1

Bancos presionan por la “tokenización” en los estándares para medios de pago y de crédito

Tokenización de tarjetas de credito

Por Jaikumar Vijayan / Computerworld

Un grupo que representa a 22 de los bancos más grandes del mundo está presionando para una amplia adopción en los EE.UU. de la tecnología de las tarjetas de pago llamado tokenización. Estas instituciones están tomando en cuenta las deficiencias en la migración planificada a Europa, por parte de los dos más grandes representantes del sistema de tarjetas de crédito, MasterCard y Visa a la tarjeta inteligente (EMV), en los próximos dos años.

La Compañía de Intercambio de Información de Pagos (TCH), cuyos propietarios incluyen Bank of America, Citibank, Capital One y JP Morgan Chase, está trabajando con los bancos miembros para ver cómo la “tokenización” se puede aplicar a entornos de pagos en línea y móviles para protegerse contra el fraude.

El esfuerzo se debe a lo que el grupo dice que es la necesidad de abordar las lagunas en el estándar EMV con transacciones móviles y en línea.

“EMV ha estado ahí por cerca de 20 años” y ha servido bien a su propósito, dijo Dave Fortney, vicepresidente senior de desarrollo de productos y de la gestión de la Cámara de Compensación.

Las tarjetas de débito y de crédito en base a la tecnología EMV utilizan un microchip incrustado, en vez de una banda magnética, para almacenar los datos y se consideran casi imposible de clonar con fines fraudulentos. Aunque el resto del mundo se trasladó a los años de la tecnología hace años, los EE.UU. han ido a la zaga por una variedad de razones .

Sin embargo, tras el más reciente ataque por parte de un grupo de hackers a los servicios de varias entidades financieras en el mundo, que expuso datos sobre 40 millones de tarjetas de débito y crédito, las llamadas a adoptar la norma en los EE.UU. se han vuelto más insistentes.

MasterCard y Visa han dicho que quieren que los comerciantes y los bancos estén listos para empezar a aceptar tarjetas EMV en octubre de 2015. Si bien la migración planificada tiene sus beneficios, EMV no es exactamente la panacea que muchos asumen que es, dijo Fortney.

“La desventaja con EMV es que se creó cuando no había Internet, ni el comercio en línea, ni nada de lo que actualmente usamos para comunicarnos”.

Mientras EMV es ideal para asegurar las transacciones de tarjetas en los terminales de punto de venta, es menos útil para los pagos en línea y otras transacciones de tarjeta no presente. Esa es una de las razones principales por fraude de tarjetas de pago ha migrado de sistemas de punto de venta para los canales en línea en Europa y otros lugares que ya han adoptado EMV. “La tokenización de tarjetas de pago es una forma de llenar este vacío”, según Fortney.

-La tokenización es un método para la protección de datos de la tarjeta mediante la sustitución de número de cuenta principal de una tarjeta (PAN) con una secuencia única, generada de forma aleatoria de números, caracteres alfanuméricos, o una combinación de una PAN truncado y una secuencia alfanumérica aleatoria.

Añade que el token es generalmente de la misma longitud y formato que el PAN original, por lo que parece no ser diferente de un número de tarjeta de pago estándar para los sistemas de procesamiento de transacciones, aplicaciones y back-end de almacenamiento.

La secuencia aleatoria o “señal”, actúa como un valor sustitutivo para el PAN real mientras la transacción es procesada o mientras los datos se encuentra en reposo en el interior de los sistemas de un minorista. El token se puede invertir para su verdadero valor PAN asociada en cualquier momento con las claves de descifrado correctos. Las fichas pueden ser ya sea prendas de un solo uso o usos múltiples tokens.

“La tokenization elimina la necesidad de los comerciantes, los sitios de comercio electrónico y los operadores de billeteras móviles para almacenar datos de tarjetas de pago sensibles en sus redes”, dijo Fortney.

Con los datos de la tarjeta de tokenización, de crédito y de débito se cifra en el punto donde es capturado y enviado al procesador de pagos del comerciante, donde se descifra los datos y la transacción está autorizada. El procesador entonces emite un token que representa a toda la transacción de nuevo a la tienda mientras que el propio número de tarjeta real se almacena de forma segura en una bóveda virtual.

El minorista puede utilizar el token para realizar un seguimiento de la transacción y manejar los reembolsos, devoluciones, intercambios y otras transacciones. El símbolo en sí sería de poco valor para los ladrones de datos, ya que no habría manera de ligar el token de nuevo al PAN y sin la clave de descifrado.

Los clientes no haría nada diferente cuando se paga por compras con tarjeta de crédito o débito. Los datos de la tarjeta se cifra cuando la tarjeta se pasa a través de la terminal de pago, enviado al procesador, donde se descifra para los procesos de aprobación de operaciones, y un token emitido al comerciante informa de todo sin que el cliente experimente alguna diferencia.

La tokenization también se puede implementar en las instalaciones con el propio comerciante que es portador del servidor que realiza el descifrado y la emisión de token.

La tokenization también ofrece una gran manera de asegurar las aplicaciones de pago móvil emergente, dijo Fortney. Un operador de billetera móvil como PayPal o Google podría utilizar el enfoque para almacenar fichas de un solo uso en el monedero virtual de un consumidor, en lugar de números de tarjetas de crédito y débito reales. Los consumidores pueden utilizar las fichas para hacer compras como lo harían con una tarjeta de pago efectivo, mientras que los comerciantes serían capaces de completar una transacción sin tocar ni almacenar los datos reales del PAN, dijo.

Una ventaja importante con el uso de la tokenización,  es que no requiere que los comerciantes hagan grandes cambios en sus sistemas de aceptación de pago actuales, como EMV hace, dice Fortney. Los créditos son presentados en la misma forma que la información de las tarjetas,  lo que los comerciantes tienen que hacer son  cambios relativamente mínimos en sus sistemas de pago, dijo.

El trabajo pesado de verdad iba a suceder en los bancos u otras entidades que almacenan datos del PAN, generar fichas y realizar un seguimiento de ellos a través de toda la cadena de transacciones.

La Tokenization no es nueva. La Industria de Pagos con Tarjeta de Seguridad del Consejo, que administra un conjunto de normas de seguridad para los sistemas de pago, la recomienda como un método para reducir el trabajo que las empresas tienen que hacer para ser compatible con PCI..

Un número creciente de minoristas ya utilizan la tokenización como una forma de reducir el alcance de PCI.

El esfuerzo de la Cámara de Compensación tiene como finalidad fomentar las normas que todos en la industria de pagos puede utilizar para implementar la tokenización de una manera consistente, dijo Fortney. “Nuestro deseo es tener un estándar abierto en toda la industria”.

The Clearing House no es la única organización que mira hacia la tokenización

Tras la ruptura de destino, EMVCo, una entidad propiedad de American Express, MasterCard, Visa y otras tres marcas de tarjetas de crédito, también anunció planes para desarrollar un estándar de tokenización para asegurar los pagos de crédito y débito realizadas a través de los teléfonos móviles, computadoras tablet y canales online.

EMVCo no respondió a varias solicitudes de Computerworld de comentarios sobre su esfuerzo. Sin embargo, un comunicado de prensa dado a conocer en el mes de enero, dijo que la nueva especificación complementaría las especificaciones de tarjetas inteligentes EMV existentes, que se requieren todos los comerciantes y los bancos a migrar a la final del próximo año.

Especificación de EMVCo describirá un “enfoque coherente para identificar y verificar el uso de un token válido durante el proceso de pago como la autorización, la captura, la compensación y liquidación”, señaló el comunicado.

Adolfo Manaure

Entusiasta seguidor de la tecnología y las innovaciones que cambian el mundo. Director Editorial y COO en The HAP Group.