Siapa pun yang terlibat dalam pemrosesan, transmisi, atau penyimpanan data kartu harus mematuhi Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS). Kepatuhan PCI adalah tanggung jawab bersama yang berlaku untuk Stripe dan bisnis Anda.

Saat menerima pembayaran, Anda harus melakukannya dengan cara yang dengan standar PCI. Cara termudah agar Anda mematuhi standar PCI adalah dengan tidak pernah melihat (atau mengakses) data kartu sama sekali. Untuk memudahkan hal ini, Anda dapat melakukan integrasi dengan menggunakan Checkout, Elements, atau SDK mobile kami. Integrasi-integrasi ini mengumpulkan informasi pembayaran dan mengirimkannya langsung ke server kami. Kami sangat menyarankan semua pengguna untuk menggunakan metode-metode ini dalam integrasinya.

Namun, beberapa pengguna Stripe mungkin memiliki integrasi yang mengharuskan adanya tanggung jawab bersama yang lebih besar dari mereka atau pihak ketiga. Ini biasanya dibutuhkan jika server Anda secara langsung memproses data kartu dan meneruskannya ke Stripe. Jika hal ini berlaku untuk Anda, Anda harus memberikan dokumen yang menjelaskan langkah-langkah teknis dan kepatuhan yang diambil untuk melindungi keamanan data pemegang kartu kepada Stripe. Dokumen ini harus diberikan setiap tahun:

Untuk mengaktifkan fungsi ini, silakan gunakan tautan ini untuk menghubungi tim CS dan:

• Berikan gambaran singkat tertulis tentang sistem dan layanan dalam aplikasi Anda yang menangani data kartu. Jika Anda mengalihdayakan sepenuhnya aktivitas ini kepada pihak ketiga yang mematuhi standar PCI DSS, mohon berikan nama penyedia layanan tersebut.
• Lampirkan salah satu dokumen berikut ini:
  • Kuesioner Penilaian Diri (SAQ) PCI DSS D yang terbaru dan lengkap, atau
  • Jika Anda memenuhi syarat sebagai Merchant atau Penyedia Layanan Level 1, Anda akan memerlukan Pernyataan Kepatuhan PCI DSS untuk Penilaian Onsite yang terbaru, atau
  • Jika Anda mengalihdayakan sepenuhnya penanganan data kartu kepada penyedia layanan pihak ketiga yang mematuhi standar PCI DSS, hanya menerima pembayaran online atau pesanan melalui surat/telepon (MOTO), dan memenuhi syarat lainnya, maka Anda akan memerlukan Kuesioner Penilaian Diri (SAQ) A. Dokumen ini harus mencantumkan informasi entitas Anda dan mencantumkan penyedia layanan pihak ketiga di Bagian 2f.

Panduan Kepatuhan PCI kami akan membantu Anda dalam memilih formulir yang sesuai.

Jika Anda menggunakan platform pihak ketiga yang meminta Anda mengaktifkan fitur ini pada akun Stripe Anda, silakan hubungi platform tersebut untuk mendapatkan dokumentasi yang diperlukan. Jika Anda adalah platform Connect yang membutuhkan fitur ini untuk merchant yang terhubung, Anda hanya harus mengaktifkannya pada akun platform tersebut.

Jika Anda memerlukan akses ke fitur ini hanya untuk tujuan pengujian, atau Anda hanya akan menggunakan fitur tersebut sepenuhnya dalam mode uji coba Stripe, dan Anda tidak dapat menggunakan kartu pra-tokenisasi dari Stripe, silakan hubungi tim CS kami dan kami akan mengaktifkan fitur ini untuk Anda—dokumentasi kepatuhan tidak diperlukan. Namun demikian, untuk menggunakan fitur ini dalam mode live, Anda harus menyediakan dokumentasi kepatuhan yang sesuai seperti yang dijelaskan sebelumnya.