Chiunque sia coinvolto nell'elaborazione, nella trasmissione o nella conservazione dei dati della carta deve essere conforme agli Standard di sicurezza dei dati PCI (PCI DSS). La conformità alle norme PCI è una responsabilità condivisa e si applica sia a Stripe che alla tua attività.

Quando accetti pagamenti, devi farlo in maniera conforme alle norme PCI. Il modo più semplice per rispettare la conformità alle norme PCI è non avere mai visibilità o accesso ai dati delle carte. A questo scopo, puoi integrare l'uso di Checkout, Elements o i nostri SDK per dispositivi mobili. Queste integrazioni consentono di acquisire i dati di pagamento e trasmetterli direttamente ai nostri server. Consigliamo vivamente a tutti gli utenti di integrare tali metodi.

Tuttavia, alcuni utenti Stripe potrebbero disporre di integrazioni che richiedono un ulteriore livello di responsabilità condivisa, talvolta con il coinvolgimento di una parte terza. Tale approccio, di norma, si rivela necessario se i tuoi server gestiscono direttamente e trasmettono a Stripe i dati delle carte di credito. Se questo è il tuo caso, devi fornire a Stripe la documentazione che descrive le misure tecniche e di conformità adottate per tutelare la sicurezza dei dati dei titolari delle carte. Tale documentazione deve essere trasmessa ogni anno.

Per abilitare questa funzionalità, utilizza questo link per contattare il team di assistenza e:

• Fornisci una breve descrizione scritta dei sistemi e dei servizi che nella tua applicazione gestiscono i dati delle carte. Se questa attività è gestita esternamente da una parte terza, conformemente alle norme PCI DSS, specifica il nome del fornitore del servizio.
• Allega uno dei seguenti documenti:
  • un questionario di autovalutazione (SAQ) D per PCI DSS aggiornato e completo o
  • se soddisfi i requisiti di un esercente o fornitore di servizi di livello 1, un attestato di conformità PCI DSS in corso di validità per la verifica in loco oppure
  • se la gestione dei dati delle carte è completamente esternalizzata a un fornitore di servizi di terze parti conforme alle norme PCI DSS, se accetti solo pagamenti per ordini postali o telefonici (MOTO) e se soddisfi altrimenti i requisiti, un questionario di autovalutazione (SAQ) A. Questo documento deve includere i dati della ragione sociale della tua attività e il fornitore di servizi di terze parti nella sezione 2f.

La nostra guida alla conformità alle norme PCI può essere utile per scegliere i moduli appropriati.

Se lavori con una piattaforma di terze parti che richiede l'attivazione di questa funzionalità sul tuo account Stripe, contatta il produttore della piattaforma per ottenere la documentazione necessaria. Se utilizzi la piattaforma Connect, che richiede questa funzionalità per gli esercenti connessi, devi attivarla solo per l'account della piattaforma.

Se hai bisogno di accedere a questa funzionalità unicamente a scopo di test, intendi usufruirne esclusivamente con la modalità di test di Stripe e non puoi utilizzare le carte pre-tokenizzate di Stripe, contatta il nostro team di assistenza per richiederne l'attivazione (non occorre la documentazione di conformità). Tuttavia, per utilizzare la funzionalità in modalità live, dovrai fornire la necessaria documentazione di conformità, come descritto sopra.