Tokeniserade betalningar
Skydda känslig kortinnehavardata och förenkla PCI-efterlevnad med Cardflos tokeniserade betalningar. Genom att ersätta faktiska kortnummer med unika, icke-känsliga tokens kan du behandla transaktioner säkert utan att lagra rå kortdata.
Detta minskar din PCI DSS-omfattning och förbättrar datasäkerheten.
- Kategori
- Säkerhet
- Funktioner
- 10
- Tillgänglig på
- Alla planer
Översikten
Tokenisering är en säkerhetsprocess som ersätter känsliga primära kontonummer (PAN) med icke-känsliga digitala identifierare kända som tokens. Inom betalningsstacken sker denna mekanism vanligtvis på gateway- eller PSP-nivå, vilket säkerställer att rå kortinnehavardata inte lagras på handlarservern.
Genom att koppla bort transaktionsidentifieraren från de ursprungliga finansiella uppgifterna kan företag minska sin PCI-DSS-efterlevnadsomfattning till enklare självbedömningsformulär. Dessa tokens kan begränsas till specifika handlare, enhetstyper eller transaktionsklasser, vilket ger ett granulärt kontrollager som vanlig PAN-data saknar.
När en transaktion initieras överförs token till valvet där motsvarande PAN hämtas för auktorisering med inlösaren och utfärdaren. Denna arkitektur säkerställer att även vid ett databasintrång förblir den insamlade datan oanvändbar för obehöriga parter, eftersom tokens inte kan omvändas för att avslöja de ursprungliga kortuppgifterna.
Så fungerar det
Datainsamling och valvlagring
När en kund anger sina kortuppgifter vid kassan skickas den känsliga datan direkt till ett säkert valv. Systemet validerar uppgifterna och lagrar PAN bakom flera lager av kryptering.
En slumpmässigt genererad alfanumerisk sträng, eller token, skapas för att representera denna specifika kortpost för all framtida behandling.
Tokenutgivning och mappning
Valvet returnerar token till handlaren eller orkestratorn, som lagrar den i sin databas istället för det råa kortnumret. Denna token fungerar som en pekare, vilket gör att företaget kan referera till betalningsmetoden för återkommande fakturering eller en-klicks-köp utan att direkt hantera förbjuden känslig autentiseringsdata.
Auktorisering och dirigering
För efterföljande transaktioner skickar handlaren token till betalningsgatewayen. Gatewayen eller valvtjänsten byter ut token mot det ursprungliga PAN och vidarebefordrar begäran till inlösaren.
Utfärdaren auktoriserar sedan transaktionen baserat på de dekrypterade uppgifterna, vilket upprätthåller standardauktoriseringsflöden utan att kompromissa med säkerheten.
Tokenlivscykelhantering
Tokens kan uppdateras, pausas eller raderas utan att påverka det underliggande kortkontot. Om en handlarspecifik token komprometteras kan den inte användas hos andra företag.
Dessutom kan kontouppdateringstjänster uppdatera den valvlagrade PAN-datan samtidigt som den handlarhållna token förblir statisk, vilket säkerställer kontinuerliga faktureringscykler.
Varför det spelar roll
Minskad regleringsomfattning
Att lagra rå kortdata innebär en betydande börda för ett företag, vilket kräver rigorösa PCI-DSS-revisioner och dyr säkerhetsinfrastruktur. Tokenisering flyttar den känsliga datalagringen till en specialiserad tredje part, vilket gör att handlaren kan kvalificera sig för minskade efterlevnadskrav.
Detta sänker driftskostnaderna i samband med årliga säkerhetsbedömningar och minimerar den interna tekniska overhead som behövs för att upprätthålla en auktoriserad miljö.
Förbättrad motståndskraft mot dataintrång
Om en handlardatabas komprometteras är traditionell kortdata omedelbart exploaterbar för bedrägliga transaktioner. Tokens är dock arkitektoniskt distinkta och vanligtvis begränsade till den specifika handlare som begärde dem.
