Hoy, el concepto de tokenización cobra mayor fuerza debido a que su implementación representa un antes y un después de los medios de pago tradicionales para darle paso a nuevos ecosistemas digitales, donde la seguridad de los datos es indispensable.
Los medios de pago antes de la tokenización
Si bien la evolución de los medios de pago contempla varias aristas y años de historia, hay aspectos muy puntuales que permiten ilustrar el camino recorrido hasta el momento actual.
Cuando se empezaron a realizar los primeros pagos con tarjeta y aún no existían los datáfonos, las transacciones se realizaban con un validador manual que permitía calcar la imagen de la tarjeta de crédito o débito en un papel, cuya información sensible se encontraba en relieve y quedaba completamente expuesta, para luego completar el formulario con los datos de la transacción.
Con el paso del tiempo se incorporan las bandas magnéticas en las tarjetas y el uso de los datáfonos, para luego adoptar la tecnología con chip. Con el chip se incrementa la seguridad notoriamente, donde ya no es tan sencillo robar el número de una tarjeta porque quedaba totalmente visible, o copiar fácilmente las bandas magnéticas, sino que empezamos a adentrarnos en una época donde los datos son más seguros, especialmente con la implementación de la tecnología sin contacto (contactless). Ya para mediados de la década del 2010, se empieza a dar un mayor auge de la digitalización de la economía, los tokens empiezan a abrirse paso en el ecosistema de pagos.
El ABC de la tokenización
La tokenización nace como una respuesta a la necesidad de digitalizar transacciones protegiendo sus datos sensibles a saber: el número de tarjeta, fecha de expiración y el código de seguridad (CVV).
A
El token es un valor sustituto de los datos sensibles asociados a una tarjeta utilizado como su representación digital. Este valor puede ser almacenado por comercios o aplicaciones, con la certeza de que, si fuera expuesto, no podría ser usado para transaccionar; proveyéndole mayor seguridad al tarjetahabiente, tanto en los medios de pago con tarjeta no presente, como lo son el comercio electrónico y los pagos recurrentes; como en los pagos hechos con dispositivos móviles o usables (wearables).
B
Múltiples tokens para una sola tarjeta. Cada vez que una tarjeta se registra en un comercio o en una aplicación que puede pedir tokens a la marca correspondiente, se genera un token distinto. Es decir, si el usuario incluye su tarjeta en una billetera móvil, se genera un token diferente al que se genera en la aplicación de transporte que utiliza, en el servicio de streaming de su elección o en un comercio electrónico donde hace una compra.
C
Actualización automática de los datos asociados a la tarjeta. Cuando una tarjeta tiene tokens asociados, y la numeración o fecha de vencimiento de la tarjeta cambian debido a una reposición o reemplazo, estos datos son actualizados y se reflejan automáticamente en los tokens existentes, sin que el tarjetahabiente tenga que realizar un proceso adicional.
Actores en la tokenización
En el ecosistema de tokenización participan varios actores, algunos muy conocidos en la industria de medios de pago, pero con nuevas funciones, y otros que surgieron con la tokenización. Revisemos las funciones específicas de cada uno de ellos:
Las marcas son las proveedoras del servicio de tokenización (TSP por sus siglas en inglés: Token Service Provider), por ende, son las encargadas de proveer y almacenar los tokens, además de regular el ecosistema de tokenización. Cada marca posee su propia bóveda de tokens y es la responsable de traducir un token a la tarjeta correspondiente dentro del ámbito en el que ese token es válido.
El ecosistema de medios de pago cuenta con una figura nueva que es el Token Requestor o solicitante de tokens, que bien puede ser un comercio electrónico, una billetera digital o una pasarela de pagos, como Placetopay.
El solicitante de tokens tiene una relación directa con el tarjetahabiente como usuario final, por ejemplo: Netflix tiene una relación directa con quienes adquieren su servicio de streaming, Amazon con quienes compran en su plataforma; además, ellos son responsables de brindar una buena experiencia a su usuario final. Por otra parte, el Token Requestor tiene una relación directa con la marca con el fin de solicitar los tokens que sustituyan los números de tarjeta.
Emisor: es la entidad financiera que emite las tarjetas para sus clientes, y la encargada de responder las solicitudes de tokens que hacen los Token Requestors, por ejemplo: siendo UBER un comercio solicitante de tokens, cuando un usuario registra su tarjeta en la aplicación, UBER hará un envío a la marca para solicitar que se genere un token que sustituya ese número de tarjeta. Cuando la solicitud llega al emisor, este determina si aprueba la solicitud o no y si es requerida una autenticación del tarjetahabiente. Además, es responsable de mantener actualizados los datos de contacto de sus clientes, enviar los OTP (por sus siglas en inglés: One-Time Password) de autenticación al tarjetahabiente, controlar los cambios automatizados en el ciclo de vida del token y de las tarjetas.
