Tokenización de pagos explicada

La tokenización (en inglés, tokenization) es la práctica de sustituir el Primary Account Number (PAN) de una tarjeta de pago por un valor generado aleatoriamente, llamado token. El token conserva la forma suficiente para circular por los sistemas del comercio, pero no tiene valor explotable: no existe clave ni algoritmo que lo convierta de nuevo en datos de tarjeta. El PAN real vive en una bóveda segura operada por un procesador de pagos o un Token Service Provider, y solo esa bóveda puede emparejar un token con una tarjeta. Los tokens de comercio funcionan para un único comercio; los tokens de red emitidos por Visa y Mastercard funcionan entre comercios y se actualizan automáticamente cuando se reemite la tarjeta. Es la base que nos permite mantener los números de tarjeta fuera de su centro de contacto sin renunciar a la facturación recurrente ni a los reembolsos.

La tokenización no es lo mismo que el cifrado, y la diferencia importa. El cifrado es reversible: si alguien obtiene la clave, obtiene los datos de la tarjeta. Un token no tiene clave. Es un valor aleatorio con una entrada de búsqueda en una bóveda, y esa búsqueda solo funciona dentro del entorno del proveedor. Por eso, en la práctica, una base de datos robada de tokens es inservible. También es la razón por la que la tokenización de pagos es la técnica detrás del Device PAN de Apple Pay, detrás de cada flujo moderno de "tarjeta archivada" (card-on-file) y detrás de la mayoría de las estrategias serias de reducción del alcance de PCI DSS, incluida la forma en que Paytia recoge los datos de tarjeta por teléfono sin que su equipo ni sus sistemas lleguen a verlos.

Por qué importa la tokenización de pagos

Si acepta pagos con tarjeta (por teléfono, en línea o en tienda), la tokenización es la forma más limpia de mantener los datos de tarjeta fuera de su negocio. En lugar de que sus sistemas almacenen números de tarjeta reales, almacenan tokens que parecen datos de tarjeta pero que no pueden usarse si los roban. Los números reales viven en una bóveda gestionada por su procesador de pagos, nunca en sus grabaciones de llamadas, su CRM ni en manos de su equipo.

Para la mayoría de los centros de contacto, esa única decisión de arquitectura reduce el alcance de PCI DSS de SAQ D (329 controles) a SAQ A (22 controles). Es también lo que le permite cobrar a un cliente una segunda vez sin volver a pedirle los datos de su tarjeta: el token hace el trabajo.

La tokenización explicada

Cuando un cliente hace un pago, el número de su tarjeta (conocido como PAN o Primary Account Number) es uno de los datos más sensibles de la transacción. Si ese número se roba, puede usarse para compras fraudulentas. La tokenización resuelve este problema cambiando el número real de la tarjeta por un valor sustituto, el token, en el primer momento posible del proceso de pago.

El token parece una cadena aleatoria de caracteres. No tiene relación matemática con el número original de la tarjeta, lo que significa que, aunque alguien lo intercepte o lo robe, no puede deducir los datos reales a partir de él. Solo el sistema de tokenización (normalmente operado por un procesador de pagos o un Token Service Provider) puede asociar el token con el número original, y lo hace dentro de un entorno muy seguro y controlado.

Cómo funciona la tokenización en la práctica

Imagine que contrata una suscripción de café en línea. Cuando introduce los datos de su tarjeta por primera vez, el sistema de pago captura el número y lo envía de inmediato a un servicio de tokenización. El servicio genera un token único (algo como "tok_4x7Rp2mN9qLs") y lo devuelve. A partir de ese momento, los sistemas del comercio solo almacenan y usan el token. Su número real vive en una bóveda segura gestionada por el proveedor de tokens.

Cuando la suscripción se renueva cada mes, el comercio envía el token al procesador de pagos, que busca el número real en la bóveda, procesa el pago y devuelve el resultado. El comercio no necesita volver a manejar ni almacenar sus datos reales.

