Introducción
Los comerciantes, bancos y procesadores de pagos deben compartir y autenticar la información de pago. Los datos no protegidos son susceptibles de robo mientras se transmiten y almacenan durante el proceso de pago.
El cifrado y la tokenización reducen significativamente la exposición de los datos y mantienen segura la información del titular de la tarjeta.
Obtenga más información sobre las diferencias entre tokenización y cifrado y cómo protegen a sus clientes y su reputación.
Tokenización versus cifrado en pocas palabras
Tokenization reemplaza un dato, como un número de tarjeta de crédito, con un conjunto de caracteres aleatorio y no relacionado llamado ficha. Un token no contiene información y no tiene valor para las personas que buscan cometer fraude.
Cifrado utiliza un algoritmo para codificar información de pago confidencial. El destinatario previsto de los datos utiliza un clave criptográfica para descifrar y leer la información.
¿Cómo funciona la tokenización?
Los tokens son adecuados para pagos iniciados desde dispositivos móviles. Aplicaciones de billetera digital, como Google Pay, Apple Pay, Pago de CCBill, Alipay y otros, utilizan tokens para permitir que los clientes paguen sin volver a ingresar su información de pago. Por ejemplo, un proceso de tokenización iniciado desde una billetera digital consta de 10 pasos:
1. Un cliente instala una aplicación de billetera digital en su dispositivo e ingresa la información de su tarjeta.
2. La aplicación de billetera digital envía una solicitud de aprovisionamiento a un proveedor de servicios de token (TSP).
3. El TSP valida las credenciales de la tarjeta con el banco del cliente.
4. El TSP crea y almacena la correlación PAN-Token en su bóveda de tokens de alta seguridad.
5. El token se proporciona a la aplicación de billetera digital.
6. El cliente paga con el token de billetera digital.
7. El comerciante envía el token a su banco para su validación.
8. El banco del comerciante solicita a TSP que proporcione el PAN relacionado con el token.
9. El banco adquirente (del comerciante) valida el PAN con el banco del cliente.
10. El banco del cliente autoriza la transacción.
El TSP y el banco del titular de la tarjeta continúan administrando el token a lo largo de su ciclo de vida. Los comerciantes ya no necesitan usar ni almacenar información confidencial del titular de la tarjeta. En cambio, el TSP, los bancos y los procesadores de pagos de terceros realizan procesos de verificación y validación.
¿Cómo funciona el cifrado?
Los comerciantes deben asegurar la transferencia de información entre un terminal de tarjeta o Formulario de pago y un control remoto sistema de procesamiento de pagos. El cifrado protege la información confidencial mediante la aplicación de un algoritmo matemático avanzado.
Los entornos con muchos participantes interconectados, como un proceso de pago, utilizan cifrado asimétrico. Este tipo de cifrado utiliza dos claves criptográficas diferentes.
Las organizaciones que envían datos utilizan un Llave pública para codificar la información del cliente antes de enviarla. El destinatario previsto tiene un llave privada para descifrar y acceder a la información.
Por ejemplo:
1. Un cliente realiza un pago en la tienda.
2. El terminal de pago del comerciante utiliza una clave pública para cifrar los datos del cliente.
3. Los datos cifrados se envían al procesador de pagos.
4. El procesador de pagos utiliza una clave privada para acceder a los datos y validar el pago con el emisor de la tarjeta.
Si alguien comprometiera la clave de cifrado, solo tendría acceso a los datos cifrados con esa clave específica. Puede limitar la cantidad de datos que se cifran con una sola clave girando varias claves de cifrado.
Comparación lado a lado del cifrado de datos frente a la tokenización
La tokenización y el cifrado utilizan dos enfoques distintos para proteger los datos confidenciales. La siguiente tabla proporciona una comparación rápida entre la tokenización y el cifrado.
| Caracteristicas | Cifrado | Tokenization |
|---|---|---|
| Seguridad | Un método de seguridad probado que permite el acceso a los datos solo una vez que se han descifrado. | No es posible extraer datos confidenciales de un token, lo que lo convierte en un método de seguridad sólido. |
| PCI Compliance | Obligatorio para el cumplimiento de los estándares de seguridad PCI. | No es un requisito de PCI pero reduce el alcance de las revisiones de PCI. |
| Casos de uso | Protege la transferencia de datos a través de redes inseguras y asegura el almacenamiento de datos. | - Carteras digitales - Pagos recurrentes - Pagos en la aplicación - Botones de pago |
| Tipo de datos | Datos estructurados y no estructurados. | Solo datos estructurados. |
El cifrado es un componente indispensable del procesamiento de pagos. La tokenización mejora la seguridad de los datos e introduce nuevas funciones que mejoran la experiencia del cliente e impulsan las ventas.
