Modele subskrypcyjne są dominującym trendem w europejskim e-commerce: SaaS, media strumieniowe, pudełka subskrypcyjne, oprogramowanie B2B – wszystkie wymagają cyklicznego obciążania kart klientów. Każda z tych organizacji jest w zakresie PCI DSS i musi prawidłowo zarządzać danymi kart. Tokenizacja card-on-file jest de facto standardem dla bezpiecznego zarządzania płatnościami cyklicznymi.
Dlaczego subskrypcje tworzą specjalne wyzwanie PCI DSS
W modelu subskrypcyjnym organizacja musi przechowywać odniesienie do danych karty klienta, aby móc inicjować kolejne płatności bez ponownego angażowania klienta. Tradycyjne przechowywanie numerów PAN w bazie danych tworzy rozległy i kosztowny zakres PCI DSS. Tokenizacja card-on-file rozwiązuje ten problem: zamiast PAN, baza danych przechowuje token – identyfikator, który dla organizacji oznacza tę samą kartę, ale dla złodzieja nie ma żadnej wartości.
Token card-on-file w praktyce
Podczas pierwszej transakcji klienta (rejestracja subskrypcji lub pierwszy zakup), dane karty są tokenizowane przez PCI Proxy EU. Sprzedawca otrzymuje token i datę ważności tokenu. Przy kolejnych cyklicznych płatnościach sprzedawca inicjuje transakcję, podając token zamiast PAN – PCI Proxy detokenizuje, przekazuje dane rzeczywistej karty do PSP i zwraca wynik transakcji. Cały proces jest przezroczysty dla systemu fakturowania sprzedawcy.
Zarządzanie aktualizacją kart i wygasaniem tokenów
W modelach subskrypcyjnych częstym problemem jest wygasanie kart klientów. PCI Proxy EU obsługuje Account Updater – automatyczny mechanizm aktualizacji danych kart przez sieci kart (Visa Account Updater, Mastercard Automatic Billing Updater). Gdy karta klienta wygasa lub jest zastępowana, vault automatycznie aktualizuje powiązane dane, zapewniając ciągłość rozliczeń bez interwencji klienta.
Minimalizacja zakresu PCI DSS dla platform subskrypcyjnych
Platforma subskrypcyjna używająca tokenizacji PCI Proxy EU może kwalifikować się do SAQ A lub SAQ A-EP zamiast kosztownego SAQ D. Zmniejsza to liczbę wymagań PCI DSS do spełnienia z ponad 300 do kilkudziesięciu, drastycznie redukując koszty i czas audytu. Dane kart klientów nigdy nie trafiają do systemów platformy – tylko tokeny, które można bezpiecznie przechowywać w dowolnej standardowej bazie danych.
Przepisy dotyczące zgody klienta i RODO przy subskrypcjach
Model subskrypcyjny wiąże się nie tylko z obowiązkami PCI DSS, ale również RODO. Klient musi wyrazić jasną zgodę na przechowywanie danych karty i cykliczne obciążanie. Tokenizacja nie zwalnia z obowiązku uzyskania tej zgody, ale upraszcza zarządzanie: token nie jest danymi osobowymi per se, jednak powiązanie token-klient w bazie danych subskrybentów jest. Polityki retencji muszą uwzględniać zarówno wymagania PCI DSS (zakaz przechowywania CVV po autoryzacji), jak i RODO (minimalizacja danych).
Bezpieczne subskrypcje bez przechowywania kart
Wdrożymy tokenizację card-on-file dla Twojej platformy subskrypcyjnej w ciągu kilku dni.
Porozmawiaj z ekspertem