La tokenización card on file es el método mediante el cual los datos de tarjeta de un cliente se sustituyen por un token reutilizable para cargos futuros, sin que el PAN real se conserve nunca en los sistemas del comerciante. Para quien gestiona suscripciones, planes recurrentes o pagos bajo autorización, esta tecnología no es una opción: es la forma de mantenerse conforme con el PCI DSS sin tener que construir un vault interno. Los riesgos del almacenamiento directo de los datos de tarjeta son demasiado elevados y los trámites demasiado onerosos para justificar cualquier alternativa.
Qué significa "card on file" y por qué es arriesgado
Un dato de tarjeta se define "card on file" cuando se conserva con la intención de reutilizarlo para transacciones futuras sin que el titular tenga que volver a introducir sus datos. Este escenario es típico de los servicios de suscripción, las plataformas SaaS, los e-commerce con opción de pago rápido y los marketplaces que facturan de forma recurrente. Desde el punto de vista del PCI DSS, almacenar un PAN aunque sea solo un segundo después de la autorización convierte al sistema en un componente del CDE sujeto a todos los requisitos de seguridad.
Los riesgos concretos del almacenamiento directo son dos: el riesgo técnico de una brecha que exponga miles o millones de números de tarjeta, y el riesgo de cumplimiento que se traduce en sanciones, costes forenses y posible pérdida de la capacidad de procesar pagos. Ninguna ventaja operativa justifica mantener los PAN en las propias bases de datos cuando existen alternativas seguras y certificadas.
Cómo funciona la tokenización para pagos recurrentes
En el modelo de tokenización card on file, el flujo funciona de este modo: el cliente introduce los datos de tarjeta una sola vez a través de un formulario seguro o una página hosted certificada PCI DSS. Esos datos se envían directamente al vault del proveedor de tokenización, que devuelve al comerciante un token único y persistente. A partir de ese momento, el comerciante utiliza solo el token para solicitar cargos futuros: el vault recupera el PAN real, lo envía al circuito y devuelve solo la respuesta de autorización.
El token puede configurarse para ser válido durante un período específico, vinculado a un único comerciante o a un importe máximo único. Esta granularidad permite construir arquitecturas de pago recurrente flexibles sin exponer nunca los datos de tarjeta en los propios sistemas. El vault de PCI Proxy EU gestiona esta lógica con API estándar, compatibles con los principales PSP europeos.
Obligaciones PCI DSS para quien almacena datos de tarjeta
Quien almacena PAN debe satisfacer los 12 requisitos PCI DSS en su perímetro completo. Esto incluye el cifrado de los datos en reposo con claves gestionadas por separado, el control de accesos granular, el logging completo de cada operación sobre los datos de tarjeta, el vulnerability scanning trimestral y el penetration test anual sobre todo el CDE. Para una PYME, esto se traduce en costes de cumplimiento que pueden superar los 30.000 euros al año.
Con la tokenización card on file, el comerciante sale del perímetro de almacenamiento de PAN. Permanecen en el ámbito solo los sistemas que transmiten los tokens y reciben las respuestas de autorización, que son mucho menos críticos desde el punto de vista del PCI DSS. El resultado es un perímetro reducido, un SAQ más sencillo y costes de cumplimiento significativamente menores.
Preguntas frecuentes
¿La tokenización card on file es diferente del cifrado?
Sí. El cifrado transforma el PAN en un dato cifrado que puede descifrarse con la clave correcta: el riesgo permanece en el sistema que gestiona las claves. La tokenización sustituye el PAN por un valor aleatorio sin relación matemática con el dato original: aunque el token sea interceptado, no es posible recuperar el PAN sin acceder al vault.
¿Con los tokens puedo igualmente cargar al cliente en el futuro?
Sí. El token es persistente y reutilizable para todos los cargos futuros autorizados. El comerciante envía al vault el token junto con el importe y las instrucciones de cargo; el vault ejecuta la transacción con el PAN real y devuelve solo la respuesta de autorización. El cliente no necesita volver a introducir los datos de tarjeta para ningún cargo posterior al primero.
¿Qué ocurre si mi PSP quiebra o cambio de proveedor?
Con PCI Proxy EU, el vault es independiente del PSP: los tokens son portables y pueden utilizarse con cualquier adquirente soportado. Si cambias de proveedor de pago, no tienes que pedir a los clientes que vuelvan a introducir los datos de tarjeta. Esta es una de las ventajas clave de un vault agnóstico frente a los tokens propietarios de cada PSP.
¿Gestionas suscripciones o pagos recurrentes y quieres eliminar los PAN de tu infraestructura? Descubre PCI Proxy EU.