Tokenizzazione delle Carte: Approfondimento
La tokenizzazione sostituisce i dati sensibili delle carte con equivalenti non sensibili. Esplora i diversi tipi, scopri come funziona il token vault e comprendi perché la tokenizzazione PSP-agnostica ti offre un vantaggio competitivo duraturo.
Cos'è la Tokenizzazione delle Carte?
La tokenizzazione sostituisce un PAN (Primary Account Number) con un token non sensibile. Il token assomiglia a un numero di carta, supera i controlli di validazione, ma non ha alcun valore sfruttabile se rubato. I dati reali restano in un vault isolato.
Sostituzione, Non Crittografia
A differenza della crittografia, la tokenizzazione sostituisce i dati con un valore casuale. Non esiste una chiave per "decifrare" un token: la mappatura esiste solo dentro il vault sicuro.
Fuori dall'Ambito PCI DSS
I token generati correttamente non sono considerati dati carta sotto PCI DSS. I sistemi che gestiscono solo token escono dal perimetro di conformità, riducendo dramatically l'audit scope.
Riutilizzabile Cross-PSP
Un singolo token può essere usato per fatturazione ricorrente, rimborsi, routing multi-PSP e ricerche fedeltà, disaccoppiando la logica di business dai dati carta grezzi.
// 1. Input: PAN grezzo del cliente
// 2. Output: Token sicuro nei tuoi sistemi
// 3. Il PAN originale: mai sui tuoi server
PCI DSS
Level 1 Certificato
AES-256
Crittografia a Riposo
100% UE
Residenza Dati Europea
< 50ms
Latenza Media API
Tipi di Tokenizzazione a Confronto
Token di rete, token del gateway e token PCI Proxy servono scopi diversi, con implicazioni diverse per portabilità, architettura e vendor lock-in.
| Caratteristica | Token di Rete | Token Gateway | Token PCI Proxy CONSIGLIATO |
|---|---|---|---|
| Emesso da | Circuiti (Visa, Mastercard) | Il tuo PSP / gateway | PCI Proxy (indipendente) |
| Portabilità PSP | Solo circuito | No, vendor lock-in | Qualsiasi PSP |
| Aggiornamenti carta automatici | Sì (VAU/ABU) | Dipende dal gateway | Sì |
| Riduzione ambito PCI | Moderata | Moderata | Massima |
| Supporto cross-canale | E-commerce | E-commerce | E-comm, MOTO, API |
Formati e Standard dei Token
Il formato del token determina come si integra con i tuoi sistemi esistenti, la logica di validazione e gli schemi del database.
// PAN originale
"4111 xxxx xxxx 1234"
// Token output
"4111 8273 6540 1234"
↑ BIN + last4 preserved
Format-Preserving
Stesso lunghezza e charset del PAN. Supera i controlli Luhn e si archivia nelle colonne esistenti del DB senza modifiche allo schema.
// PAN originale
"5412 7512 3456 7890"
// Token output
"tok_eu_a3f9b2c14d8e"
↑ Prefix + random string
Casuali / Opachi
Stringhe alfanumeriche prefissate (tok_eu_) senza relazione con il PAN. Più resistenti all'analisi dei pattern.
// PAN originale (19 cifre)
"3714 496353 98431"
// BIN (8 cifre) preserved
"3714 4963 7f2a 9c1b 8e4d"
↑ Routing + brand ID safe
BIN Retention
Mantieni le prime 6–8 cifre per routing e identificazione brand. PCI DSS v4.0 lo consente se le restanti cifre sono casuali.
All'Interno del Token Vault
Il vault archivia la mappatura token/PAN, gestisce le chiavi crittografiche e applica il controllo degli accessi - tutto dentro un perimetro certificato PCI DSS Level 1.
Layer 1
Segmentazione della Rete
VLAN isolata senza accesso diretto a internet. WAF + IDS/IPS su ogni livello. Micro-segmentazione limita il movimento laterale tra i componenti del vault.
Layer 2
Crittografia a Riposo (AES-256)
Tutti i PAN cifrati con AES-256 prima dell'archiviazione. Chiavi generate, archiviate e ruotate dentro HSM FIPS 140-2 Level 3. Mai in chiaro fuori dal perimetro HSM.
Layer 3
Gestione Chiavi HSM
Cerimonie con doppio controllo e split knowledge. Rotazione automatica delle chiavi. KEK e DEK separate per prevenire compromissioni da punto singolo.
Layer 4
Controllo Accessi e Audit
RBAC con principio del minimo privilegio. Ogni tokenizzazione e de-tokenizzazione registrata con timestamp, IP, merchant ID. Log immutabili per compliance QSA.
