Tokenization del motor de pagos

La Tokenization del motor de pagos le permite almacenar los detalles a cambio de un token. El token reemplaza los detalles de pago en la solicitud de transacción enviada al motor de pagos. Esto es útil ya que el motor de pagos controla los detalles de pago recopilados del pagador, con lo cual se reducen las obligaciones de cumplimiento de su PCI. Además, si el token se almacena con los datos del pagador, se puede usar cuando el pagador vuelve para realizar otra compra.

¿Qué es un token?

Un token es un identificador de los detalles de pago almacenados; se devuelven cuando se tokenizan. El token se puede usar para todas las transacciones posteriores de pago para hacer referencia a los detalles de pago guardados anteriormente.

Los tokens están en formato PAN y pasarán las reglas simples de validación de tarjetas, por lo que se pueden almacenar en lugar de los números de tarjetas de crédito. Sin embargo, su generación está diseñada para minimizar la probabilidad de que vayan a ser números de tarjeta válido.

Beneficios clave

  • Reduce los costos de cumplimiento de PCI, ya que usted no administra ni almacena ningún detalle de pago.
  • Reduce el fraude interno, ya que su personal tiene acceso limitado a los detalles de pago.
  • Le permite actualizar los detalles de pago almacenados con respecto a un token. Esto es útil cuando los detalles de pago vencen/cambian o si el pagador desea cambiar el método de pago.
  • Facilita la integración de los tokens con los sistemas que actualmente esperan números de tarjeta. Los tokens generados por el sistema pueden aparecer como números de tarjeta y aprobar comprobaciones de validación de tarjeta básicas.
  • Le permite recuperar los detalles de pago desde un token.
  • Ofrece opciones diferentes para verificar detalles de pago.
  • Proporciona opciones flexibles para la administración de tokens.
  • Le permite compartir tokens con otros negocios.

Ejemplos

  1. Facturación recurrente (cuentas de servicios públicos, membresía de gimnasios, etc.): recopile detalles de pago del pagador y almacénelos a cambio de un token. El token se envía al motor de pagos como el instrumento de pago cada vez que un pago vence. Esto es útil si desea reducir los costos de PCI.
  2. Minoristas en línea (carritos de compra en línea, pago de cuentas en línea, sitios de juegos): recopile detalles de pago del pagador y almacénelos a cambio de un token. El token devuelto se almacena con los datos del pagador. Cuando un pagador vuelve al sitio web para realizar otra compra, usted presenta el identificador de cuenta enmascarado (o los cuatro últimos dígitos del token, si se utiliza la estrategia de generación Conservar 6.4.) e indica que no es necesario reingresar los detalles de pago. De esta forma los pagadores no tienen que volver a ingresar los detalles de pago. Esto mejora la conveniencia y la experiencia de usuario de los pagadores cuando realizan compras en su sitio web.

Configuración de la Tokenization del motor de pagos

Su proveedor de servicios de pago puede configurar el servicio de Tokenization asociado con su perfil de negocio para los siguientes parámetros:

Estrategia de verificación de tokens

Define cómo se verifican los detalles de pago antes de almacenarse. Los valores pueden ser:

Básico Valida que los datos de pago proporcionados se ajustan a las normas del motor de pagos para procesar un pago con estos datos de pago.
Adquirente Verifica los datos de pago mediante la realización de una solicitud Verify de API, para verificar los datos de pago proporcionados con el adquirente.
Cuando almacena un token, debe proporcionar una moneda. La fuente de transacción predeterminada será el valor configurado para el vínculo negocio-adquirente. La configuración de Enforce CSC para esta fuente de transacción se ignorará.
Ninguna No se realiza ninguna verificación.
Administración de tokens

Define cómo se administran los tokens dentro del repositorio. Los valores pueden ser:

Token único Asigna un token único cada vez que usted guarda un identificador de cuenta. Esto puede definirse como una relación de uno a muchos, entre un identificador de cuenta y los tokens.
Identificador de cuenta único Un identificador de cuenta solo se puede almacenar con respecto a un token único. Si se hace el intento de almacenarlo con respecto a otro token, arrojará un error. Esto puede definirse como una relación de uno a uno, entre el identificador de cuenta y el token.
Estrategia de generación de tokens

Define la estrategia usada para generar un token dentro de este depósito. Los valores pueden ser:

Aleatorio con Luhn El ID de token generado es un número aleatorio. Comienza con "9", pasa una comprobación Luhn (Mod-10) y excluye los números de tarjeta conocidos.
Conservar 6.4 Intenta conservar los primeros 6 y últimos 4 dígitos y no es un número de tarjeta válido.

