Cos'è la tokenizzazione carta?
Noi custodiamo il numero di carta nel vault PCI DSS e ti rilasciamo un token al posto del numero di carta. Nei tuoi sistemi compare solo quello. Per il quadro completo, vedi cos'è un PCI Proxy.
Cos'è la tokenizzazione carta?
Sostituisce il numero di carta con un token. Sembra un codice qualunque: anche se qualcuno lo vede, non può ricavare la carta. Il numero vero resta nel nostro vault, non nei tuoi server.
Non è crittografia
Con la crittografia il numero di carta resta nei tuoi sistemi. Con la tokenizzazione al suo posto hai un token casuale. Non si può invertire senza il vault.
Meno obblighi PCI
Se nei tuoi sistemi c'è solo il token, non il numero di carta, gli obblighi PCI si riducono molto. Molti passano da centinaia di controlli (SAQ D) a poche decine (SAQ A).
Funziona con qualsiasi PSP
Usi lo stesso token per abbonamenti, rimborsi o cambio di processore. Non devi chiedere di nuovo la carta al cliente quando cambi fornitore.
// 1. Il cliente inserisce la carta
// 2. Nei tuoi sistemi resta solo il token
// 3. Il numero di carta: mai sui tuoi server
PCI DSS
Livello 1 certificato
AES-256
Dati cifrati nel vault
100% UE
Dati solo in Europa
< 50ms
Risposta API media
Tre tipi di token a confronto
Token di rete, token del gateway e token PCI Proxy non sono la stessa cosa. Cambiano portabilità, obblighi PCI e libertà di scegliere il processore.
| Caratteristica | Token di Rete | Token Gateway | Token PCI Proxy CONSIGLIATO |
|---|---|---|---|
| Emesso da | Circuiti (Visa, Mastercard) | Il tuo PSP / gateway | PCI Proxy (indipendente) |
| Portabilità PSP | Solo circuito | No, resti legato al fornitore | Qualsiasi PSP |
| Aggiornamenti carta automatici | Sì, aggiornamento automatico | Dipende dal gateway | Sì |
| Ti toglie obblighi PCI | Poco | Poco | Molto |
| Va bene anche al telefono | Solo e-commerce | Solo e-commerce | E-commerce, telefono, API |
Come può essere fatto un token
Il formato dipende da come vuoi usarlo nel tuo gestionale o nel database. Noi ti aiutiamo a scegliere quello giusto.
// Numero carta originale
"4111 xxxx xxxx 1234"
// Token output
"4111 8273 6540 1234"
↑ stessa forma, cifre centrali cambiate
Stessa forma del numero carta
Ha la stessa lunghezza del numero di carta. Puoi salvarlo nelle colonne che usi già, senza cambiare il database.
// Numero carta originale
"5412 7512 3456 7890"
// Token output
"tok_eu_a3f9b2c14d8e"
↑ prefisso + stringa casuale
Codice a caso
Stringhe tipo tok_eu_ senza legame con il numero di carta. Più difficile capire pattern o indovinare qualcosa.
// Numero carta originale (19 cifre)
"3714 496353 98431"
// Prime cifre per il circuito
"3714 4963 7f2a 9c1b 8e4d"
↑ capisci Visa o Mastercard, il resto è casuale
Prime cifre per il circuito
Tieni le prime cifre per capire se è Visa, Mastercard e simili. Il resto è casuale e sicuro.
Dove teniamo la carta al sicuro
Qui teniamo la mappa tra token e numero di carta. È isolato, cifrato e certificato PCI DSS Livello 1. Tu non lo gestisci: ci pensiamo noi.
Layer 1
Segmentazione della Rete
Rete separata dal resto. Nessun accesso diretto da internet. Meno superficie di attacco.
Layer 2
Dati cifrati a riposo
Ogni numero di carta è cifrato prima di essere salvato. Le chiavi restano in hardware dedicato, mai esposte in chiaro.
Layer 3
Chiavi protette
Rotazione automatica delle chiavi. Accesso solo a chi ne ha davvero bisogno, con doppio controllo.
Layer 4
Accessi tracciati
Ogni operazione sul vault viene registrata: chi, quando, da dove. Log immutabili per gli audit PCI.
