Un secure card storage basato su cloud è la base di qualsiasi architettura di pagamento moderna che voglia ridurre il rischio di data breach e il perimetro PCI DSS. Il card vault è il componente che riceve, cifra e custodisce i dati delle carte di pagamento, restituendo in cambio un token opaco. Capire come funziona tecnicamente, quali certificazioni richiede e perché costruirselo internamente è quasi sempre la scelta sbagliata aiuta a prendere decisioni architetturali più solide.
Cos'è un card vault e come funziona tecnicamente
Un card vault è un sistema sicuro per memorizzare i PAN (Primary Account Number) e i dati sensibili associati alle carte di pagamento. Il flusso tecnico di base prevede che il numero carta venga trasmesso direttamente al vault tramite API HTTPS, cifrato con chiavi crittografiche gestite in un HSM (Hardware Security Module), e sostituito da un token che viene restituito al chiamante. Il token ha la stessa lunghezza e formato di un PAN, ma non contiene dati reali e non può essere usato per transazioni senza passare attraverso il vault.
Internamente, il vault mantiene la mappatura token-PAN in un database cifrato con accessi estremamente limitati. Ogni richiesta di de-tokenizzazione, ovvero di recupero del PAN originale, viene registrata con timestamp, IP sorgente e identità del chiamante. Il sistema di audit trail è obbligatorio per la compliance PCI DSS e deve essere immutabile: nessun operatore, neanche con privilegi amministrativi, può cancellare i log delle operazioni sul vault.
Le certificazioni necessarie: PCI DSS Level 1, HSM, FIPS 140-2
Un vault destinato alla produzione deve essere certificato PCI DSS Level 1, il livello più alto dello standard, che richiede un audit annuale condotto da un QSA indipendente e un penetration test semestrale. La certificazione Level 1 non si ottiene compilando un questionario: richiede un'analisi approfondita di tutti i controlli tecnici e organizzativi, dalla gestione delle chiavi crittografiche alla sicurezza fisica dei data center.
Le chiavi crittografiche devono essere gestite con HSM certificati FIPS 140-2 Level 3 o superiore. Questo significa che le chiavi non escono mai dall'hardware in forma leggibile, anche in caso di compromissione del software applicativo. La certificazione FIPS 140-2 garantisce che l'hardware sia stato validato da un laboratorio accreditato NIST per resistere ad attacchi fisici e logici. Senza un HSM certificato, un vault non può ottenere la certificazione PCI DSS Level 1.
Vault interno vs vault as a service: il confronto reale
Costruire un card vault interno richiede un investimento iniziale che raramente scende sotto i 200.000-500.000 euro considerando hardware HSM, infrastruttura ridondante, sviluppo del sistema di tokenizzazione, audit iniziale e formazione del team. A questo si aggiunge un costo operativo annuale di 50.000-150.000 euro per il mantenimento della certificazione, i penetration test, la gestione delle chiavi e il personale dedicato. Per un merchant con volumi medi, il ROI di questa scelta non si raggiunge mai.
Un vault as a service come quello di PCI Proxy EU trasferisce tutti questi costi e responsabilità al provider. Il merchant paga in base ai volumi di transazione, ottiene da subito la copertura della certificazione PCI DSS Level 1 del provider, e non deve gestire infrastruttura né personale specializzato. La portabilità dei token garantisce che, se in futuro si decide di cambiare provider, i dati carta rimangono accessibili senza dover ripetere la raccolta delle informazioni agli utenti.
Domande frequenti
Un card vault cloud è sicuro quanto uno on-premise?
Se il provider cloud ha le certificazioni corrette (PCI DSS Level 1, ISO 27001, SOC 2 Type II), il livello di sicurezza è equivalente o superiore a quello di un vault on-premise gestito internamente. La maggior parte delle aziende non ha le risorse per mantenere i controlli fisici, la ridondanza e il personale specializzato che i provider cloud dedicano alla sicurezza infrastrutturale.
Il mio PSP attuale offre un vault portabile?
La maggior parte dei PSP offre un vault proprietario i cui token sono validi solo sulla propria piattaforma. Questo crea un vendor lock-in: se vuoi cambiare PSP, devi raccogliere di nuovo i dati carta di tutti i tuoi clienti. Un vault processor-agnostic come quello di PCI Proxy EU genera token utilizzabili con qualsiasi PSP, eliminando questo vincolo.
Quanto costa costruire un card vault interno?
Il costo di implementazione parte da circa 200.000 euro per un'infrastruttura minimale certificabile, con costi operativi annuali tra 50.000 e 150.000 euro. A questi vanno aggiunti i costi del personale specializzato, degli audit QSA, dei penetration test e del mantenimento della certificazione. Per la maggior parte delle aziende, il vault as a service è economicamente vantaggioso già dal primo anno.
Vuoi un card vault certificato PCI DSS Level 1 senza gestire infrastruttura e senza lock-in sul PSP? Scopri PCI Proxy EU.