El concepto de tokenización
En la actualidad, asistimos a una rápida digitalización de los métodos de pagos con la habilitación de servicios en multitud de terminales personales, especialmente teléfonos inteligentes y dispositivos conectados.
Esta tendencia está particularmente apoyada y promovida por los actores globales del pago, cuyos principales exponentes son las grandes redes internacionales de pagos, como Visa, Mastercard y UnionPay International.
Para preservar la seguridad y confidencialidad de los datos de pago, estos agentes han propuesto la generalización en el uso del concepto de tokenización. Este concepto se presentó de manera detallada en una especificación de EMVCo en 2014, actualizada en 2017. Las principales redes de pago en el mundo han publicado sus propias especificaciones de servicios de pagos móviles NFC, denominados «Cloud-based payments», para poner en marcha la tokenización.
En los sistemas de pagos por tarjeta, conforme a las normas EMVCo, cada tarjeta se diferencia de las demás por un Primary Account Number (PAN). Conforme a EMVCo, la tokenización consiste en sustituir ese número PAN de la tarjeta física por un identificador «no sensible», para un uso particular, y que proporcionará el terminal de destino. Por ejemplo, cuando un usuario, cliente de una entidad bancaria, desea digitalizar su tarjeta de pago en una aplicación móvil de tipo billetera o «wallet», el editor de dicha aplicación deberá solicitar un token al Token Service Provider (TSP) e incluirlo en su aplicación. Para ser más precisos, el token, en lo relativo a EMVCo, no es un simple identificador, lo que sería algo parecido a un PAN, sino un perfil de tarjeta que incluiría, en particular, datos de seguridad.
Organización del ecosistema de la tokenización en el ámbito global
EMVCo ha definido el rol del Token Service Provider (TSP) y lo incluye en un puesto especial en el dispositivo de tokenización, tal y como muestra el esquema a continuación.
Asimismo, un Token Requestor (TR) que desee digitalizar una tarjeta de pago para un uso preciso deberá dirigirse para ello a un TSP.
Tomemos dos ejemplos:
- El TR es una banca minorista que desea proponer un servicio de pago móvil de proximidad a dentro de su aplicación. Cuando un cliente de esta entidad bancaria desea activar este servicio, la entidad debe remitir una solicitud de tokenización de la tarjeta de pago que posee el cliente ante un TSP y, a continuación, incluir dicho token en la aplicación de la entidad bancaria.
- El TR es un comercio en línea que desea proponer a sus clientes el registro de su tarjeta de pago para poder reutilizarla en sus próximas compras en el sitio web (servicio de tipo Card-On-File). Cuando un cliente desea registrar su tarjeta de pago en la web de un comercio en línea, este debe remitir una solicitud de tokenización de la tarjeta de pago que posee el cliente ante un TSP y, a continuación, registrar dicho token en su base de datos.
El TSP desempeña un papel fundamental, especialmente por los siguientes motivos:
- Es responsable de la base de datos denominada Token Vault que registra la correspondencia entre las tarjetas de pago y los tokens asociados.
- Cuando se activa una transacción de pago mediante dicho token, el TSP interviene previamente en el bucle de autorización para validar ciertos datos de seguridad (criptogramas creados a partir de claves proporcionadas por el TSP en el perfil del token), antes de transmitir la solicitud de autorización «destokenizada» al emisor de la tarjeta.
De este modo, queda patente que el TSP desempeña un papel fundamental, tanto a la hora de conservar los datos sensibles (correspondencia tarjeta-token) como interviniendo sistemáticamente en cada transacción que implique el uso de tokens.
