“Soy cliente habitual de varias tiendas online y quiero asegurarme de que los datos de mi tarjeta bancaria no van a ser robados o duplicados”.
Tú lo que necesitas es mantener protegido el número de cuenta (PAN) y otros datos sensibles de tu tarjeta.
“Claro, ¿y cómo lo hago?”
- Verás, de esto debe encargarse el propio comercio a través de una herramienta de tokenización de tarjetas. Es decir, un sistema que permita sustituir datos confidenciales por datos no confidenciales llamados tokens.
- “¿Y cómo funciona?”
- El sistema de tokenización recibe el dato confidencial. Este dato es almacenado de forma centralizada y protegido con cifrado robusto. Después, el sistema de tokenización genera un token único y lo asocia al dato almacenado previamente. Por último, el token se pone en el flujo operativo del aplicativo y reemplaza al dato sensible en todas las operaciones.
“¡Interesante!”
Sigue leyendo y te explicaremos cómo las empresas añaden la máxima seguridad a sus transacciones con tarjeta. ¿Nos acompañas?
El token en las tarjetas, ¿qué es?
Un token en el ecosistema de los pagos es un activo digital que sustituye un dato sensible. Es sinónimo de confianza y seguridad. Algo así como un sustituto de tus datos confidenciales para asegurar su protección durante las transacciones.
Forma parte del proceso de tokenización de tarjetas, que consiste en convertir los datos de la tarjeta de tus clientes en tokens cifrados. Se aplica a la seguridad de los datos y es el proceso de sustituir un elemento de datos confidenciales por un equivalente no confidencial llamado token. No tiene ningún significado o valor extrínseco.
El proceso es el siguiente:
- El sistema recibe el dato confidencial. Dependiendo de las interfaces, el dato se obtiene, se importa o es ingresado por un usuario.
- El dato sensible es sustituido por un token o código de cifrado robusto. Es decir, no se almacena el número de cuenta, o cualquier otro dato, sino un sustituto del mismo. El dato real del cliente solo lo sabe la entidad bancaria, lo que recibimos de esta es un token de la misma. Lo almacenamos y nos permite que la experiencia de pago del cliente sea más rápida y segura.
- El token generado es único y asociado al dato confidencial almacenado previamente. Este servirá de alias al dato real.
- El token se pone en el flujo operativo y reemplaza información sensible a la que representa en todas las transacciones.
En tres palabras, el proceso consiste en aprovisionar (el cliente posee un token vinculado a su PAN o Personal Account Number), validar (se envía el token a la red de tarjetas de crédito para procesar la transacción) y autorizar (cuando se recibe la validación de la operación, la red retokeniza el dato y envía la autorización al vendedor).
El sistema de tokenización permite cifrar los datos de las tarjetas de tus clientes de forma segura, una experiencia de pago online aún más rápida, ahorrar tiempo en la recepción y liquidar los cobros en un solo clic.
¡Comprar de forma segura nunca fue tan fácil!
La tokenización y la PCI DSS
¿Buscas la máxima seguridad en tus pagos o simplemente te gustaría mejorar la experiencia de tus clientes? Entonces, deberías pensar en incluir la tokenización de tarjetas en tu procesamiento de pagos. La gestión y el almacenamiento de la información sensible es un asunto de mucho interés para cualquier negocio hoy en día.
Por eso, nace la normativa PCI DSS, quien se encarga de regular la gestión y el almacenamiento de los datos asociados a las tarjetas de pago. Esta normativa recoge las técnicas de tokenización dentro de los métodos de protección del PAN, quien se puede proteger con un token asociado en función de distintos patrones:
- Reemplazo total con cadena de número y letras. El token puede tener un formato distinto al del dato que sustituye y suele ser el más complicado de gestionar, dado que requiere algunas modificaciones en las bases de datos asociadas.
- Reemplazo total con un token de la misma longitud y formato. Tiene un impacto mínimo sobre cualquier sistema asociado.
- Reemplazo parcial, manteniendo las primeras y las últimas posiciones iguales. Los datos medios se reemplazan con un token. En este modelo se requiere una técnica de diferenciación entre PAN y token para evitar que los datos sean contaminados.
Sin embargo, la tokenización no es la única alternativa a la protección de las tarjetas, ya que en el ecosistema del PCI DSS se establecen distintas estrategias para proteger el PAN cuando necesita ser almacenado. Estos métodos son: la tokenización, la criptografía sólida, el truncamiento y los valores hash de una vía.
Así establece el estándar PCI DSS su ámbito de aplicación: “El número de cuenta principal es el factor que define la aplicabilidad de los requisitos de PCI DSS, que se aplican si almacena, procesa o transmite un número de cuenta principal (PAN). Si un PAN no se almacena ni procesa, ni transmite, no se aplican los requisitos de PCI DSS…”
¿Cuándo debo proceder a la tokenización y cómo cumplir con la normativa?
Debemos de tener en cuenta que un token no es un PAN, sino un sustituto del mismo. Por tanto, los requerimientos de la PCI DSS no se aplican en aquellos lugares donde se almacena, procesa o transmite. Los procesos de las empresas por los que fluye un token no están sujetos al cumplimiento del estándar. Por el contrario, aquellos sistemas que interactúan con datos de tarjetas de pago sí están dentro del entorno de cumplimiento. ¿Qué requisitos deben cumplirse?
- El sistema de tokenización utilizado no debe proveer el número a ninguna red o usuario fuera del alcance de cumplimiento.
- El token de la tarjeta debe usar algoritmos de criptografía robustos.
- La herramienta de tokenización debe implementar controles de acceso y medidas de autenticación.
- Todos los componentes del sistema de tokenización deben ubicarse en una red interna segura.
¿Tienes claro qué es la tokenización? ¿Sabes en qué consiste el token en la tarjeta? ¿Tienes dudas acerca de su funcionamiento? ¿Cómo se adapta a tu negocio?
En PayXpert, resolvemos todas tus dudas.