La Compañía de Intercambio de Información de Pagos (TCH), cuyos propietarios incluyen Bank of America, Citibank, Capital One y JP Morgan Chase, está trabajando con los bancos miembros para ver cómo la “tokenización” se puede aplicar a entornos de pagos en línea y móviles para protegerse contra el fraude.
 

El esfuerzo se debe a lo que el grupo dice que es la necesidad de abordar las lagunas en el estándar EMV con transacciones móviles y en línea.
 

“EMV ha estado ahí por cerca de 20 años” y ha servido bien a su propósito, dijo Dave Fortney, vicepresidente senior de desarrollo de productos y de la gestión de la Cámara de Compensación.
 

Las tarjetas de débito y de crédito en base a la tecnología EMV utilizan un microchip incrustado, en vez de una banda magnética, para almacenar los datos y se consideran casi imposible de clonar con fines fraudulentos. Aunque el resto del mundo se trasladó a los años de la tecnología hace años, los EE.UU. han ido a la zaga por una variedad de razones .
 

Sin embargo, tras el más reciente ataque por parte de un grupo de hackers a los servicios de varias entidades financieras en el mundo, que expuso datos sobre 40 millones de tarjetas de débito y crédito, las llamadas a adoptar la norma en los EE.UU. se han vuelto más insistentes.
 

MasterCard y Visa han dicho que quieren que los comerciantes y los bancos estén listos para empezar a aceptar tarjetas EMV en octubre de 2015. Si bien la migración planificada tiene sus beneficios, EMV no es exactamente la panacea que muchos asumen que es, dijo Fortney.
 

“La desventaja con EMV es que se creó cuando no había Internet, ni el comercio en línea, ni nada de lo que actualmente usamos para comunicarnos”.
 

Mientras EMV es ideal para asegurar las transacciones de tarjetas en los terminales de punto de venta, es menos útil para los pagos en línea y otras transacciones de tarjeta no presente. Esa es una de las razones principales por fraude de tarjetas de pago ha migrado de sistemas de punto de venta para los canales en línea en Europa y otros lugares que ya han adoptado EMV. “La tokenización de tarjetas de pago es una forma de llenar este vacío”, según Fortney.
 

La tokenización es un método para la protección de datos de la tarjeta mediante la sustitución de número de cuenta principal de una tarjeta (PAN) con una secuencia única, generada de forma aleatoria de números, caracteres alfanuméricos, o una combinación de una PAN truncado y una secuencia alfanumérica aleatoria.
 

Añade que el token es generalmente de la misma longitud y formato que el PAN original, por lo que parece no ser diferente de un número de tarjeta de pago estándar para los sistemas de procesamiento de transacciones, aplicaciones y back-end de almacenamiento.
 

La secuencia aleatoria o “señal”, actúa como un valor sustitutivo para el PAN real mientras la transacción es procesada o mientras los datos se encuentra en reposo en el interior de los sistemas de un minorista. El token se puede invertir para su verdadero valor PAN asociada en cualquier momento con las claves de descifrado correctos. Las fichas pueden ser ya sea prendas de un solo uso o usos múltiples tokens.
 

“La tokenization elimina la necesidad de los comerciantes, los sitios de comercio electrónico y los operadores de billeteras móviles para almacenar datos de tarjetas de pago sensibles en sus redes”, dijo Fortney.
 

Con los datos de la tarjeta de tokenización, de crédito y de débito se cifra en el punto donde es capturado y enviado al procesador de pagos del comerciante, donde se descifra los datos y la transacción está autorizada. El procesador entonces emite un token que representa a toda la transacción de nuevo a la tienda mientras que el propio número de tarjeta real se almacena de forma segura en una bóveda virtual.
 

El minorista puede utilizar el token para realizar un seguimiento de la transacción y manejar los reembolsos, devoluciones, intercambios y otras transacciones. El símbolo en sí sería de poco valor para los ladrones de datos, ya que no habría manera de ligar el token de nuevo al PAN y sin la clave de descifrado.
 

Los clientes no haría nada diferente cuando se paga por compras con tarjeta de crédito o débito. Los datos de la tarjeta se cifra cuando la tarjeta se pasa a través de la terminal de pago, enviado al procesador, donde se descifra para los procesos de aprobación de operaciones, y un token emitido al comerciante informa de todo sin que el cliente experimente alguna diferencia.
 

La tokenization también se puede implementar en las instalaciones con el propio comerciante que es portador del servidor que realiza el descifrado y la emisión de token.
 

La tokenization también ofrece una gran manera de asegurar las aplicaciones de pago móvil emergente, dijo Fortney. Un operador de billetera móvil como PayPal o Google podría utilizar el enfoque para almacenar fichas de un solo uso en el monedero virtual de un consumidor, en lugar de números de tarjetas de crédito y débito reales. Los consumidores pueden utilizar las fichas para hacer compras como lo harían con una tarjeta de pago efectivo, mientras que los comerciantes serían capaces de completar una transacción sin tocar ni almacenar los datos reales del PAN, dijo.
 

Una ventaja importante con el uso de la tokenización,  es que no requiere que los comerciantes hagan grandes cambios en sus sistemas de aceptación de pago actuales, como EMV hace, dice Fortney. Los créditos son presentados en la misma forma que la información de las tarjetas,  lo que los comerciantes tienen que hacer son  cambios relativamente mínimos en sus sistemas de pago, dijo.
 

El trabajo pesado de verdad iba a suceder en los bancos u otras entidades que almacenan datos del PAN, generar fichas y realizar un seguimiento de ellos a través de toda la cadena de transacciones.
 

La Tokenization no es nueva. La Industria de Pagos con Tarjeta de Seguridad del Consejo, que administra un conjunto de normas de seguridad para los sistemas de pago, la recomienda como un método para reducir el trabajo que las empresas tienen que hacer para ser compatible con PCI..
 

Un número creciente de minoristas ya utilizan la tokenización como una forma de reducir el alcance de PCI.
 

El esfuerzo de la Cámara de Compensación tiene como finalidad fomentar las normas que todos en la industria de pagos puede utilizar para implementar la tokenización de una manera consistente, dijo Fortney. ”Nuestro deseo es tener un estándar abierto en toda la industria”.
 

Fuente: CIO, América Latina