Tokenizzazione

Cos'è la tokenizzazione delle carte?

Conserviamo il numero della carta nel vault PCI DSS e ti emettiamo un token al posto del numero carta. Solo quello appare nei tuoi sistemi. Per il quadro completo, leggi cos'è un PCI Proxy.

Cos'è

Cos'è la tokenizzazione delle carte?

Sostituisce il numero della carta con un token. Sembra qualsiasi altro codice: anche se qualcuno lo vede, non può risalire alla carta. Il numero reale rimane nel nostro vault, non sui tuoi server.

Non è cifratura

Con la cifratura il numero della carta rimane nei tuoi sistemi. Con la tokenizzazione ricevi un token casuale al suo posto. Non può essere invertito senza il vault.

Meno obblighi PCI

Se i tuoi sistemi contengono solo il token e non il numero della carta, gli obblighi PCI diminuiscono significativamente. Molti passano da centinaia di controlli (SAQ D) a qualche decina (SAQ A).

Funziona con qualsiasi PSP

Usa lo stesso token per abbonamenti, rimborsi o cambio di processore. Non devi chiedere nuovamente la carta al cliente quando cambi provider.

tokenization-flow.json

// 1. Il cliente inserisce la carta

4111 1111 1111 1234
PCI Proxy Vault · custodia certificata

// 2. Solo il token rimane nei tuoi sistemi

tok_eu_9f8e7d6c5b4a1234

// 3. Numero carta: mai sui tuoi server

Vault cifrato · Solo UE · accesso registrato

PCI DSS

Certificato Level 1

AES-256

Dati cifrati nel vault

100% UE

Dati solo in Europa

< 50ms

Risposta API media

Confronto

Tre tipi di token a confronto

Token di rete, token gateway e token PCI Proxy non sono la stessa cosa. Differiscono per portabilità, obblighi PCI e libertà di scegliere il processore.

Caratteristica Token di rete Token gateway Token PCI Proxy RECOMMENDED
Emesso da Circuiti (Visa, Mastercard) Il tuo PSP / gateway PCI Proxy (indipendente)
Portabilità PSP Solo nel circuito No, vendor lock-in Qualsiasi PSP
Aggiornamento automatico carta Sì, automatico Dipende dal gateway
Riduce obblighi PCI Poco Poco Molto
Funziona anche per telefono Solo e-commerce Solo e-commerce E-commerce, telefono, API
Formati token

Come può apparire un token

Il formato dipende da come vuoi utilizzarlo nel tuo back office o database. Ti aiutiamo a scegliere quello giusto.

format-preserving

// Numero carta originale

"4111 xxxx xxxx 1234"

// Output token

"4111 8273 6540 1234"

↑ stessa forma, cifre centrali cambiate

Stessa forma del numero carta

Stessa lunghezza del numero della carta. Puoi memorizzarlo nelle colonne già esistenti, senza modificare il database.

random-opaque

// Numero carta originale

"5412 7512 3456 7890"

// Output token

"tok_eu_a3f9b2c14d8e"

↑ prefisso + stringa casuale

Codice casuale

Stringhe come tok_eu_ senza alcun collegamento al numero carta. Più difficile individuare pattern o indovinare qualcosa.

bin-retention

// Numero carta originale (19 cifre)

"3714 496353 98431"

// Cifre iniziali per il circuito

"3714 4963 7f2a 9c1b 8e4d"

↑ Visa o Mastercard riconoscibili, resto casuale

Cifre iniziali per il circuito

Mantieni le prime cifre per identificare Visa, Mastercard e simili. Il resto è casuale e sicuro.

Il vault

Dove teniamo la carta al sicuro

Qui conserviamo la mappatura tra token e numero carta. È isolato, cifrato e certificato PCI DSS Level 1. Non lo gestisci tu — lo gestiamo noi.

PCI DSS Level 1 Certified Environment
EU Only

Layer 1

Segmentazione di rete

Rete separata dal resto. Nessun accesso diretto a Internet. Superficie di attacco ridotta.

Layer 2

Dati cifrati a riposo

Ogni numero carta viene cifrato prima dell'archiviazione. Le chiavi restano in hardware dedicato, mai esposte in chiaro.

Layer 3

Chiavi protette

Rotazione automatica delle chiavi. Accesso solo per chi ne ha davvero bisogno, con doppio controllo.

Layer 4

Accesso tracciato

Ogni operazione nel vault viene registrata: chi, quando, da dove. Log immutabili per gli audit PCI.

