Tokenizzazione

Cos'è la tokenizzazione carta?

Noi custodiamo il numero di carta nel vault PCI DSS e ti rilasciamo un token al posto del numero di carta. Nei tuoi sistemi compare solo quello. Per il quadro completo, vedi cos'è un PCI Proxy.

Cos'è

Cos'è la tokenizzazione carta?

Sostituisce il numero di carta con un token. Sembra un codice qualunque: anche se qualcuno lo vede, non può ricavare la carta. Il numero vero resta nel nostro vault, non nei tuoi server.

Non è crittografia

Con la crittografia il numero di carta resta nei tuoi sistemi. Con la tokenizzazione al suo posto hai un token casuale. Non si può invertire senza il vault.

Meno obblighi PCI

Se nei tuoi sistemi c'è solo il token, non il numero di carta, gli obblighi PCI si riducono molto. Molti passano da centinaia di controlli (SAQ D) a poche decine (SAQ A).

Funziona con qualsiasi PSP

Usi lo stesso token per abbonamenti, rimborsi o cambio di processore. Non devi chiedere di nuovo la carta al cliente quando cambi fornitore.

tokenization-flow.json

// 1. Il cliente inserisce la carta

4111 1111 1111 1234
PCI Proxy Vault · custodia certificata

// 2. Nei tuoi sistemi resta solo il token

tok_eu_9f8e7d6c5b4a1234

// 3. Il numero di carta: mai sui tuoi server

Vault cifrato · Solo UE · accessi registrati

PCI DSS

Livello 1 certificato

AES-256

Dati cifrati nel vault

100% UE

Dati solo in Europa

< 50ms

Risposta API media

Confronto

Tre tipi di token a confronto

Token di rete, token del gateway e token PCI Proxy non sono la stessa cosa. Cambiano portabilità, obblighi PCI e libertà di scegliere il processore.

Caratteristica Token di Rete Token Gateway Token PCI Proxy CONSIGLIATO
Emesso da Circuiti (Visa, Mastercard) Il tuo PSP / gateway PCI Proxy (indipendente)
Portabilità PSP Solo circuito No, resti legato al fornitore Qualsiasi PSP
Aggiornamenti carta automatici Sì, aggiornamento automatico Dipende dal gateway
Ti toglie obblighi PCI Poco Poco Molto
Va bene anche al telefono Solo e-commerce Solo e-commerce E-commerce, telefono, API
Formati Token

Come può essere fatto un token

Il formato dipende da come vuoi usarlo nel tuo gestionale o nel database. Noi ti aiutiamo a scegliere quello giusto.

format-preserving

// Numero carta originale

"4111 xxxx xxxx 1234"

// Token output

"4111 8273 6540 1234"

↑ stessa forma, cifre centrali cambiate

Stessa forma del numero carta

Ha la stessa lunghezza del numero di carta. Puoi salvarlo nelle colonne che usi già, senza cambiare il database.

random-opaque

// Numero carta originale

"5412 7512 3456 7890"

// Token output

"tok_eu_a3f9b2c14d8e"

↑ prefisso + stringa casuale

Codice a caso

Stringhe tipo tok_eu_ senza legame con il numero di carta. Più difficile capire pattern o indovinare qualcosa.

bin-retention

// Numero carta originale (19 cifre)

"3714 496353 98431"

// Prime cifre per il circuito

"3714 4963 7f2a 9c1b 8e4d"

↑ capisci Visa o Mastercard, il resto è casuale

Prime cifre per il circuito

Tieni le prime cifre per capire se è Visa, Mastercard e simili. Il resto è casuale e sicuro.

Il vault

Dove teniamo la carta al sicuro

Qui teniamo la mappa tra token e numero di carta. È isolato, cifrato e certificato PCI DSS Livello 1. Tu non lo gestisci: ci pensiamo noi.

Ambiente Certificato PCI DSS Level 1
Solo UE

Layer 1

Segmentazione della Rete

Rete separata dal resto. Nessun accesso diretto da internet. Meno superficie di attacco.

Layer 2

Dati cifrati a riposo

Ogni numero di carta è cifrato prima di essere salvato. Le chiavi restano in hardware dedicato, mai esposte in chiaro.

Layer 3

Chiavi protette

Rotazione automatica delle chiavi. Accesso solo a chi ne ha davvero bisogno, con doppio controllo.

