Hogyan működik a PCI Proxy
Elküldi nekünk a kártyaadatokat. Mi tokenizáljuk, PCI DSS vault-ban tároljuk és tokent adunk vissza. Az Ön rendszerei soha nem kapják meg a kártyaszámot.
Ön küld
Mi tároljuk
PCI DSS · EU Itt titkosítva Ön kap
Folyamat 5 lépésben
Attól a pillanattól, hogy az ügyfél megadja a kártyaadatokat, egészen a back office-ban tárolt tokenig: itt lépésről lépésre láthatja, mi történik.
Kártyaadatok belépnek
Webes pénztár, API-hívás vagy call center-űrlap
PCI Proxy elfogja
Fogadjuk a kártyaadatokat a HTTP-csomagból, mielőtt elérnék a szervereit
Tokenizáció
Titkosítjuk a kártyaszámot és egyedi tokent generálunk
Biztonságos vault
A kártyaszám titkosítva marad a PCI DSS 1. szintű vault-unkban, kizárólag az EU-ban
Token Önhöz
Megkapja a tokent, amelyet fizetésekhez, előfizetésekhez vagy visszatérítésekhez használhat
Mi történik a tokenizáció során
A kártyaszámot tokenre cseréljük. Az Ön rendszereiben soha nem jelenik meg a kártyaszám tiszta szövegként. Íme a három belső lépés.
Lépés
Felismerjük a kártyaadatokat
Elemezzük a bejövő kéréseket és azonosítjuk a kártyaszámokat JSON-ban, űrlapokban vagy multipart csomagokban. Kódmódosítás nélkül: csatlakoztatja a folyamatát, és kész.
Lépés
Létrehozzuk a tokent
Minden token tok_pci_eu_ előtaggal kezdődik, és tartalmazza az utolsó négy számjegyet, a kártya típusát és a lejárat dátumát. Így a felülete megjelenítheti a „Visa, végső 4 számjegy: 1234" szöveget a kártyaszám tárolása nélkül.
Lépés
Ugyanaz a token, ugyanaz a kártya
Ha ugyanaz a kártya ismét megjelenik, ugyanazt a tokent adjuk vissza. Hasznos előfizetéseknél és mentett kártyáknál. A leképezés kizárólag a vault-ban marad és nem érhető el API-n keresztül.
→ POST /v1/tokenize
{
"card_number": "4111 1111 1111 1234",
"expiry": "12/26"
}
← 200 OK · 47ms
{
"token": "tok_pci_eu_a1b2c3d4e5f61234",
"last_four": "1234",
"brand": "visa",
"card_in_your_systems": false
}
Mikor szükséges a kártyaszám
A fizetés engedélyezéséhez a PSP-nek szüksége van a tényleges kártyaszámra. Elküldi a tokent: mi lekérjük a kártyát a vault-ból és biztonságosan továbbítjuk. Ön soha nem látja.
Mikor kerül rá sor
Ha egy mentett kártyát szeretne megterhelni, küldje el a tokent a forward végpontunkra. Megoldjuk a kártyaszámot a vault-ban és titkosított kapcsolaton keresztül továbbítjuk a PSP-nek. A szám nem jelenik meg a naplóiban.
Ki teheti meg
Kizárólag a forward vagy detokenize jogosultsággal rendelkező API-kulcsok. Korlátozhatja a hozzáférést IP-cím, környezet és kérési mennyiség szerint.
Teljes körű naplózás
Minden lekérés naplózott: ki kezdeményezte, mikor és melyik PSP-nek. A naplók legalább 12 hónapig megőrződnek és elérhetők az irányítópultról vagy API-n keresztül.
Védelmi rétegek
Minden kérés hitelesítve
Csak a jóváhagyott szervereiről
TLS ellenőrzött tanúsítványokkal
Legalább 12 hónapig megőrizve
Két végpont, áttekinthető folyamat
Hitelesítés API-kulccsal. Egy végpont létrehozza a tokent, a másik felhasználja fizetéshez. JSON a bemeneten, JSON a kimeneten.
/v1/tokenize Hatókör: tokenize Kérés törzse
{ "card_number": "4111111111111111", "expiry": "12/26", "cvv": "123" }
200 OK válasz
{ "token": "tok_pci_eu_a1b2c3d4e5f6", "last_four": "1111", "brand": "visa", "expires_at": "2026-12-31" }
/v1/forward Hatókör: forward Kérés törzse
{ "token": "tok_pci_eu_a1b2c3d4e5f6", "target_url": "https://psp.eu/charge", "amount": 9900, "currency": "EUR" }
Válasz (PSP-től, proxyn keresztül)
{ "status": "authorized", "transaction_id": "txn_9f8e7d6c", "amount": 9900, "currency": "EUR" }
Webhookok és értesítések
Ha valami történik (token létrehozva, fizetés elküldve, hiba), valós idejű eseményt küldünk a végpontjára. Minden üzenet aláírt, így szerver oldalon ellenőrizheti.
Ha a kézbesítés nem sikerül, legfeljebb 5-ször próbálkozunk újra növekvő időközökkel. Az irányítópultról 72 órán belül kézzel is visszajátszhatja az eseményt.
Támogatott eseménytípusok
token.created Új token generálva token.used Token elküldve a PSP-nek token.expired Token elérte a TTL-jét token.deleted Token kérésre törölve forward.success PSP 2xx-t adott vissza forward.failure PSP hibát adott vissza Webhook-csomag példa
az-on-szervere.hu/webhooks/pci ÉLŐ
{
"event": "token.created",
"timestamp": "2026-04-03T10:15:30Z",
"data": {
"token": "tok_pci_eu_a1b2c3d4e5f6",
"last_four": "1111",
"brand": "visa",
"merchant_id": "mrc_xyz789"
},
"signature": "sha256=4a8b9c..." // HMAC-SHA256
}Aláírás ellenőrzése
Minden webhook tartalmaz egy X-PCI-Signature fejlécet. Számítsa ki a tartalom HMAC-SHA256 értékét a titkával, és hasonlítsa össze az aláírással. Ha nem egyeznek, utasítsa el a kérést.
SDK-k és integrációs módszerek
SDK Node-hoz, Pythonhoz és PHP-hoz, vagy Hosted Fields iFrame-ben. Válassza a technikai stackjéhez illő megoldást.
JavaScript SDK
npmimport PCIProxy from '@pci-proxy-eu/js';
const pci = new PCIProxy({
merchantId: 'mrc_xyz789'
});
const { token } = await pci.tokenize({
cardNumber: '4111...'
});Python SDK
PyPIfrom pci_proxy_eu import Client
client = Client(
merchant_id="mrc_xyz789",
api_key="sk_live_..."
)
result = client.tokenize(
card_number="4111..."
)PHP SDK
Composeruse PCIProxyEU\Client;
$client = new Client(
merchantId: 'mrc_xyz789',
apiKey: 'sk_live_...'
);
$result = $client->tokenize([
'card_number' => '4111...'
]);Biztonságos iFrame a fizetési oldalhoz
SAQ A megtartásához: a kártya mezőit a mi iFrame-ünkben jelenítjük meg. A kártyaadatok soha nem haladnak át a DOM-ján.
<div id="card-number"></div>
<div id="card-expiry"></div>
<div id="card-cvv"></div>
<script>
PCIProxy.hostedFields({
merchantId: 'mrc_xyz789',
fields: {
cardNumber: '#card-number',
expiry: '#card-expiry',
cvv: '#card-cvv'
},
onTokenize: (result) => {
// csak token, soha nem kártyaszám
console.log(result.token);
}
});
</script>Fizetési adatok
Kártyaadatok soha nem az Ön szerverén
SAQ A
Kisebb PCI hatókör
CSS
Testreszabható stílus
Mobile
Reszponzív
Készen áll az integrációra?
Ismerje meg a PCI Proxy-t, tudjon meg többet a tokenizációról, vagy nézze meg, hogyan használják a fejlesztők a platformot.