Tokenização

Tokenização de rede vs. tokenização de pagamentos: as diferenças que importam

8 de março de 2025 5 min de leitura

O termo «tokenização» engloba duas tecnologias distintas que operam em níveis diferentes da cadeia de pagamentos. A tokenização de rede é gerida pelos circuitos Visa e Mastercard e substitui o PAN ao nível da transação autorizada. A tokenização de pagamento é gerida pelo comerciante ou pelo seu fornecedor e serve para não armazenar o PAN real nos seus próprios sistemas. Perceber onde termina uma e onde começa a outra é essencial para construir uma arquitetura de pagamento segura e flexível.

Tokenização de rede vs. tokenização de pagamentos: as diferenças que importam

Tokenização de rede: o que fazem a Visa e a Mastercard

O Visa Token Service (VTS) e o Mastercard Digital Enablement Service (MDES) substituem o PAN físico do cartão por um token de rede (também designado DPAN, Device PAN) vinculado a um dispositivo, canal ou comerciante específico. Este token circula nas mensagens de autorização em vez do PAN real: o adquirente recebe-o, transmite-o ao circuito e o circuito converte-o internamente no PAN antes de o enviar ao emissor. O comerciante e o adquirente nunca veem o PAN original.

Os tokens de rede melhoram a taxa de autorização porque os circuitos os atualizam automaticamente quando o cartão é renovado ou reemitido, sem que o comerciante tenha de atualizar os seus arquivos. Estão vinculados a um contexto específico (dispositivo, comerciante, canal) e não podem ser reutilizados fora desse contexto: se forem intercetados, tornam-se inúteis. A adoção da tokenização de rede é especialmente vantajosa para pagamentos recorrentes e subscrições, onde reduz o abandono causado por vencimentos e bloqueios.

Tokenização de pagamento: o vault do comerciante ou do fornecedor

A tokenização de pagamento opera a um nível diferente: substitui o PAN nos arquivos do comerciante por um token próprio conservado num vault seguro. O vault mapeia cada token ao PAN real e só o liberta no momento da autorização, para o PSP autorizado. Esta abordagem elimina o PAN da infraestrutura do comerciante e reduz drasticamente o perímetro PCI: os sistemas que apenas veem tokens não fazem parte do CDE.

Ao contrário dos tokens de rede, os tokens vault são independentes do processador: o mesmo token pode ser utilizado para autorizar com PSP diferentes, desde que o vault esteja acessível. Isto elimina o vendor lock-in típico de quem armazena PAN diretamente com o seu gateway. Com o PCI Proxy EU, o vault está certificado PCI DSS Level 1 e os tokens são portáteis: o comerciante pode mudar de PSP sem perder os dados de cartão dos seus clientes existentes.

Quando usar uma, quando a outra e porquê muitas vezes são precisas as duas

A tokenização de rede protege a transação em trânsito, mas não resolve o problema do armazenamento do PAN para pagamentos futuros. Se o comerciante precisar de conservar uma referência ao cartão para subscrições, compras com um clique ou pré-autorizações, precisa igualmente de um sistema de armazenamento seguro. Neste cenário, as duas tecnologias complementam-se: a tokenização de rede melhora a segurança das transações em direto, a tokenização de pagamento resolve o problema do armazenamento.

Para muitos comerciantes europeus, a prioridade é resolver primeiro o problema do âmbito PCI com uma tokenização de pagamento robusta, e depois otimizar as taxas de conversão com a tokenização de rede. O PCI Proxy EU posiciona-se no primeiro nível: fornece o vault para o armazenamento seguro dos PAN com tokens portáteis, e integra-se sem conflitos com as soluções de tokenização de rede ativadas pelo PSP ou pelo adquirente.

Perguntas frequentes

A tokenização de rede substitui a tokenização de pagamento?

Não, operam em níveis diferentes. A tokenização de rede protege a transação no fluxo de autorização entre o comerciante, o adquirente e o circuito. A tokenização de pagamento resolve o problema do armazenamento seguro do PAN na infraestrutura do comerciante. Um comerciante que apenas utiliza tokenização de rede continua a ter o PAN no seu arquivo, com todas as obrigações PCI que isso implica.

Os tokens da Visa e da Mastercard são portáteis entre PSP?

Não, os tokens de rede estão vinculados a um contexto específico: comerciante, dispositivo e canal. Não são portáteis entre PSP. Se um comerciante mudar de adquirente ou gateway, os tokens de rede emitidos anteriormente não são reutilizáveis e têm de ser regenerados. Isto não se aplica aos tokens vault de um fornecedor como o PCI Proxy EU, que são independentes do PSP.

O PCI Proxy EU é compatível com a tokenização de rede?

Sim. O PCI Proxy EU gere o armazenamento seguro do PAN e a sua substituição por tokens vault. Quando o comerciante realiza uma autorização, pode passar o PAN ao PSP que, se suportar o Visa Token Service ou o MDES, o converte num token de rede para a transação. Ambas as camadas integram-se sem conflitos.

Tokens independentes de circuito e portáteis entre PSP: é isso que o PCI Proxy EU oferece. Descubra o PCI Proxy EU.


Precisa de apoio na conformidade PCI?

A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.

Contacte-nos

Na prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para tokenização.

Simplifique a conformidade PCI DSS hoje

Reduza o seu CDE, simplifique o SAQ e proteja os dados de cartão dos clientes com a PCI Proxy EU.