La Tokenización del motor de pagos le permite almacenar los detalles a cambio de un token. El token reemplaza los detalles de pago en la solicitud de transacción enviada al motor de pagos. Esto es útil ya que el motor de pagos controla los detalles de pago recopilados del pagador, con lo cual se reducen las obligaciones de cumplimiento de su PCI. Además, si el token se almacena con los datos del pagador, se puede usar cuando el pagador vuelve para realizar otra compra.
Un token es un identificador de los detalles de pago almacenados; se devuelven cuando se tokenizan. El token se puede usar para todas las transacciones posteriores de pago para hacer referencia a los detalles de pago guardados anteriormente.
Los tokens están en formato PAN y pasarán las reglas simples de validación de tarjetas, por lo que se pueden almacenar en lugar de los números de tarjetas de crédito. Sin embargo, su generación está diseñada para minimizar la probabilidad de que vayan a ser números de tarjeta válidos.
Su proveedor de servicios de pago puede configurar el servicio de Tokenización asociado con su perfil de negocio para los siguientes parámetros:
Define cómo se verifican los detalles de pago antes de almacenarse. Los valores pueden ser:
Básico | Valida que los datos de pago proporcionados se ajustan a las normas del motor de pagos para procesar un pago con estos datos de pago. |
Adquirente |
Verifica los datos de pago mediante la realización de una solicitud Verify de API, para verificar los datos de pago proporcionados con el adquirente.
Cuando almacena un token, debe proporcionar una moneda. La fuente de transacción predeterminada será el valor configurado para el vínculo negocio-adquirente. La configuración de
Para las transacciones de pago con dispositivo mediante DPAN, si el negocio está configurado con la estrategia de verificación de token como adquirente, la estrategia de verificación de token automáticamente vuelve a Básica para procesar esa transacción específica.
Enforce CSC para esta fuente de transacción se ignorará. |
Ninguno | No se realiza ninguna verificación. |
Define cómo se administran los tokens dentro del depósito. Los valores pueden ser:
Token único | Asigna un token único cada vez que usted guarda un identificador de cuenta. Esto puede definirse como una relación de uno a muchos, entre un identificador de cuenta y los tokens. |
Identificador de cuenta único | Un identificador de cuenta solo se puede almacenar con respecto a un token único. Si se hace el intento de almacenarlo con respecto a otro token, arrojará un error. Esto puede definirse como una relación de uno a uno, entre el identificador de cuenta y el token. |
Define la estrategia usada para generar un token dentro de este depósito. Los valores pueden ser:
Aleatorio con Luhn | El ID de token generado es un número aleatorio. Comienza con "9", pasa una comprobación Luhn (Mod-10) y excluye los números de tarjeta conocidos. | ||||||||||||||||||||
Conservar 6.4 | Intenta conservar los primeros 6 y últimos 4 dígitos y no es un número de tarjeta válido. Propiedades de token:
No puede actualizar el número de tarjeta para un token Conservar 6.4, sin embargo, puede actualizar la fecha de vencimiento.
|
||||||||||||||||||||
Proporcionado por el negocio | El token es suministrado por el negocio. Todo token proporcionado por el negocio se valida para que no sea un número de tarjeta válido. | ||||||||||||||||||||
Tokenización del adquirente | El ID de token lo proporciona el servicio de tokenización del adquirente. Este servicio solo permite almacenar el FPAN en un token. Se deben cumplir los siguientes requisitos previos para permitir la tokenización del adquirente:
|
Puede realizar las siguientes operaciones mediante la solución de Tokenización del motor de pagos:
Puede usar esta operación para crear o actualizar un token al almacenar los detalles de pago con respecto al token. El token se almacenará en el depósito de tokens, según la configuración de su perfil de negocio.
También puede utilizar esta operación para crear o actualizar un token proporcionando el reference order ID
de un pedido anterior realizado correctamente, que puede tener hasta 12 meses de antigüedad en el motor de pagos. Se le proporciona un token del motor de pagos con respecto a las credenciales de pago utilizadas en el pedido al que se hace referencia. El token se almacena en el depósito de tokens, según la configuración de su perfil de negocio.
