¿Qué es Card on File (Tarjeta Archivada)?
Card on File (CoF) es guardar de forma segura la tarjeta de un cliente, casi siempre como token, para cobrarle más adelante sin pedirle que vuelva a teclear los datos. Es lo que hay detrás de la compra con un clic, las suscripciones mensuales y los cobros recurrentes de cualquier call centre que trabaje con clientes habituales.
¿Qué es Card on File?
Card on File, o CoF, es la práctica de guardar de forma segura la tarjeta de un cliente para cobrarle en el futuro sin pedirle que vuelva a teclear los datos. Lo vives cada vez que compras con un clic en una tienda online, pagas un VTC sin sacar la cartera o ves cómo se te renueva sola la cuota del gimnasio. La tarjeta está "archivada" con el comercio o su proveedor de pagos, lista para usarse.
Cuidado con el lenguaje: "guardar la tarjeta" no significa que el comercio almacene el número real en su base de datos. Eso sería una pesadilla de seguridad y una violación directa de PCI DSS. Lo que se guarda es un token, un número de referencia sin valor para nadie de fuera, generado mediante tokenización. El comercio se queda con el token; el número real vive en la bóveda del proveedor de pagos.
Cómo funciona Card on File
El proceso tiene una captura inicial, un consentimiento documentado y luego usos posteriores contra el token.
Captura inicial
La primera vez que el cliente facilita la tarjeta, ya sea en un checkout web, una llamada o una compra en tienda, los datos llegan al proveedor de pagos. Este procesa la transacción inicial y devuelve un token vinculado a la cuenta del cliente. A partir de ahí, el comercio guarda el token, los últimos cuatro dígitos para identificación, la marca y la fecha de caducidad. Nunca el PAN completo ni el CVV.
Consentimiento y autenticación
Archivar una tarjeta exige consentimiento explícito y documentado del cliente. Bajo los requisitos de Autenticación Reforzada del Cliente (SCA) del Reglamento 2018/389, la transacción inicial donde se captura la tarjeta normalmente pasa por autenticación completa, típicamente con 3D Secure, para confirmar que quien teclea los datos es el titular.
Cobros posteriores
Cuando el comercio quiere cobrar la tarjeta archivada, manda el token al proveedor junto con el importe y los detalles. El proveedor busca el número real, lanza el pago a la red y devuelve el resultado. El comercio sigue sin ver el número en ningún momento.
Actualizaciones de tarjeta
Las tarjetas caducan y se sustituyen. Cuando pasa, el token tiene que actualizarse con los nuevos datos. Los servicios de Account Updater de Visa y Mastercard hacen ese refresco automáticamente entre bastidores, sin que el cliente ni el comercio tengan que mover un dedo.
Por qué importa Card on File a los negocios
Pagos repetidos sin fricción
La ventaja obvia es la comodidad. Con la tarjeta archivada, el cliente repite compra o paga su cuota sin teclear nada. Para un negocio de suscripción es directamente imprescindible: no puedes cobrar una mensualidad si necesitas que el cliente meta a mano los datos cada mes.
Mejores tasas de conversión
Cada paso del checkout es una oportunidad para que el cliente se distraiga, se equivoque o abandone. Quitar el paso de teclear la tarjeta sube la conversión de forma notable. La compra con un clic, que solo existe gracias a Card on File, es uno de los mayores motores de conversión que tiene el comercio electrónico moderno.
Retención de clientes
Un cliente con tarjeta archivada se queda más tiempo que uno que tiene que configurar el pago cada vez. Parte por comodidad, parte por inercia: cambiarse a un competidor significa volver a teclearlo todo en otro sitio. Para negocios de suscripción, Card on File reduce el churn voluntario porque irse cuesta más esfuerzo que quedarse.
Ingresos predecibles
Con tarjetas archivadas para cobros recurrentes, sabes cuánto vas a facturar el mes que viene. Esa predictibilidad vale oro para tesorería, planificación financiera y, llegado el caso, valoración del negocio.
Card on File y pagos telefónicos
Aquí Card on File se nota mucho. Reduce las veces que hay que capturar los datos de tarjeta durante las llamadas, que es justo el momento más arriesgado.
Primera llamada: capturar y tokenizar
En el primer pago, el agente acompaña al cliente para que introduzca los datos de la tarjeta, tecleándolos en el teclado del teléfono (captura DTMF) o desde un enlace de pago. Los datos se tokenizan al instante. El agente pide y registra el consentimiento del cliente para archivar la tarjeta para futuros pagos.
Llamadas posteriores: pagar sin volver a teclear
Cuando el mismo cliente vuelve a llamar, el agente abre su ficha y ve que hay una tarjeta archivada. Con la confirmación verbal del cliente, procesa el pago contra el token guardado. El cliente no teclea nada y la llamada se acorta varios minutos.
