Aprovechar a un proveedor de servicios, como Stripe, para almacenar datos de titulares de tarjetas es una forma de simplificar sus requisitos de PCI. Sin embargo, con cualquier solución hay concesiones y otros requisitos que debe cumplir según la solución que elija. El hecho de que utilice a alguien como Stripe no significa que no tenga requisitos de cumplimiento de PCI. En el caso de utilizar una solución de tokenización, debe proteger los tokens para que no se intercambien por los datos representados. Esto significa que, desde una perspectiva de PCI, el sistema que almacena los tokens no debe tener el conocimiento (lo que significa claves de API y / o datos de autenticación de API) o la capacidad (sin acceso directo a la API, etc.) para intercambiar los tokens de nuevo a datos de la tarjeta.
Después de ver los documentos API de Stripe, parece que son bastante buenos al no permitirle recuperar el número de tarjeta de crédito de un token o cliente. Mirando los documentos API oficiales en TARJETAS y CLIENTES, que figuran en la lista, muestra que el número de tarjeta real NUNCA se devuelve cuando se recupera un objeto CLIENTE o TARJETA. Así que la exposición es limitada. Alguien aún podría obtener información valiosa sobre sus clientes que usted no quiere que tengan. Es por eso que PCI aún requiere que usted proteja los tokens y las claves de la API como datos confidenciales y los proteja en consecuencia.
La guía de PCI para Tokenización debería ser bastante útil y entrar en más detalles sobre lo que mencioné anteriormente.
Pautas de Tokenización de PCI DSS