Este guia se aplica quando você conecta o Stripe como seu próprio processador através do Bring Your Own Processor (BYOP). Fale conosco se precisar de ajuda.
Habilitar acesso a dados de cartão brutos
Para encaminhar pagamentos através da sua conta Stripe enquanto a Dodo Payments gerencia o faturamento, a Dodo precisa passar os detalhes do cartão para o Stripe em seu nome usando as APIs de dados de cartões brutos do Stripe. Por padrão, as contas Stripe não podem enviar números de cartões brutos (PANs) diretamente para suas APIs. O Stripe protege isso por meio de uma aprovação que confirma que os sistemas que lidam com dados de cartões brutos são compatíveis com PCI DSS. Com o BYOP, o sistema que lida com os dados do cartão é a Dodo Payments, que é compatível com PCI DSS Nível 1 — então você prova a conformidade usando a certificação da Dodo Payments em vez da sua. Você solicita este acesso uma vez, por conta. Ao solicitar o acesso, o Stripe pede uma breve descrição de como os dados do cartão são manuseados — declare que a Dodo Payments, sua fornecedora de pagamentos compatível com PCI DSS Nível 1, processa os dados de cartões brutos e que seus próprios sistemas nunca armazenam ou tocam em números de cartões brutos (PANs). Como a Dodo Payments lida com os dados, você não precisa do seu próprio SAQ D; envie a Atestado de Conformidade (AOC) da Dodo Payments como sua prova:Dodo Payments PCI DSS Attestation of Compliance (AOC)
Baixe o AOC atual da Dodo Payments e envie para o Stripe quando solicitar acesso a dados de cartões brutos.
Enabling access to raw card data APIs
Guia do Stripe para solicitar acesso à API de dados de cartões brutos em sua conta.
O que você precisará
Depois que o Stripe confirmar o acesso a dados de cartão brutos, conecte o Stripe em Configurações → BYOP. Reúna dois valores do seu Painel do Stripe:| Valor | De onde vem |
|---|---|
| Secret key | Desenvolvedores → Chaves de API |
| Webhook signing secret | Gerado quando você adiciona o webhook |
O Stripe mantém credenciais de teste e ao vivo separadas — alterne com o botão Modo de teste / Modo ao vivo no Painel. Gere credenciais no ambiente que corresponda ao modo que você está configurando no Dodo.
Passo 1: Obtenha sua secret key
Open API keys
No Painel do Stripe, vá para Desenvolvedores → Chaves de API. Use o botão Modo de teste / Modo ao vivo para corresponder ao ambiente que você está configurando.
Passo 2: Configure o webhook e o signing secret
A Dodo gera uma URL Webhook Endpoint quando você salva a conexão do Stripe. Adicione-a como um webhook no Stripe, em seguida, copie o signing secret.Add an endpoint
No Painel do Stripe, vá para Desenvolvedores → Webhooks e selecione Adicionar endpoint. Cole a URL do Webhook Endpoint que a Dodo gerou (deve ser HTTPS e acessível publicamente) e selecione os eventos para monitorar.
Reveal the signing secret
Abra a página de detalhes do endpoint e selecione Revelar secret para ver o Signing secret — ele começa com
whsec_. O secret é único para cada endpoint, e endereços de teste e ao vivo possuem secrets diferentes.Perguntas frequentes
Do I need my own PCI certification (SAQ D)?
Do I need my own PCI certification (SAQ D)?
Não. Como a Dodo Payments lida com os dados de cartões brutos em seu nome e é compatível com PCI DSS Nível 1, você envia o Atestado de Conformidade (AOC) da Dodo Payments para o Stripe em vez de completar seu próprio SAQ D ou passar por uma auditoria separada.
Why can't Stripe just enable this by default?
Why can't Stripe just enable this by default?
Enviar números de cartões brutos para uma API traz o sistema emissor para o escopo do PCI DSS. O Stripe exige prova de conformidade PCI antes de habilitar as APIs de dados de cartões brutos para que os dados dos portadores de cartões permaneçam protegidos. A Dodo Payments é compatível com PCI DSS Nível 1, então você fornece o AOC da Dodo Payments como essa prova.
Can I test BYOP before getting live approval?
Can I test BYOP before getting live approval?
Sim. Peça ao Stripe para habilitar as APIs de dados de cartões brutos em modo de teste, que não necessita de documentação PCI, e conecte o Stripe no modo de teste no Dodo. Você precisará da aprovação do modo ao vivo antes de processar pagamentos reais.
I lost my secret key or signing secret, what now?
I lost my secret key or signing secret, what now?
Gere uma nova chave em Desenvolvedores → Chaves de API, ou abra o endpoint do webhook e selecione Revelar secret para ver o signing secret novamente, depois atualize o valor em Configurações → BYOP.