Un secure card storage basado en la nube es la base de cualquier arquitectura de pagos moderna que quiera reducir el riesgo de brecha de datos y el perímetro PCI DSS. El card vault es el componente que recibe, cifra y custodia los datos de las tarjetas de pago, devolviendo a cambio un token opaco. Entender cómo funciona técnicamente, qué certificaciones requiere y por qué construirlo internamente es casi siempre la elección equivocada ayuda a tomar decisiones arquitectónicas más sólidas.
Qué es un card vault y cómo funciona técnicamente
Un card vault es un sistema seguro para almacenar los PAN (Primary Account Number) y los datos sensibles asociados a las tarjetas de pago. El flujo técnico básico prevé que el número de tarjeta sea transmitido directamente al vault a través de una API HTTPS, cifrado con claves criptográficas gestionadas en un HSM (Hardware Security Module), y sustituido por un token que se devuelve al solicitante. El token tiene la misma longitud y formato que un PAN, pero no contiene datos reales y no puede usarse para transacciones sin pasar por el vault.
Internamente, el vault mantiene el mapeo token-PAN en una base de datos cifrada con accesos extremadamente limitados. Cada solicitud de destokenización, es decir, de recuperación del PAN original, queda registrada con marca de tiempo, IP de origen e identidad del solicitante. El sistema de registro de auditoría es obligatorio para el cumplimiento PCI DSS y debe ser inmutable: ningún operador, ni siquiera con privilegios administrativos, puede eliminar los logs de las operaciones del vault.
Las certificaciones necesarias: PCI DSS Nivel 1, HSM, FIPS 140-2
Un vault destinado a producción debe estar certificado PCI DSS Nivel 1, el nivel más alto del estándar, que requiere una auditoría anual realizada por un QSA independiente y una prueba de penetración semestral. La certificación Nivel 1 no se obtiene completando un cuestionario: requiere un análisis exhaustivo de todos los controles técnicos y organizativos, desde la gestión de las claves criptográficas hasta la seguridad física de los centros de datos.
Las claves criptográficas deben gestionarse con HSM certificados FIPS 140-2 Nivel 3 o superior. Esto significa que las claves nunca salen del hardware en forma legible, ni siquiera en caso de compromiso del software aplicativo. La certificación FIPS 140-2 garantiza que el hardware ha sido validado por un laboratorio acreditado NIST para resistir ataques físicos y lógicos. Sin un HSM certificado, un vault no puede obtener la certificación PCI DSS Nivel 1.
Vault interno vs vault as a service: la comparación real
Construir un card vault interno requiere una inversión inicial que raramente baja de los 200.000-500.000 euros considerando hardware HSM, infraestructura redundante, desarrollo del sistema de tokenización, auditoría inicial y formación del equipo. A esto se añade un coste operativo anual de 50.000-150.000 euros para el mantenimiento de la certificación, las pruebas de penetración, la gestión de claves y el personal dedicado. Para un comercio con volúmenes medios, el ROI de esta elección nunca se alcanza.
Un vault as a service como el de PCI Proxy EU transfiere todos estos costes y responsabilidades al proveedor. El comercio paga en función de los volúmenes de transacción, obtiene de inmediato la cobertura de la certificación PCI DSS Nivel 1 del proveedor, y no necesita gestionar infraestructura ni personal especializado. La portabilidad de los tokens garantiza que, si en el futuro se decide cambiar de proveedor, los datos de tarjeta siguen siendo accesibles sin necesidad de volver a recopilar la información de los usuarios.
Preguntas frecuentes
¿Un card vault en la nube es tan seguro como uno on-premise?
Si el proveedor cloud dispone de las certificaciones correctas (PCI DSS Nivel 1, ISO 27001, SOC 2 Type II), el nivel de seguridad es equivalente o superior al de un vault on-premise gestionado internamente. La mayoría de las empresas no tiene los recursos para mantener los controles físicos, la redundancia y el personal especializado que los proveedores cloud dedican a la seguridad infraestructural.
¿Mi PSP actual ofrece un vault portable?
La mayoría de los PSP ofrecen un vault propietario cuyos tokens solo son válidos en su propia plataforma. Esto crea un vendor lock-in: si quieres cambiar de PSP, debes volver a recopilar los datos de tarjeta de todos tus clientes. Un vault processor-agnostic como el de PCI Proxy EU genera tokens utilizables con cualquier PSP, eliminando esta dependencia.
¿Cuánto cuesta construir un card vault interno?
El coste de implementación parte de unos 200.000 euros para una infraestructura mínima certificable, con costes operativos anuales de entre 50.000 y 150.000 euros. A esto hay que añadir los costes del personal especializado, las auditorías QSA, las pruebas de penetración y el mantenimiento de la certificación. Para la mayoría de las empresas, el vault as a service es económicamente ventajoso desde el primer año.
¿Quieres un card vault certificado PCI DSS Nivel 1 sin gestionar infraestructura y sin dependencia del PSP? Descubre PCI Proxy EU.