Iedereen die betrokken is bij de verwerking, overdracht of opslag van kaartgegevens, moet zich houden aan de Payment Card Industry Data Security Standards (PCI DSS). PCI-compliance is een gedeelde verantwoordelijkheid van Stripe en jouw onderneming.

Je moet betalingen op een PCI-compliant manier ontvangen. De eenvoudigste manier om PCI-compliant te werken is door kaartgegevens helemaal nooit te bekijken (of er toegang toe te hebben). Om dat eenvoudiger te maken, kun je integreren via Checkout, Elements of onze mobiele SDK's. Deze integraties verzamelen betaalgegevens en sturen deze direct door naar onze servers. We raden alle gebruikers met klem aan te integreren via deze methoden.

Sommige Stripe-gebruikers zullen echter integraties hebben waarvoor zij, of een derde partij, een groter deel van deze gedeelde verantwoordelijkheid moeten nemen. Dit is over het algemeen het geval als je servers direct in aanraking komen met kaartgegevens voordat deze worden doorgegeven aan Stripe. Als dit voor jou geldt, moet je documentatie aanleveren bij Stripe waarin de technische en compliancemaatregelen worden beschreven die je hebt genomen om de gegevens van kaarthouders te beveiligen. Deze documentatie moet elk jaar worden verstrekt.

Voor het activeren van deze functie neem je via deze link contact op met ons ondersteuningsteam en doe je het volgende:

• Geef een korte schriftelijke beschrijving van de systemen en diensten in je applicatie die in aanraking komen met kaartgegevens. Als je deze activiteit volledig uitbesteedt aan een PCI DSS-compliant derde partij, geef dan de naam van die dienstverlener op.
• Voeg een van de volgende documenten bij:
  • een actuele ingevulde PCI DSS-vragenlijst voor zelfbeoordeling (Self-assessment Questionnaire, SAQ) D, of
  • als je voldoet aan de criteria voor een verkoper of dienstverlener van niveau 1 (Level 1 Merchant or Service Provider): een actuele PCI DSS-verklaring van compliance voor controles op locatie; of
  • als je de verwerking van kaartgegevens volledig uitbesteedt aan een PCI DSS-compliant externe dienstverlener, alleen betalingen voor bestellingen per post of telefoon (MOTO) ontvangt of anderszins in aanmerking komt: een vragenlijst voor zelfbeoordeling (Self-Assessment Questionnaire, SAQ) A. In deel 2f van dit document moet de informatie over je entiteit en over de externe dienstverlener worden vermeld.

Onze whitepaper over PCI-compliance kan je helpen het juiste formulier te kiezen.

Als je met een extern platform werkt dat jou vraagt deze functie in te schakelen in je Stripe-account, neem dan contact op met dat platform voor de nodige documentatie. Als je een Connect-platform bent dat deze functie nodig heeft voor gekoppelde verkopers, kun je de functie gewoon inschakelen in het platformaccount.

Als je alleen voor testdoeleinden toegang tot de functie wilt, deze uitsluitend gaat gebruiken in de testmodus van Stripe en geen gebruik kunt maken van de vooraf getokeniseerde betaalkaarten van Stripe, neem dan contact op met het ondersteuningsteam. We activeren de functie dan voor je zonder dat je compliancedocumentatie hoeft in te dienen. Als je deze functie in de livemodus wilt gebruiken, moet je wel de hierboven beschreven compliancedocumentatie aanleveren.