El término "tokenización" engloba dos tecnologías distintas que operan en niveles diferentes de la cadena de pagos. La tokenización de red es gestionada por los circuitos Visa y Mastercard y sustituye el PAN a nivel de transacción autorizada. La tokenización de pago es gestionada por el comerciante o su proveedor y sirve para no almacenar el PAN real en sus propios sistemas. Entender dónde termina una y dónde empieza la otra es esencial para construir una arquitectura de pago segura y flexible.
Tokenización de red: qué hacen Visa y Mastercard
El Visa Token Service (VTS) y el Mastercard Digital Enablement Service (MDES) sustituyen el PAN físico de la tarjeta por un token de red (también llamado DPAN, Device PAN) vinculado a un dispositivo, canal o comerciante específico. Este token circula en los mensajes de autorización en lugar del PAN real: el adquirente lo recibe, lo transmite al circuito y el circuito lo reconvierte internamente en el PAN antes de enviarlo al emisor. El comerciante y el adquirente nunca ven el PAN original.
Los tokens de red mejoran la tasa de autorización porque los circuitos los actualizan automáticamente cuando la tarjeta se renueva o se reemite, sin que el comerciante tenga que actualizar sus archivos. Están vinculados a un contexto específico (dispositivo, comerciante, canal) y no pueden reutilizarse fuera de ese contexto: si son interceptados, resultan inútiles. La adopción de la tokenización de red es especialmente ventajosa para pagos recurrentes y suscripciones, donde reduce el abandono causado por vencimientos y bloqueos.
Tokenización de pago: el vault del comerciante o del proveedor
La tokenización de pago opera en un nivel diferente: sustituye el PAN en los archivos del comerciante por un token propio conservado en un vault seguro. El vault mapea cada token al PAN real y solo lo libera en el momento de la autorización, hacia el PSP autorizado. Este enfoque elimina el PAN de la infraestructura del comerciante y reduce drásticamente el perímetro PCI: los sistemas que solo ven tokens no forman parte del CDE.
A diferencia de los tokens de red, los tokens vault son independientes del procesador: el mismo token puede utilizarse para autorizar con PSP diferentes, siempre que el vault sea accesible. Esto elimina el vendor lock-in típico de quien almacena PAN directamente con su gateway. Con PCI Proxy EU el vault está certificado PCI DSS Level 1 y los tokens son portables: el comerciante puede cambiar de PSP sin perder los datos de tarjeta de sus clientes existentes.
Cuándo usar una, cuándo la otra y por qué a menudo se necesitan ambas
La tokenización de red protege la transacción en tránsito, pero no resuelve el problema del almacenamiento del PAN para pagos futuros. Si el comerciante necesita conservar una referencia a la tarjeta para suscripciones, compras con un clic o preautorizaciones, necesita igualmente un sistema de almacenamiento seguro. En este escenario las dos tecnologías se complementan: la tokenización de red mejora la seguridad de las transacciones en vivo, la tokenización de pago resuelve el problema del almacenamiento.
Para muchos comerciantes europeos, la prioridad es resolver primero el problema del ámbito PCI con una tokenización de pago robusta, y después optimizar las tasas de conversión con la tokenización de red. PCI Proxy EU se posiciona en el primer nivel: proporciona el vault para el almacenamiento seguro de los PAN con tokens portables, y se integra sin conflictos con las soluciones de tokenización de red activadas por el PSP o el adquirente.
Preguntas frecuentes
¿La tokenización de red reemplaza a la tokenización de pago?
No, operan en niveles diferentes. La tokenización de red protege la transacción en el flujo de autorización entre el comerciante, el adquirente y el circuito. La tokenización de pago resuelve el problema del almacenamiento seguro del PAN en la infraestructura del comerciante. Un comerciante que solo usa tokenización de red sigue teniendo el PAN en su archivo, con todas las obligaciones PCI que ello conlleva.
¿Los tokens de Visa y Mastercard son portables entre PSP?
No, los tokens de red están vinculados a un contexto específico: comerciante, dispositivo y canal. No son portables entre PSP. Si un comerciante cambia de adquirente o gateway, los tokens de red emitidos previamente no son reutilizables y deben regenerarse. Esto no aplica a los tokens vault de un proveedor como PCI Proxy EU, que son independientes del PSP.
¿PCI Proxy EU es compatible con la tokenización de red?
Sí. PCI Proxy EU gestiona el almacenamiento seguro del PAN y su sustitución por tokens vault. Cuando el comerciante realiza una autorización, puede pasar el PAN al PSP que, si soporta Visa Token Service o MDES, lo convierte en un token de red para la transacción. Ambas capas se integran sin conflictos.
Tokens independientes de circuito y portables entre PSP: eso es lo que ofrece PCI Proxy EU. Descubre PCI Proxy EU.