¿Qué es Google Pay?
Google Pay es la cartera digital de Google para pagar con una tarjeta guardada en teléfonos Android, relojes Wear OS y el navegador Chrome. Usa tokenización: un Device Account Number sustituye al número real de la tarjeta, de modo que el comercio nunca ve tu PAN real. Los pagos se autorizan por huella, rostro o PIN del dispositivo, lo que significa que Google Pay también cumple la Autenticación Reforzada del Cliente bajo PSD2.
Google Pay es la cartera digital de Google, que se usa para pagar con una tarjeta bancaria guardada en teléfonos Android, relojes Wear OS y dentro de Chrome en la web. Empezó siendo Android Pay en 2015, pasó a llamarse Google Pay en 2018 y se fusionó con Google Wallet en 2022. En Estados Unidos la marca es ahora Google Wallet, mientras que en el Reino Unido y la mayoría de los demás mercados la cartera sigue llamándose Google Pay. Por dentro usa tokenización: el número real de la tarjeta se intercambia por un Device Account Number, así que lo que recibe el comercio no puede reutilizarlo nadie más. La autenticación se gestiona en el propio dispositivo mediante huella, rostro o PIN, lo que hace que Google Pay cumpla la Autenticación Reforzada del Cliente bajo PSD2.
Google Pay (a veces todavía llamado Android Pay en documentación antigua, y renombrado a Google Wallet en EE. UU.) hace dos trabajos distintos que con frecuencia se confunden. En una tienda, es una cartera contactless NFC: desbloqueas el teléfono, lo acercas al terminal y el chip de emulación de tarjeta envía un pago tokenizado exactamente como lo haría una tarjeta contactless. En la web y en las apps, es un botón de checkout a un toque que saca una tarjeta guardada de tu cuenta de Google y la pasa por la Payment Request API o por el SDK de JavaScript de Google Pay. La experiencia para el cliente parece la misma; la fontanería por debajo es completamente distinta.
Cómo funciona Google Pay en la práctica
Cuando añades una tarjeta a Google Pay, Google no guarda el número de tarjeta en tu teléfono. Le pasa el número a la marca de la tarjeta (Visa, Mastercard, Amex), que devuelve un Device Account Number, a veces llamado Device PAN. Ese token es lo que vive en tu teléfono. Cada vez que acercas el teléfono para pagar, el dispositivo envía el Device PAN más un criptograma de un solo uso, único para esa transacción. El banco adquirente enruta el criptograma de vuelta a la marca, que lo destokeniza y le pide al banco emisor que autorice el pago contra tu tarjeta real.
Si te roban el teléfono, el Device PAN puede revocarse sin cancelar tu tarjeta real. Por eso la mayoría de los bancos trata Google Pay como un riesgo de fraude menor que una tarjeta tecleada manualmente: el comercio nunca ve el PAN real y el criptograma no puede reproducirse.
Google Pay en la web
Google Pay en web funciona mediante una API de JavaScript y la Payment Request API estándar del navegador. El comercio añade el botón de Google Pay a su checkout y, cuando el cliente lo pulsa, el navegador muestra una hoja con las tarjetas guardadas en la cuenta de Google del cliente. El cliente elige una y Google devuelve al procesador de pagos del comercio una carga útil de pago tokenizada. El procesador deshace el token y ejecuta la transacción.
La mayoría de los grandes adquirentes del Reino Unido (Stripe, Adyen, Worldpay, Braintree, The payment gateway) admiten Google Pay de forma nativa, así que para un comercio integrado en una de esas pasarelas, activarlo suele ser una opción de configuración y no un proyecto de desarrollo. La parte más difícil son los requisitos del comercio: un dominio verificado, un procesador de pagos con Google Pay habilitado y un checkout que llame correctamente a la API de Google Pay.
Cómo encaja Google Pay con PCI DSS
Como las cargas útiles de Google Pay están tokenizadas antes de llegar al comercio, aceptar Google Pay reduce la cantidad de datos de tarjeta que tocan tus sistemas. Eso no te exime de PCI: el token sigue considerándose dato de cuenta y la integración alrededor sigue necesitando controles PCI, pero sí estrecha el entorno de datos del titular en comparación con teclear manualmente un número de tarjeta. Para un comercio en SAQ A que ya solo cobra pagos tokenizados a través de una página alojada, añadir Google Pay suele encajar dentro del alcance existente.