En stulen token är värdelös för en sekundär part eftersom betalningsprocessorn endast kommer att hedra token när den presenteras av den auktoriserade handlaren, vilket effektivt neutraliserar effekten av datastöld på kortinnehavare.
Minskad kundfriktion
Modern handel förlitar sig på bekvämligheten för återkommande kunder, såsom en-klicks-kassor och prenumerationsmodeller. Tokenisering underlättar dessa upplevelser genom att låta handlare säkert lagra en representativ identifierare för betalningsmetoden.
Detta eliminerar behovet för kunden att ange sina kortuppgifter igen för varje köp, vilket bevisligen minskar antalet avbrutna köp och stöder ett högre kundlivstidsvärde genom förenklade förnyelser.
Användningsfall
Prenumeration och återkommande fakturering
SaaS-leverantörer och prenumerationstjänster använder tokens för att initiera schemalagda handlarinitierade transaktioner. Detta säkerställer betalningskontinuitet utan att lagra känsliga PAN på sina egna servrar, vilket möjliggör automatiserade månatliga faktureringscykler.
En-klicks e-handelskassa
Återförsäljare lagrar tokens för att göra det möjligt för återkommande kunder att snabbt slutföra köp. Genom att referera till ett tidigare använt kort via dess token, involverar kassaprocessen färre fält, vilket minskar friktionen på både mobila och stationära plattformar.
Omnikanal detaljhandelsmiljöer
Handlare som driver både fysiska och onlinebutiker använder tokenisering för att spåra kundbeteende över kanaler. En enda token kan representera en kundidentitet, vilket möjliggör enhetliga återbetalningar och lojalitetsprogramintegration oavsett försäljningsställe.
Marknadsplatsbetalningsdistribution
Plattformar som underlättar betalningar mellan köpare och säljare använder tokens för att hantera komplexa penningflöden. Detta gör att plattformen kan inneha betalningsuppgifter för köparen och auktorisera utbetalningar till flera säljare utan att någonsin exponera rå PAN-data.
I siffror
Typisk minskning av antalet säkerhetskontroller en handlare måste hantera när man antar en valvbaserad tokeniseringsstrategi jämfört med att lagra rå PAN-data.
Observerade branschintervall för auktoriseringsförbättringar vid användning av nätverkstokens, eftersom utfärdare ofta har högre förtroende för dessa säkrade uppgifter.
Den relativa finansiella påverkan av ett databasintrång när endast tokens exponeras, eftersom bristen på användbar kortdata förhindrar direkta bedrägliga förluster och relaterat ansvar.
Relaterade termer
Talk to our team about a live rollout on your acquiring stack.
Vad du får med Tokeniserade betalningar
- Minimera omfattningen av PCI-DSS-revisioner genom att ta bort känslig kortinnehavardata från interna handlarmiljöer.
- Eliminera kravet på att lagra sexton-siffriga primära kontonummer i lokala databasstrukturer.
- Underlätta handlarinitierade transaktioner för automatiserade prenumerationsförnyelser och återkommande faktureringscykler.
- Stödja en-klicks-kassaupplevelser för återkommande kunder för att minska betalningsfriktionen vid kassan.
- Skydda mot bedräglig användning av stulen data genom att använda handlarspecifika icke-reversibla digitala tokens.
- Möjliggöra kontouppdateringsintegration för att upprätthålla giltiga betalningsuppgifter utan manuell kundintervention.
- Tillhandahålla en säker metod för att behandla återbetalningar och partiella fångster med hjälp av historiska tokenreferenser.
- Säkra kundbetalningsprofiler för användning över flera plattformar och olika digitala försäljningskanaler.
- Upprätthålla höga auktoriseringsgrader genom att säkerställa att tokens förblir synkroniserade med underliggande utfärdardata.
- Minska risken för höga böter och ryktesskador till följd av potentiella dataintrång.
A short scoping call, then a written plan for your MIDs.
Frågor om Tokeniserade betalningar
Hur skiljer sig tokenisering från standarddatakryptering?
