Tokenización de tarjeta
¿Qué es la tokenización? Definición y concepto financiero
La tokenización es el proceso de sustituir el número real de una tarjeta de pago (PAN) por un identificador único, aleatorio e irreversible llamado token. Este token viaja por la red de pagos en lugar del dato sensible, de modo que el comercio nunca almacena ni transmite el número original. Si un atacante intercepta el token, obtiene un valor sin utilidad fuera de su contexto de emisión.
En el ecosistema de pagos europeo, la tokenización no es solo una mejora técnica: es una palanca directa de seguridad, cumplimiento normativo y conversión en ecommerce.
Cómo funciona la tokenización
El flujo de una transacción tokenizada se ejecuta en cuatro fases:
- Aprovisionamiento: el titular registra su tarjeta en una billetera digital o un comercio. El sistema solicita un token al proveedor de servicios de tokenización (TSP), que puede ser la propia red de tarjetas o un procesador certificado.
- Generación del token: el TSP almacena el PAN en una bóveda segura cifrada y devuelve un token vinculado a un dominio de uso concreto (ese comercio, esa billetera o ese dispositivo). El token no puede revertirse para obtener el PAN original.
- Autorización: el comercio envía el token a la red, que lo sustituye internamente por el PAN real y lo remite al emisor. En los tokens de red (Visa Token Service o MDES de Mastercard), cada transacción incorpora un criptograma dinámico que verifica la autenticidad de la operación.
- Respuesta: el emisor aprueba o rechaza. La red vuelve a tokenizar el PAN antes de devolver la respuesta al comercio, que nunca ve el dato real.
La diferencia clave entre tokens de red y tokenización tradicional (de bóveda) radica en las señales que recibe el emisor. Los tokens de red aportan criptogramas y control de dominio que elevan la confianza y mejoran las tasas de aprobación.
Impacto normativo y seguridad aplicable de la tokenización
La tokenización opera dentro de un marco regulatorio europeo específico.
PCI DSS v4.0 establece en su Requisito 3.5.1 que el PAN almacenado debe hacerse ilegible mediante cifrado sólido, truncamiento, hash o tokenización. Al implementar tokens, el comercio reduce el alcance de su entorno de datos de tarjeta (CDE), simplifica auditorías y disminuye costes de certificación.
Según PCI DSS v4.0, la tokenización reduce el alcance del CDE pero no elimina la obligación de cumplimiento. El comercio sigue siendo responsable de los controles de acceso, la gestión de proveedores y la documentación del alcance PCI al menos cada 12 meses.
La Directiva PSD2, transpuesta en España por el Real Decreto-ley 19/2018, exige la Autenticación Reforzada de Cliente (SCA) en pagos electrónicos. La tokenización complementa la SCA: los emisores que reciben transacciones tokenizadas con criptograma pueden aplicar exenciones de bajo riesgo con mayor confianza, reduciendo la fricción en el checkout sin comprometer la seguridad.
EMVCo publicó en 2021 la EMV 3DS Payment Token Message Extension, que permite incluir datos del token en la solicitud de autenticación 3-D Secure. El emisor toma decisiones de riesgo más precisas, reduce los retos de autenticación innecesarios y mejora la experiencia del comprador.
Ventajas y desventajas operativas del token
| Aspecto | Token de red (VTS/MDES) | Tokenización tradicional (bóveda) |
|---|---|---|
| Seguridad | Criptograma dinámico por transacción, validación en la red | Protege el PAN en almacenamiento, sin señales criptográficas adicionales |
| Tasas de aprobación | Mejora medible por señales de confianza al emisor | Sin impacto diferencial en autorización |
| Ciclo de vida | Actualización automática si la tarjeta caduca o se reemite | Requiere recaptura del PAN o remapeo manual |
| Alcance PCI DSS | Reduce exposición del PAN y acota el CDE | También reduce exposición, pero depende del perímetro de la bóveda |
| Portabilidad | Los tokens permanecen activos con independencia del procesador | Los tokens son propiedad del proveedor, lo que dificulta la migración |
Para un ecommerce con cobros recurrentes o tarjetas guardadas, los tokens de red ofrecen una ventaja operativa clara: la actualización silenciosa tras reemisiones evita rechazos en suscripciones y pagos recurrentes, un problema que impacta directamente en la facturación.