Skip to main content
Blog
Blog

O Stripe é compatível com PCI DSS? O que os comerciantes ainda precisam fazer

O Stripe tem certificação PCI Nível 1. Os comerciantes permanecem responsáveis pelo monitoramento de scripts da página de pagamento sob §6.4.3 e §11.6.1.

Mar 21, 2025 8 min read
Ilustração de conformidade PCI DSS com Stripe

Resumo: conformidade PCI DSS com Stripe

  • A Stripe cuida da conformidade PCI DSS Nível 1 do processamento de cartão em si, por isso comerciantes dizem frequentemente que estão 'em conformidade PCI com a Stripe'. Isso é meia verdade.
  • Comerciantes continuam responsáveis pelos requisitos PCI DSS 4.0.1 6.4.3 e 11.6.1 no seu próprio site mesmo quando a Stripe processa o cartão. Estes cobrem inventário de scripts e detecção de adulteração em páginas de pagamento no seu domínio.
  • Stripe Elements minimiza mas não elimina o escopo do comerciante. Comerciantes SAQ-A usando Stripe Elements ainda precisam atender 6.4.3 e 11.6.1, e o plano gratuito do cside cobre ambos.

Sim, o Stripe possui certificação PCI DSS Nível 1, o nível mais alto disponível. Essa certificação cobre a infraestrutura do Stripe. Não cobre seu site. Se sua página de pagamento carregar qualquer script que você controla, analytics, chat ao vivo, gestão de consentimento, testes A/B, dois requisitos do PCI DSS 4.0.1 permanecem sua responsabilidade, que o Stripe não pode cumprir em seu nome: §6.4.3 e §11.6.1.

O que a conformidade PCI do Stripe realmente cobre

O status de provedor de serviços Nível 1 do Stripe é verificado anualmente por um Avaliador de Segurança Qualificado (QSA) e listado no Registro Global de Provedores de Serviços da Visa. A certificação confirma que os data centers, os sistemas de processamento de cartões e a infraestrutura interna do Stripe atendem aos padrões PCI DSS.

O que isso cobre:

  • Transmissão e armazenamento de dados de cartão dentro dos sistemas do Stripe
  • Iframes do Stripe Checkout e Elements, que carregam a partir do domínio certificado PCI do Stripe
  • Os SDKs móveis e Terminal do Stripe

O que isso não cobre:

  • JavaScript que executa nas suas páginas web nos navegadores dos seus clientes
  • Analytics, chat, consentimento ou qualquer outro script de terceiros em páginas que redirecionam para um formulário de pagamento
  • Seus cabeçalhos de segurança HTTP ou configurações de cookies

O limite é o servidor do Stripe. Sua página de pagamento, a que coleta ou redireciona dados de cartão, executa nos navegadores dos seus clientes, e essa superfície é sua.

Como estar em conformidade usando o Stripe

Os produtos do Stripe são projetados para lidar com dados sensíveis de cartões de forma segura, reduzindo assim o escopo de suas responsabilidades PCI DSS:

  • Stripe Checkout e Elements: Essas ferramentas usam campos de pagamento hospedados, garantindo que informações de pagamento sensíveis sejam transmitidas diretamente para os servidores validados pelo PCI DSS do Stripe, sem tocar em seus servidores.
  • SDKs Mobile e Terminal: Os SDKs do Stripe para pagamentos móveis e presenciais também enviam informações sensíveis diretamente para o Stripe, minimizando seu escopo PCI.
Integração Stripe SAQ Necessário Motivo
Stripe Checkout (página de pagamento hospedada) SAQ A Nenhum dado do titular do cartão toca seu servidor
Stripe Elements (campos incorporados)* SAQ A* Elements transmitem dados com segurança para o Stripe*
Stripe.js v2 com UI personalizada SAQ A-EP* Seu frontend afeta a segurança da transação
API Direta (dados do cartão no seu servidor) SAQ D Você armazena, processa e/ou transmite dados do cartão

*Agora você precisa monitorar dependências nas páginas de pagamento, mais abaixo.

