Ce este un seif de plăți SaaS?

Un seif de plăți SaaS este, în esență, un sistem de stocare în cloud unde datele tokenizate ale cardurilor de plată sunt capturate, criptate și gestionate. Un token, o referință non-sensibilă, este stocat în sistemul dumneavoastră, în timp ce seiful păstrează Numărul Principal al Contului (PAN) real într-un mediu extrem de sigur, controlat și auditat.

Acest lucru este relevant datorită asocierii continue a datelor de card cu factorii de risc. Domeniul de aplicare PCI DSS va include toate sistemele care intră în contact cu un PAN brut. Stocarea exclusivă a datelor în seif se referă la nivelul de conformitate necesar și se poate corela cu incidența breșelor de securitate.

Probabil cel mai important aspect al unui seif de plăți neutru este portabilitatea datelor cardului, ceea ce înseamnă că, odată ce ați tokenizat datele cardului, puteți schimba tokenizarea de la un procesator de plăți la altul fără a cere clienților să reintroducă detaliile cardului. Fără un seif, tokenurile sunt de obicei valide și deținute de un singur Furnizor de Servicii de Plată (PSP). Valabilitatea tokenurilor actuale este legată de procesator; prin urmare, o modificare poate afecta reînscrierea clienților. Această dependență, „blocajul procesatorului” (processor lock-in), îi poate oferi PSP-ului existent un avantaj în timpul negocierilor.

Un seif neutru previne o astfel de dependență. Indiferent de procesatorul selectat pentru tranzacții, tokenurile vor debloca în mod constant același PAN subiacent, permițând potențial luarea în considerare a unor factori precum costul, rata de aprobare sau locația.

Există patru arhitecturi principale de seif, fiecare cu compromisuri diferite:

•       Seif deținut de PSP — Procesatorul gestionează seiful. Ușor de configurat, dar creează dependență; portabilitatea este limitată sau inexistentă.
•       Neutral / Network Vault — O terță parte independentă stochează PAN-uri și emite tokenuri agnostice de procesator. Caracteristicile includ portabilitatea și sunt implementate de comercianți de tip enterprise și servicii de abonament.
•       Vault-As-A-Service (VSaaS) — Un model SaaS în care un furnizor specializat oferă seiful ca un strat API independent. O integrare flexibilă poate fi implementată concomitent cu rutarea multi-procesor.
•       Seif local — Comerciantul își menține propria infrastructură de seif, oferind control complet, dar necesitând o investiție PCI considerabilă și cheltuieli operaționale continue.

VSaaS, sau un seif neutru, poate reprezenta o abordare posibilă pentru multe afaceri SaaS, afectând potențial echilibrul dintre control și eficiența conformității.

Odată ce stocați în siguranță (vaulting) datele titularului cardului, nu le transmiteți niciodată serverelor de aplicații, bazelor de date sau fișierelor jurnal (log-urilor), etc. Acest lucru duce, în mod normal, la o reducere de 80–90% a domeniului de aplicare PCI. În loc de un audit complet la fața locului de Nivel 1, care acoperă multe sisteme, un comerciant care utilizează stocarea securizată (vaulting) poate fi eligibil pentru o evaluare SAQ A sau SAQ A-EP mai simplă, care acoperă doar punctele de contact ale tokenizării.

În sectorul de conformitate, companiile de stocare securizată („vault companies”) preiau adesea sarcini solicitante, inclusiv menținerea unui mediu securizat, trecerea auditurilor PCI DSS și furnizarea documentației de conformitate. Poziția lor de conformitate poate servi drept fundament și poate influența resursele necesare pentru a o stabili pe a dvs.

Este cel mai eficient să ai un seif situat chiar în centrul infrastructurii tale de plăți recurente:

•       Sistem de facturare — Un motor de facturare trimite solicitarea de plată utilizând un token. Seiful transformă tokenul într-un PAN și abia apoi îl transmite procesatorului. Sistemul de facturare este conceput pentru a evita accesul direct la datele cardului.
•       Serviciul de Actualizare Carduri — Rețelele de carduri (Visa, Mastercard) utilizează servicii de actualizare a cardurilor care furnizează noile numere de card și datele de expirare atunci când cardurile sunt reemise. Un seif bine integrat poate reînnoi token-urile cu credențiale actualizate, impactând abandonul clienților (legat de factori involuntari).

Integrarea acestor funcționalități stabilește un sistem în care token-urile sunt procesate, plățile sunt executate, iar informațiile cardului sunt actualizate automat.

Câteva întrebări de luat în considerare:

•       Există o corelație între pierderea clienților și evenimente involuntare, cum ar fi expirarea sau reemiterea cardului, în operațiunile dumneavoastră de afaceri curente?
•       Utilizarea unui singur procesator ar putea genera considerații privind negocierea tarifelor sau redirecționarea fluxului?
•       Pe măsură ce adăugați sisteme care gestionează datele cardurilor, crește sfera de aplicare a conformității dumneavoastră PCI?

În astfel de cazuri, utilizarea unui vault ar putea avea un impact asupra ROI, detaliate după cum urmează:

•       Reducerea PCI Domeniul de aplicare — Când mai puține sisteme intră în domeniul de aplicare PCI, rezultă costuri de audit mai mici, printre alte beneficii, mai puține cicluri de remediere și o răspundere limitată în caz de breșă.
•       Rata de Aprobare — Aplicarea Actualizare Cont și luarea în considerare a logicii de reîncercare determină de obicei o creștere a ratei de autorizare (de aproximativ 2-5 puncte procentuale), o diferență care poate fi relevantă la scară mare.
•       Portabilitatea Procesorului — Modificarea termenilor cu actualul Procesor sau direcționarea anumitor BIN-uri către rețele de carduri care oferă rate de aprobare mai mari este de dorit.
•       Reducerea Rata de abandon – Actualizările în timp util ale credențialelor pot reduce erorile de tip „card refuzat”, afectând potențial anularea abonamentului de cumpărături.
•       Expansiune pe piață — Extinderea pieței asociat cu conectarea seifului la multiple procesoare, posibil permițând adăugarea de achizitori locali fără o reproiectare completă a stivei de plată.