クレジットカードデータのポータビリティとは何ですか？

クレジットカードデータのポータビリティとは、顧客の決済データ、特にプライマリーアカウント番号（PAN）を、セキュリティとコンプライアンスを考慮しつつ、異なる決済サービスプロバイダー間で転送する仕組みです。これは、カード情報の保管先金融機関を多様化することと、特定のビジネス上の利点との間に相関関係がある可能性を示唆しています。

ポータブルシステムの主な特徴は以下の通りです。

•       セキュアなエクスポートシステムは、正式なリクエストに基づき、PCI準拠データを別のプロバイダーにエクスポートするプロセスを提供します。
•     フォーマットの標準化転送されたデータが、受信側が利用できる形式であることを保証します。
•       トークン化の互換性異なる処理ゲートウェイ間で切り替えまたはリダイレクトできるトークンを採用すること。
•   コンプライアンスの維持ペイメントカード業界データセキュリティ基準（PCI DSS）を満たす、途切れない管理の連鎖を維持すること。

加盟店データの転送は、決済プロバイダーとのやり取りに影響を与え、特定の処理業者やベンダーへの依存を伴う可能性があります。プロバイダーの一般的な慣行として、独自のトークン化システムが用いられており、これらのプロバイダーにカードが保管されると、生成されたトークンは通常、その環境内でのみ機能します。

マーチャントが離脱する際、プロバイダーから解約手数料が課される可能性があり、データ解放には様々なシステムとのフォーマット互換性の問題が生じる可能性があります。Finextraは、ベンダーロックインと、企業が処理手数料において20%から30%の差を経験することの間に関連性がある可能性を示唆しており、これは現在のベンダーとの交渉姿勢の変化と相関するかもしれません。

可搬性はPCI DSS要件（Payment Card Industry Data Security Standard）によって大きく影響を受けます。具体的には、加盟店は多くの場合、暗号化されていないクレジットカード番号を自社のサーバーに保存することを避けたり、禁止されたりしており、これにより特定のリスクを軽減できる可能性があります。その結果、加盟店は自らデータを処理する代わりに、データを保存し「トークン」を発行するプロバイダーのサービスを利用します。

データ移行を可能にするには、データを提供する側と受け取る側の「エンド」において、プロバイダーはPCIレベル1基準に準拠する必要があります。さらに、移行プロセス中にデータは安全に暗号化されて転送される必要があり、これは「ボールト・トゥ・ボールト」プロセスです。このような転送により、マーチャントはPCIの対象外となり、データがマーチャントの手を経由することなく、データの移動が可能になります。

概念的には、これは2つの独立した安全な環境間の転送です。マーチャントはデータ移行を要求し、現在のプロバイダーは新しいプロバイダーの公開鍵（宛先）を使用してカード番号のデータベースを暗号化します。

1.   照会: マーチャントはプロバイダーAからのデータエクスポートを開始します。
2.   保護: プロバイダーAはPANと有効期限を暗号化によって保護します。
3.   送信: 安全なSFTPまたは専用APIを使用してデータが転送されます。.
4.   受信: プロバイダーBは情報を復号化し、マーチャントの利用のために新しいトークンを発行します。​‍​‌‍​‍‌​‍​‌‍​‍‌

​‍​‌‍​‍‌​‍​‌‍​‍‌中立的または一元化されたトークンボールトは、決済処理業者の環境とは別に存在する第三者機関を指します。決済処理業者が維持する代わりに、 カードデータ、ボールトが行います。カード取引を行う必要が生じた際に、ボールトは販売者が選択したプロセッサーへ情報を送信します。

ポータブルデータへのアクセスにより、企業はマルチPSPアプローチを検討できます。これにより、マーチャントは複数の 決済処理業者 同時に（接続できます）。例えば、プロセッサーAがヨーロッパのカードにより良いレートを提供し、プロセッサーBがアメリカのカードにより安価な場合、マーチャントは適切なプロセッサーに取引を振り分けることができます。

マルチプロセッサー戦略を決定する際に考慮すべき点：

•   地理的範囲：プロバイダーは提供していますか 現地支払い方法?
•   コスト最適化リアルタイムで最安経路ルーティングを行うオプションはありますか？
•   技術的オーバーヘッドあなたのチームには、複数のものに対応できる能力がありますか？ API連携?