利用 Stripe 等服务提供商存储持卡人数据是一种简化 PCI 要求的方法。但是，对于任何解决方案，您都必须根据您选择的解决方案进行权衡和其他要求。仅仅因为您使用像 Stripe 这样的人并不意味着您没有 PCI 合规性要求。在使用标记化解决方案的情况下，您需要保护标记不被交换为表示的数据。这意味着，从 PCI 的角度来看，存储令牌的系统不应该具有将令牌交换回卡数据。

在查看了 Stripe 的 API 文档之后，它们似乎很好地不允许您从令牌或客户那里检索信用卡号。查看您列出的关于 CARDS 和 CUSTOMERS 的官方 API 文档，它表明在检索 CUSTOMER 或 CARD 对象时，永远不会返回实际的卡号。所以曝光是有限的。有人仍然可以获得您不希望他们拥有的有关您的客户的有价值信息。这就是为什么 PCI 仍然要求您将令牌和 API 密钥作为敏感数据保护并相应地保护它们。

PCI Tokenization 指南应该很有帮助，并且更详细地介绍了我上面提到的内容。

PCI DSS 标记化指南