El adquirente mantiene su función estándar de procesar las transacciones de sus comercios afiliados, sea que estas envíen un token o un número de tarjeta.
El usuario final es beneficiado de forma transparente por una mayor seguridad en el manejo de sus datos sensibles y en sus transacciones, además de tener la posibilidad de emplear nuevos dispositivos de pago, más cómodos, eficientes y seguros, que le ofrecen una experiencia de usuario mejorada.
Casos de uso de los tokens
- Tokens para comercio electrónico y card on file: si se cumplen todas las reglas del emisor estas solicitudes de token se responden usualmente con una aprobación sin que medie autenticación del tarjetahabiente. Esto se conoce como flujo verde.
- Dispositivos usables (wearables): este caso de uso se refiere a dispositivos usables que cuentan con billeteras digitales y permiten solicitar tokens. Algunos ejemplos conocidos son las billeteras para los dispositivos Fitbit y Garmin, estos tienen la característica de que almacenan el token en el mismo dispositivo en un elemento seguro. Generalmente estas solicitudes requieren que el usuario se autentique para que proceda la solicitud, lo que se conoce como flujo amarillo.
- Billeteras de industria como: Apple Pay, Google Pay y Samsung Pay, son billeteras que permiten solicitar tokens para tarjetas de múltiples instituciones a nivel mundial. Estas billeteras son diferenciadas por las marcas como casos de uso especiales por sus características diferenciadas.
- Billeteras emisoras, generalmente se usan en dispositivos Android, donde se pueden diferenciar dos tipos: (a) billetera emitida por una institución financiera únicamente para sus clientes, o (b) una billetera multiemisor donde varios emisores pueden incorporar sus tarjetas.
Beneficios
La tokenización permite implementar innovadores medios de pago a través de los dispositivos móviles o usables, añadiendo seguridad a la transacción, tanto por utilizar métodos de autenticación del dispositivo antes de transaccionar, como por la protección de los datos sensibles de la tarjeta, reduciendo así el riesgo de fraude y mejorando el nivel de aprobaciones, y como consecuencia, la disminución de la cantidad de contracargos.
La experiencia de usuario al pagar con dispositivos es sencilla y fluida, además de ofrecer una mayor disponibilidad del medio de pago en cualquier momento, reduce la necesidad de tener a mano múltiples tarjetas físicas. La autenticación requerida al tarjetahabiente cuando registra su tarjeta en una billetera ofrece mayor confiabilidad de que la tarjeta registrada es válida y pertenece a quien la registra.
Además, la sustitución de la tarjeta por tokens diferentes en cada solicitante de tokens o en cada dispositivo, disminuye el riesgo de que los datos sensibles puedan ser usados por terceros con fines fraudulentos.
La tecnología de lo posible
Al pensar en el futuro de la tokenización podemos concluir con seguridad que el futuro es hoy.
Si bien el futuro de los medios de pago y su proceso de transformación digital está delimitado por la adopción tecnológica de cada país o región, así como sus regulaciones en materia de pagos; no podemos obviar el hecho de que la seguridad en las transacciones, los medios de pago ágiles y eficientes, impulsados por el acelerado crecimiento del comercio electrónico; son la respuesta a años de innovación y evolución del ecosistema financiero.
No es un secreto que las nuevas generaciones se mueven a la velocidad de la tecnología, por lo que los emisores deben ser capaces de implementar soluciones que les permitan transitar por la ruta de la transformación digital al mismo ritmo que sus usurarios, y con Evertec, sí es posible.
Con Evertec, los emisores podrán responder a las solicitudes de aprovisionamiento en los distintos solicitantes de tokens, podrán manejar el ciclo de vida de las tarjetas del token asociado a los estados de las tarjetas, de forma automatizada, junto con la posibilidad de modificar el ciclo de vida del token manualmente, además de contar con un host certificado para procesar transacciones tokenizadas.
Transitar hacia medios de pago 100% digitales, donde imperen la seguridad y la facilidad de uso, ahora es posible con Evertec y su servicio de valor agregado: tokenización.
– Por Vilma Rodríguez Morales
Gerente de producto emisor en Evertec