Tokenización del motor de pagos

La Tokenización del motor de pagos le permite almacenar los detalles a cambio de un token. El token reemplaza los detalles de pago en la solicitud de transacción enviada al motor de pagos. Esto es útil ya que el motor de pagos controla los detalles de pago recopilados del pagador, con lo cual se reducen las obligaciones de cumplimiento de su PCI. Además, si el token se almacena con los datos del pagador, se puede usar cuando el pagador vuelve para realizar otra compra.

¿Qué es un token?

Un token es un identificador de los detalles de pago almacenados; se devuelven cuando se tokenizan. El token se puede usar para todas las transacciones posteriores de pago para hacer referencia a los detalles de pago guardados anteriormente.

Los tokens están en formato PAN y pasarán las reglas simples de validación de tarjetas, por lo que se pueden almacenar en lugar de los números de tarjetas de crédito. Sin embargo, su generación está diseñada para minimizar la probabilidad de que vayan a ser números de tarjeta válidos.

Beneficios clave

  • Reduce los costos de cumplimiento de PCI, ya que usted no administra ni almacena ningún detalle de pago.
  • Reduce el fraude interno, ya que su personal tiene acceso limitado a los detalles de pago.
  • Le permite actualizar los detalles de pago almacenados con respecto a un token. Esto es útil cuando los detalles de pago vencen/cambian o si el pagador desea cambiar el método de pago.
  • Facilita la integración de los tokens con los sistemas que actualmente esperan números de tarjeta. Los tokens generados por el sistema pueden aparecer como números de tarjeta y aprobar comprobaciones de validación de tarjeta básicas.
  • Le permite recuperar los detalles de pago desde un token.
  • Ofrece opciones diferentes para verificar detalles de pago.
  • Proporciona opciones flexibles para la administración de tokens.
  • Le permite compartir tokens con otros negocios.

Ejemplos

  1. Facturación recurrente (cuentas de servicios públicos, membresía de gimnasios, etc.): recopile detalles de pago del pagador y almacénelos a cambio de un token. El token se envía al motor de pagos como el instrumento de pago cada vez que un pago vence. Esto es útil si desea reducir los costos de PCI.
  2. Minoristas en línea (carritos de compra en línea, pago de cuentas en línea, sitios de juegos): recopile detalles de pago del pagador en un sitio web y almacénelos a cambio de un token. El token devuelto se almacena con los datos del pagador. Cuando un pagador vuelve al sitio web para realizar otra compra, usted presenta el identificador de cuenta enmascarado (o los cuatro últimos dígitos del PAN, si se utiliza la estrategia de generación Conservar 6.4.) e indica que no es necesario reingresar los detalles de pago. De esta forma los pagadores no tienen que volver a ingresar los detalles de pago. Esto mejora la conveniencia y la experiencia de usuario de los pagadores cuando realizan compras en su sitio web.

Configuración de la Tokenización del motor de pagos

Su proveedor de servicios de pago puede configurar el servicio de Tokenización asociado con su perfil de negocio para los siguientes parámetros:

Estrategia de verificación de tokens

Define cómo se verifican los detalles de pago antes de almacenarse. Los valores pueden ser:

Básico Valida que los datos de pago proporcionados se ajustan a las normas del motor de pagos para procesar un pago con estos datos de pago.
Adquirente Verifica los datos de pago mediante la realización de una solicitud Verify de API, para verificar los datos de pago proporcionados con el adquirente.
Cuando almacena un token, debe proporcionar una moneda. La fuente de transacción predeterminada será el valor configurado para el vínculo negocio-adquirente. La configuración de Enforce CSC para esta fuente de transacción se ignorará.
Para las transacciones de pago con dispositivo mediante DPAN, si el negocio está configurado con la estrategia de verificación de token como adquirente, la estrategia de verificación de token automáticamente vuelve a Básica para procesar esa transacción específica.
Ninguno No se realiza ninguna verificación.
Administración de tokens

Define cómo se administran los tokens dentro del depósito. Los valores pueden ser:

Token único Asigna un token único cada vez que usted guarda un identificador de cuenta. Esto puede definirse como una relación de uno a muchos, entre un identificador de cuenta y los tokens.
Identificador de cuenta único Un identificador de cuenta solo se puede almacenar con respecto a un token único. Si se hace el intento de almacenarlo con respecto a otro token, arrojará un error. Esto puede definirse como una relación de uno a uno, entre el identificador de cuenta y el token.
Estrategia de generación de tokens

Define la estrategia usada para generar un token dentro de este depósito. Los valores pueden ser:

Aleatorio con Luhn El ID de token generado es un número aleatorio. Comienza con "9", pasa una comprobación Luhn (Mod-10) y excluye los números de tarjeta conocidos.
Conservar 6.4 Intenta conservar los primeros 6 y últimos 4 dígitos y no es un número de tarjeta válido.

Propiedades de token:

Longitud del identificador de cuenta Dígitos de token
<=16 16
17 17
18 18
>=19 19

Longitud del identificador de cuenta Dígitos conservados
11 Primeros 5 y últimos 2
12 Primeros 5 y últimos 3
13 Primeros 6 y últimos 3
>13 Primeros 6 y últimos 4
No puede actualizar el número de tarjeta para un token Conservar 6.4, sin embargo, puede actualizar la fecha de vencimiento.
Proporcionado por el negocio El token es suministrado por el negocio. Todo token proporcionado por el negocio se valida para que no sea un número de tarjeta válido.
Tokenización del adquirente El ID de token lo proporciona el servicio de tokenización del adquirente. Este servicio solo permite almacenar el FPAN en un token. Se deben cumplir los siguientes requisitos previos para permitir la tokenización del adquirente:
  • que la estrategia de verificación de tokens para verificar los detalles de la tarjeta esté establecida en Ninguna;
  • que la estrategia de administración de tokens para el depósito de tokens esté establecida en Identificador de cuenta único;
  • que el negocio esté configurado solo con un vínculo de adquirente que tenga la capacidad de tokenización de adquirente.
Para obtener más información sobre la tokenización del adquirente, póngase en contacto con su proveedor de servicios de pago.

Operaciones de tokens

Puede realizar las siguientes operaciones mediante la solución de Tokenización del motor de pagos:

Tokenize

Puede usar esta operación para crear o actualizar un token al almacenar los detalles de pago con respecto al token. El token se almacenará en el depósito de tokens, según la configuración de su perfil de negocio.

También puede utilizar esta operación para crear o actualizar un token proporcionando el reference order ID de un pedido anterior realizado correctamente, que puede tener hasta 12 meses de antigüedad en el motor de pagos. Se le proporciona un token del motor de pagos con respecto a las credenciales de pago utilizadas en el pedido al que se hace referencia. El token se almacena en el depósito de tokens, según la configuración de su perfil de negocio.

Los detalles de pago se verificarán mediante el método de verificación proporcionado en el campo verificationStrategy. Si no proporciona este campo, se usará la estrategia predeterminada configurada en su perfil del negocio.

El motor de pagos admite actualizaciones de cuenta automáticas y manuales para tokens. Para obtener más información, consulte Servicio de mantenimiento de tokens y Actualizaciones de cuenta manuales, respectivamente.

Si la verificación es satisfactoria, los detalles de pago se guardan con respecto a un token, para posterior consulta y uso en transacciones de pago en el futuro. También puede elegir reintentar una operación de Tokenize si el primer intento no devuelve una respuesta.

El token se emite según el método de administración de tokens configurado para el depósito de tokens que usa su perfil de negocio.

Usted puede compartir un depósito de tokens con otros negocios. Solicite más información a su proveedor de servicios de pago.

Actualización de un token de tarjeta sin tener que recapturar todos los detalles

Puede que desee actualizar detalles (como, por ejemplo, la fecha de vencimiento de una tarjeta) en un token almacenado, mediante la operación Tokenize, pero sin cambiar otros detalles. El token que suministra en la URL de solicitud identifica el token que desea actualizar. Suministrar este mismo token como fuente de detalles de pago provocará que sus detalles almacenados anteriormente se vuelvan a usar. Esto significa que no debe volver a capturar los detalles de pago. Al proporcionar la nueva fecha de vencimiento en la sección Detalles de tarjeta de la solicitud, el valor anulará la fecha de vencimiento ya almacenada en el token (consulte Reglas de precedencia).

