferences are collected whether or not you complete the purchase or are just a prospective End Customer. “Prospective End Customer” means you visited a Business User’s site and expressed an intent to make a purchase by starting a purchase on the Business User’s checkout page, but did not complete that purchase during that session. To be a “prospective End Customer” for the promotional email feature, you also need to have started to input your contact information into the checkout form, and then not delete that information prior to the end of the session.

    If you, prospective End Customer, indicate permission to receive news and personalized offers by virtue of the opt-in/opt-out checkbox on your Business User’s checkout form, the following personal data is provided to your Business User so that your Business User can contact you to remind you of the items you left in the checkout or to provide you news and personalized offers:

    • Email (if provided by you).
    • Items in your cart with that merchant (if any).

    “Personalized offers” means promotional or marketing materials tailored to you, such as coupons or advertisements based on the items in your cart or (in some cases) your prior purchases from that Business User. Even if you opt-out of personalized offers by a Business User, if you do business with that Business User, they may still need to contact you in order to enable a purchase (e.g., for delivery or billing purposes) or in connection with customer support. Please see your Business User’s privacy policy for more information.

    What is Stripe’s role (Data Processor/Controller) in the processing of my Personal Data?

    For the Promotional Emails feature, Stripe acts as a data processor or service provider, meaning that Stripe is acting at the direction of the Business User that has implemented this Stripe provided feature. The Stripe entity that acts as a data processor for personal data is:

    • Stripe Inc. in the United States.
    • Stripe Payments Europe Limited outside of the United States, including Europe.

    What Personal Data Is Stripe Collecting?

    Stripe’s Privacy Policy describes in more detail the personal data that Stripe collects in connection with payment transactions.

    What Personal Data is Shared by Stripe with the Business Users I use?

    Whenever you complete a transaction on a Business User’s website that uses Stripe services, as a service provider to that Business User, Stripe will share your contact information with that Business User. Business Users use the information that Stripe provides in accordance with its own privacy policy, including in connection with your purchase.

    With the Promotional Emails feature:

    • If you complete a purchase with a Business User, in addition to the transaction-related information identified in our Privacy Policy (e.g., your contact and billing information and the details of your transaction), Stripe will also share with your Business User your personalized offers and news preferences as determined by the opt-in/opt-out checkbox from your checkout form.
    • If you are a prospective End Customer (you start a purchase with your Business User on their checkout form but do not complete that purchase), the personal data that we share with your Business User depends on the following:
      • If you have not inputted any personal data into your Business User’s checkout form, then we will not share any personal data with that Business User.
      • If you have inputted personal data into your Business User’s checkout form:
        • If the checkbox for receiving news and personalized offers is not enabled when you leave your Business User’s checkout session, we will not share any of that personal data.
        • If the checkbox for receiving news and personalized offers is enabled when you leave your Business User’s checkout session, we will share the following information with that Business User:
          • Email (if provided by you).
          • Items in your cart with that merchant (if any).

    End Customers and prospective End customers should always review the privacy policy or notice of the Business Users they visit and do business with for information about the Business User’s data collection practices and purposes outside of this Stripe feature.

    Does Stripe share my personal data with other Business Users?

    No. Stripe does not share personal data collected in connection with purchases (or attempted purchases) from one Business User’s checkout with another Business User. Please see our Privacy Policy to learn more about our practices.

    How do I stop promotional emails from a merchant?

    Any offers or promotional emails that you receive as a result of a Business User’s use of the Promotional Emails feature are sent by Business Users (or others identified in the message), and not by Stripe. I If you do not find value in receiving these emails, please contact the Business User you are receiving the messages from. Stripe requires that Business Users that choose to implement the Promotional Email feature also provide the option to unsubscribe or opt-out of receiving further promotional messages. It would be a breach of Stripe’s terms of service for a Business User to not promptly comply with opt-out requests.

    How Does the Data Collection and Transfer Work?

    The Promotional Email feature does not use cookies or track you across Business Users. Information collected from the Business User’s checkout page is transferred only to the Business User via API calls or webhooks. Webhooks are a way for Stripe to send the information to the Business User automatically upon their request. Your information provided at checkout is encrypted in transit using HTTPS and TLS. See Security at Stripe for more information.

    How do I stop the sale of my personal data in connection with this feature?

    Stripe does not sell your personal data. See our Privacy Policy for more information. The Promotional Emails feature is not the sale of personal data. Rather, Stripe acts as a processor (or service provider) to Business Users for the Promotional Email feature. Please contact your Business User to learn about their personal data practices and how you can exercise rights to stop the sale or processing of personal data provided under applicable law and/or their privacy policy.

    Stripe requires that Business Users that choose to implement the Promotional Email feature also provide the option to unsubscribe or opt-out of receiving further promotional messages. It would be a breach of Stripe’s terms of service for a Business User to not promptly comply with opt-out requests.

    For Business Users

    How to Use this Service as a Business User

    If you are a business that is using or intends to use Stripe’s Promotional Emails feature, please visit the support webpage for tips and guidance on information to share with your End Customers and prospective End Customers regarding privacy considerations in connection with the Promotional Emails feature for your business.

    Stripe Delegated Authentication

    Cardholders

    You may be given the option to enable on-device biometric verification and provide your consent for Stripe to store your payment method details for future transactions that use the same card. Please visit our support site to learn more about our privacy practices for Stripe Delegated Authentication. Alternatively, you can jump to a specific topic here:

    We offer you the opportunity to store your payment methods with us so that you can conveniently use it across certain merchants who are our Business Users – we call this “Link” (formerly known as “Remember Me”). When you choose to use Link, you agree to let us store your payment method so that you can more readily make purchases through Link with Business Users of our payment processing Business Services (e.g., name, card number, cvc, and expiration date). We will also collect other Transaction Data, including billing address, shipping address, email and phone number. Your payment method data is secured using PCI-DSS standards.

    Should you not have used Link and receive an SMS in error due to an inaccurate number being inserted at the authentication flow stage you can opt out here and your personal data will be deleted.

    Stripe Capital

    Stripe Capital provides Business Users with fast, flexible financing so businesses can manage cash flows and invest in growth. Depending on your business’s corporate structure, eligible Business Users may apply for one of two Stripe Capital products: a loan or a merchant cash advance (“MCA”).

    What information does Stripe process for Stripe Capital?

    We use existing data linked to your Stripe Account to evaluate your business’s eligibility for Stripe Capital. The following information may be considered prior to the offer of a loan or a MCA in order to determine eligibility, including:

    • Payment processing volume
    • Payment processing growth
    • Chargeback rate
    • Customer base
    • Duration of relationship with Stripe

    Where Stripe is satisfied that a Business User meets particular criteria, we will send the Business User an email and dashboard notification notifying them of their business’s eligibility for potential financing and invite them to apply for a loan or a MCA.

    Once you have received a financing offer and submitted an application to receive your financing, we will use this above listed information to verify your business’s eligibility and where your application is approved, to disburse the loan or the MCA to you.

    We will use your data where its use is in accordance with our legitimate business interests. Automated analysis of our Business User’s information helps us to manage our business for our legitimate interests. It allows us to:

    • Verify the identity of our Business Users in order to comply with fraud monitoring, prevention and detection obligations, applicable laws associated with the identification and reporting of illegal and illicit activity, such as AML (Anti-Money Laundering) and KYC (Know-Your-Customer) obligations, and financial reporting obligations.
    • Assess the level of financial risk to us and to Business Users involved in offering Business Users a loan or MCA.
    • Enhance our learning models to allow us to better tailor our loans or MCAs to, and decrease the risk to, you and other Business Users.

    We will also process your data where it is necessary for a loan agreement that you have entered into or because you have submitted an application to receive funding so that you can enter into a loan agreement with us.

    We may send you email marketing communications about Stripe Capital offers, provided we do so in accordance with applicable law, including any consent requirements.

    Who does Stripe share information with?

    Stripe does not share any Personal Data collected for Stripe Capital related to Business Users in the UK. In the future, Stripe may share your loan agreement data with third parties who purchase the right to receive repayments on your loan or MCA.

    What is Stripe’s role?

    Stripe, Inc., or a wholly-owned subsidiary of Stripe, is the controller of your data.

    For Business Users located in the UK, the joint controllers of your data are Stripe Payments Europe, Limited. (“SPEL”) and Stripe Capital Europe Limited, Ltd. (“SCEL”). The loan or MCA provided under the loan agreement is solely provided by SCEL.

    How do I exercise my rights?

    Depending on your location and subject to applicable law, you may have the right to object to Stripe using automated decision making processing. If you wish to exercise any rights under applicable privacy laws for data related to Stripe Capital, please contact us.

    Linked Financial Accounts

    If you are an End Customer who has been asked to link your financial account using Stripe, please visit the support webpage here to learn more about our privacy practices. Or you can jump to the specific topics linked here:

    Are there instances when Stripe receives non-Stripe transaction history?

    Yes. For example, Stripe enables the Business User to import non-Stripe data through the Stripe Dashboard to consolidate their revenue data in one place. Learn more. Separately, Stripe may also obtain your account transactions from your financial account with your consent. Learn more.

    Refunds to End Customer Bank Account

    End Customers

    If you have been asked to provide your bank account and other information to process a refund on behalf of your merchant (i.e., our Business User), please visit the webpage here to learn more about our privacy practices for end customer bank account refunds.

    Business User that uses Stripe to Process Refunds

    If you are a Business User that is using or intends to use Stripe to process refunds, please visit the webpage here for additional guidance on privacy considerations for your business.

    Stripe Frontier

    What is Stripe Frontier?

    Frontier is an advance market commitment (AMC) that aims to accelerate the development of carbon removal technologies by guaranteeing future demand for them. It facilitates purchases from high-potential carbon removal companies on behalf of buyers. Learn more at https://frontierclimate.com/.

    What information does Stripe Frontier collect?

    We will collect any information you choose to provide to us, for example, through support tickets, emails or social media. When you respond to Stripe emails or surveys, we collect your email address, name and any other information you choose to include in the body of your email or responses. If you contact us by phone, we will collect the phone number you use to call Stripe, as well as other information you may provide during the call. We will also collect your engagement data such as your registration for, attendance of, or viewing of Stripe events and other interaction with Stripe personnel. See our privacy policy for more information.

    We rely on consent to process your data. Where you proactively reach out to Stripe and provide your data, Stripe will process your data based on Stripe’s legitimate business interests (e.g. help answer your queries, and provide customer support). With your permission or where allowed by law, we use your personal data to market our services to you, invite you to participate in our events or surveys, or otherwise communicate with you for our marketing purposes, provided that we do so in accordance with applicable law, including any consent or opt-out requirements.

    Is my data relating to Stripe Frontier transferred?

    We are a global business. Personal Data may be stored and processed in any country where we do business. We may transfer your Personal Data to countries other than your own country, including to the United States. These countries may have data protection rules that are different from your country. When transferring data across borders, we take measures to comply with applicable data protection laws related to such transfer. In certain situations, we may be required to disclose Personal Data in response to lawful requests from Officials (such as law enforcement or security authorities). See our privacy policy for more information.

    What are my rights and choices with respect to the information collected for Stripe Frontier?

    You may have choices regarding our collection, use and disclosure of your Personal Data. If you no longer want to receive marketing-related emails from us, you may opt-out via the unsubscribe link included in such emails or as described here. We will try to comply with your request(s) as soon as reasonably practicable. Depending on your location and subject to applicable law, you may have the following rights described here with regard to the Personal Data we control about you.

    How do I exercise my rights as to Stripe Frontier?

    EEA and UK . To exercise your rights, you may contact our DPO. If you are a resident of the EEA or we have identified Stripe Payments Europe Limited as your data controller, and believe we process your information within the scope of the General Data Protection Regulation (GDPR), you may direct your questions or complaints to the Irish Data Protection Commission. If you are a resident of the UK, you may direct your questions or concerns to the UK Information Commissioner’s Office.

    California . If you are a consumer located in California, please review the California Consumer Privacy Act (“CCPA”) section of our Privacy Policy.

    See our privacy policy for additional jurisdiction-specific provisions.

    Any questions about Stripe Frontier and the processing of your data?

    If you have any questions or complaints, please contact us.

    Data Protection Officer

    Does Stripe have a Data Protection Officer (DPO)?

    Yes, Stripe has appointed a Data Protection Officer (“DPO”), who can and they can be reached via email.

    International Data Transfers

    The detail below is provided for informational purposes. It is not intended to provide legal advice. Stripe urges Business Users to consult with counsel to familiarize themselves with the requirements that govern their specific situations.

    How is Stripe dealing with international data transfers?

    On 4 June 2021, the European Commission adopted a new set of Standard Contractual Clauses (“SCCs”) for cross-border data transfers. SCCs are a transfer mechanism (in the form of a legal contract) used by Stripe to provide a legal mechanism to transfer EU personal data outside of the EEA/UK. These are required under EU data protection law (known as the GDPR) and are incorporated into our agreements.

    These modernised SCCs cover data transfers from controllers or processors in the EU/EEA (or otherwise subject to the GDPR) to controllers or processors established outside the EU/EEA (and not subject to the GDPR) and replace the three sets of SCCs that were adopted under the previous Data Protection Directive 95/46.

    Stripe continues to have appropriate safeguards and compliance measures to ensure an adequate level of protection of personal data transferred outside the UK, EEA and Switzerland. Stripe’s measures include the updated EU Commission’s SCCs to accommodate international data transfers.

    Stripe respects the privacy of everyone that engages with our products and services, and we are committed to being transparent about our privacy processes and policies.

    To learn more about our commitment to privacy and data security, please see our Privacy Policy, the Stripe Privacy Center, and the Stripe Security Center.

    We also want to highlight some of our supplementary measures to protect our Business Users’ data from unauthorized access.

    Stripe employs security controls and maintains and enforces a security program that addresses the management of security. We also perform risk assessments and implement and maintain controls for risk identification, analysis, monitoring, reporting, and corrective action. Stripe maintains and enforces an asset management program that appropriately classifies and controls hardware and software assets throughout their life cycle. In addition, Stripe employees, agents, and contractors acknowledge their data security and privacy responsibilities under Stripe’s policies.

    Stripe applies technical and organizational measures that include the following:

    • Physical access control to prevent unauthorized persons from gaining access to the data processing systems available at premises and facilities (including databases, application servers, and related hardware), where Personal Data are processed.
    • Virtual access control to prevent data processing systems from being used by unauthorized persons.
    • Data access control to ensure that persons entitled to use a data processing system gain access only to such Personal Data in accordance with their access rights, and that Personal Data cannot be read, copied, modified or deleted without authorization.
    • Disclosure control to ensure that Personal Data cannot be read, copied, modified or deleted without authorization during electronic transmission, transport or storage on storage media (manual or electronic), and that it can be verified to which companies or other legal entities Personal Data are disclosed.
    • Entry control to audit whether data have been entered, changed or removed (deleted), and by whom, from data processing systems.
    • Availability control to ensure that Personal Data are protected against accidental destruction or loss (physical/logical).
    • Separation control to ensure that Personal Data collected for different purposes can be processed separately.

