¿Qué es la Tokenización?
La Tokenización es el proceso de protección de los datos sensibles o del PAN (principal account number) de una tarjeta mediante la sustitución de los mismos por un número generado algorítmicamente llamado token.
Se utiliza sobre todo para prevenir el fraude con tarjetas de crédito.
Esta funcionalidad permite a una web almacenar toda la información de pago de un usuario sin necesidad de mantener información sensible en el sitio, de esta forma se pueden realizar cobros periódicos o facilitar el pago en 1 Clic en tu tienda online.
Una vez creado el token, la Tokenización es irreversible, no existe ninguna relación matemática entre el número original y el token, sólo el sistema que generó el token en primera instancia es capaz de realizar el proceso inverso, de esta manera, si se sufriera una brecha en la web los datos obtenidos serían absolutamente inútiles para el ladrón.
¿Cómo funciona la tokenización?
Los tokens son creados por empresas como VISA y Mastercard, entre otras, que actúan como Token Service Providers (TSP, proveedores de tokens) y los envían a plataformas de pago móvil o de e-commerce para que puedan utilizarlos en las transacciones en lugar de utilizar los datos reales de la tarjeta de crédito del cliente.
De esta manera, cuando un usuario introduce la información de su tarjeta en una wallet virtual como Google Pay o Apple Pay, estas plataformas piden el «token» a uno de estos proveedores, el cual debe pedir primero al banco del cliente la verificación de los datos.
Una vez verificados los datos, generan el token y lo envían al dispositivo del usuario. Después de crear este número único, se vincula de forma irreversible e irreemplazable al dispositivo del cliente.
Por lo tanto, cada vez que el usuario haga un pago, la plataforma podrá autorizar la operación con sólo compartir este token, sin necesidad de exponer los datos reales de su tarjeta.
Además, gracias a que la Tokenización es una solución totalmente compatible con PCI DSS (Payment Card Industry Data Security Standard), cada vez son más las plataformas que están apostando por facilitar la adopción de este nuevo sistema de pago seguro para sus clientes.
Tokenización en la pasarela de pagos
Para entender mejor el proceso de la conversión de los datos de pago originales a token, echemos un vistazo a lo que sucede desde el momento en que un cliente utiliza su tarjeta de crédito hasta el momento en que se procesa el pago.
- Una tarjeta de crédito se pasa por un cajero automático o se utiliza para una transacción online.
- El número de la tarjeta de crédito se pasa al sistema de tokenización.
- El sistema de tokenización genera una secuencia de 16 caracteres aleatorios para reemplazar el número original de la tarjeta de crédito.
- El sistema de tokenización devuelve los 16 caracteres aleatorios recién generados a la máquina TPV o al e-commerce para reemplazar el número de la tarjeta de crédito del cliente en el sistema.
La tokenización con Truust
En Truust, el funcionamiento de la tokenización es el siguiente. La API de Truust recibe la petición de guardar la tarjeta por parte del usuario, Truust se comunica con el servicio de tokenización del banco adquiriente (RedSys, Addon Payments, etc). En ese momento se genera un token que puede ser utilizado por el comerciante para cobrar las compras subsiguientes, como se muestra en el siguiente diagrama.
De esta forma, tu plataforma no almacena, procesa o transmite nunca el PAN: sólo el token.
La ventaja de un servicio de tokenización fuera de la plataforma es que evita que los ataques informáticos obtengan cualquier tipo de información sensible, ya sea financiera o personal.
Ventajas de la tokenización
Las principales ventajas de implementar un servicio de tokenización son las siguientes:
- En todo momento el banco mantiene el control de los datos de los clientes, los sistemas externos nunca tienen acceso a ellos.
- Al no estar los tokens vinculados matemáticamente al valor original, la seguridad es máxima.
- Facilita el pago en las siguientes visitas evitando la necesidad de volver a introducir los datos cada vez que el usuario quiera realizar una nueva compra.
La tokenización en el proceso de pago: casos de uso
El caso es que la tokenización es extraordinariamente útil para diversos tipos de transacciones online.
Podemos distinguir tres escenarios de pago en los que la tokenización está tomando un papel cada vez más importante.
- El primer caso es para negocios que requieren almacenar los datos de las tarjetas de crédito de sus usuarios de forma segura para cobrar una suscripción o generar un pago recurrente.
- El segundo es en tiendas online o marketplaces donde se quiere ofrecer a los usuarios checkouts con un solo clic.
- Y el tercero para los conocidos como pagos por proximidad con el móvil (NFC / Near Field Communications), como Apple Pay y Android Pay.
A continuación, te explicamos cómo la tokenización te ayuda a protegerte en los siguientes escenarios de pago.
