Sicurezza

Archiviazione sicura delle carte

Cardflo offre soluzioni di archiviazione sicura delle carte progettate per transazioni ad alto volume e dati sensibili. La nostra infrastruttura protegge i dettagli di pagamento dei clienti garantendo al contempo un accesso senza interruzioni per pagamenti ricorrenti e gestione degli abbonamenti.

Mantenete la conformità e la fiducia dei clienti con robuste strategie di crittografia e tokenizzazione.

Categoria
Sicurezza
Funzionalità
10
Disponibile su
Tutti i piani
Richiedi ora

La panoramica

L'archiviazione sicura delle carte, comunemente definita vaulting, implica la crittografia e la conservazione dei numeri di conto primari (PAN) sensibili all'interno di un ambiente protetto.

Questo componente dello stack di pagamento separa i dati sensibili dal server del commerciante, spostando la stragrande maggioranza dei requisiti di conformità PCI DSS al fornitore.

Sostituendo i dettagli originali della carta con un identificatore surrogato unico, o token, un commerciante può elaborare transazioni successive senza gestire dati finanziari grezzi. Questa architettura è fondamentale per le aziende che gestiscono fatturazione ricorrente, cicli di abbonamento o esperienze di checkout con un clic.

Il sistema di archiviazione interagisce con il gateway e l'acquirente per facilitare le Transazioni Iniziate dal Commerciante (MIT) aderendo a rigorosi protocolli di sicurezza.

I robusti framework di archiviazione devono anche supportare la gestione del ciclo di vita, inclusi gli aggiornamenti automatici per le carte scadute e l'eliminazione sicura dei dati per soddisfare gli standard di minimizzazione dei dati.

Implementata efficacemente, l'archiviazione sicura riduce il rischio di furto di credenziali e garantisce che il processo di autorizzazione per i clienti di ritorno sia efficiente e conforme ai mandati regionali come la PSD2.

Come funziona

  1. Acquisizione iniziale dei dati

    Quando un cliente inserisce i dettagli di pagamento, i dati grezzi vengono trasmessi direttamente a un vault conforme a PCI. Questa trasmissione avviene tramite un canale crittografato, come TLS 1.

    2 o superiore, garantendo che l'ambiente del commerciante non entri mai in contatto con il numero di conto primario in chiaro o i dati di autenticazione sensibili.

  2. Generazione e mappatura dei token

    Il sistema di archiviazione genera un token non sensibile per rappresentare la carta. Questo token è mappato ai dati crittografati della carta all'interno dell'ambiente sicuro.

    Il commerciante memorizza solo questo token nel proprio database, che non ha alcun valore intrinseco se intercettato da parti non autorizzate durante una violazione.

  3. Vaulting sicuro e crittografia

    I dettagli sensibili vengono crittografati utilizzando algoritmi standard del settore come AES-256. Le chiavi crittografiche sono gestite tramite un modulo di sicurezza hardware (HSM) dedicato con rigorose politiche di rotazione.

    I dati sono archiviati in un'architettura a livelli per isolare le informazioni di pagamento dalle reti esterne e dai processi interni non autorizzati.

  4. Autorizzazione della transazione

    Per elaborare un pagamento successivo, il commerciante invia il token anziché i dati grezzi della carta al gateway di pagamento.

    Il servizio di vaulting de-tokenizza la richiesta, recupera le credenziali originali e le invia all'acquirente per l'autorizzazione, mantenendo un ciclo sicuro per tutto il ciclo di vita.

Perché è importante

Riduzione dell'ambito di conformità

L'implementazione di una strategia di vaulting sicura consente ai commercianti di limitare l'ambito della loro valutazione PCI DSS. Assicurando che i numeri di conto primari non tocchino mai i server del commerciante, l'azienda può spesso qualificarsi per questionari di autovalutazione semplificati (SAQ).

Ciò riduce l'onere amministrativo e i costi associati agli audit di sicurezza annuali e all'irrobustimento dell'infrastruttura tecnica, mantenendo al contempo una rigorosa postura di sicurezza.

Strategia di conversione e fidelizzazione

Le credenziali archiviate facilitano gli acquisti ripetuti senza attriti, che sono vitali per i modelli di business basati su abbonamento. L'archiviazione sicura consente ai servizi di Account Updater di aggiornare automaticamente i dettagli della carta scaduti o sostituiti senza l'intervento del cliente.

