¿Qué es la Tokenización?

En la actualidad, nuestra vida está cada vez más ligada a lo digital. La gran mayoría de las personas consumen y compran todo tipo de productos a través de Internet con total normalidad, ya sea desde cultura, hasta ropa y comida, pasando por la relación con los bancos e incluso con organismos públicos a través de sus respectivas páginas web.

La naturalidad con la que se ha ido extendiendo el uso de la vía online para hacer una gran mayoría de actividades en nuestra vida, va ligada al aumento de la confianza a poder comprar y pagar a través de las diferentes herramientas digitales. Esto no es casual, y es que también ha habido enormes avances con respecto a mejorar la seguridad de los métodos de pago y del intercambio económico con una pantalla de por medio.

Cualquier e-commerce actual tiene en su funcionamiento diario una pasarela de pagos, y es realmente importante asegurarnos de que cumpla bien con sus funciones: ser segura, rápida y fácil de utilizar para que las personas tengan una buena experiencia de usuario en nuestra tienda, y así quieran repetir.

Un ejemplo de una pasarela de pagos cada vez mejor valorada por expertos y usuarios es Paycomet, de la que ya describimos sus principales virtudes y por qué es la mejor pasarela de la actualidad. Puedes leer nuestra reseña de Paycomet pinchando aquí.

La importancia de la seguridad en los pagos

El 14 de septiembre del pasado 2019 entró en vigor en toda Europa la última normativa sobre autenticación de datos, llamada SCA (Strong Customer Authentication, y en español Autenticación Reforzada del Cliente), y aprobada por la Autoridad Bancaria Europea.

La preocupación por preservar los datos bancarios de las personas que hacen uso de las pasarelas de pagos ya venía desde antes. Tiempo atrás, en el año 2004, salió a la luz la primera versión de la normativa «Payment Card Industry Data Security Standard», también conocida como PCI DSS y en nuestro idioma Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago.

Esta normativa fue creada como una guía de ayuda para todas las empresas y organizaciones que tuviesen que procesar y transmitir la información de los dueños de miles y miles de tarjetas daban con ellas todos sus datos bancarios, y que eran susceptibles de posibles robos o estafas. La guía daba y sigue dando una serie de posibilidades a través de las cuáles cumplir la normativa que exige toda la correspondiente protección.

En otro orden de cosas, la reciente situación en la cuál hemos tenido que vivir de forma más o menos mundial un confinamiento en el que quedarnos en casa e incluso trabajar desde ella, ha causado que las compras a través de ecommerce y de internet en general se disparen, haciendo todavía más obvia la necesidad de que estas compras sean completamente seguras para los usuarios.

La tokenización: una garantía de confidencialidad

La búsqueda constante de la mejora de la seguridad en los métodos de pago a través de las plataformas de internet, como los ecommerce, ha llevado a un servicio completamente novedoso, y que se llama tokenización.

La tokenización es un sistema que aporta un nivel adicional y superior de protección de los datos más sensibles que damos cuando estamos pagando con nuestra tarjeta o con aplicaciones de pago tales como Apple Pay o Samsung Pay.

El funcionamiento de este concepto consiste básicamente en la sustitución de los números de nuestra tarjeta de crédito, y que introducimos instantáneamente cuando estamos pagando, por un número sucedáneo que se genera mediante algoritmos y que es lo que se conoce como Token.

Lo que favorece esta sustitución de cifras es básicamente que no se pueda duplicar una tarjeta de crédito, y que a través de internet puedan pasar nuestros datos con una especie de cápsula de seguridad o algo así como un disfraz que hace que nadie pueda acceder a ellos. En el caso de acceder a ellos, se encontrarían con los números generados por la tokenización y no por los números o las cifras reales.

Otros métodos de seguridad para las pasarelas de pagos

Frente a la novedosa técnica de la tokenización, nos encontramos ante una pregunta muy evidente: ¿Qué otros métodos se utilizaban antes de empezar a usar la tokenización? ¿Eran más o menos efectivos?

