Fundamento de tokenización y cumplimiento del PCI DSS

Diego Katzman

De Diego Katzman
Publicado 09/08/2021· 4 min lectura

¿Qué tiene que ver una cosa con otra?

Pues mucho más de lo que crees. Ahí fuera, existen infinitas alternativas técnicas para proteger la información confidencial que se almacena, transmite o procesa en entornos corporativos. El objetivo final es proteger la información sensible original para que no pueda ser expuesta y leída por personas no autorizadas. Y una de esas técnicas de protección de datos confidenciales es la tokenización, aunque existen muchas más, como el cifrado simétrico y asimétrico o la trasposición. Todo depende de las necesidades específicas del negocio.

En este post, nos centraremos en la tokenización, ya que es el mecanismo más demandado para la protección de los datos de las tarjetas de crédito y débito. Según los Estándares de Seguridad de Datos de la Industria de las Tarjetas de Pago (PCI DSS) la tokenización es ampliamente adoptada como uno de los fundamentos del cumplimiento de la seguridad de los datos, donde se hace hincapié en la protección de los datos de las tarjetas.

¿En qué consiste la tokenización? ¿Cómo minimizar el riesgo de almacenamiento de datos? ¿Es considerado el token un dato confidencial?

¡Acompáñanos y no te lo pierdas!

Tokenización: del concepto a la técnica

Cuando se aplica a la seguridad de los datos, la tokenización es el proceso de sustituir un elemento de datos sensible (los detalles de su tarjeta) por un equivalente no sensible, denominado token que no tiene un significado o valor extrínseco o explotable.

El token se utiliza en lugar de los datos originales de la tarjeta, de modo que éstos no pueden ser vistos.

Esto reduce el riesgo de que las transacciones originales con tarjeta se vean comprometidas, incluso cuando los detalles de las transacciones se almacenan en los sistemas de la empresa con fines de conciliación e información. Además, el token no es en sí mismo un dato confidencial, sino que su valor sustituye al mismo.

En resumen, se reemplazan los datos sensibles de una tarjeta bancaria por un código único llamado token, usado durante la transacción digital. De esta manera, se elimina la necesidad de mostrar y exponer el numero real (PAN) de la tarjeta de crédito o débito del titular.

En el caso de los métodos de pago, la tokenización fue impulsada por el crecimiento de los nuevos modelos de negocio que surgieron con la irrupción de la economía digital. Rápidamente, se hizo necesaria la implementación de mecanismos de protección de los datos de los consumidores que podrían quedar expuestos durante la compra. La tokenización ha sido una de estas medidas desarrolladas pensando en la seguridad.

¿Preparado para aumentar la seguridad de tu negocio y mejorar la experiencia de usuario para tus clientes?

Características de la tokenización de pagos

Ahora que ya sabes en qué consiste este servicio de protección de datos en eCommerce, queremos profundizar un poco más en el concepto.

¡Toma nota de las siguientes características de la tokenización!

  • Protege el número primario de cuenta (PAN) con un sistema de cifrado algorítmico donde se emite un código numérico único que reemplaza al PAN durante la operación.
  • Si un usuario compra en tu negocio a través del pago tokenizado, los datos que envía a la red de tarjetas es un token en lugar de su información real.
  • El funcionamiento de este sistema se resume en 3 pasos:
    1. Aprovisionamiento, donde el cliente ya posee un token.
    2. Validación, donde el token se envía a la red de tarjetas para procesar la operación.
    3. Autorización, la red tokeniza el PAN y envía la autorización al vendedor.

Y lo mejor de todo es que este proceso se completa en unos pocos segundos. Como consecuencia, negocios y consumidores obtienen beneficios de esta técnica de seguridad. Por un lado, el eCommerce almacena datos tokenizados de tarjetas de sus consumidores y cumple con lo establecido en el PCI DSS. Y por otro, los clientes compran de forma segura.

¿Qué dice el certificado PCI DSS acerca de la tokenización?

Los estándares PCI DSS (Payment Card Industry Data Security Standard) confirman que su cumplimiento es obligatorio para todas las compañías que aceptan, procesan o transmiten la información de las tarjetas.

En resumen, si tu eCommerce acepta pagos con tarjeta, tienes que disponer de una certificación PCI y ser apto para tarjetas tokenizadas. ¡No te preocupes! PayXpert puede ayudarte a obtener la certificación PCI DSS que necesitas.

En total, la PCI DSS establece 12 requisitos fundamentales de seguridad, tales como “la política de seguridad de la información, la evaluación de la solución corporativo de antivirus y de malware, la protección de datos de tarjeta mediante cifrado y el mantenimiento de las redes y los sistemas seguros”, entre muchos otros.

Hoy vamos a centrarnos en la protección de las tarjetas mediante cifrado, por tratarse del requisito directamente relacionado con la tokenización. Antes decíamos que necesitamos aumentar la seguridad de los clientes, y es que, en los datos que almacenas, lo mejor es estar protegidos con la tokenización, especialmente si decides contratar un proveedor de servicios. Por ejemplo, una pasarela de pagos integrada.

Si estás indeciso, la tokenización te podría ayudar a salir de dudas, ya que es uno de los mejores protocolos de seguridad en la actualidad.

¿Cómo tokenizar tarjetas con PayXpert?

Facilidad, confianza y protección. Así es como podríamos definir el servicio de tokenización que ofrece PayXpert al comercio electrónico. Convertir los datos de la tarjeta de tus clientes en tokens cifrados en un solo clic es un proceso sencillo gracias a este proveedor. ¡Ofrecemos un servicio completo!

No solo garantizas a tus clientes la experiencia que desean a través de una pasarela de pagos de calidad, sino que accedes a un conjunto flexible de opciones de personalización en tu tienda, haciendo que los compradores internacionales se sientan como en casa.

Los comerciantes pueden elegir entre una variedad de integraciones de páginas de pago de comercio electrónico de PayXpert que les ayudarán a cumplir con la normativa PCIDSS para proteger los datos de las tarjetas. Por ejemplo, nuestras opciones de página de pago "hosted and seamless checkout" ayudan a que el requisito de proteger los datos de las tarjetas recaiga en los sistemas de PayXpert y no en los de los comerciantes.

En definitiva, PayXpert es la solución completa que muchos negocios demandan para:

  • Garantizar la seguridad de los pagos con tarjeta y el cumplimiento del PCI DSS con la tokenización.
  • Pagar en cualquier lugar, en el idioma y la moneda del público, incluso si son ciegos o discapacitados.
  • Utilizar la última tecnología e innovación para mejorar la experiencia de los usuarios en la tienda.
  • Permitir a los clientes pagar como quieran ahora y en el futuro.
  • Analizar el comportamiento de los clientes, reducir el nivel de fraude y tomar mejores decisiones en base a datos reales.
  • Mejorar las operaciones comerciales, así como las conversiones, utilizando nuestras funcionalidades específicas para tu sector.

¿Nos necesitas? Estamos para ayudarte.

Pinterest LinkedIn
Guía: Todo lo que debes saber sobre pasarelas de pago
[ES] 8 claves para escoger la mejor pasarela de pagos

Buscar

    Suscribirse a la newsletter

    Categorías

    Ver todos