Що таке платіжне сховище SaaS?

Платіжне сховище SaaS – це, по суті, хмарна система зберігання даних, де токенізовані дані платіжних карток збираються, шифруються та керуються. Токен, неконфіденційне посилання, зберігається у вашій системі, тоді як сховище зберігає справжній номер основного рахунку (PAN) у надзвичайно безпечному, контрольованому та аудитованому середовищі.

Це актуально через постійний зв'язок карткових даних з факторами ризику. Сфера дії PCI DSS включатиме всі системи, що контактують з необробленим PAN. Ексклюзивне зберігання даних у сховищі пов'язане з необхідним рівнем відповідності та може корелювати з частотою виникнення порушень безпеки.

Мабуть, найважливіший аспект нейтрального платіжного сховища – це переносимість даних картки. Це означає, що як тільки ви токенізували облікові дані картки, ви можете перемикати токенізацію від одного платіжного процесора до іншого, не вимагаючи від клієнтів повторно вводити дані їхньої картки. Без сховища токени, як правило, дійсні та належать одному постачальнику платіжних послуг (PSP). Дійсність поточних токенів пов'язана з процесором; тому зміна може вплинути на повторну реєстрацію клієнтів. Ця залежність, «прив'язка до процесора», може надати вашому існуючому PSP перевагу під час переговорів.

Нейтральне сховище запобігає такій залежності. Незалежно від обраного процесора для транзакцій, токени завжди розблоковуватимуть той самий базовий PAN, потенційно дозволяючи враховувати такі фактори, як вартість, відсоток схвалення або місцезнаходження.

Існує чотири основні архітектури сховищ, кожна з яких має різні компроміси:

•       Сховище, що належить PSP — Процесор керує сховищем. Легко налаштувати, але створює залежність; портативність обмежена або відсутня.
•       Нейтральне / Мережеве сховище — Незалежна третя сторона зберігає PAN та видає токени, незалежні від процесора. Функції включають портативність і впроваджуються корпоративними продавцями та службами підписки.
•       Сховище як послуга (VSaaS) — Модель SaaS, де спеціалізований постачальник надає сховище як самостійний шар API. Гнучка інтеграція може бути реалізована одночасно з маршрутизацією через кілька процесорів.
•       Локальне сховище — Мерчант підтримує власну інфраструктуру сховища, пропонуючи повний контроль, але вимагаючи значних інвестицій у PCI та постійних операційних витрат.

VSaaS, або нейтральне сховище, може бути одним із можливих підходів для багатьох SaaS-компаній, потенційно впливаючи на баланс між контролем та ефективністю дотримання вимог.

Після того, як ви токенізуєте дані власника картки, ви ніколи не передаєте їх на сервери додатків, у бази даних або журнали тощо. Це зазвичай призводить до зменшення обсягу PCI на 80–90%. Замість повної виїзної перевірки Level 1, яка охоплює багато систем, мерчант, що використовує токенізацію, може претендувати на простішу оцінку SAQ A або SAQ A-EP, яка охоплює лише точки взаємодії токенізації.

У секторі комплаєнсу компанії-сховища часто виконують складні завдання, зокрема підтримку безпечного середовища, проходження аудитів PCI DSS та надання комплаєнс-документації. Їхня комплаєнс-позиція може слугувати основою та впливати на ресурси, необхідні для створення вашої власної.

Найефективніше розмістити сховище в самому центрі вашого стеку регулярних платежів:

•       Білінгова система — Білінговий механізм подає запит на списання коштів, використовуючи токен. Сховище перетворює токен на PAN і лише потім передає його процесору. Білінгова система розроблена для уникнення прямого доступу до даних картки.
•       Account Updater — Карткові мережі (Visa, Mastercard) використовують сервіси Account Updater, які надають нові номери карток та терміни дії, коли картки перевипускаються. Добре інтегроване сховище може оновлювати токени з оновленими обліковими даними, впливаючи на відтік клієнтів (пов'язаний з мимовільними факторами).

Інтеграція цих функцій створює систему, в якій токени обробляються, платежі виконуються, а інформація про картки оновлюється автоматично.

Кілька запитань для розгляду:

•       Чи існує взаємозв'язок між відтоком клієнтів та мимовільними подіями, такими як закінчення терміну дії або перевипуск картки, у ваших поточних бізнес-операціях?
•       Чи може використання єдиного процесора викликати питання щодо переговорів про тарифи або перенаправлення потоків?
•       Чи розширюється сфера дії вашої відповідності PCI в міру додавання систем, що обробляють дані карток?

У таких випадках використання сховища може вплинути на ROI, деталізовано наступним чином:

•       Зменшення PCI Обсяг — Коли менше систем підпадають під вимоги PCI, це призводить до менших витрат на аудит, серед інших переваг, меншої кількості циклів виправлень та обмеженої відповідальності у разі витоку даних.
•       Коефіцієнт схвалення — Використання Оновлювач рахунків та врахування логіки повторних спроб зазвичай збільшує показник авторизації (приблизно на 2–5 відсоткових пунктів), — різниця, яка може бути суттєвою в масштабах.
•       Портативність процесора — Зміна умов з поточним процесор або направлення певних BIN до карткових мереж, що пропонують вищі показники схвалення, є бажаним.
•       Зниження Відтік – Своєчасна зміна облікових даних може зменшити кількість помилок «відхилення картки», що потенційно впливає на скасування підписки рівень.
•       Розширення ринку — Розширення ринку пов'язані з підключенням сховища до кількох процесорів, що, можливо, дозволяє додавати місцевих еквайрів без повного перероблення платіжного стеку.