Temas de soberanía y control por parte de los emisores y las redes de pago nacionales
En teoría, el papel del TSP lo pueden desempeñar diferentes tipos de agentes del ámbito de los pagos con tarjeta. En la práctica, son las grandes redes de pago quienes se posicionan para desempeñar este papel. En primer lugar, las redes internacionales de pago, como Visa y Mastercard, han creado servicios de tokenización en el marco de sus infraestructuras. Dada su importancia global, estos agentes han desplegado un amplio abanico de servicios con el objetivo de ayudar a los TR (entidades bancarias emisoras, comercios, etc.) a ofrecer sus servicios de manera simple y universal». Un ejemplo que sirve para ilustrar la propuesta de valor de estos TSPs globales son las billeteras de pago móvil NFC globales (G-Pay, Apple Pay, Samsung Pay, etc.), que están conectadas a los TSP de las redes internacionales en calidad de TR. De este modo, los emisores que forman parte de estas redes, y que ya utilizan sus servicios para emitir tarjetas físicas, pueden solicitar sus servicios de TSP para beneficiarse directamente de la digitalización de sus tarjetas en estas billeteras.
Frente a estas ofertas globales de las redes internacionales, los agentes domésticos se organizan para crear unos TSP locales accesibles a los emisores del país en cuestión. Esto suele ser más frecuente en aquellos países que tienen un importante historial de pago con tarjeta y con una red interbancaria y una marca de pago doméstica perfectamente implantados, como es, por ejemplo, el caso de Francia. Asimismo, se observan proyectos de «Hub de tokenización doméstica» en países donde los sistemas de pagos con tarjeta son más recientes, como Arabia Saudí, y donde la decisión de contar con un TSP local parece más relacionada con cuestiones de soberanía y de gestión de datos sensibles en el territorio nacional.
Ante esta oferta y la infinidad de opciones disponibles, los TR deberán adoptar soluciones que les permitan conservar un cierto margen de dominio sobre la propuesta de valor que ofrecen a sus clientes. Esta cuestión parece especialmente crítica para las entidades bancarias emisoras. De hecho, la gestión de los datos del propietario de la tarjeta forma parte, tradicionalmente, de las prioridades de los emisores. Asimismo, la dependencia de terceros en el bucle de autorización de los pagos representa una cuestión sensible.
Para un emisor, la cuestión de la selección de uno o varios TSP que vaya a utilizar para uno u otro servicio representa una elección estratégica y no simplemente una combinación de criterios técnicos y financieros. Esto es lo que denominamos estrategia de «abastecimiento de tokens». Para ilustrar este aspecto, tomemos un nuevo ejemplo, el de una entidad bancaria emisora que opera en un país donde existe un esquema de pago nacional y que también utiliza una red de pago internacional, como Visa o Mastercard; esta entidad bancaria emite tarjetas denominadas «de doble credencial», es decir, que permiten utilizar la red de pagos doméstica, cuando el cliente paga en el país correspondiente, y en la red de pagos internacional, cuando el cliente está en el extranjero. Cuando se trata de efectuar la digitalización de esta tarjeta para proponer un servicio de pago móvil, esta entidad bancaria emisora tendrá que definir una estrategia de tokenización. De este modo, por ejemplo, esta entidad podría decidir reproducir la noción de «doble credencial» en el ámbito digital y, en este caso, deberá buscar un token en un TSP que proponga la marca nacional y otro token en el TSP de la red internacional.
Un dominio necesario por parte de los usuarios de Token Resquetors (TR)
Ha surgido una nueva generación de ofertas que permite a los usuarios de tokens contar con acceso simplificado a todas las funciones relacionadas con la tokenización:
- Preparación de los datos necesarios para las solicitudes de tokenización;
- «Abastecimiento de tokens» en los TSP del mercado en función de una estrategia predefinida;
- En algunos casos, abastecimiento de tokens en el marco de las aplicaciones de pago;
- Gestión del ciclo de vida de los tokens para dar fluidez y fiabilidad a las diferentes acciones de tipo pérdida o robo, renovación, etc.
Se trata de una plataforma de tipo TR que asocia los accesos a los TSP y propone a través de las interfaces de programación (API) una integración sencilla para emisores y vendedores.
Es en este contexto en el que se posiciona nuestra solución ReadyToTap Payment. En la actualidad, esta solución permite a diferentes tipos de emisores —bancos minoristas, neobancos, emisores de tarjetas prepago, etc.— contar con un amplio abanico de funcionalidades que ofrecen los principales TSP del mercado, con gran flexibilidad y sencillez de aplicación.