Propiedades de token:

Longitud del identificador de cuenta Dígitos de token
<=16 16
17 17
18 18
>=19 19

Longitud del identificador de cuenta Dígitos preservados
11 Primeros 5 y últimos 2
12 Primeros 5 y últimos 3
13 Primeros 6 y últimos 3
>13 Primeros 6 y últimos 4
No puede actualizar el número de tarjeta para un token Conservar 6.4, sin embargo, puede actualizar la fecha de vencimiento.
Proporcionado por el negocio El token es suministrado por el negocio. Todo token proporcionado por el negocio se valida para que no sea un número de tarjeta válido.

Operaciones de tokens

Puede realizar las siguientes operaciones mediante la solución de Tokenization del motor de pagos:

Tokenizar

Puede usar esta operación para crear o actualizar un token al almacenar los detalles de pago con respecto al token. El token se almacenará en el depósito de tokens, según la configuración de su perfil de negocio.

Los detalles de pago se verificarán mediante el método de verificación proporcionado en el campo verificationStrategy. Si no proporciona este campo, se usará la estrategia predeterminada configurada en su perfil del negocio. Si desea almacenar los tokens sin fecha de vencimiento, puede configurar el valor de verificationStrategy en NONE. Si la verificación es satisfactoria, los detalles de pago se guardan con respecto a un token, para posterior consulta y uso en transacciones de pago en el futuro. También puede elegir reintentar una operación de Tokenize si el primer intento no devuelve una respuesta.

El token se emite según el método de administración de tokens configurado para el depósito de tokens que usa su perfil de negocio.

Usted puede compartir un depósito de tokens con otros negocios. Solicite más información a su proveedor de servicios de pago.

Actualización de un token de tarjeta sin tener que recapturar todos los detalles

Puede que desee actualizar detalles (como, por ejemplo, la fecha de vencimiento de una tarjeta) en un token almacenado, mediante la operación Tokenize, pero sin cambiar otros detalles. El token que suministra en la URL de solicitud identifica el token que desea actualizar. Suministrar este mismo token como fuente de detalles de pago provocará que sus detalles almacenados anteriormente se vuelvan a usar. Esto significa que no debe volver a capturar los detalles de pago. Al proporcionar la nueva fecha de vencimiento en la sección Detalles de tarjeta de la solicitud, el valor anulará la fecha de vencimiento ya almacenada en el token (consulte Reglas de precedencia).

La actualización de un token con un origen de fondos distinto (por ejemplo, reemplazar los detalles de pago de la tarjeta con los datos de pago de Automated Clearing House) reemplazará todos los detalles de pago almacenados contra el token con los del nuevo origen de fondos.

La siguiente solicitud de ejemplo muestra cómo proporcionar fuentes de detalles de tarjeta y token en la solicitud Tokenize:

Método HTTPPUT
URLhttps://evopaymentsmexico.gateway.mastercard.com/api/rest/version/57/merchant/<merchant>/token/9999999999999999
JSON
{
	"sourceOfFunds": {
		"provided": {
			"card": {
				"expiry": {
					"month": "05",
					"year": "21"
				},
				"number": "5123456789012346"
			}
		},
		"type": "CARD"
	}
}

El lenguaje JSON anterior supone que anteriormente se almacenó un token con ID "9999999999999999" y que contiene un número de tarjeta y una fecha de vencimiento.

El resultado de esta operación será que el token "9999999999999999" ahora tiene una fecha de vencimiento de 05/21, con el número de tarjeta que se mantiene sin cambios.

Referencia de API de Tokenización[REST][NVP]

Authorize con token

Realiza una operación Authorize por el monto especificado mediante los detalles de pago identificados por el token suministrado.

Referencia de API de Authorize[REST][NVP]

Pay con token

Realiza una operación Pay por el monto especificado mediante los detalles de pago identificados por el token suministrado.

Referencia de API de Pay con token[REST][NVP]

Retrieve Token

Le permite recuperar los detalles de pago guardados con respecto al token especificado. El identificador de cuenta y otros datos confidenciales se devuelven enmascarados.

Referencia de API de Retrieve Token[REST][NVP]

Delete Token

Elimina el token especificado de su depósito de tokens.

Referencia de API de Delete Token[REST][NVP]

Search Token

Busca registros de tokens que coinciden con una consulta. Actualmente, la consulta admite la búsqueda mediante un identificador de token o un identificador de cuenta. Asegúrese de encriptar el número de tarjeta mediante la biblioteca JWE.js.

