EST. 2012 CODEGO GROUP LTD · MALTA EUIPO 018922174 PCI DSS · ADSIGO 2025 CARD DATA REVEAL SDK · v1 SAQ-D → SAQ-A · 14× MOINS DE CONTRÔLES INDÉPENDANT DU FOURNISSEUR · MARQETA · GALILEO · STRIPE · BIN SPONSORS
Codego · Card Reveal SDK · v1 Vol. XII · Fiche produit / Réduction du périmètre PCI ● Sandbox self-service · Indépendant du fournisseur
01

Affichez les données de carte.
Restez hors
du périmètre PCI.

Le Card Data Reveal SDK permet à votre application d'afficher au porteur le PAN, le CVV et la date d'expiration complets — sans que vos serveurs, votre application ou vos développeurs ne touchent jamais aux données de la carte. Une iframe cross-origin servie par l'infrastructure certifiée PCI‑DSS de Codego rend la carte dans le navigateur de l'utilisateur final. La Same-Origin Policy du navigateur garantit que votre code ne peut pas la lire. Passez de SAQ-D (plus de 300 contrôles) à SAQ-A (22 contrôles) — sans changer d'émetteur.

Obtenir une clé sandbox Comment ça marche
(A) Contrôles PCI
22SAQ-A
(B) vs SAQ-D
14× moins
(C) Durée du token
5minutes
(D) Inscription sandbox
<30secondes
02
Le problème
Pourquoi afficher un PAN coûte si cher
4 points de douleur

Une seule ligne de données de carte,
un audit à six chiffres.

Si votre application ne serait-ce qu'une fois stocke, traite ou transmet un PAN complet — même pour l'afficher une seule fois à l'écran — vous êtes à l'intérieur du cardholder data environment PCI DSS. Cela signifie SAQ-D, une mission QSA de Niveau 1, des scans ASV trimestriels, des tests d'intrusion annuels, une surveillance continue et environ de 50 000 à 200 000 dollars par an de surcoût de conformité — avant même d'écrire la moindre ligne de code produit.

A · Coût

50k–200k $ / an

Conformité PCI DSS Niveau 1 enterprise : audit QSA, scans ASV, pen-tests, surveillance, équipe de sécurité dédiée. Récurrent chaque année.

B · Délai

6–12 mois bloqués

Les nouveaux programmes de cartes restent souvent en file d'attente pendant six mois pendant que la conformité, l'infrastructure et les processus rattrapent une posture PCI Niveau 1.

C · Dérive du périmètre

Plus de 300 contrôles (SAQ-D)

Le questionnaire SAQ-D complet entraîne des systèmes adjacents — logs, sauvegardes, postes de développement. Les auditeurs continuent d'en trouver d'autres dans le périmètre.

D · Verrouillage

Dépendance à l'émetteur

La plupart des reveal SDK proviennent d'un seul émetteur (Marqeta.js, Stripe Issuing Elements, Galileo MyCardInfo) — vous n'adoptez le SDK qu'en adoptant l'émetteur.

03
Comment ça marche
Deux appels API, une iframe
5 étapes · 2 endpoints

Iframe cross-origin.
La Same-Origin Policy fait le reste.

La garantie technique n'est pas une politique — c'est le navigateur. Lorsque votre page intègre une iframe cross-origin depuis cardview.codegotech.com, le navigateur refuse de laisser votre JavaScript en lire le contenu. C'est la même frontière qui empêche des sites web arbitraires de lire votre boîte de réception Gmail. Le PAN est rendu en pixels à l'intérieur d'un DOM isolé, visible pour votre utilisateur mais inaccessible à votre code.

01 · Requête

POST /getCardInfo

Votre backend appelle la Card Reveal API avec l'identifiant du porteur, vos identifiants tenant et l'ID de la carte. Aucune donnée de carte n'est envoyée.