    By default, Stripe encrypts data at rest and data in transit. We further protect your data with tools like audit logs, access management policies and certifications as described on our Payments page in the section “Security and compliance at the core”. Security controls implemented at Stripe include TLS 1.2 configuration of endpoints for data in transit, TLS and/or SSL encryption for HTTPS and regular testing of infrastructure components. Two-step authentication is available for an extra layer of security at Dashboard login.

    We no longer rely on the Privacy Shield as a transfer mechanism for data transfers given EU-U.S. Privacy Shield and Swiss-U.S. Privacy Shield are no longer valid as a result of the Schrems II decision issued by the European Court of Justice on July 16, 2020. We do continue to commit to the principles of the Privacy Shield Framework as it can still provide privacy protections to Business Users.

    We get requests for access to data from law enforcement, and we review each request with the goal of responding with the minimum amount of required information in response to legitimate, legally mandated requests. We are committed to ensuring that our Business Users’ data can continue to flow freely between the EU and the U.S., and we will continue to partner with regulators, industry groups and similarly situated companies to make sure our Business Users’ needs are met.

    If you have any questions, please contact us.

    How do the European Commission’s new Standard Contractual Clauses impact my organization?

    Standard Contractual Clauses (“SCCs”) are legal contracts entered into between parties that are transferring EEA personal data outside of the EEA. At present Stripe relies on the existing SCCs for transfers of EEA data in our services. We have updated our agreements to implement the modernised SCCs (where applicable).

    How to get a copy of the SCCs?

    We can provide more information about the appropriate or suitable safeguards that we have in place, such as a copy of the SCCs on request.

    If you are a Business User, we offer the modernised SCCs published in 2021 (“2021 SCCs”) for cross-border transfers outside of the EEA and Switzerland. The older versions of the SCCs will continue to apply to transfers of personal data from the UK. We will continue to monitor regulatory requirements and guidance from the UK Information Commissioner’s Office. If you have signed an older version of the SCCs, these will remain valid until 27 December, 2022. If you would like to sign the 2021 SCCs, you can reach out to us at any time.

    Please contact us or your account manager for more information.

    Your Rights and Choices

    How do I exercise my data protection rights?

    Depending on your location and subject to applicable law, you may have the followings rights:

    • Right to access
    • Right of rectification
    • Right to data portability
    • Right to restrict processing
    • Right to object to processing
    • Right to withdraw consent (where it is relied upon)
    • Right to erasure/deletion
    • Right to opt-out of receiving electronic communications from us
    • Right to non-discrimination for exercising your CCPA rights
    • Right to opt-out from a sale (as defined by the CCPA)

    Please read this section to find out more about specific rights. To submit a request to exercise any of the rights described above, please reach out to us by email, or via our form or by physical addresses listed in Contact Us.

    You have the right to complain to your local data protection authority if you are unhappy with our privacy practices.

    How do I access my data?

    If you are a Business User or Representative, you may login in to the Stripe Dashboard to view personal information shared with Stripe.

    If you are the End Customer of a Business User that uses Stripe services, the Business User would be the correct party to respond to a data subject access request related to your transactional information.

    Depending on your location and subject to applicable law, you may have the right to request confirmation of whether Stripe processes Personal Data relating to you, and if so, to request a copy of that Personal Data. If you are an End User or otherwise have a direct relationship with us, you may submit your access request by email, or through our form. Please note that we may need to verify your identity and your relationship with us before we can proceed with your request.

    How do I unsubscribe from marketing emails?

    If you are a Business User or Visitor, you may unsubscribe from Stripe marketing emails here. If you have any questions about how to opt-out of Stripe marketing communications, please contact us here.

    Can I turn off tracking and advanced fraud signals?

    Your web browser may allow you to manage your cookie preferences, including deleting or disabling Stripe cookies. If you choose to disable cookies, keep in mind that some features of our Site or Services may not operate as intended. Disabling cookies will not disable the collection of advanced fraud signals, which we use to prevent fraud on Stripe. The collection of this data is controlled by the Business User that integrated with Stripe. If a Business User seeks to disable this data collection, they can find instructions to do so through Stripe’s documentation. You can take a look at the help section of your web browser or follow the links below to understand your options for disabling cookies.

    You can learn more about how businesses can disable collection of advanced fraud signals in our documentation for disabling advanced fraud detection.

    How do I delete my account?

    You can close your Stripe account from the Settings page on the Dashboard. You can read more about that on our support page: Close a Stripe account.

    Please be aware that we will delete some, but not all, of the information that we hold, for the reasons explained below.

    As a provider of payment services, Stripe is required to comply with many regulations, including anti-terrorism and anti-money laundering laws. These regulations and laws may require Stripe to retain transactional records associated with Business Users for a prescribed period of time after the close of the business relationship. You can read more about our underwriting obligations in our Privacy Policy.

    How do I delete my Custom Connect account?

    If you have a Custom Connect account, your account is managed by a Platform / Business User. They are the party responsible for managing payments for you and responding to your query; therefore we recommend reaching out to them for assistance.

    How do I delete my Express Connect account?

    If you have an Express Connect account, your account is managed by a Platform / Business User. They are the party responsible for managing payments for you and responding to your query; therefore we recommend reaching out to them for assistance.

    How long will Stripe keep my data for?

    Stripe keeps Personal Data for as long as Stripe reasonably needs to for the purposes listed here.

    When determining the relevant retention periods, we will consider various criteria such as your location, the nature of our relationship with you, the types of products or services being offered or provided to you, the nature and sensitivity of your Personal Data, the mandatory retention periods provided by law or statute of limitations and any overriding legitimate grounds for continuing to retain the Personal Data (such as defending our rights in court, enforcing our agreements, detecting fraud or complying with valid legal process requests from courts or competent authorities).

    For most jurisdictions, Stripe will generally keep Personal Data related to Business Users for a period of five or more years from the end of the business relationship with you, or the date of the last transaction, whichever is later.

    California Privacy Rights Metrics

    The following includes aggregate metrics of data subject rights requests received between January 1, 2021 and December 31, 2021. This data reflects requests received from individuals in California and may also include requests from individuals who do not reside in California.

    • Number of “request to know” received, complied with in whole or in part, or denied: 14
    • Number of “requests to delete” received, complied with in whole or in part, or * denied: 13,612
    • Average number of days taken to respond to a request to know or delete: 1 day

    There are instances where Stripe may deny a “request to know,” such as when the data subject fails to reply with information that would allow Stripe to accurately authenticate their identity to locate their data.

    Even if we receive a “request to delete,” Stripe may nonetheless retain personal data where permitted by law, including to comply with our legal obligations. For example, as a provider of payment services, Stripe is required to comply with many regulations, including anti-terrorism and anti-money laundering laws. These laws require Stripe to retain certain information associated with Stripe users for a prescribed period of time after account closure. Learn more about our retention obligations in our Privacy Policy.

    Due to the nature of Stripe’s products and services, when we receive a “request to delete,” our process is to direct the requestor to a page to action their request depending upon the relationship they have with Stripe. We also offer data subjects the opportunity to contact us, should they have any questions or concerns.

    Request to Opt Out of Sale

    Stripe does not “sell” personal information as defined by the California Consumer Privacy Act (CCPA). Learn more.

    What is the Privacy Policy for Stripe Media Services?

    The Privacy Policy for Stripe Media Services (Media Privacy Policy) describes how Stripe collects and processes personal data in order to provide the Stripe Media Services, including Stripe Press, Increment, Indie Hackers and Works in Progress. We encourage you to read our Media Privacy Policy to learn more.

    Cookies & Other Technology

    How does Stripe use cookies?

    We use cookies to (1) ensure that our services function properly, (2) prevent and detect fraud and violations of our terms of service, (3) understand how visitors use and engage with our website and (4) analyze and improve our services. Depending on your relationship with Stripe and the domain you are visiting, different cookies apply. For instance some cookies are set on a public Stripe or Link domain, some on the Stripe Dashboard or a Link settings page, and some on the payment page available to end users who make payments using Stripe services, including Link.

    Cookies play an important role in helping Stripe provide personal, effective and safe services. Please be mindful that we change the cookies periodically as we improve or add to our services. For more information, please see our Cookie Policy.

    What is Stripe.js?

    Stripe.js (and its iOS and Android SDK counterparts) is a JavaScript library that businesses use to integrate Stripe and accept online payments. Once Stripe.js is added to a site or mobile app, fraud signals are used to differentiate legitimate behavior from fraudulent behavior.

    For example, fraudsters and bots are less likely to spend time on different pages, which we’re able to detect and use as a signal in stopping fraud.

    When you visit a site that uses Stripe, this fraud prevention could appear in a privacy report or tracker list in your web browser.

    While you might see Stripe in a tracker list, we’re not building an individual tracking profile on you. Stripe doesn’t—and won’t—share or sell this data to advertisers.This data is securely exchanged between the following Stripe-controlled hosts:

    • js.stripe.com
    • m.stripe.network
    • m.stripe.com
    • q.stripe.com

    The data collected by these endpoints is designed to be secure and to not leave Stripe infrastructure. Access to this data is tightly controlled, and restricted to a small number of Stripe employees working on fraud prevention and security (and permissions are regularly reviewed). You can read more about this in our Privacy Policy.

    The information within the Stripe.js library may also use cookies and similar technology to enable Link to remember Link users’ information for faster purchases across Stripe merchant sites.

    What are advanced fraud signals?

    Stripe’s advanced fraud detection looks at signals about device characteristics and user activity indicators that help distinguish between legitimate and fraudulent transactions. These signals are highly indicative of fraud and power Stripe’s fraud prevention systems, such as Radar. The signals are securely transmitted to Stripe’s backend by periodically making requests to the m.stripe.com endpoint.

    You can learn more in our documentation for advanced fraud detection.

    Why are advanced fraud signals not ad tracking?

    Stripe only uses these advanced fraud detection signals to enable secure payments and prevent fraud. We don’t use this data to build individual profiles or share or sell it to third-party advertisers.

    You can read more about how we use this data in our Privacy Policy.

    How does Stripe remember payment method details for Link?

    Link (formerly known as “Remember Me”) lets end users save and reuse their payment information for faster checkout at thousands of online businesses that use Stripe. When an end user makes a purchase via a Business User (i.e., merchant) that enables Link, the end user can ask Stripe to remember their payment method details, such as credit and debit card details. If an individual chooses to be remembered, Stripe will remember the end user’s email address, phone number, shipping address, and payment method details for future Link transactions.

    The payment method details for future transactions may be remembered across multiple Stripe Business Users. Generally, once the cookie is set, the end user may make “1-click” purchases using Link when you check out, which means that Stripe will automatically populate the end user’s saved information into their checkout on their behalf, and use the information to complete the transaction faster.

    If the end user enters their phone number or email address during a future Link transaction, Stripe will authenticate the end user by sending the end user a One Time Passcode (OTP), e.g. via an SMS message or email. If the end user correctly enters the OTP, Stripe or the Business User will set a cookie in the end user’s browser, indicating that the end user has been authenticated. If the end user does not enter the OTP, or elects to “log out” of their Link session then the cookie won’t remember the end user.

    A cookie is only stored in a specific browser on a specific device. If an end user wishes to make 1-click purchases in a different browser or on a different device, they must go through the OTP authentication process for the new browser or device combination.

    After 90 days, it will be necessary for the end user to re-complete the OTP process. The end user may also proactively remove the cookie by clearing cookies in their browser or by selecting the “log out” option when this option is presented in checkout.

    If an end user no longer wishes for Stripe to remember their payment method details when they check out in the future, the end user may use the self-service deletion tool. Alternatively, the end user may also contact Stripe support to make this request.

    The description above describes how an end user may control how their information is stored and used to check out. However, this does not affect the other contexts in which Stripe may store and use end user information. In particular, Stripe may store and use such information as described elsewhere on this Privacy Center - including for purposes such as for advanced fraud detection.

    Based on your integration choice (e.g., for Link in Elements), you may have legal responsibilities associated with cookies and similar technology that Stripe uses for fraud detection and/or authentication purposes.

    You should always check with your legal counsel to understand how you should comply with applicable legal obligations with setting cookies and similar technology. This section has information to keep in mind.

    Stripe cookies or similar technology are set on your domain (e.g. on your checkout flow) or via browser storage from the Stripe.js library. The current Stripe cookies from the Stripe.js library include fraud prevention cookies like __stripe_mid, __stripe_sid, and m, and also end-user authentication cookies like pay_sid and link.auth_session_client_secret.

    You should regularly review the Stripe cookies that are placed on your website to ensure that your own privacy disclosures tell your end users about this type of data collection, and also update your cookie banner accordingly after reviewing the cookies placed on your website. Here is a paragraph you could add to your privacy disclosures if it does not already include such a disclosure:

    We use Stripe for payment, analytics, and other business services. Stripe collects identifying information about the devices that connect to its services, including via cookies. Stripe uses this information to operate and improve the services it provides to us, including for fraud detection and authentication. You can learn more about Stripe and read its privacy policy at https://stripe.com/privacy.

    Does Stripe use reCAPTCHA to protect its website from fraud and abuse?

    Yes, some of the Stripe sites may implement Google reCAPTCHA Enterprise to help prevent fraud and abuse. Information collected by Google is used to provide and improve reCAPTCHA Enterprise and for general security purposes. Use of reCAPTCHA Enterprise is subject to Google’s Privacy Policy and Terms of Use.

    Contact Us

    Contact our Privacy team

    If you have any outstanding privacy questions after reviewing the privacy policy, please don’t hesitate to reach out to us by email, or through our form.

    If you’d like to send us physical mail, please send to:

    Stripe, Inc.
    354 Oyster Point Boulevard
    South San Francisco, California, 94080, USA
    Attention: Stripe Legal

    Stripe Payments Europe Limited
    1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Ireland
    Attention: Stripe Legal

    Where can I learn more about Stripe’s security practices?

    Visit our security page to learn more about Stripe’s security practices. You should contact us by email immediately if you become aware of any unauthorized use or any other breach of security regarding the Stripe services.



