Qu'est-ce que la tokenisation de carte ?
Nous stockons le numéro de carte dans le coffre PCI DSS et vous délivrons un token à la place du numéro de carte. Seul celui-ci apparaît dans vos systèmes. Pour une vue complète, consultez qu'est-ce que PCI Proxy.
Nous tokenisons Qu'est-ce que la tokenisation de carte ?
Elle remplace le numéro de carte par un token. Il ressemble à n'importe quel autre code : même si quelqu'un le voit, il ne peut pas en déduire la carte. Le vrai numéro reste dans notre coffre, pas sur vos serveurs.
Pas du chiffrement
Avec le chiffrement, le numéro de carte reste dans vos systèmes. Avec la tokenisation, vous obtenez un token aléatoire à sa place. Il ne peut pas être inversé sans le coffre.
Moins d'obligations PCI
Si vos systèmes ne contiennent que le token et non le numéro de carte, les obligations PCI diminuent considérablement. Beaucoup passent de centaines de contrôles (SAQ D) à quelques dizaines (SAQ A).
Compatible avec tous les PSP
Utilisez le même token pour les abonnements, les remboursements ou le changement de processeur. Il n'est pas nécessaire de redemander la carte au client lors d'un changement de prestataire.
// 1. Le client saisit sa carte
// 2. Seul le token reste dans vos systèmes
// 3. Numéro de carte : jamais sur vos serveurs
PCI DSS
Certifié Niveau 1
AES-256
Données chiffrées dans le coffre
100% EU
Données uniquement en Europe
< 50ms
Latence API moyenne
Trois types de tokens comparés
Les tokens réseau, gateway et PCI Proxy ne sont pas la même chose. Ils diffèrent en portabilité, obligations PCI et liberté de choisir votre processeur.
| Caractéristique | Token réseau | Token gateway | Token PCI Proxy RECOMMANDÉ |
|---|---|---|---|
| Émis par | Réseaux (Visa, Mastercard) | Votre PSP / gateway | PCI Proxy (indépendant) |
| Portabilité PSP | Réseau uniquement | Non, verrouillage fournisseur | Tout PSP |
| Mise à jour automatique de la carte | Oui, mise à jour automatique | Dépend du gateway | Oui |
| Réduit les obligations PCI | Peu | Peu | Beaucoup |
| Fonctionne aussi par téléphone | E-commerce uniquement | E-commerce uniquement | E-commerce, téléphone, API |
À quoi peut ressembler un token
Le format dépend de la façon dont vous souhaitez l'utiliser dans votre back-office ou base de données. Nous vous aidons à choisir le bon.
// Numéro de carte original
"4111 xxxx xxxx 1234"
// Token généré
"4111 8273 6540 1234"
↑ même forme, chiffres du milieu modifiés
Même forme que le numéro de carte
Même longueur que le numéro de carte. Vous pouvez le stocker dans les colonnes existantes, sans modifier la base de données.
// Numéro de carte original
"5412 7512 3456 7890"
// Token généré
"tok_eu_a3f9b2c14d8e"
↑ préfixe + chaîne aléatoire
Code aléatoire
Des chaînes comme tok_eu_ sans lien avec le numéro de carte. Plus difficile de repérer des motifs ou de deviner quoi que ce soit.
// Numéro de carte original (19 chiffres)
"3714 496353 98431"
// Premiers chiffres pour le réseau
"3714 4963 7f2a 9c1b 8e4d"
↑ Visa ou Mastercard connu, reste aléatoire
Premiers chiffres pour le réseau
Conservez les premiers chiffres pour identifier Visa, Mastercard et similaires. Le reste est aléatoire et sécurisé.
Où nous gardons la carte en sécurité
C'est ici que nous stockons la correspondance entre le token et le numéro de carte. Il est isolé, chiffré et certifié PCI DSS Niveau 1. Vous ne le gérez pas — nous le faisons.
Couche 1
Segmentation réseau
Réseau séparé du reste. Pas d'accès direct à Internet. Surface d'attaque réduite.
Couche 2
Données chiffrées au repos
Chaque numéro de carte est chiffré avant stockage. Les clés restent dans du matériel dédié, jamais exposées en clair.
Couche 3
Clés protégées
Rotation automatique des clés. Accès uniquement pour ceux qui en ont vraiment besoin, avec double contrôle.
Couche 4
Accès tracé
Chaque opération du coffre est journalisée : qui, quand, depuis où. Journaux immuables pour les audits PCI.
