Cobrança recorrente: saiba o que é e como funciona
O que é a cobrança recorrente? E quais são as camadas de segurança envolvidas para proteger os dados de assinantes?
Assinaturas e pagamentos recorrentes necessitam que os dados de pagamento sejam armazenados para serem processados mensalmente, se a frequência programada for mensal.
Os dados do cartão, mais até do que outras informações pessoais, precisam ser tratados com prudência nas comunicações on-line para proteger a sua integridade, frente ao risco de roubo.
Tudo se inicia na venda, no caso, na inscrição: essa fase significa que você convenceu seu cliente a fazer a assinatura de seus serviços (ou produtos) em uma plataforma de pagamento recorrente.
Para concretizar a venda, você o convida a informar os dados de cartão para realizar a inscrição do meio de pagamento que será cobrado com recorrência de forma automática. A automatização é algo bom tanto para ele quanto para você!
Informar os dados de cartão – Isso deve ser feito respeitando regras muito rigorosas. Aliás, a indústria de cartão de crédito tem isso bem claro e tem um nome: Payment Card Industry Data Security Standard (PCI-DSS).
O PCI-DSS é um conjunto de regras de boas práticas ditadas pelo conglomerado das principais bandeiras do mundo.
Conforme o mercado evolui, regularmente as bandeiras sinalizam para o resto da indústria como a tecnologia deve seguir para garantir a proteção dos dados do cartão.
Mas atenção: essas boas práticas não são opcionais! As bandeiras fiscalizam se seus parceiros diretos (os adquirentes, os bancos) seguem as regras. O não respeito às regras pode significar o descredenciamento do parceiro, isto é, o desligamento da rede de processamento dos pagamentos.
Inclusive, se os adquirentes são muitas vezes chamados de credenciadores é porque eles têm a responsabilidade de “credenciar” os Estabelecimentos Comerciais e, por sua vez, vigiar o respeito deles às regras do PCI-DSS. Resumido: as regras do PCI valem para você também e você será cobrada pela operadora de cartão se não respeitá-las.
É no ato da inscrição que é realizada a coleta dos dados de cartão. Esse é o único momento durante o qual os dados precisam ser comunicados pela web entre o Estabelcimento Comercial ! E isso deve ser feito num ambiente seguro.
Por convenção, a tela na qual os dados cadastrais e os dados de cartão são solicitados é chamada “check out”. O check out não pode ser publicado em uma página qualquer da internet. A página da web na qual o assinante vai digitar seus dados deve ser protegida por um certificado digital.
O que é certificado digital?
O certificado digital é uma chave de criptografia que, na prática, permite à empresa, dona do certificado, garantir a unicidade e a integridade da conexão entre ela e o internauta. Isso evita que um hacker intercepte ou altere os dados (por exemplo, diminuir o preço da inscrição ou mudar o nome e o CPF do beneficiário).
Empresas especializadas em pagamento online e cobranças recorrentes já incluem essa camada de segurança nos seus serviços. Elas oferecem checkouts seguros para as inscrições de seus clientes.
Quer saber o que acontece em seguida? A tokenização!
O princípio da assinatura é que os próximos vencimentos ocorram de forma automatizada. Para isso, o assinante concorda que seus dados sejam armazenados. E, novamente, há regras muito rígidas para enquadrar essa atividade.
No ato da inscrição, os dados completos do cartão (número de 16 digitos, data de validade e CVV) são enviados para a rede de processamento, formada pelo adquirente, a bandeira e o banco emissor. Ao receber a resposta do emissor, encaminhada pela bandeira e o adquirente, com autorização, ocorre a tal tokenização.
O número do cartão (composto geralmente por 16 dígitos) é salvo em um cofre digital, um ambiente com proteção reforçada contra ataques de hackers (pense em muitos firewalls e outros recursos técnicos!).
O número do cartão é substituído por um código, chamado token, e é ele que seguirá no lugar do número para todas as transações seguintes: os próximos vencimentos.
O que é um token?
Um token é uma string (uma sequencia de caracteres) alfanumérica, que permite que sistemas possam identificar, com unicidade através dela, o cartão do assinante. Por exemplo (apenas para ilustrar): o CPF do assinante seguido do código 1 se for Visa, 2 se for MC, etc. seguido dos 4 últimos dígitos do cartão. Assim, um Estabelecimento Comercial poderá salvar vários cartões para cada assinante, conforme este queira.
Dessa maneira, daqui para frente, em todos os futuros pagamento, o clube de assinatura irá usar apenas esse código para se referir ao cartão do seu assinante.
Na internet, trafega uma informação “anônima” e sem relação direta com o cartão. O token só pode ser associado ao número do cartão, quando cruzado com os dados armazenados no cofre, permitindo identificar o cartão para processar qualquer pagamento, incluindo a cobrança recorrente no cartão de crédito.
O clube está autorizado a manter em banco de dados os 6 primeiros dígitos do código e os 4 últimos. Em geral, os primeiros 6 são usados para gestão financeira, em grandes empresas. Por indicarem a bandeira, o banco emissor e o produto (se o cartão é normal, gold ou platinum), eles constituem uma informação valiosa em momentos de grande negociação.
Os últimos 4 dígitos, junto ao logo da bandeira, são usados por padrão para comunicar ao assinante o seu meio de pagamento: “seu cartão salvo é Visa com término 7344”.
o Estabelecimento Comercial também pode guardar a data de validade. Essa informação permite antecipar o vencimento de um cartão e convidar o assinante a informar os dados de seu novo cartão.
Vale notar que o CVV é um valor que nenhum agente na cadeia de pagamento é autorizado a armazenar. Portanto, se alguém pedir para “confirmar” o seu CVV, fuja!
A escolha de uma empresa com o selo PCI-DSS é obrigatória para trabalhar com cobrança recorrente. Além da proteção que o selo PCI confere, significa que trata com uma empresa sólida, que faz investimentos robustos em segurança digital.
O resultado é uma parceria em que seus dados são preservados e protegidos, e a cobrança recorrente ocorre sem dor de cabeça.
Fale com a Cyclopay e entenda o que a recorrência pode fazer pelos seus negócios.
