Czym jest Przenośność Danych Kart Kredytowych?

Przenoszalność danych kart kredytowych to mechanizm umożliwiający transfer danych płatniczych klientów, w szczególności Podstawowych Numerów Konta, między różnymi dostawcami usług płatniczych (z uwzględnieniem kwestii bezpieczeństwa i zgodności). Wskazuje to na możliwą korelację między dywersyfikacją instytucji finansowych do przechowywania kart a pewnymi korzyściami biznesowymi.

Oto główne cechy systemów przenośnych:

•       Bezpieczny eksport: System oferuje proces eksportowania danych zgodnych z PCI do innego dostawcy, po złożeniu formalnego wniosku.
•     Standaryzacja formatu: Gwarancja, że przekazywane dane są w formie, którą odbiorca może wykorzystać.
•       Kompatybilność tokenizacji: Wykorzystanie tokenów, które mogą być przełączane lub przekierowywane między różnymi bramkami przetwarzającymi.
•   Zachowanie zgodności: Utrzymywanie nieprzerwanego łańcucha nadzoru, który spełnia standardy bezpieczeństwa danych w branży kart płatniczych (PCI DSS).

Przekazywanie danych sprzedawców może wpływać na ich interakcje z dostawcami płatności i potencjalnie wiązać się z zależnościami od konkretnych procesorów lub dostawców. Częstą praktyką wśród dostawców są zastrzeżone systemy tokenizacji; gdy karty są przechowywane u tych dostawców, wynikowe tokeny zazwyczaj działają tylko w ich środowisku.

W przypadku rezygnacji sprzedawcy, dostawca może zastosować opłaty za odejście, a udostępnianie danych może powodować problemy z kompatybilnością formatów w różnych systemach. Finextra sugeruje możliwy związek między uzależnieniem od dostawcy a firmami odczuwającymi 20-30% różnicę w opłatach transakcyjnych, co może wiązać się ze zmianami pozycji negocjacyjnych względem obecnego dostawcy.

Przenośność danych jest znacząco uwarunkowana wymaganiami PCI DSS (Payment Card Industry Data Security Standard – Standard Bezpieczeństwa Danych w Branży Kart Płatniczych). W szczególności, sprzedawcy często unikają przechowywania niezaszyfrowanych numerów kart kredytowych na swoich serwerach lub jest im to zabronione, co może zmniejszyć pewne ryzyka. W konsekwencji, zamiast samodzielnie zajmować się danymi, sprzedawcy korzystają z usług dostawcy, który przechowuje te dane, a następnie wydaje „token”.

Zarówno po stronie „dającej,” jak i „odbierającej,” dostawcy muszą spełniać standardy PCI Level 1, aby migracja danych była możliwa. Ponadto, dane muszą być przesyłane bezpiecznie i szyfrowane podczas procesu migracji, który jest procesem typu „vault-to-vault”. Taki transfer utrzymuje sprzedawcę poza zakresem PCI, dane nie przechodzą przez ręce sprzedawcy, ale nadal umożliwia ich przepływ.

Koncepcyjnie jest to transfer między dwoma oddzielnymi, bezpiecznymi środowiskami. Sprzedawca żąda migracji danych, a obecny dostawca wykorzystuje klucz publiczny nowego dostawcy (cel) do zaszyfrowania bazy danych numerów kart.

1.   Zapytanie: Sprzedawca inicjuje eksport danych od Dostawcy A.
2.   Zabezpieczanie: Dostawca A chroni numery PAN i daty ważności poprzez szyfrowanie.
3.   Wysyłanie: Dane są przesyłane przy użyciu bezpiecznego protokołu SFTP lub dedykowanego API..
4.   Odbieranie: Dostawca B deszyfruje informacje i wydaje nowe tokeny do użytku sprzedawcy. ​‍​‌‍​‍‌​‍​‌‍​‍‌

Neutralny lub scentralizowany skarbiec tokenów odnosi się do podmiotu zewnętrznego, który jest oddzielony od środowiska procesora płatności. Zamiast procesora utrzymującego​‍​‌‍​‍‌​‍​‌‍​‍‌ dane kart, robi to skarbiec. Gdy konieczne jest przeprowadzenie transakcji kartą, skarbiec przesyła informacje do wybranego przez sprzedawcę procesora.

Dostęp do przenośnych danych umożliwia firmom rozważenie podejścia multi-PSP. Dzięki temu sprzedawca może łączyć się z wieloma procesory płatności jednocześnie. Na przykład, jeśli Procesor A oferuje lepszą stawkę dla kart europejskich, a Procesor B jest tańszy dla kart amerykańskich, sprzedawca może przekierować transakcje do odpowiedniego procesora.

Kwestie do rozważenia przy podejmowaniu decyzji o strategii multi-procesorowej:

•   Zasięg geograficzny: Czy dostawca oferuje lokalnych metod płatności?
•   Optymalizacja kosztów: Czy Państwo dysponują opcją “routingu najniższego kosztu” w czasie rzeczywistym?
•   Narzut techniczny: Czy Państwa zespół ma możliwość obsługi wielu integracji API?