Cos'è un Vault di Pagamento SaaS?

Una cassaforte di pagamento SaaS è essenzialmente un sistema di archiviazione cloud in cui i dati tokenizzati delle carte di pagamento vengono acquisiti, crittografati e gestiti. Un token, un riferimento non sensibile, viene memorizzato nel vostro sistema mentre la cassaforte conserva il vero Numero di Conto Primario (PAN) in un ambiente altamente sicuro, controllato e sottoposto ad audit.

Questo è rilevante a causa della continua associazione dei dati della carta con i fattori di rischio. L'ambito PCI DSS includerà tutti i sistemi che entrano in contatto con un PAN grezzo. L'archiviazione esclusiva dei dati nel vault è correlata al livello di conformità richiesto e può essere correlata all'incidenza delle violazioni della sicurezza.

Forse l'aspetto più importante di un vault di pagamento neutrale è la portabilità dei dati della carta, il che significa che una volta tokenizzate le credenziali della carta, è possibile passare la tokenizzazione da un processore di pagamento all'altro senza chiedere ai clienti di reinserire i dettagli della loro carta. Senza un vault, i token sono tipicamente validi e di proprietà di un singolo fornitore di servizi di pagamento (PSP). La validità dei token attuali è collegata al processore; pertanto, un cambiamento potrebbe avere un impatto sulla ri-registrazione del cliente. Questa dipendenza, il "lock-in" del processore, può dare al tuo PSP esistente un vantaggio durante le negoziazioni.

Una vault neutrale previene tale dipendenza. Indipendentemente dal processore selezionato per le transazioni, i token sbloccheranno costantemente lo stesso PAN sottostante, consentendo potenzialmente la considerazione di fattori come il costo, il tasso di approvazione o la località.

Esistono quattro principali architetture di vault, ognuna con diversi compromessi:

•       Vault di proprietà del PSP — Il processore gestisce la vault. Facile da configurare, ma crea un lock-in; la portabilità è limitata o inesistente.
•       Vault Neutrale / di Rete — Una terza parte indipendente memorizza i PAN ed emette token agnostici rispetto al processore. Le funzionalità includono la portabilità e sono implementate da commercianti aziendali e servizi in abbonamento.
•       Vault-As-A-Service (VSaaS) — Un modello SaaS in cui un fornitore specializzato fornisce il vault come livello API standalone. L'integrazione flessibile può essere implementata contemporaneamente al routing multi-processore.
•       Vault On-Premise — Il merchant mantiene la propria infrastruttura di vault, offrendo il controllo completo ma rendendo necessario un investimento PCI considerevole e continue spese operative.

VSaaS, o un vault neutrale, potrebbe rappresentare un approccio possibile per molte aziende SaaS, influenzando potenzialmente l'equilibrio tra controllo ed efficienza di conformità.

Una volta che esegui il vaulting dei dati del titolare della carta, non li rilasci mai a server applicativi, database o log, ecc. Ciò comporta normalmente una riduzione dell'80-90% nell'ambito PCI. Invece di un audit completo di Livello 1 in loco che copre molti sistemi, un esercente che utilizza il vaulting potrebbe essere idoneo per una valutazione SAQ A o SAQ A-EP più semplice che copre solo i punti di contatto della tokenizzazione.

Nel settore della conformità, le società di vaulting spesso affrontano compiti impegnativi, tra cui il mantenimento di un ambiente sicuro, la sottoposizione ad audit PCI DSS e la fornitura di documentazione di conformità. Il loro stato di conformità può fungere da base e influenzare le risorse necessarie per stabilire il proprio.

È più efficace avere un vault posizionato al centro stesso del tuo stack di pagamenti ricorrenti:

•       Sistema di Fatturazione — Un motore di fatturazione inoltra la richiesta di addebito utilizzando un token. La vault trasforma il token in un PAN e solo allora lo consegna al processore. Il sistema di fatturazione è progettato per evitare l'accesso diretto ai dati della carta.
•       Account Updater — I circuiti di carte (Visa, Mastercard) utilizzano servizi di Account Updater che forniscono i nuovi numeri di carta e le date di scadenza quando le carte vengono riemesse. Un vault ben integrato può rinnovare i token con credenziali aggiornate, influenzando l'abbandono dei clienti (churn) (legato a fattori involontari).

L'integrazione di queste funzionalità crea un sistema in cui i token vengono elaborati, gli addebiti vengono eseguiti e le informazioni della carta vengono aggiornate automaticamente.

Alcune domande da considerare:

•       Esiste una correlazione tra l'abbandono dei clienti ed eventi involontari come la scadenza o la riemissione della carta nelle vostre attuali operazioni aziendali?
•       L'utilizzo di un unico processore potrebbe presentare considerazioni per la negoziazione delle tariffe o il reindirizzamento del flusso?
•       Man mano che aggiungete sistemi che gestiscono i dati delle carte, il vostro ambito di conformità PCI sta aumentando?

In questi casi, l'utilizzo di un vault potrebbe avere un impatto su ROI, dettagliato come segue:

•       Riduzione PCI Ambito — Quando meno sistemi rientrano nell'ambito PCI, si traduce in minori spese di revisione, tra gli altri vantaggi, meno cicli di bonifica e una responsabilità limitata in caso di violazione.
•       Tasso di Approvazione — L'impiego di Aggiornamento Account e la considerazione di una logica di riprova porta tipicamente a un aumento del tasso di autorizzazione (di circa 2-5 punti percentuali), una differenza che può essere rilevante su larga scala.
•       Portabilità del Processore — Modificare i termini con l'attuale processore o indirizzare determinati BIN a reti di carte che offrono tassi di approvazione più elevati è auspicabile.
•       Riduzione Churn – Le modifiche tempestive delle credenziali possono ridurre gli errori di “carta rifiutata”, influendo potenzialmente su disdetta dell'abbonamento tassi.
•       Espansione del mercato — Espansione del mercato associato alla connessione del vault a più processori, consentendo forse l'aggiunta di acquirer locali senza una completa riprogettazione dello stack di pagamenti.