Quem gere um negócio de subscrição sabe que a tokenização card on file não é uma opção, mas uma necessidade. Os modelos SaaS, as subscrições digitais e os serviços de streaming armazenam dados de cartão por definição: sem um número de cartão guardado, não há renovação automática. Isto coloca automaticamente qualquer negócio de subscrição no âmbito do PCI DSS, com obrigações precisas que muitas empresas subestimam.
O modelo de subscrição e o PCI DSS: estás automaticamente em âmbito
Uma empresa que oferece subscrições e cobra automaticamente o cartão do cliente em cada renovação conserva ou tem acesso a dados de cartão. Mesmo que os dados sejam custodiados pelo PSP, o comerciante está envolvido no fluxo e permanece em âmbito PCI DSS para os componentes do sistema que orquestram a faturação recorrente, gerem falhas de pagamento, enviam notificações de renovação ou atualizam os dados do cartão. O simples facto de usar um token do PSP não é suficiente para sair do âmbito se o sistema de faturação do comerciante interagir com esse token.
Os requisitos PCI DSS para negócios de subscrição incluem, em particular, o Requisito 3 (proteção dos dados de cartão armazenados), o Requisito 6 (segurança dos sistemas e aplicações) e o Requisito 8 (identificação e autenticação dos acessos). A gestão dos tokens, os registos das transações recorrentes e os sistemas de nova tentativa de pagamentos falhados devem ser concebidos tendo em conta estes requisitos.
Como a tokenização card-on-file protege a sua faturação recorrente
Com a tokenização card-on-file, o PAN do cliente é substituído por um token na primeira vez que o cartão é registado. Todas as renovações seguintes utilizam o token: o sistema de faturação do comerciante nunca vê um número de cartão em claro, e o vault externo trata da destokenização no momento da autorização com o PSP. O âmbito PCI do comerciante reduz-se apenas aos sistemas que gerem os tokens, que por definição não contêm dados sensíveis.
Outra vantagem prática é a gestão das atualizações de cartão. Quando um cliente recebe um novo cartão (por expiração ou substituição), o vault pode atualizar-se automaticamente através dos serviços de account updater disponibilizados pelas redes (Visa Account Updater, Mastercard Automatic Billing Updater). O token permanece inalterado no sistema do comerciante, mas é mapeado internamente para o novo PAN. Isto reduz os pagamentos falhados por cartão expirado sem necessitar de qualquer interação com o utilizador.
Upgrade, downgrade e cancelação: gestão de tokens na subscrição
O ciclo de vida de uma subscrição é mais complexo do que uma única transação: upgrade de plano, downgrade, pausa, cancelação com reembolso parcial e reativação após cancelamento são todos cenários que o sistema de faturação deve gerir. Com a tokenização, todos estes eventos operam sobre o token, não sobre o PAN. O token permanece válido durante toda a relação com o cliente, independentemente das alterações de plano ou das condições comerciais.
Em caso de cancelação, o token deve ser marcado como inativo no vault, mas não necessariamente eliminado: as normas PCI DSS e os requisitos de conservação de dados contabilísticos podem exigir manter o registo da transação original durante um período mínimo. A gestão correta do ciclo de vida do token, desde a criação até à desativação, é parte integrante de um programa de conformidade PCI para negócios de subscrição.
Perguntas frequentes
Como faço a gestão da renovação automática com um token PCI?
O sistema de faturação envia ao vault um pedido de débito utilizando o token associado ao cliente. O vault recupera o PAN correspondente, transmite-o ao PSP para a autorização e devolve o resultado. O comerciante recebe apenas a confirmação da autorização, sem nunca ver o PAN. O processo é idêntico ao de qualquer outra transação recorrente, mas os dados de cartão não transitam pelos sistemas do comerciante.
O que acontece ao token se o cliente mudar de cartão?
Com os serviços de account updater das redes, o vault atualiza automaticamente o mapeamento token-PAN quando um cartão é renovado ou substituído. O token no sistema do comerciante permanece inalterado. Alternativamente, quando o cliente introduz manualmente o novo cartão, é gerado um novo token que substitui o anterior no perfil do cliente.
O mandato SEPA substitui a card-on-file para os pagamentos recorrentes?
O mandato SEPA Direct Debit é uma alternativa válida para os pagamentos recorrentes em euros, mas opera sobre IBAN, não sobre dados de cartão. Não entra no âmbito do PCI DSS. Para os comerciantes que aceitam tanto cartões como SEPA, a tokenização card-on-file continua a ser necessária para o canal de cartão, enquanto os pagamentos SEPA seguem um caminho separado fora do âmbito PCI.
Gere um negócio de subscrição e quer uma faturação recorrente conforme com o PCI DSS sem atritos para os seus clientes? Descubra a PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos