EST. 2012 CODEGO GROUP LTD · MALTA EUIPO 018922174 PCI DSS · ADSIGO 2025 CARD DATA REVEAL SDK · v1 SAQ-D → SAQ-A · 14× MENO CONTROLLI INDIPENDENTE DAL FORNITORE · MARQETA · GALILEO · STRIPE · BIN SPONSOR
Codego · Card Reveal SDK · v1 Vol. XII · Scheda prodotto / Riduzione dello scope PCI ● Sandbox self-service · Indipendente dal fornitore
01

Mostra i dati della carta.
Resta fuori
dallo scope PCI.

Il Card Data Reveal SDK consente alla tua applicazione di mostrare al titolare il PAN, il CVV e la data di scadenza completi — senza che i tuoi server, la tua applicazione o i tuoi sviluppatori tocchino mai i dati della carta. Un iframe cross-origin servito dall'infrastruttura certificata PCI‑DSS di Codego renderizza la carta nel browser dell'utente finale. La Same-Origin Policy del browser garantisce che il tuo codice non possa leggerla. Passa da SAQ-D (oltre 300 controlli) a SAQ-A (22 controlli) — senza cambiare issuer.

Ottieni la chiave sandbox Come funziona
(A) Controlli PCI
22SAQ-A
(B) vs SAQ-D
14× in meno
(C) Durata del token
5minuti
(D) Iscrizione sandbox
<30secondi
02
Il problema
Perché mostrare un PAN costa così tanto
4 punti critici

Una sola riga di dati di carta,
un audit a sei cifre.

Se la tua applicazione anche solo archivia, elabora o trasmette un PAN completo — fosse anche per mostrarlo una volta sullo schermo — sei all'interno del cardholder data environment PCI DSS. Significa SAQ-D, un incarico QSA di Livello 1, scansioni ASV trimestrali, penetration test annuali, monitoraggio continuo e all'incirca da 50.000 a 200.000 dollari l'anno di overhead di compliance — prima ancora di scrivere una sola riga di codice di prodotto.

A · Costo

50k–200k $ / anno

Conformità PCI DSS Livello 1 enterprise: audit QSA, scansioni ASV, pen-test, monitoraggio, personale di sicurezza dedicato. Ricorrente ogni anno.

B · Tempo

6–12 mesi bloccati

I nuovi programmi carta restano spesso in coda per mezzo anno mentre compliance, infrastruttura e processi si allineano a una postura PCI Livello 1.

C · Espansione dello scope

Oltre 300 controlli (SAQ-D)

Il questionario SAQ-D completo trascina dentro sistemi adiacenti — log, backup, workstation di sviluppo. Gli auditor continuano a trovarne altri nello scope.

D · Lock-in

Dipendenza dall'issuer

La maggior parte dei reveal SDK proviene da un singolo issuer (Marqeta.js, Stripe Issuing Elements, Galileo MyCardInfo) — adotti l'SDK solo adottando l'issuer.

03
Come funziona
Due chiamate API, un iframe
5 passi · 2 endpoint

Iframe cross-origin.
Al resto pensa la Same-Origin Policy.

La garanzia tecnica non è una policy — è il browser. Quando la tua pagina incorpora un iframe cross-origin da cardview.codegotech.com, il browser si rifiuta di lasciare che il tuo JavaScript ne legga il contenuto. È lo stesso confine che impedisce a siti web arbitrari di leggere la tua casella di posta Gmail. Il PAN viene renderizzato in pixel all'interno di un DOM isolato, visibile al tuo utente ma inaccessibile al tuo codice.

01 · Richiesta

POST /getCardInfo

Il tuo backend chiama la Card Reveal API con l'identificativo del titolare, le tue credenziali tenant e l'ID della carta. Non viene inviato alcun dato di carta.