#1 Tokenización en el pago de suscripciones
Un servicio de reproducción de música vía streaming necesita procesar los pagos de las suscripciones de los clientes de forma mensual y recurrente. Imagina que este servicio tuviera que enviar un correo electrónico, llamar o enviar un SMS a sus usuarios cada mes para obtener los detalles de pago.
Esto produciría una sobrecarga significativa del proceso para el servicio, ya que se necesitaría mucho personal para gestionar las actualizaciones de los pagos. La experiencia de los usuarios también se vería afectada, lo que podría resultar en una mayor pérdida de clientes al decidir no pagar ese mes o, lo que es peor, perder totalmente su interés en el servicio.
Sin embargo, gracias a la tokenización, este arduo proceso será innecesario: la compañía puede recargar el pago mensualmente a sus clientes sin la necesidad de exponer la información original de la tarjeta.
Truust ofrece varias soluciones de pago a empresas de cualquier tamaño. Para más información, ponte en contacto con nuestro equipo.
#2 Tokenización en e-commerce
La Tokenización también ayuda a proteger los pagos en compras online.
Pongamos como ejemplo una web que vende carcasas para móviles.
El cliente, tras realizar una compra tiene la opción de guardar los datos de su tarjeta para futuras compras, disponiendo de un sistema integrado de tokenización los datos se convierten en tokens quedando así totalmente asegurados.
Incluso en el hipotético caso de que la web sea hackeada. Todo lo que el hacker podría ver serían los tokens, es decir, una información sin utilidad ya que no puede ser descifrada.
#3 Tokenización en los monederos virtuales móviles: Apple Pay y Android Pay
Pongamos como ejemplo la tokenización de Apple Pay.
Después de tomar una foto de tu tarjeta de crédito y guardarla en tu iPhone desde la app llamada “Wallet”, Apple envía los datos al banco o red emisora de la tarjeta, que sustituye los datos de tu tarjeta por una serie de números generados aleatoriamente (el token). Ese número aleatorio se envía de vuelta a Apple, que lo programa en el teléfono.
Esto significa que del número almacenado en el móvil no puede extraerse ningún tipo información de utilidad para los estafadores.
Tokenización vs Encriptación
Aunque la tokenización y la encriptación tienen ciertas similitudes, cuando hablamos de la protección de datos en la nube, estas tecnologías de seguridad difieren entre sí. La principal diferencia es el método de seguridad que cada una utiliza.
En pocas palabras, la tokenización utiliza un token para proteger los datos, mientras que la encriptación utiliza una clave.
Lo que esto significa es que la tokenización cambia los datos sensibles por un identificador irreversible sin información sensible (token), y almacena de forma segura esos datos sensibles originales fuera de su entorno original.
Por el contrario, el cifrado o encriptación codifica el contenido de un elemento de datos donde reside con una clave compartida entre quien está cifrando los datos y quien necesita descifrarlos.
Para acceder a los datos originales, la tokenización intercambia el token por los datos sensibles, mientras que la encriptación decodifica los datos encriptados para revelar su forma sensible.
Ambas soluciones tienen grandes ventajas cuando se trata de almacenar de forma segura los datos de los clientes:
- La encriptación es ideal para campos o bases de datos no estructurados de información que no se intercambian con frecuencia o se almacenan en múltiples sistemas.
- La tokenización es ideal para datos estructurados, como los números de la Seguridad Social y de tarjetas de crédito, que deben mantenerse en archivo para verificar las identidades y ser fácilmente accesibles para su futuro uso, como las transacciones financieras y las compras online.
Criteria | TOKENIZATION | ENCRYPTION |
The PAN (principal account number) is displayed | X | |
Mathematically reversible | X | |
Reduces the scope of the PCI | X | |
Payment flexibility: refunds, chargebacks, recurring payments, etc. | X | |
Key rotation required | X | |
End-to-End Security | X | |
Low cost per transaction | X | |
The format is consistent with traditional credit card fields | X | |
It is centrally managed | X | |
Established security | X |
En resumidas cuentas: la Tokenización es un concepto complejo, pero es conveniente entender cómo funciona para ver la utilidad que puede tener en la industria del proceso de pagos, donde está ganando cada vez una mayor importancia. Es una emocionante revolución que hace que cualquier tipo de pago sea más seguro.
REFERENCIAS
https://searchsecurity.techtarget.com/definition/tokenization
https://medium.com/coreledger/what-is-tokenization-everything-you-should-know-1b2403a50f0e
https://www.adyen.com/knowledge-hub/guides/tokenization-payment-technology-guide#how
https://blockgeeks.com/guides/security-tokens/