Si la consulta coincide con un número importante de registros de token, puede limitar los resultados de búsqueda devueltos por página y recuperar el próximo conjunto de resultados mediante solicitudes posteriores.

Referencia de API de Search Token[REST][NVP]

Token Maintenance Service

El Token Maintenance Service proporcionado por el motor de pagos garantiza que, cuando sea posible, los detalles de pago almacenados con respecto a un token que se usan para pagos recurrentes sean actuales y que el procesamiento de las transacciones de pago recurrentes mediante este token posiblemente resulte exitoso.

Actualmente, esta funcionalidad está disponible solo para tarjetas de crédito.
Cuándo usar el Token Maintenance Service

Use el Token Maintenance Service si usted hace todo lo siguiente:

  • Procesa pagos recurrentes mediante el motor de pagos.
  • Utiliza la funcionalidad de Tokenization proporcionada por el motor de pagos para almacenar de manera segura los detalles de pago de crédito usados para los pagos recurrentes.
  • Utiliza la API o Lote para administrar sus tokens y enviar las transacciones para procesamiento.
El Token Maintenance Service utiliza la funcionalidad Actualizador de cuenta que proporcionan los esquemas de tarjeta y los adquirentes. Por lo tanto, solo se pueden mantener los tokens utilizados para las transacciones procesadas por los adquirentes que habilitan el Actualizador de cuenta.
Configure el Token Maintenance Service

Para usar el Token Maintenance Service, debe:

  • Registrarse para la funcionalidad Actualizador de cuenta con su adquirente y los esquemas de tarjeta.
  • Solicitar a su proveedor de servicios de pago que habilite el Actualizador de cuenta en los vínculos del adquirente del negocio.
Actualizaciones de token

Para las transacciones recurrentes en que se proporciona un token y la transacción es correctamente procesada por el motor de pagos mediante un adquirente que habilita el Actualizador de cuenta, el motor de pagos determinará la siguiente fecha en que se usará el token para un pago recurrente (según el uso anterior del token en los pagos recurrentes).

El motor de pagos enviará una solicitud de los detalles de pago almacenados con respecto al token al servicio de Actualizador de cuenta, con la suficiente anticipación para que el motor de pagos reciba y procese una respuesta. Luego se actualizará el token según la respuesta.

Las actualizaciones de token incluyen:

  • Número de tarjeta y fecha de vencimiento.
  • Solo la fecha de vencimiento de la tarjeta.
  • Marcar un token como no válido.
El Token Maintenance Service respeta la estrategia de administración de tokens configurada para el depósito de tokens. Por ejemplo, si el depósito de tokens se configura con una estrategia de generación de token de Conservar 6.4 y una actualización de cuenta indica que la fecha de vencimiento cambió, el token se actualiza. Sin embargo, si el número de tarjeta cambia, el token se marca como no válido.
Tokens no válidos

Un token se marca como no válido si una respuesta del Actualizador de cuenta indica que los detalles de pago almacenados con respecto al token no son válidos.

Las solicitudes de transacciones que usan un token no válido son rechazadas por el motor de pagos.

Para un token no válido, la respuesta de la operación RETRIEVE_CARD de API devuelve status=INVALID.

Puede borrar un estado no válido actualizando los detalles de pago almacenados con respecto al token.

Referencia de API de Retrieve Token[REST][NVP]

Recuperar información de actualización de token

Al recuperar los detalles de pago para un token que fue actualizado por el Actualizador de cuenta mediante la operación RETRIEVE_CARD de API:

  • usage.lastUpdated muestra la fecha y la hora en que el Actualizador de cuenta actualizó el token.
  • usage.lastUpdateBy está vacío, lo que indica que el token no fue actualizado por un negocio, sino que por el Actualizador de cuenta.

Al usar la operación de SEARCH_TOKEN de API, puede buscar todos los tokens que se han actualizado desde una fecha y hora especificadas. La respuesta le proporciona todos los tokens (incluidos los detalles de pago almacenados con respecto al token además de la información de uso del token) que tienen una fecha y hora de usage.lastUpdated después de la fecha a tiempo proporcionada en la solicitud.

Ahora puede usar los procesos existentes para, por ejemplo:

  • Actualizar su sistema con el nuevo número de tarjeta enmascarado y/o la fecha de vencimiento devuelta en la respuesta de transacción.
  • Comunicarse con sus clientes para obtener nuevos detalles de pago para los tokens no válidos.
  • Crear nuevos tokens si es necesario.

Referencia de API de Search Token[REST][NVP]

Referencia de API de Retrieve Token[REST][NVP]

Derechos de autor © 2020 Mastercard