Tokenizacja

Tokenizacja kart bez PAN w Twoich systemach

Zamień numer karty na bezpieczny token. Twoje systemy nigdy nie widzą wrażliwych danych – tylko token, który możesz bezpiecznie przechowywać i używać.

Czym jest

Czym jest tokenizacja kart?

Zastępuje numer karty tokenem. Wygląda jak każdy inny kod: nawet jeśli ktoś go zobaczy, nie może wyprowadzić danych karty. Prawdziwy numer pozostaje w naszym vault, nie na Twoich serwerach.

Nie szyfrowanie

Przy szyfrowaniu numer karty nadal przebywa w Twoich systemach. Tokenizacja daje Ci w zamian losowy token. Nie można go odwrócić bez vault.

Mniej obowiązków PCI

Jeśli Twoje systemy przechowują tylko token, a nie numer karty, obowiązki PCI znacznie maleją. Wiele firm przechodzi z setek kontroli (SAQ D) do kilkudziesięciu (SAQ A).

Działa z każdym PSP

Używaj tego samego tokenu do subskrypcji, zwrotów lub przy zmianie procesora. Nie musisz prosić klienta o ponowne podanie danych karty przy zmianie dostawcy.

tokenization-flow.json

// 1. Klient wprowadza dane karty

4111 1111 1111 1234
PCI Proxy Vault · certyfikowany

// 2. W Twoich systemach pozostaje tylko token

tok_eu_9f8e7d6c5b4a1234

// 3. Numer karty: nigdy na Twoich serwerach

Zaszyfrowany vault · tylko UE · dostęp rejestrowany

PCI DSS

Certyfikat Level 1

AES-256

Szyfrowane dane w vault

100% UE

Dane wyłącznie w Europie

< 50ms

Średni czas odpowiedzi API

Porównanie

Trzy typy tokenów w porównaniu

Tokeny sieciowe, tokeny bramkowe i tokeny PCI Proxy to nie to samo. Różnią się przenośnością, obowiązkami PCI oraz swobodą wyboru procesora.

Cecha Token sieciowy Token bramkowy Token PCI Proxy ZALECANY
Wystawiany przez Schematy (Visa, Mastercard) Twój PSP / bramka PCI Proxy (niezależny)
Przenośność między PSP Tylko schemat Nie, vendor lock-in Dowolny PSP
Automatyczna aktualizacja karty Tak, aktualizacja automatyczna Zależne od bramki Tak
Redukuje obowiązki PCI Niewiele Niewiele Znacznie
Działa również przez telefon Tylko e-commerce Tylko e-commerce E-commerce, telefon, API
Formaty tokenów

Jak może wyglądać token

Format zależy od tego, jak chcesz go używać w swoim back office lub bazie danych. Pomożemy Ci wybrać odpowiedni.

format-preserving

// Oryginalny numer karty

"4111 xxxx xxxx 1234"

// Wyjście: token

"4111 8273 6540 1234"

↑ ten sam kształt, środkowe cyfry zmienione

Ten sam kształt co numer karty

Ta sama długość co numer karty. Możesz przechowywać go w kolumnach, których już używasz, bez zmiany schematu bazy danych.

random-opaque

// Oryginalny numer karty

"5412 7512 3456 7890"

// Wyjście: token

"tok_eu_a3f9b2c14d8e"

↑ prefiks + losowy ciąg znaków

Losowy kod

Ciągi takie jak tok_eu_ bez żadnego powiązania z numerem karty. Trudniej wykryć wzorce lub cokolwiek odgadnąć.

bin-retention

// Oryginalny numer karty (19 cyfr)

"3714 496353 98431"

// Pierwsze cyfry identyfikujące schemat

"3714 4963 7f2a 9c1b 8e4d"

↑ wiadomo: Visa lub Mastercard, reszta losowa

Pierwsze cyfry identyfikujące schemat

Zachowaj pierwsze cyfry, by rozpoznać Visa, Mastercard i podobne. Reszta jest losowa i bezpieczna.

Vault

Gdzie przechowujemy kartę bezpiecznie

Tu przechowujemy mapowanie między tokenem a numerem karty. Jest izolowany, zaszyfrowany i posiada certyfikat PCI DSS Level 1. Ty nie musisz nim zarządzać – robimy to za Ciebie.

Środowisko z certyfikatem PCI DSS Level 1
Tylko UE

Warstwa 1

Segmentacja sieci

Oddzielna sieć od reszty infrastruktury. Brak bezpośredniego dostępu do internetu. Mniejsza powierzchnia ataku.

Warstwa 2

Dane szyfrowane w spoczynku

Każdy numer karty jest szyfrowany przed zapisem. Klucze przechowywane są w dedykowanym sprzęcie i nigdy nie są eksponowane w postaci jawnej.

Warstwa 3

Chronione klucze

Automatyczna rotacja kluczy. Dostęp wyłącznie dla tych, którzy naprawdę go potrzebują, z podwójną kontrolą.

Warstwa 4

Śledzony dostęp

Każda operacja vault jest rejestrowana: kto, kiedy, skąd. Niezmienne logi na potrzeby audytów PCI.

