¿Cómo funciona la tokenización?

La tokenización es una de las medidas de seguridad más populares que los comerciantes, procesadores de pagos y bancos utilizan para proteger la información financiera y personal confidencial de los delincuentes.

Esta tecnología de prevención del fraude comparte alguno similitudes con el cifrado de datos. Ambos se emplean por muchas de las mismas razones, especialmente en la lucha en curso contra:

  • Fraude de pago
  • Violaciones de datos
  • Ciberataques

Sin embargo, la tokenización difiere del cifrado estándar en varios formas clave. Antes de tejer esta tecnología de seguridad en su entorno de pago, es importante comprender:

  • ¿Qué es la tokenización de tarjetas de crédito?
  • Cómo la tokenización mantiene los datos seguros
  • La anatomía de una transacción tokenizada
  • En qué se diferencia la tokenización del cifrado
  • Las principales ventajas de la tokenización

Comencemos.

¿Qué es la tokenización?

En pocas palabras, la tokenización es una medida de prevención de fraude diseñada para proteger credenciales de pago confidenciales, tales como:

  • Números de tarjetas de crédito
  • Nombres de los titulares de tarjetas
  • Fechas de caducidad
  • Códigos CVV
  • Números de cuentas bancarias

La tokenización logra esto sustituyendo todos los detalles de pago de un usuario con ID no específicos conocidos como «tokens». Cada uno de estos tokens se genera aleatoriamente cuando un cliente proporciona su información de pago en el punto de venta (POS). Por diseño, no hay una relación clara entre los detalles de pago del usuario y los tokens resultantes.

Por ejemplo, un número de tarjeta de crédito como 4331-1244-5658-8762 podría convertirse en un valor tokenizado mucho más corto como B7f6%3fhTu.

Solo la pasarela de pago del comerciante puede hacer coincidir este token con el número de tarjeta de crédito original del cliente. Es ilegible para cualquier otra persona (incluido el comerciante). Incluso si un token es interceptado a mitad del tránsito a través de una red no segura, los delincuentes no pueden aplicar ingeniería inversa a la información de pago del cliente. El token es inútil para ellos y no se puede usar para realizar compras.

La tokenización también permite al comerciante almacenar de forma segura los detalles de pago de un usuario (en forma de token) para fines de seguimiento interno e informes. Solo el token generado aleatoriamente permanece en el entorno de pago del comerciante, no el número de cuenta del cliente. Una vez más, incluso si esta información cae en las manos equivocadas, es inutilizable por cualquier otra persona.

¿Cómo funciona la tokenización (en la práctica)?

Ahora tenemos una visión general del proceso de tokenización. Dicho esto, ayuda a ver visualmente cómo funciona esta tecnología de prevención de fraude. en la práctica al aceptar tarjetas de crédito u otras formas de pago en persona o en línea.

A continuación se muestra una transacción de muestra que lo guía a través del proceso, paso a paso.

Anatomía de una transacción con tarjeta de crédito tokenizada

  • Cuando un cliente proporciona sus datos de pago (ya sea en un terminal POS o a través de un formulario de pago en línea), cada punto de datos se sustituye por un token generado aleatoriamente.
  • En la mayoría de los casos, la pasarela de pago del comerciante es responsable de crear estas identificaciones aleatorias.
  • A continuación, la información tokenizada se cifra antes de enviarse a través de las redes al procesador de pagos del comerciante. La información original de la tarjeta de crédito se almacena de forma segura en la bóveda de «tokens» de la pasarela de pago. Es el solamente componente que puede asignar este token a los datos de pago subyacentes.
  • El proveedor del comerciante vuelve a cifrar la información antes de enviar estos detalles de pago a través de la tarjeta o las redes ACH para su verificación.
  • Si la autorización se lleva a cabo, la confirmación de la venta se envía a través de la tarjeta o las redes ACH a todas las partes relevantes, incluido el procesador de pagos, la pasarela de pago, el comerciante y el cliente.

¿En qué se diferencia la tokenización del cifrado?

