Explicación de la tokenización de pagos

“Tokenization” es una palabra sobre pagos muy de moda en la actualidad, en especial, debido a la mayor atención que hay sobre las aplicaciones de pagos móviles como Apple Pay. Básicamente, la tokenización agrega un nivel de seguridad adicional a los datos confidenciales de las tarjetas de crédito.

En este artículo:

¿Qué es la tokenización?

La tokenización es el proceso de protección de datos confidenciales mediante su reemplazo por un número generado de manera algorítmica denominado token. A menudo, la tokenización se usa para prevenir fraudes con tarjetas de crédito. En la tokenización de tarjetas de crédito, el número de cuenta principal (PAN, por sus siglas en inglés) del cliente se reemplaza por una serie de números generados aleatoriamente, a la que se denomina token. Este token puede transmitirse luego por Internet o por las diversas redes inalámbricas necesarias para procesar el pago sin exponer los datos bancarios reales. El número de la cuenta bancaria real se mantiene seguro en un almacén de seguridad de tokens.

Blog – what-does-tokenization-actually-mean - tokenization-1417049355993.jpg

Al igual que con el cambio nacional a tarjetas con chip, el objetivo final de la tokenización es evitar que los delincuentes dupliquen tu información bancaria en otra tarjeta. Mientras las tarjetas con chip protegen contra el fraude que se produce cuando una persona paga en una tienda física, la tokenización está concebida primordialmente para combatir las vulneraciones en línea o digitales.

Acepta Apple Pay y tarjetas con chip en todas partes.

El lector de tarjetas con chip y NFC diseñado para todos los negocios.

Historia de la tokenización de las tarjetas de crédito

Las técnicas de sustitución como la tokenización se practican hace décadas como una forma de aislar datos en ecosistemas como las bases de datos. Históricamente, el cifrado con “claves” criptográficas reversibles era el método preferido para proteger los datos confidenciales. Según el experto en cifrado de la Universidad de Stanford, “el cifrado es la transformación de datos en una forma ilegible para cualquiera que no tenga una clave de descifrado secreta. Su propósito es asegurar la privacidad manteniendo la información oculta para aquellos a quienes no está destinada, incluso aquellos que pueden ver los datos cifrados. Por ejemplo, uno puede querer cifrar archivos en un disco duro para evitar que un intruso los lea”. El cifrado tiene una amplia variedad de casos de uso, desde el ocultamiento de mensajes privados en aplicaciones P2P hasta la transferencia de información confidencial en un entorno vulnerable.

Pero, más recientemente, los expertos en pagos están advirtiendo que son cada vez más las organizaciones que están pasando del cifrado a la tokenización como forma más económica (y segura) de proteger y salvaguardar la información confidencial.

Uno de los usos más comunes de la tokenización en la actualidad es en el sector del procesamiento de pagos. La tokenización permite a los usuarios almacenar información de tarjetas de crédito en billeteras móviles, soluciones de comercio electrónico y software de PDV para poder repetir un cobro a una tarjeta sin exponer su información de la tarjeta original.

Tokenización o cifrado

Criterios Tokenización Cifrado
Exhibición de datos PAN   X
Matemáticamente reversible   X
Reducción del alcance de PCI X  
Flexibilidad de pago: reembolsos, devoluciones de pagos, pagos recurrentes, etc. x  
Rotación de claves requerida   X
Seguridad de extremo a extremo X  
Bajo costo por transacción X  
Ajuste del formato a campos de tarjetas de crédito anteriores X  
Administración central X  
Seguridad establecida   X

La tokenización reemplaza los datos confidenciales del titular de la tarjeta por un token sustituto. Esto ayuda a proteger los datos de la cuenta bancaria del cliente en las transacciones con tarjeta de crédito y el comercio electrónico.

El cifrado de extremo a extremo (también conocido como cifrado de campos de datos), por su parte, cifra los datos del titular de la tarjeta en origen y los descifra luego en el destino final. Algunos ejemplos de cifrado de extremo a extremo son las VPN, la función imessage de Apple y otras aplicaciones de mensajería como WhatsApp.