Dane wyłącznie w UE

Wszystko pozostaje w europejskich centrach danych. Dane kart nigdy nie opuszczają Unii Europejskiej. Zgodność z RODO i wymaganiami europejskich banków.

RODO ISO 27001 ISO 9001 DORA
Przenośność między PSP

Ten sam token z dowolnym procesorem

Nasze tokeny nie są powiązane ze Stripe, Adyen ani Nexi. Używaj ich z dowolnym dostawcą, kiedy tylko chcesz.

1 Token

Jeden token, wszystkie potrzebne procesory

Obsługiwanych PSP

0

Kart do ponownego pobrania

100%

Przenośność

Zmień PSP bez ponownego pobierania danych karty

Zero zakłóceń

Przenieś się do innego procesora dla lepszych kosztów lub stawek: tokeny pozostają ważne. Nie tracisz zapisanych kart.

Wiele procesorów, jeden token

Routing

Kieruj płatność do preferowanego PSP według regionu lub schematu. Pobieramy numer karty tylko w momencie płatności.

Subskrypcje i płatności cykliczne

Karta zaktualizowana

Zapisz token przy pierwszej płatności i używaj go co miesiąc. Nawet jeśli karta zostanie wznowiona, token pozostaje ważny.

Zwroty i spory

Śledzenie

Użyj tego samego tokenu do zwrotu, nawet jeśli oryginalna płatność była realizowana przez inny PSP. Wszystko rejestrowane na potrzeby audytów i sporów.

Bezpieczeństwo

Kiedy potrzebujesz numeru karty

Tylko upoważnione strony mogą pobrać kartę z vault i tylko wtedy, gdy jest to naprawdę konieczne. Każdy dostęp jest rejestrowany.

4

Aktywne warstwy

0

Nieautoryzowanych dostępów

Uprawnienia oparte na rolach

Minimalne uprawnienia

Tylko klucze API z wyraźnym uprawnieniem mogą pobrać numer karty. Brak domyślnego dostępu.

Tylko zatwierdzone adresy IP

Sieć

Zapytania wyłącznie z adresów, które Ty autoryzowałeś. Wszystko inne jest blokowane i oznaczane.

Krótkie okno czasowe

Ograniczone w czasie

Uprawnienie trwa kilka sekund. Po jego wygaśnięciu wymagane jest nowe uwierzytelnione zapytanie.

Dziennik każdego dostępu

Audyt

Rejestrujemy, kto żądał dostępu do karty, kiedy i skąd. Logi przechowywane na potrzeby audytów PCI.

Bezpośrednie porównanie

Token sieciowy vs token PCI Proxy

Nie wszystkie tokeny są sobie równe. Wybór wpływa na obowiązki PCI, swobodę zmiany PSP i dostępne kanały.

Mniej obowiązków PCI · token sieciowy

~30%

PCI PROXY

Mniej obowiązków PCI · PCI Proxy

do 95%

Przenośność między PSP

∞ PSP

Wymiar Token sieciowy (Visa/MC) Token PCI Proxy ZALECANY
Wystawiany przez Schematy płatnicze (Visa, Mastercard) PCI Proxy (niezależny)
Gdzie działa Tylko w transakcjach Visa/Mastercard W Twoich systemach: zamiast numeru karty
Przenośność między PSP Zależna od schematu Dowolny PSP
Redukuje obowiązki PCI Niewiele Znacznie
Działa przez telefon Nie Tak
Przechowywanie Vault schematu Vault według Twojego wyboru (UE)
FAQ

Najczęściej zadawane pytania

Tokenizacja, szyfrowanie, vault i zmiana PSP: krótkie odpowiedzi.

01 Jaka jest różnica między tokenizacją a szyfrowaniem?

Przy szyfrowaniu numer karty nadal przebywa w Twoich systemach: przy użyciu odpowiedniego klucza można go odtworzyć. Tokenizacja zastępuje go losowym tokenem, którego nie można odwrócić bez vault. Dla PCI zaszyfrowane dane nadal są danymi karty; poprawnie wdrożone tokeny – nie są.

02 Czy mogę ponownie używać tokenów z różnymi PSP?

W przypadku tokenów bramkowych pozostajesz związany z jednym PSP: przy zmianie dostawcy musisz ponownie pobrać dane karty od klienta. Z PCI Proxy używasz tego samego tokenu z dowolnym procesorem. Zmień dostawcę bez utraty zapisanych kart.

03 Jak vault chroni przechowywane dane karty?

Karta pozostaje w naszym vault z certyfikatem PCI DSS Level 1, zaszyfrowana i chroniona. Tylko osoby z odpowiednimi uprawnieniami mogą ją pobrać, a każdy dostęp jest rejestrowany. Dane przechowywane są wyłącznie w UE, a vault monitorowany jest 24/7.

PCI DSS Level 1 Zaszyfrowany vault Dowolny PSP Dane w UE

Gotowy, by używać tokenów zamiast numeru karty?

Sprawdź, jak zintegrować PCI Proxy ze swoimi procesami płatniczymi lub przeczytaj, jak redukuje obowiązki PCI.

Skontaktuj się z nami Zgodność PCI DSS Jak to działa