Tokenização

Tokenização card-on-file: como proteger dados de cartão em pagamentos recorrentes

15 de janeiro de 2025 5 min de leitura

A tokenização card-on-file é o método pelo qual os dados de cartão de um cliente são substituídos por um token reutilizável para cobranças futuras, sem que o PAN real seja conservado nos sistemas do comerciante. Para quem gere subscrições, planos recorrentes ou pagamentos sob autorização, esta tecnologia não é uma opção: é a forma de manter a conformidade com o PCI DSS sem ter de construir um vault interno. Os riscos do armazenamento direto dos dados de cartão são demasiado elevados e os procedimentos demasiado onerosos para justificar qualquer alternativa.

Tokenização card-on-file: como proteger dados de cartão em pagamentos recorrentes

O que significa "card on file" e por que é arriscado

Um dado de cartão define-se como "card on file" quando é conservado com a intenção de reutilizá-lo para transações futuras sem que o titular tenha de reintroduzir os seus dados. Este cenário é típico dos serviços de subscrição, das plataformas SaaS, dos e-commerce com opção de pagamento rápido e dos marketplaces que faturam de forma recorrente. Do ponto de vista do PCI DSS, armazenar um PAN — ainda que apenas por um segundo após a autorização — torna o sistema num componente do CDE sujeito a todos os requisitos de segurança.

Os riscos concretos do armazenamento direto são dois: o risco técnico de uma violação que exponha milhares ou milhões de números de cartão, e o risco de conformidade que se traduz em sanções, custos forenses e possível perda da capacidade de processar pagamentos. Nenhuma vantagem operacional justifica manter os PAN nas próprias bases de dados quando existem alternativas seguras e certificadas.

Como funciona a tokenização para pagamentos recorrentes

No modelo de tokenização card-on-file, o fluxo funciona da seguinte forma: o cliente introduz os dados de cartão uma única vez através de um formulário seguro ou de uma página hosted certificada PCI DSS. Esses dados são enviados diretamente ao vault do fornecedor de tokenização, que devolve ao comerciante um token único e persistente. A partir desse momento, o comerciante utiliza apenas o token para solicitar cobranças futuras: o vault recupera o PAN real, envia-o à rede e devolve apenas a resposta de autorização.

O token pode ser configurado para ser válido durante um período específico, vinculado a um único comerciante ou a um montante máximo único. Esta granularidade permite construir arquiteturas de pagamento recorrente flexíveis sem nunca expor os dados de cartão nos próprios sistemas. O vault da PCI Proxy EU gere esta lógica com APIs padrão, compatíveis com os principais PSP europeus.

Obrigações PCI DSS para quem armazena dados de cartão

Quem armazena PAN deve satisfazer os 12 requisitos do PCI DSS no seu perímetro completo. Isto inclui a encriptação dos dados em repouso com chaves geridas separadamente, o controlo de acessos granular, o logging completo de cada operação sobre os dados de cartão, o vulnerability scanning trimestral e o penetration test anual sobre todo o CDE. Para uma PME, isto traduz-se em custos de conformidade que podem superar os 30.000 euros por ano.

Com a tokenização card-on-file, o comerciante sai do perímetro de armazenamento de PAN. Permanecem em âmbito apenas os sistemas que transmitem os tokens e recebem as respostas de autorização, que são muito menos críticos do ponto de vista do PCI DSS. O resultado é um perímetro reduzido, um SAQ mais simples e custos de conformidade significativamente menores.

Perguntas frequentes

A tokenização card-on-file é diferente da encriptação?

Sim. A encriptação transforma o PAN num dado cifrado que pode ser decifrado com a chave correta: o risco permanece no sistema que gere as chaves. A tokenização substitui o PAN por um valor aleatório sem relação matemática com o dado original: ainda que o token seja intercetado, não é possível recuperar o PAN sem aceder ao vault.

Com os tokens posso igualmente cobrar ao cliente no futuro?

Sim. O token é persistente e reutilizável para todas as cobranças futuras autorizadas. O comerciante envia ao vault o token juntamente com o montante e as instruções de cobrança; o vault executa a transação com o PAN real e devolve apenas a resposta de autorização. O cliente não precisa de reintroduzir os dados de cartão para nenhuma cobrança posterior à primeira.

O que acontece se o meu PSP fechar ou mudar de fornecedor?

Com a PCI Proxy EU, o vault é independente do PSP: os tokens são portáveis e podem ser utilizados com qualquer adquirente suportado. Se mudar de fornecedor de pagamento, não tem de pedir aos clientes que reintroduzam os dados de cartão. Esta é uma das vantagens chave de um vault agnóstico face aos tokens proprietários de cada PSP.

Gere subscrições ou pagamentos recorrentes e quer eliminar os PAN da sua infraestrutura? Descubra a PCI Proxy EU.


Precisa de apoio na conformidade PCI?

A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.

Contacte-nos

Simplifique a conformidade PCI DSS hoje

Reduza o seu CDE, simplifique o SAQ e proteja os dados de cartão dos clientes com a PCI Proxy EU.