Los detalles de pago se verificarán mediante el método de verificación proporcionado en el campo verificationStrategy
. Si no proporciona este campo, se usará la estrategia predeterminada configurada en su perfil del negocio.
Si la verificación es satisfactoria, los detalles de pago se guardan con respecto a un token, para posterior consulta y uso en transacciones de pago en el futuro. También puede elegir reintentar una operación de Tokenize si el primer intento no devuelve una respuesta.
El token se emite según el método de administración de tokens configurado para el depósito de tokens que usa su perfil de negocio.
Puede que desee actualizar detalles (como, por ejemplo, la fecha de vencimiento de una tarjeta) en un token almacenado, mediante la operación Tokenize, pero sin cambiar otros detalles. El token que suministra en la URL de solicitud identifica el token que desea actualizar. Suministrar este mismo token como fuente de detalles de pago provocará que sus detalles almacenados anteriormente se vuelvan a usar. Esto significa que no debe volver a capturar los detalles de pago. Al proporcionar la nueva fecha de vencimiento en la sección Detalles de tarjeta de la solicitud, el valor anulará la fecha de vencimiento ya almacenada en el token (consulte Reglas de precedencia).
La siguiente solicitud de ejemplo muestra cómo proporcionar fuentes de detalles de tarjeta y token en la solicitud Tokenize:
Método HTTP | PUT |
URL | https://evopaymentsmexico.gateway.mastercard.com/api/rest/version/72/merchant/<merchant>/token/9999999999999999 |
JSON |
{ "sourceOfFunds": { "provided": { "card": { "expiry": { "month": "01", "year": "39" }, "number": "5123456789012346" } }, "type": "CARD" } } |
El lenguaje JSON anterior supone que anteriormente se almacenó un token con ID "9999999999999999" y que contiene un número de tarjeta y una fecha de vencimiento.
El resultado de esta operación será que el token "9999999999999999" ahora tiene una fecha de vencimiento de 05/21, con el número de tarjeta que se mantiene sin cambios.
Realiza una operación Authorize para el monto especificado mediante los detalles de pago identificados por el token suministrado.
Realiza una operación Pay por el monto especificado mediante los detalles de pago identificados por el token suministrado.
Le permite recuperar los detalles de pago guardados con respecto al token especificado. El identificador de cuenta y otros datos confidenciales se devuelven enmascarados.
Elimina el token especificado de su depósito de tokens.
Busca registros de tokens que coinciden con una consulta. Actualmente, la consulta admite la búsqueda mediante un identificador de token o un identificador de cuenta. Asegúrese de encriptar el número de tarjeta mediante la biblioteca JWE.js.
Si la consulta coincide con un número importante de registros de token, puede limitar los resultados de búsqueda devueltos por página y recuperar el próximo conjunto de resultados mediante solicitudes posteriores.
El Servicio de mantenimiento de tokens proporcionado por el motor de pagos garantiza que, cuando sea posible, los detalles de pago almacenados con respecto a un token que se usan para pagos recurrentes sean actuales y que el procesamiento de las transacciones de pago recurrentes mediante este token posiblemente resulte exitoso.
Use el Servicio de mantenimiento de tokens si usted hace todo lo siguiente:
Para usar el Servicio de mantenimiento de tokens, debe:
Para las transacciones recurrentes en que se proporciona un token y la transacción es correctamente procesada por el motor de pagos mediante un adquirente que habilita el Actualizador de cuenta, el motor de pagos determinará la siguiente fecha en que se usará el token para un pago recurrente (según el uso anterior del token en los pagos recurrentes).
El motor de pagos enviará una solicitud de los detalles de pago almacenados con respecto al token al servicio de Actualizador de cuenta, con la suficiente anticipación para que el motor de pagos reciba y procese una respuesta. Luego, se actualizará el token según la respuesta.
Las actualizaciones de token incluyen:
Un token se marca como no válido si una respuesta del Actualizador de cuenta indica que los detalles de pago almacenados con respecto al token no son válidos.
Las solicitudes de transacciones que usan un token no válido son rechazadas por el motor de pagos.
Para un token no válido, la respuesta de la operación RETRIEVE_CARD de API devuelve status=INVALID
.
