Segurança

Pagamentos tokenizados

Proteja os dados sensíveis do titular do cartão e simplifique a conformidade com o PCI com os pagamentos tokenizados da Cardflo.

Ao substituir os números de cartão reais por tokens únicos e não sensíveis, pode processar transações de forma segura sem armazenar dados brutos do cartão. Isso reduz o seu âmbito PCI DSS e melhora a segurança dos dados.

Categoria
Segurança
Funcionalidades
10
Disponível em
Todos os planos
Candidatar-me agora

A visão geral

A tokenização é um processo de segurança que substitui números de conta primários (PANs) sensíveis por identificadores digitais não sensíveis conhecidos como tokens.

Dentro da pilha de pagamentos, este mecanismo ocorre tipicamente ao nível do gateway ou PSP, garantindo que os dados brutos do titular do cartão não são armazenados no servidor do comerciante.

Ao desacoplar o identificador da transação das credenciais financeiras originais, as empresas podem reduzir o seu âmbito de conformidade PCI-DSS a questionários de autoavaliação mais simples.

Estes tokens podem ser restritos a comerciantes específicos, tipos de dispositivos ou classes de transação, fornecendo uma camada de controlo granular que os dados PAN regulares não possuem.

Quando uma transação é iniciada, o token é transmitido para a 'vault' onde o PAN correspondente é recuperado para autorização com o adquirente e o emitente.

Esta arquitetura garante que, mesmo em caso de violação da base de dados, os dados capturados permanecem inúteis para partes não autorizadas, pois os tokens não podem ser revertidos para revelar os detalhes originais do cartão.

Como funciona

  1. Captura de dados e armazenamento em vault

    Quando um cliente introduz os detalhes do seu cartão durante o checkout, os dados sensíveis são enviados diretamente para uma 'vault' segura. O sistema valida as credenciais e armazena o BAN por trás de múltiplas camadas de encriptação.

    Uma sequência alfanumérica gerada aleatoriamente, ou token, é criada para representar este registo de cartão específico para todo o processamento futuro.

  2. Emissão e mapeamento de tokens

    A 'vault' devolve o token ao comerciante ou orquestrador, que o armazena na sua base de dados em vez do número de cartão bruto.

    Este token atua como um ponteiro, permitindo que a empresa faça referência ao método de pagamento para faturação recorrente ou compras com um clique sem manusear diretamente dados de autenticação sensíveis proibidos.

  3. Autorização e encaminhamento

    Para transações subsequentes, o comerciante envia o token para o gateway de pagamento. O gateway ou o fornecedor da 'vault' troca o token pelo PAN original e encaminha o pedido para o adquirente.

    O emitente, em seguida, autoriza a transação com base nas credenciais desencriptadas, mantendo os fluxos de autorização padrão sem comprometer a segurança.

  4. Gestão do ciclo de vida do token

    Os tokens podem ser atualizados, suspensos ou eliminados sem afetar a conta do cartão subjacente. Se um token específico do comerciante for comprometido, não poderá ser usado em outros negócios.

    Além disso, os serviços de atualização de conta podem atualizar os dados BAN armazenados em 'vault', mantendo o token detido pelo comerciante estático, garantindo ciclos de faturação contínuos.

Por que importa

Âmbito regulamentar reduzido

O armazenamento de dados de cartão brutos impõe um encargo significativo a uma empresa, exigindo auditorias PCI-DSS rigorosas e infraestruturas de segurança dispendiosas. A tokenização transfere o armazenamento de dados sensíveis para um terceiro especializado, permitindo ao comerciante qualificar-se para requisitos de conformidade reduzidos.

Isso diminui os custos operacionais associados às avaliações de segurança anuais e minimiza a sobrecarga técnica interna necessária para manter um ambiente autorizado.

Resiliência melhorada a violações de dados

Se uma base de dados de comerciante for comprometida, os dados de cartão tradicionais são imediatamente exploráveis para transações fraudulentas. Os tokens, no entanto, são arquitetonicamente distintos e tipicamente restritos ao comerciante específico que os solicitou.