El otro método para asegurar la fiabilidad en los pagos a través de internet es el de la encriptación. Este, a diferencia de la tokenización, consiste en cifrar los datos del titular de la tarjeta de extremo a extremo. Esto es que los datos se cifran antes de empezar y se descifran cuando ya han hecho su labor y han llegado de forma correcta.

El cifrado que ofrece la tokenización es irreversible, al contrario que la encriptación. Por ello, se ha convertido a día de hoy en el método mejor considerado por los profesionales debido a que reduce el alcance del cumplimiento PCI y, en definitiva, los datos PAN ( el número primario de la cuenta) nunca se muestran.

¿Cómo funciona la tokenización de forma técnica?

Aunque los procesos informáticos que engloban la tokenización son difíciles de entender, se puede hacer un pequeño resumen de cuáles son los pasos de la cadena de funcionamiento de un token en la pasarela de pago:

En primer lugar, está el aprovisionamiento de un token (un número sustitutivo) para el PAN (el número de la cuenta de una persona en concreto). Esto surge una vez esa persona tiene activado su método de pago, ya sea mediante la tarjeta o ya sea mediante el smartphone.

Después de eso, la cifra que es el token es enviado a la red general de tarjetas de crédito, donde se averiguan los datos que el token está protegiendo y se pone en contacto con la entidad bancaria concreta para obtener el permiso de pago de lo que sea que se esté comprando.

Una vez la entidad bancaria recibe esta petición, deberá de autorizar que dicha red general de tarjetas pueda aprobar ese pago. Entonces, de nuevo será la pasarela de pago la que cobre la cantidad de dinero y vuelva a «tokenizar» el número que ha averiguado, enviando la autorización de pago con los números protegidos a la tienda que está cobrando el dinero.

De esta forma, no solamente se protegen los datos bancarios a las posibles personas que puedan intentar interferir en el sistema de pago para estafar dinero, sino también a las propias tiendas que cobran el dinero, ampliando así el ámbito de la confidencialidad.

Conclusiones: ventajas definitivas de la tokenización

La tokenización ha permitido a los dueños de ecommerce y de tiendas en general poder tener almacenados los datos de los clientes (habituales y nuevos) sin poner en riesgo la protección de los mismos, pues no son los datos reales sino los token.

Esto hace que, además, en el caso de una tienda en internet, se puedan tener ya guardados los datos tokenizados de las personas que compran habitualmente, y poder hacer las transacciones de forma mucho más rápida.

Además, otra cosa importante con respecto a la tokenización, es que los números sustitutivos (los token) solamente se pueden utilizar en un entorno tecnológico concreto. Es decir, los números token de la tarjeta de una determinada persona son los que son en un ecommerce específico, pero son distintos en otro. Esto hace que en el hipotético caso de que un tercero consiguiese averiguar el token de una tarjeta de crédito, no pudiese utilizarlo en ningún otro espacio.

En general, la tokenización ha supuesto un importante avance en un ámbito que necesita realmente convertirse en un área segura y fiable. Podemos dar por hecho que con la evolución que ha tenido el uso de internet y de las compras a través de la red en los últimos años, esto seguirá siendo así e incluso se ampliará todavía más. Para ello, desde las instituciones deben de preocuparse porque cada vez sea más difícil sufrir cualquier tipo de estafa o robo por poner nuestros datos en las plataformas digitales, para que así todo siga avanzando.

Si quieres averiguar más sobre tipos de sistemas de protección de datos y de las mejores tpvs virtuales puedes leer este artículo o echarle un vistazo a nuestro blog.

Estos post seguro que te interesan:

Tu seguridad es lo primero

Nuestra prioridad es que estés seguro. Por ello, tus datos están encriptados y jamás los utilizaremos para fines no autorizados. Además, cumplimos con el último reglamento de la Ley Orgánica de Protección de Datos (LOPD).