Resumo: conformidade PCI DSS com Stripe
- A Stripe cuida da conformidade PCI DSS Nível 1 do processamento de cartão em si, por isso comerciantes dizem frequentemente que estão 'em conformidade PCI com a Stripe'. Isso é meia verdade.
- Comerciantes continuam responsáveis pelos requisitos PCI DSS 4.0.1 6.4.3 e 11.6.1 no seu próprio site mesmo quando a Stripe processa o cartão. Estes cobrem inventário de scripts e detecção de adulteração em páginas de pagamento no seu domínio.
- Stripe Elements minimiza mas não elimina o escopo do comerciante. Comerciantes SAQ-A usando Stripe Elements ainda precisam atender 6.4.3 e 11.6.1, e o plano gratuito do cside cobre ambos.
Sim, o Stripe possui certificação PCI DSS Nível 1, o nível mais alto disponível. Essa certificação cobre a infraestrutura do Stripe. Não cobre seu site. Se sua página de pagamento carregar qualquer script que você controla, analytics, chat ao vivo, gestão de consentimento, testes A/B, dois requisitos do PCI DSS 4.0.1 permanecem sua responsabilidade, que o Stripe não pode cumprir em seu nome: §6.4.3 e §11.6.1.
O que a conformidade PCI do Stripe realmente cobre
O status de provedor de serviços Nível 1 do Stripe é verificado anualmente por um Avaliador de Segurança Qualificado (QSA) e listado no Registro Global de Provedores de Serviços da Visa. A certificação confirma que os data centers, os sistemas de processamento de cartões e a infraestrutura interna do Stripe atendem aos padrões PCI DSS.
O que isso cobre:
- Transmissão e armazenamento de dados de cartão dentro dos sistemas do Stripe
- Iframes do Stripe Checkout e Elements, que carregam a partir do domínio certificado PCI do Stripe
- Os SDKs móveis e Terminal do Stripe
O que isso não cobre:
- JavaScript que executa nas suas páginas web nos navegadores dos seus clientes
- Analytics, chat, consentimento ou qualquer outro script de terceiros em páginas que redirecionam para um formulário de pagamento
- Seus cabeçalhos de segurança HTTP ou configurações de cookies
O limite é o servidor do Stripe. Sua página de pagamento, a que coleta ou redireciona dados de cartão, executa nos navegadores dos seus clientes, e essa superfície é sua.
Como estar em conformidade usando o Stripe
Os produtos do Stripe são projetados para lidar com dados sensíveis de cartões de forma segura, reduzindo assim o escopo de suas responsabilidades PCI DSS:
- Stripe Checkout e Elements: Essas ferramentas usam campos de pagamento hospedados, garantindo que informações de pagamento sensíveis sejam transmitidas diretamente para os servidores validados pelo PCI DSS do Stripe, sem tocar em seus servidores.
- SDKs Mobile e Terminal: Os SDKs do Stripe para pagamentos móveis e presenciais também enviam informações sensíveis diretamente para o Stripe, minimizando seu escopo PCI.
| Integração Stripe | SAQ Necessário | Motivo |
|---|---|---|
| Stripe Checkout (página de pagamento hospedada) | SAQ A | Nenhum dado do titular do cartão toca seu servidor |
| Stripe Elements (campos incorporados)* | SAQ A* | Elements transmitem dados com segurança para o Stripe* |
| Stripe.js v2 com UI personalizada | SAQ A-EP* | Seu frontend afeta a segurança da transação |
| API Direta (dados do cartão no seu servidor) | SAQ D | Você armazena, processa e/ou transmite dados do cartão |
*Agora você precisa monitorar dependências nas páginas de pagamento, mais abaixo.
- Se você usa o Stripe Checkout (página de pagamento hospedada), você se qualifica para SAQ A.
- Se você usa o Stripe Elements (campos incorporados que enviam dados diretamente para o Stripe), você se qualifica para SAQ A.
- Se você usa os SDKs Mobile ou Terminal do Stripe, os dados de pagamento são processados com segurança pelo Stripe, mantendo você no SAQ A.
- Se você coleta e armazena dados do titular do cartão ou usa uma integração de API direta, você deve completar o SAQ D e implementar controles PCI completos.
Se você se qualifica para SAQ A, suas responsabilidades PCI DSS são mínimas porque o Stripe lida com os dados sensíveis do cartão.
Se você requer SAQ A-EP ou SAQ D, você assume mais responsabilidade pela segurança das transações.
Quais requisitos PCI DSS o Stripe não cobre
O PCI DSS 4.0.1 introduziu dois requisitos voltados para a camada do navegador, ambos obrigatórios desde 31 de março de 2025:
Requisito 6.4.3, Autorização de scripts nas páginas de pagamento
Você deve manter um inventário documentado de cada script autorizado a executar nas suas páginas de pagamento. Para cada script, você precisa de um método para confirmar sua integridade, que o código não foi modificado desde sua última revisão. Isso se aplica a scripts próprios e de terceiros (analytics, chat de suporte, ferramentas de testes A/B).