  • Se você usa o Stripe Checkout (página de pagamento hospedada), você se qualifica para SAQ A.
  • Se você usa o Stripe Elements (campos incorporados que enviam dados diretamente para o Stripe), você se qualifica para SAQ A.
  • Se você usa os SDKs Mobile ou Terminal do Stripe, os dados de pagamento são processados com segurança pelo Stripe, mantendo você no SAQ A.
  • Se você coleta e armazena dados do titular do cartão ou usa uma integração de API direta, você deve completar o SAQ D e implementar controles PCI completos.

Se você se qualifica para SAQ A, suas responsabilidades PCI DSS são mínimas porque o Stripe lida com os dados sensíveis do cartão.

Se você requer SAQ A-EP ou SAQ D, você assume mais responsabilidade pela segurança das transações.

Quais requisitos PCI DSS o Stripe não cobre

O PCI DSS 4.0.1 introduziu dois requisitos voltados para a camada do navegador, ambos obrigatórios desde 31 de março de 2025:

Requisito 6.4.3, Autorização de scripts nas páginas de pagamento

Você deve manter um inventário documentado de cada script autorizado a executar nas suas páginas de pagamento. Para cada script, você precisa de um método para confirmar sua integridade, que o código não foi modificado desde sua última revisão. Isso se aplica a scripts próprios e de terceiros (analytics, chat de suporte, ferramentas de testes A/B).

Requisito 11.6.1, Detecção de alterações em cabeçalhos HTTP

Você deve implantar um mecanismo que detecte alterações não autorizadas nos cabeçalhos de segurança HTTP e nos atributos de cookies nas suas páginas de pagamento e gere alertas.

O Stripe não tem visibilidade sobre esses scripts ou cabeçalhos. Ambos os requisitos abordam o que acontece nos navegadores dos seus clientes na sua página web, uma superfície completamente fora do ambiente do Stripe.

A atualização de janeiro de 2025 do PCI Security Standards Council ao SAQ A confirmou isso: mesmo comerciantes que usam o Stripe Checkout totalmente hospedado devem satisfazer §6.4.3 e §11.6.1 se seu fluxo de pagamento passar por qualquer página que carregue scripts externos. Consulte nossa análise da atualização SAQ A de janeiro de 2025 para mais detalhes.

Monitoramento de dependências para conformidade SAQ A

Conforme a atualização de janeiro de 2025, o PCI Security Standards Council enfatizou a importância de monitorar dependências. Isso inclui scripts próprios e de terceiros em sites.

Um monitor no lado do cliente satisfaz §6.4.3 e §11.6.1 executando nos navegadores dos seus clientes, inventariando cada script em cada visita à página de pagamento e alertando quando um script muda ou um novo aparece. A cside monitora scripts e cabeçalhos HTTP nos navegadores de visitantes reais, incluindo cargas úteis condicionais que parecem limpas para os scanners mas se ativam no tráfego de produção.

Por favor, encontre a documentação do Stripe sobre PCI DSS aqui.

Leitura relacionada: nosso guia de conformidade PCI DSS 6.4.3 e 11.6.1 · as responsabilidades PCI DSS compartilhadas da Adyen

Determine seu nível de conformidade PCI

Nível Critério Requisito de Validação
Nível 1 Mais de 6 milhões de transações anualmente Auditoria completa no local por um QSA + SAQ D
Nível 2 1 a 6 milhões de transações anualmente SAQ A, SAQ A-EP ou SAQ D + Attestation of Compliance (AOC)
Nível 3 20.000 a 1 milhão de transações online anualmente SAQ A, SAQ A-EP ou SAQ D + Attestation of Compliance (AOC)
Nível 4 Menos de 20.000 transações online OU até 1 milhão de transações totais SAQ A, SAQ A-EP ou SAQ D + Attestation of Compliance (AOC)
  • Nível 1 = Deve completar um ROC (Avaliação PCI DSS Completa com Relatório Completo de Conformidade por QSA)
  • Nível 2 = Deve completar pelo menos um SAQ com atestado de QSA ou ISA de terceiros
  • Nível 3 = Deve completar um SAQ
  • Nível 4 = Opcional

O Atestado de Conformidade PCI DSS para lojistas Stripe

O Atestado de Conformidade PCI DSS (AoC) para um lojista Stripe é um documento que um QSA (ou um assinante interno autorizado sob SAQ) produz ao fim de um ciclo de avaliação, indicando em qual nível de SAQ o lojista se qualifica e que todos os controles aplicáveis estão implementados. Para a maioria dos lojistas e-commerce Stripe, isso significa uma atestação SAQ A (página de pagamento totalmente terceirizada) ou SAQ A-EP (checkout hospedado no site do lojista).