Um token roubado é inútil para uma parte secundária porque o processador de pagamento só honrará o token quando apresentado pelo comerciante autorizado, neutralizando efetivamente o impacto do roubo de dados nos titulares de cartão.

Redução de atrito para o cliente

O comércio moderno depende da conveniência de clientes que regressam, como checkouts com um clique e modelos de subscrição. A tokenização facilita estas experiências, permitindo aos comerciantes armazenar um identificador representativo do método de pagamento de forma segura.

Isso elimina a necessidade de o cliente reintroduzir os detalhes do seu cartão para cada compra, o que comprovadamente reduz as taxas de abandono de carrinho e apoia um maior valor de vida útil do cliente através de renovações simplificadas.

Casos de uso

Prestadores de SaaS e subscrições

Os prestadores de SaaS e serviços de subscrição utilizam tokens para iniciar transações comerciais programadas. Isso garante a continuidade do pagamento sem armazenar PANs sensíveis nos seus próprios servidores, permitindo ciclos de faturação mensais automatizados.

Checkout e-commerce com um clique

Os retalhistas armazenam tokens para permitir que os clientes que regressam concluam compras rapidamente. Ao fazer referência a um cartão utilizado anteriormente através do seu token, o processo de checkout envolve menos campos, reduzindo o atrito em plataformas móveis e de desktop.

Ambientes de retalho omnicanal

Os comerciantes que operam lojas físicas e online utilizam a tokenização para acompanhar o comportamento do cliente em todos os canais. Um único token pode representar a identidade de um cliente, permitindo reembolsos unificados e integração de programas de fidelização, independentemente do ponto de venda.

Distribuição de pagamentos em marketplaces

As plataformas que facilitam pagamentos entre compradores e vendedores utilizam tokens para gerir fluxos de fundos complexos. Isso permite que a plataforma detenha credenciais de pagamento para o comprador e autorize pagamentos a vários vendedores sem nunca expor dados PAN brutos.

Em números

Up to 90%
Redução do âmbito PCI

Redução típica no número de controlos de segurança que um comerciante deve gerir ao adotar uma estratégia de tokenização baseada em 'vault' em comparação com o armazenamento de dados PAN brutos.

2-5%
Aumento da autorização

Intervalos observados na indústria para melhorias de autorização ao usar tokens de rede, pois as entidades emissoras geralmente depositam maior confiança nessas credenciais seguras.

<10%
Impacto do custo da violação de dados

O impacto financeiro relativo de uma violação da base de dados quando apenas os tokens são expostos, uma vez que a falta de dados de cartão utilizáveis impede perdas fraudulentas diretas e responsabilidade relacionada.

Ready to route with Pagamentos tokenizados?

Talk to our team about a live rollout on your acquiring stack.

Candidatar-me agora

O que obtém com Pagamentos tokenizados

  • Minimizar o âmbito da auditoria PCI-DSS, removendo dados sensíveis do titular do cartão de ambientes internos de comerciantes.
  • Eliminar a necessidade de armazenar números de conta primários de dezesseis dígitos dentro de estruturas de base de dados locais.
  • Facilitar transações iniciadas pelo comerciante para renovações de subscrição automatizadas e ciclos de faturação recorrentes.
  • Apoiar experiências de checkout com um clique para clientes que retornam, para reduzir o atrito de pagamento no checkout.
  • Proteger contra o uso fraudulento de dados roubados, usando tokens digitais não reversíveis específicos do comerciante.
  • Permitir a integração do atualizador de contas para manter credenciais de pagamento válidas sem intervenção manual do cliente.
  • Fornecer um método seguro para processar reembolsos e capturas parciais usando referências de tokens históricos.
  • Proteger perfis de pagamento de clientes para uso em múltiplas plataformas e vários canais de vendas digitais.
  • Manter altas taxas de autorização, garantindo que os tokens permanecem sincronizados com os dados subjacentes do emitente.
  • Reduzir o risco de multas pesadas e danos à reputação resultantes de potenciais violações de dados.
See Pagamentos tokenizados on your acquiring stack.

A short scoping call, then a written plan for your MIDs.

Candidatar-me agora

Perguntas sobre Pagamentos tokenizados

Como a tokenização difere da encriptação de dados padrão?

