obOpen Banking Lab
GlosarioSTETBlogContacto
Seguridad

Tokenisation carte

Tokenización de tarjeta (DPAN, network tokens)

Sustitución del PAN (los 16 dígitos de la tarjeta) por un token específico del comercio, de la wallet o del dispositivo. Limita la exposición del número real y aumenta la tasa de autorización.

Ver también:EMV / NFCVisa / MastercardCB3D SecurexPay (Apple Pay / Google Pay)PSP acquéreur

Definición

La tokenización de tarjeta sustituye el PAN (el número de tarjeta de 16 dígitos) por un token: una cadena equivalente pero distinta, cuyo uso queda restringido a una wallet, un dispositivo, un comercio o un canal.

El token no tiene ningún valor si se roba fuera de su contexto. Es uno de los grandes pilares de seguridad del pago con tarjeta moderno, impulsado por las redes (Visa Token Service, Mastercard MDES) y adoptado en todas partes: Apple Pay, Google Pay, Click to Pay y vaults de los PSP.

Los 3 tipos de token

DPAN (Device PAN)Merchant tokenVault token del PSP
Emitido porRedRedPSP adquirente
Vinculado aUn dispositivoUn comercioUna cuenta de PSP del comercio
UsoApple Pay / Google PayClick to Pay, suscripcionesTodos los pagos a través de ese PSP
EstándarEMVCoEMVCoPropietario

Los network tokens (DPAN + merchant tokens) están estandarizados por EMVCo; los vault tokens del PSP son propietarios.

Por qué tokenizar

  • Seguridad: ante una brecha de datos del comercio, los tokens robados resultan inutilizables en otro sitio; el PAN real nunca se almacena.
  • Tasa de autorización: +2 a +5 puntos con los network tokens, porque la red avala ante el scoring del emisor la legitimidad del token.
  • Ciclo de vida de la tarjeta: si la tarjeta se renueva, el token sigue siendo válido (la red lo reasigna internamente) — se acabó el churn de suscripciones en tarjetas caducadas.
  • PCI-DSS más ligero: dejar de almacenar PAN reduce el alcance de la auditoría.

Cómo funciona

  1. El titular introduce su PAN (o añade la tarjeta a una wallet).
  2. El comercio o la wallet solicita un token a la red (VTS para Visa, MDES para Mastercard).
  3. La red genera un token único, vinculado a un contexto concreto.
  4. El comercio solo almacena el token.
  5. En el pago, transmite el token a la red.
  6. La red destokeniza del lado del emisor — el PAN nunca se expone fuera del emisor y de la red.
  7. El emisor autoriza a partir del token y del contexto.

Apple Pay / Google Pay

El DPAN es el token más extendido: en el alta, tu tarjeta se convierte en un DPAN propio de tu iPhone; cada transacción envía un criptograma dinámico + DPAN; cambiar de iPhone genera un nuevo DPAN. El emisor sabe que es Apple Pay y trata la autenticación reforzada del cliente (SCA) como ya validada — de ahí una tasa de autorización más alta y una tasa de fraude más baja.

Click to Pay

Iniciativa conjunta de Visa + Mastercard + Amex + Discover para estandarizar el checkout de comercio electrónico mediante merchant tokens: el titular se da de alta una vez, es reconocido por correo o teléfono en cualquier sitio Click to Pay, elige su tarjeta y confirma — el comercio recibe un token, no el PAN. La adopción en Europa es gradual desde 2023, pero la experiencia sigue siendo desigual por la falta de coordinación rápida entre redes.

Lo que la tokenización no es

  • No es cifrado: un token no es un PAN cifrado (descifrable), sino un identificador independiente mapeado del lado de la red.
  • No es una tarjeta virtual: una tarjeta virtual tiene su propio PAN; un token es un alias del PAN principal.
  • No es el fin del PCI-DSS: el comercio que maneja un PAN al introducirlo sigue parcialmente dentro del alcance.
  • No es universal: no todos los comercios soportan aún la tokenización de red; los vaults de los PSP (Stripe, Adyen) la generalizan en el backend.

En el ecosistema PSD2

La tokenización de red se integra de forma nativa en 3DS2: el comercio transmite el token y el ACS aplica un scoring a menudo más generoso en frictionless dada la mayor seguridad. Es uno de los motores del descenso continuado del fraude con tarjeta en el EEE.

Ejemplos concretos

  • Apple Pay / Google Pay: DPAN sistemático en el 100% de las transacciones, reconocido por todos los emisores.
  • Click to Pay: despliegue gradual desde 2022, fuerte adopción en algunos grandes comercios, todavía moderada en Francia.
  • Vault de Stripe: el token pm_xxx almacena las tarjetas de los clientes y ejecuta las suscripciones; Stripe gestiona la tokenización de red entre bastidores.
  • Suscripción de Spotify: al reemitir una tarjeta, el network token se actualiza automáticamente, sin corte del pago.
  • Tasa de autorización: +2 a +5 puntos con los network tokens, es decir, +1 a +3% de facturación en las suscripciones.
  • PCI-DSS: almacenar solo tokens permite apuntar al SAQ-A (el más ligero), frente al SAQ-D para quien almacena PAN.
  • Limitación: la cobertura de los network tokens no es uniforme entre redes; CB despliega progresivamente su soporte EMVCo.

Fuentes

Volver al glosario