Tokenización

La tokenización es un proceso de seguridad que reemplaza la información sensible de una tarjeta (como el PAN, la fecha de caducidad y el CVV) con un identificador único generado aleatoriamente, conocido como token. Este token no tiene ningún valor fuera del sistema específico para el que fue creado y no puede ser usado para realizar transacciones fraudulentas en caso de ser interceptado.

Las principales ventajas de la tokenización son:

Seguridad mejorada: como el token no tiene valor fuera del sistema, se reduce significativamente el riesgo de fraude si la información es interceptada.
Cumplimiento normativo: ayuda a las empresas y comercios a cumplir con los estándares de seguridad de la industria de pagos, como PCI DSS.
Reducción del riesgo de violaciones de datos: dado que los datos reales de la tarjeta no se almacenan en los sistemas del comerciante, las violaciones de datos se vuelven menos críticas y menos dañinas.

Credential on File (COF)

Una operación COF, denominada Credential on File o Card on File, es una transacción en la que el comercio está haciendo uso de los datos de la tarjeta del titular (PAN o PAN tokenizado y fecha de caducidad), habiendo dicho titular dado autorización explícita al comercio para almacenarlos y para utilizarlos en esa transacción y posteriores. Una transacción COF puede ser iniciada por el titular o iniciada por el comercio como resultado de un acuerdo entre titular y comercio. A la hora de realizar operativa COF, debes identificar en qué casuística quieres operar:

Quieres que la referencia la genere y gestione Redsýs: En ese caso, deberás solicitar en la llamada al TPV Virtual que se genere una referencia, que se guardará en los servidores de Redsýs. En este caso, no tendrás que preocuparte de cumplir PCI-DSS para almacenar las referencias en una base de datos de tu comercio. Estas referencias estarán ligadas a tu comercio, tal y como se explica más adelante en el apartado de «consideraciones sobre la tokenización». En las operaciones sucesivas, enviarás la referencia que generó el TPV Virtual en la operación inicial.
Quieres guardar los datos de tarjeta y gestionar la operativa COF tú mismo: Para ello no hará falta que solicites al TPV Virtual que genere referencia, pero tendrás que cumplir rigurosamente la normativa PCI-DSS para almacenar los datos de la tarjeta de tus clientes. En las operaciones sucesivas, no enviarás la referencia, sino los datos de la tarjeta guardados previamente en el servidor de tu comercio tras la primera operación.

Esta operativa y su correcta identificación cobra especial importancia con la aplicación de la PSD2 para todos los pagos iniciados por el comercio sin participación del titular (Merchant Initiated Transaccions – MIT), ya que son operaciones que no se pueden autenticar y, si no se identifican correctamente, pueden ser denegadas por los emisores de tarjetas.

Tipos de operativas COF

Es necesario tener en cuenta si la operación se trata de la primera operación COF, es decir, de la solicitud y almacenamiento de credenciales; o es posterior, es decir, que vas a usar dichas credenciales guardadas anteriormente. Además, debes saber qué tipo de operación vas a realizar:

Tipo de COF	Valor
Installments	I
Recurring	R
Reauthorisation	H
Resubmission	E
Delayed	D
Incremental	M
No Show	N
Otras	C

Valor que hay que indicar en el campo Ds_Merchant_COF_INI *

(*): Verás el uso de este parámetro más adelante, según la operativa que quieras utilizar.

Operativas principales.
- Installments / Pago aplazado: Siempre referido a una compra individual, el importe de las transacciones tiene que ser fijo, y con un intervalo de tiempo definido.
- Recurring / Pago recurrente: El importe de las transacciones puede ser variable, pero el intervalo de tiempo tiene que ser definido.
Operativas especiales.
- Reauthorisation: Normalmente se realiza ante envíos parciales o cuando el cliente aplía el servicio pagado (estancia de hotel, alquiler de vehículo, …) o cuando habiendo una autorización estimada, se solicita el importe final.
- Resubmission: Usada cuando la original se ha denegado por «saldo». Sólo puede usarse en ciertos sectores de actividad, deberás revisar la normativa de las marcas para obtener más información.
- Delayed: Cargos que se realizan con posterioridad a la operación principal por los servicios prestados, como por ejemplo uso del minibar en una estancia de hotel o daños al vehículo que se ha alquilado.
- Incremental: Usado cuando en el servicio contratado se incurren en gastos adicionales no contemplados en la operación principal.
- No Show: Tipo utilizado cuando el comercio cobra los servicios que el titular contrató pero a los que finalmente no se presentó o no usó, como por ejemplo una reserva de hotel que no se canceló.

Proceso de generación del Token

Según el tipo de operativa que quieras realizar, deberás seguir un proceso u otro, que se explicarán más adelante; pero a grandes rasgos, el procedimiento de generación de un token es el siguiente:

Solicitud de la transacción: cuando se realiza una compra en línea y el cliente decide que quiere guardar la información de su tarjeta, éste introduce los datos de tarjeta de manera normal y dichos datos se envían de manera segura al proveedor de servicios de pago.
Generación del token: el proveedor toma la información de la tarjeta y crea un token único asociado a dicha información. Este número aleatorio reemplazará a la tarjeta en operaciones sucesivas.
Almacenamiento seguro: el proveedor de servicios de pago devolverá el token junto con el resultado de la operación original. Ahora, podrás guardar este token junto con la información del cliente para mostrarle sólo a él la opción para pagar con dicha tarjeta.
Próximas transacciones: cuando el cliente deba realizar otra transacción, ahora se podrá usar su token para saltar el proceso de introducción de datos de la tarjeta. Este token sólo funciona con tu comercio y tu terminal, para cualquier otra combinación, es inválido.

Aplicación de la tokenización a la industria de pagos

Tal y como se ha explicado, la tokenización tiene un uso muy importante aplicada al proceso de pago: poder almacenar la información de pago de un cliente de manera segura y sin riesgo a que esta pueda filtrarse. Cuando es posible guardar la información de pago del cliente, el proceso de compra se puede agilizar drásticamente y, además, surgen nuevas funcionalidades.

Customer Initiated Transactions

Operaciones iniciadas por el Cliente (CIT)

Este tipo de operaciones son aquellas en las que el titular está activamente involucrado en la operación. Puede ser cualquier tipo de operación incluida en la operativa habitual, pero en el ámbito de la tokenización, son aquellas en las que se crea el token o se usa uno que se creó anteriormente. Esto es muy usado, por ejemplo, para permitir operativa de pago en un clic.

Merchant Initiated Transactions

Operaciones iniciadas por el Comercio (MIT)

En este tipo de operaciones, la transacción se realiza cuando el cliente no está presente. Para este tipo de transacción, es necesario haber creado un token previamente cuando el cliente sí estaba presente, de lo contrario no se podría utilizar esta operativa. Este tipo de operativa suele ser utilizada para el pago de suscripciones, entre otros usos.