Wat is Portabiliteit van creditcardgegevens?

Portabiliteit van creditcardgegevens is een mechanisme om betaalgegevens van klanten, met name primaire rekeningnummers, over te dragen tussen verschillende betalingsdienstaanbieders (met inachtneming van beveiligings- en compliance-overwegingen). Dit duidt op een mogelijke correlatie tussen het diversifiëren van financiële instellingen voor kaartopslag en bepaalde zakelijke voordelen.

Hier zijn de belangrijkste kenmerken van draagbare systemen:

•       Veilig exporterenHet systeem biedt een proces voor het exporteren van PCI-compatibele gegevens naar een andere provider, onder voorbehoud van een formeel verzoek.
•     FormaatstandaardisatieGaranderen dat de overgedragen gegevens in een formaat zijn dat de ontvangende partij kan gebruiken.
•       TokenisatiecompatibiliteitGebruik maken van tokens die kunnen worden gewisseld of omgeleid tussen verschillende verwerkingsgateways.
•   NalevingsbehoudHet handhaven van een ononderbroken bewaarketen die voldoet aan de Payment Card Industry Data Security Standards (PCI DSS).

Overdracht van merchantgegevens kan de interacties met betalingsproviders beïnvloeden en mogelijk leiden tot afhankelijkheden van specifieke processors of leveranciers. Een veelvoorkomende praktijk bij providers is het gebruik van eigen tokenisatiesystemen; wanneer kaarten bij deze providers worden opgeslagen, functioneren de resulterende tokens doorgaans alleen binnen hun eigen omgeving.

Wanneer een merchant vertrekt, kunnen de provider exitkosten in rekening brengen, en kan de vrijgave van gegevens overwegingen voor formaatcompatibiliteit voor diverse systemen met zich meebrengen. Finextra suggereert een mogelijke relatie tussen vendor lock-in en bedrijven die een verschil van 20% tot 30% ervaren in verwerkingskosten, wat mogelijk samenhangt met veranderingen in onderhandelingsposities met hun huidige leverancier.

Draagbaarheid wordt aanzienlijk beïnvloed door de PCI DSS-vereisten (Payment Card Industry Data Security Standard). Concreet vermijden handelaren vaak het opslaan van ongecodeerde creditcardnummers op hun servers, of is dit hen verboden, wat bepaalde risico's kan verminderen. Als gevolg hiervan, in plaats van de gegevens zelf te beheren, maken handelaren gebruik van de diensten van de provider die de gegevens opslaan en vervolgens een “token” uitgeven.

Aan de “gevende” en “ontvangende” partij moeten de providers voldoen aan de PCI Level 1 standaarden om de datamigratie mogelijk te maken. Bovendien moeten de gegevens veilig en versleuteld worden overgedragen tijdens het migratieproces, wat een “vault-to-vault”-proces is. Een dergelijke overdracht houdt de handelaar buiten de PCI-scope, de gegevens passeren de handen van de handelaar niet, maar maakt toch de verplaatsing van de gegevens mogelijk.

Conceptueel is dit een overdracht tussen twee afzonderlijke, veilige omgevingen. De handelaar vraagt om datamigratie, en de huidige provider gebruikt de publieke sleutel van de nieuwe provider (de Bestemming) om de database met kaartnummers te versleutelen.

1.   Aanvraag: De handelaar initieert de data-export vanuit Provider A.
2.   Beveiliging: Provider A beschermt de PANs en vervaldatums door middel van encryptie.
3.   Verzending: Data wordt overgedragen met behulp van beveiligde SFTP of een speciale API..
4.   Ontvangst: Provider B ontsleutelt de informatie en geeft nieuwe tokens uit voor gebruik door de merchant. ​‍​‌‍​‍‌​‍​‌‍​‍‌

Een​‍​‌‍​‍‌​‍​‌‍​‍‌ neutrale of gecentraliseerde tokenkluis verwijst naar een externe entiteit die losstaat van de omgeving van de betaalprocessor. In plaats van dat de processor de kaartgegevens, de kluis doet dat wel. Wanneer het nodig is om een kaarttransactie uit te voeren, stuurt de kluis de informatie door naar de processor die de verkoper heeft geselecteerd.

Toegang tot draagbare gegevens stelt bedrijven in staat om een multi-PSP-aanpak te overwegen. Dit stelt een merchant in staat om verbinding te maken met meerdere betalingsverwerkers tegelijkertijd. Als bijvoorbeeld Processor A een beter tarief biedt voor Europese kaarten en Processor B goedkoper is voor Amerikaanse kaarten, kan de merchant de transacties naar de juiste processor sturen.

Zaken om te overwegen bij het kiezen van een multi-processorstrategie:

•   Geografisch bereik: Biedt de provider lokale betaalmethoden?
•   Kostenoptimalisatie: Heeft u de optie om in real time de “voordeligste route” te kiezen?
•   Technische Overhead: Heeft uw team de capaciteit om meerdere te verwerken? API-integraties?