O que é a tokenização de cartão?
Custodiamos o número do cartão no vault PCI DSS e devolvemos-lhe um token em vez do número do cartão. Nos seus sistemas só aparece esse token. Para o panorama completo, consulte o que é um PCI Proxy.
O que é a tokenização de cartão?
Substitui o número do cartão por um token. Parece um código qualquer: mesmo que alguém o veja, não consegue obter o cartão. O número real permanece no nosso vault, não nos seus servidores.
Não é encriptação
Com a encriptação, o número do cartão continua nos seus sistemas. Com a tokenização, tem em vez disso um token aleatório. Não pode ser revertido sem o vault.
Menos obrigações PCI
Se nos seus sistemas só existir o token, e não o número do cartão, as obrigações PCI reduzem-se bastante. Muitos passam de centenas de controlos (SAQ D) a poucas dezenas (SAQ A).
Funciona com qualquer PSP
Utiliza o mesmo token para subscrições, reembolsos ou mudança de processador. Não precisa de voltar a pedir o cartão ao cliente quando muda de fornecedor.
// 1. O cliente introduz o cartão
// 2. Nos seus sistemas só fica o token
// 3. O número do cartão: nunca nos seus servidores
PCI DSS
Nível 1 certificado
AES-256
Dados encriptados no vault
100% UE
Dados apenas na Europa
< 50ms
Resposta média da API
Três tipos de token comparados
Token de rede, token de gateway e token PCI Proxy não são a mesma coisa. Diferem em portabilidade, obrigações PCI e liberdade para escolher o processador.
| Característica | Token de Rede | Token de Gateway | Token PCI Proxy RECOMENDADO |
|---|---|---|---|
| Emitido por | Circuitos (Visa, Mastercard) | O seu PSP / gateway | PCI Proxy (independente) |
| Portabilidade PSP | Só circuito | Não, fica preso ao fornecedor | Qualquer PSP |
| Atualizações automáticas de cartão | Sim, atualização automática | Depende do gateway | Sim |
| Reduz obrigações PCI | Pouco | Pouco | Muito |
| Válido também por telefone | Só e-commerce | Só e-commerce | E-commerce, telefone, API |
Como pode ser um token
O formato depende de como o quer usar na sua gestão ou base de dados. Ajudamo-lo a escolher o mais adequado.
// Número do cartão original
"4111 xxxx xxxx 1234"
// Token de saída
"4111 8273 6540 1234"
↑ mesma forma, dígitos centrais alterados
Mesma forma que o número do cartão
Tem o mesmo comprimento que o número do cartão. Pode guardá-lo nas colunas que já utiliza, sem alterar a base de dados.
// Número do cartão original
"5412 7512 3456 7890"
// Token de saída
"tok_eu_a3f9b2c14d8e"
↑ prefixo + cadeia aleatória
Código aleatório
Cadeias do tipo tok_eu_ sem relação com o número do cartão. Mais difícil detetar padrões ou adivinhar algo.
// Número do cartão original (19 dígitos)
"3714 496353 98431"
// Primeiros dígitos para o circuito
"3714 4963 7f2a 9c1b 8e4d"
↑ sabe que é Visa ou Mastercard, o resto é aleatório
Primeiros dígitos para o circuito
Conserva os primeiros dígitos para saber se é Visa, Mastercard e semelhantes. O resto é aleatório e seguro.
Onde custodiamos o cartão
Aqui guardamos a correspondência entre token e número do cartão. Está isolado, encriptado e certificado PCI DSS Nível 1. Não é o utilizador que o gere: tratamos nós disso.
Camada 1
Segmentação de Rede
Rede separada do resto. Sem acesso direto a partir da internet. Menor superfície de ataque.
Camada 2
Dados encriptados em repouso
Cada número do cartão é encriptado antes de ser guardado. As chaves permanecem em hardware dedicado, nunca expostas em claro.
Camada 3
Chaves protegidas
Rotação automática de chaves. Acesso apenas para quem realmente precisa, com duplo controlo.
Camada 4
Acessos rastreados
Cada operação sobre o vault fica registada: quem, quando, de onde. Logs imutáveis para as auditorias PCI.
