Börja nu  Kontakta säljteamet 
Börja nu  Kontakta säljteamet 

Hur man väljer en CCPA-kompatibel betalleverantör

Payments
Payments

Ta emot betalningar online, i fysisk miljö och globalt med en betalningslösning som är skapad för alla typer av företag – från växande startup-företag till globala storföretag.

Läs mer 
  1. Introduktion
  2. Varför spelar California Consumer Privacy Act roll för betalningar?
  3. Vilka personuppgifter använder en betalleverantör?
  4. Hur ska man utvärdera en leverantörs efterlevnad av CCPA?
  5. Vilka tecken tyder på svag datastyrning i betalningar?
  6. Hur kan upphandlingsteam strukturera en begäran om förslag för att upptäcka luckor i CCPA:s efterlevnad tidigt?
  7. Så kan Stripe Payments hjälpa till
  8. Kom igång med Stripe 

California Consumer Privacy Act (CCPA) och dess utvidgning, California Privacy Rights Act (CPRA), fastställer standarder för hur leverantörer av digitala tjänster samlar in och delar data om kunder i denna delstat. Efterlevnad av CCPA och CPRA är särskilt viktigt att tänka på när du väljer en betalleverantör, eftersom böterna för varje överträdelse kan vara nästan 8 000 USD.

Nedan förklarar vi hur du väljer en leverantör av betalningar som uppfyller CCPA-kraven, inklusive hur du utvärderar leverantörens integritetsfunktioner och hur du hittar luckor i efterlevnaden tidigt i upphandlingsprocessen.

Vad innehåller den här artikeln?

  • Varför är California Consumer Privacy Act viktig för betalningar?
  • Vilka personuppgifter använder en betalleverantör?
  • Hur ska man utvärdera en leverantörs efterlevnad av CCPA?
  • Vilka tecken tyder på svag datastyrning i betalningar?
  • Hur kan upphandlingsteam strukturera en begäran om förslag för att upptäcka luckor i CCPA:s efterlevnad tidigt?
  • Så kan Stripe Payments hjälpa till

Varför spelar California Consumer Privacy Act roll för betalningar?

CCPA ger kaliforniabor rätt att veta hur deras personuppgifter samlas in, begära att de raderas och stoppa försäljningen av dem. CCPA:s tillämpningsområde omfattar betalleverantörer eftersom de hanterar känsliga uppgifter, inklusive namn, e-postadresser, adresser, kort- och transaktions- uppgifter.

Ofta anses betalning vara "tjänsteleverantörer" enligt lagen. Företag kan dela kunddata med betalleverantörer av begränsade och specificerade skäl, och leverantörer måste tillhandahålla samma nivå av integritetsskydd. Om en betalleverantör återanvänder dessa data (t.ex. genom att analysera transaktion för att bygga sina egna marknadsföringsprodukter) går de utanför den juridisk gränsen.

Att ignorera CCPA kan leda till böter och skadat anseende, även om ditt företag är baserat utanför Kalifornien. CCPA gäller för alla invånare i Kalifornien, oavsett var ditt företag är beläget – liknande Europas allmänna dataskydds förordning (GDPR).

Vilka personuppgifter använder en betalleverantör?

Varje betalning involverar en mängd olika personliga och känsliga uppgifter.

Här är vad det kan inkludera:

  • Kundidentifierare: Namn, e-postadresser, postadresser och konto. Även IP-adresser som samlas in i kassan räknas som personuppgifter.

  • Finansiella uppgifter: Kredit- och bankkortsnummer, datum som löper ut, säkerhetskoder samt konto- och routingnummer. CCPA klassificerar dessa som känsliga personuppgifter eftersom de är direkt kopplade till finansiell identitet.

  • Transaktionsdata: Köphistorik, beställnings värden, tidsstämplar och information om företaget. Dessa register visar utgiftsmönster kopplade till specifika individer.

