カードデータの処理、送信、保管に関与する場合、PCI データセキュリティ基準 (PCI DSS) に準拠する必要があります。PCI 準拠は共同責任であり、Stripe とビジネスの両方に適用されます。

決済を受け付ける際は、PCI に準拠した方法で行う必要があります。PCI に準拠する最も簡単な方法は、カードデータをまったく表示しない (またはカードデータにアクセスしない) ことです。これを容易にするためには、Checkout、Elements、または Stripe のモバイル SDK を使って導入することができます。これらを導入すると、支払い情報は収集されてサーバーに直接送信されます。Stripe では、すべてのユーザーがこれらの方法を導入することを強くお勧めします。

しかし、一部の Stripe ユーザーの構築済みの API は、より重い共同責任をユーザー自身またはサードパーティーが負うことを必要とします。これは一般的に、サーバーがカードデータを直接処理し Stripe に渡す場合に必要とされます。これに該当する場合、カード保有者のデータのセキュリティを保護するために講じた技術的対策およびコンプライアンス対策について説明する書類を、Stripe に提出する必要があります。この書類は毎年提出する必要があります。

この機能を有効にするには、このリンクからサポートチームにお問い合わせください。その際は次のようにしてください。

• カードデータを処理するアプリケーションのシステムとサービスの簡単な説明を入力します。この業務を PCI DSS に準拠したサードパーティーに完全に委託している場合は、サービスプロバイダーの名前を提供します。
• 以下のいずれかの書類を添付します。
  • 最新の情報が記入済みの PCI DSS 自己問診 (SAQ) D
  • レベル 1 加盟店 / サービスプロバイダーの資格を満たしている場合は、最新の情報が記入されたオンサイト評価用の PCI DSS 準拠証明書
  • カードデータの処理を PCI DSS 準拠のサードパーティーサービスプロバイダーに完全に委託しており、受け付け対象がオンライン支払いと通信販売 / 電話販売 (MOTO) の支払いだけであり、その他の点でも資格を満たしている場合は、自己問診 (SAQ) A。この書類には、事業者の法人情報に加え、サードパーティーサービスプロバイダーの情報が 2f の部分に記載されている必要があります。

適切なフォームを選択するために、Stripe の PCI 準拠ガイドをお役立てください。

Stripe アカウントでこの機能を有効にするようリクエストしているサードパーティーのプラットフォームと連携している場合、プラットフォームに連絡して必要な書類を取得してください。連結加盟店のためにこの機能を必要とする Connect プラットフォームのユーザーの場合は、プラットフォームアカウント上で有効にするだけで十分です。

テストのみの目的でこの機能にアクセスする必要があり、Stripe のテスト環境でのみ使用する予定で、Stripe の事前トークン化済みカードを利用できない場合は、サポートチームにお問い合わせください。準拠証明書類なしでこの機能を有効にさせていただきます。ただし、本番環境でこの機能を使用する場合は、上記のうち該当する準拠証明書類をご提供いただく必要があります。