Wat is kaarttokenisatie?
Wij slaan het kaartnummer op in de PCI DSS-vault en geven u een token in plaats van het kaartnummer. Alleen dat verschijnt in uw systemen. Voor het volledige plaatje, zie wat is een PCI Proxy.
Wij tokeniseren Wat is kaarttokenisatie?
Het vervangt het kaartnummer door een token. Het ziet eruit als elke andere code: zelfs als iemand het ziet, kan hij de kaart niet afleiden. Het echte nummer blijft in onze vault, niet op uw servers.
Geen versleuteling
Bij versleuteling blijft het kaartnummer in uw systemen. Bij tokenisatie krijgt u een willekeurig token in de plaats. Het is zonder de vault niet terug te leiden.
Minder PCI-verplichtingen
Als uw systemen alleen het token bewaren, niet het kaartnummer, dalen de PCI-verplichtingen aanzienlijk. Velen gaan van honderden controles (SAQ D) naar enkele tientallen (SAQ A).
Werkt met elke PSP
Gebruik hetzelfde token voor abonnementen, terugbetalingen of het wisselen van verwerker. U hoeft de klant niet opnieuw om de kaart te vragen wanneer u van provider wisselt.
// 1. Klant voert kaart in
// 2. Alleen het token blijft in uw systemen
// 3. Kaartnummer: nooit op uw servers
PCI DSS
Level 1 gecertificeerd
AES-256
Versleutelde gegevens in vault
100% EU
Gegevens alleen in Europa
< 50ms
Gemiddelde API-respons
Drie soorten tokens vergeleken
Netwerktokens, gateway-tokens en PCI Proxy-tokens zijn niet hetzelfde. Ze verschillen in portabiliteit, PCI-verplichtingen en vrijheid om uw verwerker te kiezen.
| Kenmerk | Netwerktoken | Gateway-token | PCI Proxy Token AANBEVOLEN |
|---|---|---|---|
| Uitgegeven door | Schemes (Visa, Mastercard) | Uw PSP / gateway | PCI Proxy (onafhankelijk) |
| PSP-portabiliteit | Alleen scheme | Nee, vendor lock-in | Elke PSP |
| Automatische kaartupdates | Ja, automatische update | Gateway-afhankelijk | Yes |
| Vermindert PCI-verplichtingen | Weinig | Weinig | Veel |
| Werkt ook telefonisch | Alleen e-commerce | Alleen e-commerce | E-commerce, telefoon, API |
Hoe een token eruit kan zien
Het formaat hangt af van hoe u het in uw backoffice of database wilt gebruiken. Wij helpen u het juiste formaat te kiezen.
// Origineel kaartnummer
"4111 xxxx xxxx 1234"
// Token-output
"4111 8273 6540 1234"
↑ zelfde vorm, middelste cijfers gewijzigd
Zelfde vorm als het kaartnummer
Zelfde lengte als het kaartnummer. U kunt het opslaan in kolommen die u al gebruikt, zonder de database te wijzigen.
// Origineel kaartnummer
"5412 7512 3456 7890"
// Token-output
"tok_eu_a3f9b2c14d8e"
↑ prefix + willekeurige string
Willekeurige code
Strings zoals tok_eu_ zonder link met het kaartnummer. Moeilijker om patronen te zien of iets te raden.
// Origineel kaartnummer (19 cijfers)
"3714 496353 98431"
// Eerste cijfers voor het scheme
"3714 4963 7f2a 9c1b 8e4d"
↑ Visa of Mastercard herkenbaar, rest is willekeurig
Eerste cijfers voor het scheme
Behoud de eerste cijfers om Visa, Mastercard en vergelijkbaar te identificeren. De rest is willekeurig en veilig.
Waar wij de kaart veilig bewaren
Hier slaan wij de koppeling tussen token en kaartnummer op. Deze is geïsoleerd, versleuteld en PCI DSS Level 1 gecertificeerd. U beheert het niet, wij wel.
Laag 1
Netwerksegmentatie
Apart netwerk van de rest. Geen directe internettoegang. Kleinere aanvalsoppervlakte.
Laag 2
Versleutelde gegevens at rest
Elk kaartnummer wordt versleuteld vóór opslag. Sleutels blijven in dedicated hardware, nooit in platte tekst blootgesteld.
Laag 3
Beschermde sleutels
Automatische sleutelrotatie. Toegang alleen voor wie het echt nodig heeft, met dual control.
Laag 4
Gelogde toegang
Elke vault-operatie wordt gelogd: wie, wanneer, vanwaar. Onveranderlijke logs voor PCI-audits.
