SaaS決済ボールトとは何ですか？

SaaSペイメントボルトとは、基本的に、トークン化された決済カードデータが取得、暗号化、管理されるクラウドストレージシステムです。機密性のない参照情報であるトークンは、お客様のシステムに保存されます。一方、実際のプライマリアカウント番号（PAN）は、高度に安全で、管理され、監査された環境でボルトによって保持されます。

カードデータとリスク要因の継続的な関連性があるため、これは重要です。PCI DSSの適用範囲には、生のPANに接触するあらゆるシステムが含まれます。ボールトにおける排他的なデータ保管は、必要なコンプライアンスレベルに関連しており、セキュリティ侵害の発生と相関する可能性があります。

中立的な決済保管庫（payment vault）の最も重要な側面は、おそらくカードデータポータビリティです。これは、カード情報をトークン化すれば、顧客にカード情報の再入力を求めることなく、ある決済処理業者から別の決済処理業者へトークン化を切り替えられることを意味します。保管庫がない場合、トークンは通常、単一の決済サービスプロバイダー（PSP）によって有効化され、所有されます。現在のトークンの有効性は処理業者に紐付いているため、変更があった場合、顧客の再登録に影響を与える可能性があります。この依存関係、つまり「プロセッサーロックイン」は、交渉において既存のPSPに優位性を与える可能性があります。

中立的なボールトは、このような依存関係を防ぎます。トランザクションに選択されたプロセッサーに関わらず、トークンは常に同じ基になるPANを解除し、これにより、コスト、承認率、場所などの要素を考慮できるようになります。

主なボールトアーキテクチャは4つあり、それぞれ異なるトレードオフがあります。

•       PSP所有ボールト — プロセッサーがボールトを管理します。セットアップは簡単ですが、ロックインが発生し、可搬性は限られているか、存在しません。
•       中立/ネットワークボールト — 独立した第三者がPANsを保管し、プロセッサーに依存しないトークンを発行します。その機能にはポータビリティが含まれ、エンタープライズマーチャントやサブスクリプションサービスによって導入されています。
•       Vault-As-A-Service (VSaaS) — 専門ベンダーがボールトをスタンドアロンのAPIレイヤーとして提供するSaaSモデルです。柔軟な統合は、マルチプロセッサールーティングと同時に実装することが可能です。
•       オンプレミス型Vault — マーチャントが独自のVaultインフラを維持することで完全な管理が可能となりますが、多額のPCI投資と継続的な運用コストが必要となります。

VSaaS、あるいは中立的なボールトは、多くのSaaSビジネスにとって一つの可能なアプローチとなり、制御とコンプライアンス効率の間の均衡に影響を与える可能性があります。

カード会員データをボールティングすれば、アプリケーションサーバー、データベース、ログなどに公開することはありません。これにより通常、PCIスコープが80〜90%削減されます。多くのシステムを対象とするフルレベル1のオンサイト監査の代わりに、カード情報をボールティングしている加盟店は、トークン化の接点のみを対象とする、よりシンプルなSAQ AまたはSAQ A-EP評価の対象となる可能性があります。

コンプライアンス分野において、ボールト企業は、安全な環境の維持、PCI DSS監査の受診、コンプライアンス文書の提供など、要求の厳しいタスクをしばしば引き受けます。彼らのコンプライアンス体制は基盤として機能し、自社の体制確立に必要なリソースに影響を与える可能性があります。

継続的な支払いスタックのまさに中心にボールトを配置することが最も効果的です。

•       課金システム — 課金エンジンはトークンを利用して課金リクエストを送信します。ボールトはトークンをPANに展開し、その後でプロセッサーに渡します。課金システムは、カードデータへの直接アクセスを回避するように設計されています。
•       Account Updater — カードネットワーク（Visa、Mastercard）は、カードが再発行された際に新しいカード番号と有効期限を提供する「Account Updater」サービスを利用しています。適切に統合されたボールトは、更新された認証情報でトークンを更新でき、顧客離反（非自発的要因によるもの）に影響を与えます。

これらの機能の統合により、トークンが処理され、課金が実行され、カード情報が自動的に更新されるシステムが確立されます。

検討すべき質問点：

•       現在の事業運営において、顧客離反と、カード有効期限切れや再発行といった非自発的なイベントとの間に相関関係はありますか？
•       単一のプロセッサーの利用は、料金交渉やフローのリダイレクトにおいて検討事項となりえますか？
•       カードデータを処理するシステムを追加するにつれて、PCIコンプライアンスの範囲は拡大していますか？

そのような場合、ボールトを利用することは〜に影響を与える可能性があります。 ROI、詳細は以下の通りです。

•       削減 PCI 範囲 — PCIの対象となるシステムが少ない場合、監査費用が削減され、その他にも改善サイクルが少なくなり、情報漏洩の責任範囲が限定されるなどの利点があります。
•       承認率 — 採用 アカウント更新ツール。 および考慮 リトライロジック は通常、オーソリ成功率（約2～5パーセントポイント）の向上をもたらし、この差は大規模になるにつれて重要となり得ます。
•       プロセッサのポータビリティ — 現在のプロセッサとの条件変更 プロセッサー あるいは特定のBINを、より高い承認率を提供するカードネットワークに誘導することが望ましいです。
•       低減 解約 – タイムリーな認証情報の変更により、「カード拒否」エラーを削減し、影響を与える可能性があり サブスクリプションの解約 率を削減します。
•       市場拡大 — 市場拡大 ボールトを複数のプロセッサに接続することに関連し、おそらく追加を可能にし 現地アクワイアラー 全面的な決済スタックの再設計なしに。