  • Data om bedrägeribekämpning: Fingeravtryck på enheter, geolokalisering och beteendeindikatorer som används för att upptäcka bedrägerier räknas alla som personuppgifter enligt lagen.

  • Auktoriseringsuppgifter: Krypterade inloggningsuppgifter, kontotokens och ibland biometriska identifierare som ansikts- eller fingeravtrycksverifiering betraktas som känsliga uppgifter.

  • Kundkommunikation: E-post till support, loggar och samtalsinspelningar innehåller ofta personuppgifter kopplade till konton eller transaktioner.

Hur ska man utvärdera en leverantörs efterlevnad av CCPA?

Betalningsleverantörer behandlar data för din räkning, men du måste se till att de kan ge support på de förfrågningar som dina kunder har laglig rätt att göra.

Tänk på följande:

  • Hantering av samtycke och avregistrering: Enligt CCPA behöver många betalningar inte samtycka till detta för att samla in data, men de måste respektera ”Sälj eller dela inte”-preferenserna. Om de använder cookies eller spårningsverktyg för att identifiera eller analysera bedrägerier bör du bekräfta att dessa inte strider mot rätten till avregistrering.

  • Åtkomst och portabilitet: Kunder har rätt att få veta vilka personuppgifter ett företag har. Det innebär att din leverantör måste kunna hämta dem på begäran. Fråga hur den hittar och sammanställer enskilda firmors register (via e-post, kort- token eller transaktions-id) och hur den verifierar identiteten innan den släpper ut data. Erfarna leverantörer kan producera denna information via ett API (Application Programming Interface) eller ett definierat arbetsflöde.

  • Kontroller för radering och lagring: Tjänsteleverantörer är i allmänhet skyldiga att radera kundernas information, om så begärs. Det är inte alltid enkelt att radera betalningar. Leverantörer måste kunna radera personuppgifter när du instruerar dem, samtidigt som de behåller det som är juridiskt nödvändigt för efterlevnad.

Vilka tecken tyder på svag datastyrning i betalningar?

Att upptäcka varningssignalerna på svag datastyrning kan rädda dig från efterlevnads- och ryktesrisker senare.

Håll utkik efter följande:

  • Inga bevis på efterlevnad: En erfaren leverantör kan visa bevis på noggrann datahantering. Rapporter från branschens betalkortsstandarder, dokumenterade CCPA-förfaranden, rapporter om system- och organisationskontroller (SOC) 2 eller certifieringar från Internationella standardiseringsorganisationen (ISO) kan ge sammanhang.

  • Vaga säkerhetsrutiner: Kryptering, åtkomstkontroller och sårbarhetstester bör vara standard. Om en leverantör lagrar okrypterade kortdata, saknar multifaktorautentisering eller inte kan beskriva sin åtgärdsplan för intrång är det avgörande.

  • Ogenomskinlig dataanvändning: Vissa betalleverantörer använder transaktionsdata för analys, reklam eller maskininlärning som inte är relaterade till ditt företag. De måste ge kunderna möjlighet att välja bort riktad reklam.

  • Motstånd mot transparens: Undvikande under due diligence (t.ex. att undvika direkta svar om dataflöden, lagring eller underbiträden) är ett tydligt varningstecken. Andra oroande tecken är att vägra fylla i säkerhetsformulär eller tillåta begränsade revisioner.

  • Inget integritetsledarskap: Om leverantören inte har någon integritetsansvarig eller något efterlevnadsteam, eller ingen intern utbildning för personal som hanterar kunddata, kan riskhanteringen i bästa fall vara reaktiv.

Hur kan upphandlingsteam strukturera en begäran om förslag för att upptäcka luckor i CCPA:s efterlevnad tidigt?

En begäran om förslag för en betalleverantör kan hjälpa dig att jämföra leverantörernas mognadsgrad för datastyrning.

