Iedereen die betrokken is bij de verwerking, overdracht of opslag van kaartgegevens, moet zich houden aan de Payment Card Industry Data Security Standards (PCI DSS). PCI-compliance is een gedeelde verantwoordelijkheid en geldt zowel voor Stripe als voor je bedrijf.

Als je betalingen accepteert, moet je dat op een manier doen die voldoet aan de PCI-compliance. De eenvoudigste manier om te voldoen aan de PCI-compliance, is om nooit kaartgegevens te zien (of er nooit toegang toe te hebben). Om dit te mogelijk te maken, kun je integreren met behulp van Checkout, Elements of onze mobiele SDK's. Deze integraties verzamelen betaalinformatie en sturen die rechtstreeks naar onze servers. We raden alle gebruikers sterk aan om met deze methoden te integreren.

Sommige Stripe-gebruikers kunnen echter integraties hebben die vereisen dat zij, of een externe partij, een grotere mate van deze gedeelde verantwoordelijkheid op zich nemen. Dit is meestal nodig als je servers direct kaartgegevens verwerken en doorgeven aan Stripe. Als dit op jou van toepassing is, moet je Stripe voorzien van documentatie waarin de technische en nalevingsmaatregelen worden beschreven die zijn genomen om de beveiliging van de gegevens van kaarthouders te beschermen. Deze documentatie moet elk jaar worden verstrekt.

Om deze functionaliteit in te schakelen kun je deze link gebruiken om contact op te nemen met ons ondersteuningsteam en:

• Geef een korte beschrijving van de systemen en diensten in je applicatie die kaartgegevens verwerken. Als je deze activiteit volledig uitbesteedt aan een PCI DSS-compliant derde, geef dan de naam van deze dienstverlener op.
• Voeg een van de volgende documenten toe:
  • Een actuele, volledige PCI DSS-vragenlijst voor zelfbeoordeling (SAQ) D, of
  • als je voldoet aan de kwalificaties van een niveau 1 verkoper of dienstverlener, een actueel PCI DSS-bewijs van compliance voor beoordelingen ter plaatse, of
  • Als je de omgang met kaartgegevens volledig uitbesteed aan een PCI DSS-compliant derde dienstverlener, alleen online of briefpost-/telefoonbestellingen (MOTO) accepteert, en op andere wijze kwalificeert, een vragenlijst voor zelfbeoordeling (SAQ) A. Op dit document moeten de gegevens over je entiteit staan, evenals de derde dienstverlener in onderdeel 2f.

Onze gids voor PCI-compliance kan je helpen de juiste formulieren te kiezen.

Als je werkt met een extern platform dat je vraagt om deze functie in te schakelen in je Stripe-account, neem dan contact op met dat platform om de benodigde documentatie te verkrijgen. Als je een Connect-platform bent dat deze functie vereist voor gekoppelde verkopers, hoef je deze alleen in te schakelen in het platformaccount.

Als je uitsluitend voor testdoeleinden toegang nodig hebt tot deze functionaliteit, het volledig met de testmodus van Stripe zult gebruiken en geen gebruik kan maken van de vooraf getokeniseerde kaarten van Stripe, neem dan contact op met ons ondersteuningsteam en we zullen deze functionaliteit voor je inschakelen. Dan is er geen documentatie over je compliance nodig. Als je deze functionaliteit echter in livemodus wil gebruiken, moet je de juiste documentatie over je compliance aanleveren, zoals hierboven is beschreven.