¿Qué es Card on File (Tarjeta Archivada)?

¿Qué es Card on File?

Card on File —a menudo abreviado como CoF— es la práctica de guardar de forma segura los datos de la tarjeta de pago de un cliente para que puedan usarse en futuras transacciones sin que el cliente tenga que volver a introducirlos. Te encuentras con Card on File cada vez que haces una compra con un solo clic en una tienda online, pagas un servicio de transporte privado sin sacar la cartera o ves cómo se te renueva automáticamente la cuota del gimnasio cada mes. Los datos de la tarjeta están «archivados» con el comercio o su proveedor de pagos, listos para cobrarse cuando haga falta.

En la práctica, «guardar los datos de la tarjeta» no significa que el comercio conserve el número real de la tarjeta en su base de datos. Eso sería una pesadilla de seguridad y una infracción de PCI DSS. En su lugar, el número de tarjeta se sustituye por un token —un número de referencia sin significado— mediante un proceso llamado tokenización. El token lo guarda el comercio y se usa para iniciar pagos futuros, mientras que los datos reales de la tarjeta permanecen seguros en la bóveda del proveedor de pagos.

Cómo funciona Card on File

El proceso de Card on File implica una captura inicial de los datos de la tarjeta, seguida del almacenamiento y el uso posterior para futuros pagos.

Captura inicial

La primera vez que un cliente facilita los datos de su tarjeta —ya sea a través del pago en una web, un pago telefónico o una transacción presencial—, esos datos se envían al proveedor de pagos, que procesa la transacción inicial y crea un token. Ese token se devuelve al comercio y se vincula a la cuenta del cliente. A partir de ese momento, el comercio solo guarda el token, los últimos cuatro dígitos de la tarjeta (para identificación), la marca y la fecha de caducidad. Nunca guarda el número completo de la tarjeta ni el CVV.

Consentimiento y autenticación

Guardar la tarjeta de un cliente en archivo exige su consentimiento explícito. El cliente debe aceptar que sus datos se guarden para uso futuro, y ese consentimiento debe quedar claramente documentado. Bajo los requisitos de Autenticación Reforzada del Cliente (SCA), la transacción inicial en la que se captura la tarjeta suele requerir autenticación completa —como la verificación con 3D Secure— para confirmar que la persona que facilita los datos es el titular legítimo.

Transacciones posteriores

Cuando el comercio necesita cobrar la tarjeta guardada —para una compra repetida, una renovación de suscripción o un cargo manual iniciado por un agente—, envía el token al proveedor de pagos junto con los detalles de la transacción. El proveedor de pagos busca los datos reales de la tarjeta, envía el pago a la red de tarjetas y devuelve el resultado. El comercio nunca ve el número real de la tarjeta durante este proceso.

Actualizaciones de tarjeta

Las tarjetas caducan y se reemplazan. Cuando ocurre, el token debe actualizarse con los nuevos datos. Los servicios de actualización de tarjeta que ofrecen las redes de tarjetas actualizan automáticamente los datos guardados cuando se reemplaza una tarjeta. Esto sucede entre bastidores, manteniendo la tarjeta archivada al día sin que el cliente ni el comercio tengan que hacer nada.

Por qué importa Card on File a los negocios

Pagos repetidos sin fricción

El beneficio más obvio es la comodidad. Cuando la tarjeta de un cliente está archivada, puede hacer compras repetidas o pagar cargos recurrentes sin introducir los datos cada vez. Esto reduce la fricción, acelera el proceso de pago y hace más probable que el cliente complete la transacción. Para negocios de suscripción, Card on File es esencial: no puedes cobrar una suscripción mensual si necesitas que el cliente introduzca manualmente los datos de la tarjeta cada mes.

Mejores tasas de conversión

Cada paso del proceso de pago es una oportunidad para que el cliente cambie de opinión o se distraiga. Eliminar la necesidad de teclear los datos de la tarjeta elimina uno de los pasos más tediosos y propensos a errores. Se ha demostrado que la compra con un solo clic, posible gracias a Card on File, mejora notablemente las tasas de conversión frente a los procesos de pago completos.