Dati solo in UE
Tutto resta in data center europei. I dati carta non escono dall'Unione Europea. Conformità GDPR e requisiti delle banche europee.
Lo stesso token con qualsiasi processore
I nostri token non sono legati a Stripe, Adyen o Nexi. Li usi con chi vuoi, quando vuoi.
1 Token
Un token, tutti i processori che ti servono
∞
PSP supportati
0
Carte da richiedere di nuovo
100%
Portabilità
Cambia PSP senza chiedere di nuovo la carta
Zero interruzionePassi a un altro processore per costi o tassi migliori: i token restano validi. Le carte salvate non le perdi.
Più processori, un solo token
RoutingMandi il pagamento al PSP che preferisci per regione o circuito. Il numero di carta lo recuperiamo noi solo al momento del pagamento.
Abbonamenti e pagamenti ricorrenti
Carta aggiornataSalvi il token al primo pagamento e lo riusi ogni mese. Anche se la carta viene rinnovata, il token resta valido.
Rimborsi e chargeback
TracciamentoUsi lo stesso token per rimborsare, anche se il pagamento originale era su un altro PSP. Tutto registrato per audit e dispute.
Quando serve il numero di carta
Solo chi è autorizzato può recuperare la carta dal vault, e solo quando serve davvero. Ogni accesso viene registrato.
4
Livelli attivi
0
Accessi non auth.
Permessi per ruolo
Accesso minimoSolo le chiavi API con permesso esplicito possono recuperare il numero di carta. Niente accessi di default.
Solo IP approvati
ReteLe richieste partono solo da indirizzi che hai autorizzato. Il resto viene bloccato e segnalato.
Finestra di tempo breve
Tempo limitatoIl permesso dura pochi secondi. Scaduto, serve una nuova richiesta autenticata.
Log di ogni accesso
AuditRegistriamo chi ha chiesto la carta, quando e da dove. Log conservati per gli audit PCI.
Token di rete vs token PCI Proxy
Non tutti i token sono uguali. La scelta cambia obblighi PCI, libertà di cambiare PSP e canali che puoi usare.
Meno obblighi PCI · token di rete
~30%
Meno obblighi PCI · PCI Proxy
fino al 95%
Portabilità PSP
∞ PSP
| Dimensione | Token di Rete (Visa/MC) | Token PCI Proxy CONSIGLIATO |
|---|---|---|
| Emesso da | Circuiti di pagamento (Visa, Mastercard) | PCI Proxy (indipendente) |
| Dove agisce | Solo nelle transazioni Visa/Mastercard | Nei tuoi sistemi: al posto del numero di carta |
| Portabilità PSP | Dipendente dal circuito | Qualsiasi PSP |
| Ti toglie obblighi PCI | Poco | Molto |
| Funziona al telefono | No | Sì |
| Archiviazione | Vault del circuito | Vault scelto da te (UE) |
Domande frequenti
Tokenizzazione, crittografia, vault e cambio di PSP: le risposte in breve.
01 Qual è la differenza tra tokenizzazione e crittografia?
Con la crittografia il numero di carta resta nei tuoi sistemi: con la chiave giusta si recupera. La tokenizzazione lo sostituisce con un token casuale che non si può invertire senza il vault. Per il PCI, i dati crittografati restano dati carta; i token fatti bene, no.
02 Posso riutilizzare i token con diversi PSP?
Con i token del gateway resti legato a un solo PSP: se cambi fornitore, devi chiedere di nuovo la carta al cliente. Con PCI Proxy usi lo stesso token con qualsiasi processore. Cambi fornitore senza perdere le carte già salvate.
03 Come protegge il vault i dati carta salvati?
La carta resta nel nostro vault certificato PCI DSS Livello 1, cifrata e protetta. Solo chi ha le credenziali giuste può recuperarla, e ogni accesso viene registrato. I dati restano in UE, monitorati 24 ore su 24.
Pronto a usare i token al posto del numero di carta?
Scopri come integrare PCI Proxy nei tuoi flussi di pagamento, o leggi come riduce gli obblighi PCI.