Tokenização

O que é a tokenização de cartão?

Custodiamos o número do cartão no vault PCI DSS e devolvemos-lhe um token em vez do número do cartão. Nos seus sistemas só aparece esse token. Para o panorama completo, consulte o que é um PCI Proxy.

O que é

O que é a tokenização de cartão?

Substitui o número do cartão por um token. Parece um código qualquer: mesmo que alguém o veja, não consegue obter o cartão. O número real permanece no nosso vault, não nos seus servidores.

Não é encriptação

Com a encriptação, o número do cartão continua nos seus sistemas. Com a tokenização, tem em vez disso um token aleatório. Não pode ser revertido sem o vault.

Menos obrigações PCI

Se nos seus sistemas só existir o token, e não o número do cartão, as obrigações PCI reduzem-se bastante. Muitos passam de centenas de controlos (SAQ D) a poucas dezenas (SAQ A).

Funciona com qualquer PSP

Utiliza o mesmo token para subscrições, reembolsos ou mudança de processador. Não precisa de voltar a pedir o cartão ao cliente quando muda de fornecedor.

tokenization-flow.json

// 1. O cliente introduz o cartão

4111 1111 1111 1234
PCI Proxy Vault · custódia certificada

// 2. Nos seus sistemas só fica o token

tok_eu_9f8e7d6c5b4a1234

// 3. O número do cartão: nunca nos seus servidores

Vault encriptado · Só UE · acessos registados

PCI DSS

Nível 1 certificado

AES-256

Dados encriptados no vault

100% UE

Dados apenas na Europa

< 50ms

Resposta média da API

Comparativo

Três tipos de token comparados

Token de rede, token de gateway e token PCI Proxy não são a mesma coisa. Diferem em portabilidade, obrigações PCI e liberdade para escolher o processador.

Característica Token de Rede Token de Gateway Token PCI Proxy RECOMENDADO
Emitido por Circuitos (Visa, Mastercard) O seu PSP / gateway PCI Proxy (independente)
Portabilidade PSP Só circuito Não, fica preso ao fornecedor Qualquer PSP
Atualizações automáticas de cartão Sim, atualização automática Depende do gateway Sim
Reduz obrigações PCI Pouco Pouco Muito
Válido também por telefone Só e-commerce Só e-commerce E-commerce, telefone, API
Formatos de Token

Como pode ser um token

O formato depende de como o quer usar na sua gestão ou base de dados. Ajudamo-lo a escolher o mais adequado.

format-preserving

// Número do cartão original

"4111 xxxx xxxx 1234"

// Token de saída

"4111 8273 6540 1234"

↑ mesma forma, dígitos centrais alterados

Mesma forma que o número do cartão

Tem o mesmo comprimento que o número do cartão. Pode guardá-lo nas colunas que já utiliza, sem alterar a base de dados.

random-opaque

// Número do cartão original

"5412 7512 3456 7890"

// Token de saída

"tok_eu_a3f9b2c14d8e"

↑ prefixo + cadeia aleatória

Código aleatório

Cadeias do tipo tok_eu_ sem relação com o número do cartão. Mais difícil detetar padrões ou adivinhar algo.

bin-retention

// Número do cartão original (19 dígitos)

"3714 496353 98431"

// Primeiros dígitos para o circuito

"3714 4963 7f2a 9c1b 8e4d"

↑ sabe que é Visa ou Mastercard, o resto é aleatório

Primeiros dígitos para o circuito

Conserva os primeiros dígitos para saber se é Visa, Mastercard e semelhantes. O resto é aleatório e seguro.

O vault

Onde custodiamos o cartão

Aqui guardamos a correspondência entre token e número do cartão. Está isolado, encriptado e certificado PCI DSS Nível 1. Não é o utilizador que o gere: tratamos nós disso.

Ambiente Certificado PCI DSS Level 1
Só UE

Camada 1

Segmentação de Rede

Rede separada do resto. Sem acesso direto a partir da internet. Menor superfície de ataque.

Camada 2

Dados encriptados em repouso

Cada número do cartão é encriptado antes de ser guardado. As chaves permanecem em hardware dedicado, nunca expostas em claro.

Camada 3

Chaves protegidas

Rotação automática de chaves. Acesso apenas para quem realmente precisa, com duplo controlo.

Camada 4

Acessos rastreados

Cada operação sobre o vault fica registada: quem, quando, de onde. Logs imutáveis para as auditorias PCI.

