Toute partie impliquée dans le traitement, le transfert ou le stockage de données de cartes bancaires doit se conformer aux normes PCI DSS (Payment Card Industry Data Security Standards). La conformité PCI est une responsabilité partagée entre Stripe et votre entreprise.

Lorsque vous acceptez des paiements, vous devez le faire de façon à vous conformer à la norme PCI. La meilleure manière d'y parvenir est de ne jamais voir les données de carte et de ne jamais y avoir accès. À cette fin, vous pouvez les intégrer à l’aide de Checkout, d’Elements ou de nos SDK mobiles. Ces intégrations collectent les informations de paiement et les transmettent directement à nos serveurs. Nous recommandons vivement à nos utilisateurs de se tourner vers ces solutions.

Cependant, selon leur intégration, il est possible que certains utilisateurs de Stripe, ou que des tierces parties, doivent assumer une part plus importante de cette responsabilité partagée. C'est généralement le cas lorsque leurs serveurs traitent les informations de cartes avant de les transmettre à Stripe. Si vous vous trouvez dans cette situation, vous êtes tenu de fournir à Stripe un ensemble de preuves attestant des mesures techniques et de conformité que vous appliquez afin d'assurer la sécurité des données des titulaires de cartes. Vous devrez soumettre ces justificatifs tous les ans.

Pour activer cette fonctionnalité, veuillez utiliser ce lien pour contacter notre équipe d’assistance, puis :

• Fournissez une brève description des systèmes et des services de votre application qui traitent des données de cartes. Si vous confiez l'ensemble de ces activités à une tierce partie certifiée PCI DSS, veuillez nous transmettre le nom de ce fournisseur de services.
• Joignez l'un des documents suivants :
  • un questionnaire (SAQ) D d’auto-évaluation PCI DSS complet et à jour, ou
  • si vous répondez aux critères de marchand ou de fournisseur de services de niveau 1, une attestation de conformité PCI DSS à jour pour les évaluations réalisées sur site, ou
  • si vous confiez l'intégralité du traitement des données de carte à un fournisseur de services tiers certifié PCI DSS, si vous n’acceptez que des paiements de type MOTO (commandes par courrier ou par téléphone) et si vous répondez aux autres critères d'éligibilité, vous devez remplir un questionnaire d'auto-évaluation (SAQ) A. Vous devez spécifier dans la Partie 2f de ce document les informations de votre entité et celles de votre fournisseur de services.

Notre Guide de mise en conformité PCI peut vous aider à déterminer quel formulaire s’applique à votre cas.

Si vous collaborez avec une plateforme tierce qui requiert que vous activiez cette fonctionnalité sur votre compte Stripe, veuillez contacter cette plateforme pour obtenir les justificatifs nécessaires. Si vous êtes une plateforme Connect qui exige cette fonctionnalité pour les marchands connectés, il vous suffit de l'activer sur le compte de la plateforme.

Si vous prévoyez d'accéder à cette fonctionnalité en mode test exclusivement et de ne pas utiliser de cartes pré-tokenisées, veuillez contacter notre équipe d’assistance afin que nous l'activions pour vous. Dans ce cas, aucune preuve de conformité n'est nécessaire. Cependant, si vous souhaitez finalement utiliser cette fonctionnalité en mode production, vous devrez alors fournir les justificatifs requis décrits ci-dessus.