Tokenización: todo lo que necesitas saber

La tokenización es una estrategia que sustituye los datos confidenciales por datos seguros y no confidenciales. Para la tokenización de pagos, el número de cuenta principal (PAN; en inglés) del cliente, la fecha de caducidad y el CVV2 se cifran y se transforman en una combinación de números únicos, lo que consideramos nuestro token.

Una transacción activa el proceso de creación de un token en tiempo real. Se conecta la tarjeta del cliente con el banco emisor para crear un token usado para esa compra específica. El número de cuenta principal del cliente queda oculto, por lo que la tokenización permite aumentar el nivel de seguridad.

En el caso de Adyen, servimos como emisor. Nuestro servicio de tokenización almacena de manera segura los datos de la tarjeta del cliente y genera un token que puede usarse por la empresa para cobrar próximas compras, como se explica en el siguiente diagrama.

Dependiendo del tipo de empresa y transacción, la tokenización en pagos se puede llevar a cabo de distintas maneras.

Tarjetas guardadas

La primera vez que un cliente ingresa los datos de su tarjeta en una plataforma, estos pueden guardarse como token y archivarse para que no tenga que volver a ingresar sus datos en el futuro. Además, un sistema de tarjetas guardadas, como nuestro Account Updater, puede actualizar de inmediato datos si la tarjeta se pierde, vence o en caso de robo, lo cual permite tener menos riesgo de fallos en los pagos. Las tarjetas guardadas pueden usarse para dos tipos de transacciones:

Suscripciones y pagos recurrentes: las empresas pueden activar y cobrar pagos recurrentes de sus usuarios sin ningún obstáculo. Por ejemplo, las suscripciones de Netflix y Spotify.

Pagos con un clic: los titulares de la tarjeta sólo tienen que confirmar la transacción para que se haga el cobro a su tarjeta con los datos guardados. Esta es una gran manera de garantizar un proceso de pago optimizado y rápido, perfecto para repetir compras.

Carteras digitales

Para agregarse a una cartera digital como Apple Pay o Google Pay™, los datos confidenciales de la tarjeta se reemplazan con un token guardado en un dispositivo para pagos en línea, en la app y en persona. Esto hace que las carteras digitales sean altamente accesibles, ya que muchos procesos de pago las aceptan. La seguridad también aumenta ya que no sólo los tokens son seguros, sino que su seguridad integrada implica que cumplaen con los requisitos de la industria de tarjetas de pago (PCI) y la Directiva de Servicios de Pago (PSD2). Esto incluye una sólida autenticación de los clientes a partir de datos biométricos como Touch ID o reconocimiento facial.

La tokenización es adecuada para los modelos de empresas basados en suscripciones o cualquier empresa que genere negocios importantes a partir de sus clientes recurrentes. Su implementación trae varios beneficios clave.

Es segura: si los estafadores roban datos de pago manejados con tokenización, no significa que podrán robar dinero. De hecho, no pueden utilizar los tokens robados para pagar en línea, ya que no pueden vincular el token a la información de pago almacenada de forma segura por el socio de pago

Ahorra costos: las empresas pueden ahorrar dinero a largo plazo gracias a lseguridad que brinda la tokenización. Además de que logran reducir los costos de cumplimiento de la normativa gracias al alcance mínimo con la PCI, existe un menor riesgo de que se produzcan filtraciones de datos que podrían dar lugar a grandes multas o batallas legales.

Simplifica los pagos: como se mostró en la tokenización de pagos de los casos de uso anteriores, el proceso de pago no sólo es más rápido, ya que se puede completar con un clic, sino que también las tasas de conversión aumentan. Esto se logra gracias a que los datos de las tarjetas siempre están actualizados.

Tanto la tokenización como el cifrado son maneras eficaces de proteger datos, pero no son el mismo proceso. A veces se usan en conjunto para crear un proceso de pago seguro de principio a fin, pero no son intercambiables. Por eso, es importante conocer la diferencia.

Mientras que la tokenización cambia los datos confidenciales por un token, en el cifrado, los datos originales siguen presentes pero convertidos en un formato ilegible acompañado de una clave. Esta clave de cifrado se comparte entre el emisor y el receptor, que descifra los datos en el otro lado.

Este método hace que el cifrado sea ideal para transferir datos no estructurados, por ejemplo, textos largos como documentos confidenciales (historiales médicos, información financiera, etc.). El cifrado también es una buena opción para bases de datos que no se almacenan en varios sistemas ni intercambian información con regularidad. Pero…

En el caso de la tokenización, se requiere un proceso más complejo para llegar a los datos originales detrás del token.

Como su nombre lo indica, la destokenización es el proceso inverso de la tokenización, con el fin de obtener los datos exactos de la tarjeta que se ingresaron al inicio. Con frecuencia, sólo puede llevarse a cabo con el sistema que se usó para tokenizar. Pero, en casos únicos, hay aplicaciones autorizadas que permiten la destokenización para un fin empresarial aprobado y estrictamente necesario, como la detección de fraudes. 

Así es como funciona la tokenización en el mundo de los pagos. Esperamos que esto te haya ayudado a comprender mejor el proceso y a determinar si es algo que puede beneficiar a tu empresa.

Obtén más información sobre cómo la tokenización con Adyen puede apoyarte.

Contáctanos