Płatności tokenizowane
Chroń wrażliwe dane posiadaczy kart i uprość zgodność z PCI dzięki tokenizowanym płatnościom Cardflo. Zastępując rzeczywiste numery kart unikalnymi, niewrażliwymi tokenami, możesz bezpiecznie przetwarzać transakcje bez przechowywania surowych danych kart.
Zmniejsza to zakres PCI DSS i zwiększa bezpieczeństwo danych.
- Kategoria
- Bezpieczeństwo
- Możliwości
- 10
- Dostępne na
- Wszystkie plany
Przegląd
Tokenizacja to proces bezpieczeństwa, który zastępuje wrażliwe podstawowe numery kont (PAN) niewrażliwymi identyfikatorami cyfrowymi, znanymi jako tokeny. W stosie płatności mechanizm ten zazwyczaj występuje na poziomie bramki lub PSP, zapewniając, że surowe dane posiadacza karty nie są przechowywane na serwerze sprzedawcy.
Poprzez oddzielenie identyfikatora transakcji od oryginalnych danych finansowych, firmy mogą zmniejszyć zakres zgodności z PCI-DSS do prostszych kwestionariuszy samooceny. Tokeny te mogą być ograniczone do konkretnych sprzedawców, typów urządzeń lub klas transakcji, zapewniając szczegółową warstwę kontroli, której brakuje zwykłym danym PAN.
Kiedy transakcja jest inicjowana, token jest przesyłany do skarbca, gdzie odpowiedni numer PAN jest pobierany do autoryzacji u akceptanta i wystawcy.
Ta architektura zapewnia, że nawet w przypadku naruszenia bazy danych, przechwycone dane pozostają bezużyteczne dla nieuprawnionych stron, ponieważ tokenów nie można odtworzyć, aby ujawnić oryginalne dane karty.
Jak to działa
Przechwytywanie i przechowywanie danych
Gdy klient wprowadza dane swojej karty podczas realizacji transakcji, wrażliwe dane są wysyłane bezpośrednio do bezpiecznego skarbca. System weryfikuje dane uwierzytelniające i przechowuje numer PAN za wieloma warstwami szyfrowania.
Losowo generowany ciąg alfanumeryczny, czyli token, jest tworzony w celu reprezentowania tego konkretnego rekordu karty do wszystkich przyszłych operacji.
Wydawanie i mapowanie tokenów
Skarbiec zwraca token sprzedawcy lub orkiestratorowi, który przechowuje go w swojej bazie danych zamiast surowego numeru karty. Ten token działa jako wskaźnik, umożliwiając firmie odwoływanie się do metody płatności w celu cyklicznego rozliczania lub zakupów jednym kliknięciem bez bezpośredniego obsługiwania zabronionych wrażliwych danych uwierzytelniających.
Autoryzacja i routing
W przypadku kolejnych transakcji sprzedawca wysyła token do bramki płatniczej. Bramka lub dostawca skarbca zamienia token na oryginalny numer PAN i przekazuje żądanie do akceptanta.
Wystawca następnie autoryzuje transakcję na podstawie odszyfrowanych danych uwierzytelniających, utrzymując standardowe przepływy autoryzacji bez naruszania bezpieczeństwa.
Zarządzanie cyklem życia tokena
Tokeny mogą być aktualizowane, zawieszane lub usuwane bez wpływu na podstawowe konto karty. Jeśli token specyficzny dla sprzedawcy zostanie naruszony, nie może być używany w innych firmach.
Ponadto usługi aktualizatora konta mogą odświeżać dane PAN przechowywane w skarbcu, jednocześnie utrzymując statyczny token przechowywany przez sprzedawcę, zapewniając ciągłe cykle rozliczeniowe.
Dlaczego to ważne
Zmniejszony zakres regulacyjny
Przechowywanie surowych danych karty nakłada na firmę znaczne obciążenie, wymagając rygorystycznych audytów PCI-DSS i kosztownej infrastruktury bezpieczeństwa. Tokenizacja przenosi przechowywanie wrażliwych danych do wyspecjalizowanej strony trzeciej, umożliwiając sprzedawcy kwalifikowanie się do zmniejszonych wymagań zgodności.
Zmniejsza to koszty operacyjne związane z rocznymi ocenami bezpieczeństwa i minimalizuje wewnętrzne nakłady techniczne potrzebne do utrzymania autoryzowanego środowiska.
Zwiększona odporność na naruszenia danych
Jeśli baza danych sprzedawcy zostanie naruszona, tradycyjne dane karty są natychmiast wykorzystywane do oszukańczych transakcji. Tokeny są jednak architektonicznie odrębne i zazwyczaj ograniczone do konkretnego sprzedawcy, który je zażądał.