Données dans l'UE uniquement
Tout reste dans des centres de données européens. Les données de carte ne quittent jamais l'Union européenne. Conformité RGPD et exigences des banques européennes.
Le même token chez tous vos prestataires de paiement
Nos tokens ne sont pas liés à Stripe, Adyen ou Nexi. Utilisez-les avec le prestataire de votre choix, quand vous le souhaitez.
1 Token
Un seul token, tous les processeurs dont vous avez besoin
∞
PSP supportés
0
Cartes à recollecte
100%
Portabilité
Changer de PSP sans redemander la carte
Zéro disruptionMigrez vers un autre processeur pour de meilleures conditions : les tokens restent valides. Vous ne perdez pas les cartes enregistrées.
Plusieurs processeurs, un seul token
RoutageEnvoyez le paiement au PSP de votre choix selon la région ou le réseau. Nous récupérons le numéro de carte uniquement au moment du paiement.
Abonnements et paiements récurrents
Carte mise à jourEnregistrez le token au premier paiement et réutilisez-le chaque mois. Même si la carte est réémise, le token reste valide.
Remboursements et litiges
SuiviUtilisez le même token pour rembourser, même si le paiement initial était sur un autre PSP. Tout journalisé pour les audits et les contestations.
Quand vous avez besoin du numéro de carte
Seules les parties autorisées peuvent récupérer la carte depuis le coffre, et uniquement lorsque c'est vraiment nécessaire. Chaque accès est journalisé.
4
Couches actives
0
Accès non autorisé
Permissions basées sur les rôles
Moindre privilègeSeules les clés API avec une permission explicite peuvent récupérer le numéro de carte. Pas d'accès par défaut.
IPs approuvées uniquement
RéseauRequêtes uniquement depuis les adresses que vous avez autorisées. Tout le reste est bloqué et signalé.
Fenêtre temporelle courte
Durée limitéeLa permission dure quelques secondes. Une fois expirée, une nouvelle requête authentifiée est requise.
Journal de chaque accès
AuditNous enregistrons qui a demandé la carte, quand et depuis où. Journaux conservés pour les audits PCI.
Token réseau vs. Token PCI Proxy
Tous les tokens ne se valent pas. Le choix influe sur les obligations PCI, la liberté de changer de PSP et les canaux utilisables.
Réduction obligations PCI · token réseau
~30%
Réduction obligations PCI · PCI Proxy
jusqu'à 95%
Portabilité PSP
∞ PSP
| Dimension | Token réseau (Visa/MC) | Token PCI Proxy RECOMMANDÉ |
|---|---|---|
| Émis par | Réseaux de paiement (Visa, Mastercard) | PCI Proxy (indépendant) |
| Où il agit | Uniquement dans les transactions Visa/Mastercard | Dans vos systèmes : à la place du numéro de carte |
| Portabilité PSP | Dépend du réseau | Tout PSP |
| Réduit les obligations PCI | Peu | Beaucoup |
| Fonctionne par téléphone | Non | Oui |
| Stockage | Coffre du réseau | Coffre de votre choix (EU) |
Questions fréquentes
Tokenisation, chiffrement, coffre et changement de PSP : des réponses concises.
01 Quelle est la différence entre la tokenisation et le chiffrement ?
Avec le chiffrement, le numéro de carte reste dans vos systèmes : avec la bonne clé, il peut être récupéré. La tokenisation le remplace par un token aléatoire qui ne peut pas être inversé sans le coffre. Pour la norme PCI, les données chiffrées restent des données de carte ; les tokens bien mis en œuvre ne le sont pas.
02 Puis-je réutiliser les tokens avec différents prestataires de paiement ?
Avec les tokens gateway, vous restez lié à un seul PSP : si vous changez de prestataire, vous devez redemander la carte au client. Avec PCI Proxy, vous utilisez le même token avec n'importe quel processeur. Changez de prestataire sans perdre les cartes enregistrées.
03 Comment le coffre protège-t-il les données de carte stockées ?
La carte reste dans notre coffre certifié PCI DSS Niveau 1, chiffré et protégé. Seules les personnes disposant des accréditations appropriées peuvent la récupérer, et chaque accès est journalisé. Les données restent dans l'UE, surveillées 24h/24 et 7j/7.
Prêt à utiliser des tokens à la place des numéros de carte ?
Découvrez comment intégrer PCI Proxy dans vos flux de paiement, ou lisez comment il réduit vos obligations PCI.