Sfruttare un fornitore di servizi, come Stripe, per memorizzare i dati dei titolari di carta è un modo per semplificare i requisiti PCI. Tuttavia, con qualsiasi soluzione ci sono trade off e altri requisiti che devi mantenere in base alla soluzione che scegli. Solo perché usi qualcuno come Stripe non significa che non hai requisiti di conformità PCI. Nel caso di utilizzo di una soluzione di tokenizzazione è necessario proteggere i token dallo scambio per i dati rappresentati. Ciò significa che, dal punto di vista PCI, il sistema che memorizza i token non dovrebbe avere la conoscenza (ovvero chiavi API e / o dati Auth API) o l'abilità (nessun accesso diretto all'API, ecc.) Per scambiare i token dati della carta
Dopo aver esaminato i documenti API di Stripe, sembra che siano piuttosto utili a non consentire il recupero del numero di carta di credito da un token o da un cliente. Guardando i documenti API ufficiali su CARTE e CLIENTI, che hai elencato, mostra che il numero effettivo della carta non viene MAI restituito quando un oggetto CLIENTE o CARD viene recuperato. Quindi l'esposizione è limitata. Qualcuno potrebbe comunque ottenere informazioni preziose sui tuoi clienti che non desideri che abbiano. Questo è il motivo per cui PCI richiede ancora di proteggere i token e le chiavi API come dati sensibili e di proteggerli di conseguenza.
La guida PCI per la tokenizzazione dovrebbe essere piuttosto utile e approfondire ciò che ho menzionato sopra.
Linee guida per la tokenizzazione PCI DSS