Todos os envolvidos no processamento, transmissão ou armazenamento de dados de cartões precisam cumprir os PCI DSS (Payment Card Industry Data Security Standards, Padrões de Segurança de Dados do Setor de Cartões de Pagamento). A conformidade com PCI é uma responsabilidade compartilhada, que se aplica tanto à Stripe quanto à sua empresa.

Sempre que aceitar pagamentos, você deve estar em conformidade com PCI. A maneira mais simples de você manter essa conformidade é não ver (nem acessar) nenhum tipo de dados de cartões. Para facilitar, você pode integrar o uso do Checkout, do Elements ou de nossos SDKs móveis. Essas integrações recolhem dados de pagamentos e os transmitem diretamente para nossos servidores. Recomendamos expressamente a todos os usuários que integrem esses métodos.

Porém, alguns usuários da Stripe têm integrações que exigem que eles (ou terceiros) assumam um grau maior dessa responsabilidade compartilhada. Isso em geral é necessário quando os servidores dos usuários lidam diretamente com os dados dos cartões e os transmitem à Stripe. Se esse for o seu caso, você precisará fornecer à Stripe a documentação que descreve as medidas técnicas e de conformidade adotadas para proteger a segurança dos dados dos titulares desses cartões. Essa documentação precisa ser fornecida todos os anos.

Para habilitar essa função, use este link para falar com a nossa equipe de suporte e:

• Forneça uma breve descrição dos sistemas e serviços de seu aplicativo que lidam com dados de cartões. Se você terceiriza completamente essa atividade a um prestador em conformidade com PCI DSS, informe o nome desse provedor de serviços.
• Anexe um dos documentos a seguir:
  • Um SAQ (Self-assessment Questionnaire, questionário de autoavaliação) D atual e preenchido ou
  • Se você atende às qualificações de um comerciante ou provedor de serviços de nível 1, uma versão atualizada do Atestado de Conformidade para Avaliação no Local de PCI DSS, ou
  • Se você terceiriza completamente o manuseio de dados do cartão para um provedor de serviços em conformidade com DSS, aceita apenas pagamentos de pedido por correio/pedido por telefone (MOTO) ou on-line ou se qualifica de outra forma, um SAQ A. Esse documento deve conter as informações da sua entidade e o provedor de serviços na Parte 2f.

Nosso guia de conformidade com PCI pode ajudar você a escolher os formulários apropriados.

Se trabalhar com uma plataforma de terceiros que lhe solicite a ativação desse recurso em sua conta Stripe, peça à plataforma que lhe forneça a documentação necessária. Se você for uma plataforma Connect que exija esse recurso aos comerciantes conectados, só precisará ativá-lo na conta da plataforma.

Se você solicitar acesso a esse recurso apenas para fins de teste, ele será usado totalmente no modo de teste da Stripe. Você não poderá usar os cartões pré-tokenizados da Stripe. Fale com nossa equipe de suporte para habilitarmos esse recurso, sem a necessidade de documentações de conformidade. No entanto, para usar esse recurso no modo de produção, você terá que fornecer a documentação de conformidade adequada como descrito acima.