¿Qué es una Bóveda de Pagos para SaaS?

Una bóveda de pagos SaaS es esencialmente un sistema de almacenamiento en la nube donde los datos tokenizados de tarjetas de pago se capturan, cifran y gestionan. Un token, una referencia no sensible, se almacena en su sistema mientras que la bóveda guarda el Número de Cuenta Principal (PAN) real en un entorno altamente seguro, controlado y auditado.

Esto es relevante debido a la continua asociación de los datos de las tarjetas con factores de riesgo. El alcance de PCI DSS incluirá todos los sistemas que entren en contacto con un PAN sin procesar. El almacenamiento exclusivo de datos en la bóveda se relaciona con el nivel de cumplimiento necesario y puede correlacionarse con la incidencia de brechas de seguridad.

Quizás el aspecto más importante de una bóveda de pagos neutral es la portabilidad de los datos de la tarjeta, lo que significa que una vez que haya tokenizado las credenciales de la tarjeta, puede cambiar la tokenización de un procesador de pagos a otro sin pedir a los clientes que vuelvan a introducir los datos de su tarjeta. Sin una bóveda, los tokens suelen ser válidos y propiedad de un único Proveedor de Servicios de Pago (PSP). La validez de los tokens actuales está conectada al procesador; por lo tanto, un cambio puede afectar la reinscripción del cliente. Esta dependencia, el «bloqueo del procesador», puede otorgar a su PSP existente poder de negociación durante las negociaciones.

Una bóveda neutral evita dicha dependencia. Independientemente del procesador seleccionado para las transacciones, los tokens desbloquearán consistentemente el mismo PAN subyacente, lo que potencialmente permite considerar factores como el costo, la tasa de aprobación o la ubicación.

Existen cuatro arquitecturas principales de bóvedas, cada una con diferentes ventajas y desventajas:

•       Bóveda propiedad del PSP — El procesador gestiona la bóveda. Fácil de configurar, pero crea dependencia; la portabilidad es limitada o inexistente.
•       Bóveda Neutral / de Red — Un tercero independiente almacena los PANs y emite tokens independientes del procesador. Las características incluyen portabilidad y son implementadas por comercios empresariales y servicios de suscripción.
•       Bóveda como Servicio (VSaaS) — Un modelo SaaS donde un proveedor especializado proporciona la bóveda como una capa de API independiente. La integración flexible puede implementarse simultáneamente con el enrutamiento multiprocesador.
•       Bóveda On-Premises — El comerciante mantiene su propia infraestructura de bóveda, ofreciendo control total pero exigiendo una inversión considerable en PCI y gastos operativos continuos.

VSaaS, o una bóveda neutral, puede representar un enfoque posible para muchas empresas SaaS, afectando potencialmente el equilibrio entre control y eficiencia de cumplimiento.

Una vez que se resguardan los datos del titular de la tarjeta, nunca se liberan a servidores de aplicaciones, bases de datos o registros, etc. Esto normalmente resulta en una reducción del 80-90% en el alcance de PCI. En lugar de una auditoría in situ completa de Nivel 1 que cubre muchos sistemas, un comerciante que resguarda datos puede ser elegible para una evaluación SAQ A o SAQ A-EP más sencilla que solo cubre los puntos de contacto de la tokenización.

En el sector del cumplimiento normativo, las empresas de bóvedas a menudo asumen tareas exigentes, como mantener un entorno seguro, someterse a auditorías PCI DSS y proporcionar documentación de cumplimiento. Su postura de cumplimiento puede servir como base y afectar los recursos necesarios para establecer la suya propia.

Es más eficaz tener una bóveda en el centro mismo de su pila de pagos recurrentes:

•       Sistema de facturación — Un motor de facturación envía la solicitud de cobro utilizando un token. La bóveda convierte el token en un PAN y solo entonces lo entrega al procesador. El sistema de facturación está diseñado para evitar el acceso directo a los datos de la tarjeta.
•       Account Updater — Las redes de tarjetas (Visa, Mastercard) emplean servicios de Account Updater que proporcionan los nuevos números de tarjeta y las fechas de vencimiento cuando las tarjetas son reemitidas. Una bóveda bien integrada puede renovar los tokens con credenciales actualizadas, impactando la tasa de abandono de clientes (relacionada con factores involuntarios).

La integración de estas funcionalidades establece un sistema donde los tokens son procesados, los cargos son ejecutados y la información de la tarjeta se actualiza automáticamente.

Algunas preguntas a considerar:

•       ¿Existe una correlación entre la rotación de clientes y eventos involuntarios como la caducidad o reemisión de tarjetas en sus operaciones comerciales actuales?
•       ¿El uso de un único procesador podría presentar consideraciones para la negociación de tarifas o la redirección de flujos?
•       A medida que añade sistemas que gestionan datos de tarjetas, ¿está aumentando su alcance de cumplimiento PCI?

En tales casos, utilizar una bóveda podría tener un impacto en ROI, tal como se detalla a continuación:

•       Reducción PCI Alcance — Cuando menos sistemas están dentro del alcance de PCI, se traduce en menos gastos de auditoría, entre otros beneficios, menos ciclos de remediación y una responsabilidad acotada por brechas de seguridad.
•       Tasa de Aprobación — El uso de Actualizador de cuentas y la consideración de la lógica de reintento suele generar un aumento en la tasa de autorización (de aproximadamente 2 a 5 puntos porcentuales), una diferencia que puede ser relevante a gran escala.
•       Portabilidad del Procesador — Cambiar los términos con el actual procesador o dirigir ciertos BINs a redes de tarjetas que ofrecen tasas de aprobación más altas es deseable.
•       Reducción Churn – Los cambios oportunos de credenciales pueden reducir los errores de "tarjeta rechazada", lo que podría afectar la cancelación de suscripciones tasas.
•       Expansión de Mercado — Expansión de mercado asociado con la conexión de la bóveda a múltiples procesadores, lo que quizás permite la adición de adquirentes locales sin un rediseño completo de la pila de pagos.