Toute partie impliquée dans le traitement, le transfert ou le stockage de données de cartes bancaires doit se conformer aux normes PCI DSS (Payment Card Industry Data Security Standards). La conformité PCI est une responsabilité partagée entre Stripe et votre entreprise.

Vous êtes tenu de respecter les normes PCI lorsque vous acceptez des paiements. Il vous suffit pour cela de vous assurer de ne jamais bénéficier d'un accès aux données de cartes bancaires. À cette fin, pouvez intégrer Checkout, Elementsou l'un de nos SDK mobiles. Ces intégrations collectent les informations de paiement en votre nom et les transmettent directement à nos serveurs. Nous recommandons vivement à nos utilisateurs de se tourner vers ces solutions.

Cependant, selon leur intégration, il est possible que certains utilisateurs, ou que des tierces parties, doivent assumer une part plus importante de cette responsabilité partagée. C'est généralement le cas lorsque leurs serveurs traitent les informations de cartes avant de les transmettre à Stripe. Si vous vous trouvez dans cette situation, vous êtes tenu de fournir à Stripe un ensemble de preuves attestant des mesures techniques et de conformité que vous appliquez afin d'assurer la sécurité des données des titulaires de cartes. Vous devrez soumettre ces justificatifs tous les ans.

Pour activer cette fonctionnalité, veuillez accéder à ce lien pour contacter notre équipe d'assistance et :

• fournir une brève description des systèmes et des services de votre application qui traitent des données de cartes bancaires ; si vous avez confié l'ensemble de ces activités à une tierce partie certifiée PCI DSS, nous fournir le nom de ce fournisseur de services ;
• joindre l'un des documents suivants :
  • un questionnaire d'auto-évaluation (SAQ) D PCI DSS à jour et dûment rempli, ou
  • si vous entrez dans la catégorie des marchands ou des fournisseurs de niveau 1, une attestation, à jour de conformité PCI DSS pour les évaluations réalisées sur site, ou
  • si vous avez confié l'intégralité du traitement des données de carte à un fournisseur de services tiers certifié PCI DSS, n'acceptez que des paiements de type MOTO (commandes par courrier ou par téléphone) et répondez aux autres critères d'admissibilité, un questionnaire d'auto-évaluation (SAQ) A. Vous devez spécifier dans ce document les informations de votre entité et celles de votre fournisseur de services sous la Partie 2f.

Notre Guide de conformité PCI peut vous aider à déterminer quel formulaire s'applique à votre cas.

Si vous collaborez avec une plateforme tierce qui requiert que vous activiez cette fonctionnalité sur votre compte Stripe, contactez cette plateforme pour obtenir les justificatifs nécessaires. Si vous êtes une plateforme Connect, il vous suffit d'activer cette fonctionnalité au niveau de votre compte pour que vos comptes connectés en bénéficient également.

Si vous prévoyez d'accéder à cette fonctionnalité en mode test exclusivement et de ne pas utiliser de cartes pré-tokenisées Stripe, veuillez contacter notre équipe d'assistance afin que nous l'activions pour vous. Aucune preuve de conformité n'est nécessaire dans ce cas. Cependant, si vous souhaitez finalement accéder au mode production, vous devrez alors fournir les justificatifs requis décrits ci-dessus.