Wat is een SaaS Betaalkluis?

Een SaaS betaalkluis is in wezen een cloudopslagsysteem waar getokeniseerde betaalkaartgegevens worden vastgelegd, versleuteld en beheerd. Een token, een niet-gevoelige referentie, wordt in uw systeem opgeslagen, terwijl de kluis het echte primaire rekeningnummer (PAN) bewaart in een zeer veilige, gecontroleerde en geauditeerde omgeving.

Dit is relevant vanwege de voortdurende associatie van kaartgegevens met risicofactoren. De reikwijdte van PCI DSS omvat alle systemen die in contact komen met een onbewerkte PAN. Exclusieve gegevensopslag in de kluis houdt verband met het vereiste nalevingsniveau en kan correleren met de incidentie van beveiligingslekken.

Misschien wel het belangrijkste aspect van een neutrale betaalkluis is de portabiliteit van kaartgegevens, wat betekent dat zodra u de kaartgegevens hebt getokeniseerd, u de tokenisatie van de ene betalingsverwerker naar de andere kunt overschakelen zonder klanten te vragen hun kaartgegevens opnieuw in te voeren. Zonder een kluis zijn tokens doorgaans geldig en eigendom van één Payment Service Provider (PSP). De geldigheid van de huidige tokens is gekoppeld aan de verwerker; daarom kan een wijziging gevolgen hebben voor de herregistratie van klanten. Deze afhankelijkheid, de zogenaamde 'processor lock-in', kan uw bestaande PSP een sterkere onderhandelingspositie geven tijdens onderhandelingen.

Een neutrale kluis voorkomt een dergelijke afhankelijkheid. Ongeacht de geselecteerde verwerker voor transacties, zullen de tokens consequent dezelfde onderliggende PAN ontgrendelen, wat potentieel overweging mogelijk maakt van factoren zoals kosten, goedkeuringspercentage of locatie.

Er zijn vier belangrijke kluisarchitecturen, elk met verschillende afwegingen:

•       PSP-Owned Vault — De processor beheert de kluis. Eenvoudig in te stellen, maar creëert vendor lock-in; draagbaarheid is beperkt of onbestaand.
•       Neutrale / Netwerkkluis — Een onafhankelijke derde partij slaat PAN's op en geeft processor-onafhankelijke tokens uit. De functies omvatten draagbaarheid en worden geïmplementeerd door zakelijke verkopers en abonnementsdiensten.
•       Vault-As-A-Service (VSaaS) — Een SaaS-model waarbij een gespecialiseerde leverancier de 'vault' aanbiedt als een op zichzelf staande API-laag. Flexibele integratie kan gelijktijdig worden geïmplementeerd met routering via meerdere processors.
•       On-Premises Vault — De handelaar onderhoudt zijn eigen vault-infrastructuur, wat volledige controle biedt, maar aanzienlijke PCI-investeringen en continue operationele kosten met zich meebrengt.

VSaaS, of een neutrale 'vault', kan een mogelijke benadering zijn voor veel SaaS-bedrijven, wat mogelijk de balans tussen controle en compliance-efficiëntie beïnvloedt.

Zodra u de kaarthoudergegevens 'vault', geeft u deze nooit vrij aan applicatieservers, databases of logs, etc. Dit resulteert normaal gesproken in een reductie van 80–90% van de PCI-scope. In plaats van een volledige Level 1 on-site audit die veel systemen omvat, komt een handelaar die 'vaulting' toepast mogelijk in aanmerking voor een eenvoudigere SAQ A of SAQ A-EP beoordeling die alleen de tokenisatie-contactpunten omvat.

In de compliance sector nemen vault bedrijven vaak veeleisende taken op zich, waaronder het handhaven van een veilige omgeving, het ondergaan van PCI DSS audits en het leveren van compliance documentatie. Hun nalevingspositie kan als basis dienen en de middelen beïnvloeden die nodig zijn om uw eigen naleving op te zetten.

Het is​‍​‌‍​‍‌​‍​‌‍​‍‌ het meest effectief om een vault in het hart van uw terugkerende betalingsstack te hebben:

•       Facturatiesysteem — Een factureringsengine dient het factureringsverzoek in met behulp van een token. De kluis zet de token om in een PAN en geeft deze pas dan door aan de verwerker. Het facturatiesysteem is ontworpen om directe toegang tot kaartgegevens te voorkomen.
•       Account Updater — Kaartnetwerken (Visa, Mastercard) maken gebruik van Account Updater-diensten die de nieuwe kaartnummers en vervaldata leveren wanneer kaarten opnieuw worden uitgegeven. Een goed geïntegreerde kluis kan tokens vernieuwen met bijgewerkte gegevens, wat impact heeft op klantverloop (gerelateerd aan onvrijwillige factoren).

De integratie van deze functionaliteiten creëert een systeem waarin tokens worden verwerkt, betalingen worden uitgevoerd en kaartinformatie automatisch wordt bijgewerkt.

Enkele vragen om te overwegen:

•       Is er een correlatie tussen klantenverloop en onvrijwillige gebeurtenissen zoals het verlopen of opnieuw uitgeven van een kaart in uw huidige bedrijfsvoering?
•       Zou het gebruik van één processor overwegingen met zich mee kunnen brengen voor tariefonderhandelingen of de omleiding van geldstromen?
•       Neemt de reikwijdte van uw PCI-compliance toe naarmate u systemen toevoegt die kaartgegevens verwerken?

In dergelijke gevallen zou het gebruik van een 'vault' een impact kunnen hebben op ROI, gedetailleerd als volgt:

•       Het verminderen van PCI Reikwijdte — Wanneer minder systemen onder de PCI-reikwijdte vallen, resulteert dit onder andere in lagere auditkosten, minder herstelcycli en een beperkte aansprakelijkheid bij datalekken.
•       Goedkeuringspercentage — Het toepassen van Account Updater en rekening houdend met herhaal-logica leidt doorgaans tot een stijging van het autorisatiepercentage (van ongeveer 2-5 procentpunten), een verschil dat op grote schaal relevant kan zijn.
•       Processorportabiliteit — Het wijzigen van voorwaarden met de huidige processor of het routeren van bepaalde BIN's naar kaartnetwerken die hogere goedkeuringspercentages bieden is wenselijk.
•       Verminderen Churn – Tijdige wijzigingen van betaalgegevens kunnen 'kaart geweigerd'-fouten verminderen, wat mogelijk gevolgen heeft voor abonnementsopzegging daalt.
•       Marktuitbreiding — Marktuitbreiding gerelateerd aan het verbinden van de kluis met meerdere processors, waarbij mogelijk de toevoeging van lokale acquirers zonder een volledige herziening van de betaalstack.