Cualquiera que intervenga en el procesamiento, transmisión o almacenamiento de datos de tarjetas debe cumplir los Estándares de Seguridad de Datos del Sector de Tarjetas de Pago (PCI DSS). El cumplimiento de la normativa PCI es una responsabilidad compartida y se aplica tanto a Stripe como a tu empresa.

Cuando aceptes pagos, debes hacerlo cumpliendo la normativa PCI. La forma más sencilla de cumplir la normativa PCI es no ver nunca los datos de las tarjetas (ni tener acceso a ellos). Para facilitarlo, puedes hacer la integración con Checkout, Elements o nuestros SDK para móviles. Estas integraciones recopilan la información de pago y la transmiten directamente a nuestros servidores. Recomendamos encarecidamente a todos los usuarios que realicen la integración con estos métodos.

Sin embargo, algunos usuarios de Stripe pueden tener integraciones que requieran que ellos, o un tercero, asuman un mayor grado de esta responsabilidad compartida. Esto suele ser necesario si tus servidores manejan directamente los datos de las tarjetas y los pasan a Stripe. Si este es tu caso, tendrás que proporcionar a Stripe documentación que describa las medidas técnicas y de cumplimiento de la normativa adoptadas para proteger la seguridad de los datos de los titulares de tarjetas. Esta documentación debe proporcionarse cada año.

Para activar esta funcionalidad, utiliza este enlace para ponerte en contacto con nuestro equipo de soporte y:

• Presenta una breve descripción por escrito de los sistemas y servicios de tu aplicación que manejan datos de tarjetas. Si subcontratas por completo esta actividad a un tercero que cumpla con la normativa PCI DSS, indica el nombre de ese proveedor de servicios.
• Adjunta uno de los siguientes documentos:
  • Un Cuestionario de autoevaluación (SAQ) D de PCI DSS actualizado y completo
  • Si cumples los requisitos de comerciante o proveedor de servicios de nivel 1, debes disponer de un certificado de cumplimiento de la normativa PCI DSS vigente para la evaluación en el propio sitio
  • Si subcontratas por completo el tratamiento de los datos de las tarjetas a un proveedor de servicios externo que cumpla la normativa PCI DSS, solo aceptas pagos de los pedidos en línea o por correo electrónico/teléfono (MOTO), y cumples los demás requisitos, adjunta un Cuestionario de autoevaluación (SAQ) A. Este documento debe incluir la información de tu entidad e indicar el proveedor de servicios externo en la parte 2f.

Nuestra guía para el cumplimiento de la normativa PCI puede ayudarte a elegir los formularios adecuados.

Si trabajas con una plataforma de terceros que te solicita que habilites esta función en tu cuenta de Stripe, ponte en contacto con dicha plataforma para obtener la documentación necesaria. Si se trata de una plataforma de Connect que requiere esta función para los comerciantes conectados, solo tienes que activarla en la cuenta de la plataforma.

Si necesitas acceder a esta función únicamente con fines de prueba, la utilizarás íntegramente con el modo de prueba de Stripe, y no podrás hacer uso de las tarjetas pretokenizadas de Stripe. Ponte en contacto con nuestro equipo de soporte y te habilitaremos esta función, sin que debas presentar documentación de cumplimiento de la normativa. Sin embargo, para poder utilizar esta función en modo activo, tendrás que proporcionar la documentación adecuada de cumplimiento de la normativa, tal y como se ha indicado anteriormente.