El panorama de la tokenização está mais fragmentado que nunca. Por un lado, los esquemas internacionales como Visa e Mastercard han lanzado sus propios serviços de tokenização, Visa Token Service (VTS) e Mastercard Digital Enablement Service (MDES). Por otro, soluciones a nivel de infraestrutura como PCI Proxy ofrecen una tokenização independiente de los PSP que opera de forma completamente autónoma respecto a cualquier esquema de pago. Ambos enfoques sustituyen los dados sensíveis de cartão por tokens no sensíveis, mas lo hacen en niveles diferentes del stack de pagos, por razones diferentes e con implicaciones diferentes para tu arquitectura.
Comprender esta distinção es fundamental para cualquier comércio europeu o fornecedor de serviços de pago que construya una estratégia a largo plazo para la gestão de dados de cartão. Elegir el enfoque equivocado, o no reconocer que ambos podem coexistir, pode llevar a un lock-in innecesario, mayores custos de integração u oportunidades perdidas para mejorar las tasas de aprobação.
- Los tokens de red (Visa/Mastercard) viven en la infraestrutura del esquema e melhoram las tasas de aprobação; los tokens PCI Proxy viven en el vault del fornecedor e reducen el âmbito PCI.
- Los tokens de red são específicos del PSP e se desplazan con la relação con el adquirente; los tokens PCI Proxy são agnósticos al PSP, permitiendo cambiar de adquirente sin recopilar nuevamente los dados de cartão.
- La estratégia óptima combina ambos: un token PCI Proxy para conformidade e portabilidade, con tokenização de red superpuesta para mejores tasas de aprobação.
Qué es la Tokenização de Red?
La tokenização de red es un serviço a nivel de esquema proporcionado directamente por las redes de pago. El Visa Token Service (VTS) e el Mastercard Digital Enablement Service (MDES) são las dos implementaciones principales en Europa. El concepto básico es simple: el propio esquema emite un token que remite al Primary Account Number (PAN) del titular dentro de la infraestrutura del esquema.
El proceso comienza con un Token Requestor, tipicamente un comércio, un fornecedor de wallet o un facilitador de pagos, que se registra en el esquema e solicita un token para una cartão específica. El esquema valida la cartão con el banco emisor, genera un token e lo devuelve junto con un criptograma dinámico que deve acompañar a cada transação. Este criptograma es único por transação e vincula el token a un dominio específico (ecommerce, in-app o contactless), impidiendo el uso indebido en caso de interceptação.
El Ciclo de Vida del Token
Los tokens de red têm un ciclo de vida gestionado. Cuando la cartão subyacente se reemite, por validade, pérdida o compromiso, el esquema actualiza automáticamente el mapeo del token através de serviços como Visa Account Updater (VAU) o Mastercard Automatic Billing Updater (ABU). Esto significa que las transações recurrentes continúan sin interrupciones, reduciendo el churn involuntario para los negocios con modelos de subscrição. El token en sí permanece estable; apenas cambia el mapeo PAN en segundo plano.
Las restricciones de dominio añaden una capa adicional de control. Un token aprovisionado para ecommerce no pode utilizarse para pagos contactless en tienda e viceversa. Esto limita el radio de acção de un compromiso del token e ofrece a los emisores un control granular sobre como e onde se usan sus cartões en forma tokenizada.
Qué São los Tokens PCI Proxy?
Los tokens PCI Proxy operan a nivel de infraestrutura, completamente independientes de los esquemas de pago. Cuando un número de cartão entra en tu ecossistema, através de un formulário de checkout, un agente de call center, una API de reservas o cualquier otro canal, PCI Proxy intercepta el PAN antes de que llegue a tus servidores, lo substitui por un token generado aleatoriamente e armazena el original de forma segura en un vault isolado, certificado PCI DSS Level 1, alojado en centros de dados europeus.
El token en sí pode ser format-preserving (manteniendo la misma longitud e estructura numérica del PAN original, conservando opcionalmente los primeros seis e últimos cuatro dígitos) u opaco (una cadena alfanumérica con prefijo como tok_9f8e7d6c5b4a). En ambos casos, el token no tem ningún valor explotable fuera del vault PCI Proxy. Tus sistemas almacenan, transmiten e procesan apenas el token, nunca los dados brutos de cartão.
La característica distintiva de la tokenização PCI Proxy es el agnosticismo respecto al PSP. El token no está vinculado a Visa, Mastercard ni a ningún procesador de pagos específico. Cuando necesitas cobrar la cartão, PCI Proxy detokeniza e reenvia el PAN real a cualquier PSP designado, Adyen, Stripe, Worldline, Nexi o cualquier otro fornecedor. Puedes cambiar de PSP, enrutar hacia múltiples procesadores simultáneamente o añadir nuevos adquirentes sin necesidade de solicitar nuevamente los dados de cartão a tus clientes.