02 · Token

URL monouso

Codego restituisce un token monouso di 64 caratteri esadecimali legato esattamente a quella carta e a quell'utente, valido 5 minuti. Il token è archiviato come hash SHA-256; il valore in chiaro non viene mai persistito.

03 · Iframe

La tua pagina lo incorpora

Il tuo frontend inserisce <iframe src="cardview.../v/<token>"> nella pagina. Il browser scarica l'iframe direttamente da Codego.

04 · Render

Il PAN viene renderizzato lato client

L'iframe riceve il payload cifrato, lo decifra all'interno del contesto del browser e renderizza il PAN, il CVV, il titolare e la scadenza come pixel.

05 · Auto-pulizia

Cancellazione del DOM dopo 60 secondi

Il viewer cancella il proprio DOM dopo 60 secondi, blocca le scorciatoie di stampa e screenshot e revoca il token alla prima visualizzazione. Un replay restituisce 403.

Richiesta di esempio

curl -X POST https://cardapi.codegotech.com/getCardInfo \
  -H "Content-Type: application/json" \
  -d '{
    "authkey":       "<tenant_api_key>",
    "authekey":      "<base64(user:pass)>",
    "whitelabel_id": "<your_tenant_id>",
    "user_id":       "<end_user_id>",
    "web_token":     "<session_token>",
    "cid":           "<card_id>"
  }'

# response
{
  "status": true,
  "token":     "f5b3...c801",
  "image_url": "https://cardview.codegotech.com/v/f5b3...c801"
}

Apri la documentazione della sandbox → Chiave gratuita, nessuna carta di credito. Stesso payload della produzione.

04
Riduzione dello scope PCI
SAQ-D vs SAQ-A · cosa cambia davvero
Confronto SAQ

Da oltre 300 controlli
a 22.

SAQ-D (senza Card Reveal)
Archivia o trasmette dati del titolare · oltre 300 controlli · audit di Livello 1 · 50k–200k $/anno
SAQ-A (con Card Reveal)
Completamente esternalizzato a un fornitore PCI DSS · 22 controlli · autovalutazione · ~5k–15k $/anno
Dati del titolare nel tuo ambiente
Zero. I tuoi server non ricevono mai PAN, CVV o scadenza.
Garanzia di isolamento dell'iframe
Same-Origin Policy del browser. Lo stesso standard che protegge le sessioni bancarie, Gmail, l'OAuth di GitHub.
Dati della carta a riposo
AES-256-GCM. Token con hash SHA-256. Payload cifrato azzerato dopo la prima visualizzazione.
Dati della carta in transito
TLS 1.2+ verso Codego. L'origine del tenant non decifra mai.
Protezione dal replay
UPDATE monouso atomico nel DB. La seconda visita restituisce 403.
Log di audit
Ogni emissione / visualizzazione / negazione registrata con IP, UA, timestamp.
05
Indipendente dal fornitore
Porta il tuo issuer di carte
Codego o qualsiasi issuer

Funziona con carte emesse da
chiunque.

La maggior parte dei reveal SDK è legata a un issuer specifico — adotti l'SDK adottando l'issuer. Il Card Data Reveal SDK di Codego è diverso. Recuperiamo il PAN dalla sorgente autoritativa del tuo issuer esistente a ogni richiesta. Non devi migrare il tuo portafoglio di carte. Non devi gestire un token vault. Non devi cambiare BIN sponsor.

A · Codego

Integrazione nativa

Se le tue carte sono emesse nell'ambito di un programma BIN Codego, il reveal SDK si attiva con un singolo toggle di amministrazione. Zero integrazione aggiuntiva.

B · Processori principali

Marqeta · Galileo · Thredd

Connettori predefiniti per i maggiori processori statunitensi ed europei. Chiamiamo la loro API del secure element per tuo conto e serviamo il risultato tramite il nostro viewer.

C · Grandi piattaforme

Stripe Issuing · Adyen

Compatibile con gli endpoint di reveal di Stripe Issuing e Adyen Card Issuing. Il tuo programma carta resta dov'è.

D · BIN sponsor

Issuer o sponsor personalizzato

Se il tuo issuer o BIN sponsor espone un'API di recupero del PAN, costruiamo il connettore — in genere in 2–3 giornate di sviluppo. Parlane con noi.

06
Casi d'uso
Chi costruisce con questo SDK
4 categorie

Per i team che
lanciano carte.

A · Neobanca

Mostra la carta in app

Mostra la carta virtuale all'utente prima che arrivi la plastica. Tap per copiare il CVV, visualizza la scadenza, tutto sotto il brand della tua app — senza impronta PCI.

B · Spese / B2B

Mostra le carte corporate

Mostra a un dipendente o a un fornitore il numero della carta assegnata per le prenotazioni online. Viewer monouso, con log di audit, allowlist di IP e origini.

C · Marketplace

Payout su carte virtuali

Flussi di payout push-to-card in cui il destinatario vede la sua carta virtuale appena emessa. Tokenizzata, a tempo limitato, a visualizzazione singola.

D · Crypto on/off-ramp

Mostra la carta di on-ramp

Carte alimentate da crypto renderizzate nella UI del tuo wallet. Nessun vault, nessun SAQ-D, nessun team di sviluppo trasformato in team di compliance.

07
Come si confronta
Codego Card Data Reveal SDK vs la categoria
5 fornitori

Alternativa a Skyflow, VGS, Basis Theory.

Skyflow, Very Good Security e Basis Theory sono vault PCI — sposti i dati delle tue carte nel loro store. Marqeta.js, Stripe Issuing Elements e Galileo MyCardInfo sono reveal SDK forniti dagli issuer di carte — puoi usarli solo se sei già loro cliente di issuing. L'SDK di Codego si colloca in una posizione diversa: reveal via iframe sopra il tuo issuer esistente, senza migrazione di vault.

Skyflow / VGS / Basis Theory
Vault PCI — migri i dati delle carte nel loro store. Cross-vendor per design ma incentrato sul vault.
Marqeta.js · Stripe Issuing Elements · Galileo MyCardInfo
Reveal SDK abbinato all'issuer — disponibile solo per i clienti di quell'issuer. Lock-in di fatto.
Codego Card Data Reveal SDK
SDK iframe, indipendente dal fornitore, senza vault. Leggiamo dall'API di recupero del PAN del tuo issuer esistente.
Costruito da un issuer autorizzato
Codego gestisce programmi BIN, detiene la certificazione PCI DSS Livello 1 (Adsigo 2025) e sottoscrive l'intero stack.
Prova senza una chiamata commerciale
Sandbox self-service gratuita su sandbox-cardapi.codegotech.com. Stesso payload della produzione.
08
Domande frequenti
6 domande
6 Q&A

Card Reveal SDK FAQ.

Q1.Come riduce lo scope PCI DSS il Card Reveal SDK?
Il PAN, il CVV e la scadenza del titolare vengono renderizzati all'interno di un iframe cross-origin servito dall'infrastruttura certificata PCI DSS di Codego. La tua applicazione incorpora l'iframe ma, poiché la Same-Origin Policy del browser blocca l'accesso al DOM cross-origin, il tuo JavaScript non può mai leggere i dati della carta. L'ambiente del tenant non riceve, archivia né trasmette mai dati del titolare — il che sposta la tua valutazione da SAQ-D (oltre 300 controlli) a SAQ-A (22 controlli).
Q2.Funziona con issuer di carte diversi da Codego?
Sì. L'SDK è indipendente dal fornitore. Se le tue carte sono emesse da Marqeta, Galileo, Thredd, Paymentology, Stripe Issuing o dal tuo BIN sponsor, Codego recupera il PAN dall'API del secure element dell'issuer per tuo conto e lo renderizza tramite lo stesso viewer. Non devi cambiare issuer per usare il reveal SDK.
Q3.Che differenza c'è tra SAQ-A e SAQ-D?
Il SAQ (Self-Assessment Questionnaire) è il modulo di attestazione PCI DSS. SAQ-D si applica ai merchant che archiviano, elaborano o trasmettono dati del titolare: oltre 300 controlli, audit QSA completo, in genere da 30.000 a 200.000 dollari l'anno. SAQ-A si applica ai merchant che esternalizzano completamente la gestione dei dati del titolare a un fornitore terzo certificato PCI DSS: 22 controlli, autovalutazione semplificata, costo di conformità nettamente inferiore.
Q4.In cosa è diverso da Skyflow, VGS o Basis Theory?
Skyflow, Very Good Security e Basis Theory sono vault PCI — il PAN lo archivi presso di loro. Il Card Data Reveal SDK di Codego non richiede di spostare il tuo card vault: leggiamo dalla sorgente autoritativa del tuo issuer a ogni richiesta. Inoltre disponiamo di un'entità issuer europea autorizzata, quindi possiamo sottoscrivere l'intero stack (sponsorizzazione BIN + reveal SDK) sulla nostra stessa infrastruttura, senza alcuna relazione con fornitori separati.
Q5.Quanto velocemente posso integrare l'SDK?
L'iscrizione alla sandbox è self-service: crei una chiave, copi l'esempio curl, incorpori l'iframe. L'integrazione end-to-end richiede in genere 1-2 giornate di sviluppo. L'accesso in produzione richiede una verifica di compliance (i dettagli del tuo programma carta + l'ambito dell'integrazione) e viene di solito concesso entro 5 giorni lavorativi.
Q6.Quali protezioni ci sono per impedire la fuoriuscita dei dati della carta?
AES-256-GCM a riposo, TLS 1.2+ in transito. I token sono monouso, scadono in 5 minuti e sono archiviati come hash SHA-256 (il token in chiaro non viene mai persistito). Il viewer pulisce automaticamente il DOM dopo 60 secondi, blocca la stampa e le scorciatoie di screenshot più comuni e usa l'isolamento dell'iframe cross-origin. Allowlist di IP per tenant, rate limit, log di audit completo.
09
Inizia ora
Sandbox gratuita subito · accesso in produzione in 5 giorni lavorativi
2 percorsi

Provalo ora,
senza chiamate commerciali.

Sandbox self-service gratuita. Iscriviti con la tua email, ottieni una chiave in 30 secondi, invia subito la tua prima richiesta. La sandbox restituisce 4 carte di test preconfigurate (Visa, Mastercard, Amex, Visa rifiutata) e usa esattamente lo stesso payload della produzione — quando sei pronto, cambi un URL e sei live.

Codego Group LTD · Malta · Est. 2012
EUIPO 018922174 · PCI DSS Livello 1 by Adsigo, 2025

Self-service

Prova la sandbox

Chiave gratuita, nessuna carta di credito, iscrizione in 30 secondi. Incorpora l'iframe nel tuo ambiente di sviluppo oggi stesso.

Ottieni la chiave sandbox Leggi la documentazione sandbox
Produzione

Parla con il team vendite

Per allowlist a livello di tenant, connettori issuer personalizzati e credenziali di produzione. Risposta entro 24 ore.

Avvia programma banking@codegotech.com
RL
Correlati Codego
Altri elementi dello stack Codego
5 pagine

Continua
a esplorare.

A · Emissione

Emissione carte

Emissione programmatica di carte Visa e Mastercard — programmi BIN Codego.

B · Elaborazione

Processore di carte

Livello di autorizzazione, clearing e settlement sotto il card SDK.

C · BaaS

Banking as a Service

Infrastruttura bancaria completa — IBAN, SEPA, SWIFT, carte in un unico stack.

D · Riferimento

Cos'è il PCI DSS?

Scope, livelli, tipi di SAQ, cosa fa scattare SAQ-D anziché SAQ-A.