La actualización de un token con un origen de fondos distinto (por ejemplo, reemplazar los detalles de pago de la tarjeta con los datos de pago de Automated Clearing House) reemplazará todos los detalles de pago almacenados contra el token con los del nuevo origen de fondos.

La siguiente solicitud de ejemplo muestra cómo proporcionar fuentes de detalles de tarjeta y token en la solicitud Tokenize:

Método HTTPPUT
URLhttps://evopaymentsmexico.gateway.mastercard.com/api/rest/version/72/merchant/<merchant>/token/9999999999999999
JSON 
{
  "sourceOfFunds": {
    "provided": {
      "card": {
        "expiry": {
          "month": "01",
          "year": "39"
        },
        "number": "5123456789012346"
      }
    },
    "type": "CARD"
  }
}

El lenguaje JSON anterior supone que anteriormente se almacenó un token con ID "9999999999999999" y que contiene un número de tarjeta y una fecha de vencimiento.

El resultado de esta operación será que el token "9999999999999999" ahora tiene una fecha de vencimiento de 05/21, con el número de tarjeta que se mantiene sin cambios.

Referencia de API de Tokenización[REST][NVP]

Authorize with Token

Realiza una operación Authorize para el monto especificado mediante los detalles de pago identificados por el token suministrado.

Referencia de API de Authorize[REST][NVP]

Pay with Token

Realiza una operación Pay por el monto especificado mediante los detalles de pago identificados por el token suministrado.

Referencia de API de Pay with Token[REST][NVP]

Retrieve Token

Le permite recuperar los detalles de pago guardados con respecto al token especificado. El identificador de cuenta y otros datos confidenciales se devuelven enmascarados.

Referencia de API de Retrieve Token[REST][NVP]

Delete Token

Elimina el token especificado de su depósito de tokens.

Referencia de API de Delete Token[REST][NVP]

Search Token

Busca registros de tokens que coinciden con una consulta. Actualmente, la consulta admite la búsqueda mediante un identificador de token o un identificador de cuenta. Asegúrese de encriptar el número de tarjeta mediante la biblioteca JWE.js.

Si la consulta coincide con un número importante de registros de token, puede limitar los resultados de búsqueda devueltos por página y recuperar el próximo conjunto de resultados mediante solicitudes posteriores.

Referencia de API de Search Token[REST][NVP]

Servicio de mantenimiento de tokens

El Servicio de mantenimiento de tokens proporcionado por el motor de pagos garantiza que, cuando sea posible, los detalles de pago almacenados con respecto a un token que se usan para pagos recurrentes sean actuales y que el procesamiento de las transacciones de pago recurrentes mediante este token posiblemente resulte exitoso.

Actualmente, esta funcionalidad está disponible solo para tarjetas de crédito.
Cuándo usar el Servicio de mantenimiento de tokens

Use el Servicio de mantenimiento de tokens si usted hace todo lo siguiente:

  • Procesa pagos recurrentes mediante el motor de pagos.
  • Utiliza la tokenización del motor de pagos para almacenar de manera segura los detalles de pago de crédito usados para los pagos recurrentes.
  • Utiliza la API o Lote para administrar sus tokens y enviar las transacciones para procesamiento.
El Servicio de mantenimiento de tokens utiliza la funcionalidad Actualizador de cuenta que proporcionan los esquemas de tarjeta y los adquirentes. Por lo tanto, solo se pueden mantener los tokens utilizados para las transacciones procesadas por los adquirentes que habilitan el Actualizador de cuenta.
Configure el Servicio de mantenimiento de tokens

Para usar el Servicio de mantenimiento de tokens, debe:

  • Registrarse para la funcionalidad Actualizador de cuenta con su adquirente y los esquemas de tarjeta.
  • Solicitar a su proveedor de servicios de pago que habilite el Actualizador de cuenta en los vínculos del adquirente del negocio.
  • Pedirle a su proveedor de servicios de pago que habilite Servicio de mantenimiento de tokens. Tenga en cuenta que solo puede habilitarse para el Servicio de mantenimiento de tokens o la tokenización de red, pero no para ambos. Ambas funciones garantizan que los detalles de pago almacenados en los tokens se mantengan actualizados.
Actualizaciones de token

Para las transacciones recurrentes en que se proporciona un token y la transacción es correctamente procesada por el motor de pagos mediante un adquirente que habilita el Actualizador de cuenta, el motor de pagos determinará la siguiente fecha en que se usará el token para un pago recurrente (según el uso anterior del token en los pagos recurrentes).

El motor de pagos enviará una solicitud de los detalles de pago almacenados con respecto al token al servicio de Actualizador de cuenta, con la suficiente anticipación para que el motor de pagos reciba y procese una respuesta. Luego, se actualizará el token según la respuesta.

Las actualizaciones de token incluyen:

  • Número de tarjeta y fecha de vencimiento.
  • Solo la fecha de vencimiento de la tarjeta.
  • Marcar un token como no válido.
El Servicio de mantenimiento de tokens respeta la estrategia de administración de tokens configurada para el depósito de tokens. Por ejemplo, si el depósito de tokens se configura con una estrategia de generación de token de Conservar 6.4 y una actualización de cuenta indica que la fecha de vencimiento cambió, el token se actualiza. Sin embargo, si el número de tarjeta cambia, el token se marca como no válido.
Tokens no válidos

Un token se marca como no válido si una respuesta del Actualizador de cuenta indica que los detalles de pago almacenados con respecto al token no son válidos.

Las solicitudes de transacciones que usan un token no válido son rechazadas por el motor de pagos.

Para un token no válido, la respuesta de la operación RETRIEVE_CARD de API devuelve status=INVALID.

Puede borrar un estado no válido actualizando los detalles de pago almacenados con respecto al token.

Referencia de API de Retrieve Token[REST][NVP]

Recuperar información de actualización de token

Utilice la operación Retrieve Token para recuperar los detalles de pago para un token que fue actualizado por el Actualizador de cuenta.

  • usage.lastUpdated muestra la fecha y la hora en que el Actualizador de cuenta actualizó el token.
  • usage.lastUpdateBy está vacío, lo que indica que el token no fue actualizado por un negocio, sino que por el Actualizador de cuenta.

Al usar la operación de SEARCH_TOKEN de API, puede buscar todos los tokens que se han actualizado desde una fecha y hora especificadas. La respuesta le proporciona todos los tokens (incluidos los detalles de pago almacenados con respecto al token, además de la información de uso del token) que tienen una fecha y hora de usage.lastUpdated después de la fecha a tiempo proporcionada en la solicitud.

Ahora puede usar los procesos existentes para, por ejemplo:

  • Actualizar su sistema con el nuevo número de tarjeta enmascarado y/o la fecha de vencimiento devuelta en la respuesta de transacción.
  • Comunicarse con sus clientes para obtener nuevos detalles de pago para los tokens no válidos.
  • Crear nuevos tokens, si es necesario.

Referencia de API de Search Token[REST][NVP]

Referencia de API de Retrieve Token[REST][NVP]

Actualizaciones manuales de tokens

Si está habilitado para el Actualizador de cuenta en los vínculos de adquirente del negocio, puede solicitar manualmente la información de actualización de la cuenta en los detalles de la tarjeta almacenados en un token. Para hacer esto, proporcione lo siguiente en la solicitud de Tokenize:

  • verificationStrategy=ACCOUNT_UPDATER
  • transaction.currency

Tenga en cuenta que proporcionar el grupo de parámetros de sourceOfFunds es opcional.

El motor de pagos recibirá y procesará la respuesta del Servicio de actualización de cuentas de forma similar a cuando se utiliza Servicio de mantenimiento de tokens. Para obtener información sobre qué incluyen las actualizaciones de tokens, tokens no válidos y cómo recuperar información de actualización de tokens, consulte las secciones en Servicio de mantenimiento de tokens.

