Durante septiembre de 2014 Apple pateó el tablero de la industria de pagos no solo estadounidense sino global, con el lanzamiento de su sistema de pagos Apple Pay. Este anuncio acaparó los medios de prensa de todo el mundo ya que desde hacía tiempo se esperaba que la empresa de Cupertino se introdujera en el mundo de los pagos.
En paralelo a este anuncio, Visa realizaba otro también muy importante: el lanzamiento de su Token Service, una tecnología innovadora que proporciona un entorno seguro para ayudar a impulsar la innovación en el comercio en línea y móvil. Si bien fueron lanzamientos paralelos, se realizaron el mismo día por una razón: Apple Pay era a la vez el primer cliente de Token Service.
Fernando Méndez, vicepresidente de Productos Emergentes para América Latina y el Caribe de Visa, habló con PaymentMedia sobre esta nueva tecnología, su desarrollo y su aplicación en el sistema de pagos de Apple.
¿Cuándo comienza Visa a trabajar en el sistema de tokenización y cómo fue su proceso de desarrollo?
Este tema nace en octubre de 2013. Es ahí cuando Visa, MasterCard y American Express se unen y lanzan una primera versión de un marco de referencia de una especificación de una tokenización. En ese momento el objetivo que se perseguía era aprovechar este concepto, que podía darle un alcance global y ofrecer otro nivel de seguridad para robustecer las soluciones ya existentes.
Luego, en marzo de 2014, se hace el anuncio por parte de las tres empresas de nuevas especificaciones más robustas, y se dona la especificación a EMVCo. Es aquí cuando todo el desarrollo toma otra dimensión, ya que deja de ser un tema exclusivo de Visa, MasterCard y American Express y pasa a ser de todos los jugadores que participan de EMVCo, que ahora pueden proporcionar su feedback y robustecer la especificación.
El concepto del que estamos hablando es que un token reemplaza el número de cuenta real de un cliente por un número de cuenta digital. Ese número básicamente permitirá realizar transacciones sin que el número real de la tarjeta sea comprometido, es decir que no esté expuesto a ningún tipo de riesgo.
Esto sucede gracias a la existencia de lo que llamamos restricciones por dominio. Cada token asignado a un número de cuenta real, está asociado al canal o dispositivo donde fue implementado. Por ejemplo, un comercio que tiene cuentas en archivo, como un gran comercio de pagos recurrentes donde el cliente va, se registra, da su número de cuenta y la información queda almacenada en ese comercio y luego cada mes hacen un cargo. Ese comercio puede tokenizar y reemplazar todos esos números de cuenta por tokens o números de cuenta digital. Pero en el momento en que se hace esa solicitud al sistema de tokenización de Visa, ese número de token queda atado a ese comercio. Todas las transacciones que se den a partir de ese token solo pueden venir de ese comercio en particular. Si ese comercio sufriera un "hackeo" y obtuvieran todos sus datos de tarjetas, cuando se intenten utilizar estos datos para hacer compras en otro lado, simplemente no funcionarán.
Esta restricción por dominio es el secreto, es el componente clave para la seguridad que ofrece el sistema de tokenización.
Todo esto es parte de las iniciativas de Visa para seguir robusteciendo la seguridad del sistema. La seguridad no la manejamos como un "cyber bullet" que nos va a solucionar todos los problemas, sino que se va trabajando por capas o niveles. Todo esto va construyendo los sistemas seguros. Vale confirmar que la tokenización no va a reemplazar el chip, sino que se constituye como otra capa. Vamos trabajando todas ellas de manera coordinada y armoniosa, y así logramos maximizar la seguridad del sistema.
¿Cuándo comenzó Visa a trabajar en conjunto con Apple?
A partir de la publicación de la primera versión de la especificación por parte de EMVCo en marzo de 2014, Visa trabajó a lo largo de todo el año internamente y muy de la mano con Apple en el desarrollo de una solución conjunta con miras al lanzamiento de Apple Pay.
Este proyecto en su momento se lanzó a nivel confidencial, de una dimensión bien grande y con una complejidad importante. Puede parecer que reemplazar un número de cuenta es muy sencillo, pero realmente toca muchos sistemas y hay muchas implicaciones detrás en cuanto a ciclos de vida de los números, qué pasa si roban un token, qué pasa si se pierde el número de cuenta real, qué pasa con el centro de atención al cliente, si se pierde el teléfono, etc. Hay impactos y consideraciones en todo el sistema. En el proyecto, del lado de Visa participaron 750 personas.
El sistema de tokenización en Apple Pay funciona de la siguiente manera. Básicamente el usuario de Apple Pay, cuando quiere comenzar a utilizarlo, se registra y da de alta su número de cuenta (lo puede hacer de una manera muy sencilla sacándole una foto a su tarjeta). Esa información se traduce a los números para simplificarle al vida al cliente y viaja a Visa, a nuestro sistema de tokenización, y en ese proceso inicial de registro se devuelve ya un número de cuenta digital que es almacenado en el elemento seguro del teléfono. Ese token queda grabado allí y, a partir de ese punto, la aplicación de Apple Pay queda habilitada para hacer transacciones NFC tanto en el mundo físico como en el mundo virtual.
Para hacer transacciones físicas funciona como una tarjeta contactless cualquiera, mientras que en el mundo virtual, la otra belleza que tiene la aplicación es que también permite realizar pagos en aplicaciones de la Apple Store. Si el dueño del teléfono dentro de un juego o de una aplicación precisa hacer una compra, simplemente presiona el botón de compra de Apple Pay. El sistema buscará el número de cuenta virtual o digital dentro del elemento seguro del teléfono y con ese número se realizará la transacción.
Vale la pena aclarar que después de que el usuario del teléfono se registra en Apple Pay, el número de cuenta real no se almacena, y el único número con que se podrá realizar transacciones es ese token. Si éste fuese robado no podría funcionar porque con esa restricción de dominio, ese número está atado a ese dispositivo.
¿El sistema puede ser utilizado por otros sistemas de pago?
Lo más interesante es que el servicio de tokenización como tal no es exclusivo para Apple. Es por eso que el anuncio de setiembre fue en dos partes. Visa lo anunció como disponible para Apple porque fue su primer socio, pero también está disponible para otros sistemas. Pueden esperar nuevos anuncios en torno a este sistema durante 2015.
Antes daba el ejemplo de comercios tradicionales en el mundo virtual que almacenan números de cuenta. Podemos empezar a pensar en tokenización de números de cuenta con microcircuito. Podemos pensar en ir llevando el concepto de tokenización a otros frentes, no solo a Apple.
Se trata de un sistema muy innovador. ¿Destinarán recursos a la educación de los usuarios?
En ese frente estamos más enfocados en la educación de los clientes desde la perspectiva de Visa, en el trabajo con los bancos y en el primer caso de uso de Apple Pay. Mucho de este proceso de educación va a estar apalancado en la predominancia que tiene Apple, que seguramente ayudará a crear rápidamente esa cultura.
Hasta el momento Apple Pay está disponible solo en Estados Unidos. ¿Sucede lo mismo con Token Service?
El lanzamiento oficial del sistema ha sido para Estados Unidos, pero a partir de enero el sistema estará disponible para otros mercados, entre éstos los latinoamericanos. Aún no estamos en condiciones de confirmar por qué mercados comenzará la expansión, pero sí debo decir que se dará de manera controlada por un tema de capacidad.
Del lado de Apple Pay, la estrategia de expansión depende exclusivamente de ellos, pero a medida que se vaya expandiendo, Token Service irá con ellos.