Residenza dei Dati Europea Garantita al 100%
L'intera infrastruttura opera in data center certificati nell'UE. I dati dei titolari di carta non lasciano mai la giurisdizione europea - soddisfacendo GDPR e i requisiti delle banche acquirer europee.
Riuso dei Token tra PSP
I token PCI Proxy non sono legati a nessun fornitore di pagamento. Stessa tokenizzazione, qualsiasi PSP, in qualsiasi momento.
1 Token
Unica tokenizzazione, infiniti processori
∞
PSP supportati
0
Re-enrollment
100%
Portabilità
Cambia PSP Senza Ri-Raccolta
Zero DowntimeCambia processore per tariffe migliori: i token restano validi. Nessuna perdita di card-on-file.
Routing Multi-PSP Intelligente
Smart RoutingInstrada per brand carta, regione o tassi di approvazione. Ogni PSP riceve il PAN solo all'esecuzione.
Abbonamenti e Ricorrenti
Auto Card UpdateArchivia una volta, addebita sempre. Il token resta stabile anche se la carta viene riemessa.
Rimborsi e Chargeback Cross-PSP
Full Audit TrailStesso token per rimborsi anche su PSP diversi dall'originale. Cronologia completa per audit e dispute.
Controlli di De-Tokenizzazione
4 livelli sovrapposti garantiscono che solo i sistemi autorizzati possano accedere ai PAN grezzi - e solo quando strettamente necessario.
4
Livelli attivi
0
Accessi non auth.
RBAC - Ruoli e Permessi
Zero TrustSolo chiavi API con permessi espliciti possono recuperare PAN grezzi. Principio del minimo privilegio applicato by design.
Whitelisting IP
Network LayerRichieste limitate a IP pre-approvati. Fonti non riconosciute rifiutate istantaneamente con alert real-time.
Finestra Temporale
Time-BoundPermessi con finestre di 60 secondi. Alla scadenza il token non si risolve finché non si avvia una nuova sessione autenticata.
Audit Log Immutabili
Full TraceOgni evento registra merchant ID, API key, IP, timestamp, PSP destinazione. Tamper-proof, conservato ≥ 12 mesi per QSA audit.
Tokenizzazione di Rete vs Token PCI Proxy
Non tutti i token sono uguali. Questa distinzione determina scope PCI, portabilità e indipendenza dai fornitori.
Scope ridotto - Network Token
~30%
Scope ridotto
fino al 95%
Portabilità PSP
∞ PSP
| Dimensione | Token di Rete (Visa/MC) | Token PCI Proxy CONSIGLIATO |
|---|---|---|
| Emesso da | Circuiti di pagamento (Visa, Mastercard) | Provider PCI Proxy |
| Ambito | Sostituisce il PAN nelle transazioni di rete | Sostituisce il PAN nella tua infrastruttura |
| Portabilità PSP | Dipendente dal circuito | PSP-agnostico |
| Riduce lo scope PCI | Parzialmente | Completamente |
| Funziona per MOTO | No | Sì |
| Archiviazione | Vault del circuito | Vault scelto da te (UE) |
Domande Frequenti su PCI Proxy e Tokenizzazione
Dal confronto con la crittografia al riuso cross-PSP: le risposte che cercavi.
01 Qual è la differenza tra tokenizzazione e crittografia?
La crittografia trasforma i dati con un algoritmo matematico reversibile: con la chiave giusta si recupera il dato originale. La tokenizzazione sostituisce il PAN con un valore casuale senza relazione matematica con l'originale - non è invertibile senza accesso al vault. Per PCI DSS, i dati crittografati restano "dati carta"; i token corretti, no.
02 Posso riutilizzare i token con diversi PSP?
Con la tokenizzazione gateway i token sono legati a un singolo PSP: se cambi fornitore, devi raccogliere di nuovo i dati carta. PCI Proxy è PSP-agnostico: lo stesso token si de-tokenizza e inoltra a qualsiasi processore. Piena portabilità, zero vendor lock-in, routing multi-PSP avanzato.
03 Come protegge il token vault i dati carta archiviati?
Il vault usa protezione multi-layer: AES-256 per i dati a riposo, HSM FIPS 140-2 Level 3 per la gestione delle chiavi, RBAC, segmentazione di rete e audit log immutabili per ogni operazione. Opera in ambiente certificato PCI DSS Level 1, monitorato 24/7. Le richieste di de-tokenizzazione richiedono autenticazione API + whitelisting IP + finestre temporali.
Pronto a Tokenizzare con Fiducia?
Scopri come la tokenizzazione PCI Proxy si integra nella tua architettura, o approfondisci come riduce il tuo ambito di conformità.