La card on file tokenization è il metodo con cui i dati carta di un cliente vengono sostituiti da un token riutilizzabile per addebiti futuri, senza che il PAN reale venga mai conservato nei sistemi del merchant. Per chi gestisce abbonamenti, piani ricorrenti o pagamenti su autorizzazione, questa tecnologia non è un'opzione: è il modo per restare conformi al PCI DSS senza costruire un vault interno. I rischi dell'archiviazione diretta dei dati carta sono troppo alti e gli adempimenti troppo onerosi per giustificare qualsiasi alternativa.
Cosa significa "card on file" e perché è rischiosa
Un dato carta è definito "card on file" quando viene conservato con l'intenzione di essere riutilizzato per transazioni future senza che il titolare debba reinserire i propri dati. Questo scenario è tipico dei servizi in abbonamento, delle piattaforme SaaS, degli ecommerce con opzione di pagamento rapido e dei marketplace che fatturano ricorrentemente. Dal punto di vista PCI DSS, archiviare un PAN anche per un solo secondo dopo l'autorizzazione trasforma il sistema in un componente del CDE soggetto a tutti i requisiti di sicurezza.
I rischi concreti dell'archiviazione diretta sono due: il rischio tecnico di un breach che espone migliaia o milioni di numeri di carta, e il rischio di compliance che si traduce in sanzioni, costi di forensics e possibile perdita della capacità di processare pagamenti. Nessun vantaggio operativo giustifica tenere i PAN nei propri database quando esistono alternative sicure e certificate.
Come funziona la tokenizzazione per i pagamenti ricorrenti
Nel modello di card on file tokenization, il flusso funziona in questo modo: il cliente inserisce i dati carta una sola volta attraverso un form sicuro o una pagina hosted certificata PCI DSS. Quei dati vengono inviati direttamente al vault del provider di tokenizzazione, che restituisce al merchant un token univoco e persistente. Da quel momento, il merchant utilizza solo il token per richiedere addebiti futuri: il vault recupera il PAN reale, lo invia al circuito e restituisce solo la risposta di autorizzazione.
Il token può essere configurato per essere valido per un periodo specifico, legato a un singolo merchant o a un singolo importo massimo. Questa granularità permette di costruire architetture di pagamento ricorrente flessibili senza mai esporre i dati carta nei propri sistemi. Il vault di PCI Proxy EU gestisce questa logica con API standard, compatibili con i principali PSP europei.
Obblighi PCI DSS per chi archivia dati carta
Chi archivia PAN deve soddisfare tutti i 12 requisiti PCI DSS nel loro perimetro completo. Questo include la cifratura dei dati a riposo con chiavi gestite separatamente, il controllo degli accessi granulare, il logging completo di ogni operazione sui dati carta, il vulnerability scanning trimestrale e il penetration test annuale sull'intero CDE. Per una PMI, questo si traduce in costi di compliance che possono superare i 30.000 euro l'anno.
Con la card on file tokenization, il merchant esce dal perimetro di storage dei PAN. Rimangono in scope solo i sistemi che trasmettono i token e ricevono le risposte di autorizzazione, che sono molto meno critici dal punto di vista PCI DSS. Il risultato è un perimetro ridotto, un SAQ più semplice e costi di compliance significativamente inferiori.
Domande frequenti
La card on file tokenization è diversa dalla crittografia?
Sì. La crittografia trasforma il PAN in un dato cifrato che può essere decifrato con la chiave corretta: il rischio rimane nel sistema che gestisce le chiavi. La tokenizzazione sostituisce il PAN con un valore casuale senza relazione matematica con il dato originale: anche se il token viene intercettato, non è possibile risalire al PAN senza accedere al vault.
Con i token posso comunque addebitare il cliente in futuro?
Sì. Il token è persistente e riutilizzabile per tutti gli addebiti futuri autorizzati. Il merchant invia al vault il token insieme all'importo e alle istruzioni di addebito; il vault esegue la transazione con il PAN reale e restituisce solo la risposta di autorizzazione. Il cliente non deve reinserire i dati carta per nessun addebito successivo al primo.
Cosa succede se il mio PSP fallisce o cambio provider?
Con PCI Proxy EU, il vault è indipendente dal PSP: i token sono portabili e possono essere utilizzati con qualsiasi acquirer supportato. Se cambi provider di pagamento, non devi chiedere ai clienti di reinserire i dati carta. Questo è uno dei vantaggi chiave di un vault agnostico rispetto ai token proprietari dei singoli PSP.
Gestisci abbonamenti o pagamenti ricorrenti e vuoi eliminare i PAN dalla tua infrastruttura? Scopri PCI Proxy EU.