Az előfizetéses üzleti modell egyre elterjedtebb Európában – a streaming szolgáltatásoktól a SaaS-platformokon át a hagyományos időszakos kézbesítési szolgáltatásokig. Mindegyik esetben az üzleti modell egy kulcselemre épül: az ügyfél kártyaadatainak card-on-file tárolására és ismétlődő terhelésre. Ez a kártyaadatkezelés különleges PCI DSS-kötelezettségeket von maga után.
Miért kerül az előfizetéses modell a PCI DSS hatókörébe?
Minden előfizetéses vállalkozás, amely kártyás fizetést fogad el, a PCI DSS hatálya alá esik – függetlenül a mérettől. Az ismétlődő számlázás esetén az ügyfél nem végez el minden egyes tranzakciónál hitelesítést; a kereskedőnek kártyaadatokat kell tárolnia vagy megbíznia egy harmadik félt ezek tárolásával. Ez a tárolási kötelezettség azonnal bevon a PCI DSS hatókörébe. Az SA Q (Self-Assessment Questionnaire) típusa az alkalmazott technológiától függ.
Card-on-file PCI DSS-kötelezettségek
A card-on-file tranzakciókra vonatkozó PCI DSS-követelmények: a PAN-t titkosítva kell tárolni (AES-256 vagy hasonló); a PAN tárolható legsúlyosabb formátuma a maszkolt PAN (az első hat és az utolsó négy számjegy megjelenítve); a teljes, titkosítatlan PAN tárolása kötelező elemzési, visszatérítési vagy ismétlődő számlázási célokra – ez PCI DSS hatóköri kiterjesztést jelent; a törlesztési folyamathoz dekódolni kell a PAN-t, ami szintén PCI DSS hatókörbe vonja a rendszert. A tokenizáció eliminálja ezeket a problémákat.
Megoldás: card-on-file tokenizáció a PCI Proxy EU-val
A card-on-file tokenizáció folyamata a PCI Proxy EU-val: az ügyfél egyszer adja meg kártyaadatait a PCI Proxy EU hosted fields-en keresztül; a vault tokenizálja a PAN-t, és tokent ad vissza a kereskedőnek; a kereskedő a tokent tárolja – nem a PAN-t; minden ismétlődő terhelelésnél a kereskedő a tokennel hívja meg a PCI Proxy EU API-ját; a PCI Proxy EU detokenizálja a PAN-t, és biztonságosan továbbítja a PSP-nek. A kereskedő rendszerei soha nem látják a valódi PAN-t.
Milyen SAQ vonatkozik az előfizetéses modellre?
A tokenizáció bevezetése után: ha a kereskedő hosted fields megoldást használ és tokenizációval dolgozik, SAQ A-re jogosulhat; ha a kártyaadat-bevitelt a kereskedő saját szervere kezeli (pl. mobil alkalmazás közvetlen API-hívással), SAQ A-EP vagy SAQ D szükséges. Az SAQ meghatározásához elengedhetetlen egy hatókörelemzés elvégzése az integrációs architektúra alapján.
Biztonságos card-on-file tokenizáció előfizetéses vállalkozásának
A PCI Proxy EU lehetővé teszi az ismétlődő számlázást anélkül, hogy PAN-adatokat kellene tárolnia. Lépjen kapcsolatba velünk.
Konzultáljon szakértőnkkel