Sim, o Stripe é um Provedor de Serviços de Nível 1 PCI, mas dependendo da sua integração, sua empresa ainda é responsável por garantir a conformidade com o Payment Card Industry Data Security Standard (PCI DSS).
O Payment Card Industry Data Security Standard (PCI DSS) é um conjunto de padrões de segurança projetados para proteger informações de cartões durante e após uma transação financeira. Para alcançar a conformidade, você deve aderir a 12 requisitos, que vão desde a implementação de medidas fortes de controle de acesso até o monitoramento de alterações nos cabeçalhos HTTPS (PCI 11.6.1 e 6.4.3).
Como estar em conformidade usando o Stripe
Os produtos do Stripe são projetados para lidar com dados sensíveis de cartões de forma segura, reduzindo assim o escopo de suas responsabilidades PCI DSS:
- Stripe Checkout e Elements: Essas ferramentas usam campos de pagamento hospedados, garantindo que informações de pagamento sensíveis sejam transmitidas diretamente para os servidores validados pelo PCI DSS do Stripe, sem tocar em seus servidores.
- SDKs Mobile e Terminal: Os SDKs do Stripe para pagamentos móveis e presenciais também enviam informações sensíveis diretamente para o Stripe, minimizando seu escopo PCI.
| Integração Stripe | SAQ Necessário | Motivo |
|---|---|---|
| Stripe Checkout (página de pagamento hospedada) | SAQ A | Nenhum dado do titular do cartão toca seu servidor |
| Stripe Elements (campos incorporados)* | SAQ A* | Elements transmitem dados com segurança para o Stripe* |
| Stripe.js v2 com UI personalizada | SAQ A-EP* | Seu frontend afeta a segurança da transação |
| API Direta (dados do cartão no seu servidor) | SAQ D | Você armazena, processa e/ou transmite dados do cartão |
*Agora você precisa monitorar dependências nas páginas de pagamento, mais abaixo.
- Se você usa o Stripe Checkout (página de pagamento hospedada), você se qualifica para SAQ A.
- Se você usa o Stripe Elements (campos incorporados que enviam dados diretamente para o Stripe), você se qualifica para SAQ A.
- Se você usa os SDKs Mobile ou Terminal do Stripe, os dados de pagamento são processados com segurança pelo Stripe, mantendo você no SAQ A.
- Se você coleta e armazena dados do titular do cartão ou usa uma integração de API direta, você deve completar o SAQ D e implementar controles PCI completos.
Se você se qualifica para SAQ A, suas responsabilidades PCI DSS são mínimas porque o Stripe lida com os dados sensíveis do cartão.
Se você requer SAQ A-EP ou SAQ D, você assume mais responsabilidade pela segurança das transações.
Se sua empresa processa ou armazena dados do titular do cartão (SAQ D), você deve:
- Implementar criptografia forte para dados de pagamento.
- Configurar políticas de firewall e controle de acesso.
- Realizar varreduras de rede trimestrais com um Approved Scanning Vendor (ASV).
- Completar uma auditoria PCI DSS completa se você for um comerciante de Nível 1 (mais de 6 milhões de transações/ano).
*Monitoramento de dependências para conformidade SAQ A
Conforme a atualização de janeiro de 2025, o PCI Security Standards Council enfatizou a importância de monitorar dependências. Isso inclui scripts próprios e de terceiros em sites. Esta atualização exige que os comerciantes garantam que seus sites não sejam suscetíveis a ataques originados desses scripts.
Por favor, encontre a documentação do Stripe sobre PCI DSS aqui.
Determine seu nível de conformidade PCI
| Nível | Critério | Requisito de Validação |
|---|---|---|
| Nível 1 | Mais de 6 milhões de transações anualmente | Auditoria completa no local por um QSA + SAQ D |
| Nível 2 | 1 a 6 milhões de transações anualmente | SAQ A, SAQ A-EP ou SAQ D + Attestation of Compliance (AOC) |
| Nível 3 | 20.000 a 1 milhão de transações online anualmente | SAQ A, SAQ A-EP ou SAQ D + Attestation of Compliance (AOC) |
| Nível 4 | Menos de 20.000 transações online OU até 1 milhão de transações totais | SAQ A, SAQ A-EP ou SAQ D + Attestation of Compliance (AOC) |
- Nível 1 = Deve fazer um ROC (Avaliação PCI DSS Completa com Relatório Completo de Conformidade por QSA)
- Nível 2 = Deve fazer pelo menos um SAQ com atestado de QSA ou ISA de terceiros
- Nível 3 = Deve fazer SAQ
- Nível 4 = Opcional
Identifique seu tipo de integração e documentação necessária
Complete o SAQ apropriado Uma vez que você tenha identificado o SAQ correto com base no seu método de integração, complete-o minuciosamente. O Stripe fornece um assistente PCI no seu Dashboard para guiá-lo através deste processo.
Envie sua documentação Após completar o SAQ, envie-o junto com qualquer Attestation of Compliance (AOC) ou Report on Compliance (ROC) necessário para o Stripe para revisão. O Dashboard do Stripe permite que você faça upload desses documentos diretamente.
Mantenha a conformidade contínua A conformidade PCI não é uma tarefa única, mas um processo contínuo. Monitore regularmente seus sistemas, mantenha práticas de codificação seguras e mantenha-se atualizado com os requisitos PCI DSS para garantir conformidade contínua.