    Stripe プライバシーセンター

    最終更新日:2022年6月2日

    Stripe プライバシーセンターにようこそ

    Stripe は当社のプラットフォームに関与しているすべての人々のプライバシーを尊 重し、当社のプライバシープロセスおよびポリシーについて透明性を確保するよう尽力しています。Stripe は何百万もの企業に可能性をもたらすプラットフォームであり、 当社のサービスをビジネスユーザーとエンドユーザーに提供するために個人データの収集と処理を行います。

    Stripe プライバシーセンターには、当社が個人データを収集および使用する方法、Stripe が保有する個人データに関して各個人が持つ権利、および Stripe がどのように国際データ保護法に準拠しているかに関するよくある質問への回答が掲載されています。

    すべての資料は、一般的な情報提供のみを目的として用意されています。提示されている情報は、法的なアドバイスではなく、行動の基準となるものではありません。また、最新ではない場合があり、予告なく変更されることがあります。

    Stripe のプライバシーポリシーは 2022 年 2 月 3 日付で改訂され

    Stripe はこの度、Stripe の利用時の操作性を向上し、確実にプライバシーポリシーで当社がデータを収集し使用する方法を明確に説明するために、プライバシーポリシーを改訂いたしました。主な変更点の概要は以下のとおりです。

    • 読みやすさを向上させるための全般的改訂: このポリシー[訳注: Policy。「プライバシーポリシー(Privacy Policyの訳語です。)」)と「ポリシー」が混在している状態です。]が皆様にどのように適用されるかを分かりやすくすることをはじめ、ポリシーの参照時に必要な情報が容易に見つかるよう、ポリシーの構成とレイアウトを変更いたしました。
    • 製品に関する追加情報: 当社が製品の機能の提供、およびサービスの有効性の向上にデータをどのように使用しているかについて、より詳しく説明しています。

    詳細については、こちらから最新のプライバシーポリシーをお読みいただくことをお勧めします。

    以下は、読者の皆様がプライバシーセンターをご覧になる際に役立つ用語のリス トです。

    呼称 意味 Stripe での使用例
    ビジネスユーザー Stripe は、自社自体の事業および活動に関連して、「最終顧客」の個人データを直接および間接的に Stripe に提供する事業体 (「ビジネスユーザー」) に対してサービスを提供します。 Stripe のユーザーまたは加盟店

    プラットフォームユーザー

    Connect アカウント
    最終顧客 あなたが、ビジネスユーザー (通常、Stripe Checkout を使用する加盟店。たとえば、決済処理に Stripe を使用する加盟店からあなたが靴を購入する場合のその加盟店など) と商取引などの売買取引を行ったときに、その購入が Stripe との直接取引ではない場合、当社はあなたを「最終顧客」と呼びます。 Identity を使用する個人

    Checkout を使用するカード保有者
    エンドユーザー あなたがエンドユーザーサービスを直接利用する場合 (たとえば、Link に登録する場合や、個人としての資格で Stripe Climate に支払いを行う場合など)、あなたの個人的な利用であることから、当社はあなたを「エンドユーザー」と呼びます。 Link のユーザー

    Stripe Climate の個人寄付者
    代表者 あなたが、既存または潜在的なビジネスユーザーを代表して行為する場合 (たとえば、会社の創立者である場合や、ビジネスユーザーである加盟店のアカウントを管理している場合など)、当社はあなたを「代表者」と呼びます。 実質的な所有者

    株主、役員、取締役

    アカウント代表者
    訪問者 あなたがStripe アカウントにログインせずに当社のサイトを訪問する場合やその他の形で Stripe と通信する場合、当社はあなたを「訪問者」と呼びます(たとえば、あなたがStripe 製品のユーザーとなることを検討しているため、詳細情報を求めるメッセージを Stripe に送信した場合など)。 Stripe セッションの参加者

    Stripe サイトの訪問者

    目次

    Stripe が個人データを収集、開示および使用する方法
    Stripe が依拠する法的根拠の表
    データ処理同意書
    Stripe 製品に関する情報
    データ保護責任者
    国外へのデータ移転
    あなたの権利と選択肢
    クッキーおよびその他のテクノロジー
    お問い合わせ

    Stripe が個人データを収集、開示および使用する方法

    Stripe はデータ管理者またはデータ処理者として行為しますか?

    双方として行為します。

    「データ管理者」は、実行されているデータ処理の目的と手段を決定する事業体です。「データ処理者」は、個人データの処理において管理者の指示に従い、管理者の代わりに行為する事業体です。

    実行される処理の目的と手段を Stripe が決定する場合は、Stripe がデータ管理者になります。これらのデータ処理活動には、(1) Stripe の製品およびサービスの提供、(2) Stripe プラットフォームでの不正な決済取引その他の不正行為の監視、防止および検出、(3) Stripe が属する金融セクターに適用される法律上または規制上の義務の遵守、(4) Stripe の製品およびサービスの分析、開発および改善が含まれます。Stripe の管理者としての活動の詳細については、プライバシーセンターの記事をご覧ください。

    ビジネスユーザーに代わり、その指示に基づいて決済取引を円滑に進める場合は、Stripe がデータ処理者になります。ビジネスユーザーは Stripe に対して、カード保有者/最終顧客から支払いを受けるように指示します。

    支払いの処理を指示されている場合 (支払い先、支払い金額、支払い日についての指示を受けている場合)、Stripe は処理者とみなされます。

    プラットフォームプロバイダーである Stripe は、プラットフォーム全体の一貫性を確保する必要があります。これには、プラットフォームの運用方法について提示しているコミットメントに関する一貫性が含まれます。Stripe は、この点に基づいて、世界最大規模の企業を含む Stripe のすべてのビジネスユーザーと契約を結んでいます。

    関与する Stripe 法人

    Stripe のサービスの大部分は、米国法に基づいて事業を営む米国の親会社である Stripe, Inc.およびアイルランド法に基づいて事業を運営するアイルランドの会社である Stripe Payments Europe, Limited (「SPEL」) のうちいずれか一方を、Stripe サービスに関連して収集および処理される個人データについて責任を負うデータ管理者として運営されます。

    あなたのデータに対する責任を負う Stripe 法人は、あなたの所在地、利用する製品またはサービス、Stripe が[データ]管理者および/またはデータ処理者として行為するかによって異なります。

    アメリカ大陸以外の地域 (欧州経済領域 (EEA)、スイス、イギリス、アジア太平洋地域 (APAC) に位置する国など) に所在されている場合は、SPEL がお客様の個人情報の処理に責任を負う主たる法人となります。SPEL が提供する決済処理サービスの一部は、認定を受けた決済サービスプロバイダーまたは電子マネー機関によってのみ提供できるサービスです。この場合、SPEL および Stripe の現地の規制対象法人 (現地規制当局から許認可を得ているか、登録された法人と定義されます。) は、あなたの個人データの共同管理者として行為します。

    各法域においてあなたの管理者となる法人の詳細については、以下の表でご確認ください。

    ユーザーの所在地 処理の目的 Stripe 法人の名称 Stripe 法人の所在地
    EEA およびスイス EEA およびスイスで認可された特定の決済サービスの提供
    Stripe Technology Europe Limited (Central Bank of Ireland から電子マネー業の許認可を受けた法人) アイルランド
    EEA およびスイス その他すべての活動。 SPEL アイルランド
    英国 英国で認可された決済サービスの提供
    Stripe Payments UK Limited (UK FCA から電子マネー業の許認可を受けた法人) 英国
    英国 その他すべての活動。 SPEL アイルランド
    英国 英国における Stripe ユーザーへの Stripe Capital 製品および関連サービスの提供。 Stripe Capital Europe, Limited アイルランド

    Stripe の関連会社は、Stripe が事業を展開している一部の国々において現地向けサポートサービスも提供しています。これらの法人は、法域に応じて、Stripe, Inc. または SPEL に代わってデータ処理者として行為します。Stripe の関連会社をまとめた最新のリストについては、こちらのページでご覧いただけます。

    一部の製品については、Stripe が独立した管理者 (例: Stripe Capital)、データ処理者、またはその両方 (例: Stripe Identity) として行為することがあります。具体的な個々の製品の詳細については、プライバシーセンターの記事をご覧ください。

    Stripe のデータ管理者としての活動にはどのようなものがありますか?

    • 利用する第三者 (銀行や決済手段の提供業者) の決定を含め、Stripe の製品およびサービスをビジネスユーザーおよびエンドユーザーに提供すること
    • Stripe プラットフォームにおける不正な決済取引その他の不正行為を監視、防止、検出すること
    • 適用されるマネーロンダリング防止スクリーニング、顧客確認義務の遵守など、Stripe が属する金融セクターに適用される法律上または規制上の義務に従うこと
    • Stripe の製品とサービスを分析、開発、改善すること

    Stripe ユーザーにとって、またデータ管理者にとって、GDPR はどのような意味合いがあるのでしょうか?

    さらに、ビジネスユーザーはデータ管理者として、データ主体 (お客様の最終顧客) との関係に対する責任を負います。データ管理者たるお客様は第三者 (Stripe など) にデータの処理を指示できますが、処理の目的 (または目標) と法的根拠を設定するのはお客様です。

    GDPR は、データ管理者に対して一定の契約条件を遵守することに同意した第三者を利用することを要求しています。これを確実にするために、データ管理者たるお客様は、各第三者との間でデータ処理同意書 (「DPA」) を締結しておくことが求められます。Stripe の DPA は、お客様がこの目的を遂行するために設計されており、決済取引と強く連携されています。そのため、決済の観点から、お客様が GDPR に準拠することを可能にします。

    Stripe の復処理者は誰ですか?また復処理者はどのようにして審査されるのですか?

    当社の最も一般的な復処理者、サービスプロバイダーおよび関連会社のリストが掲載された、Stripe のサービスプロバイダーページをご覧ください。Stripe は、ベンダー管理プログラムを通じて、復処理者を識別、評価および雇用しています。当社は、復処理者とデータを共有する前に、各復処理者と契約を締結します。各契約には、監視および監査を規定する条項が含まれています。さらに、すべての候補となるベンダーは、Stripe がそのサービスを利用開始する前に、当社のセキュリティーレビュープロセスを通じて審査され、承認されています。

    Stripe は、不正防止やセキュリティー上の目的で使用される情報をどこで収集するのですか?

    不正使用を防止しセキュリティーを強化するために、Stripe はビジネスユーザー、最終顧客、エンドユーザー、金融パートナー[訳注:financial party。financial partnerの誤植として理解しています。]から、また状況によっては第三者からも情報を収集する場合があります。たとえば、当社は、不正行為者やボットを特定することができる情報(取引データ (金額、顧客の配送先住所、日付など) と高度な不正検出シグナル (デバイスやアクティビティのシグナル) の両方を含みます。)を収集し、分析しています。もっと知る

    また、Stripe は、第三者から情報を受け、セキュリティーインシデントの防止と対応、およびその他の不正行為からの保護に使用します。たとえば、当社は、悪意のある行為者によりセキュリティーが侵害された IP アドレスに関する情報を第三者から受け取ることができます。

    Stripe はアカウントに関する追加情報を、第三者や同じアカウント保有者の他の Stripe アカウントから収集したりしていると聞きました。Stripe がそのようにして情報を収集している理由を教えてください。

    Stripe は、Stripe とその金融パートナーが不正使用を検出したり、金融コンプライアンス要件を満たしたりすることができるように、あなたのアカウントに関する追加情報を収集することがあります。これらの要件は、当社の金融パートナーまたは規制上の義務から生じており、金融システムの悪用を防止することを目的としています。不足しているデータフィールドの例には、あなたの住所、電話番号、社会保障番号、生年月日、雇用主番号、Web サイトの URL などが含まれます。Stripe は、あなたの他の Stripe アカウントのうち1つから収集したデータを活用することで、または第三者からデータを取得することで、この情報の一部を補うことができる場合があります。Stripe が、ビジネスユーザーのアカウントに関連付けている情報は、お使いのダッシュボードに表示されます。ビジネスユーザーは、ダッシュボードを介して、その情報を更新または修正できます。詳細については、Stripe のプライバシーポリシーをご覧ください。

    CCPA に従い、Stripe が私の個人情報を販売することはありますか?

    Stripe は個人情報を販売しておりません。そのため当社では、16 歳未満の未成年者の個人情報を当社が販売しているといったことを事実として把握しておりません。カリフォルニア州にお住まいの場合、カリフォルニア州消費者プライバシー法 (「CCPA」) では、個人情報の「販売」には、それを金銭または価値ある対価と引き換えに第三者に提供することが含まれると定義されています。カリフォルニア州民法典第 1798.140 条 (t) 項 (1) 号をご覧ください。

    「Shine the Light」法 (カリフォルニア州民法典第 1798.83 条) の適用上、Stripe は、カリフォルニア州に居住する顧客の個人データを、同法が定義するところのダイレクトマーケティング目的で第三者と共有することはありません。

    以下の表は、Stripe が事業上の目的により収集および開示する、カリフォルニア州の消費者に関する個人情報の種類を示しています。

    収集する個人情報の種類 過去 12 か月間の事業目的での開示実績 データの開示先
    識別情報 (例: デバイス ID) はい Stripe は適用法に従い、サービスイネーブラー (金融商品サービスを提供するサービスプロバイダーや金融パートナーなど)、あなたと取引のある加盟店 (ビジネスユーザー)、事業譲渡/合併に関与している事業体、法執行機関、裁判所、政府および規制機関にデータを開示する場合があります。
    カリフォルニア州法または連邦法に従って保護される分類の特性 (例: Stripe が加盟店 (ビジネスユーザー) に代わって本人確認を実施するために提出される身分証明書に記載された性別や年齢)。 はい Stripe は適用法に従い、サービスイネーブラー (金融商品サービスを提供するサービスプロバイダーや金融パートナーなど)、あなたと取引のある加盟店 (ビジネスユーザー)、事業譲渡/合併に関与している事業体、法執行機関、裁判所、政府および規制機関にデータを開示する場合があります。
    商業的情報 (たとえば、あなたが取引先として選択した加盟店 (ビジネスユーザー) は、あなたの取引データを受け取る場合があります。) はい Stripe は適用法に従い、サービスイネーブラー (金融商品サービスを提供するサービスプロバイダーや金融パートナーなど)、あなたと取引のある加盟店 (ビジネスユーザー)、事業譲渡/合併に関与している事業体、法執行機関、裁判所、政府および規制機関にデータを開示する場合があります。
    生体認証情報 (例: 本人確認に使用される写真付き身分証明書の生体認証識別情報) はい Stripe[訳注:We。前後と表現を揃えるためStripeとしています。]は適用法に従い、サービスプロバイダー (アマゾン ウェブ サービシズ(「AWS」) )、事業譲渡/合併に関与している事業体、法執行機関、裁判所、政府および規制機関にデータを開示する場合があります。
    オンラインアクティビティに関する情報 (例: Stripe を使用する特定のビジネスユーザーのサイト全体のデバイスとブラウザーに関する情報や、そのデバイスとブラウザーに関連付けられた IP アドレス、および使用状況データ) はい Stripe は適用法に従い、サービスイネーブラー (金融商品サービスを提供するサービスプロバイダーや金融パートナーなど)、あなたと取引のある加盟店 (ビジネスユーザー)、事業譲渡/合併に関与している事業体、法執行機関、裁判所、政府および規制機関にデータを開示する場合があります。
    位置情報データ (例: IP アドレス) はい Stripe は適用法に従い、サービスイネーブラー (金融商品サービスを提供するサービスプロバイダーや金融パートナーなど)、あなたと取引のある加盟店 (ビジネスユーザー)、事業譲渡/合併に関与している事業体、法執行機関、裁判所、政府および規制機関にデータを開示する場合があります。
    視聴覚情報 (例: Stripe が加盟店 (ビジネスユーザー) に代わって本人確認を実施するために提出された写真をはじめとする、視覚、音声、または類似の情報) はい Stripeは適用法に従い、サービスプロバイダー、あなたと取引のある加盟店 (ビジネスユーザー)、事業譲渡/合併に関与している事業体、法執行機関、裁判所、政府および規制機関にデータを開示する場合があります。
    職業または雇用に関連する情報 はい Stripeは適用法に従い、サービスプロバイダー、事業譲渡/合併に関与している事業体、法執行機関、裁判所、政府および規制機関にデータを開示する場合があります。
    カリフォルニア州民法典第 1798.80 条 (e) 項で定められた種類の個人情報 (氏名、住所、電話番号、クレジットカード番号、デビットカード番号など)。 はい Stripe は適用法に従い、サービスイネーブラー (金融商品サービスを提供するサービスプロバイダーや金融パートナーなど)、あなたと取引のある加盟店 (ビジネスユーザー)、事業譲渡/合併に関与している事業体、法執行機関、裁判所、政府および規制機関にデータを開示する場合があります。

    Stripe は、復処理者以外に、どのような第三者と情報を共有しますか?

