Un secure card storage basado en la nube es la base de cualquier arquitectura de pagos moderna que quiera reduzir el riesgo de brecha de dados e el perímetro PCI DSS. El card vault es el componente que recibe, encripta e custodia los dados de las cartões de pago, devolviendo a cambio un token opaco. Entender como funciona técnicamente, qué certificaciones exige e por qué construirlo internamente es quase sempre la elecção equivocada ayuda a tomar decisiones arquitectónicas mais sólidas.
Qué es un card vault e como funciona técnicamente
Un card vault es un sistema seguro para armazenar los PAN (Primary Account Number) e los dados sensíveis asociados a las cartões de pago. El fluxo técnico básico prevé que el número de cartão sea transmitido directamente al vault através de una API HTTPS, encriptação con claves criptográficas gestionadas en un HSM (Hardware Security Module), e sustituido por un token que se devuelve al solicitante. El token tem la misma longitud e formato que un PAN, mas no contiene dados reales e no pode usarse para transações sin pasar por el vault.
Internamente, el vault mantiene el mapeo token-PAN en una base de dados cifrada con accesos extremadamente limitados. Cada pedido de destokenização, es decir, de recuperação del PAN original, queda registrada con marca de tiempo, IP de origen e identidade del solicitante. El sistema de registro de auditoría es obligatorio para el conformidade PCI DSS e deve ser inmutable: ningún operador, ni siquiera con privilegios administrativos, pode eliminar los logs de las operaciones del vault.
Las certificaciones necesarias: PCI DSS Nível 1, HSM, FIPS 140-2
Un vault destinado a producção deve estar certificado PCI DSS Nível 1, el nivel mais alto del estándar, que exige una auditoría anual realizada por un QSA independiente e una prueba de penetração semestral. La certificação Nivel 1 no se obtiene completando un cuestionario: exige un análise exhaustivo de todos los controles técnicos e organizativos, desde la gestão de las claves criptográficas hasta la segurança física de los centros de dados.
Las claves criptográficas devem gestionarse con HSM certificados FIPS 140-2 Nivel 3 o superior. Esto significa que las claves nunca salen del hardware en forma legible, ni siquiera en caso de compromiso del software aplicativo. La certificação FIPS 140-2 garantiza que el hardware ha sido validado por un laboratorio acreditado NIST para resistir ataques físicos e lógicos. Sin un HSM certificado, un vault no pode obter la certificação PCI DSS Nível 1.
Vault interno vs vault as a service: la comparação real
Construir un card vault interno exige una inversión inicial que raramente baja de los 200.000-500.000 euros considerando hardware HSM, infraestrutura redundante, desarrollo del sistema de tokenização, auditoría inicial e formação del equipa. A esto se añade un custo operativo anual de 50.000-150.000 euros para el mantenimiento de la certificação, las testes de penetração, la gestão de claves e el personal dedicado. Para un comércio con volúmenes medios, el ROI de esta elecção nunca se alcanza.
Un vault as a service como el de PCI Proxy EU transfiere todos estos custos e responsabilidades al fornecedor. El comércio paga en função de los volúmenes de transação, obtiene de inmediato la cobertura de la certificação PCI DSS Nível 1 del fornecedor, e no precisa gerir infraestrutura ni personal especializado. La portabilidade de los tokens garantiza que, si en el futuro se decide cambiar de fornecedor, los dados de cartão siguen siendo accesibles sin necesidade de volver a recopilar la informação de los usuarios.
Preguntas frecuentes
Un card vault en la nube es tan seguro como uno on-premise?
Si el fornecedor cloud dispone de las certificaciones correctas (PCI DSS Nível 1, ISO 27001, SOC 2 Type II), el nivel de segurança es equivalente o superior al de un vault on-premise gestionado internamente. La mayoría de las empresas no tem los recursos para manter los controles físicos, la redundancia e el personal especializado que los fornecedores cloud dedican a la segurança infraestructural.
Mi PSP actual ofrece un vault portable?
La mayoría de los PSP ofrecen un vault propietario cuyos tokens apenas são válidos en su propia plataforma. Esto crea un vendor lock-in: si quieres cambiar de PSP, debes volver a recopilar los dados de cartão de todos tus clientes. Un vault processor-agnostic como el de PCI Proxy EU genera tokens utilizables con cualquier PSP, eliminando esta dependencia.
Cuánto cuesta construir un card vault interno?
El custo de implementação parte de unos 200.000 euros para una infraestrutura mínima certificable, con custos operativos anuales de entre 50.000 e 150.000 euros. A esto há que añadir los custos del personal especializado, las auditorias QSA, las testes de penetração e el mantenimiento de la certificação. Para la mayoría de las empresas, el vault as a service es económicamente ventajoso desde el primer año.
Quieres un card vault certificado PCI DSS Nível 1 sin gerir infraestrutura e sin dependencia del PSP? Descubre PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nosNa prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para tokenização.