Quien gestiona un negocio de suscripción sabe que la card on file tokenization no es una opción sino una necesidad. Los modelos SaaS, las suscripciones digitales y los servicios de streaming conservan los datos de tarjeta por definición: sin un número de tarjeta almacenado, no hay renovación automática. Esto sitúa automáticamente a cualquier negocio de suscripción dentro del perímetro PCI DSS, con obligaciones precisas que muchas empresas subestiman.
El modelo de suscripción y el PCI DSS: estás automáticamente en scope
Una empresa que ofrece suscripciones y carga automáticamente la tarjeta del cliente en cada renovación conserva o tiene acceso a datos de tarjeta. Incluso si los datos los custodia el PSP, el comercio está involucrado en el flujo y sigue en scope PCI DSS para los componentes del sistema que orquestan el recurring billing, gestionan los fallos de pago, envían las notificaciones de renovación o actualizan los datos de la tarjeta. El mero hecho de usar un token del PSP no es suficiente para salir del perímetro si el sistema de billing del comercio interactúa con ese token.
Los requisitos PCI DSS para los negocios de suscripción incluyen en particular el Requisito 3 (protección de los datos de tarjeta almacenados), el Requisito 6 (seguridad de los sistemas y aplicaciones) y el Requisito 8 (identificación y autenticación de los accesos). La gestión de los tokens, los logs de las transacciones recurrentes y los sistemas de reintento de pagos fallidos deben diseñarse teniendo en cuenta estos requisitos.
Cómo la tokenización card-on-file protege tu recurring billing
Con la card-on-file tokenization, el PAN del cliente se sustituye por un token la primera vez que se registra la tarjeta. Todas las renovaciones posteriores usan el token: el sistema de billing del comercio nunca ve un número de tarjeta en claro, y el vault externo se encarga de destokenizar en el momento de la autorización con el PSP. El perímetro PCI del comercio se reduce únicamente a los sistemas que gestionan los tokens, que por definición no contienen datos sensibles.
Otra ventaja práctica es la gestión de las actualizaciones de tarjeta. Cuando un cliente recibe una nueva tarjeta (por caducidad o por sustitución), el vault puede actualizarse automáticamente a través de los servicios de account updater que ofrecen las redes (Visa Account Updater, Mastercard Automatic Billing Updater). El token permanece invariado en el sistema del comercio, pero se mapea internamente al nuevo PAN. Esto reduce los pagos fallidos por tarjeta caducada sin requerir ninguna interacción con el usuario.
Upgrade, downgrade y cancelación: gestión de tokens en la suscripción
El ciclo de vida de una suscripción es más complejo que una sola transacción: upgrade de plan, downgrade, pausa, cancelación con reembolso parcial y reactivación tras baja son todos escenarios que el sistema de billing debe gestionar. Con la tokenización, todos estos eventos operan sobre el token, no sobre el PAN. El token permanece válido durante toda la relación con el cliente, independientemente de los cambios de plan o de las condiciones comerciales.
En caso de cancelación, el token debe marcarse como inactivo en el vault pero no necesariamente eliminarse: las normativas PCI DSS y los requisitos de conservación de datos contables pueden exigir mantener el rastro de la transacción original durante un periodo mínimo. La gestión correcta del ciclo de vida del token, desde la creación hasta la desactivación, es parte integrante de un programa de cumplimiento PCI para negocios de suscripción.
Preguntas frecuentes
¿Cómo gestiono la renovación automática con un token PCI?
El sistema de billing envía al vault una solicitud de cargo usando el token asociado al cliente. El vault recupera el PAN correspondiente, lo transmite al PSP para la autorización y devuelve el resultado. El comercio recibe únicamente la confirmación de la autorización, sin ver nunca el PAN. El proceso es idéntico al de cualquier otra transacción recurrente, pero el dato de tarjeta no transita por los sistemas del comercio.
¿Qué ocurre con el token si el cliente cambia de tarjeta?
Con los servicios de account updater de las redes, el vault actualiza automáticamente el mapeo token-PAN cuando una tarjeta se renueva o se sustituye. El token en el sistema del comercio permanece invariado. Alternativamente, cuando el cliente introduce manualmente la nueva tarjeta, se genera un nuevo token que sustituye al anterior en el perfil del cliente.
¿El mandato SEPA sustituye a la card-on-file para los pagos recurrentes?
El mandato SEPA Direct Debit es una alternativa válida para los pagos recurrentes en euros, pero opera sobre IBAN, no sobre datos de tarjeta. No entra dentro del perímetro PCI DSS. Para los comercios que aceptan tanto tarjetas como SEPA, la card-on-file tokenization sigue siendo necesaria para el canal de tarjeta, mientras que los pagos SEPA siguen un camino separado fuera del perímetro PCI.
¿Gestionas un negocio de suscripción y quieres un recurring billing conforme con PCI DSS sin fricciones para tus clientes? Descubre PCI Proxy EU.