    Stripe が、ビジネスユーザーおよびエンドユーザーの個人データのデータ処理者としての資格においてサービスプロバイダーと連携する場合は、GDPR に従い、第三者たる当該サービスプロバイダーは復処理者と呼ばれます。復処理者とは、Stripe に代わって個人データへのアクセスもしくは個人データの処理を行う (または行う可能性がある) サービスプロバイダーです。当該第三者は、Stripe の Stripe サービスプロバイダーリストで公開されています。

    Stripe の復処理者以外にも、当社は、Stripe のビジネスユーザーへのサービスの提供に必要であれば、第三者のビジネスパートナーともビジネスユーザーのユーザー登録データと決済手段の情報を共有することがあります。たとえば、上記の情報共有は、ビジネスユーザーに決済処理サービスを提供する、または決済処理を円滑に進めることを目的として行われます。

    この目的のために Stripe が個人データを開示し得る第三者は、銀行、決済手段提供業者兼決済代行業者であり、以下の事業体を含みますが、これらに限定されるものではありません。

    • American Express Payment Services Limited および American Express Payments Europe S.L.
    • Banking Circle S.A.
    • Barclays Bank PLC
    • Credit Mutuel Arkea および Arkea Banking Services
    • Currence iDEAL B.V.
    • Klarna AB
    • Mastercard Europe S.A.
    • Polski Standard Płatności
    • PPRO Financial Ltd.
    • Swisscard AECS GmbH
    • Visa Europe Limited

    決済手段提供業者との間で共有されるデータは、ビジネスユーザーのアカウントで有効化されている決済手段に応じて異なります。

    また、Stripe は、特にStripe のサービス、Stripe、当社のユーザーまたは他者の権利、プライバシー、安全およびその他の財産の保護のために必要と判断した場合にも、個人データを共有します。たとえば、Stripe は、サービス保護のために、悪意のある行為者によりセキュリティーが侵害された IP アドレスに関する情報の受領や開示を行う場合があります。

    提供

    Stripe は、契約上の義務の履行、または個人データの処理のために厳密に必要であるとみなした場合、個人データを関連会社やサービスプロバイダー、または復処理者に提供します。有効化されている決済手段に応じて、それぞれの決済手段の法域にデータが移転される場合があります。当社は、第三者に委任する前に、ベンダーセキュリティー評価を含むデューデリジェンスを実施しています。当社のすべてのサービスプロバイダーは、自らが、Stripe のユーザーへの誓約事項および適用されるデータ保護法に従い、Stripe にサービスを提供する目的でのみ個人データを処理させることを目的とする契約条件の対象となります。また、Stripe は、Stripe が採用している、セキュリティー管理とセキュリティー制御に対応したセキュリティープログラムを保持および実施しており、これには第三者のリスク管理も含まれます。さらに、Stripe の従業員、代理人、委託先は、Stripe のポリシーに従いデータセキュリティーおよびプライバシーについて自身が負う責任について確認しています。

    最終顧客とその取引に関して Radar で使用されるのはどのデータですか?また、Stripe が Radar のビジネスユーザーと共有するのはどのデータですか?

    決済処理の際、正当な取引を実現すると同時に、不正取引の防止を図り、関係者全員のためにオンライン購入の安全性を高めることは、Stripe、ビジネスユーザーおよび最終顧客にとって大切です。Radar は、機械学習その他の技法により、Stripe のビジネスユーザー (加盟店) が行う取引に不正取引の可能性があれば検出することができます。そのために、Radar は 当社 のサービス全体で収集されたデータを活用しています。

    ビジネスユーザーは Radar を使用して、Stripe が算出した取引の「スコア」や取引の「レベル」を活用し、取引が正当なものである可能性の評価に基づき、取引を許可またはブロックしたり、追加審査を求めるフラグを立てる、ビジネスユーザーが決定したルールを導入することができます。ビジネスユーザーは、取引における不正使用の可能性を判断する複数の情報の 1 つとして Radar を使用できます。

    Radar では、決済取引データ、高度な不正使用検出のデータ、IP アドレス、実際の住所情報などの、さまざまなソースから最終顧客に関して収集されたデータが使用されます。Radar ではこのようなデータを使用して、最終顧客が取引に対して提供した決済手段がその取引について実際に認められているものであるかの可能性を検証します。

    Stripe は、不正使用の検出に関連する一定の情報をビジネスユーザーと共有する場合があります。このような情報には以下が含まれます。

    • 取引が不正なチャージバックとなる可能性を評価する、取引のスコアまたはレベル
    • その取引に伴うリスクに関するインサイト
    • 最終顧客がビジネスユーザーに対して行う関連する支払い
    • その最終顧客によるそのビジネスユーザーとの取引に関連するその他の取引データ (カード保有者の氏名、カード情報、支払いの金額および日付など)
    • そのビジネスユーザーとの取引に使用されたデバイスのデバイス情報およびブラウザー情報
    • 集計したベンチマーク

    Stripe のプライバシーポリシーに記載されているとおり、Stripe は個人データを販売することはありません。

    ビジネスユーザーは、最終顧客に Stripe に関してどのような通知を行うのですか?

    Stripe の契約条件に基づき、ビジネスユーザーには、Stripe が Stripe サービスの一環として個人データを合法的に収集、使用、保持および開示することができるように、必要なすべての通知を行うとともに、必要なすべての権利と同意をその最終顧客から取得することが求められます。ビジネスユーザーは、データ管理者として、そのプライバシー通知および クッキーバナーの内容について責任を負います。(このような開示事項をまだ組み込んでいない場合、)一例として、プライバシー通知への追加をご検討いただける文言を以下に記載します。

    当社では、決済、分析その他のビジネスサービスのために Stripe を使用しています。Stripe は、そのサービスに接続するデバイスに関する識別情報を含む個人データを収集し、処理します。Stripe は、当社に提供するサービスの運営および向上のために(不正使用の検出および防止の目的を含みます。)当該の情報を使用しています。Stripe とその処理業務の詳細については、プライバシーポリシーhttps://stripe.com/privacy でご確認いただけます。

    上記の開示事項はあくまで例示目的で記載したものであり、法的助言ではないことにご留意ください。適用法に従って義務を遵守する方法を理解するには、あなたの法務アドバイザーにご相談ください。

    透明性に関する義務を果たすため、Stripe はクッキーポリシーに当社におけるクッキーの使用方法の説明を掲載するとともに、クッキー設定ダッシュボードに当社のクッキーのリストを表示しています。Stripe は、ビジネスユーザーに対し、各自のウェブサイトに配置されているクッキーを確認し、適宜クッキーに関するバナーを更新するよう注意を促しています。

    Stripe が依拠する法的根拠の表

    当社は、あなたの個人データを使用できるようにするために、いくつかの法的根拠に依拠しています。言い換えると、Stripe は、ビジネスユーザーおよびエンドユーザーとの取引関係を円滑にするため、金融規制その他当社が負う法的義務を遵守するため、ならびに当社の正当な事業上の利益を追求するために、個人データを使用しています。また、取引を完了させるため、および当社のビジネスユーザーに決済関連サービスを提供するためにも、個人データを使用しています。

    以下の表は、当社が個人データを使用する理由と方法を詳しくまとめたものです。

    GDPRの目的に従い、当社は個人データの処理を可能にするいくつかの法的根拠に依拠しています。

    エンドユーザー

    あなたがエンドユーザーサービスを直接利用する場合 (たとえば、Link に登録する場合や、個人としての資格で Stripe Climate に支払いを行う場合など)、あなたの個人的な利用であることから、当社はあなたを「エンドユーザー」と呼びます。

    処理の目的 個人データの種類 法的根拠
    当社サービスの提供。サービスに関係する配信、サポート、パーソナライゼーション、メッセージを含む、あなたへのサービス提供のため。 あなたの氏名、連絡先情報、銀行口座情報や銀行支払いを含む支払い情報、ならびに支払いカードの番号、セキュリティーコード(CVC)および有効期限。 適用されるデータ保護法に従い、当社があなたとの契約関係を履行する上での契約上の必要性。
    Link、Atlas、Identity を含む当社サービスの提供のため。当社があなたの同意に基づいてデータを処理する場合、あなたは、同意が撤回される前の当該同意に基づく処理の適法性に影響を与えることなく、いつでも同意を撤回する権利を有します。 Link の使用を選択した場合、Stripe を使用して決済処理サービス (Stripe Checkout など) を提供するビジネスユーザーとの間で購入をより容易に行うことができるよう、Stripeがあなたの決済手段および関連情報を保存することに同意するものとします。 個人情報の処理に関する同意に基づく。
    カード商品および金融商品(発行サービスや Treasury Direct サービスを含みます。)。当社は、カード商品や金融商品およびサービスを Stripe のブランド名および/またはビジネスユーザーのブランド名で提供するために、あなたの個人データを使用します。 あなたの氏名、メールアドレス、電話番号、住所、取引情報、パスワード、PIN または類似の認証情報、カード会員番号(PAN)、年齢、生年月日、クレジットカード番号、運転免許証番号、納税者番号、クッキーデータ、タグおよびビーコン、IP アドレス。 当社製品の販売を促進し、Stripe の新しい製品やサービスの利用資格の判断および提供を行うための当社の正当な利益。
    当社サービスの提供および当社サービスの変更に関するアラート。たとえば、当社は Stripe Capital を通じて、特定の基準を満たし得る特定のユーザーに対して資本を融資し、また借入資格の有無の判断を行います。このような情報は、資格の有無を判断するために融資実行前に処理されます。 企業の代表者の氏名、企業の実際の住所および借入人の Stripe ID。処理される残りのデータは、ビジネス情報に関するものであり、個人データに関するものではありません。 当社製品の販売を促進し、Stripe の新しい製品やサービスの利用資格の判断および提供を行うための当社の正当な利益。
    不正検出サービス。Stripe は、当社サービス (Stripe Radar など) 全体から収集したあなたの個人データを使用して、あなたStripe 、当社のビジネスユーザーおよび金融パートナーに対する不正使用を検出および防止します。これには、あなたのオンライン活動を使用した不正なログインの検出も含まれます。 取引情報。これには、氏名、メールアドレス、請求先/配送先住所、決済手段に関する情報 (クレジットカード番号やデビットカード番号、銀行口座情報、または決済用カードの画像など)、加盟店および所在地、購入金額、購入日、さらに場合によってはあなたの購入品に関する一定の情報、電話番号および税務関連の識別情報が含まれます。
      クッキーを介して収集される高度な不正使用検出シグナルに関する情報。これには、ウェブ閲覧情報、使用状況データ、参照元 URL、位置情報、クッキーデータ、デバイスデータおよび識別子が含まれます。
      IP アドレスと実際の住所。
    不正使用の監視および検出により、当社のエンドユーザーに有害な影響を及ぼし得る活動を確実に検出するための当社の正当な利益。
    マーケティングと広告。当社は、あなたの個人情報を使用して、あなたの資格を評価し、他のサービスの提供する場合があります。また、エンドユーザーの個人データを、興味関心連動型広告およびマーケティングの目的で使用します。当社は、当社または第三者があなたから許可を得ていない限り、当該第三者のマーケティング目的のために最終顧客の個人データを当該第三者と共有することはありません。 連絡先情報 (氏名、メールアドレス、勤務先電話番号、役職を含みます。)。
        IP アドレスなどの接続データ、およびウェブサイト上の行動 (訪問ページ、ページ滞在時間など)。
      個人情報の処理に関する同意に基づく。
      あなたの興味・関心に合致する可能性のある製品やサービスを提案するためのマーケティング活動を行うための当社の正当な利益。
      コンプライアンスと損害防止。当社は、以下の目的上必要と思われる場合、個人データを共有します。(i) 適用法を遵守するため、(ii) 決済手段の使用に関連してその決済手段によって課される規則 (Visa のネットワーク規則など) を遵守するため、(iii) 当社の契約上の権利を行使するため、(iv) 他の悪意あるまたは不正な行為やセキュリティーインシデントに対するものを含め、Stripe、あなたまたは他者のサービス、権利、プライバシー、安全性および財産を確保または保護するため、(v)裁判所、法執行機関、規制機関その他の公的機関および政府機関(あなたの居住国外の当局が含まれる場合があります。)からの有効な法的手続きの要請に対応するため。 当社が処理するあらゆる個人データ。 当社の法的義務を遵守するため、ある者の重要な利益の保護のため、公共の利益を理由として、実質的な公共の利益を理由として、または、Stripe の安全性を維持し、法律違反、損害もしくは犯罪を防止し、法的権利、請求もしくは義務を実現もしくは防御し、徴税、脱税の防止もしくは損失や損害の防止を促進するためのStripe もしくは第三者の正当な利益を目的として、左記の開示が必要である場合の当社の法的義務。

      最終顧客

      あなたが、ビジネスユーザー (通常、Stripe Checkoutを使用する加盟店。たとえば、決済処理に Stripe を使用する加盟店からあなたが靴を購入する場合のその加盟店など) と商取引などの売買取引を行ったときに、その購入が Stripe との直接取引ではない場合、当社はあなたを「最終顧客」と呼びます。

