Le terme « tokenisation » recouvre en réalité deux concepts distincts dans l'écosystème des paiements : la tokenisation réseau, opérée par les réseaux de cartes (Visa Token Service, Mastercard Digital Enablement Service), et la tokenisation de paiement, opérée par les marchands ou leurs prestataires via des vaults dédiés. Ces deux approches ne sont pas interchangeables et servent des objectifs différents, même si elles peuvent être utilisées conjointement.
La tokenisation réseau : Visa Token Service et Mastercard Digital Enablement
La tokenisation réseau est une initiative des réseaux de cartes, lancée en 2014 dans le cadre du standard EMV Tokenization. Visa Token Service (VTS) et Mastercard Digital Enablement Service (MDES) remplacent le PAN d'une carte bancaire par un Device Account Number (DAN) ou Network Token, un identifiant numérique unique lié à un appareil spécifique (smartphone, ordinateur, wearable) et à un marchand ou canal de paiement particulier.
Ces tokens réseau sont générés et gérés directement par les réseaux de cartes, en coordination avec les banques émettrices. Ils sont utilisés principalement dans les wallets numériques (Apple Pay, Google Pay, Samsung Pay) et les paiements in-app. Leur caractéristique principale est qu'ils sont dynamiques : chaque transaction génère un cryptogramme unique, ce qui rend toute tentative de rejeu de transaction impossible. Un token réseau volé est inutilisable sans le cryptogramme correspondant à la transaction spécifique.
L'avantage majeur de la tokenisation réseau est la mise à jour automatique des tokens lorsqu'une carte est renouvelée ou remplacée. Le réseau met à jour le token de manière transparente, sans intervention du porteur ni du marchand. Pour les marchands qui utilisent la tokenisation réseau pour leurs abonnements, le taux d'échec lié aux cartes expirées devient quasi nul.
La tokenisation de paiement : le vault marchand
La tokenisation de paiement (ou tokenisation marchand) est un mécanisme différent : le PAN de la carte est remplacé par un token généré et géré par le marchand ou son prestataire de tokenisation (comme PCI Proxy EU). Ce token est stocké dans un vault sécurisé, et le PAN original n'existe que dans ce vault, protégé par des clés cryptographiques stockées dans un HSM.
Contrairement aux tokens réseau, les tokens marchands ne sont pas standardisés entre les acteurs : un token généré par PCI Proxy EU ne peut pas être utilisé directement chez un autre prestataire de tokenisation. Les tokens marchands sont également statiques pour un PAN donné — le même PAN génère toujours le même token dans un vault donné (bien que ce comportement soit configurable), ce qui permet la réconciliation des transactions et la détection des doublons.
Cas d'usage respectifs : quand utiliser chaque type de tokenisation
La tokenisation réseau est optimale pour les paiements en temps réel via wallets numériques, les paiements in-app et les transactions e-commerce où la sécurité maximale de la transaction individuelle est prioritaire. Les cryptogrammes dynamiques de la tokenisation réseau offrent une protection supérieure contre la fraude à la transaction. Si votre objectif principal est de réduire la fraude sur les transactions e-commerce et mobiles, la tokenisation réseau est la solution à privilégier.
La tokenisation de paiement (vault marchand) est optimale pour la conformité PCI DSS, le stockage sécurisé des données de carte pour les paiements récurrents, les cas d'usage multi-acquéreurs (routage des transactions vers différents PSPs selon des règles métier), et les architectures où le marchand a besoin de contrôler directement son référentiel de cartes. Si votre objectif est de sortir du périmètre PCI et de gérer des abonnements multi-canaux, la tokenisation de paiement est plus adaptée.
Interaction entre tokenisation réseau et tokenisation de paiement
Ces deux types de tokenisation ne sont pas exclusifs — ils peuvent et doivent souvent être utilisés conjointement. Lors d'un paiement via Apple Pay, le token réseau Visa/Mastercard est généré par le wallet. Ce token réseau peut ensuite être converti en token marchand par le vault PCI Proxy EU pour le stockage et les transactions futures. Le marchand ne voit ni le PAN original ni le token réseau — seulement son token marchand.
Cette architecture en couches offre une sécurité maximale : la tokenisation réseau protège la transaction initiale avec des cryptogrammes dynamiques, tandis que la tokenisation de paiement protège le stockage et les transactions futures. Le PAN original n'existe nulle part dans les systèmes du marchand, même sous forme de token réseau transitoire.
Impact sur la conformité PCI DSS de chaque approche
La tokenisation réseau seule ne suffit pas à sortir du périmètre PCI DSS. En effet, le token réseau (DAN) est considéré par PCI DSS comme une donnée de carte à protéger, même s'il ne s'agit pas d'un PAN. Le périmètre PCI reste similaire à celui d'une intégration PAN classique. La tokenisation réseau améliore la sécurité des transactions mais ne réduit pas significativement le périmètre d'audit PCI.
La tokenisation de paiement (vault marchand), en revanche, est le mécanisme spécifiquement reconnu par PCI DSS pour réduire le périmètre. Lorsque votre serveur ne reçoit que des tokens marchands et que votre base de données ne stocke que des tokens, vous sortez du CDE pour la gestion des données de carte. C'est pourquoi la tokenisation de paiement est la solution privilégiée pour les marchands qui cherchent à simplifier leur conformité PCI DSS, indépendamment de la question de la tokenisation réseau.
Choisir la bonne stratégie de tokenisation pour votre activité
La décision entre tokenisation réseau, tokenisation de paiement, ou les deux, dépend de vos cas d'usage spécifiques, de vos canaux de vente et de vos objectifs en matière de conformité et de fraude. Un e-commerçant européen qui accepte principalement des paiements via carte classique et des abonnements bénéficiera davantage d'une tokenisation de paiement solide. Un service de paiement mobile qui vise à maximiser les taux d'approbation sur les wallets numériques mettra l'accent sur la tokenisation réseau.
PCI Proxy EU supporte les deux approches et peut vous accompagner dans la définition de la stratégie optimale pour votre contexte. Notre vault de tokens marchands peut ingérer des tokens réseau Visa et Mastercard, les dé-tokeniser en toute sécurité et les convertir en tokens marchands pour votre stockage et vos transactions futures — vous offrant le meilleur des deux mondes : la sécurité des transactions de la tokenisation réseau et la réduction du périmètre PCI de la tokenisation de paiement.
Définissez la stratégie de tokenisation optimale pour votre activité avec l'expertise de PCI Proxy EU. Découvrir PCI Proxy EU.