El flujo de tokenización

• El cliente facilita los datos de la tarjeta durante una transacción.
• El número de tarjeta se envía a un servicio de tokenización, que genera un token único.
• El token sustituye al número de tarjeta en los sistemas del comercio.
• En transacciones futuras, el comercio envía el token en lugar del número de tarjeta.
• El servicio de tokens lo asocia con el número real dentro de una bóveda segura y procesa el pago.

Por qué la tokenización importa a las empresas

El beneficio más inmediato es la seguridad. Si se brecha la base de datos de un comercio y un atacante roba un millón de tokens, esos tokens son inútiles. No pueden usarse para compras en otros sitios porque solo funcionan dentro del sistema y la relación específica para la que se crearon. Esto es fundamentalmente distinto del cifrado, donde un valor cifrado robado podría, en teoría, descifrarse si también se compromete la clave.

El segundo gran beneficio es el cumplimiento de PCI DSS. Según el Payment Card Industry Data Security Standard, cualquier sistema que almacene, procese o transmita números de tarjeta reales debe cumplir requisitos de seguridad estrictos. Sustituir números por tokens permite a los comercios reducir drásticamente el número de sistemas dentro del alcance de PCI DSS. Menos sistemas en alcance significa menos controles que implementar, menos auditorías que pasar y costes de cumplimiento mucho más bajos.

Tokenización frente a cifrado

A veces se confunde la tokenización con el cifrado, pero funcionan de forma muy distinta. El cifrado transforma los datos con un algoritmo matemático y una clave. Si tiene la clave, puede revertir el proceso y recuperar los datos originales. Esto significa que los datos cifrados son tan seguros como la clave que los protege.

La tokenización, en cambio, no usa un algoritmo reversible. El token se genera aleatoriamente y la asociación entre el token y el valor original se guarda en una base de datos segura separada. No hay clave que robar ni algoritmo que romper. La única forma de obtener el número de tarjeta original a partir de un token es acceder a la propia bóveda, protegida con los más altos niveles de seguridad.

En la práctica, muchos sistemas de pago utilizan ambos. Los datos de la tarjeta pueden cifrarse durante la transmisión y luego tokenizarse para su almacenamiento, dando a las empresas lo mejor de los dos enfoques.

Tipos de tokens

No todos los tokens son iguales. Algunos conservan el formato del número de tarjeta original (parecen un número de 16 dígitos pero con dígitos aleatorios), lo que los hace compatibles con sistemas existentes que esperan datos con forma de número de tarjeta. Otros usan formatos completamente distintos, como cadenas alfanuméricas, que dejan claro que el valor es un token y no un número real.

Los tokens también varían en alcance. Un token de un solo uso vale para una única transacción. Un token multiuso puede reutilizarse para pagos recurrentes o compras repetidas con el mismo comercio. Los tokens de red, emitidos por las propias marcas de tarjetas, pueden funcionar entre varios comercios y canales.

Tokenización y pagos por teléfono

Para las empresas que aceptan pagos por teléfono, la tokenización es clave. Cuando un cliente llama para pagar, hay que capturar y procesar sus datos de tarjeta. Si el negocio guarda esos datos para usos futuros (un pago recurrente o una transacción posterior), la tokenización garantiza que el número real de tarjeta nunca quede en los sistemas del comercio.

Combinada con el enmascaramiento de DTMF, que evita que los datos de tarjeta entren en el audio de la llamada o en el entorno del agente, la tokenización crea una cadena de seguridad completa. Los datos de la tarjeta se capturan de forma segura durante la llamada, se tokenizan de inmediato y solo se almacena el token. El número real solo existe dentro de la bóveda segura del proveedor de tokens.

Consideraciones prácticas

Las empresas que consideren la tokenización deben pensar en varios puntos prácticos. Primero, los tokens suelen estar ligados a un procesador o Token Service Provider concreto. Si cambia de proveedor, sus tokens existentes pueden no transferirse, lo que puede obligar a los clientes a reintroducir sus datos. Segundo, aunque los tokens reducen el alcance de PCI DSS, el propio sistema de tokenización debe cumplir PCI DSS: usted externaliza el riesgo a un proveedor especializado. Por último, la tokenización funciona mejor como parte de una estrategia más amplia que incluya cifrado en tránsito, controles de acceso, monitorización y pruebas periódicas.