Chi gestisce un business a subscription sa che la card on file tokenization non è un'opzione ma una necessità. I modelli SaaS, gli abbonamenti digitali e i servizi in streaming conservano i dati carta per definizione: senza un numero carta archiviato, non c'è rinnovo automatico. Questo mette qualsiasi business subscription automaticamente nel perimetro PCI DSS, con obblighi precisi che molte aziende italiane sottovalutano.
Il modello subscription e il PCI DSS: sei automaticamente in scope
Un'azienda che offre abbonamenti e addebita automaticamente la carta del cliente a ogni rinnovo sta conservando o ha accesso a dati carta. Anche se i dati sono custoditi dal PSP, il merchant è coinvolto nel flusso e rimane in scope PCI DSS per le componenti del sistema che orchestrano il recurring billing, gestiscono i fallimenti di pagamento, inviano le notifiche di rinnovo o aggiornano le informazioni carta. Il semplice fatto di usare un token PSP non è sufficiente per uscire dal perimetro se il sistema di billing del merchant interagisce con quel token.
I requisiti PCI DSS per i business subscription includono in particolare il Requisito 3 (protezione dei dati carta archiviati), il Requisito 6 (sicurezza dei sistemi e delle applicazioni), e il Requisito 8 (identificazione e autenticazione degli accessi). La gestione dei token, i log delle transazioni ricorrenti e i sistemi di retry dei pagamenti falliti devono essere progettati tenendo conto di questi requisiti.
Come la card-on-file tokenization protegge il tuo recurring billing
Con la card-on-file tokenization, il PAN del cliente viene sostituito da un token la prima volta che la carta viene registrata. Tutti i rinnovi successivi usano il token: il sistema di billing del merchant non vede mai un numero carta in chiaro, e il vault esterno si occupa di de-tokenizzare al momento dell'autorizzazione con il PSP. Il perimetro PCI del merchant si riduce ai soli sistemi che gestiscono i token, che per definizione non contengono dati sensibili.
Un altro vantaggio pratico è la gestione degli aggiornamenti carta. Quando un cliente riceve una nuova carta (per scadenza o per sostituzione), il vault può aggiornarsi automaticamente tramite i servizi di account updater offerti dai network (Visa Account Updater, Mastercard Automatic Billing Updater). Il token rimane invariato nel sistema del merchant, ma viene mappato internamente al nuovo PAN. Questo riduce i pagamenti falliti per carta scaduta senza richiedere alcuna interazione con l'utente.
Upgrade, downgrade e cancellazione: gestione dei token nel subscription
Il ciclo di vita di un abbonamento è più complesso di una singola transazione: upgrade di piano, downgrade, pausa, cancellazione con rimborso parziale e riattivazione dopo disiscrizione sono tutti scenari che il sistema di billing deve gestire. Con la tokenizzazione, tutti questi eventi operano sul token, non sul PAN. Il token rimane valido per tutta la durata del rapporto con il cliente, indipendentemente dalle variazioni del piano o delle condizioni commerciali.
In caso di cancellazione, il token deve essere reso inattivo nel vault ma non necessariamente cancellato: le normative PCI DSS e i requisiti di conservazione dei dati contabili possono richiedere di mantenere la traccia della transazione originale per un periodo minimo. La gestione corretta del ciclo di vita del token, dalla creazione alla disattivazione, è parte integrante di un programma di compliance PCI per business subscription.
Domande frequenti
Come gestisco il rinnovo automatico con un token PCI?
Il sistema di billing invia al vault una richiesta di addebito usando il token associato al cliente. Il vault recupera il PAN corrispondente, lo trasmette al PSP per l'autorizzazione e restituisce l'esito. Il merchant riceve solo la conferma dell'autorizzazione, senza mai vedere il PAN. Il processo è identico a qualsiasi altra transazione ricorrente, ma il dato carta non transita nei sistemi del merchant.
Cosa succede al token se il cliente cambia carta?
Con i servizi di account updater dei network, il vault aggiorna automaticamente la mappatura token-PAN quando una carta viene rinnovata o sostituita. Il token nel sistema del merchant rimane invariato. In alternativa, quando il cliente inserisce manualmente la nuova carta, viene generato un nuovo token che sostituisce quello precedente nel profilo del cliente.
Il mandate SEPA sostituisce la card-on-file per i pagamenti ricorrenti?
Il mandate SEPA Direct Debit è un'alternativa valida per i pagamenti ricorrenti in euro, ma opera su IBAN, non su dati carta. Non rientra nel perimetro PCI DSS. Per i merchant che accettano sia carte che SEPA, la card-on-file tokenization rimane necessaria per il canale carta, mentre i pagamenti SEPA seguono un percorso separato fuori dal perimetro PCI.
Gestisci un business subscription e vuoi un recurring billing conforme PCI DSS senza attriti per i tuoi clienti? Scopri PCI Proxy EU.