Requisito 11.6.1, Detecção de alterações em cabeçalhos HTTP
Você deve implantar um mecanismo que detecte alterações não autorizadas nos cabeçalhos de segurança HTTP e nos atributos de cookies nas suas páginas de pagamento e gere alertas.
O Stripe não tem visibilidade sobre esses scripts ou cabeçalhos. Ambos os requisitos abordam o que acontece nos navegadores dos seus clientes na sua página web, uma superfície completamente fora do ambiente do Stripe.
A atualização de janeiro de 2025 do PCI Security Standards Council ao SAQ A confirmou isso: mesmo comerciantes que usam o Stripe Checkout totalmente hospedado devem satisfazer §6.4.3 e §11.6.1 se seu fluxo de pagamento passar por qualquer página que carregue scripts externos. Consulte nossa análise da atualização SAQ A de janeiro de 2025 para mais detalhes.
Monitoramento de dependências para conformidade SAQ A
Conforme a atualização de janeiro de 2025, o PCI Security Standards Council enfatizou a importância de monitorar dependências. Isso inclui scripts próprios e de terceiros em sites.
Um monitor no lado do cliente satisfaz §6.4.3 e §11.6.1 executando nos navegadores dos seus clientes, inventariando cada script em cada visita à página de pagamento e alertando quando um script muda ou um novo aparece. A cside monitora scripts e cabeçalhos HTTP nos navegadores de visitantes reais, incluindo cargas úteis condicionais que parecem limpas para os scanners mas se ativam no tráfego de produção.
Por favor, encontre a documentação do Stripe sobre PCI DSS aqui.
Leitura relacionada: nosso guia de conformidade PCI DSS 6.4.3 e 11.6.1 · as responsabilidades PCI DSS compartilhadas da Adyen
Determine seu nível de conformidade PCI
| Nível | Critério | Requisito de Validação |
|---|---|---|
| Nível 1 | Mais de 6 milhões de transações anualmente | Auditoria completa no local por um QSA + SAQ D |
| Nível 2 | 1 a 6 milhões de transações anualmente | SAQ A, SAQ A-EP ou SAQ D + Attestation of Compliance (AOC) |
| Nível 3 | 20.000 a 1 milhão de transações online anualmente | SAQ A, SAQ A-EP ou SAQ D + Attestation of Compliance (AOC) |
| Nível 4 | Menos de 20.000 transações online OU até 1 milhão de transações totais | SAQ A, SAQ A-EP ou SAQ D + Attestation of Compliance (AOC) |
- Nível 1 = Deve completar um ROC (Avaliação PCI DSS Completa com Relatório Completo de Conformidade por QSA)
- Nível 2 = Deve completar pelo menos um SAQ com atestado de QSA ou ISA de terceiros
- Nível 3 = Deve completar um SAQ
- Nível 4 = Opcional
O Atestado de Conformidade PCI DSS para lojistas Stripe
O Atestado de Conformidade PCI DSS (AoC) para um lojista Stripe é um documento que um QSA (ou um assinante interno autorizado sob SAQ) produz ao fim de um ciclo de avaliação, indicando em qual nível de SAQ o lojista se qualifica e que todos os controles aplicáveis estão implementados. Para a maioria dos lojistas e-commerce Stripe, isso significa uma atestação SAQ A (página de pagamento totalmente terceirizada) ou SAQ A-EP (checkout hospedado no site do lojista).
O ponto operacional importante é que o AoC da Stripe cobre a Stripe. Ele não cobre o lojista. Mesmo usando Stripe Elements ou Checkout, o lojista continua com obrigação de AoC porque a página de pagamento roda no domínio do lojista e o lojista é responsável pelos scripts carregados naquela página sob 6.4.3 e 11.6.1. Times de compras enterprise frequentemente pedem ambos os AoCs durante o onboarding de fornecedores.
A cside fornece a trilha de evidência que sustenta o próprio AoC SAQ A ou SAQ A-EP do lojista: inventário contínuo de scripts, monitoramento de integridade e evidência pronta para auditoria de 6.4.3 e 11.6.1 que um QSA pode extrair sem correria.
Identifique seu tipo de integração e documentação necessária
Complete o SAQ apropriado Uma vez que você tenha identificado o SAQ correto com base no seu método de integração, complete-o minuciosamente. O Stripe fornece um assistente PCI no seu Dashboard para guiá-lo.
Envie sua documentação Após completar o SAQ, envie-o junto com qualquer Attestation of Compliance (AOC) ou Report on Compliance (ROC) necessário para o Stripe para revisão.
Mantenha a conformidade contínua A conformidade PCI requer monitoramento contínuo. Revise seu inventário de scripts regularmente, mantenha seu SAQ atualizado e monitore os cabeçalhos da página de pagamento para detectar alterações não autorizadas.
A mesma lacuna entre a certificação do processador e a obrigação do comerciante se aplica ao usar o Adyen ou o PayPal e Braintree como processador de pagamento.








