La tokenisation réseau et les tokens PCI Proxy sont deux technologies de tokenisation qui opèrent à des niveaux différents de la chaîne de paiement. Comprendre leur différence est essentiel pour architeter correctement une solution de paiement sécurisée — d'autant plus que les deux peuvent coexister dans une même infrastructure pour des niveaux de protection complémentaires.
Qu'est-ce que la tokenisation réseau ?
La tokenisation réseau est un service proposé directement par les réseaux de cartes via leurs programmes dédiés : Visa Token Service (VTS), Mastercard Digital Enablement Service (MDES) et American Express Token Service. Ces services émettent des tokens au niveau du réseau qui remplacent le PAN dans les communications entre le PSP/acquéreur et le réseau de cartes. Un token réseau est lié à un domaine spécifique (l'application de paiement, le site web, le terminal) et cryptographiquement attaché à ce contexte.
Les tokens réseau sont particulièrement utilisés dans les paiements mobiles (Apple Pay, Google Pay, Samsung Pay) et dans les paiements en ligne avec 3DS2. Ils offrent des avantages spécifiques : meilleurs taux d'acceptation (les émetteurs font davantage confiance aux tokens réseau qu'aux PAN bruts), support natif de l'authentification forte et mise à jour automatique quand la carte expire ou est renouvelée via le réseau émetteur. Les tokens réseau circulent dans le réseau d'autorisation — ils ne sont pas destinés au stockage côté marchand.
Qu'est-ce qu'un token PCI Proxy ?
Un token PCI Proxy est un token de vault marchand — il remplace le PAN dans vos systèmes et bases de données côté marchand. Son objectif est d'éliminer la présence du PAN de votre infrastructure (CRM, ERP, base de données de facturation, systèmes de récurrence). Le token PCI Proxy EU est stocké dans votre base de données en lieu et place du PAN, et vous permettez d'initier des transactions futures sans jamais manipuler le PAN en clair.
La différence fondamentale de positionnement : le token réseau opère dans la communication entre PSP et réseau de cartes (la couche d'autorisation), tandis que le token PCI Proxy opère dans la communication entre votre système et votre PSP (la couche marchande). Les deux types de tokens protègent le PAN, mais à des couches différentes de l'architecture de paiement.
Tableau comparatif : tokenisation réseau vs PCI Proxy
| Critère | Tokenisation réseau (VTS/MDES) | Token PCI Proxy EU |
|---|---|---|
| Émetteur | Réseau de cartes (Visa, MC) | PCI Proxy EU (vault marchand) |
| Couche de protection | PSP → réseau acquéreur | Système marchand → PSP |
| Portabilité PSP | Limité (lié au domaine) | Total (agnostique au PSP) |
| Réduction CDE marchand | Partielle | Maximale (quasi-totale) |
Les deux technologies sont complémentaires
La tokenisation réseau et les tokens PCI Proxy ne sont pas concurrents — ils sont complémentaires. Dans une architecture optimale, vous utilisez des tokens PCI Proxy EU pour stocker les données de carte dans vos systèmes marchands, et PCI Proxy EU utilise des tokens réseau (via VTS/MDES) dans ses communications avec les PSP et les réseaux d'autorisation. Vous bénéficiez ainsi de la protection au niveau marchand (tokens PCI Proxy) et de la protection au niveau réseau (tokens VTS/MDES), avec les avantages d'acceptation de la tokenisation réseau sans les contraintes de lock-in.
PCI Proxy EU supporte la tokenisation réseau en aval via ses intégrations PSP. Lorsque vous initiez une transaction avec un token PCI Proxy, PCI Proxy EU peut optionnellement requérir un token réseau auprès du programme VTS ou MDES pour la communication d'autorisation — vous obtenez les deux couches de protection avec un seul token dans votre système.
Questions fréquentes
Apple Pay et Google Pay utilisent-ils des tokens réseau ?
Oui. Apple Pay utilise des tokens Visa Token Service (VTS) ou MDES selon le réseau de la carte, stockés dans la Secure Element de l'iPhone. Google Pay utilise un mécanisme similaire. Ces tokens sont spécifiques à l'appareil et au service de paiement — ils ne peuvent pas être utilisés directement comme tokens de vault marchand. Si vous souhaitez conserver les données de paiement Apple Pay ou Google Pay pour des récurrents, vous devez les tokeniser avec PCI Proxy EU au niveau marchand en parallèle.
La tokenisation réseau réduit-elle mon périmètre PCI DSS ?
Partiellement. La tokenisation réseau réduit le risque dans la couche d'autorisation — un token réseau intercepté par un attaquant ne peut pas être utilisé hors de son domaine d'application. Mais elle ne réduit pas votre périmètre CDE côté marchand si vous continuez à stocker des PAN dans vos bases de données. Seule la tokenisation vault marchand (PCI Proxy EU) élimine les PAN de vos systèmes et réduit réellement votre CDE.
La tokenisation réseau améliore-t-elle les taux d'acceptation en Europe ?
Oui. Plusieurs études de Visa et Mastercard montrent des taux d'autorisation 2 à 5 points plus élevés pour les transactions tokenisées réseau vs les transactions PAN brut, notamment pour les paiements récurrents. Les émetteurs font davantage confiance aux tokens réseau car leur utilisation est plus difficile à frauder. PCI Proxy EU intègre optionnellement la tokenisation réseau dans ses flux d'autorisation pour les marchands souhaitant bénéficier de ces avantages.
Vous souhaitez comprendre quelle combinaison de tokenisation est optimale pour votre architecture de paiement ? Contactez PCI Proxy EU.