Dados apenas na UE
Tudo permanece em centros de dados europeus. Os dados de cartão não saem da União Europeia. Conformidade RGPD e requisitos dos bancos europeus.
O mesmo token com qualquer processador
Os nossos tokens não estão ligados a Stripe, Adyen nem Redsys. Utiliza-os com quem quiser, quando quiser.
1 Token
Um token, todos os processadores de que precisar
∞
PSP suportados
0
Cartões a pedir de novo
100%
Portabilidade
Mude de PSP sem voltar a pedir o cartão
Zero interrupçõesPassa para outro processador por melhores custos ou taxas: os tokens continuam válidos. Não perde os cartões já guardados.
Vários processadores, um só token
RoutingEnvia o pagamento ao PSP que preferir por região ou circuito. O número do cartão recuperamo-lo apenas no momento do pagamento.
Subscrições e pagamentos recorrentes
Cartão atualizadoGuarda o token no primeiro pagamento e reutiliza-o todos os meses. Mesmo que o cartão seja renovado, o token continua válido.
Reembolsos e estornos
RastreabilidadeUtiliza o mesmo token para reembolsar, mesmo que o pagamento original tenha sido noutro PSP. Tudo registado para auditorias e disputas.
Quando é necessário o número do cartão
Apenas quem está autorizado pode recuperar o cartão do vault, e só quando é realmente necessário. Cada acesso fica registado.
4
Níveis ativos
0
Acessos não autorizados
Permissões por função
Acesso mínimoApenas as chaves API com permissão explícita podem recuperar o número do cartão. Sem acessos predefinidos.
Apenas IPs aprovados
RedeOs pedidos partem apenas de endereços que autorizou. O resto é bloqueado e notificado.
Janela de tempo curta
Tempo limitadoA permissão dura poucos segundos. Uma vez expirada, é necessário um novo pedido autenticado.
Log de cada acesso
AuditoriaRegistamos quem solicitou o cartão, quando e de onde. Logs conservados para as auditorias PCI.
Token de rede vs token PCI Proxy
Nem todos os tokens são iguais. A escolha altera as obrigações PCI, a liberdade para mudar de PSP e os canais que pode usar.
Menos obrigações PCI · token de rede
~30%
Menos obrigações PCI · PCI Proxy
até 95%
Portabilidade PSP
∞ PSP
| Dimensão | Token de Rede (Visa/MC) | Token PCI Proxy RECOMENDADO |
|---|---|---|
| Emitido por | Circuitos de pagamento (Visa, Mastercard) | PCI Proxy (independente) |
| Onde atua | Apenas nas transações Visa/Mastercard | Nos seus sistemas: em vez do número do cartão |
| Portabilidade PSP | Dependente do circuito | Qualquer PSP |
| Reduz obrigações PCI | Pouco | Muito |
| Funciona por telefone | Não | Sim |
| Armazenamento | Vault do circuito | Vault escolhido por si (UE) |
Perguntas frequentes
Tokenização, encriptação, vault e mudança de PSP: respostas breves.
01 Qual é a diferença entre tokenização e encriptação?
Com a encriptação, o número do cartão continua nos seus sistemas: com a chave correta é possível recuperá-lo. A tokenização substitui-o por um token aleatório que não pode ser revertido sem o vault. Para o PCI, os dados encriptados continuam a ser dados de cartão; os tokens bem implementados, não.
02 Posso reutilizar os tokens com diferentes PSP?
Com os tokens de gateway fica ligado a um único PSP: se mudar de fornecedor, tem de voltar a pedir o cartão ao cliente. Com o PCI Proxy utiliza o mesmo token com qualquer processador. Muda de fornecedor sem perder os cartões já guardados.
03 Como protege o vault os dados de cartão guardados?
O cartão permanece no nosso vault certificado PCI DSS Nível 1, encriptado e protegido. Apenas quem tiver as credenciais corretas o pode recuperar, e cada acesso fica registado. Os dados permanecem na UE, monitorizados 24 horas por dia.
Pronto para usar tokens em vez do número de cartão?
Descubra como integrar o PCI Proxy nos seus fluxos de pagamento, ou consulte como reduz as obrigações PCI.