Toute personne impliquée dans le traitement, la transmission ou le stockage de données de cartes doit se conformer aux normes de sécurité des données du secteur des cartes de paiement (PCI DSS). Votre entreprise et Stripe partagent la responsabilité de la conformité PCI.

Lorsque vous acceptez des paiements, vous devez le faire de façon à vous conformer à la norme PCI. La meilleure manière d'y parvenir est de ne jamais voir les données de carte et de ne jamais y avoir accès. À cette fin, vous pouvez les intégrer à l'aide de Checkout, d'Elements ou de nos trousses SDK mobiles. Ces intégrations collectent les informations de paiement et les transmettent directement à nos serveurs. Nous recommandons à nos utilisateurs de se tourner vers ces solutions.

Cependant, selon leur intégration, il est possible que certains utilisateurs de Stripe, ou que des tiers, doivent assumer une part plus importante de cette responsabilité partagée. C'est généralement le cas lorsque leurs serveurs traitent les informations de cartes avant de les transmettre à Stripe. Si vous vous trouvez dans cette situation, vous devez fournir tous les ans à Stripe des documents attestant des mesures techniques et de conformité que vous appliquez afin d'assurer la sécurité des données des titulaires de cartes.

Pour activer les API de données de cartes brutes dans votre compte, veuillez contacter notre équipe d'assistance et lui fournir les informations suivantes :

• Une brève description des systèmes et des services de votre application qui traitent des données de cartes. Si vous externalisez intégralement cette activité auprès d'un tiers conforme à la norme PCI DSS, veuillez indiquer le nom de ce prestataire de services.
• L'un des documents suivants :
  • Un questionnaire d'autoévaluation (SAQ) D PCI DSS complet et à jour.
  • Si vous répondez aux critères de marchand ou de prestataire de services de niveau 1, une attestation de conformité PCI DSS à jour pour les évaluations réalisées sur site.
  • Si vous externalisez l'intégralité du traitement des données de carte à un prestataire de services tiers conforme à la norme PCI DSS, que vous n'acceptez que des paiements pour vente par correspondance ou par et que vous répondez aux autres critères d'admissibilité, vous devez remplir un questionnaire d'autoévaluation (SAQ) A. Vous devez préciser dans la Partie 2f de ce document les informations de votre entité et celles de votre fournisseur de services tiers.

Consultez notre Guide de mise en conformité PCI pour déterminer quel formulaire s'applique à votre cas.

Si vous collaborez avec une plateforme tierce qui exige que vous activiez cette fonctionnalité sur votre compte Stripe, veuillez contacter cette plateforme pour obtenir les documents nécessaires. Si vous êtes une plateforme Connect qui exige cette fonctionnalité pour vos comptes connectés, il vous suffit de l'activer dans le compte de votre plateforme.

Si vous prévoyez d'accéder à cette fonctionnalité uniquement à des fins de test et que vous ne pouvez pas utiliser les cartes préjetonisées de Stripe, veuillez contacter notre équipe d'assistance afin que nous les activions pour vous. Dans ce cas, aucune preuve de conformité n'est nécessaire. Pour utiliser cette fonctionnalité en mode production, vous devrez fournir les documents requis décrits ci-dessus.