Dados apenas na UE

Tudo permanece em centros de dados europeus. Os dados de cartão não saem da União Europeia. Conformidade RGPD e requisitos dos bancos europeus.

RGPD ISO 27001 ISO 9001 DORA
Portabilidade entre PSP

O mesmo token com qualquer processador

Os nossos tokens não estão ligados a Stripe, Adyen nem Redsys. Utiliza-os com quem quiser, quando quiser.

1 Token

Um token, todos os processadores de que precisar

PSP suportados

0

Cartões a pedir de novo

100%

Portabilidade

Mude de PSP sem voltar a pedir o cartão

Zero interrupções

Passa para outro processador por melhores custos ou taxas: os tokens continuam válidos. Não perde os cartões já guardados.

Vários processadores, um só token

Routing

Envia o pagamento ao PSP que preferir por região ou circuito. O número do cartão recuperamo-lo apenas no momento do pagamento.

Subscrições e pagamentos recorrentes

Cartão atualizado

Guarda o token no primeiro pagamento e reutiliza-o todos os meses. Mesmo que o cartão seja renovado, o token continua válido.

Reembolsos e estornos

Rastreabilidade

Utiliza o mesmo token para reembolsar, mesmo que o pagamento original tenha sido noutro PSP. Tudo registado para auditorias e disputas.

Segurança

Quando é necessário o número do cartão

Apenas quem está autorizado pode recuperar o cartão do vault, e só quando é realmente necessário. Cada acesso fica registado.

4

Níveis ativos

0

Acessos não autorizados

Permissões por função

Acesso mínimo

Apenas as chaves API com permissão explícita podem recuperar o número do cartão. Sem acessos predefinidos.

Apenas IPs aprovados

Rede

Os pedidos partem apenas de endereços que autorizou. O resto é bloqueado e notificado.

Janela de tempo curta

Tempo limitado

A permissão dura poucos segundos. Uma vez expirada, é necessário um novo pedido autenticado.

Log de cada acesso

Auditoria

Registamos quem solicitou o cartão, quando e de onde. Logs conservados para as auditorias PCI.

Comparação Direta

Token de rede vs token PCI Proxy

Nem todos os tokens são iguais. A escolha altera as obrigações PCI, a liberdade para mudar de PSP e os canais que pode usar.

Menos obrigações PCI · token de rede

~30%

PCI PROXY

Menos obrigações PCI · PCI Proxy

até 95%

Portabilidade PSP

∞ PSP

Dimensão Token de Rede (Visa/MC) Token PCI Proxy RECOMENDADO
Emitido por Circuitos de pagamento (Visa, Mastercard) PCI Proxy (independente)
Onde atua Apenas nas transações Visa/Mastercard Nos seus sistemas: em vez do número do cartão
Portabilidade PSP Dependente do circuito Qualquer PSP
Reduz obrigações PCI Pouco Muito
Funciona por telefone Não Sim
Armazenamento Vault do circuito Vault escolhido por si (UE)
FAQ

Perguntas frequentes

Tokenização, encriptação, vault e mudança de PSP: respostas breves.

01 Qual é a diferença entre tokenização e encriptação?

Com a encriptação, o número do cartão continua nos seus sistemas: com a chave correta é possível recuperá-lo. A tokenização substitui-o por um token aleatório que não pode ser revertido sem o vault. Para o PCI, os dados encriptados continuam a ser dados de cartão; os tokens bem implementados, não.

02 Posso reutilizar os tokens com diferentes PSP?

Com os tokens de gateway fica ligado a um único PSP: se mudar de fornecedor, tem de voltar a pedir o cartão ao cliente. Com o PCI Proxy utiliza o mesmo token com qualquer processador. Muda de fornecedor sem perder os cartões já guardados.

03 Como protege o vault os dados de cartão guardados?

O cartão permanece no nosso vault certificado PCI DSS Nível 1, encriptado e protegido. Apenas quem tiver as credenciais corretas o pode recuperar, e cada acesso fica registado. Os dados permanecem na UE, monitorizados 24 horas por dia.

PCI DSS Level 1 Vault encriptado Qualquer PSP Dados na UE

Pronto para usar tokens em vez do número de cartão?

Descubra como integrar o PCI Proxy nos seus fluxos de pagamento, ou consulte como reduz as obrigações PCI.