什么是SaaS支付宝库？

SaaS支付保险库本质上是一个云存储系统，用于捕获、加密和管理令牌化的支付卡数据。一个非敏感的参考——令牌——存储在您的系统中，而保险库则将真实的主账号 (PAN) 保留在高度安全、受控和经过审计的环境中。

这与卡数据持续与风险因素相关联有关。PCI DSS范围将包括所有与原始PAN接触的系统。在保险库中进行独家数据存储与所需的合规级别相关，并可能与安全漏洞的发生率相关联。

也许中立支付保险库最重要的方面是信用卡数据可移植性，这意味着一旦您将信用卡凭证令牌化，就可以在不要求客户重新输入信用卡信息的情况下，将令牌化从一个支付处理器切换到另一个。如果没有保险库，令牌通常仅由单个支付服务提供商 (PSP) 有效和拥有。当前令牌的有效性与处理器绑定；因此，更换处理器可能会影响客户重新注册。这种依赖关系，即“处理器锁定”，可能使您现有的支付服务提供商在谈判中获得筹码。

中立的令牌保管库可避免此类依赖。无论选择哪个支付处理器进行交易，这些令牌都将始终解锁相同的底层PAN，从而可能允许考虑成本、批准率或地理位置等因素。

主要的保管库架构有四种，每种都有不同的权衡：

•       PSP自有的保管库 — 支付处理器管理该保管库。易于设置，但会造成锁定；可移植性有限或根本不存在。
•       中立/网络保管库 — 独立的第三方存储支付卡号并发行与处理器无关的令牌。其特性包括可移植性，并由企业商户和订阅服务实施。
•       保管库即服务 (VSaaS) — 一种SaaS模式，由专业供应商以独立的API层形式提供保管库。灵活的集成可以与多处理器路由同时实施。
•       自建存储库 — 商家维护自己的存储基础设施，提供完全的控制权，但需要大量的PCI投资和持续的运营开销。

VSaaS，或中立存储库，对许多SaaS企业而言可能是一种可行的方法，可能会影响控制权和合规效率之间的平衡。

一旦您对持卡人数据进行安全存储，就绝不将其提供给应用服务器、数据库或日志等。这通常能使 PCI 范围减少 80-90%。相比于涵盖多个系统的完整一级现场审计，已进行数据保管的商户可能有资格进行更简单的 SAQ A 或 SAQ A-EP 评估，该评估仅涵盖令牌化接触点。

在合规领域，数据金库公司通常承担严苛的任务，包括维护安全环境、接受PCI DSS审计以及提供合规文件。其合规姿态可以作为基础，并影响您建立自身合规体系所需的资源。

让数据金库处于您的循环支付体系的核心位置是最有效的：

•       计费系统 — 计费引擎使用令牌提交收费请求。金库将令牌转化为PAN，然后才将其提供给处理器。该计费系统旨在避免直接访问卡片数据。
•       账户更新服务 — 银行卡组织（Visa、Mastercard）采用账户更新服务，在银行卡重新发行时提供新的卡号和有效期。集成良好的数据保险库能够利用更新的凭证续订令牌，从而对客户流失（与非自愿因素相关）产生影响。

这些功能的集成建立了一个系统，该系统能够处理令牌、执行扣款并自动更新银行卡信息。

一些值得考虑的问题：

•       您的当前业务运营中，客户流失与银行卡到期或重新发卡等非自愿事件之间是否存在相关性？
•       使用单一处理商是否会在费率协商或资金流重定向方面带来考量？
•       随着您增加处理卡片数据的系统，您的PCI合规范围是否正在扩大？

在此类情况下，使用数据保险库可能会对 投资回报率，详情如下：

•       降低 PCI 范围 — 当需要PCI合规的系统越少时，除了其他益处外，还会减少审计支出、缩短补救周期并限制违规责任。
•       审批率 — 采用 账户更新器 并考虑 重试逻辑 通常会使授权率提高（约2-5个百分点），这种差异在规模化时可能非常重要。
•       处理器可移植性 — 与当前 处理器 协商变更条款或将特定BIN路由到提供更高审批率的卡组织是可取的。
•       降低 客户流失 – 及时更新凭证信息可减少“银行卡被拒”错误，这可能会影响 订阅取消 率。
•       市场拓展 — 市场拓展 与将数据保险库连接到多个支付处理方相关，可能支持增加 本地收单机构 无需全面重新设计支付堆栈。