Hur ser förhållandet mellan Stripe och Discord ut?
Stripe agerar som vår identitetsverifieringsleverantör och är juridiskt och avtalsmässigt skyldiga att endast använda uppgifterna på ett sätt som vi har godkänt, vilket är för att tillhandahålla tjänsten för identitetskontroll. Data kommer fortfarande från Discord och tillhör fortfarande Discord och därför har vi rätt och möjlighet att ta bort dessa data. I grund och botten tillhandahåller de en tjänst till oss såsom Google eller Cloudflare gör.
Vem får tillgång till den information jag skickar in?
Ett litet antal anställda som är involverade i säkerhet och juridik kommer att kunna få tillgång till informationen. Informationen lagras inte i själva Discord och är inte allmänt tillgänglig för anställda utanför denna grupp. Vi förstår att detta är mycket känsligt, och tillgång till informationen är inte något som vi tar lätt på. Det är uttryckligen för identifiering av illvilliga aktörer. Vi pratar inte om allmänt förtroende och säkerhet, som spambotar eller att en bot tar bort kanaler i en server. Istället vill vi förhindra dataintrång, omfattande integritetskränkning och olaglig verksamhet.
Varför gör ni detta nu igen?
Discord är en plattform där hundratals miljoner människor dagligen pratar med varandra om allt som händer i deras liv. Att hålla denna information säker är en av våra främsta prioriteringar. Vi lägger mycket tid på att förstärka säkerheten i våra interna databaser och procedurer, men vi vill också se till att tillgång till data via vår API också hanteras på ett ansvarsfullt och genomtänkt sätt. Detta inkluderar proaktiva åtgärder som denna verifieringsprocess, korrekt autentisering och begränsningar av våra API:er, bestämmelser i våra användarvillkor såväl som det mandat att vilande slutanvändardata krypteras.
På så vis uppnår verifiering två mål: den agerar som ett hinder för tillväxt för onda aktörer i första hand, och det är också en metod att agera mot dem om de skulla komma genom den barriären.
Hur kan jag ta bort den information jag har skickat in?
Att ta bort information på begäran besegrar syftet med identitetsverifiering. På samma gång har vi inget intresse av att behålla dessa data längre än vi behöver och vi vill balansera de två principerna. På så sätt är vår policy om behållande av data att vi kommer att ta bort identifieringsinformation ett år efter att boten som den är ansluten med har tagits bort.
Detta är i linje med industristandarder gällande riktlinjer för behållande av data för motverkan och bekämpning av bedrägeri. Att behålla information efter botens radering under en viss tid är absolut nödvändigt - som vi vet i säkerhetsvärlden, upptäcks vissa missdåd inte omedelbart, och vi vill se till att vi kan vidta åtgärder för att hålla användarna säkra.
Kommer jag någonsin att behöva verifiera min information igen?
I enlighet med Stripes policy för lagring av data kommer användare att bli ombedda att verifiera sin identitet en gång vart tredje år för att hålla sin lagrade ID-information uppdaterad.
Juridisk nördhatt
Om du är nyfiken gällande den rättsliga fronten så beskrivs användning av uppgifter för detta ändamål både i GDPR (se skäl 47), såväl som i CCPA (Cal Civ Code § 1798. 05(d)(2)).