O que é um Cofre de Pagamento SaaS?

Um cofre de pagamentos SaaS é essencialmente um sistema de armazenamento em nuvem onde os dados tokenizados de cartões de pagamento são capturados, criptografados e gerenciados. Um token, uma referência não sensível, é armazenado no seu sistema enquanto o cofre mantém o Número de Conta Primário (PAN) real em um ambiente altamente seguro, controlado e auditado.

Isto é relevante devido à contínua associação dos dados de cartão com fatores de risco. O escopo do PCI DSS incluirá todos os sistemas que entram em contato com um PAN bruto. O armazenamento exclusivo de dados no cofre está relacionado com o nível de conformidade necessário e pode correlacionar-se com a incidência de violações de segurança.

Talvez o aspecto mais importante de um cofre de pagamentos neutro seja a portabilidade dos dados do cartão, o que significa que, uma vez tokenizadas as credenciais do cartão, você pode alternar a tokenização de um processador de pagamentos para outro sem pedir aos clientes para reinserirem os detalhes do cartão. Sem um cofre, os tokens são tipicamente válidos e pertencem a um único Provedor de Serviços de Pagamento (PSP). A validade dos tokens atuais está ligada ao processador; portanto, uma mudança pode impactar o re-cadastro do cliente. Essa dependência, o “processor lock-in”, pode dar ao seu PSP existente poder de negociação durante as negociações.

Um cofre neutro evita tal dependência. Independentemente do processador selecionado para as transações, os tokens desbloquearão consistentemente o mesmo PAN subjacente, permitindo potencialmente a consideração de fatores como custo, taxa de aprovação ou localização.

Existem quatro arquiteturas de cofre principais, cada uma com diferentes compensações:

•       Cofre de Propriedade do PSP — O processador gerencia o cofre. Fácil de configurar, mas cria aprisionamento; a portabilidade é limitada ou inexistente.
•       Cofre Neutro / Cofre de Rede — Um terceiro independente armazena PANs e emite tokens agnósticos ao processador. As funcionalidades incluem portabilidade e são implementadas por comerciantes empresariais e serviços de assinatura.
•       Cofre-Como-Serviço (VSaaS) — Um modelo SaaS onde um fornecedor especializado fornece o cofre como uma camada de API autónoma. A integração flexível pode ser implementada em simultâneo com o roteamento multi-processador.
•       Cofre Local — O comerciante mantém sua própria infraestrutura de cofre, oferecendo controle total, mas exigindo um investimento PCI considerável e despesas operacionais contínuas.

VSaaS, ou um cofre neutro, pode representar uma abordagem possível para muitas empresas SaaS, potencialmente impactando o equilíbrio entre controle e eficiência da conformidade.

Uma vez que você cofra os dados do titular do cartão, você nunca os libera para servidores de aplicação, bancos de dados ou logs, etc. Isso normalmente resulta em uma redução de 80–90% no escopo do PCI. Em vez de uma auditoria completa de Nível 1 no local que abrange muitos sistemas, um comerciante com dados em cofre pode ser elegível para uma avaliação SAQ A ou SAQ A-EP mais simples que cobre apenas os pontos de contato da tokenização.

No setor de conformidade, empresas de vault frequentemente realizam tarefas exigentes, incluindo a manutenção de um ambiente seguro, a submissão a auditorias PCI DSS e o fornecimento de documentação de conformidade. A sua postura de conformidade pode servir como base e afetar os recursos necessários para estabelecer a sua própria.

É​‍​‌‍​‍‌​‍​‌‍​‍‌ mais eficaz ter um vault no centro da sua pilha de pagamentos recorrentes:

•       Sistema de Cobrança — Um motor de cobrança submete a solicitação de cobrança usando um token. O cofre converte o token em um PAN e só então o entrega ao processador. O sistema de cobrança é projetado para evitar o acesso direto aos dados do cartão.
•       Atualizador de Contas — As redes de cartões (Visa, Mastercard) empregam serviços de Atualizador de Contas que fornecem os novos números de cartão e datas de validade quando os cartões são reemitidos. Um cofre bem integrado pode renovar tokens com credenciais atualizadas, impactando a rotatividade de clientes (relacionada a fatores involuntários).

A integração dessas funcionalidades estabelece um sistema onde os tokens são processados, as cobranças são executadas e as informações do cartão são atualizadas automaticamente.

Algumas perguntas a considerar:

•       Existe uma correlação entre o churn de clientes e eventos involuntários, como expiração ou reemissão de cartão, nas suas operações comerciais atuais?
•       A utilização de um único processador pode apresentar considerações para negociação de tarifas ou redirecionamento de fluxo?
•       À medida que adiciona sistemas que processam dados de cartão, o escopo da sua conformidade PCI está aumentando?

Em tais casos, a utilização de um vault pode ter um impacto em ROI, detalhado da seguinte forma:

•       Reduzindo PCI Escopo — Quando menos sistemas estão no escopo para PCI, isso resulta em menos gastos com auditoria, entre outros benefícios, menos ciclos de remediação e responsabilidade por violação de dados mais restrita.
•       Taxa de Aprovação — A aplicação Atualizador de Contas e a consideração da lógica de retentativa normalmente gera um aumento na taxa de autorização (de aproximadamente 2 a 5 pontos percentuais), uma diferença que pode ser relevante em escala.
•       Portabilidade do Processador — A alteração dos termos com o atual processador ou o direcionamento de certos BINs para redes de cartão que ofereçam taxas de aprovação mais altas é desejável.
•       Minimizando Churn – Alterações oportunas das credenciais podem reduzir erros de 'cartão recusado', potencialmente afetando o cancelamento da assinatura taxas.
•       Expansão de Mercado — Expansão de mercado associado à conexão do vault a múltiplos processadores, talvez possibilitando a adição de adquirentes locais sem uma reformulação completa da pilha de pagamentos.