Ho esaminato un paio di applicazioni di e-commerce che utilizzano lo stesso processore di pagamento. In entrambi i casi, i commercianti memorizzano i token della carta di credito generati dal processore di pagamento, al fine di offrire una funzione "ricorda questa carta di credito".
Durante la revisione ho notato che lo stesso token è generato per entrambi i commercianti per lo stesso numero di carta di credito di prova. Quindi sembra che la generazione di token sia deterministica tra diversi commercianti. Per me quella sarebbe una bandiera rossa, poiché significa che le pedine stesse hanno lo stesso valore dei numeri delle carte di credito, cioè se vengono rubate da un database di mercanti possono essere riutilizzate con altri mercanti.
Tale schema di generazione di token deterministico è conforme allo standard pci? Ho letto le Linee guida per la tokenizzazione ma non ho trovato alcuna frase da vietare o scoraggiare esplicitamente.