Cualquiera que intervenga en el procesamiento, transmisión o almacenamiento de datos de tarjetas debe cumplir las Normas de Seguridad de Datos del Sector de Tarjetas de Pago (PCI DSS). El cumplimiento de la normativa PCI es una responsabilidad compartida y se aplica tanto a Stripe como a tu empresa.

Cuando aceptes pagos, debes hacerlo cumpliendo la normativa PCI. La forma más sencilla de cumplir la normativa PCI es no ver nunca los datos de las tarjetas (ni tener acceso a ellos). Para facilitar esto, puedes integrarte utilizando Checkout, Elements, o nuestros SDK para móviles. Estas integraciones recopilan la información de pago y la transmiten directamente a nuestros servidores. Recomendamos encarecidamente a todos los usuarios que se integren con estos métodos.

Sin embargo, algunos usuarios de Stripe pueden tener integraciones que requieran que ellos, o un tercero, asuman un mayor grado de esta responsabilidad compartida. Esto suele ser necesario si tus servidores manejan directamente los datos de las tarjetas y los pasan a Stripe. Si este es tu caso, tendrás que proporcionar a Stripe documentación que describa las medidas técnicas y de cumplimiento de la normativa adoptadas para proteger la seguridad de los datos de los titulares de tarjetas. Esta documentación debe proporcionarse cada año.

Para activar esta funcionalidad, utiliza este enlace para ponerte en contacto con nuestro equipo de soporte y:

• Presenta una breve descripción escrita de los sistemas y servicios de tu aplicación que manejan datos de tarjetas. Si subcontratas totalmente esta actividad a un tercero que cumpla con la normativa PCI DSS, indica el nombre de ese proveedor de servicios.
• Adjunta uno de los siguientes documentos:
  • Un Cuestionario de Autoevaluación (SAQ) D de PCI DSS actual y completo
  • Si cumples los requisitos de comerciante o proveedor de servicios de nivel 1, debes disponer de un certificado de cumplimiento de la normativa PCI DSS vigente para la evaluación in situ
  • Si subcontratas totalmente el tratamiento de los datos de las tarjetas a un proveedor de servicios externo que cumpla la normativa PCI DSS, solo aceptas pagos por pedido telefónico/por correo (MOTO), y cumples los demás requisitos, adjunta un Cuestionario de autoevaluación (SAQ) A. Este documento debe incluir la información de tu entidad y enumerar al proveedor de servicios externo en la parte 2f.

Nuestra guía para el cumplimiento de la normativa PCI puede ayudarte a elegir los formularios adecuados.

Si trabajas con una plataforma de terceros que te solicita que habilites esta funcionalidad en tu cuenta de Stripe, ponte en contacto con dicha plataforma para obtener la documentación necesaria. Si se trata de una plataforma Connect que requiere esta funcionalidad para los comerciantes conectados, solo tienes que activarla en la cuenta de la plataforma.

Si necesitas acceder a esta funcionalidad únicamente con fines de prueba, la utilizarás íntegramente con el modo de prueba de Stripe, y no podrás hacer uso del modo de prueba de las tarjetas de Stripe pretokenizadas. Ponte en contacto con nuestro equipo de soporte y te habilitaremos esta funcionalidad, sin necesidad de documentación de conformidad. Sin embargo, para poder utilizar esta funcionalidad en modo activo, tendrás que proporcionar la documentación de conformidad adecuada, tal y como se describió anteriormente.