O que é um Cofre de Pagamentos SaaS?

Um cofre de pagamentos SaaS é essencialmente um sistema de armazenamento em nuvem onde dados de cartões de pagamento tokenizados são capturados, criptografados e gerenciados. Um token, uma referência não sensível, é armazenado em seu sistema enquanto o cofre mantém o Número da Conta Primária (PAN) real em um ambiente altamente seguro, controlado e auditado.

Isto é relevante devido à associação contínua dos dados do cartão com fatores de risco. O escopo do PCI DSS incluirá todos os sistemas que entram em contato com um PAN bruto. O armazenamento exclusivo de dados no vault relaciona-se com o nível de conformidade necessário e pode correlacionar-se com a incidência de violações de segurança.

Talvez o aspecto mais importante de um cofre de pagamento neutro seja a portabilidade dos dados do cartão, o que significa que, uma vez que você tenha tokenizado as credenciais do cartão, você pode alternar a tokenização de um processador de pagamento para outro sem pedir aos clientes para reinserir os detalhes do cartão. Sem um cofre, os tokens são tipicamente válidos e pertencem a um único Provedor de Serviços de Pagamento (PSP). A validade dos tokens atuais está conectada ao processador; portanto, uma mudança pode impactar o recadastramento do cliente. Essa dependência, o “aprisionamento ao processador”, pode dar ao seu PSP existente vantagem durante as negociações.

Um cofre neutro previne tal dependência. Independentemente do processador selecionado para as transações, os tokens consistentemente desbloquearão o mesmo PAN subjacente, potencialmente permitindo a consideração de fatores como custo, taxa de aprovação ou localização.

Existem quatro arquiteturas principais de cofre, cada uma com diferentes compromissos:

•       Cofre de Propriedade do PSP — O processador gerencia o cofre. Fácil de configurar, mas cria dependência; a portabilidade é limitada ou inexistente.
•       Neutral / Network Vault — Um terceiro independente armazena PANs e emite tokens agnósticos de processador. Os recursos incluem portabilidade e são implementados por comerciantes empresariais e serviços de assinatura.
•       Vault-As-A-Service (VSaaS) — Um modelo SaaS onde um fornecedor especializado oferece o cofre como uma camada de API independente. A integração flexível pode ser implementada simultaneamente com o roteamento multiprocessador.
•       On-Premises Vault — O comerciante mantém sua própria infraestrutura de vault, oferecendo controle total, mas necessitando de considerável investimento em PCI e despesas operacionais contínuas.

VSaaS, ou um cofre neutro, pode representar uma abordagem possível para muitas empresas SaaS, potencialmente impactando o equilíbrio entre controle e eficiência da conformidade.

Uma vez que você armazena os dados do titular do cartão em um cofre, você nunca os libera para servidores de aplicativos, bancos de dados ou logs, etc. Isso normalmente resulta em uma redução de 80–90% no escopo PCI. Em vez de uma auditoria completa Nível 1 no local que abrange muitos sistemas, um comerciante com dados em cofre pode ser elegível para uma avaliação SAQ A ou SAQ A-EP mais simples, que abrange apenas os pontos de contato da tokenização.

No setor de conformidade, as empresas de vault frequentemente realizam tarefas exigentes, incluindo a manutenção de um ambiente seguro, a realização de auditorias PCI DSS e o fornecimento de documentação de conformidade. Sua postura de conformidade pode servir como base e afetar os recursos necessários para estabelecer a sua própria.

É​‍​‌‍​‍‌​‍​‌‍​‍‌ mais eficaz ter um vault posicionado bem no centro da sua pilha de pagamentos recorrentes:

•       Sistema de Faturamento — Um motor de faturamento envia a solicitação de cobrança usando um token. O cofre converte o token em um PAN e só então o entrega ao processador. O sistema de faturamento é projetado para evitar o acesso direto aos dados do cartão.
•       Atualizador de Contas — As redes de cartão (Visa, Mastercard) empregam serviços de Atualizador de Contas que fornecem os novos números de cartão e datas de validade quando os cartões são reemitidos. Um cofre bem integrado pode renovar tokens com credenciais atualizadas, impactando a rotatividade de clientes (relacionada a fatores involuntários).

A integração desses recursos estabelece um sistema onde os tokens são processados, as cobranças são executadas e as informações do cartão são atualizadas automaticamente.

Algumas perguntas a considerar:

•       Existe uma correlação entre a rotatividade de clientes e eventos involuntários, como expiração ou reemissão de cartão, nas suas operações comerciais atuais?
•       A utilização de um único processador poderia apresentar considerações para negociação de taxas ou redirecionamento de fluxo?
•       À medida que você adiciona sistemas que lidam com dados de cartão, o seu escopo de conformidade PCI está aumentando?

Nesses casos, a utilização de um vault poderia ter um impacto em ROI, detalhado da seguinte forma:

•       Reduzindo PCI Escopo — Quando menos sistemas estão no escopo do PCI, isso resulta em menos gastos com auditoria, entre outros benefícios, menos ciclos de remediação e responsabilidade limitada por violação.
•       Taxa de Aprovação — Empregar Atualizador de Contas e considerar lógica de retentativa geralmente resulta em um aumento da taxa de autorização (de aproximadamente 2 a 5 pontos percentuais), uma diferença que pode ser relevante em escala.
•       Portabilidade do Processador — Alterar os termos com o atual processador ou direcionar BINs específicos para redes de cartão que oferecem taxas de aprovação mais altas é desejável.
•       Redução Churn – Atualizações oportunas de credenciais podem reduzir erros de "cartão recusado", potencialmente afetando cancelamento de assinatura carrinho.
•       Expansão de Mercado — Expansão de mercado associado à conexão do cofre a múltiplos processadores, talvez possibilitando a adição de adquirentes locais sem uma reformulação completa da pilha de pagamentos.