Ja, Stripe is een PCI Level 1 Service Provider maar afhankelijk van jouw integratie is jouw bedrijf nog steeds verantwoordelijk voor het waarborgen van naleving van de Payment Card Industry Data Security Standard (PCI DSS).
De Payment Card Industry Data Security Standard (PCI DSS) is een set beveiligingsstandaarden die zijn ontworpen om kaartinformatie te beschermen tijdens en na een financiële transactie. Om naleving te bereiken moet je voldoen aan 12 vereisten, variërend van het implementeren van sterke toegangscontrolemaatregelen en het monitoren van wijzigingen aan HTTPS-headers (PCI 11.6.1 en 6.4.3).
Hoe compliant te zijn met Stripe
De producten van Stripe zijn ontworpen om gevoelige kaartgegevens veilig te verwerken, waardoor de reikwijdte van jouw PCI DSS-verantwoordelijkheden wordt verminderd:
- Stripe Checkout en Elements: Deze tools gebruiken gehoste betalingsvelden, waardoor gevoelige betalingsinformatie rechtstreeks naar de PCI DSS-gevalideerde servers van Stripe wordt verzonden zonder jouw servers te raken.
- Mobiele en Terminal SDK's: De SDK's van Stripe voor mobiele en persoonlijke betalingen sturen ook gevoelige informatie rechtstreeks naar Stripe, waardoor jouw PCI-reikwijdte wordt geminimaliseerd.
| Stripe Integratie | Vereiste SAQ | Reden |
|---|---|---|
| Stripe Checkout (gehoste betalingspagina) | SAQ A | Geen kaarthoudergegevens raken jouw server |
| Stripe Elements (ingesloten velden)* | SAQ A* | Elements verzenden gegevens veilig naar Stripe* |
| Stripe.js v2 met aangepaste UI | SAQ A-EP* | Jouw frontend beïnvloedt transactiebeveiliging |
| Directe API (kaartgegevens op jouw server) | SAQ D | Je slaat kaartgegevens op, verwerkt en/of verzendt deze |
*Je moet nu dependencies op betalingspagina's monitoren, meer hieronder.
- Als je Stripe Checkout (gehoste betalingspagina) gebruikt, kom je in aanmerking voor SAQ A.
- Als je Stripe Elements (ingesloten velden die gegevens rechtstreeks naar Stripe sturen) gebruikt, kom je in aanmerking voor SAQ A.
- Als je de mobiele of Terminal SDK's van Stripe gebruikt, worden betalingsgegevens veilig verwerkt door Stripe, waardoor je in SAQ A blijft.
- Als je kaarthoudergegevens verzamelt en opslaat of een directe API-integratie gebruikt, moet je SAQ D invullen en volledige PCI-controles implementeren.
Als je in aanmerking komt voor SAQ A, zijn jouw PCI DSS-verantwoordelijkheden minimaal omdat Stripe de gevoelige kaartgegevens verwerkt.
Als je SAQ A-EP of SAQ D nodig hebt, neem je meer verantwoordelijkheid voor het beveiligen van transacties.
Als jouw bedrijf kaarthoudergegevens verwerkt of opslaat (SAQ D), moet je:
- Sterke encryptie voor betalingsgegevens implementeren.
- Firewall- en toegangscontrolebeleid instellen.
- Driemaandelijkse netwerkscans uitvoeren met een Approved Scanning Vendor (ASV).
- Een volledige PCI DSS-audit voltooien als je een Level 1 merchant bent (6M+ transacties/jaar).
*Dependencies monitoren voor SAQ A-naleving
Volgens de update van januari 2025 benadrukte de PCI Security Standards Council het belang van het monitoren van dependencies. Dit omvat zowel first-party als third-party scripts op websites. Deze update vereist dat merchants ervoor zorgen dat hun sites niet vatbaar zijn voor aanvallen die afkomstig zijn van deze scripts.
De documentatie van Stripe over PCI DSS vind je hier.
Bepaal jouw PCI-nalevingsniveau
| Niveau | Criteria | Validatievereiste |
|---|---|---|
| Level 1 | Meer dan 6 miljoen transacties per jaar | Volledige onsite audit door een QSA + SAQ D |
| Level 2 | 1 tot 6 miljoen transacties per jaar | SAQ A, SAQ A-EP, of SAQ D + Attestation of Compliance (AOC) |
| Level 3 | 20.000 tot 1 miljoen online transacties per jaar | SAQ A, SAQ A-EP, of SAQ D + Attestation of Compliance (AOC) |
| Level 4 | Minder dan 20.000 online transacties OF tot 1 miljoen totale transacties | SAQ A, SAQ A-EP, of SAQ D + Attestation of Compliance (AOC) |
- Level 1 = Moet een ROC doen (Volledige PCI DSS-beoordeling met volledig Report on Compliance door QSA)
- Level 2 = Moet minimaal een SAQ doen met third party QSA of ISA attestation
- Level 3 = Moet SAQ doen
- Level 4 = Optioneel
Identificeer jouw integratietype en vereiste documentatie
Vul de juiste SAQ inZodra je de juiste SAQ hebt geïdentificeerd op basis van jouw integratiemethode, vul deze grondig in. Stripe biedt een PCI-wizard in jouw Dashboard om je door dit proces te begeleiden.
Dien jouw documentatie inNadat je de SAQ hebt ingevuld, dien je deze samen met eventuele vereiste Attestation of Compliance (AOC) of Report on Compliance (ROC) in bij Stripe voor beoordeling. Met het Dashboard van Stripe kun je deze documenten rechtstreeks uploaden.
Handhaaf voortdurende nalevingPCI-naleving is geen eenmalige taak maar een doorlopend proces. Monitor regelmatig jouw systemen, handhaaf veilige codeerpraktijken en blijf op de hoogte van PCI DSS-vereisten om continue naleving te waarborgen.