Kryptering använder en algoritm för att omvandla kortdata till chiffrerad text, som teoretiskt kan dekrypteras om nyckeln blir stulen. Tokenisering ersätter datan helt med en slumpmässig identifierare som inte har något matematiskt samband med det ursprungliga PAN.
En token kan inte reverseras; den kan endast mappas tillbaka till den ursprungliga datan av den auktoriserade valvtjänsten. Detta gör tokenisering generellt säkrare för handlarlagring eftersom den interna miljön aldrig innehar dekrypteringsnycklarna eller själva rådatan.
Kan en token användas av en annan handlare om den blir stulen?
Normalt sett, nej. De flesta betalningstokens är handlarspecifika.
När en PSP eller gateway utfärdar en token är den kryptografiskt kopplad till ett specifikt handlar-ID (MID). Om den token avlyssnas och presenteras av en annan handlare eller enhet, kommer valvet eller gatewayen att neka transaktionen.
Denna begränsade användbarhet är en primär anledning till att tokenisering föredras framför kryptering för att säkra lagrade uppgifter i ett distribuerat handelssystem.
Hur påverkar tokenisering mina krav på PCI-DSS-efterlevnad?
Tokenisering minskar avsevärt antalet säkerhetskontroller ett företag måste implementera. Genom att säkerställa att ingen rå kortdata når handlarens nätverk kan företaget kvalificera sig för ett förenklat självbedömningsformulär, såsom SAQ A eller SAQ A-EP.
Dessa versioner har betydligt färre krav än den fullständiga SAQ D, som är obligatorisk för företag som lagrar, behandlar eller överför råa primära kontonummer, vilket leder till lägre kostnader och mindre frekventa tekniska revisioner.
Kommer användning av tokens att påverka mina transaktionsauktoriseringsgrader?
I de flesta fall har tokenisering en neutral eller positiv effekt på auktoriseringsgraderna. Vid användning av nätverkstokens, som utfärdas av kortsystem som Visa eller Mastercard, kan utfärdare se att transaktionen stöds av en säker uppgift.
Detta leder ofta till högre förtroendepoäng och färre falska avslag jämfört med traditionella PAN, som kan flaggas om den lagrade datan är föråldrad eller om transaktionen ser misstänkt ut.
Är en token samma sak som en digital plånbokstoken som Apple Pay?
Även om båda använder konceptet tokenisering, tjänar de olika syften. Digitala plånböcker använder nätverkstokens som lagras på en enhet och är specifika för hårdvaran.
Handlartokens, eller valvtokens, genereras av en gateway eller PSP för att lagras i en handlares databas för återkommande användning. Båda metoderna syftar till att skydda PAN, men handlartoken är utformad för server-sidig persistens medan plånbokstoken är utformad för konsument-sidig transaktionssäkerhet.
Vad händer med tokens om jag byter betaltjänstleverantör?
Detta beror på om du använder ett leverantörsspecifikt valv eller ett oberoende valv. Om tokens är proprietära för en enskild PSP kan det vara komplext att migrera dem till en ny leverantör och kräver en säker dataexport- och importprocess.
Att använda en oberoende tokeniseringstjänst eller ett orkestreringslager kan ge större flexibilitet, vilket gör att du kan flytta mellan olika inlösare och gateways utan att behöva tokenisera om hela din kunddatabas.
Fungerar tokenisering med internationella betalningsmetoder och APM:er?
Tokenisering används huvudsakligen för kredit- och betalkortssystem, men konceptet tillämpas alltmer på alternativa betalningsmetoder (APM:er) och öppen bankverksamhet. Många moderna gateways erbjuder möjligheten att tokenisera autogiro-mandat eller digitala plånboksidentifierare, vilket möjliggör en konsekvent hanteringsupplevelse över olika betalningstyper inom handlarens kundprofilsystem.
Relaterade funktioner.
Redo för fart?
Berätta om ditt företag. Vi matchar dig med rätt inlösenpartners och rätt rutt, vanligtvis inom en vecka.