Dati solo nell'UE

Tutto rimane nei data center europei. I dati della carta non lasciano mai l'Unione Europea. Conformità GDPR e requisiti delle banche europee.

GDPR ISO 27001 ISO 9001 DORA
Portabilità PSP

Lo stesso token con qualsiasi processore

I nostri token non sono legati a Stripe, Adyen o Nexi. Usali con chi vuoi, quando vuoi.

1 Token

Un token, tutti i processori di cui hai bisogno

PSP supportati

0

Carte da raccogliere

100%

Portabilità

Cambia PSP senza richiedere la carta

Zero interruzioni

Passa a un altro processore per costi o tariffe migliori: i token restano validi. Non perdi le carte salvate.

Più processori, un token

Routing

Invia il pagamento al PSP preferito per regione o circuito. Recuperiamo il numero carta solo al momento del pagamento.

Abbonamenti e pagamenti ricorrenti

Carta aggiornata

Salva il token al primo pagamento e riusalo ogni mese. Anche se la carta viene riemessa, il token resta valido.

Rimborsi e chargeback

Tracciamento

Usa lo stesso token per il rimborso, anche se il pagamento originale era su un altro PSP. Tutto registrato per audit e controversie.

Sicurezza

Quando hai bisogno del numero carta

Solo le parti autorizzate possono recuperare la carta dal vault, e solo quando è davvero necessario. Ogni accesso viene registrato.

4

Livelli attivi

0

Accessi non autorizzati

Permessi basati sui ruoli

Privilegio minimo

Solo le chiavi API con permesso esplicito possono recuperare il numero carta. Nessun accesso predefinito.

Solo IP approvati

Rete

Richieste solo dagli indirizzi che hai autorizzato. Tutto il resto viene bloccato e segnalato.

Finestra temporale breve

Limitato nel tempo

Il permesso dura pochi secondi. Una volta scaduto è necessaria una nuova richiesta autenticata.

Log di ogni accesso

Audit

Registriamo chi ha richiesto la carta, quando e da dove. Log conservati per gli audit PCI.

Confronto diretto

Token di rete vs Token PCI Proxy

Non tutti i token sono uguali. La scelta influisce sugli obblighi PCI, sulla libertà di cambiare PSP e sui canali utilizzabili.

Meno obblighi PCI · token di rete

~30%

PCI PROXY

Meno obblighi PCI · PCI Proxy

fino al 95%

Portabilità PSP

∞ PSP

Dimensione Token di rete (Visa/MC) Token PCI Proxy RECOMMENDED
Emesso da Circuiti di pagamento (Visa, Mastercard) PCI Proxy (indipendente)
Dove agisce Solo nelle transazioni Visa/Mastercard Nei tuoi sistemi: al posto del numero carta
Portabilità PSP Dipendente dal circuito Qualsiasi PSP
Riduce obblighi PCI Poco Molto
Funziona per telefono No
Archiviazione Vault del circuito Vault a tua scelta (UE)
FAQ

Domande frequenti

Tokenizzazione, cifratura, vault e cambio PSP: risposte brevi.

01 Qual è la differenza tra tokenizzazione e cifratura?

Con la cifratura il numero della carta rimane nei tuoi sistemi: con la chiave giusta può essere recuperato. La tokenizzazione lo sostituisce con un token casuale che non può essere invertito senza il vault. Per il PCI, i dati cifrati sono ancora dati della carta; i token ben implementati non lo sono.

02 Posso riutilizzare i token con diversi PSP?

Con i token gateway rimani legato a un singolo PSP: se cambi provider devi chiedere nuovamente la carta al cliente. Con PCI Proxy usi lo stesso token con qualsiasi processore. Cambia provider senza perdere le carte salvate.

03 Come protegge il vault i dati della carta memorizzati?

La carta rimane nel nostro vault certificato PCI DSS Level 1, cifrata e protetta. Solo chi ha le credenziali giuste può recuperarla e ogni accesso viene registrato. I dati rimangono nell'UE, monitorati 24/7.

PCI DSS Level 1 Vault cifrato Qualsiasi PSP Dati nell'UE

Pronto a usare i token al posto del numero carta?

Scopri come integrare PCI Proxy nei tuoi flussi di pagamento, o leggi come riduce gli obblighi PCI.

Newsletter

Resta aggiornato su PCI DSS e compliance dei pagamenti

Digest mensile per merchant, fintech e PSP europei. Niente spam — disiscrizione in qualsiasi momento.