カードデータの処理、送信、保管に関わるすべての人は、PCI データセキュリティ基準 (PCI DSS) に準拠する必要があります。事業者と Stripe の両方に、PCI 準拠の責任があります。

決済を受け付ける際は、PCI に準拠した方法で行う必要があります。PCI 準拠のための最も簡単な方法は、カードデータを一切見ない (アクセスしない) ことです。Checkout、Elements、またはモバイル SDK を使用して接続すると、この要件に簡単に準拠できるようになります。このようなシステムは、決済情報を収集し、それを直接 Stripe のサーバーに送信します。すべてのユーザーがこれらの手段を導入することを強くお勧めします。

ただし、一部の Stripe ユーザーは、自身またはサードパーティーが、この共同責任の大部分を負うことが要求される構築済みのシステムを保有している場合があります。これが要求されるのは、一般的にサーバーがカードデータを直接処理して、Stripe に渡している場合です。これに該当する場合は、カード保有者のデータのセキュリティを保護するための技術的な対策と規制準拠のための対策について説明した書類を Stripe に毎年ご提出いただく必要があります。

アカウントで生のカードデータを扱う API を有効にするには、以下の情報を添えて Stripe のサポートチームにお問い合わせください。

• カードデータを処理するアプリケーションのシステムとサービスに関する、書面による簡単な説明。この業務を PCI DSS 準拠のサードパーティーに全面的に委託している場合は、そのサービスプロバイダーの名称をご提出ください。
• 以下のいずれかの書類を添付してください。
  • 最新の、PCI DSS 自己問診票 (SAQ) D。
  • レベル 1 の加盟店またはサービスプロバイダーの資格を満たす場合、オンサイト評価に関する最新の PCI DSS 準拠証明書。
  • カードデータの処理を PCI DSS 準拠のサードパーティーサービスプロバイダーに全面的に委託し、オンラインまたは通信販売 / 電話販売 (MOTO) による支払いのみを受け付けていて、その他の条件を満たしている場合は、自己問診票 (SAQ) A。この文書には、貴社の法人情報と、Part 2f にサードパーティーサービスプロバイダーを記載する必要があります。

PCI 準拠ガイドに従って、適切な書式を選択してください。

連携しているサードパーティーのプラットフォームから、この機能を Stripe アカウントで有効にすることを求められている場合、プラットフォームに問い合わせて必要な書類を取得してください。連結アカウントのためにこの機能が必要な Connect プラットフォームの場合、プラットフォームアカウントに対してのみ、この機能を有効にする必要があります。

単にテスト目的でこの機能へのアクセスが必要で、Stripe の事前にトークン化されたカードを使用できない場合は、サポートチームに連絡してこの機能を有効にしてください。準拠の書類は必要ありません。この機能を本番環境で使用するには、上記の関連書類のご提供が必要になります。