Skradziony token jest bezwartościowy dla strony trzeciej, ponieważ procesor płatności honoruje token tylko wtedy, gdy zostanie przedstawiony przez autoryzowanego sprzedawcę, skutecznie neutralizując wpływ kradzieży danych na posiadaczy kart.
Zmniejszenie tarcia dla klienta
Współczesny handel opiera się na wygodzie powracających klientów, takich jak zakupy jednym kliknięciem i modele subskrypcji. Tokenizacja ułatwia te doświadczenia, umożliwiając sprzedawcom bezpieczne przechowywanie reprezentatywnego identyfikatora metody płatności.
Eliminuje to potrzebę ponownego wprowadzania danych karty przez klienta przy każdym zakupie, co, jak udowodniono, zmniejsza wskaźniki porzucania koszyków i wspiera wyższą wartość życiową klienta poprzez uproszczone odnowienia.
Zastosowania
Subskrypcje i cykliczne rozliczenia
Dostawcy SaaS i usługi subskrypcyjne używają tokenów do inicjowania zaplanowanych transakcji inicjowanych przez sprzedawcę. Zapewnia to ciągłość płatności bez przechowywania wrażliwych numerów PAN na własnych serwerach, umożliwiając automatyczne miesięczne cykle rozliczeniowe.
Zakupy e-commerce jednym kliknięciem
Sprzedawcy przechowują tokeny, aby umożliwić powracającym klientom szybkie dokonywanie zakupów. Odwołując się do wcześniej użytej karty za pomocą jej tokena, proces realizacji transakcji wymaga mniej pól, zmniejszając tarcie zarówno na platformach mobilnych, jak i stacjonarnych.
Środowiska handlu wielokanałowego
Sprzedawcy prowadzący zarówno sklepy fizyczne, jak i internetowe używają tokenizacji do śledzenia zachowań klientów w różnych kanałach. Pojedynczy token może reprezentować tożsamość klienta, umożliwiając ujednolicone zwroty i integrację programów lojalnościowych niezależnie od punktu sprzedaży.
Dystrybucja płatności na platformach marketplace
Platformy ułatwiające płatności między kupującymi a sprzedającymi używają tokenów do zarządzania złożonymi przepływami środków. Pozwala to platformie przechowywać dane uwierzytelniające płatności dla kupującego i autoryzować wypłaty dla wielu sprzedawców bez ujawniania surowych danych PAN.
W liczbach
Typowa redukcja liczby kontroli bezpieczeństwa, którymi sprzedawca musi zarządzać, przyjmując strategię tokenizacji opartą na skarbcu, w porównaniu z przechowywaniem surowych danych PAN.
Obserwowane w branży zakresy poprawy autoryzacji przy użyciu tokenów sieciowych, ponieważ wystawcy często pokładają większe zaufanie w tych zabezpieczonych danych uwierzytelniających.
Względny wpływ finansowy naruszenia bazy danych, gdy ujawnione są tylko tokeny, ponieważ brak użytecznych danych karty zapobiega bezpośrednim stratom oszukańczym i związanej z tym odpowiedzialności.
Powiązane pojęcia
Talk to our team about a live rollout on your acquiring stack.
Co zyskujesz dzięki Płatności tokenizowane
- Minimalizuj zakres audytu PCI-DSS, usuwając wrażliwe dane posiadaczy kart z wewnętrznych środowisk handlowych.
- Eliminuj wymóg przechowywania szesnastocyfrowych podstawowych numerów kont w lokalnych strukturach baz danych.
- Ułatwiaj transakcje inicjowane przez sprzedawcę w celu automatycznego odnawiania subskrypcji i cyklicznych cykli rozliczeniowych.
- Wspieraj doświadczenia zakupowe jednym kliknięciem dla powracających klientów, aby zmniejszyć tarcie płatnicze przy kasie.
- Chroń przed oszukańczym wykorzystaniem skradzionych danych, używając specyficznych dla sprzedawcy, nieodwracalnych tokenów cyfrowych.
- Włącz integrację aktualizatora konta, aby utrzymywać ważne dane uwierzytelniające płatności bez ręcznej interwencji klienta.
- Zapewnij bezpieczną metodę przetwarzania zwrotów i częściowych przechwyceń, używając historycznych odniesień do tokenów.
- Zabezpiecz profile płatności klientów do użytku na wielu platformach i w różnych cyfrowych kanałach sprzedaży.
- Utrzymuj wysokie wskaźniki autoryzacji, zapewniając synchronizację tokenów z bazowymi danymi wystawcy.
- Zmniejsz ryzyko wysokich grzywien i szkód reputacyjnych wynikających z potencjalnych naruszeń danych.
A short scoping call, then a written plan for your MIDs.
Pytania dotyczące Płatności tokenizowane
Czym tokenizacja różni się od standardowego szyfrowania danych?
