Todas as partes envolvidas no processamento, transmissão ou armazenamento de dados de cartões precisam cumprir o PCI DSS (Payment Card Industry Data Security Standards). A conformidade com o PCI é uma responsabilidade compartilhada e se aplica à Stripe e à sua empresa.

Quando aceitar pagamentos, você precisa fazê-lo em conformidade com o PCI. A maneira mais simples de manter conformidade com o PCI é jamais ver (ou ter acesso a) dados de cartões. Para facilitar isso, você fazer sua integração com Checkout, Elements ou os nossos SDKs para celular. Essas integrações coletam os dados de pagamento e os transmitem diretamente aos nossos servidores. Recomendamos que todos os usuários criem integrações usando esses métodos.

No entanto, alguns usuários da Stripe podem ter integrações que exigem que eles, ou um terceiro, assumam um grau maior dessa responsabilidade compartilhada. Normalmente, isso é necessário se os seus servidores tratam diretamente dados de cartão e os transmitem à Stripe. Se isso se aplicar a você, será necessário fornecer à Stripe documentação descrevendo as medidas técnicas e de conformidade tomadas para proteger a segurança dos dados dos titulares de cartão. Essa documentação precisa ser fornecida todos os anos.

Para ativar a funcionalidade, use este link para falar com a equipe de suporte e:

• Forneça uma breve descrição por escrito dos sistemas e serviços no seu aplicativo de gerenciamento de dados de cartões. Se você terceiriza por completo essa atividade para um terceiro em conformidade com PCI DSS, informe o nome do prestador de serviços.
• Anexe um dos seguintes documentos:
  • Um questionário completo e atual de autoavaliação do PCI DSS (SAQ) D, ou
  • Se você cumprir as qualificações de um Comerciante ou Prestador de serviços de nível 1, um atestado de conformidade com o PCI DSS para avaliação no local, ou
  • Caso você terceirize por completo o tratamento de dados de cartão para um prestador de serviços externo em conformidade com o PCI DSS, aceite somente pagamentos online ou por pedido por correio/pedido telefônico (MOTO), e caso tenha a devida qualificação, um questionário de autoavaliação (SAQ) A. Este documento deverá listar os dados da sua entidade e o prestador de serviços externo em Parte 2f.

O guia para conformidade com o PCI pode ajudar você a escolher os formulários apropriados.

Caso uma de suas plataformas externas solicite a ativação desse recurso na sua conta Stripe, entre em contato com ela para obter a documentação necessária. Se você for uma plataforma Connect que precisa desse recurso para comerciantes conectados, basta ativá-lo na conta da plataforma.

Se você precisar de acesso a esse recurso exclusivamente para fins de testes, pretender usá-lo inteiramente com o modo de teste da Stripe e não puder usar os cartões pré-tokenizados da Stripe, entre em contato com a equipe de suporte para solicitar a ativação do recurso. Não é preciso confirmar sua identidade. Para usar o recurso em modo de produção, você precisará fornecer a documentação de conformidade apropriada como descrito acima.