El término "tokenização" engloba dos tecnologías distintas que operan en niveles diferentes de la cadena de pagos. La tokenização de red es gestionada por los circuitos Visa e Mastercard e substitui el PAN a nivel de transação autorizada. La tokenização de pago es gestionada por el comerciante o su fornecedor e sirve para no armazenar el PAN real en sus propios sistemas. Entender onde termina una e onde empieza la otra es esencial para construir una arquitectura de pago segura e flexible.
Tokenização de red: qué hacen Visa e Mastercard
El Visa Token Service (VTS) e el Mastercard Digital Enablement Service (MDES) sustituyen el PAN físico de la cartão por un token de red (también llamado DPAN, Device PAN) vinculado a un dispositivo, canal o comerciante específico. Este token circula en los mensajes de autorização en lugar del PAN real: el adquirente lo recibe, lo transmite al circuito e el circuito lo reconvierte internamente en el PAN antes de enviarlo al emisor. El comerciante e el adquirente nunca ven el PAN original.
Los tokens de red melhoram la tasa de autorização porque los circuitos los actualizan automáticamente quando la cartão se renueva o se reemite, sin que el comerciante tenga que actualizar sus archivos. Estão vinculados a un contexto específico (dispositivo, comerciante, canal) e no podem reutilizarse fuera de ese contexto: si são interceptados, resultan inútiles. La adopção de la tokenização de red es especialmente ventajosa para pagos recurrentes e suscripciones, onde reduz el abandono causado por vencimientos e bloqueos.
Tokenização de pago: el vault del comerciante o del fornecedor
La tokenização de pago opera en un nivel diferente: substitui el PAN en los archivos del comerciante por un token propio conservado en un vault seguro. El vault mapea cada token al PAN real e apenas lo libera en el momento de la autorização, hacia el PSP autorizado. Este enfoque elimina el PAN de la infraestrutura del comerciante e reduz drásticamente el perímetro PCI: los sistemas que apenas ven tokens no forman parte del CDE.
A diferencia de los tokens de red, los tokens vault são independientes del procesador: el mismo token pode utilizarse para autorizar con PSP diferentes, sempre que el vault sea accesible. Esto elimina el vendor lock-in típico de quien armazena PAN directamente con su gateway. Con PCI Proxy EU el vault está certificado PCI DSS Level 1 e los tokens são portables: el comerciante pode cambiar de PSP sin perder los dados de cartão de sus clientes existentes.
Quando usar una, quando la otra e por qué a menudo se precisam ambas
La tokenização de red protege la transação en tránsito, mas no resolve el problema del armazenamento del PAN para pagos futuros. Si el comerciante precisa conservar una referência a la cartão para suscripciones, compras con un clic o preautorizaciones, precisa igualmente un sistema de armazenamento seguro. En este escenario las dos tecnologías se complementan: la tokenização de red mejora la segurança de las transações en vivo, la tokenização de pago resolve el problema del armazenamento.
Para muchos comerciantes europeus, la prioridade es resolver primero el problema del ámbito PCI con una tokenização de pago robusta, e después optimizar las tasas de conversión con la tokenização de red. PCI Proxy EU se posiciona en el primer nivel: proporciona el vault para el armazenamento seguro de los PAN con tokens portables, e se integra sin conflictos con las soluciones de tokenização de red activadas por el PSP o el adquirente.
Preguntas frecuentes
La tokenização de red reemplaza a la tokenização de pago?
No, operan en niveles diferentes. La tokenização de red protege la transação en el fluxo de autorização entre el comerciante, el adquirente e el circuito. La tokenização de pago resolve el problema del armazenamento seguro del PAN en la infraestrutura del comerciante. Un comerciante que apenas usa tokenização de red sigue teniendo el PAN en su archivo, con todas las obrigações PCI que ello implica.
Los tokens de Visa e Mastercard são portables entre PSP?
No, los tokens de red estão vinculados a un contexto específico: comerciante, dispositivo e canal. No são portables entre PSP. Si un comerciante cambia de adquirente o gateway, los tokens de red emitidos previamente no são reutilizables e devem regenerarse. Esto no aplica a los tokens vault de un fornecedor como PCI Proxy EU, que são independientes del PSP.
PCI Proxy EU es compatible con la tokenização de red?
Sí. PCI Proxy EU gere el armazenamento seguro del PAN e su sustitução por tokens vault. Cuando el comerciante realiza una autorização, pode pasar el PAN al PSP que, si soporta Visa Token Service o MDES, lo convierte en un token de red para la transação. Ambas capas se integran sin conflictos.
Tokens independientes de circuito e portables entre PSP: eso es lo que ofrece PCI Proxy EU. Descubre PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nosNa prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para tokenização.