Pytanie o różnicę między tokenizacją sieciową a tokenami PCI Proxy pojawia się regularnie w dyskusjach o bezpieczeństwie płatności. Oba typy tokenów zastępują numer PAN, ale służą różnym celom i działają na różnych poziomach infrastruktury płatności. Ten artykuł wyjaśnia precyzyjnie, czym się różnią i w jakich przypadkach użycia każdy jest optymalny.
Token sieciowy (VTS/MDES): definicja i działanie
Token sieciowy jest generowany przez sieć kart (Visa Token Service lub Mastercard Digital Enablement Service) na żądanie sprzedawcy lub wydawcy karty. Jest specyficzny dla kombinacji: urządzenie + sprzedawca + karta. Zastępuje PAN w transakcji: zamiast PAN 4111111111111111, transakcja idzie z tokenem sieciowym 4000001234567890 (format-preserving). Token jest walidowany przez sieć kart – nie przez PSP ani sprzedawcę. Główne zastosowanie: Apple Pay, Google Pay, płatności contactless.
Token PCI Proxy (vault token): definicja i działanie
Token PCI Proxy jest generowany przez vault PCI Proxy EU na żądanie sprzedawcy. Jest specyficzny dla kombinacji: sprzedawca + karta (opcjonalnie per transakcja lub trwały). Zastępuje PAN w systemach sprzedawcy – nie w sieci kart. Przy inicjowaniu transakcji, vault detokenizuje PAN i przekazuje go do PSP. PSP przetwarza prawdziwy PAN (lub token sieciowy, jeśli PSP je obsługuje). Główne zastosowanie: card-on-file, subskrypcje, multi-PSP routing.
Kluczowe różnice: tabela porównawcza
Generator tokenu: sieciowy – Visa/Mastercard; vault – PCI Proxy EU. Specyficzność: sieciowy – urządzenie+sprzedawca; vault – sprzedawca (lub per transakcja). Przenoszalność między PSP: sieciowy – nie; vault – tak (agnostyczny). Zastosowanie główne: sieciowy – transakcje real-time, portfele; vault – card-on-file, subskrypcje. Zmiany kart: sieciowy – obsługuje automatycznie przez sieć; vault – przez Account Updater. Oferta zmniejszenia oszustw: sieciowy – tak (Dynamic CVV); vault – nie bezpośrednio.
Komplementarność: model hybrydowy
Zamiast wybierać między tokenizacją sieciową a vault, zaawansowane platformy płatności używają obu jednocześnie w sposób komplementarny. Podczas transakcji checkout z Apple Pay lub Google Pay: klient używa portfela cyfrowego z tokenem sieciowym (bezpieczna transakcja real-time), vault PCI Proxy EU przechowuje token sieciowy zamiast PAN (bezpieczne przechowywanie card-on-file). Wynik: maksymalne bezpieczeństwo na obu poziomach – tokeny sieciowe chronią transakcje, vault chroni dane przechowywane.
Regulacje europejskie i tokeny sieciowe: co to zmienia
W kontekście RODO, zarówno tokeny sieciowe, jak i tokeny vault mogą być traktowane jako pseudonimizacja danych osobowych (art. 4 pkt 5 RODO). Jednak pełna anonimizacja wymaga, by token nie pozwalał na re-identyfikację – co jest możliwe przy vault token bez klucza detokenizacji, ale trudniejsze przy tokenie sieciowym, który jest powiązany z urządzeniem i kartą klienta. Z perspektywy PCI DSS, oba typy tokenów mogą ograniczać zakres CDE, ale warunki kwalifikacji różnią się dla SAQ A.
Zintegruj tokeny sieciowe i vault w jednej architekturze
PCI Proxy EU obsługuje zarówno własne tokeny vault, jak i tokenizację sieciową Visa i Mastercard. Skontaktuj się z nami.
Porozmawiaj z ekspertem