Seguridad de la tokenización frente al cifrado
El cifrado es un componente esencial y confiable del procesamiento de pagos. Acceder a datos codificados sin una clave es un esfuerzo laborioso que casi siempre falla. El uso de cifrado asimétrico con claves que rotan regularmente es vital para proteger la información de pago.
Un token es un sustituto de la información que representa. Participantes en el proceso de pago no es necesario que maneje la información de la tarjeta de crédito directamente. El almacenamiento de tokens es mucho más seguro que el almacenamiento de números de cuenta primarios (PAN) cifrados.
Se puede usar un solo PAN para crear múltiples tokens. Un token específico del dispositivo o del comerciante establece una capa de seguridad adicional. Es posible desactivar un token comprometido en tiempo real con un impacto mínimo para el cliente. El cliente solo necesita crear un nuevo token sin reemplazar su tarjeta o número de cuenta principal.
PCI Compliance
Aunque los datos de la tarjeta de crédito están encriptados, sigue siendo necesaria una amplia infraestructura de seguridad. El cumplimiento de PCI garantiza la seguridad de la información de pago al obligar a las organizaciones a aplicar estándares estrictos de la industria de pagos. El cumplimiento de los estándares de cifrado PCI requiere una gran cantidad de recursos y puede aumentar los costos operativos de manera significativa.
La tokenización no es un requisito de cumplimiento de PCI, pero se considera una práctica establecida en el procesamiento de pagos. Como los comerciantes no manejan la información de pago directamente, los tokens reducen el alcance de las revisiones de cumplimiento de PCI. Por tanto, este proceso reduce los costes asociados.
Casos de uso de tokenización y cifrado
Compartir información de pago a través de redes expuestas y almacenar datos de tarjetas de crédito sería inviable sin cifrado. Por ejemplo, una terminal POS o un cajero automático no podría comunicarse de manera segura con sistemas remotos y validar la información de la tarjeta.
Además de los beneficios de seguridad, los tokens se pueden utilizar para impulsar las ventas. Los clientes utilizan su información tokenizada para pagar sin usar una tarjeta de crédito o ingresar datos personales.
Por ejemplo:
- Digital Wallet - Un cliente puede crear un token y usar un dispositivo móvil o un dispositivo portátil, como un reloj inteligente, para comprar bienes o pagar servicios.
- Pagos recurrentes - Los comerciantes y las plataformas de comercio electrónico almacenan tokens de clientes para iniciar pagos recurrentes sin acceder o almacenar los detalles de la tarjeta de crédito.
- Pagos en la aplicación - Los clientes pueden pagar utilizando aplicaciones móviles sin salir o cerrar la aplicación.
- Pagar botones - Los comerciantes pueden colocar botones de pago en sus sitios web, lo que permite a los clientes pagar con tokens anteriores.
Obtenga más información sobre los beneficios de la tokenización en nuestra publicación. ¿Qué es la tokenización en los pagos?
Datos estructurados frente a datos no estructurados
La tokenización se aplica mejor a conjuntos estructurados de datos. Los tokens son perfectos para la información de identificación personal, como un PAN, un número de seguro social, un número de teléfono o un correo electrónico.
Puede cifrar cualquier archivo, independientemente de su contenido o estructura. Esto significa que el cifrado se puede utilizar para proteger tanto los datos de la tarjeta de crédito como los archivos de datos no estructurados de gran tamaño. El cifrado es muy eficaz. Una pequeña clave criptográfica proporciona acceso independientemente del tamaño del archivo.
Conclusión
El artículo proporcionó las principales diferencias entre la tokenización y el cifrado y evaluó las ventajas que aportan a su negocio.
Estos dos métodos no se excluyen mutuamente. Para obtener los mejores resultados y mejorar la seguridad de los datos, utilice la tokenización y el cifrado en paralelo.