Överväg att vidta följande åtgärder:

  • Inkludera ett särskilt avsnitt om integritet: Lägg inte till dataskydd i bilagan. Gör efterlevnad av CCPA till en egen kategori som signalerar att integritet är en del av företagets kriterier, inte ett sidoproblem.

  • Fråga specifikt om data: Begär en tydlig lista över vilka personuppgifter säljaren samlar in, behandlar och behåller, t.ex. namn, e-postadresser, kort- och enhets-id:n – och varför. Jämför svaren mellan olika leverantörer, med insikten att extra eller onödig insamling av uppgifter är ett varningstecken.

  • Undersök hanteringen av kundernas rättigheter: Fråga hur de behandlar begäranden om åtkomst och radering, inklusive verifierings- och handläggningstider. Starka leverantörer kan förklara detta steg-för-steg eller tillhandahålla exempel på arbetsflöden.

  • Kontrollera datalagrings- och exitrutiner: Kräv att leverantörer anger hur länge de behåller personuppgifter, vad som utlöser radering och hur de hanterar data när ditt avtal löper ut. Du vill ha åtaganden att radera eller returnera data enligt instruktion.

  • Utvärdera säkerhet och transparens: Be om revisionsrapporter (t.ex. SOC 2, PCI DSS, ISO/IEC 27001) och skriftliga förfaranden för att meddela om överträdelser. Leverantörer som inte kan tillhandahålla dem är inte redo för företagets efterlevnad.

Så kan Stripe Payments hjälpa till

Stripe Payments erbjuder en enhetlig, global betalningslösning som hjälper alla företag – från växande startupföretag till globala företag – att ta emot betalningar online, fysiskt och runt om i världen.

Det här kan Stripe Payments hjälpa till med:

  • Optimera kassaupplevelsen: Skapa en friktionsfri kundupplevelse och spara tusentals arbetstimmar med färdiga betalningsgränssnitt, tillgång till över 125 betalningsmetoder och Link, en plånbok skapad av Stripe.

  • Expandera till nya marknader snabbare: Nå kunder över hela världen och minska komplexiteten och kostnaderna för hantering av flera valutor med gränsöverskridande betalningsalternativ, tillgängliga i 195 länder och för över 135 valutor.

  • Göra betalningar både fysiskt och online till en enhetlig upplevelse: Bygg en enhetlig köpupplevelse i digitala och fysiska kanaler för att personanpassa interaktioner, belöna lojalitet och öka intäkterna.

  • Förbättrad betalningsprestanda: Öka intäkterna med en rad anpassningsbara, lättkonfigurerade betalningsverktyg, inklusive kodfritt skydd mot bedrägeri och avancerade funktioner för att förbättra auktoriseringstiderna.

  • Snabbare utveckling med en flexibel och pålitlig plattform för tillväxt: Bygg vidare på en plattform som är utformad för att skala upp med dig, med historisk upptid på 99,999 % och branschledande tillförlitlighet.

Läs mer om hur Stripe Payments kan underlätta dina betalningar online och i fysisk miljö, eller börja idag.

Innehållet i den här artikeln är endast avsett för allmän information och utbildningsändamål och ska inte tolkas som juridisk eller skatterelaterad rådgivning. Stripe garanterar inte att informationen i artikeln är korrekt, fullständig, adekvat eller aktuell. Du bör söka råd från en kompetent advokat eller revisor som är licensierad att praktisera i din jurisdiktion för råd om din specifika situation.

Fler artiklar

  • Ett fel har inträffat. Försök igen eller kontakta supporten.

Är du redo att sätta i gång?

Skapa ett konto och börja ta emot betalningar – inga avtal eller bankuppgifter behövs – eller kontakta oss för att ta fram ett specialanpassat paket för ditt företag.
Payments

Payments

Ta emot betalningar online, i fysisk miljö och globalt med en betalningslösning som är skapad för alla typer av företag.

Dokumentation om Payments

Hitta en guide för hur du integrerar Stripes betalnings-API:er.