“Sono un cliente abituale di diversi negozi online e voglio essere sicuro che i dati della mia carta di credito non vengano rubati o clonati”.
Devi tenere protetto il tuo numero di conto (PAN) e altri dati sensibili della carta.
“Certo, e come faccio?”
- Vedi, questo dovrebbe essere gestito dal commerciante stesso attraverso uno strumento di tokenizzazione delle carte. Cioè un sistema che ti permette di sostituire i dati sensibili con dati non sensibili chiamati token.
- “Allora, come funziona?”
- Il sistema di tokenizzazione riceve i dati riservati. Questi dati sono memorizzati centralmente e protetti da una robusta crittografia. Successivamente, il sistema di tokenizzazione genera un token unico e lo associa ai dati precedentemente memorizzati. Infine, il token viene inserito nel flusso operativo dell’applicazione e sostituisce i dati sensibili in tutte le operazioni.
“Interessante!”
Continua a leggere e ti spiegheremo come le aziende aggiungono la massima sicurezza alle loro transazioni con carta. Ci segui?
Il token sulle carte, cos’è?
Un token nell’ecosistema dei pagamenti è un bene digitale che sostituisce i dati sensibili. È sinonimo di fiducia e sicurezza. È qualcosa come un sostituto per i tuoi dati riservati per assicurare la loro protezione durante le transazioni.
Fa parte del processo di tokenizzazione della carta, che comporta la conversione dei dati della carta dei tuoi clienti in token criptati. Si applica alla sicurezza dei dati ed è il processo di sostituzione di un elemento di dati riservati con un equivalente non sensibile chiamato token. Non ha alcun significato o valore estrinseco.
Il processo è il seguente:
- Il sistema riceve i dati riservati. A seconda delle interfacce, i dati sono ottenuti, importati o inseriti da un utente.
- I dati sensibili sono sostituiti da un token o da un codice di crittografia forte. Cioè, non viene memorizzato il numero di conto, o qualsiasi altro dato, ma un suo sostituto. I dati reali del cliente sono noti solo alla banca, quello che riceviamo dalla banca è un token. Lo memorizziamo e ci permette di rendere l’esperienza di pagamento del cliente più veloce e sicura.
- Il token generato è unico e associato ai dati riservati precedentemente memorizzati. Servirà come alias per i dati reali.
- Il token viene inserito nel flusso operativo e sostituisce le informazioni sensibili che rappresenta in tutte le transazioni.
In tre parole, il processo consiste nel provisioning (il cliente ha un token collegato al suo PAN o Personal Account Number), nella convalida (il token viene inviato alla rete della carta di credito per elaborare la transazione) e nell’autorizzazione (quando la convalida della transazione viene ricevuta, la rete tokenizza i dati e invia l’autorizzazione al commerciante).
Il sistema di tokenizzazione permette una crittografia sicura dei dati della carta dei tuoi clienti, un’esperienza di pagamento online ancora più veloce, una ricezione che fa risparmiare tempo e la liquidazione dei pagamenti con un solo clic.
Fare acquisti in modo sicuro non è mai stato così facile!
Tokenizzazione e PCI DSS
Stai cercando la massima sicurezza per i tuoi pagamenti o vuoi semplicemente migliorare l’esperienza dei tuoi clienti? Allora dovresti pensare di includere la tokenizzazione della carta nella tua elaborazione dei pagamenti. La gestione e la conservazione delle informazioni sensibili è una questione di grande preoccupazione per qualsiasi azienda oggi.
Ecco perché è nato il regolamento PCI DSS, che si occupa di regolare la gestione e la conservazione dei dati associati alle carte di pagamento. Questo regolamento include tecniche di tokenizzazione all’interno dei metodi di protezione PAN, che possono essere protetti con un token associato secondo diversi modelli:
- Sostituzione completa con una stringa di numeri e lettere. Il token può avere un formato diverso dai dati che sostituisce ed è solitamente il più complicato da gestire, poiché richiede alcune modifiche nei database associati.
- Sostituzione completa con un token della stessa lunghezza e formato. Ha un impatto minimo su qualsiasi sistema associato.
- Sostituzione parziale, mantenendo la prima e l’ultima posizione uguali. I dati medi sono sostituiti da un token. In questo modello, è necessaria una tecnica di differenziazione tra PAN e token per evitare che i dati vengano contaminati.
Tuttavia, la tokenizzazione non è l’unica alternativa alla protezione della carta, poiché nell’ecosistema PCI DSS sono stabilite diverse strategie per proteggere il PAN quando deve essere conservato. Questi metodi sono: tokenizzazione, crittografia forte, troncamento e valori hash unidirezionali.
Il PCI DSS dichiara il suo campo di applicazione come segue: “Il numero di conto primario è il fattore determinante per l’applicabilità dei requisiti PCI DSS, che si applicano se memorizzi, elabori o trasmetti un numero di conto primario (PAN). Se un PAN non viene memorizzato, elaborato o trasmesso, i requisiti PCI DSS non si applicano…”.
Quando dovrei tokenizzare e come faccio ad adempiere alla normativa?
Dobbiamo tenere a mente che un token non è un PAN, ma un suo sostituto. Pertanto, i requisiti PCI DSS non si applicano dove vengono memorizzati, elaborati o trasmessi. I processi aziendali attraverso i quali scorre un token non sono soggetti alla conformità con lo standard. Al contrario, i sistemi che interagiscono con i dati delle carte di pagamento sono all’interno dell’ambiente di conformità. Quali requisiti devono essere soddisfatti?
- Il sistema di tokenizzazione utilizzato non deve fornire il numero a nessuna rete o utente al di fuori dell’ambito di conformità.
- Il token della carta deve utilizzare algoritmi crittografici robusti.
- Lo strumento di tokenizzazione deve implementare controlli di accesso e misure di autenticazione.
- Tutti i componenti del sistema di tokenizzazione devono essere situati su una rete interna sicura.
Hai capito cos’è la tokenizzazione? Sai in cosa consiste il token sulla carta? Hai dubbi su come funziona? Come si adatta al tuo business?
Noi di PayXpert risolviamo tutti i tuoi dubbi.