La tokenización y el cifrado a menudo se consideran similares, en parte porque sirven para el mismo propósito, es decir, la seguridad de los datos de pago; sin embargo, no son intercambiables. Cómo proporcionar esta seguridad es diferente.

La mayoría de las tecnologías de cifrado (como el cifrado punto a punto) utilizan algoritmos para codificar datos confidenciales antes de enviar esta información a través de redes no seguras. Las matemáticas detrás de este proceso de conversión son complejas. Aquellos que tienen en sus manos el algoritmo pueden decodificar la información original. De hecho, pueden realizar ingeniería inversa cualquier datos que han sido cifrados por ese algoritmo específico. Es como tener un anillo decodificador maestro.

Por el contrario, la tokenización crea una sustitución generada aleatoriamente que no se parece en nada a los datos originales. Esto hace que sea imposible adivinar o hackear la información de pago del usuario. Solo alguien con acceso al almacén de tokens puede asignar los dos valores entre sí.

Muchos comerciantes están confundidos acerca de cuál de estas tecnologías ofrece la mayor protección, tokenización o cifrado, pero en realidad no es una decisión de uno u otro. Estas dos soluciones de prevención de fraude se complementan entre sí, por lo que la mayoría de los entornos de pago seguros utilizan ambos:

  • Tokenización para intercambiar detalles de pago con ID únicos
  • Cifrado al enviar datos a través de redes no seguras

¿Cuáles son los beneficios de la tokenización?

La tokenización de pagos ofrece varias ventajas importantes, la más obvia es que mantiene la información de la tarjeta de crédito o la cuenta bancaria de los clientes fuera de las manos equivocadas. Debido a que la pasarela de pago es la única parte que puede asignar tokens a sus valores originales, es el único componente que puede ver los detalles de pago de sus usuarios. El uso de una pasarela de pago que sea propiedad o esté afiliada a su procesador de pagos facilita la resolución de cualquier consulta técnica, operativa o de facturación que pueda tener con su cuenta, ya que solo necesita comunicarse con una compañía.

Esta información es invisible e inaccesible, incluso para usted, pero también hay otro beneficio.

Por ejemplo, la tokenización ayuda a reducir el alcance general de PCI. Esto se debe a que no está capturando ningún detalle confidencial en su entorno de pago. Sin números de tarjetas de crédito o cuentas para almacenar localmente, no hay nada para que los delincuentes roben. Debido a que minimiza su alcance PCI, esto hace que su cuestionario anual de autoevaluación PCI (SAQ) sea mucho más simple y fácil de aprobar.

Otra ventaja es que la tokenización puede proteger cualquier tipo de información. En los Estados Unidos, el enfoque generalmente se centra en el procesamiento de tarjetas de crédito, con comerciantes que utilizan la tokenización para salvaguardar los números de cuenta, los nombres de los titulares de tarjetas y los códigos CVV.

Aunque en muchas partes del mundo, las leyes de privacidad requieren que los comerciantes también tokenicen lo siguiente:

  • Contraseñas
  • Direcciones
  • Registros de pacientes
  • Archivos de empleados

Si vende internacionalmente (como lo hacen muchos comerciantes en línea), tokenización todo de los datos de sus usuarios facilita el cumplimiento de estos requisitos de privacidad en evolución en todo el mundo.

Cómo la tokenización te da tranquilidad

Porque la tokenización no es obligatorio para el cumplimiento de PCI, muchos comerciantes tratan esta tecnología de prevención de fraude como una idea de último momento. En cualquier caso, en un momento en que las violaciones de datos y los ciberataques están en aumento, las empresas deben utilizar todas las herramientas a su disposición para salvaguardar la información de sus usuarios.

Pocas tecnologías ofrecen la seguridad y la tranquilidad que ofrece la tokenización.

Cuando se aprovecha correctamente, la tokenización elimina los datos confidenciales de los clientes de su entorno. Esto puede ser liberador si carece de los recursos de TI internos para proteger la información del usuario las 24 horas del día, los 7 días de la semana.

Cuantos menos detalles almacene localmente, menos datos habrá para que los delincuentes roben.