Sikker kortlagring
Cardflo tilbyr sikre kortlagringsløsninger designet for transaksjoner med høyt volum og sensitive data. Infrastrukturen vår beskytter kundens betalingsopplysninger, samtidig som den sikrer sømløs tilgang for gjentakende betalinger og abonnementsadministrasjon.
Oppretthold overholdelse og kundetillit med robust kryptering og tokeniseringsstrategier.
- Kategori
- Sikkerhet
- Funksjoner
- 10
- Tilgjengelig på
- Alle abonnementer
Oversikten
Sikker kortlagring, ofte referert til som vaulting, innebærer kryptering og bevaring av sensitive primære kontonummer (PAN) innenfor et herdet miljø. Denne komponenten i betalingsstacken skiller sensitive data fra forhandlerens server, og flytter det store flertallet av PCI DSS-samsvarskrav til leverandøren.
Ved å erstatte originale kortdetaljer med en unik surrogatidentifikator, eller token, kan en forhandler behandle påfølgende transaksjoner uten å håndtere rå finansielle data. Denne arkitekturen er grunnleggende for bedrifter som administrerer tilbakevendende fakturering, abonnementssykluser eller ett-klikks utsjekkingsopplevelser.
Lagringssystemet samhandler med gatewayen og aktøren for å tilrettelegge for handelsinitierte transaksjoner (MIT) samtidig som det følger strenge sikkerhetsprotokoller. Robuste lagringsrammeverk må også støtte livssyklusstyring, inkludert automatiserte oppdateringer for utgåtte kort og sikker datasletting for å oppfylle dataminimaliseringsstandarder.
Effektivt implementert reduserer sikker lagring risikoen for tyveri av legitimasjon og sikrer at autorisasjonsprosessen for tilbakevendende kunder er både effektiv og i samsvar med regionale mandater som PSD2.
Slik fungerer det
Innledende datainnsamling
Når en kunde legger inn betalingsopplysninger, overføres de rå dataene direkte til et PCI-kompatibelt hvelv. Denne overføringen skjer via en kryptert kanal, for eksempel TLS 1.
2 eller høyere, og sikrer at forhandleren aldri kommer i kontakt med det ukrypterte primære kontonummeret eller sensitive autentiseringsdata.
Generering og kartlegging av token
Lagringssystemet genererer et ikke-sensitivt token for å representere kortet. Dette tokenet kartlegges til de krypterte kortdataene i det sikre miljøet.
Forhandleren lagrer kun dette tokenet i databasen sin, som ikke har noen egenverdi hvis det blir avlyttet av uautoriserte parter under et datainnbrudd.
Sikker hvelv og kryptering
Sensitive detaljer krypteres ved hjelp av bransjestandardalgoritmer som AES-256. Kryptografiske nøkler administreres gjennom en dedikert maskinvaresikkerhetsmodul (HSM) med strenge rotasjonspolicyer.
Data lagres i en lagdelt arkitektur for å isolere betalingsinformasjonen fra eksterne nettverk og uautoriserte interne prosesser.
Autorisering av transaksjoner
For å behandle en påfølgende betaling sender forhandleren tokenet i stedet for de rå kortdataene til betalingsgatewayen. Hvelvingstjenesten de-tokeniserer forespørselen, henter de opprinnelige legitimasjonene og sender dem til innløseren for autorisasjon, og opprettholder en sikker sløyfe gjennom hele livssyklusen.
Hvorfor det er viktig
Reduksjon av samsvarsomfang
Implementering av en sikker hvelvstrategi gjør at forhandlere kan begrense omfanget av sin PCI DSS-vurdering. Ved å sikre at primære kontonumre aldri berører forhandlerens egne servere, kan virksomheten ofte kvalifisere for forenklede selvvurderingsspørreskjemaer (SAQ-er).
Dette reduserer den administrative byrden og kostnadene forbundet med årlige sikkerhetsrevisjoner og styrking av teknisk infrastruktur, samtidig som man opprettholder en streng sikkerhetsstilling.
