Mi procesador de pagos admite pagos recurrentes a través de "tokens de tarjetas de crédito".
Esto significa que cuando alguien realiza una compra, usted o el cliente enviarán su tarjeta de crédito a su procesador, y el procesador le devolverá un token. A diferencia de una tarjeta de crédito, ese token no puede tomarse en otro lugar y usarse; solo es válido entre usted y su procesador para representar a este cliente. Usted no almacena su tarjeta de crédito; te olvidas de todo y usas el token en su lugar.
El procesador conserva el número de la tarjeta de crédito y, cuando dice "Cargar este token", usa el número de la tarjeta para efectuar el cargo.
La ventaja de este sistema es que usted no es responsable de proteger los datos de PAN ("Número de cuenta principal"), lo que simplifica sus inquietudes de seguridad y auditoría. Si organiza que sus clientes entreguen sus números de tarjeta directamente al procesador, sin entregárselos primero, entonces puede reducir considerablemente el alcance y las obligaciones de su PCI.
¿Cuál es la mejor manera de almacenar estos tokens?
Por lo general, en una base de datos. No requieren el mismo nivel de cifrado y protección que tendría que usar para los datos PAN, si eso es lo que le preocupa.
¿Qué pasa si mi sistema se ve comprometido y alguien pone sus manos en los tokens?
Si alguien roba toda tu base de datos de tokens, no puede usarlos para hacer nada. No sirven para nada excepto en el contexto de usted enviándolos a su procesador usando sus credenciales, que se notarán muy rápidamente cuando Los clientes ven que tienen doble facturación. (Y la única forma de obtener beneficios económicos es si su sitio de "membresía" envía algo valioso, como casos de vino, a los clientes, y el atacante podría interceptar el envío).