Pagos recurrentes por teléfono
Muchos negocios cierran suscripciones y planes a plazos en una llamada: altas de socio en una clínica privada de Madrid, contratos de mantenimiento, planes de financiación de una tienda de muebles. Card on File hace que esa llamada sea suficiente: el cliente da los datos una vez, se tokenizan y todos los cobros futuros van contra el token. No hay que volver a llamar cada mes.
El agente nunca ve la tarjeta
En un sistema de pagos telefónicos bien diseñado, el agente no ve el PAN en ningún momento. Durante la captura inicial, el cliente teclea por DTMF o enlace de pago. Para los cobros posteriores, el agente trabaja siempre contra la referencia del token. El número real lo maneja por completo el proveedor de pagos. Eso saca al puesto de agente del alcance de PCI DSS.
Consideraciones prácticas
Consentimiento del cliente
Pide siempre un consentimiento claro y déjalo documentado antes de archivar la tarjeta. Es requisito normativo y sentido común. Asegúrate de que el cliente entiende qué está aceptando, cómo vas a usar su tarjeta y cómo puede retirar el consentimiento.
Gestión de caducidad
Las tarjetas caducan y, si no actualizas el token, el pago fallará. Activa el Account Updater de tu proveedor y ten un proceso para contactar con los clientes cuyas tarjetas no se puedan actualizar automáticamente.
Seguridad y PCI
Card on File solo funciona de forma segura con una tokenización en condiciones. Nunca guardes el PAN en tus propios sistemas. Trabaja con un proveedor certificado PCI DSS Nivel 1 y confirma que su configuración de tokenización está al día con los estándares vigentes.
Control para el cliente
Da al cliente la opción de ver, actualizar y eliminar las tarjetas que tenga archivadas. Esa transparencia genera confianza y te quita problemas de cumplimiento más adelante.
Identificación correcta de la transacción
Los cobros con tarjeta archivada tienen que marcarse correctamente al enviarlos a la red. Visa y Mastercard tienen reglas concretas para identificar las transacciones con credenciales guardadas (CIT vs MIT). Tu proveedor debería ocuparse, pero conviene que conozcas los requisitos: marcar mal una transacción se traduce en rechazos y en problemas con tu adquirente.
Gestionamos el almacenamiento de tarjeta en archivo con el mismo patrón de reducción de alcance que usamos para la captura en directo. La primera vez que un cliente paga (por teléfono con enmascaramiento DTMF, en línea o mediante un enlace de pago), su tarjeta va directa a nuestra bóveda de tokenización PCI DSS Nivel 1. Sus sistemas solo reciben un token, los últimos cuatro dígitos, la marca de la tarjeta y la fecha de caducidad. En llamadas posteriores, su agente trabaja con esa referencia de token dentro de su CRM, lo confirma con el cliente y nosotros enviamos el pago a su propia pasarela con la marca correcta de iniciado por el titular o iniciado por el comercio. El número completo de tarjeta nunca llega a sus agentes, a sus sistemas ni a sus grabaciones de llamadas, así que la reducción de alcance se mantiene tanto en el primer pago como en cada repetición posterior.
Preguntas frecuentes
¿Almacenar una tarjeta en archivo cumple con PCI DSS?+
Lo cumple cuando almacena un token en lugar del número de tarjeta. PCI DSS exige que el número de cuenta principal sea ilegible allí donde se almacene, y prohíbe conservar el CVV tras la autorización. Con la tokenización, sus sistemas guardan una referencia sin significado más los últimos cuatro dígitos, la marca y la caducidad, nunca el número completo ni el CVV.
¿Necesito un consentimiento nuevo cada vez que cobro una tarjeta almacenada?+
No. Necesita un consentimiento claro y documentado una sola vez, en el momento en que almacena la tarjeta. Los cargos posteriores iniciados por el comercio no necesitan un consentimiento nuevo cada vez, siempre que el cliente aceptara el acuerdo recurrente o de repetición en el momento de la configuración y usted cobre conforme a lo que aceptó.
¿Cómo funciona la tarjeta en archivo para los pagos por teléfono?+
En la primera llamada, la tarjeta se captura mediante enmascaramiento DTMF o un enlace de pago, se envía a la bóveda de tokenización y el token se almacena asociado al registro del cliente. En llamadas posteriores, el agente procesa el pago contra ese token tras una confirmación verbal, así que el cliente nunca vuelve a teclear su tarjeta y el agente nunca ve el número.
Ready to take secure payments?
Book a demo with our team. We'll show you DTMF masking live, talk through PCI DSS scope reduction, and put together pricing based on your call volume.
Trusted by law firms, insurers, healthcare providers and regulated businesses worldwide. Learn more about Paytia