¿Qué es la tokenización de tarjeta?
Custodiamos el número de tarjeta en el vault PCI DSS y te devolvemos un token en lugar del número de tarjeta. En tus sistemas solo aparece ese token. Para el panorama completo, consulta qué es un PCI Proxy.
Nosotros tokenizamos ¿Qué es la tokenización de tarjeta?
Sustituye el número de tarjeta por un token. Parece un código cualquiera: aunque alguien lo vea, no puede obtener la tarjeta. El número real permanece en nuestro vault, no en tus servidores.
No es cifrado
Con el cifrado, el número de tarjeta sigue estando en tus sistemas. Con la tokenización, en su lugar tienes un token aleatorio. No se puede invertir sin el vault.
Menos obligaciones PCI
Si en tus sistemas solo hay el token, no el número de tarjeta, las obligaciones PCI se reducen mucho. Muchos pasan de cientos de controles (SAQ D) a pocas decenas (SAQ A).
Funciona con cualquier PSP
Usas el mismo token para suscripciones, reembolsos o cambio de procesador. No tienes que volver a pedir la tarjeta al cliente cuando cambias de proveedor.
// 1. El cliente introduce la tarjeta
// 2. En tus sistemas solo queda el token
// 3. El número de tarjeta: nunca en tus servidores
PCI DSS
Nivel 1 certificado
AES-256
Datos cifrados en el vault
100% UE
Datos solo en Europa
< 50ms
Respuesta media de la API
Tres tipos de token comparados
Token de red, token de pasarela y token PCI Proxy no son lo mismo. Difieren en portabilidad, obligaciones PCI y libertad para elegir el procesador.
| Característica | Token de Red | Token de Pasarela | Token PCI Proxy RECOMENDADO |
|---|---|---|---|
| Emitido por | Circuitos (Visa, Mastercard) | Tu PSP / pasarela | PCI Proxy (independiente) |
| Portabilidad PSP | Solo circuito | No, quedas ligado al proveedor | Cualquier PSP |
| Actualizaciones automáticas de tarjeta | Sí, actualización automática | Depende de la pasarela | Sí |
| Reduce obligaciones PCI | Poco | Poco | Mucho |
| Válido también por teléfono | Solo e-commerce | Solo e-commerce | E-commerce, teléfono, API |
Cómo puede ser un token
El formato depende de cómo quieras usarlo en tu gestión o base de datos. Te ayudamos a elegir el más adecuado.
// Número de tarjeta original
"4111 xxxx xxxx 1234"
// Token de salida
"4111 8273 6540 1234"
↑ misma forma, dígitos centrales cambiados
Misma forma que el número de tarjeta
Tiene la misma longitud que el número de tarjeta. Puedes guardarlo en las columnas que ya usas, sin cambiar la base de datos.
// Número de tarjeta original
"5412 7512 3456 7890"
// Token de salida
"tok_eu_a3f9b2c14d8e"
↑ prefijo + cadena aleatoria
Código aleatorio
Cadenas del tipo tok_eu_ sin relación con el número de tarjeta. Más difícil detectar patrones o adivinar algo.
// Número de tarjeta original (19 dígitos)
"3714 496353 98431"
// Primeros dígitos para el circuito
"3714 4963 7f2a 9c1b 8e4d"
↑ sabes que es Visa o Mastercard, el resto es aleatorio
Primeros dígitos para el circuito
Conservas los primeros dígitos para saber si es Visa, Mastercard y similares. El resto es aleatorio y seguro.
Dónde custodiamos la tarjeta
Aquí guardamos la correspondencia entre token y número de tarjeta. Está aislado, cifrado y certificado PCI DSS Nivel 1. Tú no lo gestionas: nos encargamos nosotros.
Capa 1
Segmentación de Red
Red separada del resto. Sin acceso directo desde internet. Menor superficie de ataque.
Capa 2
Datos cifrados en reposo
Cada número de tarjeta se cifra antes de guardarse. Las claves permanecen en hardware dedicado, nunca expuestas en claro.
Capa 3
Claves protegidas
Rotación automática de claves. Acceso solo para quien lo necesita realmente, con doble control.
Capa 4
Accesos trazados
Cada operación sobre el vault queda registrada: quién, cuándo, desde dónde. Logs inmutables para las auditorías PCI.