Gegevens alleen in de EU
Alles blijft in Europese datacenters. Kaartgegevens verlaten de Europese Unie nooit. AVG-naleving en vereisten van Europese banken.
Hetzelfde token bij elke verwerker
Onze tokens zijn niet gebonden aan Stripe, Adyen of Nexi. Gebruik ze met wie u wilt, wanneer u wilt.
1 Token
Eén token, alle verwerkers die u nodig heeft
∞
Ondersteunde PSP's
0
Kaarten opnieuw verzamelen
100%
Portabiliteit
Wissel van PSP zonder opnieuw om de kaart te vragen
Geen onderbrekingStap over naar een andere verwerker voor betere kosten of tarieven: tokens blijven geldig. U verliest geen opgeslagen kaarten.
Meerdere verwerkers, één token
RoutingStuur de betaling naar de PSP van uw keuze per regio of scheme. Wij halen het kaartnummer alleen op bij betaling.
Abonnementen en terugkerende betalingen
Kaart bijgewerktBewaar het token bij de eerste betaling en hergebruik het elke maand. Zelfs als de kaart opnieuw wordt uitgegeven, blijft het token geldig.
Terugbetalingen en chargebacks
TrackingGebruik hetzelfde token voor terugbetaling, ook als de oorspronkelijke betaling via een andere PSP liep. Alles gelogd voor audits en geschillen.
Wanneer u het kaartnummer nodig heeft
Alleen geautoriseerde partijen kunnen de kaart uit de vault ophalen, en alleen wanneer dat echt nodig is. Elke toegang wordt gelogd.
4
Actieve lagen
0
Ongeautoriseerde toegang
Rolgebaseerde rechten
Minimale rechtenAlleen API-sleutels met expliciete rechten kunnen het kaartnummer ophalen. Geen standaardtoegang.
Alleen goedgekeurde IP's
NetwerkVerzoeken alleen vanaf adressen die u heeft geautoriseerd. Al het andere wordt geblokkeerd en gemarkeerd.
Kort tijdvenster
TijdsbeperktToestemming geldt enkele seconden. Na verloop is een nieuw geauthenticeerd verzoek vereist.
Log van elke toegang
AuditWij registreren wie de kaart aanvroeg, wanneer en vanwaar. Logs bewaard voor PCI-audits.
Netwerktoken vs PCI Proxy-token
Niet alle tokens zijn gelijk. De keuze beïnvloedt PCI-verplichtingen, vrijheid om van PSP te wisselen en kanalen die u kunt gebruiken.
Minder PCI-verplichtingen · netwerktoken
~30%
Minder PCI-verplichtingen · PCI Proxy
tot 95%
PSP-portabiliteit
∞ PSPs
| Dimensie | Netwerktoken (Visa/MC) | PCI Proxy Token AANBEVOLEN |
|---|---|---|
| Uitgegeven door | Betalingschemes (Visa, Mastercard) | PCI Proxy (onafhankelijk) |
| Waar het werkt | Alleen bij Visa/Mastercard-transacties | In uw systemen: in plaats van het kaartnummer |
| PSP-portabiliteit | Scheme-afhankelijk | Elke PSP |
| Vermindert PCI-verplichtingen | Weinig | Veel |
| Werkt telefonisch | No | Yes |
| Opslag | Scheme-vault | Vault naar keuze (EU) |
Veelgestelde vragen
Tokenisatie, versleuteling, vault en PSP-wissel: korte antwoorden.
01 Wat is het verschil tussen tokenisatie en versleuteling?
Bij versleuteling blijft het kaartnummer in uw systemen: met de juiste sleutel is het te herstellen. Tokenisatie vervangt het door een willekeurig token dat zonder de vault niet terug te leiden is. Voor PCI gelden versleutelde gegevens nog steeds als kaartgegevens; goed geïmplementeerde tokens niet.
02 Kan ik tokens hergebruiken bij verschillende PSP's?
Met gateway-tokens bent u gebonden aan één PSP: als u van provider wisselt, moet u de klant opnieuw om de kaart vragen. Met PCI Proxy gebruikt u hetzelfde token bij elke verwerker. Wissel van provider zonder opgeslagen kaarten te verliezen.
03 Hoe beschermt de vault opgeslagen kaartgegevens?
De kaart blijft in onze PCI DSS Level 1 gecertificeerde vault, versleuteld en beschermd. Alleen wie de juiste credentials heeft kan deze ophalen, en elke toegang wordt gelogd. Gegevens blijven in de EU, 24/7 gemonitord.
Klaar om tokens te gebruiken in plaats van het kaartnummer?
Ontdek hoe u PCI Proxy in uw betalingsflows integreert, of lees hoe het PCI-verplichtingen vermindert.