02 · Token

URL à usage unique

Codego renvoie un token à usage unique de 64 caractères hexadécimaux lié exactement à cette carte et à cet utilisateur, valable 5 minutes. Le token est stocké sous forme de hachage SHA-256 ; la valeur en clair n'est jamais conservée.

03 · Iframe

Votre page l'intègre

Votre frontend insère <iframe src="cardview.../v/<token>"> dans la page. Le navigateur récupère l'iframe directement auprès de Codego.

04 · Rendu

Le PAN est rendu côté client

L'iframe reçoit le payload chiffré, le déchiffre dans le contexte du navigateur et rend le PAN, le CVV, le porteur et l'expiration sous forme de pixels.

05 · Auto-effacement

Effacement du DOM après 60 secondes

Le viewer efface son propre DOM après 60 secondes, bloque les raccourcis d'impression et de capture d'écran et révoque le token à la première visualisation. Une relecture renvoie 403.

Exemple de requête

curl -X POST https://cardapi.codegotech.com/getCardInfo \
  -H "Content-Type: application/json" \
  -d '{
    "authkey":       "<tenant_api_key>",
    "authekey":      "<base64(user:pass)>",
    "whitelabel_id": "<your_tenant_id>",
    "user_id":       "<end_user_id>",
    "web_token":     "<session_token>",
    "cid":           "<card_id>"
  }'

# response
{
  "status": true,
  "token":     "f5b3...c801",
  "image_url": "https://cardview.codegotech.com/v/f5b3...c801"
}

Ouvrir la documentation du sandbox → Clé gratuite, sans carte de crédit. Le même payload qu'en production.

04
Réduction du périmètre PCI
SAQ-D vs SAQ-A · ce qui change vraiment
Comparatif SAQ

De plus de 300 contrôles
à 22.

SAQ-D (sans Card Reveal)
Stocke ou transmet des données du porteur · plus de 300 contrôles · audit de Niveau 1 · 50k–200k $/an
SAQ-A (avec Card Reveal)
Entièrement externalisé à un fournisseur PCI DSS · 22 contrôles · auto-évaluation · ~5k–15k $/an
Données du porteur dans votre environnement
Zéro. Vos serveurs ne reçoivent jamais PAN, CVV ni expiration.
Garantie d'isolation de l'iframe
Same-Origin Policy du navigateur. Le même standard qui protège les sessions bancaires, Gmail, l'OAuth de GitHub.
Données de carte au repos
AES-256-GCM. Token haché en SHA-256. Payload chiffré annulé après la première visualisation.
Données de carte en transit
TLS 1.2+ vers Codego. L'origine du tenant ne déchiffre jamais.
Protection contre la relecture
UPDATE atomique à usage unique en BD. La deuxième visite renvoie 403.
Journal d'audit
Chaque émission / visualisation / refus est journalisé avec IP, UA, horodatage.
05
Indépendant du fournisseur
Apportez votre propre émetteur de cartes
Codego ou n'importe quel émetteur

Compatible avec des cartes émises par
n'importe qui.

La plupart des reveal SDK sont liés à un émetteur précis — vous adoptez le SDK en adoptant l'émetteur. Le Card Data Reveal SDK de Codego est différent. Nous récupérons le PAN depuis la source autoritative de votre émetteur existant à chaque requête. Vous n'avez pas besoin de migrer votre portefeuille de cartes. Vous n'avez pas besoin d'exploiter un token vault. Vous n'avez pas besoin de changer de BIN sponsor.

A · Codego

Intégration native

Si vos cartes sont émises dans le cadre d'un programme BIN Codego, le reveal SDK s'active avec un seul réglage d'administration. Aucune intégration supplémentaire.

B · Grands processeurs

Marqeta · Galileo · Thredd

Connecteurs prêts à l'emploi pour les plus grands processeurs américains et européens. Nous appelons leur API du secure element pour votre compte et servons le résultat via notre viewer.

C · Grandes plateformes

Stripe Issuing · Adyen

Compatible avec les endpoints de reveal de Stripe Issuing et Adyen Card Issuing. Votre programme de cartes reste là où il est.

