La tokenización de PAN es el proceso mediante el cual un número de tarjeta real se sustituye por un identificador aleatorio, carente de valor fuera del sistema que lo ha generado. Es la tecnología que permite a comerciantes, PSP y plataformas gestionar los pagos sin tener que almacenar ni transmitir datos sensibles en sus propios sistemas. Comprender cómo funciona, en cada fase, es esencial para quien debe tomar decisiones arquitectónicas o de cumplimiento.
Del PAN al token: cómo funciona el proceso paso a paso
El flujo de tokenización de PAN parte siempre de la recogida segura del dato de tarjeta. El cliente introduce el número de tarjeta en una página hosted o mediante un SDK client-side certificado PCI DSS: de este modo los datos nunca pasan por los servidores del comerciante. El vault del proveedor de tokenización recibe el PAN en claro, lo almacena de forma segura y genera un token aleatorio que devuelve al sistema del comerciante.
A partir de ese momento, el comerciante opera exclusivamente con el token. Para procesar un pago, envía el token al vault junto con el importe y las instrucciones de cargo: el vault recupera el PAN real, lo transmite al circuito de tarjeta y devuelve solo la respuesta de autorización. Todo el ciclo se produce en milisegundos, de forma transparente para el usuario final.
Tokenización vs cifrado: diferencias que importan
La distinción entre tokenización y cifrado no es terminológica: es una diferencia arquitectónica con implicaciones directas sobre la seguridad y el cumplimiento. El cifrado transforma el PAN en un dato cifrado que mantiene una relación matemática con el original: cualquiera que disponga de la clave de descifrado puede recuperar el PAN. El riesgo se desplaza a la gestión de las claves, que sigue siendo responsabilidad del comerciante.
La tokenización genera un valor aleatorio sin ninguna relación con el PAN original. No existe un algoritmo que permita recuperar el dato original a partir del token: la única forma de "destokenizar" es acceder al vault con las credenciales correctas. Esto significa que una brecha en la base de datos del comerciante expone solo tokens inútiles, no números de tarjeta reales. Desde el punto de vista del PCI DSS, las bases de datos que contienen solo tokens no forman parte del CDE.
El ciclo de vida del token: vault, recuperación y revocación
Un token tiene un ciclo de vida definido que comprende creación, uso y revocación. En el momento de la creación, el vault asocia el token al PAN y lo almacena con metadatos como el ID del comerciante, la fecha de creación y los eventuales límites de uso. Durante el ciclo de vida activo, el token puede usarse para cargos, reembolsos y contracargos sin que el comerciante vea nunca el PAN.
La revocación se produce cuando el cliente solicita la supresión de sus datos, cuando la tarjeta vence o se sustituye, o cuando el comerciante decide cerrar la relación. Un vault bien diseñado gestiona también la sustitución automática de los tokens al vencimiento de la tarjeta, actualizando el PAN en el vault sin necesidad de que el cliente vuelva a introducir los datos. PCI Proxy EU soporta este proceso a través de los programas de account updater de los principales circuitos.
Preguntas frecuentes
¿Se puede invertir un token para recuperar el PAN?
No, no por cualquiera. Solo el vault que ha generado el token puede realizar la destokenización, y solo con las credenciales API autorizadas. Desde el punto de vista técnico, el token es un valor aleatorio sin relación matemática con el PAN: no existe un algoritmo inverso. Esta es la ventaja fundamental de la tokenización frente al cifrado simétrico.
¿La tokenización requiere cambios en mi checkout?
Depende de la arquitectura actual. Si tu checkout recoge los datos de tarjeta directamente, debes sustituir el formulario por una página hosted o un SDK client-side proporcionado por PCI Proxy EU. El backend debe modificarse para recibir y gestionar tokens en lugar de PAN. Si ya usas una página de pago hosted de un PSP, la integración con PCI Proxy EU puede realizarse a nivel de API sin cambios en el frontend.
¿Qué diferencia a la tokenización de red de la tokenización de pago?
La tokenización de pago (o tokenización del comerciante) genera tokens gestionados por el vault del proveedor, usados en los flujos internos del comerciante. La tokenización de red genera tokens emitidos directamente por los circuitos de tarjeta (Visa, Mastercard) asociados a un dispositivo específico. Ambas reducen el riesgo, pero operan en niveles distintos: la tokenización de pago protege los datos en el perímetro del comerciante, la tokenización de red protege la transmisión hacia el circuito.
¿Quieres implementar la tokenización en tu infraestructura de pago en poco tiempo? Descubre PCI Proxy EU.