Comparação Detallada
La siguiente tabla destaca las diferencias principales entre tokens de red e tokens PCI Proxy en las dimensiones mais importantes para las empresas europeas:
| Característica | Token de Red | Token PCI Proxy |
|---|---|---|
| Emisor | Esquema (Visa, Mastercard) | Plataforma PCI Proxy |
| Âmbito | Específico del esquema (Visa O Mastercard) | Agnóstico al PSP, todas las marcas |
| Tasas de aprobação | Mais altas (confianza del emisor) | Neutro (pasa el PAN real al PSP) |
| Reducção âmbito PCI | Parcial | Completa |
| Portabilidade cross-PSP | No | Sí |
| Uso en MOTO | Limitado | Sí |
| Complejidade de implementação | Alta (registro esquema, criptogramas) | Baja (REST API) |
Quando Usar la Tokenização de Red
La tokenização de red ofrece el máximo valor en los escenarios en los que la confianza del emisor impacta directamente en tus receitas. Dado que el token es emitido por el propio esquema, los bancos emisores lo reconocen como una credencial verificada. Este reconocimiento se traduce tipicamente en tasas de autorização mais altas: algunos comerciantes reportan mejoras del 2-5%, que podem representar receitas significativos para operaciones ecommerce de alto volumen.
Los tokens de red destacan também en los escenarios card-on-file onde la gestão automática del ciclo de vida de la cartão es esencial. Los negocios con suscripciones, por ejemplo, se benefician de las actualizaciones automáticas de cartão proporcionadas por VTS e MDES. Cuando el banco del titular reemite la cartão, el mapeo del token de red se actualiza automáticamente, evitando cargos recurrentes fallidos e reduciendo el churn involuntario.
Ideal para
Comerciantes ecommerce de alto volumen que procesan principalmente através de un único adquirente, plataformas de subscrição que buscan maximizar las tasas de éxito card-on-file e fornecedores de wallets digitales que exigem restricciones de dominio a nivel de esquema.
Quando Usar Tokens PCI Proxy
La tokenização PCI Proxy es la elecção correcta quando tu prioridade es la flexibilidade arquitectónica e la eliminação completa del âmbito PCI. Si enrutas transações hacia múltiples PSP, para optimização geográfica, reducção de custos o redundancia, los tokens de red no te ayudarán, porque são específicos del esquema e no podem detokenizarse e enviarse a un procesador arbitrario. Los tokens PCI Proxy, por el contrario, funcionan con cualquier PSP downstream porque la detokenização ocurre a nivel de proxy, no a nivel de esquema.
PCI Proxy es também la solução natural para los ambientes MOTO, onde el suporte para tokenização de red es limitado. Call centers, agencias de viajes e oficinas de encomendas B2B que recopilan dados de cartão por telefone podem usar PCI Proxy para tokenizar el PAN en el punto de captura, garantizando que ningún sistema en su infraestrutura almacene o procese nunca números de cartão en bruto. Esto reduz el âmbito PCI de SAQ D (mais de 300 controles) a SAQ A o SAQ A-EP (menos de 30 controles).
Además, la tokenização PCI Proxy es valiosa para cualquier empresa que necesite preparar su stack de pagos para el futuro. Cambiar de PSP ya no es una pesadilla de migração: los tokens siguen siendo válidos independientemente del procesador al que enrutas, e nunca tendrás que pedir a los clientes que reintroduzcan los dados de cartão.
Usarlos Juntos
La tokenização de red e la tokenização PCI Proxy no se excluyen mutuamente; de hecho, las arquitecturas de pagos mais sofisticadas en Europa las utilizan ambas en una estratégia complementaria. La idea es superponer los beneficios: usar PCI Proxy para eliminar completamente los dados de cartão de la propia infraestrutura, e luego aplicar los tokens de red a nivel transaccional para aumentar las tasas de aprobação con los emisores.
En la práctica, funciona así: los dados de cartão entran en tu ecossistema e são inmediatamente tokenizados por PCI Proxy. Tus sistemas almacenan e referencian apenas el token PCI Proxy. Cuando se inicia una transação, PCI Proxy detokeniza el PAN y, antes de reenviarlo al PSP adquirente, solicita un token de red a Visa o Mastercard. El PSP envía la transação usando el token de red e el criptograma correspondiente, obteniendo los beneficios en tasas de aprobação de la tokenização a nivel de esquema. Tu infraestrutura nunca ve el PAN real e nunca gere el aprovisionamiento de tokens de red: PCI Proxy gere ambas capas.
El enfoque por capas
La tokenização PCI Proxy elimina los dados de cartão de tu âmbito. La tokenização de red mejora las tasas de autorização a nivel de esquema. Juntas ofrecen máxima segurança, máxima flexibilidade e máximo desempenho de aprobação, sin añadir complejidade a tus sistemas.
Conclusão
La tokenização de red e la tokenização PCI Proxy resuelven problemas diferentes en niveles diferentes. Los tokens de red optimizan la transação en sí, mejorando las tasas de aprobação, habilitando las actualizaciones automáticas de cartão e proporcionando segurança con restricciones de dominio. Los tokens PCI Proxy optimizan tu infraestrutura, eliminando los dados de cartão de tu ambiente, permitiendo el enrutamiento multi-PSP e eliminando el lock-in.
Para los comerciantes e PSP europeus, la pregunta raramente es "cuál debo usar?" sino mais bien "como puedo combinarlos eficazmente?". Una arquitectura de tokenização bien diseñada utiliza PCI Proxy como capa fundamental, garantizando que los dados brutos de cartão nunca toquen tus sistemas, e luego aplica los tokens de red onde ofrecen un valor medible, especialmente para los fluxos ecommerce de alto volumen onde cada punto porcentual en las tasas de aprobação cuenta.
Ya sea que estés construyendo una nueva plataforma de pagos o modernizando una existente, entender estos dos enfoques, e como se complementan, es esencial para tomar decisiones arquitectónicas informadas.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos