涉及银行卡数据处理、传输或存储的任何人都必须遵守支付卡行业数据安全标准 (PCI DSS)。贵商家及 Stripe 需共同承担 PCI 合规责任。

接受付款时，必须要以符合 PCI 法规的方式进行。对您来说，保持 PCI 合规的最简单方法是永远不要看到（或访问）银行卡数据。为此，您可以使用 Checkout、Elements 或我们的移动 SDK 进行集成。这些集成方法会收集支付信息并将其直接传输到我们的服务器。强烈建议所有用户集成这些方法。

但是，一些 Stripe 用户的集成可能需要他们或第三方更大程度地承担这种共同责任。如果您的服务器直接处理银行卡数据，并将其传递给 Stripe，则通常需要这样做。如果您也是这种情况，您需要每年向 Stripe 提供文档，说明为保护持卡人数据安全而采取的技术和合规措施。

要在您的账户上启用原始银行卡数据 API，请使用以下信息联系我们的支持团队：

• 关于应用中处理银行卡数据的系统和服务的简要书面说明。如果您将此活动完全外包给符合 PCI DSS 规范的第三方，请提供该服务提供者的名称。
• 以下某一种文件：
  • 一份最新完整的 PCI DSS 自我评估问卷调查 (SAQ) D。
  • 一份最新的 PCI DSS 现场评估合规证明（如果您符合 1 级商家或服务提供者的资格）。
  • 仅接受在线或邮购/电话订购 (MOTO) 付款（如果您将银行卡数据的处理完全外包给符合 PCI DSS 规范的第三方服务提供者），否则将符合自我评估问卷调查 (SAQ) A 的资格。此文件必须列出您的实体的信息，并在第 2f 部分中列出第三方服务提供者。

按照我们的 PCI 合规指南选择合适的税表。

如果您使用的第三方平台要求您在 Stripe 账户上启用此功能，请联系该平台以获取必要的文档。如果是要求为 Connect 子账户启用此功能的 Connect 平台，只需在平台账户上启用此功能即可。

如果您仅出于测试目的而需要访问此功能，将完全在 Stripe 的测试模式下使用此功能，并且无法使用 Stripe 的预令牌化银行卡，请联系我们的支持团队，我们将为您启用此功能——不需要提供合规文档。但是，如要在真实模式下使用此功能，则需要提供如上所述的适当合规文档。