カードデータの処理、送信、保管に関わる全員が、PCI データセキュリティ基準 (PCI DSS) に準拠する必要があります。PCI 準拠は共同責任であり、Stripe とお客様のビジネスの双方に適用されます。

決済を受け付ける際は、PCI に準拠した方法で行う必要があります。PCI に準拠する最も簡単な方法は、カードデータをまったく見ない (またはアクセスしない) ことです。この要件に準拠しやすくするため、Checkout、Elements、またはモバイル SDK を使用して導入することができます。このようなシステムは、決済情報を収集し、それを直接 Stripe のサーバーに送信します。すべてのユーザーがこれらの手段を導入することを強くお勧めします。

ただし、一部の Stripe ユーザーは、自身またはサードパーティーが、この共同責任の大部分を負うことが要求される構築済みのシステムを保有している場合があります。これが要求されるのは、一般的にサーバーがカードデータを直接処理して、Stripe に渡している場合です。当てはまる場合は、カード保有者のデータのセキュリティを保護するための、技術的な対策と、規制準拠のための対策について説明した書類を Stripe に提出する必要があります。この書類は毎年提出する必要があります。

この機能を有効にするには、こちらのリンクからサポートチームにお問い合わせいただき、以下を実行してください。

• カードデータを処理するアプリケーションのシステムとサービスに関する、短い書面による説明を提供します。このアクティビティーを、PCI DSS 準拠のサードパーティーに全面的に委託している場合は、サービスプロバイダーの名称を提出してください。
• 以下の書類から 1 つ添付してください。
  • 最新の、PCI DSS 自己問診 (SAQ) D、または
  • レベル 1 の加盟店またはサービスプロバイダーの資格を満たす場合、オンサイト評価に関する最新の PCI DSS 準拠証明書、または
  • カードデータの処理を、PCI DSS 準拠のサードパーティーサービスプロバイダーに全面的に委託している場合は、オンラインまたは通信販売 / 電話販売 (MOTO) による支払いのみを受け付け、それ以外は自己問診 (SAQ) A に限定します。この文書には、法人の情報を掲載し、Part 2f にサードパーティーサービスプロバイダーを記載する必要があります。

Stripe の PCI 準拠ガイドは、適切なフォームの選択に役立ちます。

連携しているサードパーティーのプラットフォームが、この機能を Stripe アカウントで有効にすることを求めている場合、プラットフォームに問い合わせて必要な書類を取得してください。連結加盟店のためにこの機能が必要な Connect プラットフォームの場合、プラットフォームアカウントに対してのみ、この機能を有効にする必要があります。

テストの目的のみでこの機能にアクセスする必要があり、Stripe のテスト環境のみでこれを使用し、Stripe の事前にトークン化されたカードを使用できない場合は、サポートチームにお問い合わせください。Stripe は、準拠証明書を要求せずにこの機能を有効にします。ただし、この機能を本番環境で使用するには、上記の規制準拠に関連する書類を提供する必要があります。