Toute personne impliquée dans le traitement, la transmission ou le stockage de données de carte doit se conformer aux normes de sécurité des données du secteur des cartes de paiement (PCI DSS). La conformité PCI est une responsabilité partagée et s'applique à la fois à Stripe et à votre entreprise.

Lorsque vous acceptez des paiements, vous devez le faire dans le respect des normes PCI. La façon la plus simple de se conformer aux normes PCI est de ne jamais voir les données de carte (ou y accéder). Pour ce faire, vous pouvez effectuer l'intégration en utilisant Checkout, Elements ou nos trousses SDK mobiles. Ces intégrations collectent les informations de paiement et les transmettent directement à nos serveurs. Nous recommandons vivement à tous les utilisateurs de recourir à ces méthodes pour effectuer l'intégration.

Cependant, certains utilisateurs de Stripe peuvent disposer d'une intégration qui exige qu'eux-mêmes, ou un tiers, assument une plus grande part de cette responsabilité partagée. Cela sera généralement le cas si vos serveurs traitent directement les données de carte et les transmettent à Stripe. Si vous êtes concerné(e), vous devrez fournir à Stripe un document décrivant les mesures techniques et de conformité prises pour protéger la sécurité des données des titulaires de cartes. Ce document doit être présenté chaque année.

Pour activer cette fonctionnalité, veuillez utiliser ce lien pour contacter notre équipe d'assistance et :

• Fournir une brève description écrite des systèmes et services de votre application qui traitent les données de carte. Si vous confiez entièrement cette activité à un tiers conforme à la norme PCI DSS, veuillez indiquer le nom de ce prestataire de services.
• Joindre l'un des documents suivants :
  • Un questionnaire d'autoévaluation (SAQ) D concernant la norme de sécurité PCI DSS, complet et à jour, ou
  • Si vous répondez aux critères d'un marchand ou d'un prestataire de services de niveau 1, une attestation de conformité à la norme PCI DSS à jour pour l'évaluation réalisée sur le terrain, ou
  • Si vous confiez entièrement le traitement des données de cartes à un prestataire de services tiers conforme à la norme PCI DSS, si vous n'acceptez que des paiements en ligne ou par correspondance/téléphone (MOTO) et si vous êtes admissible d'une toute autre manière, un questionnaire d'auto-évaluation (SAQ) A. Ce document doit contenir les informations relatives à votre entité et indiquer le nom du prestataire de services tiers dans la partie 2f.

Notre guide sur la conformité PCI peut vous aider à choisir les formulaires appropriés.

Si vous travaillez avec une plateforme tierce qui vous demande d'activer cette fonctionnalité sur votre compte Stripe, veuillez contacter cette plateforme pour obtenir le document nécessaire. Si vous êtes une plateforme Connect qui exige cette fonctionnalité pour les marchands connectés, il vous suffit de l'activer sur le compte de la plateforme.

Si vous avez besoin d'accéder à cette fonctionnalité uniquement à des fins de test, que vous l'utiliserez entièrement avec le mode test de Stripe et que vous ne pouvez pas utiliser les cartes pré-marquées de Stripe, veuillez contacter notre équipe d'assistance et nous activerons cette fonctionnalité pour vous. Aucune documentation de conformité n'est requise. Toutefois, pour utiliser cette fonction en mode production, vous devez fournir la documentation de conformité appropriée, comme décrit ci-dessus.