Cualquier persona que esté involucrada en el procesamiento, la transmisión o el almacenamiento de datos de tarjetas debe cumplir con los estándares de seguridad de datos de la normativa del sector de pagos con tarjeta (PCI DSS, por sus siglas en inglés). Cumplir la normativa PCI es una responsabilidad que se aplica tanto a Stripe como a tu empresa.

Al aceptar pagos, debes hacerlo de un modo que cumpla dicha normativa. La forma más fácil de cumplirla es no ver nunca los datos de las tarjetas (ni tener acceso a ellos). Para simplificar el proceso, puedes hacer la integración mediante Checkout, Elements o nuestros SDK para móviles. Estas integraciones recopilan la información de pago y la transmiten de forma directa a nuestros servidores. Recomendamos encarecidamente que todos los usuarios hagan la integración con estos métodos.

Sin embargo, algunos usuarios de Stripe pueden tener integraciones que exijan que ellos (o un tercero) asuman una parte mayor de esta responsabilidad compartida. Suele ser el caso si tus servidores gestionan directamente los datos de las tarjetas y los envían a Stripe. Si te encuentras en esta situación, tendrás que proporcionar a Stripe documentación en la que se describan las medidas técnicas y de cumplimiento de la normativa que tomas para proteger la seguridad de los datos de los titulares de tarjetas. Deberás enviar esta documentación cada año.

Si quieres habilitar estas funciones, usa este enlace para contactar con nuestro equipo de soporte y haz lo siguiente:

• Escribe una breve descripción de los sistemas y servicios de tu aplicación que gestionan datos de tarjetas. Si delegas por completo esta actividad a un tercero que cumple la normativa PCI DSS, indica el nombre de ese proveedor de servicios.
• Adjunta uno de los siguientes documentos:
  • Un cuestionario de autoevaluación (SAQ) D de PCI DSS vigente y completo.
  • Si cumples los requisitos de comerciante o proveedor de servicios de nivel 1, una atestación de cumplimiento para evaluaciones in situ de PCI DSS.
  • Si delegas por completo la gestión de los datos de tarjetas a un proveedor de servicios externo que cumple la normativa PCI DSS, solo aceptas pagos por Internet o mediante pedido telefónico/por correo (MOTO) y cumples los demás requisitos, un cuestionario de autoevaluación (SAQ) A. En este documento debe aparecer la información de tu entidad y dicho proveedor de servicios externo en la parte 2f.

Nuestra guía de cumplimiento de la normativa PCI puede ayudarte a elegir los formularios adecuados.

Si trabajas con una plataforma externa que te solicita que habilites esta función en tu cuenta de Stripe, contacta con ella para obtener la documentación necesaria. Si tienes una plataforma Connect que exige esta función a los comerciantes conectados, solo tendrás que habilitarla en la cuenta de la plataforma.

Si solo necesitas acceder a esta función para hacer pruebas, la usarás siempre con el modo de prueba de Stripe y no puedes utilizar las tarjetas previamente tokenizadas de Stripe, contacta con nuestro equipo de soporte y habilitaremos esta función en tu cuenta (sin que tengas que enviar ninguna documentación sobre el cumplimiento de la normativa). Sin embargo, para poder utilizarla en el modo activo, tendrás que enviar la documentación de cumplimiento de la normativa que hemos indicado.