SaaS 결제 볼트란 무엇인가요?

SaaS 결제 볼트는 본질적으로 토큰화된 결제 카드 데이터가 캡처, 암호화 및 관리되는 클라우드 스토리지 시스템입니다. 민감하지 않은 참조인 토큰은 시스템에 저장되는 반면, 볼트는 실제 기본 계좌 번호(PAN)를 고도로 안전하고 통제되며 감사받는 환경에 보관합니다.

카드 데이터가 위험 요소와 계속 연관되어 있기 때문에 이는 중요합니다. PCI DSS 범위는 미처리 PAN과 접촉하는 모든 시스템을 포함합니다. 볼트에만 데이터를 저장하는 것은 필요한 규정 준수 수준과 관련이 있으며, 보안 침해 발생률과 연관될 수 있습니다.

중립적인 결제 금고의 가장 중요한 측면은 아마도 카드 데이터 이식성일 것입니다. 즉, 카드 정보를 토큰화한 후에는 고객에게 카드 정보를 다시 입력하도록 요청할 필요 없이 한 결제 처리업체에서 다른 결제 처리업체로 토큰화를 전환할 수 있습니다. 금고가 없으면 토큰은 일반적으로 단일 결제 서비스 제공업체(PSP)에 의해 유효하며 소유됩니다. 현재 토큰의 유효성은 처리업체에 연결되어 있으므로 변경 시 고객 재등록에 영향을 미칠 수 있습니다. 이러한 의존성, 즉 “처리업체 종속”은 협상 시 기존 PSP에 유리한 위치를 제공할 수 있습니다.

중립 볼트(vault)는 그러한 종속성을 방지합니다. 거래에 선택된 프로세서와 관계없이, 토큰은 항상 동일한 기본 PAN을 잠금 해제하며, 이는 비용, 승인율 또는 위치와 같은 요소를 고려할 수 있도록 합니다.

네 가지 주요 볼트 아키텍처가 있으며, 각각 다른 장단점을 가지고 있습니다:

•       PSP 소유 볼트 — 프로세서가 볼트를 관리합니다. 설정하기는 쉽지만, 종속성을 만듭니다. 이식성이 제한적이거나 존재하지 않습니다.
•       중립/네트워크 볼트 — 독립적인 제3자가 PAN을 저장하고 프로세서에 구애받지 않는 토큰을 발행합니다. 이 기능에는 이식성이 포함되며, 기업 판매자와 구독 서비스에 의해 구현됩니다.
•       서비스형 볼트 (VSaaS) — 전문 공급업체가 볼트를 독립적인 API 계층으로 제공하는 SaaS 모델입니다. 유연한 통합은 다중 프로세서 라우팅과 동시에 구현될 수 있습니다.
•       온프레미스 볼트 — 판매자는 자체 볼트 인프라를 유지하여 완전한 제어권을 제공하지만, 상당한 PCI 투자와 지속적인 운영 비용을 수반합니다.

VSaaS 또는 중립 볼트는 많은 SaaS 기업에게 하나의 가능한 접근 방식이 될 수 있으며, 이는 제어권과 규정 준수 효율성 간의 균형에 잠재적으로 영향을 미칠 수 있습니다.

카드 소유자 데이터를 볼팅하면 애플리케이션 서버, 데이터베이스 또는 로그 등에 절대 공개하지 않습니다. 이는 일반적으로 PCI 범위의 80~90% 감소로 이어집니다. 여러 시스템을 포괄하는 전체 레벨 1 현장 감사 대신, 볼팅된 판매자는 토큰화 접점만 다루는 더 간단한 SAQ A 또는 SAQ A-EP 평가를 받을 자격이 있을 수 있습니다.

규정 준수 부문에서, 볼트 기업들은 보안 환경 유지, PCI DSS 감사 수감, 규정 준수 문서 제공을 포함한 까다로운 작업들을 종종 수행합니다. 이들의 규정 준수 태세는 자체 시스템 구축을 위한 토대가 될 수 있으며, 이에 필요한 자원에 영향을 미칩니다.

반복 결제 시스템의 가장 중심에 볼트를 배치하는 것이 가장 효과적입니다:

•       청구 시스템 — 청구 엔진은 토큰을 사용하여 청구 요청을 제출합니다. 볼트는 토큰을 PAN으로 변환한 다음 프로세서에 전달합니다. 이 청구 시스템은 카드 데이터에 대한 직접적인 접근을 방지하도록 설계되었습니다.
•       계정 업데이트 — 카드 네트워크(Visa, Mastercard)는 카드가 재발급될 때 새로운 카드 번호와 만료일을 제공하는 계정 업데이트 서비스를 사용합니다. 잘 통합된 볼트는 업데이트된 인증 정보로 토큰을 갱신할 수 있으며, 이는 고객 이탈(비자발적 요인과 관련됨)에 영향을 미칩니다.

이러한 기능들의 통합은 토큰이 처리되고, 결제가 실행되며, 카드 정보가 자동으로 업데이트되는 시스템을 구축합니다.

고려할 질문들:

•       현재 비즈니스 운영에서 고객 이탈과 카드 만료 또는 재발급과 같은 비자발적 이벤트 사이에 상관관계가 있습니까?
•       단일 프로세서를 활용하면 요율 협상 또는 흐름 전환과 관련하여 고려할 사항이 생길 수 있습니까?
•       카드 데이터를 처리하는 시스템을 추가할수록 PCI 컴플라이언스 범위가 확대되고 있습니까?

이러한 경우, 볼트를 활용하는 것은 ~에 영향을 미칠 수 있습니다. ROI상세 내용은 다음과 같습니다.

•       감소 PCI 범위 — PCI 범위 시스템 수가 적으면 감사 지출이 줄고, 교정 주기가 단축되며, 침해 책임이 제한되는 등 이점이 있습니다.
•       승인율 — 활용하여 계정 업데이트 그리고 고려하여 재시도 로직 일반적으로 승인율이 약 2~5% 포인트 증가하며, 이는 대규모 운영 시 중요한 차이를 만들 수 있습니다.
•       프로세서 유연성 — 현재 (프로세서)와의 조건을 변경하거나 프로세서 또는 더 높은 승인율을 제공하는 카드 네트워크로 특정 BIN을 유도하는 것이 바람직합니다.
•       낮추기 이탈 – 시기적절한 자격 증명 변경은 '카드 거부' 오류를 줄여, 잠재적으로 영향을 미칠 수 있습니다. 구독 취소 줄여줍니다.
•       시장 확장 — 시장 확장 볼트를 여러 프로세서에 연결하는 것과 관련되며, 아마도 ~의 추가를 가능하게 하여 현지 인수사 전체 결제 스택 재설계 없이.