Il termine "tokenizzazione" copre due tecnologie distinte che operano a livelli diversi della catena dei pagamenti. La network tokenization è gestita dai circuiti Visa e Mastercard e sostituisce il PAN a livello di transazione autorizzata. La payment tokenization è gestita dal merchant o dal suo provider e serve a non archiviare il PAN reale nei propri sistemi. Capire dove finisce l'una e dove inizia l'altra è essenziale per costruire un'architettura di pagamento sicura e flessibile.
Network tokenization: cosa fanno Visa e Mastercard
Il Visa Token Service (VTS) e il Mastercard Digital Enablement Service (MDES) sostituiscono il PAN fisico della carta con un token di rete (chiamato anche DPAN, Device PAN) legato a uno specifico dispositivo, canale o merchant. Questo token viaggia nei messaggi di autorizzazione al posto del PAN reale: l'acquirer lo riceve, lo trasmette al circuito e il circuito lo riconverte internamente nel PAN prima di inviarlo all'issuer. Il merchant e l'acquirer non vedono mai il PAN originale.
I token di rete migliorano l'authorization rate perché i circuiti li aggiornano automaticamente quando la carta viene rinnovata o riemessa, senza che il merchant debba aggiornare i propri archivi. Sono legati a un contesto specifico (dispositivo, merchant, canale) e non possono essere riutilizzati fuori da quel contesto: se intercettati, sono inutilizzabili. L'adozione di network tokenization è particolarmente vantaggiosa per pagamenti ricorrenti e abbonamenti, dove riduce il churn causato da scadenze e blocchi.
Payment tokenization: il vault del merchant o del provider
La payment tokenization opera a un livello differente: sostituisce il PAN negli archivi del merchant con un token proprietario conservato in un vault sicuro. Il vault mappa ogni token al PAN reale e rilascia il PAN solo al momento dell'autorizzazione, verso il PSP autorizzato. Questo approccio rimuove il PAN dall'infrastruttura del merchant e riduce drasticamente il perimetro PCI: i sistemi che vedono solo token non rientrano nel CDE.
A differenza dei token di rete, i token vault sono processor-agnostic: lo stesso token può essere usato per autorizzare con PSP diversi, a condizione che il vault sia raggiungibile. Questo elimina il vendor lock-in tipico di chi archivia PAN direttamente con il proprio gateway. Con PCI Proxy EU il vault è certificato PCI DSS Level 1 e i token sono portabili: il merchant può cambiare PSP senza perdere i dati carta dei clienti esistenti.
Quando usare l'una, quando l'altra e perché spesso servono entrambe
La network tokenization protegge la transazione in transito, ma non risolve il problema dell'archiviazione del PAN per pagamenti futuri. Se il merchant deve conservare un riferimento alla carta per abbonamenti, acquisti one-click o preautorizzazioni, ha comunque bisogno di un sistema di archiviazione sicura. In questo scenario le due tecnologie si completano: la network tokenization migliora la sicurezza delle transazioni live, la payment tokenization risolve il problema dell'archiviazione.
Per molti merchant europei, la priorità è prima risolvere il problema dello scope PCI con una payment tokenization robusta, e poi ottimizzare i conversion rate con la network tokenization. PCI Proxy EU si posiziona nel primo livello: fornisce il vault per l'archiviazione sicura dei PAN con token portabili, e si integra senza conflitti con le soluzioni di network tokenization attivate dal PSP o dall'acquirer.
Domande frequenti
La network tokenization sostituisce la payment tokenization?
No, operano su livelli diversi. La network tokenization protegge la transazione nel flusso autorizzativo tra merchant, acquirer e circuito. La payment tokenization risolve il problema dell'archiviazione sicura del PAN nell'infrastruttura del merchant. Un merchant che usa solo network tokenization continua ad avere il PAN in archivio, con tutti gli obblighi PCI che ne conseguono.
I token Visa e Mastercard sono portabili tra PSP?
No, i token di rete sono legati a uno specifico contesto: merchant, dispositivo e canale. Non sono portabili tra PSP. Se un merchant cambia acquirer o gateway, i token di rete emessi in precedenza non sono riutilizzabili e devono essere rigenerati. Questo non vale per i token vault di un provider come PCI Proxy EU, che sono indipendenti dal PSP.
PCI Proxy EU è compatibile con la network tokenization?
Sì. PCI Proxy EU gestisce l'archiviazione sicura del PAN e la sua sostituzione con token vault. Quando il merchant effettua un'autorizzazione, può passare il PAN al PSP che, se supporta Visa Token Service o MDES, lo converte in un token di rete per la transazione. I due layer si integrano senza conflitti.
Token indipendenti da circuito e portabili tra PSP: è quello che offre PCI Proxy EU. Scopri PCI Proxy EU.