Lo que Google Pay no hace
Google Pay es una cartera, no un procesador de pagos. No adquiere transacciones, no liquida fondos y no asume el riesgo de fraude. Lo único que hace es presentar una tarjeta guardada al comercio en una forma tokenizada y autenticada con SCA: todas las demás partes del recorrido del pago pasan por los mismos bancos y marcas que cualquier pago con tarjeta normal. Tampoco hay comisión del emisor en el Reino Unido ni en la mayoría de los mercados. El cliente paga lo mismo que pagaría con la tarjeta subyacente, y el comercio paga las mismas tasas de intercambio y de marca que pagaría por una transacción contactless o CNP respectivamente.
Una limitación real: Google Pay solo funciona con tarjetas de emisores compatibles. La mayoría de los bancos tradicionales del Reino Unido y los neobancos lo admiten, pero algunas tarjetas corporativas y de prepago todavía no. Si vas a sacar Google Pay como opción de checkout, la respuesta práctica es dejar la introducción manual de tarjeta sin presencia como alternativa para los clientes cuya tarjeta no esté dada de alta.
La plataforma de pago telefónico seguro de Paytia opera en el canal al que Google Pay no llega —llamadas asistidas por agente e IVR—, así que las dos conviven en lugar de competir. Un cliente que llama para pagar por teléfono introduce su número de tarjeta por el teclado y nuestro enmascaramiento DTMF mantiene los dígitos fuera del auricular del agente, de la grabación de la llamada y de tu CRM. Los datos de tarjeta se tokenizan en el momento de la captura, igual que Google Pay tokeniza una tarjeta al darla de alta.
Eso significa que el mismo token de tarjeta archivada puede reutilizarse para un cobro posterior, un reembolso o un cobro recurrente, sin que el agente vea nunca el PAN real. Si un comercio también recibe tráfico web, recomendaríamos activamente poner Google Pay en el checkout: es una experiencia a un toque, cumple la SCA y reduce el abandono del carrito. Los pagos por teléfono cubren el canal al que Google Pay no llega.
Preguntas frecuentes
¿Es Google Pay lo mismo que Google Wallet?
En EE. UU., sí: Google fusionó las dos en 2022 y la cartera ahora se llama Google Wallet. En el Reino Unido y la mayoría de los demás mercados la cartera de pago sigue llamándose Google Pay, aunque la app subyacente sea Google Wallet en las versiones más nuevas de Android. La tecnología es idéntica.
¿Reduce aceptar Google Pay el alcance de PCI DSS?
Lo estrecha, pero no elimina la obligación. Google Pay envía un pago tokenizado a tu procesador, así que el número real de tarjeta nunca llega a tus sistemas. El token sigue considerándose dato de cuenta bajo PCI DSS, así que sigues necesitando los controles que vienen con tu SAQ, pero no estás manejando PAN en claro.
¿Cumple Google Pay la Autenticación Reforzada del Cliente?
Sí. El cliente se autentica en el dispositivo con biometría o PIN antes de cada pago, lo que cuenta como factor de inherencia o de conocimiento bajo la SCA de PSD2. El dispositivo en sí cuenta como factor de posesión. Por tanto, una transacción de Google Pay está autenticada con dos factores de forma predeterminada.
¿Puede un comercio ver mi número real de tarjeta cuando pago con Google Pay?
No. El comercio solo recibe un Device Account Number (un token emitido por la marca de la tarjeta) más un criptograma de un solo uso para esa transacción. El número real de la tarjeta se queda con tu banco y con Google y nunca toca los sistemas del comercio.
¿Por qué no me funciona mi tarjeta con Google Pay?
Google Pay solo admite tarjetas de emisores que se han adherido al programa. La mayoría de los bancos tradicionales del Reino Unido y los neobancos están soportados. Algunas tarjetas corporativas, virtuales y de prepago no, normalmente porque el banco emisor no las ha dado de alta. La app o la web de tu emisor es la forma más rápida de comprobarlo.
Ready to take secure payments?
Book a demo with our team. We'll show you DTMF masking live, talk through PCI DSS scope reduction, and put together pricing based on your call volume.
Trusted by law firms, insurers, healthcare providers and regulated businesses worldwide. Learn more about Paytia