A encriptação utiliza um algoritmo para transformar os dados do cartão em texto cifrado, que teoricamente pode ser decifrado se a chave for roubada. A tokenização substitui os dados completamente por um identificador aleatório que não tem relação matemática com o PAN original.

Um token não pode ser revertido; só pode ser mapeado de volta para os dados originais pelo fornecedor da 'vault' autorizado.

Isso torna a tokenização geralmente mais segura para o armazenamento do comerciante, pois o ambiente interno nunca detém as chaves de desencriptação ou os próprios dados brutos.

Um token pode ser usado por outro comerciante se for roubado?

Tipicamente, não. A maioria dos tokens de pagamento são específicos de um comerciante.

Quando um PSP ou gateway emite um token, ele é criptograficamente ligado a um ID de comerciante (MID) específico. Se esse token for intercetado e apresentado por um comerciante ou entidade diferente, a 'vault' ou gateway recusará a transação.

Esta utilidade restrita é uma das principais razões pelas quais a tokenização é preferida em relação à encriptação para proteger credenciais armazenadas num ecossistema de comércio distribuído.

Como a tokenização afeta as minhas necessidades de conformidade com o PCI-DSS?

A tokenização reduz significativamente a quantidade de controlos de segurança que uma empresa deve implementar. Ao garantir que nenhum dado bruto de cartão toca a rede do comerciante, a empresa pode qualificar-se para um questionário de autoavaliação simplificado, como SAQ A ou SAQ A-EP.

Estas versões têm muito menos requisitos do que o SAQ D completo, que é obrigatório para empresas que armazenam, processam ou transmitem números de conta primários brutos, o que leva a custos mais baixos e auditorias técnicas menos frequentes.

A utilização de tokens afetará as minhas taxas de autorização de transações?

Na maioria dos casos, a tokenização tem um efeito neutro ou positivo nas taxas de autorização. Ao utilizar tokens de rede, que são emitidos pelos esquemas de cartão como Visa ou Mastercard, os emitentes podem ver que a transação é suportada por uma credencial segura.

Isso muitas vezes leva a pontuações de confiança mais altas e menos recusas falsas em comparação com os PANs tradicionais, que podem ser sinalizados se os dados armazenados estiverem desatualizados ou se a transação parecer suspeita.

Um token é o mesmo que um token de carteira digital como Apple Pay?

Embora ambos usem o conceito de tokenização, servem propósitos diferentes. As carteiras digitais usam tokens de rede que são armazenados num dispositivo e são específicos do hardware.

Os tokens de comerciante, ou tokens de 'vault', são gerados por um gateway ou PSP para serem armazenados numa base de dados de um comerciante para uso recorrente.

Ambos os métodos visam proteger o PAN, mas o token de comerciante é projetado para persistência do lado do servidor, enquanto o token de carteira é projetado para segurança de transações do lado do consumidor.

O que acontece aos tokens se eu mudar o meu fornecedor de serviços de pagamento?

Isso depende se utiliza uma 'vault' específica do fornecedor ou uma 'vault' independente. Se os tokens forem proprietários de um único PSP, migrá-los para um novo fornecedor pode ser complexo e requer um processo seguro de exportação e importação de dados.

A utilização de um serviço de tokenização independente ou de uma camada de orquestração pode proporcionar maior flexibilidade, permitindo-lhe alternar entre diferentes adquirentes e gateways sem necessidade de re-tokenizar toda a sua base de dados de clientes.

A tokenização funciona com métodos de pagamento internacionais e APMs?

A tokenização é predominantemente utilizada para esquemas de cartões de crédito e débito, mas o conceito está cada vez mais a ser aplicado a métodos de pagamento alternativos (APMs) e banca aberta.

Muitos gateways modernos oferecem a capacidade de tokenizar mandatos de débito direto ou identificadores de carteira digital, permitindo uma experiência de gestão consistente em vários tipos de pagamento dentro do sistema de perfil de cliente do comerciante.

Começar

Pronto para a velocidade?

Fale-nos do seu negócio. Iremos apresentá-lo aos parceiros adquirentes e à rota certa, normalmente em menos de uma semana.

Candidatar-me agora
Candidatar-me agora