Az előfizetéses üzleti modell kihívást jelent a PCI DSS megfelelőség szempontjából: a kártyaadatokat hosszú távon kell megőrizni az ismétlődő díjterhelésekhez, ami a legmagasabb szintű PCI DSS-kötelezettségeket vonja maga után. A card-on-file tokenizáció az egyetlen megközelítés, amely fenntartható és biztonságos megoldást nyújt.
Miért problémás a kártyaadat-tárolás előfizetéses modelleknél?
Az előfizetéses modelleknél a kereskedő az ügyfél hozzájárulásával tárolja a kártyaadatokat a jövőbeli díjterhelésekhez. A PCI DSS szempontjából ez azt jelenti, hogy a PAN-t (kártyaszámot) titkosítva kell tárolni, és az egész tárolási infrastruktúra a CDE (Cardholder Data Environment) hatálya alá kerül. Ez maga után vonja: a tárolt PAN-ok titkosítását (AES-256 vagy erősebb); az adatbázis-hozzáférés szigorú kontrolljait; rendszeres ASV-vizsgálatokat; esetleg teljes ROC-auditot.
Card-on-file tokenizáció: az előfizetéses megoldás
A card-on-file tokenizáció esetén: az ügyfél első kártyabevitelekor a PCI Proxy EU tokenizálja a PAN-t és visszaad egy tokent; a kereskedő rendszere csak a tokent tárolja; ismétlődő díjterhelésnél a kereskedő a tokennel hívja meg a PCI Proxy EU tranzakciós API-ját; a PCI Proxy EU detokenizálja a PAN-t és kezdeményezi a fizetést a PSP-nél. A kereskedő rendszereiben soha nem szerepel valódi PAN – a CDE nem tartalmaz PAN-t.
PSP-váltás tokenizált kártyaadatokkal
A card-on-file tokenizáció egyik kiemelkedő előnye a PSP-függetlenség. Ha a kereskedő PSP-t vált (pl. jobb díjak vagy funkciók miatt), a PCI Proxy EU vault-ban tárolt kártyaadatok nem vesznek el, és az új PSP-vel folytatódhat az ismétlődő díjterhelés. Ez az ún. fizetési adat-hordozhatóság – lényegesen csökkenti a PSP-függőséget és a váltási kockázatot.
Megfelelőségi szint előfizetéses tokenizációval
Card-on-file tokenizáció alkalmazásával a kereskedő PCI DSS-kötelezettsége: ha a frontend hosted fields-et használ és nincs PAN a backendben, SAQ A-ra vagy SAQ A-EP-re minősülhet; a PCI Proxy EU vault PCI DSS Level 1-es tanúsítvánnyal rendelkezik, ami az audit során felhasználható; az éves megfelelőségi folyamat lényegesen egyszerűbb és olcsóbb, mint saját kártyaadat-tárolással.
Card-on-file tokenizáció előfizetéses modellekhez
Implementálja a card-on-file tokenizációt biztonságos, PCI-megfelelő előfizetéses számlázáshoz. Szakértőink segítenek az architektúra tervezésében.
Konzultáljon szakértőnkkel