O ponto operacional importante é que o AoC da Stripe cobre a Stripe. Ele não cobre o lojista. Mesmo usando Stripe Elements ou Checkout, o lojista continua com obrigação de AoC porque a página de pagamento roda no domínio do lojista e o lojista é responsável pelos scripts carregados naquela página sob 6.4.3 e 11.6.1. Times de compras enterprise frequentemente pedem ambos os AoCs durante o onboarding de fornecedores.

A cside fornece a trilha de evidência que sustenta o próprio AoC SAQ A ou SAQ A-EP do lojista: inventário contínuo de scripts, monitoramento de integridade e evidência pronta para auditoria de 6.4.3 e 11.6.1 que um QSA pode extrair sem correria.

Identifique seu tipo de integração e documentação necessária

Complete o SAQ apropriado Uma vez que você tenha identificado o SAQ correto com base no seu método de integração, complete-o minuciosamente. O Stripe fornece um assistente PCI no seu Dashboard para guiá-lo.

Envie sua documentação Após completar o SAQ, envie-o junto com qualquer Attestation of Compliance (AOC) ou Report on Compliance (ROC) necessário para o Stripe para revisão.

Mantenha a conformidade contínua A conformidade PCI requer monitoramento contínuo. Revise seu inventário de scripts regularmente, mantenha seu SAQ atualizado e monitore os cabeçalhos da página de pagamento para detectar alterações não autorizadas.

A mesma lacuna entre a certificação do processador e a obrigação do comerciante se aplica ao usar o Adyen ou o PayPal e Braintree como processador de pagamento.

Simon Wijckmans
Founder & CEO

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks, web security is not an enterprise-only problem.

FAQ

Frequently Asked Questions

Não. A certificação PCI Nível 1 do Stripe cobre a infraestrutura do Stripe e os campos de pagamento hospedados. Suas obrigações sob o PCI DSS 4.0.1, incluindo a autorização de scripts na página de pagamento (§6.4.3) e a detecção de alterações em cabeçalhos HTTP (§11.6.1), permanecem sua responsabilidade independentemente do processador de pagamento utilizado.

Stripe Checkout e Stripe Elements reduzem o escopo, mas não isentam você das seções 6.4.3 e 11.6.1 do PCI DSS 4.0.1. Tudo que estiver na página de pagamento, seus próprios scripts, analytics, testes A/B, ainda precisa ser inventariado, autorizado e monitorado contra adulteração.

Use o Stripe Elements ou Checkout e, por cima, coloque um monitor no cliente como a cside para acompanhar cada script e cada cabeçalho CSP da página de pagamento. Juntos eles cobrem os campos hospedados pelo Stripe e o seu próprio HTML.

O requisito 6.4.3 exige que os comerciantes mantenham um inventário autorizado de todos os scripts nas páginas de pagamento e confirmem a integridade de cada um. O requisito 11.6.1 exige um mecanismo de detecção de alterações para cabeçalhos de segurança HTTP e atributos de cookies nas páginas de pagamento. Ambos tornaram-se obrigatórios para todos os comerciantes em 31 de março de 2025.

Sim. O Stripe possui certificação PCI DSS Nível 1, verificada anualmente por um Avaliador de Segurança Qualificado. Isso certifica a própria infraestrutura e o tratamento de dados do Stripe, não estende a cobertura aos scripts que executam nas suas páginas de pagamento.

Sim. A cside é a fornecedora preferida da AWS para os requisitos PCI DSS 4.0.1 6.4.3 e 11.6.1, respaldada por uma parceria global. Comerciantes que adotam a cside para monitoramento de scripts na camada do navegador podem adquiri-la através da AWS Marketplace e alinhar a implantação com suas ferramentas de segurança AWS e fluxos de conformidade existentes.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança
Related Articles
Agende uma demonstração