Sandbox PCI: testowanie tokenizacji bez prawdziwych kart

Środowisko sandbox jest fundamentem bezpiecznego i efektywnego procesu integracji z API tokenizacji PCI DSS. Zamiast testować z prawdziwymi danymi kart – co byłoby zarówno ryzykowne z perspektywy PCI DSS, jak i trudne do organizacji – sandbox pozwala na pełne testowanie przepływów integracji z testowymi numerami kart i realistycznymi tokenami testowymi.

Co to jest środowisko sandbox PCI

Środowisko sandbox to izolowane środowisko testowe, które replikuje funkcjonalność produkcyjnego API PCI Proxy EU przy użyciu testowych danych kart i testowych tokenów. W sandboxie: możesz używać standardowych testowych numerów kart (np. 4111111111111111 dla Visa), API zwraca realistyczne tokeny testowe i odpowiedzi, żadne rzeczywiste transakcje finansowe nie są przetwarzane, środowisko jest izolowane od produkcji. Sandbox PCI Proxy EU jest aktywowany natychmiast po rejestracji – bez potrzeby weryfikacji biznesowej.

Testowe numery kart dla środowiska sandbox

PCI SSC i sieci kart definiują standardowe numery testowych kart, które mogą być używane wyłącznie w środowiskach testowych. Visa testowe: 4111111111111111, 4242424242424242. Mastercard testowe: 5500005555555559, 5105105105105100. American Express testowe: 378282246310005, 371449635398431. Każdy z tych numerów przechodzi walidację algorytmem Luhn (checksuma), więc aplikacja poprawnie je waliduje. Używanie prawdziwych numerów kart w sandboxie jest zakazane – nawet przy testowaniu. Środowisko sandbox PCI Proxy EU wykrywa i odrzuca rzeczywiste numery kart.

Scenariusze testowe w sandboxie PCI Proxy EU

Sandbox PCI Proxy EU obsługuje pełen zakres scenariuszy testowych. Tokenizacja: wywołaj endpoint tokenizacji z testowym PAN, otrzymasz realistyczny token testowy. Detokenizacja: użyj tokenu testowego, aby pobrać token w formacie wymaganym przez PSP. Transakcja: zainicjuj transakcję przez token – sandbox symuluje odpowiedź PSP (autoryzacja lub odrzucenie). Card-on-file: przetestuj przechowywanie tokenu i używanie go dla kolejnych transakcji. Account Updater: przetestuj aktualizację wygasłej karty testowej. DTMF: przetestuj przepływ tokenizacji DTMF przez testowy endpoint telefoniczny.

Dobre praktyki testowania integracji PCI DSS

Kilka kluczowych zasad bezpiecznego testowania integracji: nigdy nie używaj prawdziwych danych kart w środowisku testowym – nawet anonimizowanych lub częściowych. Segreguj środowiska: klucze API sandbox i produkcja muszą być odrębne i przechowywane w różnych miejscach (np. zmienne środowiskowe per environment). Testuj wszystkie ścieżki błędów: odrzucone karty, przeterminowane tokeny, błędy sieci, timeouty. Sprawdzaj logi: weryfikuj, że PAN nie pojawia się w żadnych logach aplikacji ani serwera. Testuj integrację monitoringu: weryfikuj, że Twój system alertów działa przy błędach tokenizacji.

Przejście ze sandbox na produkcję

Przejście ze środowiska sandbox na produkcję PCI Proxy EU jest prostym procesem: wymień klucze API sandbox na produkcyjne (dostarczone po zakończeniu procesu weryfikacji biznesowej), zmień URL bazowy API z sandbox na produkcję, przetestuj pierwsze transakcje produkcyjne z prawdziwą kartą w kontrolowanym środowisku. Ważna zasada: nigdy nie włączaj prawdziwych danych kart do kodu lub konfiguracji – zawsze przez zmienne środowiskowe lub secret management (HashiCorp Vault, AWS Secrets Manager, Azure Key Vault). PCI Proxy EU przeprowadza weryfikację konfiguracji środowiska produkcyjnego przed aktywacją.

Środowisko sandbox a zgodność PCI DSS

Środowisko sandbox jest oddzielone od produkcji – jest to wymaganie PCI DSS (Wymaganie 6.3.1: środowiska deweloperskie i testowe muszą być oddzielone od środowisk produkcyjnych). Sandbox PCI Proxy EU spełnia to wymaganie przez design: odrębne klucze API, odrębna baza danych tokenów testowych, odrębna infrastruktura. Deweloperzy pracujący w sandboxie nigdy nie mają dostępu do produkcyjnych danych kart lub tokenów. Ta izolacja upraszcza compliance dla sprzedawców: deweloperzy mogą pracować bez ograniczeń środowiska produkcyjnego PCI DSS.

---