Konverterings- og retensjonsstrategi
Lagrede legitimasjoner tilrettelegger for friksjonsfrie gjentakende kjøp, som er avgjørende for abonnementsbaserte forretningsmodeller. Sikker lagring muliggjør kontooppdateringstjenester som automatisk oppdaterer utgåtte eller erstattede kortdetaljer uten kundeintervensjon.
Dette reduserer friksjon ved salgsstedet og minimerer utilsiktet kundersvik forårsaket av utdaterte betalingsinformasjon, noe som direkte påvirker livstidsverdien til kundebasen.
Bruksområder
Abonnements- og SaaS-leverandører
Tjenester som krever periodisk fakturering er avhengige av hvelving for å utføre handelsinitierte transaksjoner. Tokener muliggjør pålitelige månedlige eller årlige faktureringssykluser uten å kreve at kundene må legge inn detaljer på nytt for hver fornyelse.
E-handelsmarkedsplasser
Plattformer med høye gjentakelseskjøpsrater bruker kortlagring for å muliggjøre ett-klikks kasser. Dette fjerner friksjon ved utsjekking, samtidig som det sikrer at markedsplassen ikke bærer risikoen for å lagre rå PAN-data lokalt.
Betalinger i mobilapper
Applikasjoner kan sikkert lagre betalingsmetoder for kjøp i appen eller tjenestebestillinger. Tokenisering sikrer at selv om mobilenheten blir kompromittert, forblir de faktiske kortdetaljene trygge i det hvelvede miljøet.
I tall
Typisk reduksjon i tekniske kontroller og administrative oppgaver når man går fra lokal lagring til en spesialisert tredjeparts hvelvtjeneste.
Bransjeøkning observert når sikker lagring kombineres med automatiske kontooppdateringer for gjentakende faktureringssykluser, spesielt i Storbritannia og EØS-markedene.
Gjennomsnittlig ekstra tur-retur-tid for tokenisering under utsjekkingsprosessen, noe som sikrer at sikkerheten ikke hindrer kundeopplevelsen.
Relaterte begreper
Talk to our team about a live rollout on your acquiring stack.
Hva du får med Sikker kortlagring
- PCI DSS Nivå 1-kompatibel infrastruktur for maksimal beskyttelse av sensitive data og risikoreduksjon.
- AES-256 kryptering i ro, kombinert med transportlagsikkerhet for data under overføring.
- Plattformuavhengig tokenisering som muliggjør sikker betalingsbehandling på tvers av flere innløsere og betalingsgatewayer.
- Hardware Security Module (HSM)-basert nøkkelhåndtering for streng kryptografisk kontroll og tilgangslogging.
- Støtte for handelsinitierte transaksjoner (MIT) for å muliggjøre automatisert gjentakende fakturering og abonnementer.
- Integrasjon med kontooppdateringstjenester for å opprettholde nøyaktige betalingsopplysninger og redusere avvisninger.
- Finkornet rollebasert tilgangskontroll som sikrer at kun autoriserte systemer interagerer med den sikre hvelvet.
- Automatiserte retningslinjer for datalagring og sletting for å overholde globale databeskyttelsesforskrifter.
- Full støtte for 3D Secure 2.0 og sterk kundeautentisering ved innhenting av innledende legitimasjon.
- Omfattende revisjonslogger og overvåking for alle token-opprettelser og de-tokeniseringsforespørsler.
A short scoping call, then a written plan for your MIDs.
Spørsmål om Sikker kortlagring
Hvordan reduserer sikker kortlagring vår PCI DSS-samsvarsbyrde?
Ved å bruke en sikker hvelvtjeneste unngår forhandleren å lagre, behandle eller overføre rå kortinnehaverdata. Dette gjør at virksomheten potensielt kan redusere sitt PCI DSS-omfang til et enklere selvvurderingsskjema, for eksempel SAQ A eller SAQ A-EP.