Utilice la operación Retrieve Token para recuperar los detalles de pago para un token que fue actualizado por el Actualizador de cuenta.
usage.lastUpdated
muestra la fecha y la hora en que el Actualizador de cuenta actualizó el token.usage.lastUpdateBy
está vacío, lo que indica que el token no fue actualizado por un negocio, sino que por el Actualizador de cuenta.Al usar la operación de SEARCH_TOKEN de API, puede buscar todos los tokens que se han actualizado desde una fecha y hora especificadas. La respuesta le proporciona todos los tokens (incluidos los detalles de pago almacenados con respecto al token, además de la información de uso del token) que tienen una fecha y hora de usage.lastUpdated
después de la fecha a tiempo proporcionada en la solicitud.
Ahora puede usar los procesos existentes para, por ejemplo:
Si está habilitado para el Actualizador de cuenta en los vínculos de adquirente del negocio, puede solicitar manualmente la información de actualización de la cuenta en los detalles de la tarjeta almacenados en un token. Para hacer esto, proporcione lo siguiente en la solicitud de Tokenize:
verificationStrategy=ACCOUNT_UPDATER
transaction.currency
Tenga en cuenta que proporcionar el grupo de parámetros de sourceOfFunds
es opcional.
El motor de pagos recibirá y procesará la respuesta del Servicio de actualización de cuentas de forma similar a cuando se utiliza Servicio de mantenimiento de tokens. Para obtener información sobre qué incluyen las actualizaciones de tokens, tokens no válidos y cómo recuperar información de actualización de tokens, consulte las secciones en Servicio de mantenimiento de tokens.
Cuando el motor de pagos recibe una respuesta de Actualizador de cuenta de un adquiriente, que indica que el número de tarjeta ha cambiado, el motor de pagos no puede actualizar los detalles de la tarjeta debido a la estrategia de generación o mantenimiento de tokens. En su lugar, el motor de pagos crea un nuevo token con el nuevo número de cuenta principal de financiamiento (FPAN) y luego vincula el nuevo token al token anterior mediante el campo replacementToken.
Esta sección explica diferentes casos en los que el negocio debe usar el token de reemplazo y eliminar el token anterior.
En esta tabla se describen algunos casos en los que se genera un token de reemplazo.
Caso 1 |
|
Caso 2 |
|
PayPal le permite establecer un acuerdo de facturación para un pagador, que le permite cobrar posteriormente al pagador sin el consentimiento del pagador haciendo referencia al acuerdo de facturación. El pagador solo necesita dar su consentimiento al acuerdo de facturación una vez, cuando se establece. Se puede realizar o no un pago en el momento de establecer el acuerdo de facturación.
Puede tokenizar el ID del acuerdo de facturación de PayPal utilizando la operación Tokenize. Proporcione el ID del token, ya sea generado por el motor de pagos o el proporcionado por usted, en la URL de solicitud de Tokenize.
URL | https://evopaymentsmexico.gateway.mastercard.com/api/rest/version/72/merchant/<your_gateway_merchant_ID>/token/<token_ID> |
Método HTTP | PUT |
{ "sourceOfFunds": { "provided": { "paypal": { "billingAgreement": { "description": "Test Billing Agreement", "name": "Test Name", "cardinality": "MULTIPLE", "id": "1234" } } }, "type": "PAYPAL", "token": "9926675679589987" }, "shipping": { "address": { "city": "city", "country": "country", "postcodeZip": "post_code", "stateProvince": "state", "street": "test street", "street2": "test street2" } } }
Puede probar su integración para la tokenización del motor de pagos utilizando su perfil de pruebas del negocio (su ID de negocio con el prefijo TEST) en Producción.
Cuando su proveedor de servicios de pago lo habilita y configura para la tokenización, el motor de pagos crea dos depósitos, prueba y producción. El depósito de prueba es su ID de depósito de tokens con el prefijo TEST.
Cuando envía solicitudes de tokenización al motor de pagos utilizando su perfil de pruebas del negocio, se utiliza el depósito de tokens de prueba. Para procesar posteriormente un pago con un token, debe tokenizar un número de tarjeta de prueba admitido. Para obtener detalles de la tarjeta de prueba, consulte Prueba e inicio de transacciones en producción.
Derechos de autor © 2023 Mastercard