Che cos'è la Portabilità dei Dati della Carta di Credito?

La portabilità dei dati delle carte di credito è un meccanismo per trasferire i dati di pagamento dei clienti, in particolare i Primary Account Numbers, tra diversi fornitori di servizi di pagamento (con considerazioni sulla sicurezza e la conformità). Questo indica una possibile correlazione tra la diversificazione degli istituti finanziari per l'archiviazione delle carte e determinati vantaggi commerciali.

Ecco le caratteristiche principali dei sistemi portatili:

•       Esportazione Sicura: Il sistema offre un processo per l'esportazione di dati conformi a PCI a un altro fornitore, previa richiesta formale.
•     Standardizzazione del Formato: Garantire che i dati trasferiti siano in una forma che la parte ricevente possa utilizzare.
•       Compatibilità di Tokenizzazione: Utilizzo di token che possono essere scambiati o reindirizzati tra diverse gateway di elaborazione.
•   Conservazione della Conformità: Mantenere una catena di custodia ininterrotta che soddisfi gli standard di sicurezza dei dati del settore delle carte di pagamento (PCI DSS).

Il trasferimento dei dati del commerciante può influenzare le loro interazioni con i fornitori di servizi di pagamento e potenzialmente comportare dipendenze da specifici processori o fornitori. Una pratica comune tra i fornitori prevede sistemi di tokenizzazione proprietari; quando le carte vengono memorizzate presso questi fornitori, i token risultanti di solito funzionano solo all'interno del loro ambiente.

Quando un merchant si ritira, il fornitore può applicare delle commissioni di uscita e il rilascio dei dati può presentare considerazioni di compatibilità di formato per vari sistemi. Finextra suggerisce una possibile relazione tra il vendor lock-in e le aziende che riscontrano una differenza del 20-30% nelle commissioni di elaborazione, la quale potrebbe essere correlata a cambiamenti nelle posizioni negoziali con il loro attuale fornitore.

La portabilità è significativamente influenzata dai requisiti PCI DSS (Payment Card Industry Data Security Standard). Nello specifico, i commercianti spesso evitano o sono impossibilitati a memorizzare numeri di carte di credito non crittografati sui loro server, il che può ridurre determinati rischi. Di conseguenza, invece di gestire i dati autonomamente, i commercianti utilizzano i servizi del provider che memorizzano i dati e poi emettono un “token”.

Sia sul lato mittente che su quello ricevente, i fornitori devono essere conformi agli standard PCI Livello 1 affinché la migrazione dei dati sia possibile. Inoltre, i dati devono essere trasferiti in modo sicuro e crittografati durante il processo di migrazione, che è un processo “vault-to-vault”. Tale trasferimento mantiene il commerciante al di fuori dell'ambito PCI, i dati non passano attraverso le mani del commerciante, ma consente comunque lo spostamento dei dati.

Concettualmente, si tratta di un trasferimento tra due ambienti separati e sicuri. Il merchant richiede la migrazione dei dati e il fornitore attuale utilizza la chiave pubblica del nuovo fornitore (la Destinazione) per crittografare il database dei numeri di carta.

1.   Richiesta: Il merchant avvia l'esportazione dei dati dal Provider A.
2.   Messa in sicurezza: Il Provider A protegge i PAN e le date di scadenza tramite crittografia.
3.   Invio: I dati vengono trasferiti utilizzando SFTP sicuro o API dedicata.
4.   Ricezione: Il Provider B decripta le informazioni ed emette nuovi token per l'utilizzo da parte del merchant. ​‍​‌‍​‍‌​‍​‌‍​‍‌

Una​‍​‌‍​‍‌​‍​‌‍​‍‌ vault di token neutra o centralizzata si riferisce a un'entità di terze parti separata dall'ambiente del processore di pagamento. Invece del processore che mantiene i/il dati della carta, il vault lo fa. Quando è necessario effettuare una transazione con carta, il vault trasmette le informazioni al processore che il commerciante ha selezionato.

L'accesso ai dati portabili consente alle aziende di considerare un approccio multi-PSP. Ciò consente a un esercente di connettersi a più processori di pagamento contemporaneamente. Ad esempio, se il Processore A offre una tariffa migliore per le carte europee e il Processore B è più economico per le carte statunitensi, l'esercente può indirizzare le transazioni al processore appropriato.

Aspetti da considerare quando si decide per una strategia multi-processore:

•   Portata Geografica: Il fornitore offre metodi di pagamento locali?
•   Ottimizzazione dei Costi: Avete l'opzione di "instradamento a costo minimo" in tempo reale?
•   Oneri Tecnici: Il vostro team ha la capacità di gestire più Integrazioni API?