Szyfrowanie wykorzystuje algorytm do przekształcania danych karty w tekst zaszyfrowany, który teoretycznie może zostać odszyfrowany, jeśli klucz zostanie skradziony. Tokenizacja całkowicie zastępuje dane losowym identyfikatorem, który nie ma matematycznego związku z oryginalnym numerem PAN.
Token nie może zostać odwrócony; może być jedynie zmapowany z powrotem do oryginalnych danych przez autoryzowanego dostawcę skarbca. To sprawia, że tokenizacja jest ogólnie bezpieczniejsza do przechowywania przez sprzedawców, ponieważ środowisko wewnętrzne nigdy nie przechowuje kluczy deszyfrujących ani samych surowych danych.
Czy token może być użyty przez innego sprzedawcę, jeśli zostanie skradziony?
Zazwyczaj nie. Większość tokenów płatniczych jest specyficzna dla sprzedawcy.
Kiedy PSP lub bramka wydaje token, jest on kryptograficznie powiązany z konkretnym identyfikatorem sprzedawcy (MID). Jeśli ten token zostanie przechwycony i przedstawiony przez innego sprzedawcę lub podmiot, skarbiec lub bramka odrzuci transakcję.
Ta ograniczona użyteczność jest głównym powodem, dla którego tokenizacja jest preferowana nad szyfrowaniem w celu zabezpieczania przechowywanych danych uwierzytelniających w rozproszonym ekosystemie handlowym.
Jak tokenizacja wpływa na moje wymagania dotyczące zgodności z PCI-DSS?
Tokenizacja znacząco zmniejsza liczbę kontroli bezpieczeństwa, które firma musi wdrożyć. Zapewniając, że żadne surowe dane karty nie trafiają do sieci sprzedawcy, firma może kwalifikować się do uproszczonego kwestionariusza samooceny, takiego jak SAQ A lub SAQ A-EP.
Te wersje mają znacznie mniej wymagań niż pełny SAQ D, który jest obowiązkowy dla firm, które przechowują, przetwarzają lub przesyłają surowe podstawowe numery kont, co prowadzi do niższych kosztów i rzadszych audytów technicznych.
Czy używanie tokenów wpłynie na moje wskaźniki autoryzacji transakcji?
W większości przypadków tokenizacja ma neutralny lub pozytywny wpływ na wskaźniki autoryzacji. Podczas korzystania z tokenów sieciowych, które są wydawane przez systemy kart, takie jak Visa lub Mastercard, wystawcy mogą zobaczyć, że transakcja jest wspierana przez bezpieczne dane uwierzytelniające.
Często prowadzi to do wyższych wyników zaufania i mniejszej liczby fałszywych odrzuceń w porównaniu z tradycyjnymi numerami PAN, które mogą zostać oznaczone, jeśli przechowywane dane są nieaktualne lub jeśli transakcja wygląda podejrzanie.
Czy token to to samo co token portfela cyfrowego, taki jak Apple Pay?
Chociaż oba wykorzystują koncepcję tokenizacji, służą różnym celom. Portfele cyfrowe używają tokenów sieciowych, które są przechowywane na urządzeniu i są specyficzne dla sprzętu.
Tokeny sprzedawcy, czyli tokeny skarbca, są generowane przez bramkę lub PSP i przechowywane w bazie danych sprzedawcy do cyklicznego użytku.
Obie metody mają na celu ochronę numeru PAN, ale token sprzedawcy jest przeznaczony do trwałości po stronie serwera, podczas gdy token portfela jest przeznaczony do bezpieczeństwa transakcji po stronie konsumenta.
Co dzieje się z tokenami, jeśli zmienię dostawcę usług płatniczych?
Zależy to od tego, czy używasz skarbca specyficznego dla dostawcy, czy niezależnego skarbca. Jeśli tokeny są własnością jednego PSP, migracja ich do nowego dostawcy może być złożona i wymaga bezpiecznego procesu eksportu i importu danych.
Korzystanie z niezależnej usługi tokenizacji lub warstwy orkiestracji może zapewnić większą elastyczność, umożliwiając przełączanie się między różnymi akceptantami i bramkami bez konieczności ponownej tokenizacji całej bazy danych klientów.
Czy tokenizacja działa z międzynarodowymi metodami płatności i APM?
Tokenizacja jest głównie używana w systemach kart kredytowych i debetowych, ale koncepcja ta jest coraz częściej stosowana do alternatywnych metod płatności (APM) i bankowości otwartej.
Wiele nowoczesnych bramek zapewnia możliwość tokenizacji zleceń polecenia zapłaty lub identyfikatorów portfeli cyfrowych, co pozwala na spójne zarządzanie różnymi typami płatności w systemie profilu klienta sprzedawcy.
Gotowy na prędkość?
Opowiedz nam o swojej firmie. Dobierzemy dla Ciebie odpowiednich partnerów aktywizujących i właściwą ścieżkę, zazwyczaj w ciągu tygodnia.
