English
Docs
AtendimentoAPI Status

Tokenizando cartões

ℹ️

Vá para a Referência da API para acessar os exemplos completos de requisição e resposta.

Salvando e Reutilizando Cartões

Ao contratar o Cartão Protegido é possível salvar um cartão de forma segura e de acordo com as normas PCI DSS. A API salva e criptografa os dados do cartão (nome do portador, número, bandeira e data de validade) em um token, que chamamos de CardToken.

O token viabiliza o envio e processamento de transações e garante a integridade dos cartões armazenados. Além disso, geramos um novo token a cada transação do mesmo comprador.

Além da geração do CardToken, é possível associar um nome (um identificador em formato de texto) ao cartão salvo. Esse identificador será o Alias.

ATENÇÃO: O Cartão Protegido não salva o CVV do cartão. Sendo assim:

  • O comprador deverá preencher o CVV a cada transação;
  • A sua loja pode realizar transações sem o CVV desde que esteja autorizada pela adquirente.

⚠️

Atenção

Por questões de segurança, o cartão protegido só aceita salvar cartões que passem pela checagem do Algoritmo de Luhn, também conhecido como "mod10".

ℹ️

Importante

  • Essa funcionalidade é válida para cartão de crédito;
  • É possível tokenizar cartões de crédito na e-wallet, podendo ser cartões criptografados ou descriptografados. É necessário que a loja tenha o serviço de tokenização contratado e que o parâmetro SaveCard seja informado igual a "true".

Salvando um cartão durante uma autorização

Para salvar um cartão de crédito utilizado em uma transação, basta enviar o parâmetro Payment.SaveCard como "true" na requisição padrão de autorização. A numeração do cartão utilizado pode ser validada através da técnica do mod10, explicada neste artigo.

Abaixo veja a representação do fluxo transacional com a solicitação do token pela API do Gateway de Pagamento:

Fluxo transacional Cartão Protegido com solicitação do token

Consulte também os fluxos de tokenização direta com a API do Cartão Protegido, com a opção dos serviços da API do VerifyCard

Criando uma transação com CardToken

Este é um exemplo de como utilizar o CardToken, previamente salvo, para criar uma transação.

Por questões de segurança, um CardToken não armazena o Código de Segurança (CVV). Desta forma, a sua aplicação precisa solicitar esta informação ao portador para cada nova transação e enviar o CVV no campo CreditCard.SecurityCode.

Caso seu estabelecimento tenha autorização da adquirente para submeter transações sem o CVV, o campo CreditCard.SecurityCode passa a ser opcional.

Para transacionar sem o CVV, solicite autorização à sua adquirente.

O nó CreditCard dentro do nó Payment enviará o CardToken.


Criando uma transação com alias

Este é um exemplo de como utilizar o Alias, previamente salvo, para criar uma transação. O Alias é um nome (identificador em formato de texto) associado ao cartão salvo.

Por questões de segurança, um Alias não armazena o Código de Segurança (CVV). Desta forma, a sua aplicação precisa solicitar esta informação ao portador para cada nova transação e enviar o CVV no campo CreditCard.SecurityCode.

Caso seu estabelecimento tenha autorização da adquirente para submeter transações sem o CVV, o campo CreditCard.SecurityCode passa a ser opcional.

Para transacionar sem o CVV, solicite autorização à sua adquirente.


Exportação e importação e de tokens

É possível exportar os cartões tokenizados (CardToken) armazenados no cofre para uso em outros provedores de pagamento e também trazer para a Cielo os cartões tokenizados criados pela sua loja em outros serviços de tokenização.

Exportação de token de cartão

É quando a loja deseja exportar cartões tokenizados (CardToken) e armazenados no cofre para uso em outros provedores de pagamento. Esse processo está sujeito à cobranças, além de ser necessário assinar um termo de responsabilidade, informar o certificado PCI DSS de quem vai receber os tokens, preparar o ambiente SFTP; fornecer uma chave pública PGP e informar credenciais.

Para realizar o processo de exportação de tokens do cofre para outro parceiro, é necessário abrir um chamado para o suporte solicitando a exportação dos tokens, enviando os seguintes dados:

  • MerchantID do estabelecimento;
  • CNPJ do estabelecimento;
  • Termo de Responsabilidade assinado.

Após o suporte identificar a loja, serão solicitadas as seguintes informações:

  • Certificado PCI DSS de quem vai receber os tokens;
  • Dados do ambiente SFTP do receptor, incluindo Usuário e Chave PGP.

Com o envio de todas as informações, o time de suporte iniciará o procedimento de exportação dos tokens, que tem um prazo de 20 dias úteis.

Importação de token de cartão

É quando a loja deseja importar para o nosso ambiente os tokens de cartão criados pela loja em outros serviços de tokenização. Para isso, a loja deverá listar os tokens de cartão dentro de um layout fornecido, preparar o ambiente SFTP, informar credenciais e usar a chave pública PGP Braspag/Cielo. Para informações detalhadas deste processo, consulte o suporte.

Para que o processo de exportação e importação ocorra com segurança, usamos a criptografia PGP.

Copie abaixo a chave pública Braspag/Cielo para importação de tokens:

-----BEGIN PGP PUBLIC KEY BLOCK-----
Comment: User-ID:  Infra Estrutura <[email protected]>
Comment: Created:  6/1/2016 3:50 PM
Comment: Type:  2,048-bit RSA (secret key available)
Comment: Usage:  Signing, Encryption, Certifying User-IDs
Comment: Fingerprint:  79F726DE4826AA22D889C2A23EF692D49108FBCA

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==
=LLpM
-----END PGP PUBLIC KEY BLOCK-----

Updated 8 days ago