Quien sea que intervenga en el procesamiento, la transmisión o el almacenamiento de datos de tarjetas debe cumplir las normas de seguridad de datos de la normativa PCI (PCI DSS) correspondientes al sector de tarjetas de pago. El cumplimiento de la normativa PCI es una responsabilidad compartida y se aplica a Stripe y a tu empresa.

Al aceptar pagos, debes hacerlo conforme a la normativa PCI. La forma más simple de cumplir con la normativa PCI es no ver nunca los datos de las tarjetas (ni tener acceso a ellos). Para facilitar esta cuestión, puedes realizar la integración con Checkout, Elements o nuestros SDK para dispositivos móviles. Estas integraciones recopilan la información de pago y la transmiten directamente a nuestros servidores. Recomendamos encarecidamente a todos los usuarios que se integren con estos métodos.

Sin embargo, algunos usuarios de Stripe pueden tener integraciones que requieran que ellos, o un tercero, asuman un grado mayor de responsabilidad compartida. Esto suele ser necesario si tus servidores manejan directamente los datos de las tarjetas y los transmiten a Stripe. Si esto se aplica a tu caso, tendrás que proporcionar a Stripe la documentación donde se describan las medidas técnicas y de cumplimiento adoptadas para proteger la seguridad de los datos de los titulares de tarjetas. Esta documentación debe proporcionarse todos los años.

Para activar esta función, usa este enlace y comunícate con nuestro equipo de soporte. Luego, haz lo siguiente:

• Proporciona una breve descripción por escrito de los sistemas y servicios de tu aplicación que manejan datos de tarjetas. Si tercerizas esta actividad por completo a un tercero que cumple con las DSS del PCI, proporciona el nombre de dicho proveedor de servicios.
• Adjunta algunos de los siguientes documentos:
  • Un cuestionario de autoevaluación de las DSS del PCI (SAQ) completo y actualizado. O bien,
  • si cumples con las calificaciones de un comerciante de nivel 1 o un proveedor de servicios, proporciona una Certificación de cumplimiento de las DSS del PCI actual para su evaluación en sede. O bien,
  • si tercerizas por completo la gestión de datos de tarjetas a un proveedor de servicios externo que cumpla con las DSS del PCI, solo aceptas pagos en línea o por pedidos por correo electrónico o telefónicos, o calificas de alguna otra forma, proporciona un cuestionario de autoevaluación A. En este documento debe detallarse la información de tu entidad y del proveedor de servicios externo en la parte 2F.

Nuestra guía sobre cumplimiento de la normativa PCI puede ayudarte a elegir los formularios adecuados.

Si trabajas con una plataforma de terceros que te solicita que actives esta función en tu cuenta de Stripe, ponte en contacto con dicha plataforma para obtener la documentación necesaria. Si eres una plataforma de Connect que requiere esta función para los comerciantes conectados, solo tienes que habilitarla en la cuenta de la plataforma.

Si requieres acceso a esta función únicamente para probarla, la usarás por completo con el modo de prueba de Stripe y no podrás hacer uso de las tarjetas pretokenizadas de Stripe, ponte en contacto con el equipo de soporte para que activemos esta función para ti, sin documentación de cumplimiento de la normativa. Sin embargo, para usar esta función en el modo activo, deberás proporcionar la documentación de cumplimiento correspondiente como se detalló anteriormente.