Una pci compliant api non è semplicemente un'API con HTTPS: è un'interfaccia progettata in modo che il sistema che la chiama non entri mai in possesso di dati di pagamento sensibili. Con PCI Proxy EU, il developer integra la pan tokenization tramite REST e i PAN rimangono nel vault sicuro, fuori dal proprio perimetro. Questa architettura riduce il scope PCI DSS in modo drastico e permanente.
Cos'è un'API PCI compliant e perché cambia tutto per il developer
Un'API è considerata PCI compliant quando il flusso di dati che attraversa garantisce che il sistema chiamante non tratti mai il PAN in forma leggibile. Il modo più diffuso per ottenere questo risultato è la tokenizzazione lato server: il dato carta viene inviato direttamente al vault del provider tramite un form o un SDK di raccolta, e il backend del merchant riceve unicamente un token opaco da associare al cliente o all'ordine.
Questo approccio ha un impatto diretto sullo scope PCI. Se il backend non riceve mai il PAN, non rientra nel CDE (Cardholder Data Environment) e non deve essere certificato come tale. Il developer può scrivere la logica di pagamento, di rimborso e di addebito ricorrente usando il token come identificatore, senza preoccuparsi di cifratura, key management o audit dei log.
Il flusso di integrazione: come funziona il proxy lato API
L'integrazione con PCI Proxy EU segue un pattern chiaro. Il frontend raccoglie i dati carta tramite un componente di input hosted (un iframe o un SDK JavaScript), che invia il PAN direttamente all'endpoint PCI Proxy EU su HTTPS. Il vault restituisce al frontend un token, che il browser o l'app passano al backend del merchant insieme agli altri dati dell'ordine. Da questo momento, il backend lavora solo con il token.
Quando occorre processare un pagamento, il backend chiama l'API di PCI Proxy EU con il token e le istruzioni di pagamento. Il proxy recupera il PAN dal vault, lo passa al processore o all'acquirer, e restituisce l'esito della transazione. Il merchant vede solo l'autorizzazione o il rifiuto: il dato carta non ha mai attraversato i suoi server.
Autenticazione, rate limiting e sicurezza dell'API
L'API di PCI Proxy EU utilizza autenticazione tramite API key con scope granulari: chiavi separate per tokenizzazione, detokenizzazione e chiamate al processore. Le chiavi devono essere ruotate periodicamente e non devono mai essere esposte nel codice frontend. Ogni chiamata è loggata e monitorata per anomalie, con alert automatici in caso di pattern inusuali come burst di richieste o accessi da IP non autorizzati.
Il rate limiting è configurabile per merchant e per endpoint, con politiche differenziate per l'ambiente di test e quello di produzione. La sandbox replica fedelmente il comportamento dell'API in produzione, comprese le risposte di errore, permettendo al team di sviluppo di testare ogni scenario prima del deploy. La documentazione OpenAPI è disponibile per generare client in qualsiasi linguaggio.
Domande frequenti
Devo modificare il mio backend per usare l'API PCI Proxy EU?
Le modifiche riguardano principalmente il frontend, dove il form di raccolta carta viene sostituito con il componente hosted. Il backend richiede modifiche minori: invece di ricevere il PAN, riceve il token e lo usa nelle chiamate API verso PCI Proxy EU. La logica di business rimane invariata.
L'API è RESTful e supporta webhook?
L'API segue le convenzioni REST con payload JSON e risponde con codici HTTP standard. I webhook sono supportati per gli eventi asincroni come l'esito di transazioni differite, i 3DS2 challenge e le notifiche di chargeback. Ogni webhook include una firma HMAC per verificarne l'autenticità.
Come testo l'integrazione senza carte reali?
PCI Proxy EU mette a disposizione un ambiente sandbox con credenziali di test dedicate e un set di carte di test che simulano scenari di successo, rifiuto, 3DS2 challenge e timeout. Nessun dato carta reale transita nell'ambiente di test, e non sono richieste credenziali di acquirer per iniziare a sviluppare.
Pronto a integrare la tokenizzazione PCI senza toccare un PAN? Consulta la documentazione e accedi alla sandbox in pochi minuti. Scopri PCI Proxy EU.