Retención de clientes

Un cliente con tarjeta archivada tiene más probabilidades de quedarse contigo que uno que tiene que configurar el pago activamente cada vez. Esto se debe en parte a la comodidad y en parte a la inercia: cambiarse a un competidor significa introducir los datos de la tarjeta en otro sitio. Para los negocios de suscripción, Card on File reduce la rotación voluntaria al hacer que sea más fácil quedarse que irse.

Predictibilidad de ingresos

Cuando tienes tarjetas archivadas para cobros recurrentes, puedes predecir tus ingresos con más exactitud. Sabes qué clientes están configurados para pago automático y puedes hacer una previsión de tus ingresos en consecuencia. Esa predictibilidad es valiosa para la planificación financiera, la gestión de tesorería y la valoración del negocio.

Card on File y pagos telefónicos

Card on File tiene un significado especial para los negocios que aceptan pagos por teléfono, porque puede reducir las veces que hay que capturar los datos de la tarjeta durante las llamadas.

Primera llamada: capturar y tokenizar

Durante el primer pago telefónico del cliente, el agente le guía por el proceso de introducir los datos de su tarjeta, ya sea tecleándolos en el teclado de su teléfono (mediante captura DTMF) o dirigiéndolo a un enlace de pago. Los datos se tokenizan y se guardan de forma segura. El agente confirma que el cliente consiente que su tarjeta quede archivada para futuros pagos.

Llamadas posteriores: pagar sin volver a introducir los datos

Cuando el mismo cliente vuelve a llamar para hacer otro pago, el agente puede consultar su cuenta y ver que hay una tarjeta archivada. Con la confirmación verbal del cliente, el agente puede procesar el pago usando el token guardado sin que el cliente tenga que volver a introducir los datos de la tarjeta. Esto ahorra tiempo en la llamada y ofrece una mejor experiencia de cliente.

Configurar pagos recurrentes por teléfono

Muchos negocios configuran suscripciones y pagos recurrentes durante llamadas telefónicas: altas de membresía, contratos de servicio, planes a plazos, etc. Card on File lo hace posible: el cliente facilita los datos de su tarjeta una sola vez durante la llamada, los datos se tokenizan y todos los pagos recurrentes futuros se cargan contra el token. El cliente no tiene que volver a llamar cada mes.

El agente nunca ve los datos de la tarjeta

En un sistema de pago telefónico bien diseñado, el agente nunca ve el número real de la tarjeta en ningún momento. Durante la captura inicial, el cliente introduce sus datos vía DTMF o un enlace de pago. Para los pagos posteriores con la tarjeta archivada, el agente trabaja con la referencia del token. Los datos reales de la tarjeta los maneja por completo el proveedor de pagos. Esto mantiene el entorno del agente fuera del alcance de PCI DSS.

Consideraciones prácticas

Consentimiento del cliente

Obtén siempre un consentimiento claro y documentado antes de archivar una tarjeta. Es a la vez un requisito normativo y una buena práctica de negocio. Asegúrate de que el cliente entiende qué está aceptando, cómo se va a usar su tarjeta y cómo puede retirarla.

Gestión de caducidad de tarjeta

Las tarjetas caducan, y cuando lo hacen, los pagos fallarán salvo que los datos guardados se actualicen. Usa servicios de account updater para mantener al día automáticamente los datos de tarjeta archivados y ten un proceso para contactar con los clientes cuyos datos no puedan actualizarse de forma automática.

Seguridad y cumplimiento de PCI

Card on File solo funciona de forma segura cuando se implementa con una tokenización adecuada. Nunca guardes los números reales de tarjeta en tus propios sistemas. Trabaja con un proveedor de pagos certificado como PCI DSS Nivel 1 y asegúrate de que tu configuración de tokenización cumple los estándares de seguridad actuales.

Control para el cliente

Da a los clientes la posibilidad de ver y gestionar sus tarjetas guardadas, incluyendo actualizar los datos y eliminar tarjetas que ya no quieran tener archivadas. Esa transparencia genera confianza y le da al cliente control sobre sus datos de pago.

Identificación de la transacción

Las transacciones con tarjeta archivada deben marcarse correctamente cuando se envían a la red de tarjetas. Visa y Mastercard tienen reglas específicas sobre cómo se identifican y procesan las transacciones con credenciales guardadas. Tu proveedor de pagos debería ocuparse de esto, pero asegúrate de entender los requisitos para evitar tasas de rechazo elevadas o problemas de cumplimiento.