Alle Unternehmen und Personen, die an der Verarbeitung, Übertragung oder Speicherung von Kartendaten beteiligt sind, unterliegen den Bestimmungen der Payment Card Industry Data Security Standards (PCI DSS). Die PCI-Konformität stellt eine gemeinsame Verantwortung dar und gilt sowohl für Stripe als auch für Ihr Unternehmen.

Wenn Sie Zahlungen annehmen, muss dies PCI-konform geschehen. Am einfachsten ist es, wenn Sie die Kartendaten nicht einsehen können (bzw. keinen Zugriff darauf haben). Um diese Voraussetzungen zu schaffen, können Sie Checkout, Elements oder unsere mobilen SDKs verwenden. Diese Integrationen sammeln Zahlungsinformationen und übermitteln sie direkt an unsere Server. Wir empfehlen allen Nutzerinnen und Nutzern dringend, diese Methoden zu verwenden.

Bei einigen kann es aufgrund ihrer Integration jedoch erforderlich sein, dass sie oder ein Dritter einen größeren Teil dieser gemeinsamen Verantwortung übernehmen. Das ist grundsätzlich der Fall, wenn Ihre Server Kartendaten direkt verarbeiten und an Stripe weiterleiten. In diesem Fall müssen Sie Stripe Unterlagen vorlegen, in denen die technischen und konformitätsbezogenen Maßnahmen beschrieben sind, die zum Schutz der Daten der Karteninhaber/innen ergriffen wurden. Diese Dokumentation muss jedes Jahr vorgelegt werden.

Um diese Funktion zu aktivieren, kontaktieren Sie unser Support-Team über diesen Link und:

• Beschreiben Sie kurz die Systeme und Dienste in Ihrer Anwendung, die Kartendaten verarbeiten. Wenn Sie diese Schritte vollständig an einen PCI-DSS-konformen Dritten auslagern, geben Sie bitte den Namen dieses Dienstleisters an.
• Fügen Sie eines der folgenden Dokumente bei:
  • Einen aktuellen, ausgefüllten PCI-DSS-Fragebogen D (Self-Assessment Questionnaire D (SAQ D)) oder
  • Wenn Sie die Voraussetzungen eines Händlers oder Dienstleisters der Stufe 1 erfüllen, eine aktuelle Konformitätsbescheinigung (Attestation of Compliance, AoC) zu den PCI DSS, oder
  • Wenn Sie die Verarbeitung von Kartendaten vollständig an einen PCI-DSS-konformen Dritten auslagern, nur Online- oder MOTO-Transaktionen (für postalische/telefonische Bestellungen) verarbeiten und ansonsten die Voraussetzungen erfüllen, müssen Sie einen Selbstbewertungsfragebogen A (Self-Assessment Questionnaire A (SAQ A)) ausfüllen. In diesem Dokument müssen die Angaben zu Ihrem Unternehmen und zum Dienstleister in Teil 2f aufgeführt sein.

Unser Leitfaden zur PCI-Konformität kann Ihnen bei der Auswahl der geeigneten Formulare helfen.

Wenn Sie mit einer Plattform eines Drittanbieters arbeiten, der Sie auffordert, diese Funktion in Ihrem Stripe-Konto zu aktivieren, wenden Sie sich bitte an diese Plattform, um die erforderliche Dokumentation anzufordern. Wenn Sie eine Connect-Plattform betreiben, die diese Funktion für die verbundenen Händler benötigt, müssen Sie sie lediglich im Konto der Plattform aktivieren.

Wenn Sie den Zugang zu dieser Funktion nur zu Testzwecken benötigen, sie ausschließlich mit dem Test-Modus von Stripe nutzen und keine Karten mit vordefinierten Token von Stripe verwenden können, wenden Sie sich an unser Support-Team, damit wir diese Funktion für Sie aktivieren können. Eine Dokumentation zur Bestätigung der Compliance ist nicht erforderlich. Um diese Funktion im Live-Modus nutzen zu können, müssen Sie jedoch, wie oben beschrieben, die entsprechende Dokumentation zur Bestätigung der Compliance vorlegen.