Ciò riduce l'attrito al punto vendita e minimizza il churn involontario causato da informazioni di pagamento obsolete, influenzando direttamente il valore a vita della base clienti.

Casi d'uso

Fornitori di abbonamenti e SaaS

I servizi che richiedono fatturazione periodica dipendono dal vaulting per eseguire le Transazioni Iniziate dal Commerciante. I token consentono cicli di fatturazione mensili o annuali affidabili senza richiedere ai clienti di reinserire i dettagli per ogni rinnovo.

Mercati e-commerce

Le piattaforme con alti tassi di acquisti ripetuti utilizzano l'archiviazione delle carte per abilitare i checkout con un clic. Ciò elimina l'attrito al checkout garantendo al contempo che il mercato non si assuma il rischio di archiviare i dati PAN grezzi localmente.

Pagamenti tramite app mobile

Le applicazioni possono archiviare in modo sicuro i metodi di pagamento per acquisti in-app o prenotazioni di servizi. La tokenizzazione garantisce che, anche se il dispositivo mobile viene compromesso, i dettagli effettivi della carta rimangano al sicuro all'interno dell'ambiente vault.

In cifre

up to 90%
Riduzione dell'ambito PCI

Riduzione tipica dei controlli tecnici e delle attività amministrative quando si passa dall'archiviazione on-premise a un servizio di vaulting specializzato di terze parti.

2-5%
Miglioramento del tasso di autorizzazione

Aumento del settore osservato quando si combina l'archiviazione sicura con gli aggiornamenti automatici degli account per i cicli di fatturazione ricorrenti, in particolare nei mercati del Regno Unito e dello Spazio Economico Europeo.

<150ms
Latenza della tokenizzazione

Tempo medio aggiuntivo di andata e ritorno per la tokenizzazione durante il processo di checkout, garantendo che la sicurezza non ostacoli l'esperienza del cliente.

Ready to route with Archiviazione sicura delle carte?

Talk to our team about a live rollout on your acquiring stack.

Richiedi ora

Cosa ottieni con Archiviazione sicura delle carte

  • Infrastruttura conforme a PCI DSS Livello 1 per la massima protezione dei dati sensibili e la mitigazione dei rischi.
  • Crittografia AES-256 a riposo combinata con la sicurezza a livello di trasporto per i dati in transito.
  • Tokenizzazione agnostica della piattaforma che consente l'elaborazione sicura dei pagamenti attraverso più acquirenti e gateway.
  • Gestione delle chiavi basata su Hardware Security Module (HSM) per un rigoroso controllo crittografico e la registrazione degli accessi.
  • Supporto per le Transazioni Iniziate dal Commerciante (MIT) per facilitare la fatturazione ricorrente automatizzata e gli abbonamenti.
  • Integrazione con i servizi di Account Updater per mantenere credenziali di pagamento accurate e ridurre i rifiuti.
  • Controlli di accesso granulari basati sui ruoli che garantiscono che solo i sistemi autorizzati interagiscano con il vault sicuro.
  • Politiche automatizzate di conservazione ed eliminazione dei dati per conformarsi alle normative globali sulla privacy dei dati.
  • Supporto completo per 3D Secure 2.0 e Strong Customer Authentication al momento dell'acquisizione delle credenziali iniziali.
  • Log di audit completi e monitoraggio per tutte le richieste di creazione e de-tokenizzazione dei token.
See Archiviazione sicura delle carte on your acquiring stack.

A short scoping call, then a written plan for your MIDs.

Richiedi ora

Domande su Archiviazione sicura delle carte

In che modo l'archiviazione sicura delle carte riduce il nostro onere di conformità PCI DSS?

Utilizzando un servizio di vaulting sicuro, il commerciante evita di archiviare, elaborare o trasmettere dati grezzi del titolare della carta. Ciò consente all'azienda di ridurre potenzialmente l'ambito PCI DSS a un questionario di autovalutazione più semplice, come SAQ A o SAQ A-EP.

Il fornitore gestisce i requisiti complessi del Requisito 3 (Proteggere i dati del titolare della carta archiviati) e del Requisito 12, garantendo che la sicurezza fisica e logica dei dati soddisfi i più alti standard del settore.