      処理の目的 個人データの種類 法的根拠
      オンライン決済取引または対面チェックアウトの処理、適用される消費税/売上税の計算、請求書作成および請求、売上の計算など、ビジネスユーザーへの当社サービスの提供。
        最終顧客たるあなたが、Stripe のサービスまたは Stripe が提供するデバイスを通じて、ビジネスユーザーに対して支払いを行ったり、ショッピングカートについてのリマインダーを送信したりする際や、ビジネスユーザーから返金を受けた際、ビジネスユーザーとの間で購入その他の取引を開始した際、Stripe はその取引情報を受け取ります。ビジネスユーザーが当社のビジネスサービスをどのように組み込んでいるかに応じて、Stripe はあなた、ビジネスユーザー、またはあなたやビジネスユーザーに対する他のサービスプロバイダーから直接受け取る場合があります。
      取引情報 (Checkout、決済処理およびTreasury/Issuing の使用によるものを含みます。)。あなたの氏名、メール[アドレス]、請求先および/または配送先住所、決済手段に関する情報 (クレジットカード番号やデビットカード番号、銀行口座情報、または決済用カードの画像など)、加盟店および所在地、購入金額、購入日、さらに場合によってはあなたの購入品に関する一定の情報、電話番号および税務関連の識別情報。当社が収集する決済手段に関する情報は、ビジネスユーザーが購入のための「チェックアウト」プロセスの一環として提供する使用可能な決済手段の一覧からどの決済手段の使用が選択されたかに応じて異なります。当社は、ビジネスユーザーとの取引履歴を受け取る場合もあります。
        取引関連情報/購入に関する利益。チェックアウトのフィールドに入力された情報のうち、最終的にビジネスユーザーに提出されることのないもの。
      Stripe の製品およびサービスを提供するための当社の正当な利益。Stripe は左記の個人データを、サービス向上のための当社の正当な利益が存在する場合、かつビジネスユーザーとの契約を適切に履行するために必要な場合に処理します。
      ビジネスユーザーへの当社サービスの提供。ビジネスユーザーに代わって顧客ごとに決済手段を指示するため、ビジネスユーザーが選択した不正使用の閾値を実装するため、およびあなたの決済手段を認証するため。 認証情報。あなたの年齢 (年齢制限のある商品の購入時)、またはあなたが決済手段の使用権限を有する者であることを示す情報。
        収集する情報は、左記目的のためにあなたが共有することを選択した情報であり、これには、あなたの政府発行の身分証明書、写真、ライブ画像や、物理的な決済手段から見て明らかな個人データ (クレジットカード画像など) が含まれる場合があります。
      Stripe の財務上および規制上の義務に関する法的義務。
      不正使用の減少とセキュリティーの強化。当社は、Stripe またはあなたの取引先ビジネスユーザーのための認証サービスを実施するため、および不正使用の詐減少とセキュリティー強化のために、提供された情報などあなたの身元に関する個人データを使用します。 あなたは、「自撮り写真」を本人確認書類の画像と併せて提供できる場合もあります。提供された場合は、それらが一致し、「認証」できるかどうかを比較および計算する技術を使用します。当社は、あなたの本人確認および不正防止のために、サービスプロバイダーおよびサービスからの情報を使用します。 左記の個人情報の処理に関する同意に基づく。
        不正使用および不正な決済取引を検出、監視および防止するための当社の正当な利益。
      Radar とカード認証サービス。当社は、決済用カードの画像を利用した不正な支払いカードの検出や、オンラインアクティビティーを利用した不正なログインの検出など、ビジネスユーザーのために不正使用を検出および防止する目的で最終顧客の個人データを使用します。当社は上記のサービスを提供する際、それを要求したビジネスユーザーに対し、最終顧客に関する限定的な個人データを提供して、そのビジネスユーザーが、最終顧客による取引試行に付随する不正使用リスクを評価できるようにする場合があります。また、当社は、ビジネスサービスの向上のために、決済用カードの画像を利用する場合があります。 取引情報。これには、氏名、メールアドレス、請求先/配送先住所、決済手段に関する情報 (クレジットカード番号やデビットカード番号、銀行口座情報、または決済用カードの画像など)、加盟店および所在地、購入金額、購入日、さらに場合によってはあなたの購入品に関する一定の情報、電話番号および税務関連の識別情報が含まれます。
        クッキーを介して収集される高度な不正使用検出シグナルに関する情報。これには、ウェブ閲覧情報、使用状況データ、参照元 URL、位置情報、クッキーデータ、デバイスデータおよび識別子が含まれます。
        IP アドレスと実際の住所。.
      不正使用および不正な決済取引を検出、監視、防止するための当社の正当な利益。
      コンプライアンスと損害防止。当社は、以下の目的上必要と思われる場合、個人データを共有します。(i) 適用法を遵守するため、(ii) 決済手段の使用に関連してその決済手段によって課される規則を遵守するため、(iii) 当社の契約上の権利を行使するため、(iv) 他の悪意あるまたは不正な行為やセキュリティーインシデントに対するものを含め、Stripe、あなたまたは他者のサービス、権利、プライバシー、安全性および財産を確保または保護するため、(v)裁判所、法執行機関、規制機関その他の公的機関および政府機関(あなたの居住国外の当局が含まれる場合があります。)からの有効な法的手続きの要請に対応するため。 当社が処理するあらゆる個人データ。 当社の法的義務を遵守するために左記の開示が必要な場合の当社の法的義務。
        Stripe の安全性を維持し、法律違反、損害もしくは犯罪を防止し、法的権利、請求もしくは義務を実現もしくは防御し、徴税、不正行為の防止もしくは損失や損害の防止を促進するための当社の正当な利益。

      代表者

      あなたが、既存または潜在的なビジネスユーザーを代表して行為する場合(たとえば、会社の創立者である場合や、ビジネスユーザーである加盟店のアカウントを管理している場合など)、当社はあなたを「代表者」と呼びます。

      処理の目的 個人データの種類 法的根拠
      不正使用の減少とセキュリティーの強化。当社は、Stripe の認証サービスを実施するために、提供された情報などあなたの身元に関する個人データを使用します。 左記目的のためにあなたが共有することを選択した、ユーザー登録情報および認証情報。これらには、あなたの政府発行の身分証明書、写真、ライブ画像や、物理的な決済手段から見て明らかな個人データ (クレジットカード画像など) が含まれる場合があります。 Stripe の財務上および規制上の義務に関する法的義務。当社は、不正使用の監視、防止、検出の義務や、AML (マネーロンダリング防止) および KYC (顧客確認) 義務などの違法かつ不正な活動の特定および報告に関する法律、ならびに財務情報の報告義務を遵守するために、個人データを処理して当社ビジネスユーザーの代表者の身元を確認します。
      広告。当社は、適用法に基づく同意要件に従い、当社の製品およびサービスの広告およびマーケティングの実行を可能にするため (興味・関心連動型広告などを通じて)、代表者の個人データを使用し、他者と共有する場合があります。 連絡先情報 (氏名、メールアドレス、勤務先電話番号、役職を含みます。)。
        IP アドレスなどの接続データ、およびウェブサイト上の行動 (訪問ページ、ページ滞在時間など)。
      個人情報の処理に関する同意に基づく。
      コミュニケーション。当社は、同意要件やオプトアウト要件を含め、適用法に従うことを条件に、Stripe の製品およびサービスに関するマーケティング目的のメール送信、当社のイベントやアンケート調査への参加の呼び掛けなど、マーケティング目的でのあなたへのご連絡を行う場合があります。 氏名、メールアドレス、電話番号などの連絡先情報。 個人情報の処理に関する同意に基づく。
        お問い合わせに対応し、サービスに関する通知を送付し、適用法を確実に遵守し、不正使用を防止し、サービスを改善し、カスタマーサポートを提供するための当社の正当な利益。
      Tax および Atlas (会社設立) サービス。当社はあなたの個人データを、あなたに関連付けられたビジネスユーザーに代わって税務申告を提出するために使用する場合があります。あなたのビジネスユーザーが Atlas を使用している場合、当社はあなたの個人データを、あなたに代わって IRS に納税申告書の提出、および他の政府当局への書類の提出のために使用することがあります。 あなたの氏名、住所、電話番号、メールアドレスなどの連絡先情報、ならびに、ビジネスユーザーに対するあなたの所有権、あなたの生年月日、あなたとあなたの組織に関連付けられた政府発行の識別情報 (社会保障番号、納税者番号、雇用主番号など) といった財務情報および個人情報。銀行口座の情報を提供することも選択できます。 Stripe の財務上および規制上の義務に関する法的義務の遵守。当社は、不正使用の監視、防止、検出の義務や、AML (マネーロンダリング防止) および KYC (顧客確認) 義務などの違法かつ不正な活動の特定および報告に関する法律、ならびに財務情報の報告義務を遵守するために、個人データを処理して当社ビジネスユーザーの代表者の身元を確認します。
        適用されるデータ保護法に従い、当社があなたとの契約関係を履行する上での契約上の必要性。

      訪問者

      あなたがStripe アカウントにログインせずに当社のサイトを訪問する場合やその他の形で Stripe と通信する場合、当社はあなたを「訪問者」と呼びます (たとえば、あなたがStripe 製品のユーザーとなることを検討しているため、詳細情報を求めるメッセージを Stripe に送信した場合など)。

      処理の目的 個人データの種類 法的根拠
      コミュニケーション。当社は、あなたからの問い合わせや情報請求に対応するため、また、当社または当社のサービスについてお問い合わせをいただいた場合は、あなたの同意を求めるか、当社が送信するメッセージでオプトアウトを選択できるようにしてマーケティングメールを送信するために、あなたから提供された連絡先情報を使用します。 氏名、メールアドレス、電話番号などの連絡先情報。
        興味・関心をお持ちの製品についてなど、あなたが当社に提供された情報。
      個人情報の処理に関する同意に基づく。
        お問い合わせに対応し、サービスに関するお知らせを送付し、カスタマーサポートを提供するための当社の正当な利益。.
      広告。あなたが当社のサイトを訪問される際、当社 (および当社のサービスプロバイダー) は、当社のサイトおよびあなたが訪問されるその他のサイト上で、あなたに合った Stripe サービスのための広告 (「興味・関心連動型広告」) が表示されるようにするために、あなたおよびあなたのデバイスから収集した個人データを使用する場合があります。 クッキーにより収集される情報 (あなたのデバイス、ブラウザー ID、あなたが訪問した当社ウェブサイトのページなど)。 個人情報の処理に関する同意に基づく。
        あなたの興味・関心に合致する可能性のある製品やサービスを提案するためのマーケティング活動を行うための当社の正当な利益。
      不正使用の検出。当社は、サービス全体から収集された個人データを、Stripe や当社のビジネスユーザー、金融パートナーに対する不正使用の検出および防止のために使用します。 クッキーを介して収集される高度な不正使用検出シグナルに関する情報。これには、ウェブ閲覧情報、使用状況データ、参照元 URL、位置情報、クッキーデータ、デバイスデータおよび識別子が含まれます。 不正使用および不正な決済取引を検出、監視、防止するための当社の正当な利益。

      データ処理同意書

      データ処理同意書 (DPA) とは何ですか。DPA を Stripe から入手するにはどうすればよいですか。。

      データ処理同意書 (「DPA」) とは、データ管理者とデータ処理者との間の契約であり、個人データを処理する際の当事者の役割と責任を規定します。GDPR 第 28 条には、欧州のデータプライバシー法に準拠するために DPA が満たす必要のある多くの要件が定められています。当社ではビジネスユーザーを対象とした DPA をご提供しています。詳細については、お問い合わせいただくか、担当アカウントマネージャーにお問い合わせください。

      Stripe 製品に関する情報

      Stripe ではどのようにプライバシーバイデザインを導入していますか?

      プライバシーバイデザインは、プライバシーとデータ保護の原則の遵守を促進するために、情報および通信システムならびにテクノロジーの設計仕様とアーキテクチャーで、プライバシーとデータの保護をあらかじめ実装しておくことを目的としています。当社では、あらゆる新製品の発売において、社内のプライバシーチームとレビュープロセスによりこれを実現しています。Stripe はエンジニアリングから製品管理まで、製品開発のあらゆる段階で、プライバシーを特に考慮して取り組んでいます。これによって、人々が日々活用する Stripe 製品を確実に信頼できるようにしています。

      Stripe Identity

      最終顧客

      Stripe Identity を使用して本人確認を求められた場合、または本人確認を行った場合は、こちらこちらのサポート Web ページで、Stripe Identity に関して当社が行っているプライバシー保護の取り組みの詳細についてご確認ください。その他、以下のリンクが設定された個々のトピックにジャンプすることもできます。

      認証を依頼したビジネスユーザー

      Stripe Identity を使用している、または使用する予定のビジネスユーザーは、自社のユーザーに伝えることのできる事項に関する追加ガイダンスについてはこちらのサポート Web ページを、また、自社のビジネスにおけるプライバシー上の考慮事項に関する追加ガイダンスについてはこちら のサポート Web ページをご覧ください。

      Stripe のカード画像認証

      加盟店 (Stripe のビジネスユーザー) から、リクエストした取引を完了する前にクレジットカードをスキャンするよう求められた場合は、こちらのサポート Web ページで Stripe のカード画像認証の詳細についてご確認ください。

      Stripe Connect の概要

      説明

      Stripe Connect は、お客様による Stripe サービス (決済処理を含みます。) の利用、および/または支払いの受け付けを可能にするために、第三者プラットフォームプロバイダー (プラットフォーム) が使用できる決済ソフトウェアです。

      データ管理者/データ処理者

      Stripe は、プラットフォームのデータ管理者とデータ処理者の両方の役割を担います。ヨーロッパで処理されるデータのデータ管理者/データ処理者の役割を果たす Stripe の法人は、Stripe Payments Europe Limited(「SPEL」) です。

      個人データ

      Stripe に送信される個人データには、通常、姓、名、住所、ID 番号、メールアドレス、IP アドレス、電話番号および決済処理に必要なその他のデータが含まれます。

      目的

      データの送信は、決済処理、元帳管理および不正防止を目的としています。ビジネスユーザー/プラットフォームが個人データを Stripe に転送します。Stripe とビジネスユーザー/プラットフォーム間でやり取りされる個人データは、認証機関に送信される場合があり、ビジネスユーザーのデータはプラットフォームと共有される場合があります。この送信は、プラットフォームが元帳を管理し、Stripe が本人確認とリスクの調査を実施できるようにすることを目的としています。

      提供

      Stripe は、契約上の義務を履行したり、データを処理したりするために必要と考えられる場合、個人データを関連会社およびサービスプロバイダまたは復処理者に提供します。

      プライバシーポリシー

      詳細については、Stripe の適用可能なプライバシーポリシーをご覧ください。

      Custom の連結アカウントを使用しているユーザーです。Stripe は、Custom の連結アカウントに関する情報を第三者からも収集しますか?

      Custom の連結アカウントを使用しているユーザーの場合、Stripe は、不正使用を検出し、金融面のコンプライアンス要件を満たすために、お客様のアカウントに関する追加情報を収集することがあります。追加情報に関するこれらの要件は、規制当局または金融パートナーにより要求されており、金融システムの悪用を防ぐことを目的としています。不足しているデータフィールドの例には、住所、電話番号、社会保障番号、誕生日、雇用主番号、Web サイトの URL などが含まれます。Stripe は、お客様の Stripe アカウントのいずれかからすでに収集したデータを利用する場合もあれば、第三者からデータを取得することで、この情報の一部を埋める場合もあります。当社がお客様のアカウントに関連付けている情報は表示できます。さらに、お客様の Stripe 決済アカウントを作成したプラットフォームまたは会社に連絡して、その情報を更新または修正できます。詳細については、Stripe のプライバシーポリシーをご覧ください。

      Custom アカウントを有する Connect プラットフォームは、ユーザーそれぞれがアカウントに関連付けられた情報を更新または修正できるようにするために、どのような責任を負いますか?

      プラットフォームは、Custom アカウントとのすべてのやり取り、および Custom アカウント所有者を認証するために必要なすべての情報の収集について責任を負います。Custom アカウント所有者は Stripe にログインできないため、ユーザーダッシュボードおよび通信チャネルを構築することはプラットフォームに委ねられています。プラットフォームは、Stripe Custom アカウント情報を更新または修正するためのユーザーによる要求に対応する責任を担っています。

      Custom の連結アカウントを使用しているユーザーです。第三者から収集されたデータは、顧客に表示されますか?

