Card-on-file-tokenisatie is de oplossing waarmee bedrijven kaarthoudergegevens kunnen beheren voor terugkerende betalingen, abonnementen en one-click-checkout, zonder de PAN ooit in de eigen systemen op te slaan. Dit is de meest voorkomende reden die de beslissing aandrijft om tokenisatie te adopteren: het alternatief – het rechtstreeks opslaan van kaartgegevens – brengt aanzienlijke PCI DSS-verplichtingen en voortdurende risico's met zich mee.
Wat is card-on-file en waarom het een nalevingsprobleem vormt
Een card-on-file-scenario doet zich voor wanneer een handelaar klantkaartgegevens opslaat na de eerste transactie voor toekomstig gebruik: abonnementsverlengingen, regelmatige facturering, 'betalen met opgeslagen kaart'-knoppen die klanten niet vragen de gegevens opnieuw in te voeren. Vanuit PCI DSS-perspectief is het rechtstreeks opslaan van de PAN in een handelaarsdatabase een van de riskantste praktijken: het vergroot de CDE-perimeter aanzienlijk en vereist uitgebreide versleutelingscontroles, toegangsbeheer en continue bewaking.
PCI DSS verbiedt categorisch het opslaan van de CVV/CVC na de autorisatie: dit betekent dat card-on-file-implementaties die de CVV opslaan (of bij elke vervolgbetalingen opvragen) niet conform zijn. De enige PCI-conforme methode voor het afhandelen van vervolgbetalingen zonder opnieuw kaartgegevens in te voeren, is tokenisatie: de handelaar slaat een token op; de gecertificeerde kluis behoudt de PAN en verwerkt afschrijvingen op verzoek.
Hoe card-on-file-tokenisatie werkt
De stroom van een card-on-file-tokenisatie-integratie begint bij de eerste betalingstransactie. De klant voert kaartgegevens in op de gehoste pagina of het SDK van PCI Proxy EU. De kluis genereert een token en geeft die terug aan de handelaar. De handelaar koppelt de token aan de klantaccount en slaat die op in zijn database. Vanaf dat moment verwerkt de handelaar geen kaartgegevens meer: voor elke vervolgbetaling stuurt hij de token en het te debiteren bedrag naar PCI Proxy EU, die de PAN uit de kluis ophaalt en de afschrijving bij de acquirer of PSP initieert.
De stroom is voor eindklanten volledig transparant. Abonnementen worden automatisch verlengd zonder dat de klant hoeft in te grijpen. Voor handmatige vervolgaankopen kan de handelaar de klant een interface tonen die een gemaskeerde kaartverwijzing weergeeft (bijv. de laatste 4 cijfers), zodat de klant de opgeslagen kaart kan kiezen of een nieuwe kan invoeren. Dit alles zonder PAN op de servers van de handelaar.
Tokenportabiliteit: kaartupdate zonder gebruikersinteractie
Een cruciaal aspect van card-on-file-tokenisatie is het beheer van tokenupdate wanneer een kaart verloopt of wordt vervangen. Zonder een geautomatiseerd updatesysteem moet de handelaar klanten vragen de nieuwe kaart in te voeren, een slechte gebruikerservaring die leidt tot opzeggen van abonnementen. Met PCI Proxy EU en het Account Updater-programma van Visa en Mastercard is de update automatisch: wanneer de kaart wordt vernieuwd, werkt de kluis de PAN bij zonder de token te wijzigen. De handelaar blijft dezelfde token gebruiken en vervolgbetalingen mislukken niet.
Deze tokenportabiliteit strekt zich ook uit tot PSP-wisseling. Wanneer een handelaar van betalingsaanbieder wisselt, kan hij de door PCI Proxy EU beheerde tokens overdragen naar een nieuwe PSP, zonder klanten om kaartgegevens te vragen. De kluis fungeert als PSP-agnostische kluis die de waarde van de opgeslagen kaartenportefeuille beschermt bij infrastructuurwijzigingen.
Veelgestelde vragen
Kan ik de CVV opslaan voor vervolgbetalingen?
Nee. PCI DSS verbiedt categorisch het opslaan van de CVV/CVC na de autorisatie, ook voor card-on-file-scenario's. Voor vervolgbetalingen na de eerste transactie is de CVV niet vereist: de autorisatie vindt plaats met de token, de PAN-gegevens die in de kluis zijn opgeslagen, en de eerder afgesproken handelaarsovereenkomst. Het opvragen van de CVV bij elke vervolgbetaling is een optie die de gebruikerservaring kan verbeteren, maar is geen standaard bij abonnementsmodellen.
Wat gebeurt er als de klant een kaart wil verwijderen?
De handelaar stuurt een tokenintrekkingsverzoek naar de PCI Proxy EU-kluis. De kluis deactiveert de token en verwijdert de bijbehorende PAN. Vanuit AVG-oogpunt kan de handelaar de verwijdering van persoonsgegevens koppelen aan de intrekking van de token en zo de uitoefening van het recht op verwijdering door de klant vervullen.
Kan een token over meerdere PSP's heen worden gebruikt?
Ja, wanneer de tokens door de PCI Proxy EU-kluis zijn uitgegeven. De PCI Proxy EU-architectuur stelt handelaren in staat dezelfde token te gebruiken voor het initiëren van betalingen via verschillende PSP's, zonder de kaart opnieuw in te hoeven voeren. De kluis selecteert de toe te wijzen PAN op basis van de token en zendt die naar de geselecteerde PSP. Dit is het belangrijkste voordeel van PSP-agnostische tokenisatie.
Sla nooit een PAN op: beheer card-on-file met de veilige tokenkluis van PCI Proxy EU. Ontdek PCI Proxy EU.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op