Alla som arbetar med behandling, överföring eller lagring av kortuppgifter måste följa Betalkortbranschens standarder för datasäkerhet (PCI DSS). PCI-efterlevnad är ett delat ansvar och gäller både för Stripe och ditt företag.

När du tar emot betalningar måste du göra det på ett sätt som efterlever PCI-kraven. Det enklaste sättet för dig att efterleva PCI-kraven är att aldrig se (eller ha tillgång till) kortuppgifter överhuvudtaget. För att göra detta möjligt kan du integrera med hjälp av Checkout, Elements eller våra mobila SDK:er. Dessa integrationer samlar in betalningsinformation och överför den direkt till våra servrar. Vi rekommenderar starkt att alla användare integrerar dessa metoder.

Vissa Stripe-användare kan emellertid ha integrationer som kräver att de, eller en tredje part, tar på sig en större del av detta delade ansvar. Det här krävs i allmänhet om dina servrar direkt hanterar kortuppgifter och skickar dem till Stripe. Om detta gäller dig måste du förse Stripe med dokumentation som beskriver de tekniska och efterlevnadsrelaterade åtgärder som vidtagits för att skydda säkerheten för kortinnehavarnas uppgifter. Denna dokumentation måste lämnas in varje år.

För att aktivera den här funktionaliteten, använd den här länken för att kontakta vårt supportteam och:

• Ange en kort nedskriven beskrivning av de system och tjänster i din applikation som hanterar kortuppgifter. Om du lägger ut den här aktiviteten helt och hållet till en PCI DSS-kompatibel tredje part, ange namnet på den tjänsteleverantören.
• Bifoga ett av följande dokument:
  • Ett aktuellt, komplett PCI DSS självutvärderingsformulär (SAQ) D, eller
  • Om du uppfyller kvalifikationerna för en nivå 1-handlare eller tjänsteleverantör, ett aktuellt PCI DSS-intyg om överensstämmelse för bedömning på plats, eller
  • Om du helt och hållet lägger ut hanteringen av kortdata till en PCI DSS-kompatibel tredje parts tjänsteleverantör, endast accepterar online- eller postorder-/telefonorderbetalningar (MOTO) och i övrigt kvalificerar dig, ett självutvärderingsformulär (SAQ) A. Detta dokument måste lista din entitets information och lista tredje parts tjänsteleverantör i del 2f.

Vår guide om PCI-efterlevnad kan hjälpa dig att välja lämpliga formulär.

Om du arbetar med en tredjepartsplattform som begär att du ska aktivera den här funktionen på ditt Stripe-konto ska du kontakta den plattformen för att få den nödvändiga dokumentationen. Om du är en Connect-plattform som kräver den här funktionen för anslutna handlare behöver du bara aktivera den på plattformskontot.

Om du behöver tillgång till den här funktionen enbart för teständamål kommer du att använda den helt och hållet i Stripes testläge och du kan inte använda Stripes för-tokeniserade kort, kontakta vårt supportteam så aktiverar vi den funktionen åt dig – ingen dokumentation om efterlevnad krävs. Men för att kunna använda den här funktionen i live-läge måste du tillhandahålla lämplig efterlevnadsdokumentation enligt beskrivningen ovan.