      カードネットワークとカード発行会社は、明細書表記を使用して、カード保有者の銀行明細書で決済を特定します。明細書表記には、通常、販売者の名前や電話番号などの決済に関する情報が含まれます。ただし、正確にどの情報が表示されるかは、最終的に、カード保有者の銀行によって決まります。Stripe がお客様のアカウントの職場の住所、電話番号またはメールアドレスを更新した場合、これらのフィールドは、カード保有者の銀行明細書内の明細書表記に表示される場合があります。ただし、正確にどの情報が表示されるかは、最終的に、カードネットワークまたはカード保有者の銀行によって決まります。情報が間違っている場合は、請求の窓口となるプラットフォームに連絡して、必ず、自身とそのビジネスに関する最も正確な情報を提供してください。

      Stripe ACS、取引認証、行動的生体認証とは何ですか?

      Stripe ACS とは

      Stripe ACS は、Stripe がカード発行会社 (銀行など) 向けに提供している取引認証ソリューションです。Stripe ACS は、カード保有者がカードを使用してオンライン決済する場合に、カード発行会社がカード保有者の取引を認証できるように支援します。

      行動的生体認証とは

      行動的生体認証は、不正使用を防ぎ、正規の取引を識別する目的で使用できる革新的なテクノロジーです。行動的生体認証は、個人データとデバイス特性の組み合わせを活用して、正規の顧客と不正使用者またはボットを区別します。

      Stripe ACS では行動的生体認証データをどのように収集し、使用していますか?

      この処理は、各認証試行中に収集されたデータを基にしてモデル化された行動的生体認証データに基づいてカード保有者の本人確認を認証するように設計されています。

      このタイプの取引認証は、通常、オンライン決済を認証する目的で、カード保有者の 本人確認を認証するため、システムまたはデバイス内のやり取りを監視します。認証プロセス中に以下の要素が処理されることがあります。

      • テキストフィールドの入力の長さ
      • マウスポインタの位置
      • 修飾キーの詳細 (Ctrl、Shift など)
      • マウスクリックのタイミングと位置
      • タッチイベントのタイミングと位置
      • キーストローク間のタイミング
      • ウィンドウのスクロール位置

      不正使用のリスクを軽減するために、この処理には、特定のデバイスで観察された生体データを正確に分析することを目的としたデバイス識別子クッキー (Ndcd、デバイス ID、DID) が使用されています。このクッキーによりデバイスの検出が容易になり、不正使用の検出と防止が強化され、疑わしいデバイスまたは異常な動作のデバイスを特定します。これはファーストパーティー、厳密に言うと、touch.tech および touchtechpayments.com ドメインでアクティブで、持続期間が 12 か月の不可欠なクッキーです。Stripe におけるクッキーの使用方法の詳細については、Stripe のクッキーポリシーをご覧ください。

      処理の目的と Stripe の役割

      Stripe は、カード発行会社による決済取引の認証を支援するために、カード保有者に関連する生体データを処理する場合があります。これは、カード発行会社に提供される Stripe の決済取引認証サービスの一環として実行されます (強力な顧客認証要件を満たす目的を含みます)。

      これらのサービスをカード発行会社に提供する際、Stripe はカード保有者データに関してデータ管理者としての役割を担います。当社の個人データの取り扱いの詳細については、Stripe のプライバシーポリシーをご覧ください。

      この認証サービスをカード発行会社に提供する一環として、Stripe は第三者プロバイダーである Mastercard と連携します。Mastercard もデータ管理者の役割を担います。これに関連する Mastercard の処理活動の詳細については、Mastercard のプライバシーノーティスをご覧ください。

      顧客の権利および選択肢

      取引の開始時に、カード保有者は、取引認証フローの一環として、行動的生体認証データの処理に同意するかどうかを選択できます。認証がカード発行会社から要求されている場合、この選択肢は、加盟店の Web サイトまたはアプリのチェックアウトフロー中にカード保有者に提示されます。カード保有者は、その後の各取引フローで同意の撤回を選択できます。

      取引フロー以外で同意を撤回するために、件名を「Stripe ACS - 同意の撤回」として、privacy-acs@stripe.com 宛にメールを送信してください。同意を撤回するためのメールには、次の情報を記載してください。(a) Stripe がカード発行銀行を識別できるように、カード番号の最初の 6 桁 (最初の 6 桁以外は記載しないでください) および (b) ワンタイムパスコード用に銀行口座に登録された電話番号 (国コードを含みます)。

      当社は、この撤回要求を確認後、可能な限り速やかに処理しますが、要求をカード発行会社に確認する必要があるため、最大で 10 営業日を要する場合があります。カード発行会社が Stripe と連携してこの同意の撤回を遂行するために、あなたがカード発行会社に連絡を取ることも可能です。

      Stripe のプライバシーポリシーに規定されたその他の権利を行使するための要求を提出するには、Stripe にお問い合わせください privacy-acs@stripe.com

      プロモーションメールの機能

      ビジネスユーザーの最終顧客および潜在的な最終顧客の場合

      プロモーションメールは、

      「Stripe Checkout」サービスを利用するビジネスユーザー向けの新しいツールの 1 つで、プロモーションコンテンツを顧客や潜在的な顧客にメールを送信できるようにします。ビジネスユーザーの (Stripe Checkout サービスを利用している) チェックアウトページにアクセスすると、プロモーションメール機能により、Stripe はその加盟店から、プロモーションメールを受信するためのあなたの設定に関する情報を収集することができます。

      プロモーションメールに関する設定は、購入を完了したか、または潜在的な最終顧客にすぎないのかどうかにかかわらず収集されます。「潜在的な最終顧客」とは、あるビジネスユーザーのサイトを訪問し、そのビジネスユーザーのチェックアウトページで購入を開始することによって購入意思を示したものの、そのセッション中にその購入を完了しなかった顧客を指します。プロモーションメール機能における「潜在的な最終顧客」となるには、チェックアウトフォームへの顧客連絡先情報の入力を開始したら、セッションの終了前にその情報を削除しないようにする必要があります。

      潜在的な最終顧客が、ビジネスユーザーのチェックアウトフォームのオプトイン/オプトアウト用チェックボックスを使用して、ニュースやパーソナライズされたオファーの配信を許可することを示した場合、そのビジネスユーザーが、チェックアウトフォームで未入力の項目について知らせるため、あるいはニュースやパーソナライズされたオファーを提供するために連絡できるように、以下の個人データがそのビジネスユーザーに提供されます。

      • メールアドレス (提供された場合)
      • その加盟店でのカートに入っている商品 (存在する場合)

      「パーソナライズされたオファー」とは、カート内の商品や (場合によっては) そのビジネスユーザーでの購入履歴に基づくクーポンや広告など、顧客に応じて調整されたプロモーション用またはマーケティングマテリアルを指します。ビジネスユーザーによるパーソナライズされたオファーを顧客が拒否した場合でも、そのビジネスユーザーと取引を行う限り、ビジネスユーザーは、購入を可能にするため (配送や請求などの目的で)、またはカスタマーサポートとの関連で、以降も連絡する必要が生じることがあります。詳細については、ビジネスユーザーのプライバシーポリシーをご確認ください。

      個人データの処理における Stripe の役割 (データ処理者/管理者) はどのようなものですか?

      プロモーションメール機能に関して、Stripe はデータ処理者またはサービスプロバイダーとしての役割を果たします。このため、Stripe は、Stripe が提供するこの機能を実装したビジネスユーザーの指示に基づいて行動することになります。個人データのデータ処理者としての役割を担う Stripe 法人は、以下のとおりです。

      • 米国の場合は Stripe Inc.
      • 米国以外はヨーロッパを含み Stripe Payments Europe Limited

      Stripe はどのような個人データを収集していますか?

      Stripe のプライバシーポリシーには、Stripe が決済取引に関連して収集する個人データについて詳しい説明があります。

      Stripe は、利用するビジネスユーザーとの間でどのような個人データを共有するのですか?

      あなたが、Stripe サービスを利用するビジネスユーザーの Web サイトで取引を完了した場合は常に、Stripe はそのビジネスユーザーに対するサービスプロバイダーとして、連絡先情報をそのビジネスユーザーと共有することになります。ビジネスユーザーは、あなたの購入関連情報など、Stripe が提供する情報を自社独自のプライバシーポリシーに従って使用します。プロモーションメール機能の使用については、以下のようになります。

      プロモーションメール機能の使用については、以下のようになります。

      • あなたがビジネスユーザーとの間で購入を完了した場合、Stripe のプライバシーポリシーで特定している取引関連情報 (連絡先情報、請求先情報、取引の詳細など) 以外に、Stripe は、あなたのチェックアウトフォームのオプトイン/オプトアウトのチェックボックスで指定された、パーソナライズされたオファーおよびニュースに関する設定も、そのビジネスユーザーと共有します。
      • あなたが潜在的な最終顧客の場合 (ビジネスユーザーのチェックアウトフォーム上で購入を開始したが、その購入を完了しなかった場合)、Stripe がそのビジネスユーザーと共有する個人データは、以下に応じて異なります。
        • ビジネスユーザーのチェックアウトフォームに個人データが入力されていない場合、Stripe とビジネスユーザーと個人データを共有することはありません。
        • ビジネスユーザーのチェックアウトフォームに個人データが入力された場合は、以下のようになります。
          • ビジネスユーザーのチェックアウトセッションを離れる際に、ニュースやパーソナライズされたオファーを受け取るためのチェックボックスが選択されていない場合、当社はその個人データを一切共有しません。
          • ビジネスユーザーのチェックアウトセッションを離れる際に、ニュースやパーソナライズされたオファーを受け取るためのチェックボックスが選択されている場合、当社は以下の情報をそのビジネスユーザーと共有します。
            • メールアドレス (提供された場合)
            • その加盟店でのカートに入っている商品 (存在する場合)

      最終顧客および潜在的な最終顧客は、アクセスし、取引を行うビジネスユーザーのプライバシーポリシーや通知を必ず確認して、そのビジネスユーザーのデータ収集方法およびこの Stripe 機能外の目的に関する情報を得ておく必要があります。

      Stripe は個人データを他のビジネスユーザーと共有しますか?

      いいえ。Stripe は、あるビジネスユーザーのチェックアウトからの購入 (または購入の試行) に関連して収集した個人データを、他のビジネスユーザーと共有いたしません。当社における取り使い方法の詳細については、プライバシーポリシーをご覧ください。

      加盟店からプロモーションメールが送られてこないようにする方法を教えてください。

      ビジネスユーザーがプロモーションメール機能を使用した結果、あなたに届くオファーやプロモーションメールはすべて、そのビジネスユーザー (または、そのメッセージ内で特定される他の者) が送信するものであり、Stripe が送信するものではありません。こうしたメールの受け取りが有意義と思われない場合は、そのメッセージの送信元であるビジネスユーザーにご連絡ください。Stripe は、プロモーションメール機能の実装を選択したビジネスユーザーに対し、以降のプロモーションメッセージの配信を停止させる、またはオプトアウトする選択肢も提供するよう要求しています。ビジネスユーザーがオプトアウト要求に速やかに応じないことは、Stripe の利用規約への違反となります。

      データの収集と転送の仕組みを教えてください。

      プロモーションメール機能はクッキーを使用するものではなく、あなたをビジネスユーザー間で追跡することもありません。ビジネスユーザーの決済チェックアウトページで収集された情報は、API コールまたは Webhook を介してのみビジネスユーザーに転送されます。Webhook は、Stripe がビジネスユーザーの要求に応じて自動的に情報をそのビジネスユーザーに送信するための方法です。チェックアウトで提供された情報は、転送中、HTTPS および TLS を使用して暗号化されます。詳細については、Stripe のセキュリティーをご覧ください。

      この機能に関連する個人データの販売を停止させる方法を教えてください。

      Stripe はあなたの個人データを販売しておりません。詳細については、当社のプライバシーポリシーをご覧ください。プロモーションメール機能は、個人データを販売するものではありません。そうではなく、Stripe はプロモーションメール機能において、ビジネスユーザーに対する処理者 (またはサービスプロバイダー) としての役割を果たします。ビジネスユーザーにおける個人データの取り扱い方法について、ならびに、適用法および/またはそのビジネスユーザーのプライバシーポリシーに基づいて提供される個人データの販売や処理を停止させる権利を行使する方法については、そのビジネスユーザーにお問い合わせください。

      Stripe は、プロモーションメール機能の実装を選択したビジネスユーザーに対し、以降のプロモーションメッセージの配信を停止させる、またはオプトアウトする選択肢も提供するよう要求しています。ビジネスユーザーがオプトアウト要求に速やかに応じないことは、Stripe の利用規約への違反となります。

      ビジネスユーザーの場合

      このサービスをビジネスユーザーが利用する方法

      Stripe のプロモーションメール機能を使用中または使用予定のビジネスの場合は、サポート Web ページで、ビジネスでのプロモーションメール機能に関連するプライバシー上の考慮事項について、最終顧客および潜在的最終顧客と共有する情報に関するヒントおよびガイダンスをご確認ください。

      Stripe Delegated Authentication

      カード保有者

      デバイス上の生体認証を有効にするオプションや、同じカードを将来の取引に使用できるように Stripe があなたの決済手段の詳細を保存することに同意するオプションが提示される場合があります。Stripe Delegated Authentication に関して当社が行っているプライバシー保護の取り組みの詳細については、当社のサポートサイトをご覧ください。また、以下に示す個々のトピックにジャンプすることもできます。

      Stripe は、ビジネスユーザーである特定の加盟店で顧客が決済手段を便利に使用することができるように、決済手段を当社に保存する機会を提供しています。これを「Link」 (旧称「Remember Me」) と呼んでいます。あなたは、Link の使用を選択した場合、Link を使用して当社の決済処理ビジネスサービスのビジネスユーザーとの間で購入をより円滑に行うことができるように、決済手段 (氏名、カード番号、セキュリティーコード、有効期限など) を Stripe が保存できるようにすることに同意するものとします。Stripe は、請求先住所、配送先住所、メールアドレス、電話番号を含む、その他の取引データも収集します。あなたの決済手段のデータは、PCI-DSS 基準で保護されます。

      Link を使用していないお客様が、認証フローの段階で不正確な番号を入力していたために誤って SMS を受け取った場合、こちらからオプトアウトしていただければ、あなたの個人情報は削除されます。

      Stripe Capital

      Stripe Capital は、ビジネスユーザーに迅速で柔軟な融資を提供し、これを利用して企業はキャッシュフローを管理し、成長に向けて投資することができます。ビジネス企業の組織構造に応じて、利用資格のあるビジネスユーザーは、ローンと加盟店向け貸付金 (「MCA」) の 2 つの Stripe Capital 商品のいずれかを申し込むことができます。

      Stripe が Stripe Capital に関して処理するのはどのような情報ですか?

