Elke Bedrijf, het eenAbonnementmodellbetreibt, van SaaS-Plattformen tot hin te Medienunternehmen, Fitnessstudios tot hin te E-Commerce-Abonnements----, befindet zich in het PCI-bereik, sobald terugkerende Kartenzahlungen beheert. De besondere Uitdaging bij de Abonnementabrechnung is niet de Eerste Betaling, sondern de Beheer de Karteninformationen voor Alle nachfolgenden Abrechnungszyklen: het berühmteCard on File. Wanneer Deze Gegevens niet korrekt via Tokenisatie beschermd zijn, wordt Elke Abrechnungszyklus te een PCI-Risico.
Waarom Elke, de Abonnements---- beheert, in het PCI-bereik is
Het Abonnementmodell vereist, dat het Bedrijf een Bezug naar de Kaart van de Klanten voor zukünftige Abbuchungen behält. Deze Bezug, sei een opgeslagen PAN in het Klartext, een van het PSP verwaltetes Token of een proprietäres internes Token, is de Kern van de PCI-Scopes voor Abonnementunternehmen. De Kombination uitPAN + Ablaufdatumnaar het Zweck de Abonnement-Beibehaltung reicht uit, om de CDE-Pflichten te aktivieren, ook wanneer het Bedrijf nooit een Volledige Kaufprozess direct beheert.
Viele Abonnementunternehmen glauben, dat u niet in de Bereik fallen, omdat u een PSP Hoe Stripe of Braintree gebruiken, de de Zahlungsverarbeitung übernimmt. Dies is teilweise wahr: Wanneer het Bedrijf het PSP Alle Kaartgegevens volledig überlässt en alleen een PSP-spezifisches Token (z.B. Stripe-Klanten-ID) beheert, is de directe PCI-bereik minimal. Het Probleem ontstaat, wanneer het Bedrijf De PSP wisselen, mehrere PSPs gebruiken of een eigenes proprietäres Abrechnungssystem entwickeln möchte, in deze Fall is een portables Card-on-File-Token unerlässlich.
Card-on-File-Tokenisatie voor Abonnements----
Card-on-File-Tokenisatie(CoF) betekent, dat de PAN van de Klanten beim Eerste Checkout via een dauerhaftes Token ersetzt wordt, het voor Alle nachfolgenden Abonnementzahlungen gebruikt worden kan, zonder dat de PAN ooit opnieuw angefordert worden moet. Het Token is veilig in een PCI DSS Level 1 gecertificeerde Vault opgeslagen en kan alleen van het Vault-Aanbieder (Hoe PCI Proxy EU) voor de Verwerking beim Acquirer aufgelöst worden.
Voor het Abonnementunternehmen betekent dies, dat het Billing-Systeem alleen Tokens beheert, geen PANs. De maandelijkse of jaarlijkse Abbuchungslogik kan in het CRM, de Subscription-Management-Plattform of in een proprietären Systeem geïmplementeerd worden, zonder ooit echte Kaartgegevens te berühren. Dies verkleint De PCI-bereik opSAQ AofSAQ D-Merchant(met drastisch reduziertem Bereik), u na Komplexität de Architektur.
Verbleibende Naleving-Pflichten voor Abonnementunternehmen
Ook met CoF-Tokenisatie verbleiben voor Abonnementunternehmen sommige Naleving-Pflichten:
- Transaktionsprotokollierung: Alle Abbuchungsereignisse moeten voor Rückverfolgungs- en Disputzwecke gelogd worden. Logs mogen geen PANs bevatten, alleen Tokens en Transaktionsreferenzen.
- Zugriffskontrollen: Alleen autorisiertes Personal mag op het Billing-Dashboard en de Zahlungsverwaltungssysteme toegang krijgen. MFA is voor Alle Benutzer met Toegang te sensitiven Funktionen obligatorisch.
- Vulnerability Management: Systemen, de Token verwalten, moeten regelmatig op Kwetsbaarheden gescannt worden, ook wanneer u geen PANs bevatten.
- Datentransparenz met Klanten: Onder de AVG moeten Abonnementunternehmen klar kommunizieren, Welke Betalingsgegevens opgeslagen worden en te welchen Zwecken. Tokenisatie erleichtert Deze Kommunikation.
Veelgestelde vragen
Kan ik denselben CoF-Token bij mehreren Acquirern gebruiken?
Ja, wanneer de Token van het Vault-Aanbieder aufgelöst wordt, om De PAN naar De gewünschten Acquirer weiterzuleiten. PCI Proxy EU-Token zijn acquirer-agnostisch: Het Token is een dauerhafter Identifier, de van het Vault in een Echtzeit-Routing-Entscheidung umgewandelt wordt. Dies is besonders wertvoll voor Bedrijf, de mehrere PSPs voor Routing-Optimierung of geografische Redundanz gebruiken.
Hoe migriere ik bestehende gespeicherte Kaartgegevens te een Token-Vault?
PCI Proxy EU biedt een veilige Datenmigrationsdienst: Bestehende PANs worden über een verschlüsselte en segmentierte Verbindung direct in de Vault übertragen, zonder de aktuellen Systemen van de Bedrijfs- te passeren. Op het Ende de Migratie zijn de Originaldaten in het Vault opgeslagen, en het Bedrijf ontvangt Token naar het Ersetzen de alten Referenties. De Migratie kan zonder Unterbrechung van de Abonnementdienstes of Neuerfassung van Kaartgegevens via Klanten erfolgen.
Wat passiert, wanneer een Kaart abläuft of neu ausgestellt wordt?
PCI Proxy EU ondersteunt de automatische Kartenaktualisierung über Card Account Updater (CAU)-Dienste, de van Visa en Mastercard bereitgestellt worden: Wanneer een Kaart abläuft of een Nieuwe ausgestellt wordt, wordt de Token automatisch met de Nieuwe Kaartgegevens verknüpft, zonder dat de Abonnent eingreifen moet. Dies verkleint Zahlungsfehler via verlopen Kaarten en verbessert de Bindung van Abonnenten.
Verwalten U een Abonnementmodell en möchten terugkerende Betalingen PCI-konform en zonder manuelle Kaarten-Updates verwalten?Ontdek PCI Proxy EU.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op