Każda organizacja obsługująca subskrypcje i płatności cykliczne jest w zakresie PCI DSS – bez wyjątku. Jeśli Twój system przechowuje odniesienie do karty klienta w celu przyszłych obciążeń, jesteś w zakresie. Pytanie nie brzmi 'czy', ale 'jak efektywnie zarządzać zgodnością'. Tokenizacja card-on-file jest odpowiedzią, która jednocześnie upraszcza compliance i poprawia wskaźniki sukcesu rozliczeń.
Dlaczego każda platforma subskrypcyjna jest w zakresie PCI DSS
Niezależnie od tego, czy samodzielnie przechowujesz numery kart, czy delegowasz to do PSP, platforma subskrypcyjna jest w zakresie PCI DSS ponieważ: inicjuje transakcje bez obecności klienta (card-not-present), zarządza danymi kart w cyklu życia subskrypcji, przetwarza aktualizacje kart i zmiany metod płatności. Nawet jeśli nie przechowujesz numerów PAN, odpowiedzialność za bezpieczną integrację z PSP pozostaje przy Tobie.
Token card-on-file jako standard bezpieczeństwa
Token card-on-file to unikalny identyfikator przypisany do konkretnej karty konkretnego klienta w kontekście Twojej platformy. Token może być używany do inicjowania kolejnych transakcji zamiast PAN. Vault PCI Proxy EU przechowuje rzeczywisty PAN zaszyfrowany kluczem chronionym przez HSM – Twoja platforma operuje wyłącznie na tokenie. To rozwiązanie jest zaakceptowane przez wszystkie główne sieci kart jako zgodne z PCI DSS.
Zarządzanie cyklem życia subskrypcji z tokenami
Token card-on-file zarządza całym cyklem życia subskrypcji: cykliczne obciążenie (inicjowanie transakcji tokenem zamiast PAN), aktualizacja karty (Account Updater automatycznie synchronizuje dane przy zmianie lub wygasaniu karty), zmiana planu (token pozostaje ten sam, zmieniają się kwoty i harmonogram), anulowanie subskrypcji (token jest inaktywowany w vault, dane karty usunięte). Cały ten przepływ jest możliwy bez ponownego angażowania klienta w podawanie danych karty.
Integracja z systemami rozliczeniowymi i ERP
PCI Proxy EU integruje się z popularnymi systemami rozliczeniowymi: Chargebee, Recurly, Stripe Billing, Zuora, a także z systemami ERP jak SAP i Oracle. Integracja polega na zastąpieniu rzeczywistego PAN tokenem we wszystkich przepływach danych: baza danych subskrybentów przechowuje tokeny, system rozliczeniowy inicjuje transakcje tokenami, raporty i faktury odwołują się do tokenów. PAN nigdy nie pojawia się w żadnym z tych systemów.
Rezydualne obowiązki PCI DSS dla platform subskrypcyjnych
Nawet przy pełnej tokenizacji, platforma subskrypcyjna zachowuje pewne obowiązki PCI DSS: bezpieczna obsługa kluczy API PCI Proxy EU, ochrona interfejsów administracyjnych dostępu do zarządzania tokenami, szkolenia personelu obsługującego płatności i dane klientów, dokumentacja przepływów danych i procedur bezpieczeństwa, regularne przeglądy uprawnień dostępu do systemów rozliczeniowych. Te obowiązki są znacznie mniej rozbudowane niż przy samodzielnym przechowywaniu PAN.
Tokenizacja card-on-file dla Twojej platformy subskrypcyjnej
Wdrożymy bezpieczną tokenizację card-on-file dostosowaną do Twojego systemu rozliczeniowego. Skontaktuj się z nami.
Porozmawiaj z ekspertem