Що таке переносимість даних кредитної картки?

Портативність даних кредитних карток – це механізм для передачі платіжних даних клієнтів, зокрема основних номерів рахунків, між різними постачальниками платіжних послуг (з урахуванням міркувань безпеки та відповідності). Це вказує на можливу кореляцію між диверсифікацією фінансових установ для зберігання карток та певними діловими перевагами.

Ось основні характеристики портативних систем:

•       Безпечний експортСистема пропонує процес експорту PCI-сумісних даних іншому постачальнику за умови офіційного запиту.
•     Стандартизація форматуЗабезпечення того, що передані дані мають форму, придатну для використання стороною-одержувачем.
•       Сумісність токенізаціїВикористання токенів, які можна перемикати або перенаправляти між різними платіжними шлюзами.
•   Збереження відповідностіПідтримка безперервного ланцюга зберігання, що відповідає Стандартам безпеки даних індустрії платіжних карток (PCI DSS).

Передача даних мерчанта може впливати на його взаємодію з платіжними провайдерами та потенційно створювати залежності від конкретних процесорів або постачальників. Поширена практика серед провайдерів передбачає використання власних систем токенізації; коли картки зберігаються у цих провайдерів, отримані токени зазвичай функціонують лише в їхньому середовищі.

Коли мерчант припиняє співпрацю, провайдер може стягувати плату за вихід, а передача даних може створювати питання сумісності форматів для різних систем. Finextra припускає можливий зв'язок між прив'язкою до постачальника та компаніями, які відчувають різницю в комісіях за обробку платежів від 20% до 30%, що може корелювати зі змінами у переговорних позиціях з їхнім поточним постачальником.

Переносимість значно обмежується вимогами PCI DSS (Стандарт безпеки даних індустрії платіжних карток). Зокрема, мерчанти часто уникають або їм заборонено зберігати незашифровані номери кредитних карток на своїх серверах, що може зменшити певні ризики. Як наслідок, замість того, щоб обробляти дані самостійно, мерчанти використовують послуги провайдера, які зберігають дані, а потім видають “токен”.

Щоб міграція даних була можливою, постачальники, що надають та приймають дані, повинні відповідати стандартам PCI рівня 1. Крім того, дані мають бути безпечно передані та зашифровані під час процесу міграції, який є процесом “від сховища до сховища”. Такий трансфер виводить мерчанта з-під дії PCI, дані не проходять через руки мерчанта, але все одно дозволяє переміщення даних.

Концептуально, це передача між двома окремими, захищеними середовищами. Мерчант запитує міграцію даних, і поточний провайдер використовує публічний ключ нового провайдера (Призначення) для шифрування бази даних номерів карток.

1.   Запит: Мерчант ініціює експорт даних від Провайдера А.
2.   Захист: Провайдер А захищає PAN та терміни дії за допомогою шифрування.
3.   Відправлення: Дані передаються з використанням захищеного SFTP або виділеного API.
4.   Отримання: Провайдер Б розшифровує інформацію та видає нові токени для використання мерчантом. ​‍​‌‍​‍‌​‍​‌‍​‍‌

Н​‍​‌‍​‍‌​‍​‌‍​‍‌ейтральне або централізоване сховище токенів стосується сторонньої організації, яка відокремлена від середовища платіжного процесора. Замість того, щоб процесор підтримував дані картки, сховище це робить. Коли необхідно здійснити карткову транзакцію, сховище передає інформацію процесору, якого обрав продавець.

Доступ до портативних даних дозволяє компаніям розглянути підхід з кількома PSP. Це дає змогу мерчанту підключатися до кількох платіжні процесори одночасно. Наприклад, якщо Процесор А пропонує кращий тариф для європейських карт, а Процесор Б дешевший для карт США, мерчант може спрямовувати транзакції до відповідного процесора.

Що слід врахувати, обираючи багатопроцесорну стратегію:

•   Географічне охоплення: Чи пропонує провайдер локальних способів оплати?
•   Оптимізація витрат: Чи маєте ви опцію «маршрутизації за найнижчою вартістю» у реальному часі?
•   Технічне навантаження: Чи має ваша команда можливість обробляти декілька інтеграцій API?