Questa transizione riduce significativamente i costi e la complessità tecnica del mantenimento delle certificazioni di conformità annuali.

I dati della carta archiviati vengono aggiornati automaticamente se la carta di un cliente scade?

La maggior parte dei sistemi di vaulting professionali può essere integrata con i servizi di Account Updater a livello di rete forniti dagli schemi di carte come Visa e Mastercard.

Quando una carta viene riemessa a causa di scadenza, smarrimento o furto, il vault riceve le credenziali aggiornate tramite lo schema. Questo aggiornamento avviene in background, garantendo che il token rimanga valido e collegato a un account attivo.

Questo meccanismo è fondamentale per prevenire fallimenti di autorizzazione nei modelli di fatturazione ricorrente e garantisce un servizio continuo per i membri senza la necessità di aggiornamenti manuali da parte dell'utente.

Qual è la differenza tra token del commerciante e token di rete nell'archiviazione?

I token del commerciante, noti anche come token di gateway, sono unici per un fornitore specifico e vengono utilizzati per sostituire i PAN all'interno dell'ecosistema di quel fornitore. I token di rete sono emessi direttamente dagli schemi di carte (Visa, Mastercard, ecc.)

e sono interoperabili lungo l'intera catena di pagamento. Sebbene entrambi servano a proteggere i dati, i token di rete spesso richiedono un'implementazione più complessa ma possono portare a tassi di autorizzazione più elevati e costi di interscambio inferiori.

Una robusta strategia di archiviazione sicura può utilizzare entrambi per bilanciare sicurezza, portabilità e prestazioni delle transazioni in diverse regioni.

Come viene gestita la sicurezza delle chiavi di crittografia all'interno del vault?

Le chiavi di crittografia sono gestite secondo le migliori pratiche del settore, tipicamente coinvolgendo un Hardware Security Module (HSM). Si tratta di un dispositivo fisico che salvaguarda e gestisce le chiavi digitali per una forte autenticazione e fornisce l'elaborazione crittografica.

Le chiavi vengono ruotate secondo un programma definito per minimizzare l'impatto di una potenziale compromissione. L'accesso a queste chiavi è strettamente limitato utilizzando un modello di 'minimo privilegio' ed è protetto da autenticazione multi-fattore.

Ciò garantisce che, anche se un database fosse accessibile, i dati crittografati rimarrebbero illeggibili senza le chiavi protette.

Possiamo migrare le nostre carte archiviate a un altro fornitore se cambiamo il nostro stack di pagamento?

La portabilità dei dati è una considerazione chiave per l'archiviazione sicura. Sebbene i dati siano bloccati in un vault sicuro, i fornitori affidabili facilitano le migrazioni sicure dei dati.

Ciò di solito comporta un trasferimento sicuro da un fornitore PCI Livello 1 a un altro tramite SFTP crittografato o protocollo simile. Questo processo garantisce che il commerciante non sia 'bloccato' a un singolo fornitore, mantenendo la conformità durante il trasferimento.

Tali migrazioni richiedono il coordinamento tra i team di sicurezza e conformità sia dell'organizzazione che lascia che di quella che riceve.

Come gestisce il sistema di vaulting la Strong Customer Authentication (SCA)?

Quando una carta viene archiviata per la prima volta (una Transazione Iniziata dal Titolare della Carta o CIT), il sistema deve supportare i protocolli 3D Secure per autenticare l'utente e conformarsi ai mandati SCA ai sensi della PSD2.

Una volta che la carta è archiviata in modo sicuro e la transazione iniziale è autenticata, i pagamenti successivi vengono tipicamente contrassegnati come Transazioni Iniziate dal Commerciante (MIT).

Queste transazioni ricorrenti possono spesso essere esentate da SCA a condizione che l'accordo iniziale (mandato) sia stato correttamente stabilito e il commerciante includa gli indicatori di transazione appropriati nella richiesta di autorizzazione inviata all'emittente.

Inizia

Pronto per la velocità?

Raccontaci della tua attività. Ti abbineremo ai giusti partner acquirenti e al percorso giusto, di solito entro una settimana.

Richiedi ora
Richiedi ora