Token de reemplazo

Cuando el motor de pagos recibe una respuesta de Actualizador de cuenta de un adquiriente, que indica que el número de tarjeta ha cambiado, el motor de pagos no puede actualizar los detalles de la tarjeta debido a la estrategia de generación o mantenimiento de tokens. En su lugar, el motor de pagos crea un nuevo token con el nuevo número de cuenta principal de financiamiento (FPAN) y luego vincula el nuevo token al token anterior mediante el campo replacementToken.

Esta sección explica diferentes casos en los que el negocio debe usar el token de reemplazo y eliminar el token anterior.

Si un negocio intenta actualizar un token, el motor de pagos rechazará la solicitud porque el motor de pagos ya ha configurado un token de reemplazo. El negocio debe usar el token de reemplazo en lugar del token anterior y eliminar el token anterior.

En esta tabla se describen algunos casos en los que se genera un token de reemplazo.

Caso 1
  • El depósito de tokens está configurado para la estrategia de generación de tokens, como "Conservar 6.4" o "Adquirente".
  • El token se marca para una solicitud de actualización de cuenta utilizando las "Actualizaciones manuales de tokens" o el "Servicio de mantenimiento de tokens".
  • La respuesta del actualizador de cuenta indicó que la tarjeta se ha reemplazado por una tarjeta con un nuevo número de tarjeta.
Caso 2
  • El depósito de tokens se configura para la estrategia de gestión de tokens "Identificador de cuenta único".
  • El token se marca para una solicitud de actualización de cuenta utilizando las "Actualizaciones manuales de tokens" o el "Servicio de mantenimiento de tokens".
  • La respuesta del actualizador de cuenta indicó que la tarjeta se ha reemplazado por una tarjeta con un nuevo número de tarjeta.
  • Ya existe un token activo con el mismo identificador de cuenta en el depósito de tokens.

Tokenización del ID del acuerdo de facturación de PayPal

PayPal le permite establecer un acuerdo de facturación para un pagador, que le permite cobrar posteriormente al pagador sin el consentimiento del pagador haciendo referencia al acuerdo de facturación. El pagador solo necesita dar su consentimiento al acuerdo de facturación una vez, cuando se establece. Se puede realizar o no un pago en el momento de establecer el acuerdo de facturación.

Puede tokenizar el ID del acuerdo de facturación de PayPal utilizando la operación Tokenize. Proporcione el ID del token, ya sea generado por el motor de pagos o el proporcionado por usted, en la URL de solicitud de Tokenize.

Solicitud de ejemplo
URL https://evopaymentsmexico.gateway.mastercard.com/api/rest/version/72/merchant/<your_gateway_merchant_ID>/token/<token_ID>
Método HTTP PUT 
      {
          "sourceOfFunds": {
              "provided": {
                  "paypal": {
                      "billingAgreement": {
                          "description": "Test Billing Agreement",
                          "name": "Test Name",
                          "cardinality": "MULTIPLE",
                          "id": "1234"
                      }
                  }
              },
              "type": "PAYPAL",
                      "token": "9926675679589987"
                  },
                    "shipping": {
                     "address": {
                                "city": "city",
                                "country": "country",
                                "postcodeZip": "post_code",
                                "stateProvince": "state",
                                "street": "test street",
                                "street2": "test street2"
                            }
                    }
              }

Prueba de su integración

Puede probar su integración para la tokenización del motor de pagos utilizando su perfil de pruebas del negocio (su ID de negocio con el prefijo TEST) en Producción.

Cuando su proveedor de servicios de pago lo habilita y configura para la tokenización, el motor de pagos crea dos depósitos, prueba y producción. El depósito de prueba es su ID de depósito de tokens con el prefijo TEST.

Cuando envía solicitudes de tokenización al motor de pagos utilizando su perfil de pruebas del negocio, se utiliza el depósito de tokens de prueba. Para procesar posteriormente un pago con un token, debe tokenizar un número de tarjeta de prueba admitido. Para obtener detalles de la tarjeta de prueba, consulte Prueba e inicio de transacciones en producción.

Derechos de autor © 2023 Mastercard