Siapa pun yang terlibat dalam pemrosesan, transmisi, atau penyimpanan data kartu harus mematuhi Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS). Kepatuhan PCI merupakan tanggung jawab bersama, dan berlaku untuk Stripe dan bisnis Anda.

Saat menerima pembayaran, Anda harus melakukannya dengan cara yang sesuai dengan PCI. Cara paling sederhana bagi Anda untuk mematuhi PCI adalah dengan tidak pernah melihat (atau memiliki akses ke) data kartu sama sekali. Untuk memfasilitasi ini, Anda dapat mengintegrasikan menggunakan Checkout, Elements, atau SDK seluler kami. Integrasi ini mengumpulkan informasi pembayaran dan mengirimkannya langsung ke server kami. Kami sangat menyarankan agar semua pengguna melakukan integrasi dengan metode ini.

Namun, beberapa pengguna Stripe mungkin memiliki integrasi yang mewajibkan mereka, atau pihak ketiga, mengambil tanggung jawab yang lebih besar dari tanggung jawab bersama ini. Ini umumnya diperlukan jika server Anda secara langsung menangani data kartu dan meneruskannya ke Stripe. Jika ini berlaku untuk Anda, Anda harus memberikan dokumentasi di Stripe, yang menjelaskan langkah teknis dan kepatuhan yang diambil untuk melindungi keamanan data pemegang kartu. Dokumentasi ini harus diberikan setiap tahun.

Untuk mengaktifkan fungsionalitas ini, gunakan tautan ini untuk menghubungi tim dukungan kami dan:

• Berikan penjelasan singkat mengenai sistem dan layanan dalam aplikasi Anda yang menangani data kartu. Jika Anda sepenuhnya mengalihdayakan aktivitas ini ke pihak ketiga yang sesuai dengan PCI DSS, berikan nama penyedia layanan tersebut.
• Lampirkan salah satu dari dokumen-dokumen berikut:
  • Kuesioner Penilaian Mandiri (SAQ) PCI DSS D yang terkini dan diisi lengkap, atau
  • Jika Anda memenuhi kualifikasi Merchant atau Penyedia Layanan Level 1, Pengesahan Kepatuhan PCI DSS saat ini untuk Penilaian Di-Lokasi, atau
  • Jika Anda sepenuhnya mengalihdayakan penanganan data kartu kepada penyedia layanan pihak ketiga yang sesuai dengan PCI DSS, hanya menerima pembayaran secara online atau pesanan via pos/pesanan via telepon (MOTO), dan memenuhi syarat untuk mengisi Kuesioner Penilaian Mandiri (SAQ) A. Dokumen ini harus mencantumkan informasi entitas Anda dan mencantumkan penyedia layanan pihak ketiga di Bagian 2f.

Panduan kami tentang Kepatuhan PCI dapat membantu Anda memilih formulir yang sesuai.

Jika Anda bekerja sama dengan platform pihak ketiga yang meminta Anda untuk mengaktifkan fitur ini di akun Stripe, hubungi platform tersebut untuk mendapatkan dokumentasi yang diperlukan. Jika Anda adalah platform Connect yang memerlukan fitur ini untuk merchant terhubung, Anda hanya perlu mengaktifkannya di akun platform.

Jika Anda memerlukan akses ke fitur ini hanya untuk tujuan percobaan, Anda akan menggunakannya sepenuhnya dengan mode percobaan Stripe, dan tidak dapat menggunakan kartu Stripe yang ditokenisasi sebelumnya, hubungi tim dukungan kami dan kami akan mengaktifkan fitur ini untuk Anda—Anda tidak memerlukan dokumentasi kepatuhan. Namun, untuk menggunakan fitur ini dalam mode live, Anda harus menyediakan dokumentasi kepatuhan yang sesuai seperti yang dijelaskan di atas.