Tanto la tokenización como el cifrado se usan para reducir el alcance del cumplimiento de PCI mediante la reducción de la cantidad de sistemas que tienen acceso a la información de las tarjetas de crédito de los clientes. (Para ver un manual básico sobre el cumplimiento de PCI, consulta nuestra guía de cumplimiento de PCI). Si bien ambas soluciones tienen su lugar en la tecnología de pagos, la tokenización está emergiendo rápidamente como más rentable y segura para proteger la información de las tarjetas de los clientes y reducir el alcance del cumplimiento de PCI. A diferencia de los datos cifrados, los tokens no se pueden revertir matemáticamente con una clave de descifrado y los datos PAN nunca se exhiben.

Ejemplos de tokenización:

¿Cómo se utiliza la tokenización en el sector de pagos? De tres maneras. La primera es cuando los negocios mantienen tu tarjeta guardada para la facturación de suscripciones y los pagos recurrentes. La segunda es en los sitios de comercio electrónico que ofrecen a los clientes frecuentes procesos de pago con un solo clic. Y el tercer uso (y, quizás, el más de moda últimamente) es dentro de las billeteras móviles de NFC como Apple Pay y Android Pay.

Explicación de la tokenización de pagos

Esta es la forma en que la tokenización ayuda a protegerte en las siguientes situaciones de pago:

Tokenización de Apple Pay. Después de tomar una foto de tu tarjeta de crédito y cargarla en tu iPhone 6, Apple envía los datos del banco o la red emisora de la tarjeta, que reemplaza los datos de tu tarjeta por una serie de números generados de manera aleatoria (el token). Ese número aleatorio se envía de regreso a Apple, que lo programa en el teléfono. Esto significa que no es posible extraer el número almacenado en el teléfono como algo valioso para los estafadores.

Tokenización de Android Pay. La tokenización en Android Pay funciona de manera similar. Cuando cargas la información de tu tarjeta en la aplicación, Google crea un token sustituto que representa tu número de cuenta real. Esto hace prácticamente imposible que alguien llegue a la información real de tu tarjeta de crédito.

Tokenización en aplicaciones. Imagina que quieres comprar algo directamente desde una aplicación en tu teléfono, como boletos para un concierto, ropa, libros o lo que sea. Si tu teléfono contiene un token, ninguna de estas aplicaciones tiene acceso a los datos de tu tarjeta de crédito. Esto significa que tu información bancaria está bloqueada y no tiene ningún significado para los estafadores. El uso de una cuenta tokenizada también facilita el proceso de pago, ya que muchas aplicaciones asocian directamente tu información de envío almacenada.

Tokenización en comercio electrónico. La tokenización también protege tus actividades de compra en línea. Imagina que compras una mesa de café en Ikea.com. Si IKEA tokenizó los números de tarjeta que tiene guardados, tu información está segura incluso si se la piratea (lo cual nunca sucedió). Es posible que la tienda nunca vea ni almacene el número de la tarjeta de crédito, así que, si alguien se infiltra en el sistema (como en la filtración de datos de Home Depot, por ejemplo), lo único que el delincuente podrá ver son los tokens generados aleatoriamente. Y hay algo más que es genial: es posible generar un token nuevo para cada tienda en línea, de modo que tendrás un código diferente en todos los lugares en los que hayas hechos compras. De esta manera, si una tienda sufre una vulneración de seguridad, todos los tokens emitidos para ese sitio web pueden desactivarse sin que debas cambiar la tarjeta.

En síntesis: la tokenización es un asunto complicado, pero es bueno conocer sus aspectos básicos (y, si tienes una orientación más visual, elaboramos un gráfico simple que ilustra cómo funciona más arriba). Es una evolución interesante para lograr mayor seguridad en todo tipo de pagos.

Preguntas frecuentes sobre la tokenización

¿Los datos tokenizados son reversibles?
Los datos tokenizados no son matemáticamente reversibles a menos que se tenga la clave original usada para crear el token.

¿Cómo se generan los tokens?
Los tokens pueden generarse mediante algoritmos matemáticamente reversibles, funciones criptográficas unidireccionales no reversibles o tablas estáticas organizadas para valores de tokens generados aleatoriamente.

¿El uso de la tokenización hace que cumpla la normativa PCI?
El uso de la tokenización no te hace cumplir automáticamente la normativa PCI, pero se considera una práctica recomendada y puede ayudar a reducir el alcance de la PCI DSS. Consulta las prácticas recomendadas sobre cómo elegir un proveedor de tokenización del Consejo sobre Normas de Seguridad de la PCI aquí. Pero no te preocupes. Square ofrece una solución de cumplimiento de PCI económica.

Obtén más información sobre el funcionamiento de las comisiones de procesamiento de pago con Square.