Tokenización
La tokenización reemplaza los datos sensibles de la tarjeta por un token único, un valor aleatorio que no tiene valor para los estafadores, pero que puede utilizarse para transacciones posteriores autorizadas.
Tokenización
La tokenización es un proceso de seguridad en el que los datos confidenciales de la tarjeta (número de tarjeta, fecha de caducidad) se sustituyen por un token, una cadena de caracteres aleatoria sin valor intrínseco. El PSP o el Comerciante pueden utilizar el token para transacciones posteriores sin tener que volver a transmitir los datos reales de la tarjeta.
En el comercio electrónico, la tokenización permite guardar métodos de pago (pago con un solo clic), realizar pagos recurrentes (suscripciones) y pagos preautorizados, todo ello sin almacenar los datos reales de la tarjeta. Esto reduce el esfuerzo de cumplimiento de PCI-DSS y minimiza el riesgo en caso de pérdida de datos.
La tokenización también se utiliza en los monederos móviles: Apple Pay y Google Pay sustituyen el número de tarjeta real por un token específico del dispositivo. Aunque el token sea interceptado, no tiene valor en otro dispositivo.
Ejemplos de tokenización
Una tienda online tokeniza la tarjeta de crédito de un cliente en su primera compra. En compras posteriores, el cliente paga con un solo clic, sin tener que volver a introducir la tarjeta.
Un proveedor de SaaS utiliza la tokenización para los pagos de suscripciones mensuales. El token se carga cada mes sin almacenar los datos de la tarjeta.
Apple Pay crea un token específico para el dispositivo de la tarjeta de crédito registrada. El número de tarjeta real nunca se transmite al Comerciante.
Preguntas frecuentes sobre tokenización
¿Qué es la tokenización en el sector de los pagos?
La tokenización sustituye los datos sensibles de la tarjeta por un token aleatorio que no tiene valor para los estafadores. El token puede utilizarse para transacciones posteriores sin tener que volver a transmitir los datos reales de la tarjeta.
¿Es seguro el token de seguridad?
Sí. Incluso en caso de filtración de datos, los tokens no tienen valor porque solo funcionan en el contexto del sistema autorizado del PSP. Los datos reales de la tarjeta permanecen almacenados de forma segura en la bóveda de tokens (Token-Vault) del PSP.
¿Necesito tokenización para pagos recurrentes?
Sí, para suscripciones y pagos recurrentes la tokenización es el estándar. El token se utiliza en cada cargo sin que tengas que volver a introducir los datos de tu tarjeta.
¿Qué tiene que ver la tokenización con PCI DSS?
La tokenización reduce considerablemente el esfuerzo de cumplimiento de PCI-DSS: si solo almacenas tokens en lugar de datos de tarjeta reales, se descartan muchos de los estrictos requisitos de PCI-DSS.