Layer 4

Accessi tracciati

Ogni operazione sul vault viene registrata: chi, quando, da dove. Log immutabili per gli audit PCI.

Dati solo in UE

Tutto resta in data center europei. I dati carta non escono dall'Unione Europea. Conformità GDPR e requisiti delle banche europee.

GDPR ISO 27001 ISO 9001 DORA
Portabilità tra PSP

Lo stesso token con qualsiasi processore

I nostri token non sono legati a Stripe, Adyen o Nexi. Li usi con chi vuoi, quando vuoi.

1 Token

Un token, tutti i processori che ti servono

PSP supportati

0

Carte da richiedere di nuovo

100%

Portabilità

Cambia PSP senza chiedere di nuovo la carta

Zero interruzione

Passi a un altro processore per costi o tassi migliori: i token restano validi. Le carte salvate non le perdi.

Più processori, un solo token

Routing

Mandi il pagamento al PSP che preferisci per regione o circuito. Il numero di carta lo recuperiamo noi solo al momento del pagamento.

Abbonamenti e pagamenti ricorrenti

Carta aggiornata

Salvi il token al primo pagamento e lo riusi ogni mese. Anche se la carta viene rinnovata, il token resta valido.

Rimborsi e chargeback

Tracciamento

Usi lo stesso token per rimborsare, anche se il pagamento originale era su un altro PSP. Tutto registrato per audit e dispute.

Sicurezza

Quando serve il numero di carta

Solo chi è autorizzato può recuperare la carta dal vault, e solo quando serve davvero. Ogni accesso viene registrato.

4

Livelli attivi

0

Accessi non auth.

Permessi per ruolo

Accesso minimo

Solo le chiavi API con permesso esplicito possono recuperare il numero di carta. Niente accessi di default.

Solo IP approvati

Rete

Le richieste partono solo da indirizzi che hai autorizzato. Il resto viene bloccato e segnalato.

Finestra di tempo breve

Tempo limitato

Il permesso dura pochi secondi. Scaduto, serve una nuova richiesta autenticata.

Log di ogni accesso

Audit

Registriamo chi ha chiesto la carta, quando e da dove. Log conservati per gli audit PCI.

Confronto Diretto

Token di rete vs token PCI Proxy

Non tutti i token sono uguali. La scelta cambia obblighi PCI, libertà di cambiare PSP e canali che puoi usare.

Meno obblighi PCI · token di rete

~30%

PCI PROXY

Meno obblighi PCI · PCI Proxy

fino al 95%

Portabilità PSP

∞ PSP

Dimensione Token di Rete (Visa/MC) Token PCI Proxy CONSIGLIATO
Emesso da Circuiti di pagamento (Visa, Mastercard) PCI Proxy (indipendente)
Dove agisce Solo nelle transazioni Visa/Mastercard Nei tuoi sistemi: al posto del numero di carta
Portabilità PSP Dipendente dal circuito Qualsiasi PSP
Ti toglie obblighi PCI Poco Molto
Funziona al telefono No
Archiviazione Vault del circuito Vault scelto da te (UE)
FAQ

Domande frequenti

Tokenizzazione, crittografia, vault e cambio di PSP: le risposte in breve.

01 Qual è la differenza tra tokenizzazione e crittografia?

Con la crittografia il numero di carta resta nei tuoi sistemi: con la chiave giusta si recupera. La tokenizzazione lo sostituisce con un token casuale che non si può invertire senza il vault. Per il PCI, i dati crittografati restano dati carta; i token fatti bene, no.

02 Posso riutilizzare i token con diversi PSP?

Con i token del gateway resti legato a un solo PSP: se cambi fornitore, devi chiedere di nuovo la carta al cliente. Con PCI Proxy usi lo stesso token con qualsiasi processore. Cambi fornitore senza perdere le carte già salvate.

03 Come protegge il vault i dati carta salvati?

La carta resta nel nostro vault certificato PCI DSS Livello 1, cifrata e protetta. Solo chi ha le credenziali giuste può recuperarla, e ogni accesso viene registrato. I dati restano in UE, monitorati 24 ore su 24.

PCI DSS Level 1 Vault cifrato Qualsiasi PSP Dati in UE

Pronto a usare i token al posto del numero di carta?

Scopri come integrare PCI Proxy nei tuoi flussi di pagamento, o leggi come riduce gli obblighi PCI.