D · BIN sponsors

Émetteur ou sponsor sur mesure

Si votre émetteur ou BIN sponsor expose une API de récupération du PAN, nous construisons le connecteur — généralement en 2–3 jours d'ingénierie. Parlons-en.

06
Cas d'usage
Qui construit avec ça
4 catégories

Pour les équipes qui
lancent des cartes.

A · Néobanque

Afficher la carte dans l'app

Affichez la carte virtuelle à l'utilisateur avant l'arrivée du plastique. Touchez pour copier le CVV, voyez l'expiration, le tout sous la marque de votre app — sans empreinte PCI.

B · Frais / B2B

Révéler les cartes corporate

Affichez à un salarié ou à un fournisseur le numéro de sa carte attribuée pour les réservations en ligne. Viewer à usage unique, journalisé, avec allowlists d'IP et d'origine.

C · Marketplaces

Versements sur cartes virtuelles

Flux de versement push-to-card où le bénéficiaire voit sa carte virtuelle fraîchement émise. Tokenisée, limitée dans le temps, à visualisation unique.

D · Crypto on/off-ramp

Afficher la carte d'on-ramp

Cartes financées en crypto rendues dans l'UI de votre wallet. Pas de vault, pas de SAQ-D, pas d'équipe d'ingénierie transformée en équipe de conformité.

07
Comment ça se compare
Codego Card Data Reveal SDK vs la catégorie
5 fournisseurs

Alternative à Skyflow, VGS, Basis Theory.

Skyflow, Very Good Security et Basis Theory sont des coffres-forts (vaults) PCI — vous déplacez les données de vos cartes dans leur store. Marqeta.js, Stripe Issuing Elements et Galileo MyCardInfo sont des reveal SDK fournis par les émetteurs de cartes — vous ne pouvez les utiliser que si vous êtes déjà leur client d'issuing. Le SDK de Codego occupe une position différente : reveal via iframe au-dessus de votre émetteur existant, sans migration de vault.

Skyflow / VGS / Basis Theory
Vault PCI — vous migrez les données de cartes dans leur store. Cross-vendor par conception mais centré sur le vault.
Marqeta.js · Stripe Issuing Elements · Galileo MyCardInfo
Reveal SDK fourni avec l'émetteur — disponible uniquement pour les clients de cet émetteur. Verrouillage de fait.
Codego Card Data Reveal SDK
SDK iframe, indépendant du fournisseur, sans vault. Nous lisons depuis l'API de récupération du PAN de votre émetteur existant.
Conçu par un émetteur agréé
Codego exploite des programmes BIN, détient la certification PCI DSS Niveau 1 (Adsigo 2025) et prend en charge l'ensemble de la chaîne.
Essayez sans rendez-vous commercial
Sandbox self-service gratuit sur sandbox-cardapi.codegotech.com. Le même payload qu'en production.
08
Questions fréquentes
6 questions
6 Q&A

Card Reveal SDK FAQ.