Datos solo en la UE
Todo permanece en centros de datos europeos. Los datos de tarjeta no salen de la Unión Europea. Cumplimiento GDPR y requisitos de los bancos europeos.
El mismo token con cualquier procesador
Nuestros tokens no están ligados a Stripe, Adyen ni Redsys. Los usas con quien quieras, cuando quieras.
1 Token
Un token, todos los procesadores que necesites
∞
PSP soportados
0
Tarjetas a solicitar de nuevo
100%
Portabilidad
Cambia de PSP sin volver a pedir la tarjeta
Cero interrupcionesPasas a otro procesador por mejores costes o tasas: los tokens siguen siendo válidos. No pierdes las tarjetas ya guardadas.
Varios procesadores, un solo token
RoutingEnvías el pago al PSP que prefieras por región o circuito. El número de tarjeta lo recuperamos nosotros solo en el momento del pago.
Suscripciones y pagos recurrentes
Tarjeta actualizadaGuardas el token en el primer pago y lo reutilizas cada mes. Aunque la tarjeta se renueve, el token sigue siendo válido.
Reembolsos y contracargos
TrazabilidadUsas el mismo token para reembolsar, aunque el pago original fuera en otro PSP. Todo registrado para auditorías y disputas.
Cuando se necesita el número de tarjeta
Solo quien está autorizado puede recuperar la tarjeta del vault, y solo cuando realmente se necesita. Cada acceso queda registrado.
4
Niveles activos
0
Accesos no autorizados
Permisos por rol
Acceso mínimoSolo las claves API con permiso explícito pueden recuperar el número de tarjeta. Sin accesos predeterminados.
Solo IPs aprobadas
RedLas solicitudes solo parten de direcciones que has autorizado. El resto se bloquea y se notifica.
Ventana de tiempo breve
Tiempo limitadoEl permiso dura pocos segundos. Una vez expirado, se necesita una nueva solicitud autenticada.
Log de cada acceso
AuditoríaRegistramos quién solicitó la tarjeta, cuándo y desde dónde. Logs conservados para las auditorías PCI.
Token de red vs token PCI Proxy
No todos los tokens son iguales. La elección cambia las obligaciones PCI, la libertad para cambiar de PSP y los canales que puedes usar.
Menos obligaciones PCI · token de red
~30%
Menos obligaciones PCI · PCI Proxy
hasta el 95%
Portabilidad PSP
∞ PSP
| Dimensión | Token de Red (Visa/MC) | Token PCI Proxy RECOMENDADO |
|---|---|---|
| Emitido por | Circuitos de pago (Visa, Mastercard) | PCI Proxy (independiente) |
| Dónde actúa | Solo en las transacciones Visa/Mastercard | En tus sistemas: en lugar del número de tarjeta |
| Portabilidad PSP | Dependiente del circuito | Cualquier PSP |
| Reduce obligaciones PCI | Poco | Mucho |
| Funciona por teléfono | No | Sí |
| Almacenamiento | Vault del circuito | Vault elegido por ti (UE) |
Preguntas frecuentes
Tokenización, cifrado, vault y cambio de PSP: respuestas breves.
01 ¿Cuál es la diferencia entre tokenización y cifrado?
Con el cifrado, el número de tarjeta sigue estando en tus sistemas: con la clave correcta se puede recuperar. La tokenización lo sustituye por un token aleatorio que no se puede invertir sin el vault. Para el PCI, los datos cifrados siguen siendo datos de tarjeta; los tokens bien implementados, no.
02 ¿Puedo reutilizar los tokens con distintos PSP?
Con los tokens de pasarela quedas ligado a un solo PSP: si cambias de proveedor, debes volver a pedir la tarjeta al cliente. Con PCI Proxy usas el mismo token con cualquier procesador. Cambias de proveedor sin perder las tarjetas ya guardadas.
03 ¿Cómo protege el vault los datos de tarjeta guardados?
La tarjeta permanece en nuestro vault certificado PCI DSS Nivel 1, cifrada y protegida. Solo quien tenga las credenciales correctas puede recuperarla, y cada acceso queda registrado. Los datos permanecen en la UE, monitorizados 24 horas al día.
¿Listo para usar tokens en lugar del número de tarjeta?
Descubre cómo integrar PCI Proxy en tus flujos de pago, o consulta cómo reduce las obligaciones PCI.