      Stripe は、Stripe アカウントに関連付けられた既存のデータを使用して、あなたのビジネスに Stripe Capital のご利用資格があるかどうかを評価します。ローンまたは MCA のオファーの前に、ご利用資格を判断するため、以下の情報などが考慮されます。

      • 決済処理額
      • 決済処理額の伸び
      • チャージバック率
      • 顧客ベース
      • Stripe との関係の期間

      ビジネスユーザーが特定の条件を満たしていると確認された場合は、当該ビジネスユーザーに、そのビジネスがローンのご利用対象の候補であることをお知らせするメールとダッシュボード通知を送信します。

      お客様がローンのオファーを受け、ローンを受けるための申込書をご提出いただき次第、当社はこの上掲の情報を使用して、お客様のビジネスのご利用資格を自動処理によって検証し、お客様の申請が承認された場合にはお客様へのローンまたは MCA の払込を実行します。

      情報使用の法的根拠

      当社はあなたのデータを、その使用が当社の正当なビジネス上の利益に従うものである場合に使用します。ビジネスユーザーの情報を自動的に分析することは、当社の正当な利益のために当社のビジネスを管理する上で役立ちます。これにより、当社は以下のことを実行できるようになります。

      • 不正使用の監視、防止、検出の義務、AML (マネーロンダリング防止) や KYC (顧客確認) 義務などの違法および不正な活動の特定および報告に関連する適用法、財務情報の報告義務を遵守するために、ビジネスユーザーの本人確認を行うこと。
      • ビジネスユーザーへのローンまたは MCA のオファーに関連する、当社およびビジネスユーザーに対する財務リスクのレベルを評価すること。
      • 学習モデルを強化して、それぞれのお客様およびビジネスユーザーに合ったより適切なローンまたは MCA のオファーを行うとともに、リスクを低減できるようにすること。

      また、当社は、締結されたローン契約に必要な場合、または、あなたが当社とローン契約を締結することができるように資金提供を受けるための申請が提出されたことを理由として、あなたのデータを処理します。

      同意要件を含み適用法に従うことを条件にして、Stripe Capital のオファーについてお知らせするマーケティングメールをあなたに送信する場合があります。

      Stripe が情報を共有する共有先を教えてください。

      Stripe は、Stripe Capital のために収集した英国のビジネスユーザーに関連する個人データを共有いたしません。将来は、あなたのローン契約データを、あなたのローンまたは MCA の返済を受ける権利を購入した第三者と共有する可能性があります。

      Stripe はどのような役割を担うのか教えてください。

      Stripe, Inc. または Stripe の全額出資子会社は、あなたのデータの管理者となります。

      イギリスに所在するビジネスユーザーの場合、そのデータの共同管理者は Stripe Payments Europe, Limited. (「SPEL」) と Stripe Capital Europe Limited, Ltd. (「SCEL」) となります。ローン契約に基づいて提供されるローン、MCA は、SCEL から提供されます。

      自分の権利を行使するにはどうすればよいですか?

      あなたの所在地に応じて、また適用法に従うことを条件に、あなたは、Stripe が自動化された意思決定による処理を用いることに異議を申し立てる権利を保持することができます。Stripe Capital に関連するデータについて、適用されるプライバシー法に基づく権利の行使を希望される場合は、こちらまで連絡ください。

      Linked Financial Accounts

      最終顧客が、Stripe を使用して金融アカウントを関連付けるよう求められた場合は、こちらのサポート Web ページにアクセスし、プライバシー保護の取り組みの詳細についてご確認ください。以下のリンクが設定された個々のトピックにジャンプすることもできます。

      Stripe 以外の取引履歴を Stripe が受け取ることはありますか?

      はい。たとえば、Stripe では、ビジネスユーザーが Stripe ダッシュボードを介して Stripe 以外のデータをインポートし、収入データを 1 か所に集約することができます。もっと知る。また、別途、Stripe はあなたの同意を得てあなたの金融口座から口座取引情報を取得することもあります。もっと知る

      最終顧客の銀行口座への返金

      最終顧客

      加盟店 (当社のビジネスユーザー) に代わって返金処理を行うためとして銀行口座その他の情報の提供を求められた場合は、こちらのウェブページにアクセスして、最終顧客の銀行口座への返金に関して当社が行っているプライバシー保護の取り組みの詳細をご確認ください。

      Stripe を使用して返金処理を行うビジネスユーザー

      返金処理に Stripe を使用中または使用予定のビジネスユーザーは、こちらのウェブページにアクセスして、お客様のビジネスにおけるプライバシー上の考慮事項に関する追加情報をご覧ください。

      Stripe Frontier

      Stripe Frontier とは

      Frontier は、将来の需要を保証することにより炭素除去技術の開発促進を図るAdvance Market Commitment (AMC: 事前買い取り保証) です。Frontier は購入者の代理として、実現の可能性が高いと見込まれる炭素除去企業からの購入を促進します。詳細については、https://frontierclimate.com/ をご覧ください。

      Stripe Frontier が収集するのはどのような情報ですか?

      サポートチケット、メール、ソーシャルメディアなど、お客様が弊社に提供することを選択した手段を通じて情報が収集されます。Stripe からのメールやアンケート調査にご回答いただく際は、お客様のメールアドレス、氏名、およびメール本文または回答に記載されたその他の情報を収集いたします。電話で Stripe にご連絡いただいた場合は、その際の発信元の電話番号、その他通話中に提供された情報を収集いたします。また、お客様の Stripe イベントへのご登録、ご出席や、Stripe イベントの閲覧、その他 Stripe のスタッフとのやり取りといった、お客様のエンゲージメントデータも収集いたします。詳細については、弊社のプライバシーポリシーをご覧ください。

      Stripe Frontier ではどのような法的根拠に基づいて情報が処理されるのですか?

      お客様のデータの処理は、同意に基づいて行われます。お客様が自ら Stripe に連絡してご自身のデータを提供される場合、Stripe は、そのデータを弊社の正当なビジネス上の利益に基づいて処理します (例: お客様からの問い合わせへの回答に役立てる、カスタマーサポートを提供する、など)。お客様の許可を得た場合、または法律で認められている場合、弊社はお客様の個人データを、お客様に対するサービスの提供、弊社のイベントやアンケートへの参加のご案内、その他マーケティング目的でのご連絡のために使用します。ただし、同意要件やオプトアウト要件を含め、適用法に従って使用することを条件とします。

      Stripe Frontier に関する私のデータが移転されることはありますか?

      弊社は、グローバルに事業展開しています。個人データは、弊社が事業を行う国で保管および処理される場合があります。弊社はお客様の個人データを、お客様の居住国以外の国 (アメリカを含む) に移転する場合があります。当該の国には、お客様の国のデータ保護規則とは異なる規則が施行されている場合があります。データを国外に移転する場合、このような移転に関連して適用されるデータ保護法を遵守するための措置を講じます。状況によっては、弊社が、公的機関 (法執行機関やセキュリティ機関など) からの適法な要請に応じて、個人データを開示するよう求められる場合があります。詳細については、弊社のプライバシーポリシーをご覧ください。

      Stripe Frontier のために収集された情報に関して、私にはどのような権利や選択肢がありますか?

      お客様は、弊社による個人データの収集、使用および開示に関して、選択権を有する場合があります。今後、弊社からのマーケティング関連のメールの配信を希望されない場合は、メールに含まれる配信停止のリンクから、またはこちらの説明に従って、配信をオプトアウトすることができます。弊社は、お客様のご要望に合理的かつ可能な限り迅速に従うよう努めます。お客様の所在地によっては、また、適用法に従うことを条件に、弊社が管理する個人データに関して、こちらで説明されている次の権利を有する場合があります。

      Stripe Frontier に関する私のデータが移転されることはありますか?

      EEA およびイギリスの場合。お客様の権利を行使する場合は、弊社の DPO までご連絡ください。EEA の居住者である場合、または Stripe Payments Europe Limited がお客様のデータ管理者であると認められる場合、一般データ保護規則 (GDPR) の適用範囲内でお客様の情報が処理されたと考えられる場合は、質問や苦情をアイランド国データ保護員会 (Data Protection Commission) に直接ご連絡いただけます。お客様がイギリスの居住者である場合、質問や懸念についてはイギリスの個人情報保護監督機関 (Information Commissioner’s Office) に直接ご連絡いただけます。

      カリフォルニア州の場合。カリフォルニア州に居住する消費者である場合は、弊社のプライバシーポリシーのカリフォルニア州消費者プライバシー法 (「CCPA」) に関するセクションをご覧ください。

      管轄地域固有のその他の条項については、弊社のプライバシーポリシーをご覧ください。

      Stripe Frontier やデータの処理に関してご不明点がある場合

      ご不明点や苦情等ございましたら、こちらにお問い合わせください。

      データ保護責任者

      Stripe にはデータ保護責任者 (DPO) がいますか?

      はい。Stripe はデータ保護責任者 (「DPO」) を任命しており、メールで連絡を取ることができます。

      国外へのデータ移転

      以下の詳細は、情報提供を目的に掲載されています。法的助言を提供するものではありません。ビジネスユーザーの皆様は、法務顧問にご相談いただき、ご自身に固有の状況に適用される要件を詳しく把握していただくよう強くお勧めします。

      Stripe は国外へのデータ移転をどのように取り扱っていますか?

      2021 年 6 月 4 日、欧州委員会は、国境を越えたデータ移転に関する新たな標準契約条項 (「SCC」) を採択しました。SCC とは、EU 域内の個人データを EEA 外/英国国外に移転するための適法のメカニズムを規定するために Stripe が使用する、法的契約の形式による移転メカニズムです。SCC は、(GDPR と呼ばれる) EU のデータ保護法に従って要求されるものであり、当社の契約書に組み込まれています。

      この最新の SCC は、EU 域内/EEA 内 (または GDPR が適用されるその他の地域) の管理者または処理者から、EU 域外/EEA 外に設立された (GDPR の適用を受けない) 管理者または処理者へのデータ移転を対象とし、従前のデータ保護指令 95/46 で採用された 3 組の SCC に代わるものです。

      Stripe は、英国、EEA およびスイスの外部に移転される個人データの保護レベルを十分に確保するために、今後とも適切な保護およびコンプライアンス対策を講じていきます。Stripe 対策には、欧州委員会の改定後の SCC が含まれ、国外へのデータ移転に対応します。

      Stripe は当社の製品およびサービスに関与しているすべての人々のプライバシーを尊重し、当社のプライバシープロセスおよびポリシーについて透明性を確保するよう尽力しています。

      プライバシーとデータセキュリティーに関する Stripe のコミットメントの詳細については、当社のプライバシーポリシーStripe プライバシーセンターおよび Stripe セキュリティーセンターをご覧ください。

      ビジネスユーザーのデータを不正アクセスから保護するために Stripe が講じている補完的な対策のいくつかを紹介します。

      Stripe は、セキュリティー管理を採用するとともに、セキュリティーの管理に対処できるセキュリティープログラムを維持し適用しています。また、リスク評価を実施し、リスク識別、分析、監視、レポートおよび修正措置に関する制御機能を実装し維持しています。Stripe は、ハードウェアとソフトウェア資産を、それらのライフサイクル全体を通じて適切に分類および制御する資産管理プログラムを維持し適用しています。さらに、Stripe の従業員、代理人、委託先は、Stripe のポリシーに従いデータセキュリティーとプライバシーの責任を負うことに同意しています。

      Stripe は、以下を含む、技術的および組織的な対策を採用しています。

      • 物理的アクセス制御: 未承認のユーザーが、個人データが処理されている構内および施設内で使用可能なデータ処理システム (データベース、アプリケーションサーバ、関連ハードウェアを含む) へアクセスできないようにします。
      • 仮想アクセス制御: データ処理システムが未承認のユーザーによって使用されないようにします。
      • データアクセス制御: データ処理システムを使用する権限のあるユーザーが、そのアクセス権に従い、該当する個人データのみにアクセスできるようにし、認可なく個人データの読み取り、コピー、変更または削除ができないように保証します。
      • 開示制御: 電子的伝送、転送またはストレージメディアへの保存 (手動または電子的) 中に、認可なく個人データを読み取り、コピー、変更または削除できないように確保するとともに、個人データがどの企業または法人に開示されているかを確実に確認できるようにします。
      • 入力制御: データ処理システムで、データが入力、変更または除去 (削除) されたかどうか、また誰によってされたかを監査します。
      • 可用性制御: 不慮の破壊または損失 (物理的または論理的) から個人データが保護されるようにします。
      • 分離制御: 異なる目的で収集された個人データが、個別に処理できるようにします。

      デフォルトでは、Stripe はデータの保存時および送信時には、データを暗号化します。さらに、当社の「Payments」ページの「中核となるセキュリティーとコンプライアンス」セクションに記載されているとおり、監査ログ、アクセス管理ポリシー、証明書などのツールを使用してあなたのデータを保護しています。Stripe で実装されているセキュリティー制御には、データ送信中のエンドポイントの TLS 1.2 構成、HTTPS 対応の TLS および/または SSL 暗号化、インフラストラクチャコンポーネントの定期的なテストが含まれます。ダッシュボードログイン時のセキュリティーレベルをさらに強化するために 2 段階認証を使用できます。

      当社はデータ移転のメカニズムとしてプライバシーシールドに依存しなくなりました。欧州-米国間プライバシーシールドとスイス-米国間プライバシーシールドが、2020 年 7 月 16 日に欧州司法裁判所で下された Schrems II 裁定の結果、無効となったためです。プライバシーシールドフレームワークを通じて、引き続きビジネスユーザーにプライバシー保護を提供できるようにするため、当社は継続してその原則を遵守しています。

      当社は法執行機関からデータへのアクセス要求を受け取った場合、各要求を精査し、正当な法的強制力のある要求に対して必要最小限の情報で対応することを目指します。当社は、当社のビジネスユーザーのデータを欧州と米国との間で引き続き自由にやり取りできるようにするために尽力しています。さらに、当社のビジネスユーザーのニーズが確実に満たされるよう、規制当局、業界グループ、および同様の状況にある企業と継続して連携していきます。

      ご不明点がございましたら、こちらにお問い合わせください。

      欧州委員会の新たな標準契約条項は、組織にどのような影響を与えるのでしょうか?

      標準契約条項 (「SCC」) は、EEA 内の個人データを EEA 外に移転する当事者間で締結される法的契約です。現在、Stripe は、当社のサービスにおける EEA 内からのデータ移転について、既存の SCC に依拠しています。当社は (該当する場合に) 最新の SCC を組み込むために、合意書を改定しました。

      SCC のコピーを入手する方法を教えてください。

      当社は、SCC のコピーなど、当社が実施している適切な保護対策について、ご要望に応じて詳しい情報をご提供いたします。

      あなたがビジネスユーザーである場合は、EEA 外およびスイス国外への国際移転のために、2021 年に公布された最新の SCC (「2021 年版 SCC」) をご提供いたします。旧版 SCC は、英国からの個人データの移転に引き続き適用されます。当社は、規制要件および英国の個人情報保護監督機関 (Information Commissioner’s Office) からの指針の確認を引き続き行っていきます。旧版の SCC に署名されている場合、その SCC は 2022 年 12 月 27 日まで引き続き有効です。2021 年版 SCC への署名をご希望の場合はいつでもご連絡ください。

      詳細については、こちらまでお問い合わせいただくか、担当アカウントマネージャーにお問い合わせください。

      あなたの権利と選択肢

      データ保護の権利を行使するにはどうすればよいですか?