Q1.Comment le Card Reveal SDK réduit-il le périmètre PCI DSS ?
Le PAN, le CVV et l'expiration du porteur sont rendus à l'intérieur d'une iframe cross-origin servie par l'infrastructure certifiée PCI DSS de Codego. Votre application intègre l'iframe mais, comme la Same-Origin Policy du navigateur bloque l'accès au DOM cross-origin, votre JavaScript ne peut jamais lire les données de la carte. L'environnement du tenant ne reçoit, ne stocke ni ne transmet jamais de données du porteur — ce qui fait passer votre évaluation de SAQ-D (plus de 300 contrôles) à SAQ-A (22 contrôles).
Q2.Est-ce compatible avec d'autres émetteurs de cartes que Codego ?
Oui. Le SDK est indépendant du fournisseur. Si vos cartes sont émises par Marqeta, Galileo, Thredd, Paymentology, Stripe Issuing ou votre propre BIN sponsor, Codego récupère le PAN auprès de l'API du secure element de l'émetteur pour votre compte et le rend via le même viewer. Vous n'avez pas besoin de changer d'émetteur pour utiliser le reveal SDK.
Q3.Quelle est la différence entre SAQ-A et SAQ-D ?
Le SAQ (Self-Assessment Questionnaire) est le formulaire d'attestation PCI DSS. SAQ-D s'applique aux commerçants qui stockent, traitent ou transmettent des données du porteur : plus de 300 contrôles, audit QSA complet, généralement de 30 000 à 200 000 dollars par an. SAQ-A s'applique aux commerçants qui externalisent entièrement le traitement des données du porteur à un tiers certifié PCI DSS : 22 contrôles, auto-évaluation simplifiée, un coût de conformité nettement inférieur.
Q4.En quoi est-ce différent de Skyflow, VGS ou Basis Theory ?
Skyflow, Very Good Security et Basis Theory sont des coffres-forts (vaults) PCI — vous stockez le PAN chez eux. Le Card Data Reveal SDK de Codego n'exige pas de déplacer votre card vault : nous lisons depuis la source autoritative de votre émetteur à chaque requête. Nous disposons en outre d'une entité émettrice européenne agréée, ce qui nous permet de prendre en charge l'ensemble de la chaîne (BIN sponsorship + reveal SDK) sur notre propre infrastructure, sans aucune relation avec des fournisseurs distincts.
Q5.À quelle vitesse puis-je l'intégrer ?
L'inscription au sandbox est en self-service : vous créez une clé, vous copiez l'exemple curl, vous intégrez l'iframe. L'intégration de bout en bout prend généralement 1 à 2 jours d'ingénierie. L'accès en production nécessite une revue de conformité (les détails de votre programme de cartes + le périmètre de l'intégration) et est généralement accordé sous 5 jours ouvrés.
Q6.Quelles protections empêchent la fuite des données de carte ?
AES-256-GCM au repos, TLS 1.2+ en transit. Les tokens sont à usage unique, expirent en 5 minutes et sont stockés sous forme de hachages SHA-256 (le token en clair n'est jamais conservé). Le viewer efface automatiquement le DOM après 60 secondes, bloque l'impression et les raccourcis de capture d'écran les plus courants et utilise l'isolation de l'iframe cross-origin. Allowlist d'IP par tenant, limites de débit, journal d'audit complet.
09
Commencez maintenant
Sandbox gratuit tout de suite · accès en production sous 5 jours ouvrés
2 parcours

Essayez maintenant,
sans rendez-vous commercial.

Sandbox self-service gratuit. Inscrivez-vous avec votre email, obtenez une clé en 30 secondes, lancez votre première requête immédiatement. Le sandbox renvoie 4 cartes de test prédéfinies (Visa, Mastercard, Amex, Visa refusée) et utilise exactement le même payload que la production — quand vous êtes prêt, vous changez une URL et vous êtes en production.

Codego Group LTD · Malta · Est. 2012
EUIPO 018922174 · PCI DSS Niveau 1 by Adsigo, 2025

Self-service

Essayez le sandbox

Clé gratuite, sans carte de crédit, inscription en 30 secondes. Intégrez l'iframe dans votre environnement de développement dès aujourd'hui.

Obtenir une clé sandbox Lire la documentation sandbox
Production

Parlez à l'équipe commerciale

Pour les allowlists au niveau du tenant, les connecteurs émetteur sur mesure et les identifiants de production. Réponse sous 24 heures.

Ouvrir un programme banking@codegotech.com
RL
À découvrir chez Codego
Autres éléments du stack Codego
5 pages

Continuez
à explorer.

A · Émission

Émission de cartes

Émission programmatique de cartes Visa et Mastercard — programmes BIN Codego.

B · Traitement

Processeur de cartes

Couche d'autorisation, de clearing et de settlement sous le card SDK.

C · BaaS

Banking as a Service

Infrastructure bancaire complète — IBAN, SEPA, SWIFT, cartes dans un seul stack.