Chiunque sia coinvolto nell'elaborazione, nella trasmissione o nella conservazione dei dati della carta deve essere conforme agli Standard di sicurezza dei dati PCI (PCI DSS). La conformità alle norme PCI è una responsabilità condivisa e si applica sia a Stripe che alla tua azienda.

Quando accetti pagamenti, devi farlo in maniera conforme alle norme PCI. Il modo più semplice per essere conforme alle norme PCI è quello di non vedere mai i dati delle carte (o non avervi accesso). Per agevolare ciò, puoi eseguire un'integrazione con Checkout, Elements o i nostri SDK per dispositivi mobili. Queste integrazioni raccolgono informazioni sul pagamento e le trasmettono direttamente ai nostri server. Suggeriamo fortemente che tutti gli utenti eseguano l'integrazione con queste modalità.

Tuttavia, alcuni utenti Stripe potrebbero avere integrazioni che richiedono che loro o una terza parte accettino un grado più elevato di questa responsabilità condivisa. Ciò in genere viene richiesto se i server gestiscono direttamente i dati delle carte e li passano a Stripe. Se è applicabile al tuo caso, dovrai fornire a Stripe la documentazione che descriva le misure tecniche e di conformità adottate per proteggere la sicurezza dei dati del titolare della carta. Questa documentazione deve essere fornita ogni anno.

Per abilitare questa funzionalità, usa questo link per contattare il nostro team di assistenza e:

• Fornisci una breve descrizione di sistemi e servizi della tua applicazione che gestiscono i dati delle carte. Se esternalizzi completamente questa attività a una terza parte conforme agli standard PCI DSS, fornisci il nome di tale fornitore di servizi.
• Allega uno dei seguenti documenti:
  • Un Questionario di autovalutazione PCI DSS aggiornato e completo (SAQ), oppure
  • Se soddisfi i requisiti di un Venditore o Fornitore di servizi di Livello 1, un Attestato di conformità PCI DSS aggiornato per la Valutazione Onsite, oppure
  • Se esternalizzi completamente la gestione dei dati delle carte a un fornitore di servizi di terze parti conforme agli standard PCI DSS, accetti solo pagamenti online o per corrispondenza/ordine telefonico (MOTO) e sei in possesso dei requisiti necessari, devi compilare il Questionario di autovalutazione (SAQ) A. Questo documento deve riportare le informazioni della tua entità e il fornitore di servizi di terze parti nella Parte 2f.

La nostra guida alla conformità alle norme PCI può aiutarti a scegliere i moduli appropriati.

Se lavori con una piattaforma di terze parti che ti richiede di abilitare questa funzionalità sul tuo account Stripe, contatta la piattaforma per ottenere la documentazione necessaria. Se sei una piattaforma Connect che richiede questa funzionalità per i venditori connessi, devi attivarla solo sull'account della piattaforma.

Se desideri accedere a questa funzione solo a scopo di test, la userai completamente con la modalità di test di Stripe e non potrai utilizzare le carte pre-tokenizzate di Stripe, contatta il nostro team di assistenza e ti abiliteremo questa funzione senza che sia necessaria alcuna documentazione di conformità. Tuttavia, per utilizzare questa funzione in modalità live, dovrai fornire l'appropriata documentazione di conformità di cui sopra.