      あなたの所在地に応じて、また、適用法に従い、あなたは以下の権利を有することができます。

      • アクセス権
      • 修正する権利
      • データポータビリティーの権利
      • 処理を制限する権利
      • 処理に異議を申し立てる権利
      • 同意を撤回する権利 (同意に基づいている場合)
      • 消去/削除を求める権利
      • Stripe からの電子通信の受信をオプトアウトする権利
      • CCPA に基づく権利を行使しても差別を受けない権利
      • 個人情報の販売をオプトアウトする権利 (CCPA の定義に従う)

      個々の権利の詳細については、このセクションをお読みください。上記の権利の行使の請求の提出は、Stripe にメールで、規定のフォームを通じて、またはお問い合わせに記載されている住所にお送りください。

      当社におけるプライバシー保護の取り組みにご不満のある方は、お住まいの地域のデータ保護管轄機関に苦情を申し立てる権利を有します。

      自分のデータにアクセスする方法を教えてください。

      ビジネスユーザーまたは代表者は、Stripe ダッシュボードにログインして、Stripe と共有している個人情報を閲覧することができます。

      あなたがStripe サービスを利用するビジネスユーザーの最終顧客の場合、当該のビジネスユーザーが、あなたの取引情報に関連するデータ主体のアクセス要求に対応する適正な当事者になります。

      あなたの所在地に応じて、また適用法に従ことを条件に、あなたには、Stripe があなたに関する個人データを処理しているかどうかの確認を要求し、処理している場合はその個人データのコピーを要求する権利が生じる場合があります。あなたがエンドユーザーである、またはこれ以外に当社と直接の関係を有する場合は、メールで、または当社のフォームを通じてアクセス要求を提出することができます。なお、ご依頼に基づいて対応を進める前に、あなたの本人確認および当社との関係の確認を行わせていただく必要のある場合があります。

      マーケティングメールの配信を停止する方法を教えてください。

      ビジネスユーザーまたは訪問者の場合は、こちらから Stripe のマーケティングメールの配信を停止することができます。Stripe からのマーケティング目的のご連絡をオプトアウトする方法についてご不明点がございましたら、こちらまでお問い合わせください。

      追跡と高度な不正使用検出シグナルをオフにすることはできますか?

      お使いの Web ブラウザーで、Stripe のクッキーの削除や無効化を含め、クッキーの設定を管理することができます。クッキーを無効にした場合、Stripe のサイトまたはサービスの一部の機能が、正しく作動しない可能性がある点に注意してください。クッキーを無効にしても、Stripe での不正使用を防ぐために使用されている、高度な不正使用検出シグナルの収集は無効になりません。このデータの収集は、Stripe と連携するビジネスユーザーによって管理されます。このデータ収集の無効化をご希望のビジネスユーザーは、無効化する手順を Stripe のドキュメントでご確認いただけます。クッキーを無効にするオプションを理解するには、お使いの Web ブラウザーのヘルプ、または以下のリンクでご確認ください。

      企業が高度な不正使用検出シグナルの収集を無効にする方法の詳細については、高度な不正使用検出の無効化に関する Stripe のドキュメントをご覧ください。

      自分のアカウントを削除する方法を教えてください。

      ダッシュボードの設定ページからお使いの Stripe アカウントを解約することができます。詳細については、当社のサポートページ:Stripe アカウントの解約をご覧ください。

      以下に説明する理由で、Stripe が保持する情報のすべてではなく一部が削除される点に注意してください。

      決済サービスのプロバイダーとして、Stripe には、反テロリズム法やマネーロンダリング防止法を含む、多数の規制に準拠することが義務付けられています。これらの規制および法律により Stripe では、取引関係の終了後、所定の期間、ビジネスユーザーに関連付けられた取引記録を保持することが求められる場合があります。詳細については、当社のプライバシーポリシーにおける義務をご覧ください。

      自分の Custom の Connect アカウントを削除する方法を教えてください。

      Custom の Connect アカウントをお使いの場合、そのアカウントはプラットフォーム/ビジネスユーザーによって管理されます。両者が、あなたの決済を管理し、お問い合わせに対応する責任を負う当事者であるため、サポートが必要な場合はこちらにご連絡いただくことをお勧めします。

      自分の Express の Connect アカウントを削除する方法を教えてください。

      あなたが Express Connect アカウントをお使いの場合、そのアカウントはプラットフォーム/ビジネスユーザーによって管理されます。両者が、あなたの決済を管理し、お問い合わせに対応する責任を負う当事者であるため、サポートが必要な場合はこちらにご連絡いただくことをお勧めします。

      Stripe で個人データが保管される期間はどのくらいですか?

      Stripe は、こちらに掲げる目的のために合理的に必要とする期間、個人データを保持します。

      当社は上記の保持期間を決定する際、あなたの所在地、あなたとの関係の性質、あなたに提案または提供する製品やサービスの種類、あなたの個人データの性質および機密性、法律または時効の規定によって強制される保持期間、個人データの保持を継続すべき正当な優先的根拠 (たとえば、裁判における当社の権利の防御、当社の契約の執行、不正使用の検出、裁判所または管轄当局からの有効な法的手続きの要求の遵守) など、さまざまな基準を考慮します。

      大半の法域において、Stripe は通常、ビジネスユーザーに関する個人データを、あなたとの取引関係の終了日と最終取引日のいずれか遅い方から 5 年以上の期間にわたって保管します。

      カリフォルニア州消費者プライバシー法上の権利に関する指標

      以下には、2021 年 1 月 1 日から 2021 年 12 月 31 日の間に受領したデータ主体の権利に関する請求の集計指標が含まれています。このデータは、カリフォルニア州にお住まいの方から受領した請求を反映したものですが、カリフォルニア州にお住まいでない方からの請求も含まれている可能性があります。

      • 受領した「知る権利を行使する請求」のうち、その全体もしくは一部が対応された、または拒否された件数: 14
      • 受領した「削除する権利を行使する請求」のうち、その全体もしくは一部が対応された、または拒否された件数: 13.612
      • 知る権利または削除する権利を行使する請求に応答するために要した平均日数: 1 日

      Stripe は、「知る権利を行使する請求」を拒否する場合があります。たとえば、データ主体が、Stripe が正確な本人認証を行って本人のデータを特定することのできるような情報を返信の中で提供しない場合などがこれに該当します。

      「削除する権利を行使する請求」を受領した場合でも、Stripe は、法律で認められている限りで、法的義務の遵守を目的とするときを含め、個人データを保管することがあります。たとえば、決済サービスのプロバイダとして、Stripe には、反テロリズム法やマネーロンダリング防止法を含む、多数の規制に準拠することが義務付けられています。これらの法律により Stripe では、所定の期間、Stripe ユーザに関連付けられた取引記録を保持することが求められています。Stripe のデータ保管義務について詳しくは、プライバシーポリシーをご覧ください。

      Stripe の製品およびサービスの性質上、「削除する権利を行使する請求」を受領した場合に Stripe が行うプロセスは、請求者と Stripe との関係に応じて、請求者を、その請求を行うためのページに誘導するというものです。また、質問や懸念がおありのデータ主体に向けて、お問い合わせ窓口をご用意しています。

      個人情報の販売停止権を行使する請求

      Stripe が、カリフォルニア州消費者プライバシー法 (CCPA) で定義されている個人情報の「販売」を行うことはありません。詳細を表示する

      Stripe のメディアサービスのプライバシーポリシーはどのようなものですか?

      Stripe のメディアサービスに関するプライバシーポリシー (メディアプライバシーポリシー) は、Stripe のメディアサービス (Stripe Press、Increment、Indie Hackers、Works in Progress など) を提供するために Stripe がどのように個人データを収集し、処理するかを説明するものです。詳細については、当社のメディアプライバシーポリシーをお読みください。

      クッキーおよびその他のテクノロジー

      Stripe は Cookie をどのように使用していますか?

      Stripe では、クッキーを (1) 当社サービスが適切に機能するように確保し、(2) 不正使用と当社の利用規約への違反を防止および検知し、(3) 訪問者が当社 Web サイトをどのように使用およびエンゲージしているかを把握し、(4) 当社サービスを分析および改善するために使用しています。お客様と Stripe の関係、およびお客様がアクセスしているドメインに応じて、適用される Cookie は異なります。たとえば、Cookie の中には、Stripe または Link の公開ドメイン上に設定されるものもあれば、Stripe ダッシュボードまたは Link の設定ページ上に設定されるものもあります。また、Link などの Stripe サービスを利用して決済を行うエンドユーザーが利用できる決済ページ上に設定されるものもあります。

      Stripe が個人的かつ効果的で安全なサービスを提供するために、Cookie は重要な役割を果たしています。当社はサービスを改善したり機能を追加したりするために、Cookie を定期的変更することに留意してください。詳細については、当社のCookie Policyをご覧ください。

      Stripe.js とは何ですか?

      Stripe.js (および iOS と Android SDK でそれと同等のもの) は、企業が Stripe を導入し、オンライン決済を受け入れるために使用する JavaScript ライブラリです。Stripe.js がサイトまたはモバイルアプリに追加されると、正規の行動と不正な行動を区別するために、不正使用検出のシグナルが使用されます。

      たとえば、不正使用者とボットはさまざまなページで時間を費やす可能性が低いため、これを検出して、不正使用を止めるためのシグナルとして使用できます。

      Stripe を使用しているサイトを訪問すると、この不正防止が、Web ブラウザのプライバシーレポートまたはトラッカーリストに表示される場合があります。

      トラッカーリストに Stripe が表示される場合があっても、当社はあなたに対して個人の追跡プロファイルを作成していません。Stripe は、現在も今後も、このデータを広告主に対して共有または販売しません。このデータは、以下の Stripe 管理下のホスト間で安全に交換されます。

      • js.stripe.com
      • m.stripe.network
      • m.stripe.com
      • q.stripe.com

      これらのエンドポイントによって収集されたデータは、保護され、Stripe インフラストラクチャ内に留まるように設計されています。このデータへのアクセスは厳しく制御され、不正防止およびセキュリティーに従事する少数の Str[ipe 従業員に限定されています (さらに、権限は定期的に見直されます)。詳細については、Stripe の]プライバシーポリシー](/privacy)をご覧ください。

      高度な不正使用シグナルとは何ですか?

      Stripe の高度な不正使用検出機能は、デバイスの特性とユーザー操作のインジケーターに関するシグナルを調べます。これらは正当な取引と不正な取引を区別するのに役立ちます。これらのシグナルは高い確率で不正使用を示しており、Radar などの Stripe 不正防止システムを動作させます。シグナルは、m.stripe.com エンドポイントに定期的に要求することで、Stripe のバックエンドに安全に送信されます。

      高度な不正使用検出の詳細については、Stripe のドキュメントをご覧ください。

      高度な不正使用シグナルが追跡型広告とは異なる理由は何ですか?

      Stripe は、これらの高度な不正使用検出シグナルを、安全な決済を可能にし、不正使用を防止するためにのみ使用します。このデータを使用して個人のプロフィールを作成したり、それを広告主に対して共有または販売したりすることはありません。

      Stripe がこのデータをどのように使用しているかの詳細については、プライバシーポリシーをご覧ください。

      Link で Stripe が決済手段の詳細を記憶する方法を教えてください。

      Link (旧称「Remember Me」) を使用するエンドユーザーは、支払い情報を保存して再利用できるため、何千ものオンラインビジネスで購入処理がスピードアップします。エンドユーザーは、Link を有効にしたビジネスユーザー (加盟店) を通じて購入した場合、クレジットカードやデビットカードの詳細など、決済手段の詳細を記憶するよう Stripe に要求できます。個人が保存させることを選択した場合、Stripe は将来の Link 取引のために、エンドユーザーのメールアドレス、電話番号および決済方法の詳細を保存します。

      複数の Stripe ビジネスユーザー間で、将来の取引に備えて決済手段の詳細を保存することが可能です。通常、Cookie が設定され次第、エンドユーザーは購入時に Link を使用して「1 クリック」で購入できます。このため、Stripe では、エンドユーザーの保存済みの情報が顧客に代わって自動的に決済フローに入力されるため、その情報を使用することで取引がより迅速に完了します。

      エンドユーザーが将来の Link 取引で電話番号やメールアドレスを入力すると、Stripe は SMS メッセージなどでワンタイムパスコード (OTP) を顧客に送信して、エンドユーザーを認証します。エンドユーザーが OTP を正しく入力すると、Stripe またはビジネスユーザーはエンドユーザーのブラウザーに Cookie を設定し、エンドユーザーが認証済みであることを示します。顧客が OTP を入力しなかった場合や、アクティブな Link セッションから「ログアウト」することを選択した場合、エンドユーザーは Cookie に保存されません。

      Cookie は、特定のデバイスの特定のブラウザーにのみ保管されます。エンドユーザーが別のブラウザーまたは別のデバイスでの 1 クリック購入を希望する場合は、新たなブラウザーやデバイスの組み合わせで、OTP 認証プロセスを実行する必要があります。

      90 日経過すると、エンドユーザーはこの OTP プロセスを再度実行する必要があります。エンドユーザーは、ブラウザー内で Cookie を消去するか、決済フローで「ログアウト」オプションが提示されているときにこのオプションを選択することで、自ら Cookie を削除することもできます。

      エンドユーザーが以降について、購入の際に決済手段の詳細の Stripe への保存を希望しなくなった場合、エンドユーザーはセルフサービス削除ツールを使用できます。また、エンドユーザーから Stripe サポートに連絡して、削除を依頼することもできます。

      上記の説明は、エンドユーザーが各自の情報を購入時に備えて保管し使用する方法をどのように制御できるかを示しています。ただし、これは、Stripe がエンドユーザー情報の保存と使用を行うその他の状況には影響しません。特に、Stripe は、高度な不正使用検出などの目的で、このような情報を保存し使用する場合があります。これについてはこのプライバシーセンターの他の場所に記載されています。

      Stripe は、自社の Web サイトを不正使用と悪用から守るために reCAPTCHA を使用していますか?

      はい。Stripe のサイトによっては、不正使用と悪用に対する防止効果を高めるために Google の reCAPTCHA Enterprise が実装されている場合があります。Google が収集した情報は、reCAPTCHA Enterprise の提供と改善のため、および一般的なセキュリティー目的のために使用されます。reCAPTCHA Enterprise の使用には、Google のプライバシーポリシーおよび利用規約が適用されます。

      お問い合わせ

      Stripe プライバシーチームへのお問い合わせ

      このプライバシーポリシーをご覧になった後にプライバシーに関してご不明な点がございましたら、メール、または当社のフォームを使用してお気軽にお問い合わせください。

      郵送をご希望の場合は以下の宛先までお送りください。

      Stripe, Inc.
      354 Oyster Point Boulevard
      South San Francisco, California, 94080, USA
      Attention: Stripe Legal

      Stripe Payments Europe Limited
      1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Ireland
      Attention: Stripe Legal

      Stripe のセキュリティー対策の詳細はどこで確認できますか?

      Stripe が実施しているセキュリティー対策の詳細については、セキュリティーのページをご覧ください。Stripe サービスに関する不正使用その他のセキュリティー侵害に気づいた場合は、必ず直ちに当社までメールでお知らせください。

      On this page