Leverandøren håndterer de komplekse kravene i Krav 3 (Beskytt lagrede kortinnehaverdata) og Krav 12, og sikrer at den fysiske og logiske sikkerheten til dataene oppfyller de høyeste bransjestandardene. Denne overgangen reduserer kostnadene og den tekniske kompleksiteten ved å opprettholde årlige samsvarssertifiseringer betydelig.
Oppdateres lagrede kortdata automatisk hvis en kundes kort utløper?
De fleste profesjonelle hvelvsystemer kan integreres med nettverksnivå Kontooppdateringstjenester levert av kortselskaper som Visa og Mastercard. Når et kort utstedes på nytt på grunn av utløp, tap eller tyveri, mottar hvelvet oppdaterte legitimasjoner via ordningen.
Denne oppdateringen skjer i bakgrunnen, og sikrer at tokenet forblir gyldig og koblet til en aktiv konto. Denne mekanismen er avgjørende for å forhindre autorisasjonsfeil i gjentakende faktureringsmodeller og sikrer kontinuerlig tjeneste for medlemmer uten å nødvendiggjøre manuelle oppdateringer fra brukeren.
Hva er forskjellen mellom handels-tokener og nettverks-tokener i lagring?
Handels-tokener, også kjent som gateway-tokener, er unike for en spesifikk leverandør og brukes til å erstatte PAN-er innenfor leverandørens økosystem. Nettverks-tokener utstedes direkte av kortselskapene (Visa, Mastercard, etc.)
og er interoperable i hele betalingskjeden. Mens begge tjener til å sikre data, krever nettverks-tokener ofte mer kompleks implementering, men kan føre til høyere autorisasjonsrater og lavere interbankkostnader.
En robust sikkerhetslagringsstrategi kan bruke begge deler for å balansere sikkerhet, portabilitet og transaksjonsytelse på tvers av ulike regioner.
Hvordan håndteres sikkerheten til krypteringsnøklene i hvelvet?
Krypteringsnøkler håndteres i henhold til bransjens beste praksis, vanligvis ved bruk av en Hardware Security Module (HSM). Dette er en fysisk enhet som sikrer og administrerer digitale nøkler for sterk autentisering og gir kryptobehandling.
Nøkler roteres etter en definert tidsplan for å minimere effekten av en hypotetisk kompromittering. Tilgang til disse nøklene er strengt begrenset ved hjelp av en 'minste privilegium'-modell og er beskyttet av flerfaktorautentisering.
Dette sikrer at selv om en database ble tilgjengelig, ville de krypterte dataene forbli uleselige uten de beskyttede nøklene.
Kan vi migrere våre lagrede kort til en annen leverandør hvis vi endrer vår betalingsstack?
Dataportabilitet er en viktig faktor for sikker lagring. Mens dataene er låst i et sikkert hvelv, legger anerkjente leverandører til rette for sikre datamigreringer.
Dette innebærer vanligvis en sikker overføring fra en PCI Nivå 1-leverandør til en annen via en kryptert SFTP eller lignende protokoll. Denne prosessen sikrer at forhandleren ikke er 'låst inne' til en enkelt leverandør, samtidig som den opprettholder samsvar gjennom overføringen.
Slike migreringer krever koordinering mellom sikkerhets- og samsvarsteamene til både den avreisende og mottakende organisasjonen.
Hvordan håndterer hvelvsystemet sterk kundeautentisering (SCA)?
Når et kort først vaults (en kortinnehaver-initiell transaksjon eller CIT), må systemet støtte 3D Secure-protokoller for å autentisere brukeren og overholde SCA-mandater under PSD2. Når kortet er sikkert lagret og den første transaksjonen er autentisert, blir påfølgende betalinger typisk flagget som handels-initiell transaksjon (MIT).
Disse gjentakende transaksjonene kan ofte unntas fra SCA forutsatt at den første avtalen (mandatet) ble korrekt etablert og forhandleren inkluderer de riktige transaksjonsindikatorene i autorisasjonsforespørselen som sendes til utstederen.
Relaterte funksjoner.
Klar for fart?
Fortell oss om bedriften din. Vi finner de rette innløsningspartnerne og den rette ruten for deg, vanligvis innen en uke.
